Monthly Archives: June 2016

Kaardiuuenduse teine laine

Anto Veldre, RIA analüütik

Paar kuud tagasi algas Eesti ID-kaartide sisu uuendamine. Selle asemel, et inimene teenindusbüroosse lähetada, pistab ta oma kodus isikutunnistuse lugejasse ning mõne minutiga asendab kaardil asuvad sertifikaadid uute vastu.

Säärane e-elustiili toetav idee tundus alguses olevat parasjagu kreisi – ükski riik polnud varemalt isikutunnistuse uuendamist üle interneti teinud. Samas polegi palju riike, kus ID-kaartide kiibifunktsioon oleks üldrahvalikult kasutusel.

Praegu võib öelda, et idee töötab. Aega hoitakse kokku kõvasti – uuendame kaardi sisu, nagu värskendatakse äppe telefonides. Pole parata – täiendusi vajab ka isikuttõendav dokument.

Praeguseks on uuendatud üle 7000 kaardi ja uuendajad pole kuigivõrd hätta jäänud. Pigem on kurdetud, et miks mina veel oma kaarti uuendada ei saa?!? Inimestest võib aru saada, Google’i lubatud 6-kuulisest tähtajast on märkamatult saamas aasta, ühtki otsest ohtu kusagilt veel ei paista.

Uuendamise teine laine algas 22. juunil 2016, mil uuendamisse läksid ka 2015. aastal väljaantud kaardid (ka digitaalsed isikutunnistused, ka e-residendi kaardid). Lisanduvate kaartide kogus on 264 000, seega uutmist vajavate kaartide koguhulk on nüüd ((155k -7k) + 264k) = ~413k kaarti.
Teise laine omapära on keerukam uuendusprotsess. Uuendamisel küsitakse kaardi PIN-koode (uusi ja vanu) ikka päris mitu korda. Ning erinevalt esimesest lainest ei piirdu asi sertifikaadiuuendusega, vaid vahetada tuleb ka krüptovõtmed ja neid avavad PIN-koodid.

Miks üldse uuendame?

Nagu varem kirjutatud, 2014. aasta turvaõnnetuste tulemusel jõudsid IT suurfirmad järelduseni, et krüptograafilise tarkvara kvaliteeti võiks tõsta. Google’i uus BoringSSL tarkvara märkas 2015. aastal ära, et üks teatav aastast 2000. aastast pärinev “tõlgenduslik iseärasus” on endiselt parandamata ning mõned seniste vahenditega väljastatud sertifikaadid (sh mõnedki Eesti ID-kaartide omad) tuleks nüüd kooskõlla viia täpse tõlgendusega.

Nimelt, RSA krüptosüsteemis leidub kahe algarvu korrutis (nn “moodul”) ja algarvud on teatavasti üdini positiivsed. Varemalt tarvitati tervet mõistust: miinusmärgina tõlgendatavat kahendarvu “1” lihtsalt eirati. Iga koolipoiss ju teab, et algarv ei saa olla negatiivne. Boring SSL tulekuga aeti pill lõhki ning võeti formalistlik suund – ikkagi turvaasi, järelikult olgu kõik viimase bitini õige.

Teisestki uuenduspõhjusest on varem kirjutatud – nimelt hakkas meid truult teeninud räsialgoritm SHA-1 vanaks jääma ning tuleb käibest välja viia. Alates 1. märtsist 2016 väljastatakse Eesti isikutunnistustesse juba uusi sertifikaate, mille tembeldamisel on kasutatud moodsat SHA-2 algoritmi.

Brauserikeskses maailmas on Google, Mozilla ja Microsoft jumala staatuses – kui nemad tunnistavad sertifikaadi vigaseks, siis ei saa ei riik ega e-pood säärast sertifikaati enam pruukida. Tuleb vahetada!

Kokkuvõttes, umbes 420 000 kaardi uuendamiseks leidus vähemalt kolm head põhjust:

Millal me mida uuendame?

Lihtne vastus kõlab sedasi – too oma arvutisse ID-kaardi tarkvara uusim versioon, käivita ID-kaardi haldusvahend ning kui Sinu kaardi uutmise aeg on käes, siis Sulle öeldakse.

Autor: Anto Veldre

Autor: Anto Veldre

NB! Kogused on joonisel esitatud 2016 märtsi seisuga.

Joonisel on loetletud kõik olulisemad kaardihulgad. Alustame lõpust – punase värviga tähistatud hulgast – kui kaardil on kiip puruks või kui kasutaja ei mäleta omi PIN-koode, siis arusaadavalt pole mõtet seda kaarti uuendamiseks lugejasse sisestada.

Edasi, roosaga on tähistatud kaarditüübid, millele kunagi uuendust pakkuma ei hakatagi. Mingi kogus kaarte on sedavõrd vanad, et SHA-2 algoritmi neil rakendada ei saa. Leidub pisem kogus kaarte, mille uuendamisel tekkis vigu liiga sageli – säärase kaardi omanik suunatakse otse PPA teenindusse ning on lootust need kaardid garantiikorras asendada (ID-kaardi haldusvahend väljastab siis vastava juhise).

Rohelise värviga on tähistatud need kaardid, mida on kavas uuendada. Laine A on juba alanud. Pisut keerulisemate kaartide uuendamine algas 21. juunil.

Alles siis, kui Google Chrome’i suhtes tundlikud kaardid on eelisjärjekorras ära uuendatud, võetakse ette kolmas laine: SHA-1 abil väljastatud isikusertifikaatide asendamine moodsate, SHA-2 algoritmil põhinevatega (grupp C). Praeguse seisuga näib, et Google Chrome’i kriitiline hetk ehk ver. 53 saabumine ei tohiks toimuda enne septembrit.

Ekraanikuva: Uuendamise märguanded ID-kaardi haldusvahendis

Ekraanikuva: Uuendamise märguanded ID-kaardi haldusvahendis

Ettevalmistus uuenduseks

Uuendamiseks tuleb lehelt installer.id.ee laadida alla ID-kaardi tarkvara, paigaldada see arvutisse ning järgida selle antavaid juhiseid. Vaata läbi uuendusvideo. Uuendamise käigus paigaldatakse kaartidele uued sertifikaadid, mis tuginevad senisest tugevamal SHA-2 algoritmil. Kui haldusvahend Sulle sertifikaatide uuendusvõimalust ei paku, siis pole Sinu kaardi sertifikaatide uuendamise aeg käes.

Uuendamise jooksul küsitakse PIN-koode korduvalt (kuni seitse korda – alul vanu, siis uusi). Veelgi enam, kaardiomanikule genereeritakse uued privaatvõtmed ja sel puhul on PIN-koodide vahetamine paratamatu. (Privaatvõtmed genereeritakse ikka kaardi sees, need üle Interneti ei liigu!).

Kokkuvõttes, kui Sul on digitaalne isikutunnistus (sh e-residendi kaart) või aastal 2015 väljastatud ID-kaart, siis valmistu pisut keerulisemaks uuendusprotsessiks. Teema on mitmetahuline, vajadusel loe üle ka pikemad hoiatused eelmisest samateemalisest kirjutisest.

Sõltumata kaardi tüübist tuleks arvestada järgmist:

  • Päästa (dekrüpteeri ja salvesta) oma postkastist *.cdoc laiendiga failid – need on seotud Sinu vana privaatvõtmega ja pärast uuendust enam ei avane.
  • Veendu, et Sul on mingi alternatiivne identiteedikandja (m-ID) juhuks, kui midagi vussi läheb. Muidu jääb Su e-elu seisma.
  • Täida normaalseid e-hügieeni nõudeid ja veendu, et Sinu arvutis poleks mingit pahavara.
  • Enne kaardiuuendust paigalda viimaseim versioon ID-kaardi tarkvarast. Uuendamine toimub ID-kaardi haldusvahendiga, mille versioon olgu vähemasti 3.12.2.
  • Uuendama asu ikka vaid siis, kui tervis korras, pea värske ja puhanud. Enne uuendamist kirjuta paberile abiliini number 1777 ning veendu, et telefoni aku on täis.

Uuendamise ajal:

  • tee ettevalmistusi, et arvuti toide poole tegevuse pealt ei katkeks (laadi aku täis, kasuta UPSi vms),
  • ära mingil juhul tõmba kaarti lugejast välja uuendamise keskel – muidu läheb uuendus kindlasti katki,
  • kasuta ikka korralikku, kiiret Internetti ja ära samaaegselt suuri faile alla laadi,
  • loe korduma kippuvaid küsimusi kauguuendamise kohta lehelt id.ee.

Kui uuendamise käigus läheb miskit viltu, siis helista ID-kaardi abiliinile 1777 (välismaalt helistades +372 677 3377). Õnnestunud uuendamise peale võib robot saata Sulle sõnumi portaalis eesti.ee registreeritud ametlikule e-postiaadressile.

Pärast uuendamist:

  • Mine kontrolli üle oma lemmikteenuste (pank, maksuamet, eesti.ee portaal jms) toimivus oma uute SHA-2 ahela sertifikaatidega.

Teenusepakkujate valmisolek

Ehkki SHA-2 algoritmil põhinevaid sertifikaate väljastatakse märtsist 2016, võib juhtuda, et mõni pisem e-teenus ei toeta SHA-2 põhinevate sertifikaatide kasutamist. Sel juhul võiks teenuse omanik läbi lugeda vahesertifikaadi SK-2015 installeerimisõpetuse ning talitada vastavalt juhendile.

Kui mõni avalik teenus Sinu ärauuendatud ID-kaarti endiselt ei toeta, siis suhtle abiliiniga 1777 või saada kiri portaali omanikule.

Kauguuendamise abimaterjalid

Kiri Aleixolt

Anto Veldre, analüütik

harry-calligraphy-envelope

Allikas: http://www.katescreativespace.com/

Alates juulist 2016 hakkab kehtima Euroopa Liidu otsekohalduv rakendusakt, mis jõustab Euroliidu eIDAS-määruse ka tegelikus elus. Eks ju varemgi nõuti allkirjade piiriülesust (alates EL direktiivist 1999/93), kuid leidus tehnilisi nüansse, mis võimaldasid ühtesobivusega viivitada.

Esimesest juulist rakenduvad nõuded usaldusteenustele ja sääraste osutajatele ning vähemasti avalik sektor enam oodata ei saa – kõigis EL riikides tuleb vastu võtta mistahes EL riigist saabunud allkirju. Teaduslik käsitlus aktuaalsetest sündmustest on esitatud Mark Erlichi juhendmaterjalis.

Eestis ollakse harjunud mõtlema, et ID-kaart ja digiallkiri on kohalik leiutis, kuigi neid imesid võimaldavad tehnoloogiad pole üldsegi kohalikku päritolu. Eesti põhiline saavutus seisneb pigem selles, et meie ühiskond kasutab neid tehnoloogiaid igapäevaselt ja läbivalt; EL alles alustab sellega.

Nüüd, kus me enam pole iseendi veduriks, vaid vägesid juhitakse Brüsselist, võime mõnevõrra kergemini hingata – me ei pea enam rabelema ega digitaalse eluviisi õigsust Brüsseli onule tõestama. Algajat ehmatab enim just digiallkirjade paljusus võrreldes Eesti senise süsteemi üliselgusega.

Mis edasi?

Kui veel 30. juunil võis saadu(d allkirja) kurioosumina ära raamistada ja seinale riputada, siis alates 1. juulist 2016 peab avalik sektor vastu võtma kõik EL liikmesriikidest saabunud e-allkirjad. Näiteks väidab EL nomaad Aleixo Almeda Alvares oma e-kirjas, et ta on ülikoolis õppinud, tahab meile tööle kandideerida ja lisab oma haridust tõendava, e-allkirjastatud PDF-faili.

esign13

Allikas: http://www.gradvocates.com/

Šokk ongi käes – mõnes riigis allkirjastatakse dokumente mõne ID-kaardist oluliselt erineva vahendiga ning liikmesriikide digiallkirjad võivadki esineda oluliselt erinevates failivormingutes, eelkõige juba mainitud PDF kujul. (Mis muidugi üldse ei tähenda nagu iga PDF-fail kohe automaatselt olekski EL digiallkiri).

Kuidas säärast tundmatus formaadis allkirja kontrollida? Kiire vastus kõlab kulunult – endiselt tuleb käivitada ID-kaardi tarkvarakomplekti kuuluv DigiDoc3 programm. Juhul, kui tegu on uusima versiooniga (ID-kaardi baastarkvara versioon 3.12.4 saabub orienteeruvalt 27. juuniks), siis tunneb meie tarkvara kenasti ära suurema osa ELis aktsepteeritud sertifikaatidest.

Kui sertifikaate ei too kurg, siis kes?

Mäletatavasti, selleks et kodanik (või miks mitte ka asutus) saaks end mingisse teenusesse sisse logida või kusagile oma digitaalse käpajälje maha jätta, vajatakse digitaalseid sertifikaate. Kui klassikalises maailmas kannatab paber kõike, pole raske kirjutusmasinaga A4 lehele trükkida väidet, et vastava paberi esitaja töötab juulikuust universumi direktorina. Digimaailmas on veidrat väita mõnevõrra keerulisem, sest digisaba lohiseb taga oluliselt pikemalt kui kantseleitarvete ostukviitung.

Alustuseks otsustab mõni ärikontor, et nemad nüüd hakkavadki sertifikaadiäriga tegelema ning genereerivad endale n-ö juurmise ehk päälmise sertifikaadi. (Mõnes riigis tuleb sääraseks kutsetegevuseks veel ka tegevusluba võtta ja enesele audit kaela kutsuda). Juurmise sertifikaadi alla siis väljastatakse endile kitsama otstarbega n-ö teenusesertifikaate, millega lõppkasutajatooteid tembeldada. Ning lõpuks, kui kontorisse (Eesti puhul küll PPA kontorisse) ilmub kodanik ja tahab endale sertifikaati saada, siis väikese tasu eest see talle ka väljastatakse.

Mida sertifikaatidega tehakse?

Me kõik teame – sertifikaat kas esitatakse sisselogimise hetkel või see kaasatakse (krüptograafiliselt tagasivõtmatul moel) digiallkirja loomisse. Eestis tundub meile loomulik, et sisselogimiseks on üks sertifikaat ja allkirjastamiseks teine (sest meil nii on), kuid mõnes teises riigis võib sertifikaatide jaotus, otstarve ja paiknemine olla hoopis teistsugune (ID-kaardi sees, arvuti kõvakettal või kusagil mujal – näiteks pilves).

Kui kodanik esitab digitaalse väite, et ta töötab näiteks, khmm, universumi direktorina, siis erinevalt A4 paberist (mis kannatab kõike), paistab allkirja seest/küljest välja veel kaks asja – esiteks, kust (kelle käest) väitja oma sertifikaadi sai ning seejärel, et kas ka keegi teine on säärasele väitele oma kinnitava käpajälje alla pannud. Selgelt eristub asjaolu, kui keegi teine pole mainit väidet oma digiallkirjadega kinnitanud, siis jääb säärane väide üksnes kodaniku enda südametunnistusele.

Euroopa Komisjon on tekitanud kataloogi, kuhu Euroopa riigid panevad kirja oma teadaolevad sertifikaadiväljastajad ja nende teenus-sertifikaadid, teisisõnu peab EK usaldusnimekirja (TSL – Trusted Service Status List). DigiDoc3 programm üritabki käivitumisel seda nimekirja alla laadida, kui see ei õnnestu, siis kaebleb programm, et ta enam ei tea, keda usaldada.

Brüssel on riikidel käskinud oma sertifikaadimajanduse korda teha, avalikult välja näidata need olulised bitijadad, millele tuginedes naaberriigid saaksid üksteise allkirju kontrollida ning nimekirjad on keskselt publitseeritud. Enam pole oluline, mida me ise endast arvame. On oluline, kuidas Euroopa meid (läbi keskse nimekirja) näeb. Näpuharjutuseks võib igamees ise usaldusnimekirjast Estonia sõna otsida ning sedakaudu läbi TJA Sertifitseerimiskeskuseni jõuda.

TSL-katki

Allikas: kuvatõmmis

Terminoloogia

eIDASe võtmes räägitakse usaldusteenustest. See on termin, mida Eestis on asutud kasutama küll alles viimastel aastatel, kuid lihtsustatult hõlmab usaldusteenus autentimise, allkirjastamise, tembeldamise ning sertifitseerimisega seotud digiteemasid. See, mida meie oleme harjunud nimetama digiallkirjaks, kannab EL kõnepruugis hoopis kvalifitseeritud e-allkirja nimetust.

Kas kõik allkirjad on võrdsed?

Nii nagu füüsilises maailmas on erikujulisi pitsateid, nii ka digimaailmas. Mõnel pitsatil on rohkem vigureid küljes ja siis usutakse, et säärane olla võltsimiskindlam.

Erinevalt Eesti senisest must-valgest skeemist jaotab eIDAS-määrus allkirjad nelja kategooriasse, lähtuvalt nende tõsikindluse tasemest:

  1. Kõige madalam tase – lihtsalt allkirjad ehk kõik muu, mis kõrgematele nõuetele ei vasta, näiteks allkiri, mis on antud kodus, isevalmistatud sertifikaadiga. See tase polegi nii mõttetu kui tundub, sest kui inimene on aastaid järjest ühe ja sama “pitsatiga” digiallkirju andnud, siis võib küll kujuneda teatav veendumus, et ju see on jätkuvalt tema ise, kelle valduses vastav pitsat asub. Sääraseid allkirju võib, aga ei pea aktsepteerima – kasutamine ja menetlemine on rangelt vabatahtlikud. Ah jah – siia alamliiki kuuluvad ka näiteks e-lugeri ekraanile sirgeldatud pookstavid.
KopijaVerna

Allikas: Internet

  1. AdES ( Advanced Electronic Signature) – Veidi kõrgem tase ehk “täiustatud” elektrooniline allkiri – eIDAS nõuab, et AdES allkirja sügav tehniline olemus vastaks teatavatele miinimumnõuetele.

Sertifikaadi väljastaja võiks sisalduda vastavas registris, kuid erilisi nõudeid talle ei esitata ja auditeerimine pole kohustuslik. Ka ei nõuta selle taseme puhul veel turvalist karpi (vahendit), mille sees asuks sertifikaati “avav” võti. Isik ehk ongi tõsikindlalt kindlaks tehtud, aga võib-olla pole ka. Privaatvõtit tohib hoida failisüsteemis, pilves, sõnaga – igal pool.

Ainuke erinevus “muust” on tehniliselt standardne lahendus, mida on programmidel lihtsam “süüa”.

  1. AdES/QC – Täiustatud allkiri kvalifitseeritud sertifikaadiga (QualifiedCertificate) – erineb punktis 2 välja antud allkirjast paari olulise nõude poolest.

Esiteks, sertifikaat pärinegu nõuetele vastavast ning auditeeritud sertifitseerimiskontorist. Siis saab olla kindel, et säärane sertifikaat on väljastatud ikkagi vaid üheleainsale inimesele ning et eksisteerib mehhanism, mis võimaldaks näiteks varastatud sertifikaadi peatada. Teiseks – auditeeritud sertifitseerimiskontor teeb olulisi jõupingutusi isikusamasuse tuvastamiseks – arvatavasti on soovijat enne pitsati väljastamist kontrollitud. Eestis näiteks teeb seda PPA.

  1. QES (Qualified Electronic Signature)punktis 3 kirjeldatud täiustatud allkiri, mis aga on antud spetsiaalses turvalises seadmes säilitatud bitijadadega (näited: PIN-koodidega kaitstav USB-pulk või kiipkaart).

Kokkuvõtvalt, kõrgeima taseme allkirja puhul:

  • Sertifikaati käivitav privaatvõti paikneb kvalifitseeritud esemes sügaval sees;
  • sertifikaati kasutav isik on tõsikindlalt tuvastatud;
  • on veendumus, et keegi teine ei saa vahendit kuritarvitada (mitmefaktoriline autentimine vms).

Mis kõige tähtsam, vaid kõrgeima taseme vahendiga antud allkiri loetakse alastes aastast 2014 terves Euroopas võrdseks isiku omakäelise allkirjaga. Sellele tasemele paigutub ka meie ID-kaart.

uusID-kaartesi300

Kõrvalepõikena – kui mõnele kõrgtaseme vahendile unustatakse pärast uuenduskuuri audit tegemata, langeb see vahend automaatselt astme võrra allapoole.

Kuid … mida peale hakata vähemvõrdsete allkirjadega?

Kuivõrd me siin Eestis lendame nii kõrgelt ja väga mustvalges režiimis (kas digiallkiri vs mitte), siis tuleb arendada halltoonide äratundmise oskust.

some_animals_are_more_equal_than_others__by_gasketfuse-d5bq5r1

Allikas: http://gasketfuse.deviantart.com/art/Some-Animals-Are-More-Equal-Than-Others-322027165

Eespool mainisime liikmesriigi kodaniku (näiteks Aleixo Almeda Alvares’e) poolt antud PDF-vormingus digiallkirja. Võimalik, et see allkiri on antud kvalifitseeritud sertifikaadiga, ehk siis – Aleixo isik on kohaliku politsei poolt tõsikindlalt tuvastatud, kuid paraku tolles riigis tarvitatakse auditeerimata süsteemi, mille kohaselt allkirjastamisvõtmeid hoitakse arvuti kettal (selmet turvalise kiipkaardi sees). Kas see nüüd tähendab, et Aleixo antud AdES/QC taseme allkiri on õigustühine?

eIDASe järgi tuleb Eestis välismaistest e-allkirjadest aktsepteerida kõiki vähemalt sama taseme allkirju, mida me sama teenuse puhul siseriiklikultki tunnistame. Eesti erimure seisneb asjaolus, et meie igapäevavahendiks ongi just omakäelise allkirjaga võrdsustatud ID-kaart ja sealt väljatulnud QES taseme allkiri.

Kas see peaks tähendama, et me jätame poolte liikmesriikide allkirjad aktsepteerimata ja saadame tööd otsivad Aleixo pikalt? Ei, kaugeltki mitte!

Peame Eestis õppima halltoone tuvastama. Uurime: korravalve on Aleixo isiku kindlaks teinud – väga hea! Ahah, ja sertifikaadi päritolus võib ka enam-vähem kindel olla nagu ka selle tagasikutsumise mehhanismides. No aga sel juhul, kuivõrd Aleixo ju ise tuleb kohale (siia meile tööle) ja täitsa ise ning suuliselt kinnitab üle, et tõesti tema ise andiski selle allkirja (vahet pole, mis vahendiga, kasvõi puuhaluga), tundub, et konkreetsel juhul riski eriti pole, me võiksime Aleixo antud digiallkirja kenasti usaldada.

Teisisõnu, lisaks allkirja tehnilisele vastavusele tuleb alati hinnata ka selle andmise konteksti. Antud juhul lisandub siiski veel üks nüanss – haridust tõendava dokumendi võiks pigem ikkagi allkirjastada ülikool ise, mitte hariduse saaja.

Kes teeb mida?

Riik

Riigikogus on esimese lugemise läbinud eelnõu 237SE, millega “Digitaalallkirja seadus” (DAS) kaotab kehtivuse ja enamik selle sätteid asendatakse eIDASe sätetega. Mõrkmagusa mälestusena jääb minevikku ka meie digitaalallkirja täitsa oma formaat DDOC.

Eelnõu 237SE seletuskirjas antakse teada, et seniseid (juba antud) allkirju aktsepteeritakse edaspidigi, kuid 1. juulist pole mõtet uusi *.ddoc vormingust allkirju juurde sigitada – neid ei pruugi EL seadusandlus omakäelise allkirjaga võrdseks lugeda.

Riigiisad on ka lihtinimesele mõelnud – sääduseelnõu kohaselt tähendab “kvalifitseeritud e-allkiri” edaspidi digitaalallkirja ja vastupidi. Seega, kui jutt käib “digiallkirjastamisest”, siis tulevikus mõeldakse selle all üksnes QES taseme vahendit.

Firma ja asutus

Organisatsiooni vaatest on allkirjareformil kaks aspekti – suuta võõraid allkirju aktsepteerida (tänase seisuga saab kogu Eesti avalik sektor alla saja (!) “võõra” allkirja aastas, kuid võib ennustada, et see näitaja kasvab). Teiseks, asutusel endal peab olema suutlikkus väljastada kõrgeima (QeS) või mõne teise sobiva taseme allkirju, mida teised riigid murevabalt aktsepteeriksid.

Seega – kui Sinu firma või asutuse infosüsteem miskipärast pole ikka veel nüüdisaegsemale allkirjavormingule üle läinud, siis tuleks seda nüüd teha. Euroopaga ühildumisel on nüansse ka vormingul, millega allkirjastamise hetk allkirja sisse pisetakse (TM vs TS).

Nagu ütleb Mark Erlich oma juhendis: “Sõltumata uutest ja vanadest standarditest on ülimalt oluline, et infosüsteemid ja e-teenused, kus kasutatakse digitaalallkirjastamist, võtaksid ajatempli teenuse kasutusele esimesel võimalusel. Ainult nii saame garanteeritult tagada, et meie digitaalallkirjad on ka teistes riikides kasutusel olevates lahendustes verifitseeritavad.”

Mäletatavasti tuleb selleks integreerida oma infosüsteemidega uus teek – DigiDoc4J – sest varemalt kasutatud JDigiDoc-teek ei pruugi eIDASe nõudeid rahuldada.

Ning loomulikult tuleks töötajaid koolitada, et need orienteeruksid Euroopa rikkalikus allkirjavalikus.

Sagedamini esitatavad küsimused

  • Kas infosüsteemil on valmisolek käsitleda isikuid, kellel puudub harjumuspärane isikukood?
  • Mida teeb asutus võõrapärase digitaalselt allkirjastatud dokumendiga?
  • Kas e-teenuse protsessi jaoks on oluline, et allkirja tase vastaks omakäelisele allkirjale?
  • Kas ja mis kujul on vaja säilitada (arhiveerida) võõrapärast digitaalselt allkirjastatud dokumenti?

Muide, eIDAS reguleerib üksnes avalikku sektorit. Kui firma avaliku sektoriga mingeidki asju ei aja, siis tohib endiselt allkirjastada ka krihvliga.

Eraisik

Tädi Maali ei pea kuigivõrd muretsema. Kui tema operatsioonisüsteem on kaasaegne (siin on loetelu toetatutest) ning DigiDoc3 programm pärineb uusimast ID-kaardi tarkvaraväljalaskest, siis asjad lihtsalt töötavad.

Roosilise tulevikuperspektiivina kangastub eraisikule võimalus oma ID-kaardiga kõikvõimalikesse Euroopa portaalidesse sisse logida, kuid olgem realistid, see päris päevapealt ei juhtu.

RIA aastakonverentsi II sessiooni otseblogi

Jätkub Riigi Infosüsteemi Ameti aastakonverentsi II sessiooni otseblogi.

Teise sessiooni esimese ettekande teeb RIA infrastruktuuri osakonna juhataja Tarmo Hanga, kes räägib riigi andmesidevõrgu teemal aastal 2018.

“See on müüt, et ASO-l on “enda” üle-eestilist (optika) magistraalvõrku. Kasutame olemasolevat optikat ning oma optika pannakse ainult sinna, kus on see hädatarvilik või vajalik turvakaalutlustel. Me ei tegele eg ahakka tegelema võrgus olevate pealisteenustega. ASO koosneb oma hallatavast seadmestikust, meil on oma haldustiim, tugev koostöö küberturbe poolega,” sõnas Hanga.

“Täna pakume andmeside- ja internetiteenust riigiasutustele ja kohalikele omavalitsustele. Lisaks magistraalvõrgule haldab RIA klientide juurdepääsuühendusi. Magistraalvõrku rahastatakse riigieelarve vahenditest, juurdepääsu-ühenduste eest maksab iga klient ise,” teatas Hanga.

On toimunud teenuste koondumised. Võrguüksusi haldavad ASO, EENet, RIKS, SMIT, KJ jt. Riigi nn IT-majadeks on SMIT, RIK, RMIT, KEMIT jt. Neist igaüks teeb erineva suunitlusega asju.

KovNeti projekti arendatakse kuna pilveteenused on tulekul. “Teenuste toimimiseks on hädatarvilik kiire ja turvaline arvutivõrk, mille üle oleks olemas kontroll. Kiire võrguühendus taskukohase hinnaga on samavõrra tarvilik nii ääremaa väikekontoris, valla koolimajas kui ka suures linnas,” täpsustas Hanga.

Aastaks 2018 on eesmärk liikuda ühtse ja tervikliku riigivõrgu suunas. “Tuleb vähendada riigi IS käideldavuse ja turvalisuse riske. Tagada läbivalt turvaseire võimekus kogu riigivõrgus. Tagada kriisiolukorras kontroll toimuva üle ja riigi infosüsteemi võtmekomponentide toimimine”.

Selle tagamiseks tegeleb ASO võrgukihiga ja tagab riigivõrgus andmeside toimimise 24/7.

BB5A7625

Rahvusvahelise X-tee seisu üle praegu ning tulevikus arutleb RIA valdkonnajuht Heiko Vainsalu.

“Kuuldused X-tee surmasid hakkasid levima 2014. aastal. Kui vaadata X-tee päringuid, siis sai ta alles siis endale tuule sappa,” teatas Vainsalu.

Vainsalu tunnistab, et X-tee ökosüsteem vajab korraldamist. Aastaks 2018. tuleb platvorm teha kvaliteetsemaks, nii tehniliselt kui organisatoorselt. Et kodanike liikudes liiguksid kaasa ka nende andmed on vaja riikideülest X-teed.

BB5A7655

Eesti elektroonilise identiteedi kohta 2018. aastal jagas oma arvamusi, RIA valdkonnajuht Vallo Veinthal.

RIA ambitsioon eID osas on jätkusuutliku arengu tagamine ning võimekus pidevalt ja agiilselt arendades käia kaasas keskkonna pidevate muutustega.

“2016. aastal võtab Eesti kasutusele tugevama krüptograafia. ID-kaardi kiibirakendus liigub RIA haldusesse. Käimas on ID-kaardi kauguuendamine,” teatas Veinthal.

eID jätkusuutlik areng eeldab, et eID vahendid peavad olema kasutatavad seal, kus on inimesed: veeb, nutiseadmed ja tahvlid.

“RIA pooldab kõiki kõrge turvalisusega vahendeid, võtame kasutusele tugevama krüptograafia. Toetame uute küpsete lahenduste kasutuselevõtmist. Arendus peaks käima startupilikult ehk kiirelt,” sõnas Veinthal.

Tarkvara arendusmudelis on eelisjärjekorras riigi huvid, kuid oodatakse ka turuosaliste sisukaid ettepanekuid ja lahendusi.

“2018. aastaks muutub see, et eIDAS määruse nõude kohaselt saavad eID vahendid piiriülesteks ehk Eesti ID-kaardiga saab sisse Euroopa e-teenustesse. Muutub ka see, et hakkame andma välja ajatemplipõhiseid digiallkirju. 2018. aastaks on meil rohkem e-residente ja nendega seotud teenuste arv kasvab. Järgmisele ID-kaardi põlvkonnale tahame RIA poolt arendada ja tagada NFC toe. Kas ja kuidas see realiseerub on veel lahtine,” seletas Veinthal.

BB5A7805

Küberturvalisuse tagamise üle arutles RIA riskijuht Martin Indrek Miller.

“2015. aastal oli Eestis 150 krüptolunavara juhtumit, 275 näotustamise juhtumit, 55 teenusetõkestusrünnet ja kokku käsitleti 5809 juhtumit. 2018. aastaks on eesmärk olla küberjulgeoleku valdkonnas maailma parimad. 98% elutähtsatest teenustest on sõltuvuses IT-st,” teatas Miller.

Riigi Infosüsteemi Ameti aastakonverentsi II sessioon on läbi saanud.

Konverents jätkub diskussiooniga “Usaldusest inimese ja (digi)riigi vahel“, milles osalevad õiguskantsler Ülle Madise, meediaekspert Daniel Vaarik, riigi IT-arhitekt Andres Kütt ning presidendi nõunik Epp Maaten.
BB5A7854
Fotod: Annika Haas