Monthly Archives: December 2016

Kauguuendamise kolmas laine

aktiivseid-kaarte

Allikas: id.ee

Riigi Infosüsteemi Ameti analüütik Anto Veldre kirjutab 2017. aasta alguses käivituvast ID-kaartide kauguuendamise kolmandast lainest.

Jaanuaris pääseb paisu tagant valla ID-kaardi sertifikaatide uuendamise kolmas laine. Seekordne sertifikaadiuuendus on suurim ning puudutab enam kui 700 000 ID-kaardi ja digi-ID omanikku, teisisõnu, tegemist on ulatusliku ning enamikele Eesti elanikele olulise sündmusega.

Sedavõrd suured numbrid tulevad asjaolust, et paljudel inimestel on mitu identiteedikandjat – ID-kaarti kantakse kaasas ja pruugitakse eraeluliste asjade ajamiseks, digi-ID on sageli kasutusel asutustes ja firmades digitaalse töövoo tagamiseks. (NB! m-ID jääb väljapoole käesoleva kirjutise raame).

Eesti on seni ainus riik maailmas, kus elanikud saavad isikusertifikaate uuendada üle Interneti. See on kooskõlas meie digitaalse eluviisiga, arusaamaga, et pigem olgu vähem füüsilisi kontoreid, kuid mugavamad e-teenused.

ID-kaardi online uuendamise võimalus avati märtsis 2016. Esimeses ja teises laines seni oli “uutmine” piiratud vaid standardile mittevastavate sertifikaatidega. Nüüd tehakse uuendamine lahti kõigile ülejäänutele – ajendiks on üleminek tugevamale krüptograafiale. Tahame jõuda olukorrani, kus räsiprotokolli SHA-1 oleks igapäevasest kasutusest välja viidud.

Miks on uuendamine vajalik? Oleme varemalt kirjutanud sellest, et tehnoloogia areng maailmas üha kiireneb ning viie aasta jooksul, mis keskmine füüsiline dokument kehtib, võib infoturbes vägagi palju muutuda. Võimalikud turvavead, muutunud standardid, vananevad krüptograafilised algoritmid, lisaks ökosüsteemi järsult muutvad ootamatud otsused suurkorporatsioonidelt. Ei imestaks, kui varsti hakkaksime isikusertifikaate vahetama suisa igal aastal… riskihalduse eesmärgil või lihtsalt “igaks juhuks”.

RIA blogis on mitmeid teemassepuutuvaid artikleid: räsidest ning räsimisest, ID-kaardi sisemusest, uuendamise esimesest ja teisest lainest.

Ettevalmistused

Kuidas vahetamine välja näeb? Isikusertifikaatide vahetamiseks tasub esmalt veenduda, et ID-kaardi tarkvara Sinu arvutis on uusim. Mine aadressile installer.id.ee ning installi oma arvutisse uusim ID-kaardi tarkvara. Muide, tänapäeval ongi mõtet kõiki programme pidevalt uuendada. Paikasid ja parandusi tuleb peale pidevalt, vahel suisa säärase kiirusega, et versiooninumbritest võib tekkida peavalu.

haldusvahend2

Allikas: kuvatõmmis

Uuendamise kulg

Oleks kasulik enne uuendama asumist läbi lugeda abitekst, mille põhjal lahendada uuendamisel ettejuhtuvaid olukordi. Mõnel puhul (väsimus, haigus, eelseisev reis) peaks uuendamise pigem edasi lükkama.

Uuendamisega tuleks alustada alles pärast abiteksti läbilugemist ning pärast ID-kaardi tarkvara uusima versiooni paigaldamist. Selleks tuleb kaart lugejasse pista ning käivitada “ID-kaardi haldusvahend”. Uuendamise nupp on vajutatav nende kahe eelduse korral:

  1. tegu on uuendamissuutelise kaardiga
  2. kaardil on uuendamist vajavad sertifikaadid

Uuendamise konkreetne kulg pisut oleneb konkreetse kaardi versioonist – kas tegemist on vanemat (kuni 2015 lõpp) või uuemat (alates 2015 lõpp) tüüpi kaardiga. Vanemat tüüpi kaardi korral tuleks õppevideot vaadata siit ning sertifikaate õnnestub vahetada ilma PIN-koode muutmata.

Uuematel kaartidel (toodetud 2015 lõpus ja hiljem) on turvanõuded nii kõrged, et ka sertifikaatide vahetamine osutub mõnevõrra keerulisemaks – kasutajale tähendab see eelkõige paberi ja pastaka leidmist uute PIN-koodide üleskirjutamiseks. Uuemate kaartide uuendamise mõnevõrra keerulisemat õppevideot saab kaeda siin.

Olenevalt arvutivõrgu kvaliteedist ja kuu faasist võib juhtuda, et uuendamine läheb tuksi. Ikka juhtub. Sellisel juhul tuleb kaart PPA teeninduspunktis ette näidata ning paluda garantiikorras asendada. Mistõttu – kui homme on ees kiireloomuline välismaareis, siis kindlasti ei soovita selle eelõhtul kaarti kiirkorras uuendama hakata.

Viivitada ei tasu

Tahaksin hoiatada veel ühe viperuse eest, mis uuendajal võib ette tulla. Nimelt, ajalõpud (timeout‘id) on süsteemis seatud nõnda, et kui konkreetse kaardi puhul on “Uuenda” nupule ära vajutatud, siis hakkab kell tiksuma ning jääb tiksuma ka siis, kui uuendust mingil põhjusel lõpuni ei viidud. Uuendamine on seega võimalik vaid kolmekümne päeva jooksul pärast esmast nupuvajutust ning kui see aeg täis tiksub, siis ei aita konkreetse kaardi puhul enam miski ega keski peale PPA teeninduse.

Miks nii? Tegemist on turvameetmega, tagamaks, et kaardi uuendamine mingi mõistliku ajaperioodi vältel ära sooritatakse, selmet oodata Godot’ saabumist või hetke, mil Päike muutub supernoovaks. Küll aga võib see turvameede segadusse ajada kiire eluviisiga inimesi, kel jagub oma ID-kaardi paitamiseks mahti täpselt üks kord kuus. Esimesel kuul vajutatakse nuppu ja jäetakse uuendus pooleli, järgmisel kuul aga selgub ootamatult, et nüüd enam uuendada ei saagi. Nii on, sellega tuleb leppida. Seega – kui “Uuenda” nupule on kord juba ära vajutatud, olgu siis uudishimust või muul põhjusel, siis peaks tähtsa tegevuse loetud päevade jooksul ikkagi ka lõpule viima.

Mis saab siis, kui kodanik kaardiuuendamist üldse ette ei võta („uuenda“ nupule ei vajuta)? Praegu ja kohe ei juhtugi midagi. Hetkel pole teada ühtki lõplikku kuupäeva, enne mida peaksid sertifikaadid kindlasti saama vahetatud. Kuid varem või hiljem see kuupäev tekib – millalgi tulevikus, kui riskihinnangud mingil põhjusel muutuvad (tüüpiliselt juhtub see pärast mõne eduka krüptograafia-alase uurimistöö avaldamist), siis võidakse SHA-1 põhiste isikusertifikaatide elektrooniline kasutus sulgeda suhteliselt ootamatult ja päevapealt. Ja säärases olukorras ei aita tõesti enam muu, kui uue kaardi tellimine (kulu + ootamatus).