Monthly Archives: January 2017

Nimekirjade nimekiri

Anto Veldre, analüütik

25. jaanuaril 2017 avalikustati järjekordne versioon ID-kaardi tarkvarast (17.01) ning alates 1. veebruarist hakkab see kasutajate arvutites automaatselt vanemaid versioone välja vahetama.

ID-kaardi tarkvara uueneb seekord kahes aspektis: seoses Digidoc programmiga ja tulenevalt veebilehitseja Firefoxi moderniseerimislainest.

Uus versioon ID-kaardi tarkvarast ravib kaht olulist muudatust väliskeskkonnas:

Esiteks leidis aset DigiDoc3 programmi puudutav muudatus usaldusahelas. Mullu 22. novembril kinnitas Vabariigi Valitsus uue võtme, millega edaspidi allkirjastatakse usaldusväärsete partnerite nimekiri (Trusted List, TL). Kui küsite, miks oli vaja uut võtit, siis eelmine hakkab aeguma: sertifikaatidel saab parim enne läbi karmilt – sekundipealt.

22. veebruaril 2017 saabub see hetk, kus vanem DigiDoci versioon ei oska enam välismaailmas orienteeruda, sest tema sisse kirjutatud usaldusankur aegub. Dokumente allkirjastada ei saa ja sissetulnud dokumentidel allkirju kontrollida samuti mitte. Juhul kui ekraanile ilmub selline teade:

Allikas: kuvatõmmis

… siis edasi aitab vaid uue, targema DigiDoc3 paigaldamine. Õnneks on siin maailmas miski ka muutumatu. Nimelt saab ID-kaardi uut tarkvara alla laadida endisest kohast: installer.id.ee ja ootamatuste vältimiseks tulekski tarkvara uuendada pigem varakult kui sundolukorda sattudes.

Teiseks, Mozilla Firefox on otsustanud lõpule viia oma pikaleveninud pluginarevolutsiooni, millest oleme varemgi kirjutanud. NP-API tugi kaob varsti lõplikult ka Firefoxist.

Üleminekuperioodil sisaldab Firefox kolmetriibumenüüs lisade all tervelt kahte laiendust (extension) nimega “Token Signing”. Üks neist, senine, tagab ID-kaardi töövõime netis allkirjastamisel vana NP-API meetodi kohaselt ning teeb seda kuni üleminekupäevani märtsis-aprillis.

Teine laiendus tagab ID-kaardi ja Firefoxi koostöös allkirjastamisvõime pärast seda kuupäeva. Juhul kui Sinu arvutis eksisteerivad mõlemad Firefoxi laiendused (ja satuvad nad sinna ju peamiselt ID-kaardi tarkvara toel), siis toimub üleminek Sinu jaoks sujuvalt.

Kui aga Sinu Firefoxil ei ole laienduste menüüs kaht allkirjastamisega seotud laiendust – üht uue, teist vana standardi jaoks – siis pärast X-päeva märtsis/aprillis ei saa enam Firefoxiga netis allkirju anda ega pangaülekandeid allkirjastada. Siis aitab ID-kaardi tarkvara uuem versioon.

Miks üldse tarkvara uuendada?

Põhjus lihtne – pilveajastu tarkvara pole ammu enam iseseisev tükike Sinu arvutis, vaid vajab toimimiseks osiseid ja tükikesi välismaailmast.

Sõltuvused:

  1. Sõltuvused võivad tuleneda sertifikaatidest – tarkvara peab olema kindel oma volitustes ja suutma tuvastada partnereid ja komponente, millega ta suhtleb. Selleks tarvitatakse sertifikaate ja krüptograafilisi võtmeid, ent sertifikaatidel on omadus parim enne möödumisel päevapealt aeguda.
  2. Mõnel juhul on kasutusel ettekokkulepitud serverid. Need paraku ei toimi igavesti, vaid üksnes nn garantiiperioodi vältel (nt täna ei pruugi Windows XP seerianumbri kontrollimise server enam olla kättesaadav).
  3. Mõnikord uuendatakse hoopis vorminguid ja protokolle ehk kokkuleppeid selle kohta, kuidas programmid ja arvutid omavahel suhtlevad (vt varasem blogikirje TL uuendamisest).

Kokkuvõttes – pisutki vanem tarkvara ei pruugi uusi nippe ja muutusi tunda ning jääb vahepeal muutunud välismaailmas hätta.

Tänapäeva keerulises IT-maailmas on uuendamine seega pidev ja vältimatu. Kui rongist maha jääd, siis värk ei tööta (kuniks tarkvara uuendad). Eriti just firmad ja riigiasutused võiksid IT-muudatusi planeerida ette varakult, et tööprotsess ootamatult ei seiskuks.

Teenusepakkujatele

Mozilla Firefoxi ülalkirjeldatud muudatus puudutab ka teenusepakkujaid. Nemad peavad viima oma teenuse märtsiks/aprilliks vastavusse Firefoxi uue standardiga või muidu kliendid selles e-teenuses enam allkirjastada ei saa.

Õnneks on tegemist suhteliselt kerge muudatusega, mis väga mahukat testimist ei vaja. Teenusepakkuja peab oma e-teenuses uuendama hwcrypto.js utiliidi ja seda antakse täiesti tasuta siit.

Häkkerisektsioon – killukesi Digidoc3 siseelust

Lihtkasutaja ei pea seda peatükki lugema. Kuid on ju veel ka inimesi, kes tahavad kindlasti teada, mis on karul kõhus.

Digidoc3 programm on teatavasti ette nähtud dokumentidele allkirjade andmiseks ning allkirjakontrolliks võõrastel, sissetulnud dokumentidel. Hea öelda – allkirju kontrollida – tehniliselt ju üks bitijoru kõik. Ent allkirja puhul on vaja teada, kelle allkirju üldse usaldada. Ja see pole üldse enam tehniline asi, vaid peen juriidiline ja organisatoorne värk. Keda usaldada? Kelle toodetud allkirju usaldada? Kelle toodetud sertifikaatidega väljastatud allkirju usaldada?

Sõnaga, kui Digidoc3 käima läheb, siis selgitab ta välja, missuguses juriidilises ümbruses ta täna tegutseb. Ta kontrollib oma kõhust (käššist) järele, kas seal ehk leidub mõni mitteaegunud usaldusnimekiri (TL – trusted list). Kui kohalikku koopiat pole või see on iganenum kui nt 3 v 7 päeva, minnakse ja tuuakse etteantud aadressilt uus TL.

Usaldusnimekirjast paistab, kellel üldse on õigus kehtivaid eID sertifikaate väljastada, mis ühtlasi tähendab – millisest ahelast pärit isikusertifikaadid tunnistada allkirja andmisel ausateks ja autentseteks. Kui kontroll puuduks, kõlbaks ju iga õige pikkusega bitijada!

Ent sellega paikvaatlus ei piirdu. DigiDoc3 peab nüüd otsustama, kas uus TL on ka ise aus ja autentne – et keegi ei saaks valenimekirja ette sokutada. Sel eesmärgil on TL allkirjastatud eespool käsitletud ametliku võtmega. Miks oli seekordset ülemineku-uuendust vaja? Sest DigiDoc peab ju ometi kusagilt teada saama, et Vabariigi Valitsus on vahepeal kohaliku Eesti TLi allkirjastamiseks uue võtme kehtestanud.

Ühtlasi tirib DigiDoc3 alla ka mõne naaberriigi usaldusnimekirjad (TL) – eks ikka nende, kelle digiallkirju oleme harjunud kontrollima.

Allikas: kuvatõmmis

Usaldusnimekirjade allalaadimise teeb keeruliseks ja aeganõudvaks asjaolu, et lisaks kõigile praegu kehtivatele sertifikaatidele, mille alt hetkel isikusertifikaate väljastatakse, tuleb kaasa lohistada ka kõigi usaldusteenuse pakkujate kogu eelnevat ajalugu. Kes kunagi üldse on missuguseid sertifikaate väljastanud, mis turvatasemel, mis kehtivusajaga ja mille väljastamiseks… Õnneks on meil teenusepakkujaid seni peaasjalikult üks: SK.

Ent siitmaalt asi alles läheb huvitavaks. Nagu ühes varasemas blogikirjes mainitud, Eesti ei otsusta enam üksi, keda usaldada, vaid tuleb kiigata Euroopa vastavasse nimekirja hüüdnimega LOTL (List of the Trusted Lists). Kena küll, et Eesti valitsus otsustas ühe aeguva võtme (ja sellega kaasneva sertifikaadi) 23. novembri määrusega välja vahetada! Ent kuidagi peab see info jõudma ka ELi usaldusnimekirja (EU LOTL). Siis saavad kolm EU ametnikku allkirjastada oma võtmetega järgmise versiooni EU LOTList ning selle avalikult publitseerida.

Ja siinkohal saab ring täis. Varem uuendati EU LOTLi sisu nii harva, et automaatuuenduste peale ei pidanud mõtlema. Kuid digiasi areneb ELis gepardikiirusel. Viimasel ajal kaldub sinnapoole, et EU LOTL pakub uusversioone igal nädalal – taas lisandub mõni Itaalia usaldusteenus. Enamik neist muudatustest pole meid kuigivõrd puudutanud, ent Eesti uue allkirjavõtme listimisest ELi nimekirjas oleme ise eluliselt huvitatud. Või mille abi muidu saaks DigiDoc3 kontrollida Eesti usaldusnimekirja ehtsust? Kui aga tahame edaspidi kõigi välismaiste allkirjadega kursis olla – ning me vist tahame – siis tuleb vältimatult luua uuendusmehhanism ka EU LOTLi uuendamiseks reaalajas (nagu toimub EE TL puhul). Seda on plaanis teha ID-tarkvara järgmise reliisiga umbes aprillis või mais.

Kas märkasite, kui keeruliseks on maailm digiajastul muutunud? Enne kui pisike DigiDoc3 programm üldse saab tööle hakata, kogub see megabaitide kaupa teadmisi selle kohta, milliseid allkirju tohib usaldada, mis tasemel ja mis kehtivusega; lisaks laadib Interneti valitud kohtadest alla terve hulga hargmaiseid sertifikaadinimekirju.

Sestap muretsegem endale kiire netiühendus ning andkem DigiDoc3 programmile olukorrapildi allatirimiseks piisavalt aega.

PS. ID-tarkvara versioonide numeratsioon on sellest aastast muutunud. Kasutajate elu ja kasutajatoe (1777, abi@id.ee) töö hõlbustamiseks tähistavad ID-tarkvara versioone nüüdsest kalendriga seotud numbrid (aasta+kuu).

ID-kaardi tarkvara paigaldamine (eellugu)

Autor: Anto Veldre, analüütik

Aeg-ajalt kuuldub sotsiaalvõrgustikes, blogisabades ja kommentaariumites hüüatusi stiilis, et ID-kaart “ei tööta”. Tehniku vaatevinklist kõlab säärane avaldus pikantselt, sest keeruline süsteem teatavasti ei lähe kunagi rikki täies ulatuses, jama põhjustab ikka mingi üks konkreetne detail. Võrdluses autoga: ei juhtu ju sedasi, et kogu auto korraga lakkaks töötamast – ikka leidub mõni konkreetsem põhjus: tuksis on kas klaasipuhastaja, pidurid, rool või vasak suunatuli. Mehhaaniku kuldreegli kohaselt tuleb see rikkis detail (või halvemal juhul kaks) üles leida ning vahetada.

Riigi Infosüsteemi Amet (ID-kaardi valdkonna arendaja ning suunajana) on otseselt huvitatud ID-kaardi tarkvara kohta käivast tagasisidest. Kuidas teha ID-kaardi kasutamine mugavaks ja sujuvaks? Kuidas tõsta kodanike rahuolu? Tõstmaks kasutuskogemuse taset (khhm, veelgi), võtsin ette ID-kaardi tarkvara ja installeerimisprotseduurid ning hindasin seda kõike oma kurja ning kriitilise silmaga. Kogetu tulemusel valmis pisut teistmoodi installeerimisjuhend, mis ongi nüüd teie ees.

Kokku on sel kirjutisel viis osa: teooria (siinses postituses), praktika (selgitab ID-kaardi tarkvara installimise imetabaseid nüansse) ning kolm konkreetset jupikest – üks iga toetatud operatsioonisüsteemi (opsüsteemi) kohta: Microsoft, Linux ja MacOS X.

Selles osas selgitan ümbritseva maailma mõningaid seaduspärasusi, andmaks aimu, miks mõned ID-kaardi ökosüsteemiga seotud valikud on just sellised nagu need parajasti on, ning hindamaks reserve tarkvara kasutatavuse tõstmisel. Selle osa võiks kokku võtta nii: milline osa süüst kelle kapsaaeda kuulub.

Autor: Anto Veldre

Tase: algaja

Abiliinile pöördumiste statistika (miks minu ID-kaart “ei tööta”?) paljastab mõne lausa uskumatu stsenaariumi. Kaardi valepidi lugejasse pistmine on üks esimesi ja tähtsamaid põhjusi, miks ID-kaart „ei tööta“. Mäletan vanu ID-kaarte (kuni 2010-01-01), millel kiip ja näopilt paiknesid samal küljel. Nendega oli asi lihtne – kaart tuli panna lugejasse inimese moodi: nägu ülespidi, silmsidet säilitades. Täna on asi keerulisem – kaart tuleb lugejasse pista Euroopa moodi: kiip ees, kuid nägu põranda poole. See ebaintuitiivne käsitsusviis toob paraku kaasa segadust ja solvumistki. Eks ole ju piinlik, kui abiliin küsib: kas teil on kaart ikka õigetpidi sees?!

Peamise kolme põhjuse hulgas, miks ID-kaart “ei tööta”, leidub põhjus “isik ei tea oma PIN-koode”. Olgem ausad, ID-kaart turvatootena mitte üksnes ei saa ilma (õigete) PIN-koodideta töötada, vaid ei tohigi. Iseenesest kurb stsenaarium, sest abiliinil tagavarakoode anda pole ja sestap süü kui selline jääb plastiku kanda…

Allikas: kuvatõmmis

Pidisuse ja PIN-koodi probleemid tunduvad sürrealistlike ja halenaljakatena, ent tegu on tegelike muredega, millele kulub suur osa abiliini jõudlusest.

Veel üks huvitav probleem, millega algaja põrkub, on ajalõpp (timeout). Kui molutada, näiteks teha sisselogimisprotseduurist ekraanipilte (nagu mina) või käia vahepeal sahtlist PIN-koode otsimas (nagu vanaema), siis tiksuvad sekundid kiiresti aia taha ning kaardikasutustoiming võib ebaõnnestuda.

Sestap moraal: kuniks PIN-koodid pole käes või peas, ära autentimis- ja allkirjastamistoimingut üldse üritagi, kohmerdamiseks ei jäeta aega.

Tase: edasijõudnu

Minu ID-kaart “ei tööta” endiselt – no miks ometi?! Sageli on põhjuseks aegunud tarkvara. Varem arvati ühiskonnas, et on igaühe oma asi, kui vana tarkvara ta pruugib. Tänaseks muutub reaalsus nii kiiresti, et vaid paar viimast versiooni mistahes tarkvarast töötavad korralikult. Kes ei usu, proovigu paigaldada operatsioonisüsteemi Windows NT 3.52 ja vaadaku, missuguste probleemidega ta ürituse käigus kokku puutub.

Mingit hulka inimesi (tänase seisuga u 2% kasutajatest) pahandab, kui nende muldvana Windows XP või Vista enam ID-kaardiga koostööd ei tee. Ometi on põhjus lihtne – tootja (antud juhul Microsoft) on vanad operatsioonisüsteemid maha kandnud, ei väljasta neile enam turvapaiku ega paranda vigu. Mistõttu pole riigil mõistlik ka ID-kaardi tarkvara uuematesse versioonidesse vanakraamituge lisada (pole otstarbekas ID-kaardiga “turvata” eset, mis pole enam ammu turvaline ega muutu selliseks ka ID-kaardi toel). Linuxi maailmas on olukord väga sarnane:

Aegunud tarkvara. Allikas: kuvatõmmis

Ühtlasi pole mõtet pruukida mõne aasta tagust ID-kaardi tarkvara. Digisfääri areng on olnud sedavõrd kiire, et ID-tarkvara vanemad versioonid ei suuda enam muutunud reaalsusega suhelda.

Põhjusi, miks ID-kaardi tarkvara vanemad versioonid enam ei päde, on päris mitu:

  • rahaline otstarbekus – kõiki maailma operatsioonisüsteeme ei jaksa Eesti maksumaksja oma rahakotist ülal pidada. Tuleb teha valik ja toetada vaid seda, mida enim kasutatakse.
  • standardite ning vormingute muutus – mõne aasta jooksul toimunud muutused:
    • kasutusele on tulnud SHA-2 räsiprotokolli pruukivad ID-kaardid,
    • kasutusele on tulnud Euroopaga sobiv digiallkirja vorming ASiC-E, käibelt on välja viidud vana DDOC-vorming;
    • vastavalt Euroopa nõuetele on täiesti muutunud usaldusankru süsteem (koht, kust Trusted List ehk TL saadakse);
    • TL faili sisemine vorming on paari viimase versiooni käigus uuenenud nii, et vanad programmid ei suuda seda mõtestada.
  • ID-kaardil paiknevate sertifikaatide uuendamise võime tekkis tarkvarasse suhteliselt hiljuti.

Kokkuvõttes: Uuenda! Võiks kujuneda heaks rahvakombeks, et kõigepealt paigaldatakse ID-kaardi tarkvarast kõige viimane versioon. Selle saab lehelt installer.id.ee. Ja alles siis häälitakse teemal töötab / ei tööta.

Tase: ekspert

No aga minu ID-kaart “ei tööta” endiselt. Nüüd hakkame jõudma tõeliste probleemideni. Hakkame rääkima infotehnoloogia arengu ajaloost, et maha panna selge märk, kus me täna asume.

Kui Tim Berners-Lee internetisirviku (brauseri) leiutas, siis alul peeti seda eset mänguasjaks. Pisut hiljem hakati sirvikut aga kasutama absoluutselt kõigeks, eriti panganduses. Eesti oli turvalise internetipanganduse üks pioneere. Põhjusel, et meil anti käiku toimiv ID-kaart, pääsesime aastatel 2004–2005 ikka väga paljudest internetipanganduse ja identiteedivarguste lastehaigustest, vt teadustöö aastast 2012.

Välismaal aga muudkui varastati sirviku abil, häkkerid treisid koledaid viirusi sirviku küüru otsa. Kui lõpuks aastatel 2014–2015 avastati hirmsad turvaaugud seni turvaliseks peetud https protokolli osistest, siis oligi revolutsioon käes. Maailmale sai lõpuks selgeks, et ülikasulik ese nimega sirvik/brauser on ühtlasi väga ohtlik ese, mille vanaviisi edasi pruukimine võib kasutaja rahast ilma jätta.

Allikas: heartbleed.com

(Eraisiku-pool minus küsib nüüd minu riigitöötaja-poolelt: mida hekki, kas te kogu selle aja tarvitasitegi Eesti ID-kaardi jaoks seda jõle ebaturvalist tehnoloogiat? 😉 Tegelikult sobisid brauseri küüru peal paiknevad BHO ja muud pluginad omasse aega päris kenasti ja olid tollal ka piisavalt turvalised… Kuniks ümbrus muutus: Interneti ja sirvikute kasutamine kasvas totaalseks ning internetikuritegevus sai tuule tiibadesse. Olukord muutus siis, kui netti asusid ööpäevaringselt pruukima nii vanaemad kui lasteaialapsed. Muutuse põhjuseks olid tehnoloogiavead koostoimes kasutajate üha langeva kvaliteediga. Et infoühiskond kokku ei kukuks, tuli hakata kasutajat kaitsma tema enda käitumislolluste eest.)

Allikas: Australian Institute of Criminology, http://www.aic.gov.au/media_library/conferences/other/smith_russell/2010-09-nfa.pdf

Ja siis see juhtuski – sirvikutootjad hakkasid brauserite siseehitust pingule kruvima (turvalisus vs mugavus). Selleks, et Eesti ID-kaart saaks sirviku otsas edasi elada ja transaktsioone allkirjastada, pidid ID-kaardi tarkvara loojad sisenema ebamugavustsooni. Endiselt vajatakse sirviku otsa mooduleid / pluginaid / abilisi, kuid oh häda, sirvikutootjad on plugina paigaldamise muutnud kole keeruliseks – nõuavad digisigneerimist jms. Miks? No ikka selleks, et lollkasutaja kogemata OK-nuppu ei litsuks ega “uskumatult hea pakkumise” peale oma sirvikule ise pahavara selga ei installeeriks.

Vahepeal arenesid edasi ka pluginate standardid. Mistõttu RIA valmistas uue jubina nimega “(Firefox) Token Signing”. Et allkirjastamine brauseris vunkaks, tuleb jubin installeerida ning tema kasutamine lubada – seda sirvikule tutvustada.

Pilt Chrome’i sirvikulaienduste (extensions) menüüst. Allikas: kuvatõmmis

Pole vahet, kas lõppkasutajale meeldib laienduste käsitsi näperdamine või ei meeldi. Ümbritsev reaalsus on selline, et netis kasutamisel vajalik ID-kaardi tarkvara vunkab vaid brauseri küüru otsas ning teeb seda siis ja üksnes siis, kui inimene ise selle sinna vabatahtlikult paigaldab ja brauserile uut abilist tutvustab. Kui Sa tahad ekspert olla, siis tuleb sellest pisitakistusest mööda saada! Suurim keerukus, millega kasutaja (tädi Maali) täna ID-tarkvara installeerimisel põrkub, on just vajadus sirviku soolikates sorida ja laiendusi aktiivseks kruttida.

Kokkuvõttes – oleneb sirvikust… autentimine hakkab tööle enamasti lambist (pärast paigaldust, v.a Linux), ent allkirjastamine sageli mitte (ja see on paratamatus, mille kõrvaldamine nõuabki käsitööd). Et sirvikus allkirjastamine töötaks (näiteks netipangas), tuleb see isiklikult, omaenda valge käega a) installeerida ja b) kasutamiseks lubada. Käsitöö ideele vastujorisemine ei aita.

Segaduse suurendamiseks käituvad eri sirvikud erinevate opsüsteemide all kõik pisut erinevalt. Kõige valutum on ID-kaardi tarkvara install tutika Windows 7 selga – installer suudab kolmele brauserile kõik vajalikud moodulid ise kaela tõmmata – kasutajat üksnes informeeritakse. Kõige keerulisem on olukord Linuxi all, kus versioonist olenevalt võib juhtuda, et viimne kui üks plugin vajab käsitsi lubamist (ja mõnes õnnetus distributsioonis (distros) polegi see üldse võimalik):

Pilt Ubuntu mittetoetatud versioonist 15.04, kus pluginal allkiri puudu. Allikas: kuvatõmmis

***

Selle kirjatüki eesmärk oli anda aimu, et üldsegi mitte kõik ID-kaardi „mittetöötamise“ põhjused ja ilmingud ei ole Eesti riigi ega RIA süü. Palju muresid tekib kasutaja enda käitumisest ja teine osa sirvikutootjate tootemudeli muutustest, mida meie ID-kaardi ökosüsteem ennustada ega juhtida ei suuda, seega saame vaid kohanduda.

Kirjatüki järgmises osas tuleb juttu eri operatsioonisüsteemidest ja sirvikutest ning esitame ID-kaardi universaalse installeerimisjuhendi ühelainsal diagrammil.

ID-kaardi tarkvara paigaldamisest

Autor: Anto Veldre, analüütik

Viis logo: Internet Explorer, Chrome, Firefox, Edge, Safari

Viie veebilehitseja logod, allikas: www.id.ee

Sirvikutest

ID-kaardiga koosvõimelisi sirvikuid (teise nimega brausereid) on neli, lisaks tuleb mainida üht (s)irvikut, mis vaatamata kõrgetele ootustele endiselt ID-kaardiga koostööd ei tee.

Firefox – Väga levinud ja suhteliselt vana vabavaraline sirvik. Kõlbab kasutada kõigil platvormidel. Võrreldes teiste peavoolusirvikutega on ehk kõige kergekaalulisem (low footprint). Linuxi puhul on Firefoxi lihtsaim tööle saada. On teadaolevaid puudusi – nuhib pisut ülearu (kuniks ise ära ei keela) ja vahel kuritarvitab mälu (abiks about:memory), mistõttu puhutine restart abiks (jah, restart – Z-põlvkond, kes te permanentselt 50 sirvikuakent korraga lahti hoiate). ID-kaardi kasutamiseks on vaja häälestada kaks allkirjastamise lisamoodulit (võrreldes Chrome’i üheainsaga). Koopiaõiguslikel põhjustel kasutatakse ka nimesid Mozilla või suisa Icewiesel.

Chrome – Suhteliselt laia jalajäljega barokkbrauser. Mees nagu orkester – kõlbab kasutada kõigil platvormidel. Tarvitab väga palju mälu ja tal on komme kõvaketas märkmeid täis kirjutada. Varastab privaatinfot ja üritab kasutajat pidevalt sisselogitud olekusse meelitada (siis saab rohkem infot). Samas annab kasutajale üht-teist head vastu ka. Chrome ei pruugi sobida vanadesse aeglastese arvutitesse, sest tahab ise ja üksi saada suurusjärgus 1 GB mälu. Koopiaõiguslikel põhjustel kasutatakse Linuxi all nime Chromium.

Internet Explorer (IE) – Paljusid avalikke veebistandardeid sihilikult eirav vananenud ese. Saadaval üksnes Microsofti operatsioonisüsteemides. Käivitamisel näib kiire, tegelikult aga lihtsalt kaval – laadib end varakult mällu valmis. Sirviku küüru otsas elavate BHO moodulite turvalisuse üle võib ilkuda, aga Microsofti puhul kaitseb opsüsteem oma kasutajat muul moel. Positiivset: selle toote nurgad on ammu maha lihvitud, töötab stabiilselt, netis on saada arvukalt juhendeid ja abi.

Edge – tuttuus sirvik, esineb vaid Windows 10s. Vaatamata kõigile lubadustele ja lootustele pole ID-kaardi jaoks seni pruugitav. Häkkerid tegelikult oskavad autentimist tööle panna küll, kuid allkirjastamist mitte. Põhjus – Microsoft pole seni tekitanud konksu, kuhu allkirjastamise lisamoodul saaks kinnituda. Vähemasti on Edge nii armas, et peamised veebisaidid, millega ta hakkama ei saa, suunatakse ühe teatava nimekirja abil IE kätte töötlemiseks. Viis, kuidas Edge seda teeb, on sama armas:

Tekst: "You've stumbled upon some vintage web tech. This website runs on older technology and will only work in Internet Explorer." Ja nupp kirjaga "Open with Internet Expolrer."

Allikas: kuvatõmmis

Safari – Kuulsusrikkale ajaloole vaatamata on see sirvik täna aktuaalne vaid MacOS Xi all, kus see on integreeritud põhibrauseriks.

Kindlasti oled märganud, et sirvikute puhul on inimeste maitse totaalselt erinev. Nagu ka filmi- ja raamatueelistused – igaühel on oma lemmik ja ratsionaalset selgitust valikule sageli ei leidu. Paljud inimesed hoiavad oma elu turvadomeene sirvikukaupa lahus – ehk siis ühe sirvikuga ajavad tööasju, teisega eraasju. Kuivõrd tänapäeval läheb iga brauser arendusvigade või uuenduste tõttu perioodiliselt katki, on kasulik hoida installeerituna ning ajakohasena mitut brauserit.

Ehk on huvitav teada, et ID-kaardi seisukohast eksisteerib veel terve seltskond mittesirvikuid, näiteks Opera, millel moodulite tugi puudus sedavõrd pikalt, et arendajad minetasid selle vastu huvi.

Operatsioonisüsteemidest

Kolm logo: Windows, Apple, Linux

Allikas: http://www.newgrounds.com/bbs/topic/199254

Operatsioonisüsteem (OS, opsüsteem) on standardtarkvara, mis istub rauakasti ja ülejäänud laiatarbetarkvara vahel. Selle ülesanne on tühjale Golemile elu sisse puhuda. Tänapäeva mure: uusi turvaauke tuleb peale sellise kiirusega, et keegi peab neid pidevalt lappima. Maksulise tarkvara puhul on lappijaks tootja, vaba tarkvara puhul mõni vabaseltskond või rohe-idu-ettevõte. Tekib ilmne kulumure – kui kaua jaksame vanu operatsioonisüsteeme hingamisaparaadi all hoida?

ID-kaart pole toetatud sugugi mitte kõigil maailma operatsioonisüsteemidel, vaid üksnes neil, millele RIA on jaksanud toe tellida. Seejuures tuleb kogu aeg hoolega peale passida, et mitte raisata raha gerontoloogiale. Rusikareegel: ID-kaardi tarkvara on saadaval peamiselt neile operatsioonisüsteemidele, mida ka tootja ise veel aktiivselt toetab.

Täpne loetelu operatsioonisüsteemidest, mida ID-kaart toetab, on saadaval lehel id.ee.

Android ega iOS täna veel ID-kaarti ei toeta (ka m-ID jääb tänase teema serva taha), ent ehk ilmub see tugi millalgi tulevikus (nn MOPP projekti raames). Windows XP ja Vista kohta võib öelda, et nende parim enne on ammu läbi – neid ei toetatata põhjusel, et nad on aegunud.

Satiiriline kontrollküsimus: miks ometi küll keegi ei nõua ID-kaardi tuge MS DOS versioonile 3.3 ja PDP-11 miniarvutile?

Edulugu

Siis ikkagi – kui keeruline on oma lemmik-operatsioonisüsteemile ID-kaardi tuge installida? Ütleme ausalt, keerukus ja saavutatav tulem oleneb vägagi operatsioonisüsteemist.

Microsoft Windowsiga ID-kaardi kasutajaid leidub sedapalju, et enamik pisivigu on ammu välja silutud (vigade väljatulek teatavasti eeldab suurt kasutajahulka ja pidevat tagasisidet). Tädi Maali suutis oma testimisega riivata vaid üht viga ja seegi langes pigem iseehitatud arvuti kui Microsofti või RIA kapsaaeda.

Microsoft Windowsi puhul on tädi Maalil siiski huvitav ettepanek – panna ID-kaardi tarkvara peale juba arvutifirmas, müügieelse ettevalmistuse käigus.

MacOS X kasutajaid on Eestis suhteliselt vähe, küll aga on nad teadlikud, nõudlikud ja häälekad ning annavad märgatud hädadest valju kisaga teada. Paraku ei saabu juhuslike ja süsteemsete murede ravi Apple’i firmast sugugi ergult. MacOS Xi eri probleeme kiipkaartide käsitlemisel on oma blogis värvikalt kirjeldanud Ludovik Rousseau (eriti tasub lugeda aastate 2014/2015 artikleid – siis tekkisid Yosemite & El Capitan). RIA ja SK on kinnise arhitektuuriga süsteemi pisihädasid ravides üksjagu võimelnud, aga lõplikku (töö)kindlust pole tänagi.

Ubuntu Linuxi kasutajate elu on kõige keerulisem. Kuigi vahel unistatakse meil lootusrikkalt nn rahvaLinuxist (Estobuntu etc), selgitas tädi Maali vahetu testimise käigus üheselt välja, et lihtinimesele on Linuxi puhul jalutamiseks jäetud vaid üks ülikitsas rada – kõige viimane OS version koos ID-kaardi tarkvara kõige viimase versiooniga. Ehk läheb käima, aga ehk ei lähe ka.

Tädi Maali test

Kokkuvõte tädi Maali tehtud testimisest:

Kommentaarid tabelile:

  • Halliga on tähistatud kombinatsioonid, mida Tädi Maali ei testinud (kas ilmvõimatuse või ajapuuduse tõttu).
  • ID-kaardiga otse suhtlev tarkvara, s.o haldusvahend ja DigiDoc3, osutus väga töökindlaks igal platvormil. Korduva ning kuritahtliku vaevanägemise järel õnnestus ID-kaardi haldusvahend kurja pilgu abil pangestada vaid ühel Ubuntul ja ühel isevalmistatud Windows 7 aparaadil:

    Tekst: "The application ID-card Utility has closed unexpectedly."

    Allikas: kuvatõmmis

  • Ubuntu versioone 14.10 ja 15.04 ID-kaart ei toeta. Tundub, et põhjusega. Linuxi nähtused on sedavõrd spetsiifilised, et neid käsitleme eraldi, nohikusektsioonis.

Juhised

Allpool on viited blogiartiklitele, mis kirjeldavad, kuidas eri platvormidel ID-kaardi tarkvara õigesti paigaldada, viisil, et netibrauseris töötaksid nii autentimine kui allkirjastamine.

Universaalne töövoog ID-kaardi tarkvara installimisel mistahes (toetatud) platvormile peaks välja nägema selline:

Autor: Anto Veldre

Iga raja läbimiseks tuleb teha terve hulk alltegevusi, need paistavad välja mõnevõrra keerukamalt ülddiagrammilt:

ID-kaardi paigaldamise töövoo diagramm. Allikas: tädi Maali onupoja tädimehe lapselaps, analüütik Anto

Parandus [2017-10-13]: veebileht sk.ee/tervitus pole enam käigus, esmatestimiseks logi sisse riigiportaali eesti.ee.

Operatsioonisüsteemipõhiste juhiste kõrval võiks kinni pidada sellisest raamtegevuskavast:

1. Veendu, et arvuti kogu tarkvara on uuendatud ja uusim. Pärast seda tee arvutile kindlasti rebuut (ära küsi MIKS – arendajad on tarkvara luues karmareeglite vastu eksinud sedavõrd korduvalt – lihtsalt tee!).

Tekst: "Wou need to restart your computer for the changes to take effect.

Allikas: kuvatõmmis

2. Paigalda oma arvutisse kõik need sirvikud, mida Sa hiljem tahad koos ID-kaardiga pruukima hakata. Miks kohe praegu? Sest kui sirvikud on arvutis juba olemas, siis vähemasti Windowsis on ID-kaardi installeril võime osa tööd Sinu eest ära teha – pluginad võivad installeeruda automaagiliselt, eriti Win7 all. Vt ka punkti 8.

3. Paigalda arvutisse UUSIM VERSIOON ID-kaardi tarkvarast. Seda manti saab lehelt www.id.ee vastavalt oma operatsioonisüsteemile (loe: Maciga ära Linuxi softi järele mine!). Samas paigas on ka juhised edasitalitamiseks. Viska vahelduseks pilk ekraanile – ega kusagil ei vilgu tulikirjas ERROReid?

Vajuta nupule “Paigalda ID-tarkvara”:

Allikas: kuvatõmmis

4. Pista kaart pilusse ning palun ikka õigetpidi, mitte nii nagu sel pildil siin. Kaardilugeja pistik võiks ka olla torgatud arvuti USB-pesasse.

Kas leidsid vea? Autor: Anto Veldre

5. Kontrolli ID-kaardi haldusvahendi abil, et andmed suudetakse kaardilt välja lugeda. Sel hetkel tavaliselt saabki selgeks, kas kaardilugeja juhe oli tagant ära

Haldusvahendis on punaselt kirjas veateade: "Ühtegi kiipkaardilugejat pole ühendatud".

Allikas: kuvatõmmis

või kaart oligi valepidi sees.

ID-kaardi haldusvahend on vägagi töökindel programm. Kui selle tarvitamise käigus ilmneb „nähtusi“, siis tuleb need lahendada enne, kui üldse sirvikute häälestamise juurde asuda. Aeglases masinas võib juhtuda, et haldusvahend “korraks peatub”. Kui olukord mõne sekundiga üle ei lähe, tuleb see liigitada kahtlaseks.

Haldusvahendi päises on kirjas "ID-kaardi haldusvahend (Not Responding)".

Allikas: kuvatõmmis

Pilt asjalikust haldusvahendist:

Pildil haldusvahend, mis kuvab ID-kaardi andmeid (isikuandmed, dokumendi andmed, sertifikaatide andmed).

ID-kaardi haldusvahend, allikas: kuvatõmmis

6. Veendu, et tead oma kaardi PIN1 koodi, et see kood on õige ning et PIN poleks lukustunud. Kuidas PIN1 kontrollida? Muudkui aga kliki passipildi kastikesel („Laadi pilt“)!

Veateade PIN koodi sisestamisel: "Vale PIN1 kood. Saad veel proovida 2 korda".

Allikas: kuvatõmmis

Ups! Seevastu õige PIN1 puhul antakse näha passipilti:

Passipilt

Allikas: PPA ja kuvatõmmis

7. Käivita DigiDoc3 programm. Leia arvutist mõni kiisupilt ning digiallkirjasta see. Digisigneerimise käigus selgub vältimatult, kas Sa ikka tead oma õiget PIN2 koodi ning ega see pole juhtumisi lukustunud.

Allikas: kuvatõmmis

Alles nüüd (ja üldsegi mitte varem) on mõtet üldse asuda sirvikute häälestamise kallale.

8. Käivita iga sirvikumark ükshaaval. Vaata, kas ehk ilmub kuhugi (üles paremasse nurka) teade, et installer on Sinu eest mingi osa tööd ära teinud (st sirvikusse mõne mooduli installeerinud)?. Just seda tähistab hüüumärk Chrome’i aknanurgas. Kui nii, siis nõustu kõige tehtuga:

Tekst ekraanil: "Lisati "Token signing". Teine programm teie arvutis lisas laienduse, mis võib muuta Chrome'i toimimist. Rakendus saab teha järgmist. Külastatavate veebisaitide andmete lugemine ja muutmine. Side koostööd tegevate omarakendustega." Nupud: "Luba laiendus" ja "Eemalda Chrome'ist"

Autor: Anto Veldre

(infoturblasena naudin eriti just võimalust muuta külastatavate veebisaitide andmeid 😉 – see on nali)

Firefox näitab mooduli installeerimist välja sedasi:

Ekraanil tekst "Mingi teine rakendus sinu arvutis soovib Firefoxi järgneva lisaga muuta: Firefox PKCS11 loader 3.12.0..."

Allikas: kuvatõmmis

9. Autentimistest. Üks sirvikumark korraga, kontrolli aadressil sk.ee/tervitus, kas konkreetne sirvik suudab PIN1 küsida ja selleks vajalike OS-jubinatega suhelda. Sirvikus allkirjastamise juurde pole mõtet enne edasi liikudagi kui sisselogimise osa korras. Parandus [2017-10-13]: veebileht sk.ee/tervitus pole enam käigus, esmatestimiseks logi sisse riigiportaali eesti.ee.

Alljärgnev pilt osutab, et Sinu sirvikuga on miskit väga pahasti, see ei näe kohe üldse kaarti. Kui masina restart või kaks ei aita, siis avitab vaid spetsialist. Ise edasi näperdamisel puudub sügavam mõte.

Ekraanil tekst: "This site can't provide a secure connection. www.sk.ee didn't accept your login certificate, or one may not have been provided. Try contacting the system admin. ERR_BAD_SSL_CLIENT_AUTH_CERT"

Allikas: kuvatõmmis

Autentimise osa (ehk siis PIN1 pruukimise sirvikus) võib lugeda lootustandvaks, kui ette tuleb säärane pilt:

Ekraanil tekst: "ANTO VELDRE! ID-kaardi meeskond tervitab Sind ID-kaardi eduka kasutuselevõtu puhul! ..."

Allikas: kuvatõmmis

Reeglina, kui ühte e-teenusesse juba õnnestus end sisse logida, siis võiks see õnnestuda ka järgmistes. Sellegipoolest ei tee paha veel teiseski teenuses üle katsetada.

Ära siis unusta, et oled seni autentimist kontrollinud vaid ühes sirvikus. Samad tegevused tuleb teha eraldi iga sirviku jaoks!

Nüüd liigume edasi allkirjastamismoodulite kallale – parimad juhised on saadaval id.ee saidilt (juhised pisut erinevad vastavalt operatsioonisüsteemile):

Ekraanil tekst: "4. Luba allkirjastamiseks vajamineva plugina kasutus. Juhiste nägemiseks klõpsa kasutatava veebilehitseja ikoonil", seejärel kolm logo: IE, Chrome, Firefox

Allikas: kuvatõmmis

10. Üks sirvikumark korraga, loe id.ee juhiseid ning säti vastavalt juhistele aktiivseks iga sirviku laiendused ja pluginad.

Juhul kui mõni nõutav moodul on üldse puudu, tee alul sirvikule restart, siis OSile restart ja kui ikka puudu (hmm, mida ei tohiks küll juhtuda, kuid kui juhtub), siis tiri vajalikud lisajubinad käsitsi kohale ja tutvusta neid oma sirvikule (aktiveeri).

Kuivõrd moodulite paigaldus on operatsioonisüsteemiti pisut erineva kujuga, siis sellest täpsemalt juba iga operatsioonisüsteemi käsitlemise juures.

Pärast kõigi sirvikute timmimist tasub teha arvutile taas kord igaksjuhuksrestart (rebuut) ja veenduda, et sirviku lisamoodulite (laienduste, pluginate) õige ja vajalik seisund on säilinud ka pärast restarti.

11. Dokumendi allkirjastamist sirvikus tuleb kindlasti testida, näiteks portaalis digidoc.ee. Ohutu on allkirjastamiseks üles laadida mõni mitteprivaatne kiisupilt. Täpsemad juhised iga OSi blogipostituse juures eraldi.

12. Kõige lõpuks veendume, et sirvikus töötab ka transaktsiooni allkirjastamine. Selleks mine oma lemmikteenustesse (näiteks mõnda netipanka) ning tee €1,57 ülekanne sõbrale või sugulasele. Kas õnnestus? Pilte vaata konkreetse OSi blogiteksti juurest.

Muud

Üldjuhul me ei õpeta Sind, kuidas saada oma arvutis administratiivkasutaja õiguseid, s.o siis sellise kasutaja õigusi, kel on õigus tarkvara paigaldada. Eeldame, et Sul on need õigused olemas.

Ignoori opsüsteemide reklaami- ja lobajuttu. Enamasti on sealt sügavam mõte puudu.

Lugemisvaate nupu selgitustekst: "Lugemisvaade. Eemalda kogu segav virvarr, nii et saaksid keskenduda lugemisele."

Allikas: kuvatõmmis

ID-kaardi tarkvara paigaldamine konkreetses operatsioonisüsteemis