Allikas: fanpop.com

Veebruari lõpus avaldas Google värske uurimuse vanadusnõdra SHA-1 protokolli peatsest surmast. Kulutati 110 000 dollarit, üüriti Amazoni pilveressurssi ning suudeti tekitada kaks erineva sisuga, kuid sama räsiga PDF-faili.

Misjärel keegi küsis minult, mis on SHA-1 “probleemipuntra” tähendus Eesti e-riigile või äraseletatult – kas see ongi e-riigi lõpp? Edasise mõistmiseks vajalikku krüptograafia algkursust ei suuda mina maha pidada, kuid mõned alustõed kordan ikkagi üle.

Kogu digitaalne allkirjastamine põhineb eeldusel, et dokumendist saab räsi arvutada ja on üsna loomulik, et eri dokumentide räsi on erinev. Sellegipoolest, vastus küsimusele, kas e-riik ja kogu digitaalne majandus kukuvadki nüüd päevapealt kokku, on ka täna kindel EI! Elu planeedil Maa kestab kenasti edasi, nagu ka e-riik.

Sest ega keegi pole ju kunagi arvanudki, et kui keskmine 5MB DOC-fail “kokku suruda” 160 bitiks (ehk 20 baidiks), siis “teisikuid” ei leidu. Otse loomulikult teisikuid leidub, iseasi, kui keeruline on selliseid arvutada või kui mõistliku sisuga need on – kas need üldse DOC-failiks kvalifitseeruvad.

Räsialgoritmide erikavalus seisneb teatavasti asjaolus, et vaid üheainsa baidi muutumisel sisendis muutuvad väljundis ära kõik baidid. Räsist ja räsimisest on meil siin varemgi juttu olnud ja SHA-1 peatset surma on ka juba päris mitu oraaklit ennustanud.

Mustkunstist

Seevastu, kui suudetakse kaabust välja tirida kaks ERINEVAT faili, millel ometigi on sama räsi, siis teadlased ütlevad, et nüüd on tegu kollisiooniga. Google suutis sellised kaks (kollideeruvat) faili SHA-1 jaoks ära tekitada. See siin on esimene fail ja see on teine. Vaatle neid faile hardunult ja mõtiskle!

Ent nagu iga kena maagia puhul, kõvema paugu tegemiseks jäetakse üht-teist ka rääkimata.

Eelkõige – miks ikkagi toimub norimine just PDF-faili kallal? Sest läänemaailma tädi Maalile on digiallkirja kandva *.pdf faili narrimine oluliselt arusaadavam, kui mõistujutt e-Narnia failivormingutest. Kui kübaratrikki lähemalt uurida, siis PDF on üksnes kest, tegelikult trikitatakse seal sees paikneva *.jpeg pildifailiga, veel täpsemini aga sinise ja punase taustavärviga. PDF kesta otstarve antud juhtumis pigem on suitsu massiivsem peegeldamine…

Allikas: https://i.stack.imgur.com/aTuEO.png

Jänestest

Muide, kollisioone on erinevaid. Üks kaval nipp kaabust samatriibulisi jäneseid välja tõmmata on omada jänesekasvatusi kusagil Ketsemani või Amazoni aedades. Aia ühest otsast üha visatakse sisse porgandeid ja kapsaid (näiteks 110 000 dollari eest), teisest otsast veetakse käruga põlluväetist välja, ent keskel sigineb karjakaupa mitmevärvilisi jänkupoisse. Kutsutakse fotograaf, kes otsib saja-tuhande-pealise küülikukarja seest kaks enam-vähem sarnase naeratusega jänkut välja ja pistab need kaabusse, kust fakiir nad tund hiljem laval kaabust ühekorraga välja tõmbab. Done.

Säärast luksust Amazoni aias muidugi ei juhtu, et korraga sünniksid kaksikud jänkupoisid, kellest ühel on hambus (või triipkoodiga karvastikku kodeeritud) majamüügileping 56 794 eurole ja teisel sama maja sama müügileping juba 97 257 eurole. Samaräsilisi, kuid erisisulisi jänkukaksikuid võib korraga sündida mitmeid; kui hästi otsida, siis ehk kolmikuidki, kuid keegi pole veel näinud juba sündinud jäneseid konkreetseks dokumendivõltsinguks vajaliku triipkoodi või rahanumbriga.

Küll aga teeks e-riigile lõpu originaalirünne (aitäh, kallis AS Cybernetica, et lõpuks ometi kohtan IT-uudist, mille edasiandmiseks vajalikud sõnad on eesti keeles juba eelnevalt olemas!).

Originaalirünne on see, kui ostad Amazoni aia turult triibulise jänese (originaali) ning siis lähed Ketsemani aiast otsima tema peegeltriipudes kaksikut. Teooria nii koledat juhust päriselt ei välista, ent väidetavalt Fortuuna 110 000 dollari eest veel (kaksikut) kätte ei anna.

Ning lõpuks, kui õnnestub SHA-1 õigeaegselt välja vahetada, näiteks SHA-256 vastu (ja hiljem järjest järgmise räsialgoritmi vastu), siis kestab e-riik igavesti edasi tükkis oma rõõmudega. Ainuke lahendamist väärt mure on kõigi triibuliste jäneste igakordne ületembeldamine enne järjekordse originaaliründe leiutamist.

Tänase teadmise kohaselt saab TeRa nimeline üleallkirjastamislahendus (vt 2016-04-20 arhitektuurinõukogu, slaidid 22, 23) RIAs valmis juba kuu või kahe pärast ning loodetavasti ei valmi SHA-1 originaalirünne enne seda. Ah jah, nagu iga programmiga, riik siiski kasutaja arvutis peremehetsema ei hakka, ikka kasutajal endal tuleb kõik oma USB-pulgad ja välised kõvakettad arvutile külge võtta ning seejärel ületembeldi käima käsutada. Hetkel võiks mõelda sedasi, et hiljemalt aasta 2018 lõpuks tuleks oma vanade *.ddoc failide ümbertembeldus ära sooritada.

TeRa protsessi voog arhitektuurinõukogu slaidilt

Asjadest, mis kohe täna kokku kukuvad

Siiski kaks teemat, kus pirrud põlevad Google’i uudise valguses heleda leegiga ning kus SHA-1 tapmisega tuleb tegeleda KOHE ja viivitamatult.

1. umbes 10 000 m-ID SIM-kaarti, mille sertifikaadid juba kutsutigi PPA otsusega tagasi. Teade ise näeb välja selline ja mulle koju saabus juba ka ümbrik uue SIM-kaardiga:

Allikas: kuvatõmmis

2. ja siis need mahajäänud ITga küülikuaretuskontorid, mis jätkuvalt toodavad muldvanu *.ddoc faile. DDOC mäletatavasti kasutas SHA-1 räsialgoritmi ja üksnes seda. Üks räpane saladus on veel – nimelt ka *.bdoc allkirjavormingu kõige esmasem versioon kasutas SHA-1 algoritmi. Mis paraku tähendab, et pelgalt BDOC nimetus audiitori eest ei päästa, ikka tuleb versiooninumbrit ka kaeda.

Kui oleks minu ainuisikuline otsus, siis mina (juba mainitud) 1. aprillist 2017 enam selliseid DDOC-faile vastu ei võtaks, millel täiendavat ajatemplit küljes pole. Kõige kindlam oleks täna ikkagi juba ASiC-E (a.k.a. BDOC-TS vorming) suunas vaadata, see on hetkel kõige pikema elueaga ning täiesti eurokõlbulik allkirjavorming.

Moraal: kallid infosüsteemiomanikud, lugege ülaltpoolt, et/miks lihtkollisiooni tekitada on oluliselt lihtsam kui originaalirünnakut! Kui te ei soovi häkkereid oma süsteemi küülikuid paaritama, siis palun visake DDOC oma infosüsteemist ülikiiresti välja, tegelikult pidite te seda ju tegema juba aasta eest!.

Tembeldamisest

Siinkohal kiirkursus tembeldamisest ja sertifikaadiahelatest. (Muide, sertifikaadipuu hargneb ülalt alla nagu parsil rippuv potilill.)

Kõige tipus on juursertifikaat. Tema puhul pole vahet, kust ta saadi või mis algoritmiga ta ära räsiti, sest juur lihtsalt leiutatakse ja publitseeritakse. Ja kõik teavad, et see on juur. Nii lihtne ongi. Juurelt mingit tõupuhtust ei nõuta – võib täitsa olla SHA-1 kasutusel – peaasi, et mingi kindel ankur oleks, kuhu alla usaldusteenust sedasi aretada.

Juurikale allub vahesertifikaat, mille puhul räsiprotokolli valik on juba vägagi tähtis. Meenutame – originaalirünnet on oluliselt keerulisem teostada kui kollisioonrünnet.

Vahesertifikaadist rääkides, Eestis tembeldati isikusertifikaate pikka aega asjandusega, mil nimeks ESTEID-SK 2011. Ja sinna juurde käis lahutamatu osana SHA-1 abil räsimine. Alles aasta 2015 lõpus tekitati uus asjandus nimega ESTEID-SK 2015, mille puhul räsimine hakkas toimuma SHA-256 abil (ning kasutusele võeti see veelgi hiljem).

Äraseletatult: kui inimestele väljastatavat kola tembeldataks endiselt SHA-1 abil, siis tänase teadmisega saaksid templile ligipääsevad isikud küülikuid sobitada (hinnaklass 110 000 dollarit). Ent kuivõrd Eestis isikusertifikaate juba mõnda aega väljastatakse SHA-256 abil, siis küülikurünne templi asupaigas enam läbi ei lähe. Ja originaalirünne SHA-1-le pole, nagu krüptograafid seda eufemistlikult väljenduvad, täna veel praktiline. Teisisõnu – võimalikul oponendil ei jätku arvutusvõimsuse ostmiseks pappi, mistõttu lambist uusi isikusertifikaate kloonida ei saa (eraldi küsimuse – kui saaks, siis kuidas need ID-kaardi sisse satuksid? – jätame lugejale vastamiseks).

Sestap, kui soovime, et meie isikusertifikaadid oleksid kristallpuhtad ehk pärineksid täiesti patuvabast ahelast (keel ei keerdu ütlema: rassipuhtast), siis sääraseid sertifikaate hakati tõepoolest väljastama alles 2015 teises pooles (need õnnelikud 300 000 sertifikaati, kel pole ei patust esivanemat ega „negatiivset“ moodulit).

Koletu mass isikusertifikaate vahemikus 2011–2015 (600 000) aga omab tänases uustõlgenduses “kahtlast” SHA-1 esivanemat. Puristliku esteetika huvides võiks säärastest sertifikaatidest lõpuks lahti saada. Ja isegi kui neist päris lahti ei saa, siis ei ID-kaardi tarkvaraga ega DigiDoc portaalis ei õnnestu DDOC-vormingus (ning seetõttu) SHA-1 räsitud allkirju anda juba ammu.

Seega, järelejäänud ohtudest kõige koledam ongi, kui allkirjastatavat dokumenti ennast SHA-1 abil räsitaks. Siis saaks küülikuid sobitada igaüks omaenda kodus omaenda koduarvutiga. Igalt poolt mujalt on see sõjakoledus tänaseks välja viidud, v.a eespool mainitud *.ddoc faile tootvad pärandsüsteemid.

Kauguuendamisest

Olukord, kus pool käigusolevast dokumendimassist vajaks uuendamist, võtaks käpuli iga riigi, v.a muidugi Eesti, kuivõrd meil siin on olemas mehhanism ID-kaardi sertifikaatide kauguuendamiseks. Uutmisest endast on varem korduvalt juttu olnud. 1,29-miljonilisest kaardimassist on kauguuendatavaid kaarte kokku 900 000 (loe: 390 000 kaarti pole kauguuendatavad niikuinii). Asjal on siiski juures ka pisike konks, omakorda 600 000 kaarti saab kauguuendada üksnes juhul, kui uuendada enne 1. juulit 2017.

Kust tuleb ajapiirang?

Ühest küljest, kui isikusertifikaadil on ahelas sees mõni “ebapuhas” esivanem”, siis oleks omanikul kaval see sertifikaat vahetada (et sirvikutootjatele mitte hambusse jääda). Põhjusi, miks sertifikaate uuendada ja IT-maailma vägevaid seapraega mitte ärritada, on tegelikult rohkemgi, sealhulgas kurikuulus “negatiivne moodul”. Täpset kuupäeva, millal IT-maailma vägevad sirvikutes “kahtlasi” sertifikaate kimbutama kavatsevad hakata, ei oska keegi ette ennustada.

Teisalt, usaldusteenuste eurostandardid lähevad järjest karmimaks. Euroopa keeras hiljuti kõvemaks nõudeid selles osas, mida kõike peab üks koššer sertifikaat sisaldama. Kaarditooriku ühele teatud mudelile aastast 2011, mida me siin Eestis massiliselt kasutame, ei mahu viimastele euronõuetele vastav sertifikaat lihtsalt enam ära. Kuupäev, millest alates EL hakkab liikmesriiki peksma, on 1. juuli 2017. Sealt alates tohime väljastada vaid sertifikaate, mis oleksid koššer ja halal ühekorraga.

Mis juhtub, kui need 600 000 kaardiomanikku kohe uuendama ei tõtta? Kohe täna ei juhtugi midagi. Ometigi on tegutsemiseks jäänud vaid neli kuud. Kell kukub 1. juuliks 2017. Kui kauguuendamise väärtuslik mõte peaks pähe torkama pärast seda kuupäeva, siis tuleb juba teeninduspunkti minna ja sealt üldse uus kaart saada, mis tähendab aja- ning rahakulu.

Tänaseks on ID-kaarte kauguuendatud pisut üle 100 000. Arvutame uutmistempo: Üksteist kuud ja sada tuhat …  ehk siis senine uutmismaht on olnud keskmiselt 300 kaarti päevas.

Eelpool mainisime toredat numbrit 600 000. Et 1. juuliks valmis jõuda, peaks uuendamistempo olema 5000 kaarti päevas. Mis tähendab uuendamistempo 16-kordset tõusu.

Mis saab neist 300 000 kaardist, mis jäävad kauguuendusvõimelise 900 000 ja euroaeguva 600 000 vahele? Neid saab (vajaduse tekkides) kauguuendada ka pärast 1. juulit – tegemist on uuema toorikumudeliga, kuhu kõik euronõuded kenasti peale ära mahuvad.

Mis juhtub sertifikaatidega, mis jäeti 1. juuliks uuendamata? Mainitud 600 000 kaarti töötavad kenasti edasi – kuniks sertifikaadi kuupäev täis tiksub või kuniks sirvikutootjad kasutajaid ahistama asuvad (st kui ikka on põhjust ahistada). Kõige suurem risk ongi see, et Google, Microsoft või keegi IT-maailma suurtegijatest läheb purismiga liiale ning keelab oma sirvikutes mitte üksnes otseselt SHA-1 pruukinud sertifikaadid, vaid takistab ka olulisemalt suuremat hulka sertifikaate – selliseid,  mille vanemate hulgas esineb ebatõupuhtust (ehk SHA-1 vahesertifikaat).

Kuna Eesti olukord on unikaalne, meil on iga tädi Maali käsutusse antud rohkem isikusertifikaate, kui mistahes teises riigis, kus paanika käib põhiliselt serverisertifikaatide ümber, siis pole võimalik ennustada, missuguse meetodiga suured tootjad kavatsevad SHA-1 välja rookida. Kuniks rookimisele lähevad vaid serverisertifikaadid, siis meil siin ohtu pole.

Kuid kui IT-maailma vägevatel peaks X-kuupäeval tekkima kiusatus kogu SHA-1 tugi tervikuna sirvikust välja visata, siis satub sekundipealt hätta tänane kuuesajatuhandeline kogus ID-kaarte. Sest kui sirvikust SHA-1 tugi puudu, siis pole enam tehniliselt võimalik tollase EstEID-2011 vahesertifikaadi õigsust kontrollida. Tõenäosus, et see lollus ära tehakse on väike, kuid välistada seda paraku ei saa.

Allikas: http://www.rarewallpapers.com/

Isikuandmete kaitse seadus lähtub seisukohast, et oma isikuandmete omanikuks on isik ise. Isikuandmetel on otsene puude isiku privaatsusega ning digiühiskonnas leidub ühtlasi ka hulk viise andmete kuritarvitamiseks. Mistõttu hea omanik ikka kontrollib aeg-ajalt üle, kuidas on tema isiku­andmetega ringi käidud – kes täpselt on andmeid vaadanud, mis otstarbel, kui sageli, mis põhjusel või kas need andmed riiklikes registrites on üldse õiged.

Eestis loovad X-tee ja ID-kaart üheskoos sääraseks kontrolliks tehnilise võimaluse. Puhuti levib rahvusvaheline müüt, justkui oleks meil andmekasutuse kontroll totaalne, võimalik Eesti kõigis riiklikes registrites. Tegelikult on seda omadust pakkuvate andmekogude nimekiri täna veel üpris lühike:

1. Rahvastikuregister – riigiportaalis eesti.ee sisestame otsinguauku “isikuandmete kasutamine,” valime “Isikuandmete kasutamine Rahvastikuregistris” või liigume otse päringulingile. Sellelt aadressilt paistab andmekasutus notarite, terviseportaali, riigiportaali jms poolt. Isegi Tallinna ühistranspordi piletirobot on käinud mu elukohaandmeid küsimas –arvatagi!
2. Isikut tõendavate dokumentide register – tegu pole küll otseselt teenusega stiilis “vaadata neid, kes vaatavad mind”, kuid vähemasti saab värskendada oma mälu dokumentide kehtivuse ja passipiltide osas (ikkagi täpsed isikuandmed või sedasi). Ja siis on veel üks pisut laiema skoobiga teenus, kust näeb, milline institutsioon on Sinu kohta pärinud andmeid politsei- ja piirivalveameti kodakondsus- ja migratsioonivaldkonna andmekogudest. Leidsin sealt oma isikuandmete vaatamisi vahemikus 2007–2017.
3. Karistusregister; sealtkaudu e-toimikusse. Saab vaadata omi karistusi, kui neid juhtub olema. Näha on ka iseenda poolt just tehtud päring, usutavasti paistaks välja ka naabrimehe või tulevase tööandja tellitud 4 eurot maksev päring.
4. Digilugu. Saab vaadata arsti juures käimisi (selgitus: arst oma arvutis ei saa kodaniku andmetele muidu ligi, kui peab olema külastusjuhtum). Minu hiljutine käik töötervishoiuarsti juurde oli kenasti näha koos arsti nime, nägemiskontrolli ja muu säärasega.
5. Digiretsept. Ehk teisisõnu – ei pea apteeki minema, et näha, kas perearst on retsepti välja kirjutanud. NB! Olenevalt tõve iseloomust võib tegu olla erakordselt delikaatse isikuandmega. Lisainfo nägemiseks klikime retsepti numbril. Näha on näiteks ravimi väljastanud apteekri nimi ja litsentsinumber, arsti omadest rääkimata. Kirss tordil asub all paremal nurgas – kerime lõppu ja vajutame menüüpunktile “Kes on retsepti vaadanud”. Proviisoritädi isikukood igatahes paistis.
6. SK toimingulogi – teisisõnu: ID-kaardi vms eID vahendiga toimepandud toimingute soorituslogi kuupäeva ja kellaaja kaupa (selgituseks: naljakad IP-aadressid selles logis on kesksed teenuseportaalid).

X-tee logo

Meie poliitikud ja müügimehed pole oma edukõnedes olnud ülemäära täpsed… vahel on kogemata või nimme jäetud mulje, justnagu oma andmekasutuse järelekaemine oleks mingi Eesti andmekogude või X-tee üleüldine omadus … Ent jah – miks pole? Võiks ju olla!?

Andmejälgija

Eelmisel kevadel hakkas Riigi Infosüsteemi Ameti juures koos käima ekspertgrupp. Arutati, kuidas tagada kodanikule kontroll oma isikuandmete kasutamise üle. Ekspertgrupp pakkus välja lahenduse, et kui kui funktsionaalsus asuks X-tee mõne ehituskivi (näiteks turvaserveri) küljes, siis uue andmekogu ehitamisel tekiks kodanikule kontrolli võimalus peaaegu iseenesest.

Mõeldud, tehtud. Tegelikult toimus kenake hulk kohtumisi, kus pakuti välja hulk erinevaid lahendusi… avalikkus näeb neist seda, mis lõpuks peale hoolikat kaalumist ja turvaanalüüsi pinnale jäi:

Allikas: https://github.com/e-gov/AJ/blob/master/doc/spetsifikatsioonid/Tehniline_kontseptsioon.md

Diagrammi autor: Andres Kütt

Kuidas toimub andmepäring? Sooritatava infopäringu algataja istub Asutuses B (olgu näiteks Politseiametis) ning kasutab selle asutuse infosüsteemi. Muide, patrullpolitseinik kasutab oma Ameti infosüsteemi ka autos – selleks on tal ID-kaart kenasti kaasas. Päring aga esitatakse vastu Asutust A – olgu see meie näites Rahvastikuregister.

Kahe turvaserveri vahendusel, läbi Eraldusfiltri, jõuabki päring Rahvastikuregistrisse (ehk siis Infosüsteemi A). Eraldusfilter tagab, et Andmesalvestajasse satuvad vaid päringu põhifaktid (kes, millal, kelle kohta), mitte aga päringu üleliigsed detailid ega ammugi mitte andmekogust saadav vastus.

Andmesalvestajal on kaks otstarvet. Esiteks, päringuinfo salvestamine asutuses, kust andmeid küsitakse. Teiseks aga, kui hiljem Andmesubjekt ise (näiteks riigiportaalist eesti.ee) soovib teada, kes tema isikuandmeid pruukis, siis just Andmesalvestaja oskab anda vastuse. Seadistuste moodulis saab muuhulgas ära määrata näiteks ajalise kestuse, kui kaua kasutusandmeid alles hoitakse.

Võib juhtuda, et keegi ei taha/saa oma andmekasutuse uurimiseks ID-kaardiga sisse logida. Siis võib ta vastavale asutusele tigupostiga saata käsikirjaliku küsimuse. Sestap võiks igas suuremas asutuses leiduda üks kodanike kaebustele vastav isik, kes pääseks kodaniku jalajäljele ligi … ning otse loomulikult jääb jälg järele ka tema andme­vaatamistest. Sel otstarbel kuulub lahendusse (vt joonis) Sisekontrollija Rakendus, mis samuti saab oma päringutele vastused moodulilt Andmesalvestaja. Sel moel on tagatud, et käsikirjalikud päringud saavad vastuse.

Uuendust võib ette kujutada kui hajutatud andmekogu kõigist sooritatud andme­päringutest. Andmekogu paikneb hajutatult, iga logijupp samas asutuses, kust isikuga seotud andmeid küsiti. Siis ei pea looma keskset superandmebaasi ning ka kasutusinfo jääb asutusse, kus see niikunii on olemas, kuid lisandub kodanikuvaade.

Täiendus X-tee juurde sisaldab ka andmekasutust logivat moodulit. Süsteemilogi oli olemas ka varem, kuid nüüd kogutakse andmekasutuse andmeid suisa kodaniku enda kui andmete omaniku tarbeks. Sundust andmekogupidajatele vähemalt alguses ei tule – kui nad soovivad, võivad nad sama funktsionaalsuse valmis teha ka mõnel muul moel ega pea ilmtingimata kasutama ette valmistehtud standardtükikesi.

Ka pole praeguseks lõplikult ära otsustatud, kuidas kodanik oma digijalajäljele ligi hakkab pääsema. Mõned jalajäljeteenused just said mugava suunamise riigiportaali eesti.ee kaudu. Arendus aga hakkab toimuma avalikult ja moodsas stiilis – GitHubi vahendusel.

Tegemist on millegi väga põhimõttelisega kogu maailma mõõtmes – Eesti e-riik saab oma kodanikele pakkuda e-teenust, millel on demokraatia seisukohast väga oluline väärtus ning mida enamike riikide IT-selgroog üldse ei võimaldagi. Olen ühe Euroopa riigi parlamendiliikmelt kuulnud, et kui tema kodulinna arhiivist paluda naabrimehe kohta tõendit, siis väljastatakse see paberile trükituna ning mitte kusagile ei jää vähimatki märget, kas küsija üldse kunagi on päringu esitanud või vastuse saanud.

Kokkuvõtteks

Projekti nimi: Andmejälgija.

Kirjeldus: Tehniline universaallahendus võimaldamaks kodanikupoolset seiret oma isikuandmete kasutuse üle riigi X-teel (mistahes andmekogu puhul).

Millal tuleb: On juba kohal, realiseeritud X-tee version 6 standardmoodulina. Iga üksik andmekogu muutub andmejälgitavaks siiski alles pärast seda, kui vastav andmekogu on X-tee uuele versioonile üle viidud (ver 6 vs ver 5).

Kuidas ma oma jalajäljele ligi saan: Enamike teenuste puhul ju ikka läbi riigiportaali eesti.ee.

Andmejälgija tehniline lahendus on valminud Euroopa Regionaalarengu Fondi rahastusel.

25. jaanuaril 2017 avalikustati järjekordne versioon ID-kaardi tarkvarast (17.01) ning alates 1. veebruarist hakkab see kasutajate arvutites automaatselt vanemaid versioone välja vahetama.

ID-kaardi tarkvara uueneb seekord kahes aspektis: seoses Digidoc programmiga ja tulenevalt veebilehitseja Firefoxi moderniseerimislainest.

Uus versioon ID-kaardi tarkvarast ravib kaht olulist muudatust väliskeskkonnas:

Esiteks leidis aset DigiDoc3 programmi puudutav muudatus usaldusahelas. Mullu 22. novembril kinnitas Vabariigi Valitsus uue võtme, millega edaspidi allkirjastatakse usaldusväärsete partnerite nimekiri (Trusted List, TL). Kui küsite, miks oli vaja uut võtit, siis eelmine hakkab aeguma: sertifikaatidel saab parim enne läbi karmilt – sekundipealt.

22. veebruaril 2017 saabub see hetk, kus vanem DigiDoci versioon ei oska enam välismaailmas orienteeruda, sest tema sisse kirjutatud usaldusankur aegub. Dokumente allkirjastada ei saa ja sissetulnud dokumentidel allkirju kontrollida samuti mitte. Juhul kui ekraanile ilmub selline teade:

Allikas: kuvatõmmis

… siis edasi aitab vaid uue, targema DigiDoc3 paigaldamine. Õnneks on siin maailmas miski ka muutumatu. Nimelt saab ID-kaardi uut tarkvara alla laadida endisest kohast: installer.id.ee ja ootamatuste vältimiseks tulekski tarkvara uuendada pigem varakult kui sundolukorda sattudes.

Teiseks, Mozilla Firefox on otsustanud lõpule viia oma pikaleveninud pluginarevolutsiooni, millest oleme varemgi kirjutanud. NP-API tugi kaob varsti lõplikult ka Firefoxist.

Üleminekuperioodil sisaldab Firefox kolmetriibumenüüs lisade all tervelt kahte laiendust (extension) nimega “Token Signing”. Üks neist, senine, tagab ID-kaardi töövõime netis allkirjastamisel vana NP-API meetodi kohaselt ning teeb seda kuni üleminekupäevani märtsis-aprillis.

Teine laiendus tagab ID-kaardi ja Firefoxi koostöös allkirjastamisvõime pärast seda kuupäeva. Juhul kui Sinu arvutis eksisteerivad mõlemad Firefoxi laiendused (ja satuvad nad sinna ju peamiselt ID-kaardi tarkvara toel), siis toimub üleminek Sinu jaoks sujuvalt.

Kui aga Sinu Firefoxil ei ole laienduste menüüs kaht allkirjastamisega seotud laiendust – üht uue, teist vana standardi jaoks – siis pärast X-päeva märtsis/aprillis ei saa enam Firefoxiga netis allkirju anda ega pangaülekandeid allkirjastada. Siis aitab ID-kaardi tarkvara uuem versioon.

Miks üldse tarkvara uuendada?

Põhjus lihtne – pilveajastu tarkvara pole ammu enam iseseisev tükike Sinu arvutis, vaid vajab toimimiseks osiseid ja tükikesi välismaailmast.

Sõltuvused:

1. Sõltuvused võivad tuleneda sertifikaatidest – tarkvara peab olema kindel oma volitustes ja suutma tuvastada partnereid ja komponente, millega ta suhtleb. Selleks tarvitatakse sertifikaate ja krüptograafilisi võtmeid, ent sertifikaatidel on omadus parim enne möödumisel päevapealt aeguda.
2. Mõnel juhul on kasutusel ettekokkulepitud serverid. Need paraku ei toimi igavesti, vaid üksnes nn garantiiperioodi vältel (nt täna ei pruugi Windows XP seerianumbri kontrollimise server enam olla kättesaadav).
3. Mõnikord uuendatakse hoopis vorminguid ja protokolle ehk kokkuleppeid selle kohta, kuidas programmid ja arvutid omavahel suhtlevad (vt varasem blogikirje TL uuendamisest).

Kokkuvõttes – pisutki vanem tarkvara ei pruugi uusi nippe ja muutusi tunda ning jääb vahepeal muutunud välismaailmas hätta.

Tänapäeva keerulises IT-maailmas on uuendamine seega pidev ja vältimatu. Kui rongist maha jääd, siis värk ei tööta (kuniks tarkvara uuendad). Eriti just firmad ja riigiasutused võiksid IT-muudatusi planeerida ette varakult, et tööprotsess ootamatult ei seiskuks.

Teenusepakkujatele

Mozilla Firefoxi ülalkirjeldatud muudatus puudutab ka teenusepakkujaid. Nemad peavad viima oma teenuse märtsiks/aprilliks vastavusse Firefoxi uue standardiga või muidu kliendid selles e-teenuses enam allkirjastada ei saa.

Õnneks on tegemist suhteliselt kerge muudatusega, mis väga mahukat testimist ei vaja. Teenusepakkuja peab oma e-teenuses uuendama hwcrypto.js utiliidi ja seda antakse täiesti tasuta siit.

Häkkerisektsioon – killukesi Digidoc3 siseelust

Lihtkasutaja ei pea seda peatükki lugema. Kuid on ju veel ka inimesi, kes tahavad kindlasti teada, mis on karul kõhus.

Digidoc3 programm on teatavasti ette nähtud dokumentidele allkirjade andmiseks ning allkirjakontrolliks võõrastel, sissetulnud dokumentidel. Hea öelda – allkirju kontrollida – tehniliselt ju üks bitijoru kõik. Ent allkirja puhul on vaja teada, kelle allkirju üldse usaldada. Ja see pole üldse enam tehniline asi, vaid peen juriidiline ja organisatoorne värk. Keda usaldada? Kelle toodetud allkirju usaldada? Kelle toodetud sertifikaatidega väljastatud allkirju usaldada?

Sõnaga, kui Digidoc3 käima läheb, siis selgitab ta välja, missuguses juriidilises ümbruses ta täna tegutseb. Ta kontrollib oma kõhust (käššist) järele, kas seal ehk leidub mõni mitteaegunud usaldusnimekiri (TL – trusted list). Kui kohalikku koopiat pole või see on iganenum kui nt 3 v 7 päeva, minnakse ja tuuakse etteantud aadressilt uus TL.

Usaldusnimekirjast paistab, kellel üldse on õigus kehtivaid eID sertifikaate väljastada, mis ühtlasi tähendab – millisest ahelast pärit isikusertifikaadid tunnistada allkirja andmisel ausateks ja autentseteks. Kui kontroll puuduks, kõlbaks ju iga õige pikkusega bitijada!

Ent sellega paikvaatlus ei piirdu. DigiDoc3 peab nüüd otsustama, kas uus TL on ka ise aus ja autentne – et keegi ei saaks valenimekirja ette sokutada. Sel eesmärgil on TL allkirjastatud eespool käsitletud ametliku võtmega. Miks oli seekordset ülemineku-uuendust vaja? Sest DigiDoc peab ju ometi kusagilt teada saama, et Vabariigi Valitsus on vahepeal kohaliku Eesti TLi allkirjastamiseks uue võtme kehtestanud.

Ühtlasi tirib DigiDoc3 alla ka mõne naaberriigi usaldusnimekirjad (TL) – eks ikka nende, kelle digiallkirju oleme harjunud kontrollima.

Allikas: kuvatõmmis

Usaldusnimekirjade allalaadimise teeb keeruliseks ja aeganõudvaks asjaolu, et lisaks kõigile praegu kehtivatele sertifikaatidele, mille alt hetkel isikusertifikaate väljastatakse, tuleb kaasa lohistada ka kõigi usaldusteenuse pakkujate kogu eelnevat ajalugu. Kes kunagi üldse on missuguseid sertifikaate väljastanud, mis turvatasemel, mis kehtivusajaga ja mille väljastamiseks… Õnneks on meil teenusepakkujaid seni peaasjalikult üks: SK.

Ent siitmaalt asi alles läheb huvitavaks. Nagu ühes varasemas blogikirjes mainitud, Eesti ei otsusta enam üksi, keda usaldada, vaid tuleb kiigata Euroopa vastavasse nimekirja hüüdnimega LOTL (List of the Trusted Lists). Kena küll, et Eesti valitsus otsustas ühe aeguva võtme (ja sellega kaasneva sertifikaadi) 23. novembri määrusega välja vahetada! Ent kuidagi peab see info jõudma ka ELi usaldusnimekirja (EU LOTL). Siis saavad kolm EU ametnikku allkirjastada oma võtmetega järgmise versiooni EU LOTList ning selle avalikult publitseerida.

Ja siinkohal saab ring täis. Varem uuendati EU LOTLi sisu nii harva, et automaatuuenduste peale ei pidanud mõtlema. Kuid digiasi areneb ELis gepardikiirusel. Viimasel ajal kaldub sinnapoole, et EU LOTL pakub uusversioone igal nädalal – taas lisandub mõni Itaalia usaldusteenus. Enamik neist muudatustest pole meid kuigivõrd puudutanud, ent Eesti uue allkirjavõtme listimisest ELi nimekirjas oleme ise eluliselt huvitatud. Või mille abi muidu saaks DigiDoc3 kontrollida Eesti usaldusnimekirja ehtsust? Kui aga tahame edaspidi kõigi välismaiste allkirjadega kursis olla – ning me vist tahame – siis tuleb vältimatult luua uuendusmehhanism ka EU LOTLi uuendamiseks reaalajas (nagu toimub EE TL puhul). Seda on plaanis teha ID-tarkvara järgmise reliisiga umbes aprillis või mais.

Kas märkasite, kui keeruliseks on maailm digiajastul muutunud? Enne kui pisike DigiDoc3 programm üldse saab tööle hakata, kogub see megabaitide kaupa teadmisi selle kohta, milliseid allkirju tohib usaldada, mis tasemel ja mis kehtivusega; lisaks laadib Interneti valitud kohtadest alla terve hulga hargmaiseid sertifikaadinimekirju.

Sestap muretsegem endale kiire netiühendus ning andkem DigiDoc3 programmile olukorrapildi allatirimiseks piisavalt aega.

PS. ID-tarkvara versioonide numeratsioon on sellest aastast muutunud. Kasutajate elu ja kasutajatoe (1777, abi@id.ee) töö hõlbustamiseks tähistavad ID-tarkvara versioone nüüdsest kalendriga seotud numbrid (aasta+kuu).

Selles osas käsitleme ID-kaardi tarkvara paigaldamist Microsoft Windowsile, mis on suhteliselt lihtne tegevus. Kui tarkvaraga kaasnevaid, saidist id.ee saadud juhiseid (brauseri häälestamiseks) täpselt täita, siis tädi Maali saab installeerimisega kenasti hakkama. Kontrollitud.

Reaalsed mured ID-kaardi mittetöötamisega Windowsi keskkonnas jaotuvad tädi Maali kogemuse kohaselt põhiliselt kaheks: konkreetse arvutiriistvaraga seotud seiklused ning paigaldusjuhiste eiramine.

Tädi Maali tegi ID-kaardi installimise läbi kolme erineva Windowsiga (kõik 64-bitised). Kõigepealt Win 7 (SP1), mis sai spetsiaalselt selleks otstarbeks üles seatud. Teiseks katseobjektiks oli Windows 10, samuti isevalmistatud masin, mis eelmises elus oli Win7, ning mille Microsoft vahepeal uuendas Win10 peale. Lõpuks, kooliõpilase võimas sülearvuti, kuhu tootja oli peale pannud Win 8.1. Kõigil kolmel platvormil installeerus ID-kaardi tarkvara eriliste komplikatsioonideta, ent loe ka peatükki “Murekohad”!

Windowsi all töötab korralikult nii haldusvahend kui Digidoc3 kui ka ports netisirvikuid. Lühikokkuvõte äraproovitust on esitatud tabelis:

Autor: Anto Veldre

Paigaldus

Paigaldamise töövoog on esitatud alljärgneval diagrammil:

Autor: Anto Veldre

Kogu paigaldusprotseduur on jaotatud kolmeks järjestikuseks rajaks. Raja A läbimisega tagatakse, et programmid on õigesti paigaldatud. Raja B läbimise käigus selgub PIN-koodide olemasolu ja lihvitakse elementaarseid kasutamisoskusi. Raja C läbimine kindlustab, et sirvikud saavad ID-kaardi tarkvaraga hästi läbi ja nõustuvad koostööd tegema.

Olgu ära toodud ka paigaldusprotseduuri pisut detailsem pilt, kus iga tegevus on kujutatud ükshaaval:

ID-kaardi paigaldamise töövoo diagramm. Autor: Anto Veldre

Mis aga põhilisim – järgmise raja juurde tuleb edasi liikuda alles siis, kui eelmine rada on edukalt läbitud.

Parandus [2017-10-13]: veebileht sk.ee/tervitus pole enam käigus, esmatestimiseks logi sisse riigiportaali eesti.ee.

Rada A

Raja A läbimine (tegevused 1–5) valmistab arvuti ette ning annab kindluse, et kaardilugeja töötab ning et ID-kaardi sisu on operatsioonisüsteemile üldse nähtav.

Autor: Anto Veldre

Tegevus 1 – Uuendamine / värskendamine / ajakohastamine – käib Windowsis üldiselt automaatselt, kuid ei tee paha see ka käsitsi käima lasta: Control Panel -> Windows Updates.

Allikas: kuvatõmmis

Uuendamise järel tuleb masin kindlasti korraks kinni panna (teha restart).

Tegevus 2 – Sirvikute paigaldamine. Kaks neist (Internet Explorer ehk IE ja Edge) on juba kohal, ent kaks tuleb ise netiavarustest kohale lohistada, vastavalt siis Chrome ja Mozilla Firefox. Miks tuleb? Sest perioodiliselt esineb olukordi, kus üks või mitu sirvikut on turvajamade või ootamatute uuenduste tõttu kasutamatud. Installeerides kõik sirvikud kohe valmis, on siis halvaks päevaks tagavaravariant olemas ning elu ei jää seisma.

Windowsis on installeerimine tehtud sedavõrd lihtsaks, et ega siin eriti õpetada olegi (klikk-klikk-OK):

Allikas: kuvatõmmis

Allikas: kuvatõmmis

Võimalikud veateated

Administraatori õiguste olemasolu kasutajal (eriti kontoritingimustes) on igaühe enda risk:

Allikas: kuvatõmmis

Tegevus 3 – Paigaldame ID-kaardi tarkvara. Lähtuda tuleb id.ee veebisaidi nõuannetest (mida hoitakse alati ajakohastena). Sinna Windowsi sirvikuga minnes ning „Paigalda tarkvara“ vajutades antakse asjakohaseid soovitusi:

Allikas: kuvatõmmis

ID-kaardi tarkvara allalaadimine ja installeerimine näevad välja nii:

Allikas: kuvatõmmis

Kui ei taibanud kohe „Run“ vajutada, siis võib installeri ka maha salvestada ja hiljem käivitada:

Allikas: kuvatõmmis

Taas kord on vaja administraatori õigusi (ning meie ei tea, kust teie need saate).

Allikas: kuvatõmmis

Voilaa! Asi edeneb!

Allikas: kuvatõmmis

Sekka vilgutatakse ka muid pilte… installer leiab iseseisvalt üles kaardilugeja ja paigaldab sellele draiverid:

Allikas: kuvatõmmis

ID-kaardi tarkvara võib lugeda edukalt paigaldatuks, kui ilmub säärane kujutis:

Allikas: kuvatõmmis

Sõnale „siit“ klikkides satub kasutaja taas kord id.ee juhendeid lugema, ent praegu sooritame raja A tegevusi rahulikult edasi.

Tegevus 4 – Ühenda oma kaardilugeja arvutiga (enamasti USB-pistiku abil, mõnikord aga on kaardilugeja salamisi monteeritud arvuti korpusse) ning torka kaart lugejasse. Hetkel veel pole oluline, et tegu oleks uue ja kehtiva kaardiga, proovimiseks kõlbab ka vana.

Eeldatav tulemus

Allikas: kuvatõmmis

Seikluste vältimiseks edaspidi tuleks kaart sisse panna nägu alaspidi ning kiip eespool. Kiipi ennast sel pildil ei paista, sest ta on kenasti kontaktide küljes.

Tegevus 5 – Käivita ID-kaardi haldusvahend (alammenüüst Accessories) ning veendu, et haldusvahend näeb kaarti ning suudab andmed sellelt välja lugeda.

Eeldatav tulemus

Haldusvahend peaks kuvama külgeühendatud kaardi andmed:

Allikas: kuvatõmmis

Võimalikud veateated

Veasituatsioonide ravi on lihtne – haldusvahend ütleb ise, mis tal mureks:

Allikas: kuvatõmmis

Allikas: kuvatõmmis

Juhul, kui ID-kaarti kõigele vaatamata välja lugeda ei õnnestu, tasub kontrollida, mispidi see kaart ikkagi sisse sai või mis kaart see õigupoolest oligi. Näiteks pangakaardi pistmine kaardilugejasse on ikka uskumatult sage tegevus.

Allikas: kuvatõmmis

Allikas: kuvatõmmis

Kui aga õnnestub haldusvahend mingi nipiga hanguma panna, siis on targem peatuda ja paluda endast targemate abi. Tõenäoliselt on siis miskit mäda kas arvuti riistvaraga (muuhulgas otsi arvuti eest ja tagant salapärast teist kaardilugejat, vt peatükk „Murekohad“ lõpupoole) või on arvutil mõni muu häda kallal.

Allikas: kuvatõmmis

Rada B

Rada B on mõeldud krüptograafiaga kaasneva info kontrollimiseks:

• kas PIN-koodid on meeles,
• ega PIN-koodid pole juhtumisi lukustunud,
• kas isikusertifikaadid kehtivad,
• kas konkreetne kaart on võimeline krüptograafilisi toiminguid sooritama.

Autor: Anto Veldre

Tegevus 6 – Avame PIN1 abil haldusvahendis passipildi (see tuuakse PPA andmebaasist, mistõttu toiminguks vajatakse ka netiühendust). Tegevuse käigus saab selgeks, kas PIN1 on teada, õige ega ole lukustunud – tarkus, mis hoiab veidi hiljem kokku palju väärtuslikku aega.

Allikas: kuvatõmmis

Allikas: kuvatõmmis

Tegevus 7 – Leiame kontoritarvete alammenüüst utiliidi nimega Digidoc3 ning digiallkirjastame selle vahendusel mõne faili (näiteks kassipildi). Tegevuse käigus selgub vältimatult, kas kaardi PIN2 on teada, õige ega ole lukustunud.

Eeldatav tulemus

Allkirjastamine õnnestus ja vastavalt seadistusele tekkis kas *.bdoc või *.asice laiendiga fail.

Allikas: kuvatõmmis

Võimalikud veateated

Tasub hoolikalt tähele panna, mida DigiDoc3 meile räägib:

Allikas: kuvatõmmis

Hoiatus! Segaduste vältimiseks tuleb rada B kindlasti läbida ja mõlemad PIN-koodid läbi testida enne, kui edasi liikuda raja C (ehk sirvikute konfigureerimise) juurde. Sellepärast paikneb siin vahel punane joon.

Allikas: id.ee

Rada C

Kolmas ja viimane rada on vaja läbi teha selleks, et sirvikud oleksid suutelised e-teenustes dokumente ja transaktsioone allkirjastama. Lähtuda tuleb id.ee sirvikukonfimise infost ning lugeda lisaks iga üksiku sirviku kohta eraldi: IE, Chrome, Firefox.

Raja C tegevusi tuleb korrata iga sirviku jaoks eraldi. Otstarbekam on kõigepealt häälestada ära IE, seejärel Chrome ning alles kogemuse kasvades võtta ette Firefox.

Raja C tegevuste järgnevus on selline:

Parandus [2017-10-13]: veebileht sk.ee/tervitus pole enam käigus, esmatestimiseks logi sisse riigiportaali eesti.ee.

Autor: Anto Veldre

NB! Edge pole koos ID-kaardiga ei häälestatav ega kasutatav, selle puhul võib teadmiseks võtta satiirilise tõdemuse:

Allikas: kuvatõmmis

Tegevus 8 – Kontrollime üle, mida meile installiti ja aktsepteerime tehtu. ID-kaardi tarkvara installer tegi kasutaja õnne nimel teatavaid jõupingutusi, et keerulised häälestused automaatselt ära sooritada. Win7 all õnnestub see maksimaalselt, Win8 ja 10 all nõuab tulemus pisut kohendamist.

Chrome

Chrome annab käivitudes kõvahäälselt teada, et „talle on vahepeal lisatud laiendus“ ning palub kasutajal see muudatus aktsepteerida:

Allikas: kuvatõmmis

See laiendus tuleks lubada. Vajadusel võib ka lähemalt uurida, mida siis täpselt tehti (vajutada hüüumärgile):

Allikas: kuvatõmmis

Sellega on Chrome’i siseelu üle vaadatud.

Firefox

Ka Firefox annab muudatussoovist valjuhäälselt teada:

Allikas: kuvatõmmis

Käsitsi tuleb teha linnuke õigesse kasti ning pruukida kohe seejärel ilmuvat Restart nuppu (piisab õigel nupul klõpsamisest):

Allikas: kuvatõmmis

Sellega on Firefoxi muudatus heaks kiidetud.

Tegevus 9 – kontrolli, kas sirvik suudab operatsioonisüsteemi vidinatega korrektselt suheldes Sind mõnesse e-teenusesse autentida (sisse logida).

Lihtsaim on pruukida testimiseks mõeldud spetsiaalset SK tervituslehte. Parandus [2017-10-13]: veebileht sk.ee/tervitus pole enam käigus, esmatestimiseks logi sisse riigiportaali eesti.ee. Kindlasti tuleb testi käigus ette sertifikaadi valiku aken ja küsitakse PIN1 koodi:

Allikas: kuvatõmmis

Allikas: kuvatõmmis

Eeldatav tulemus

Kui kuufaas oli õige, näidatakse meile rõõmsat õnnestumislogo:

Allikas: kuvatõmmis

Võimalikud veateated

IE on kõige kavalam. Tema tunneb ära, et midagi on valesti ning annab täitsa õiget nõu:

Allikas: kuvatõmmis

Teised sirvikud on pisut otumad ning usuvad, et miskit läks valesti hoopis https veebisaidi vaatamiseks vajaliku SSL-tunneli püstipanekuga. (Mis tegelikult pole ju päris vale, kuivõrd selleks vajatakse ID-kaarti ja PIN1 koodi küll). Keeruline? Mõned veateated ongi arusaamiseks igerikud:

Allikas: kuvatõmmis

Ent ID-mehike oskab pakkuda, kust peaks viga otsima:

Allikas: kuvatõmmis

Parandus [2017-10-13]: veebileht sk.ee/tervitus pole enam käigus, esmatestimiseks logi sisse riigiportaali eesti.ee.

NB! Kui Sa nägid ükskõik millist neist veateadetest, siis pole mõtet enne edasi liikuda, kuniks probleem saab lahendatud. Sest kuni autentimist tööle ei saa, ei õnnestu allkirjastamise juurde edasi liikuda (nimelt enamik digisigneerimist pakkuvaid e-teenuseid nõuavad eeldusena sama sirvikuga sisselogimist).

Tegevus 10 – Kontrollime üle, et brauseritel on lisamoodulid installitud.

Allikas: kuvatõmmis

Lähtuda tuleb id.ee detailsetest juhistest: IE, Chrome, Firefox.

Internet Explorer

Juhised: IE

IE puhul suutis installer mooduli sättimisega kenasti ise hakkama saada (enabled!), teisisõnu, meie ei pea siin enam midagi muutma:

Allikas: kuvatõmmis

Et saaksime IE töötamises päris kindlad olla, tuleb see korraks tagasi viia vabrikuseadetesse (sedasi õpetab meid id.ee). Valime hammasrattamenüüst:  -> Internet Options -> Advanced nupukese „Reset“ ja klõpsame seda:

Allikas: kuvatõmmis

Juhtub umbes sedasi:

Hea, et üle küsitakse, vajutame taas „Reset“:

Allikas: kuvatõmmis

Arusaadav, et häälestuste nullimise käigus võib tuksi minna varem mõnel muul otstarbel  suure vaevaga seadistatud häälestus. Igatahes on nüüd asi sealmaal, et nõutakse kogu arvuti restarti:

Allikas: kuvatõmmis

Chrome

Juhised: Chrome

Chrome’i puhul vajab ülekontrollimist üks laiendus (extension). Nn kolme-täpi-menüüst tuleb valida Settings -> Extensions. Laiendus nimega „Token Signing“ peab olema aktiivne (enabled). Sel pildil miskipärast ei ole (disabled) ja peame olukorra käsitsi parandama:

Allikas: kuvatõmmis

Lubame laienduse käsistsi ja teeme sirvikule restardi (hmm, taaskäivituse), pärast seda ongi moodul aktiveeritud.

Allikas: kuvatõmmis

Firefox

Juhised: Firefox

Firefoxis vajab ülekontrollimist üks laiendus ja üks plugin (ehk siis kokku kaks lisamoodulit). Kusjuures, alates 2017.a. jaanuari lõpust hoopistükkis kaks laiendust. Nn kolme-triibu-menüüst tuleb valida Lisad:

Allikas: kuvatõmmis

Seekord õnneks selgub, et laiendustega on kõik korras – „Firefox PKCS11 Loader“ ongi juba aktiveeritud:

Allikas: kuvatõmmis

Ka plugina „(Firefox) Token Signing“ olek on „Alati aktiivne“ – just see, mida ootame.

Allikas: kuvatõmmis

Juhul kui Sinu arvutis on lood teisiti, siis tuleb plugin „alati aktiivseks“ sättida käsitsi ning pärast seda kindlasti teha brauserile restart.

Tegevus 11 – Sirvikuga allkirja andmine. Hetkel on kõige mugavam seda tegevust testida digidoc.ee keskkonnas. Sinna tuleb sisse logida, laadida üles mõni juriidiliselt korrektne kiisupilt ning see allkirjastada.

Estina poolt majandatav Digidoc.ee tegi hiljuti läbi põhjaliku uuenduskuuri. Siinset rahvast ehk pisut häirib algeline kontoloomise mehhanism (e-mailiga) ning kuupiirang 5 tasuta allkirja, ent neile puudustele vaatamata on teenus ikkagi tasuta, ehk just see, mida me testimiseks vajame.

Alul tekitame endale kasutajakonto – selleks vajame PIN1 ja meiliaadressi:

Allikas: kuvatõmmis

Eeldatav tulemus

Mõningase nugistamise tulemusel õnnestub PIN2 abil allkirjastada kiisupilt:

Allikas: kuvatõmmis

Tegevus 12 – Tuleb sooritada sirvikuga allkirjastamise test veel mõnes teiseski e-teenuses, eelistatult pangas. Miks just pangas – esiteks, enamik inimesi vajavad netipanka niikuinii, ja kuna pankades on ID-kaardi kasutatavus väga kõrge, siis on sealsed skriptid parima kvaliteediga. Pangas leiame võimalikud vead kõige kiiremini.

SEB on valitud isikliku eelistuse põhjal, testida võib ka teistes netipankades.

Eeldatav tulemus

Sisselogimine:

Allikas: kuvatõmmis

Makse allkirjastamine:

Allikas: kuvatõmmis

PIN2 sisestus:

Allikas: kuvatõmmis

Võimalikud veateated

Kes nüüd täpselt teab, miks just nii juhtus… ajalõpp saabus enne kätte, kui sisestati PIN1 või PIN2 ? Proovi uuesti!

Allikas: kuvatõmmis

Allikas: kuvatõmmis

Kui aga juhtumisi satub ette sedavõrd vastuoluline pilt, kus haldusvahend näeb ID-kaarti aga sirvik mitte ning ka korduv restart ei aita, siis pole sirvik oma rollist õigesti aru saanud ning arvuti tuleb viia šamaani kätte uurimiseks:

Allikas: kuvatõmmis

Murekohad

Häda number 1: mis kell on? Windows 7 üllatas tädi Maalit kalendriga. Sai pruugitud vana, AMD Athlon protsessoril põhinevat MSI emaplaati, millel aga vahepeal patarei ära tühjenenud. Patarei ost ja prillisanga abil äravahetamine osutus tädi Maalile jõukohaseks, ent kratt eksitas kätt aastaarvu osas: BIOSi menüüsse sai kogemata kirja vale aastaarv – 2016.

Allikas: kuvatõmmis

Siitmaalt hädad algasid. Windows 7 küll installeerus, kuid ei nõustunud end ei uuendama ega seerianumbrit registreerima, ega jõudnudki olekusse, kus üldse saaks alustada ID-kaardi tarkvara paigaldamisega – ajas sõrad vastu, olevat mingi sertifikaatide kehtivusega seotud jama (veakood 80072F8F):

Allikas: kuvatõmmis

Mainit murel on ülimalt vähe pistmist ID-kaardi tarkvaraga, kuid saagu ta siinkohal siiski kirjeldatud kui värvikas näide varjatud eeldusest, mida mitte teades võib kasutaja paraja portsu otsa sattuda. Linux näiteks keerab paigaldamise ajal arvuti kella sundkorras õigeks ning uurib geolokatsiooni abil välja ka kasutaja asukohariigi – (et kõige õigemaid täpitähti pakkuda).

Häda number 2: mõnel arvutil näikse neid kaardilugejaid kobaras olema. See mure osutus lõbusamaks, kuid raviaega nõudvamaks. Asi algas sellest, et Win10 all näitas ID-kaardi tarkvara üles teatavat ebastabiilsust. Sihilike katsetega õnnestus hangutada nii haldusvahend kui ka rahaülekanne SEB pangast. Pidi ju ometi olema stabiilne ja töötav tarkvara? Põhjus on siin:

Allikas: kuvatõmmis

Kahepäevane veaotsing tipnes põhjuse leidmisega – arvutis leidus salajane Hiina päritolu kaardilugeja, mille olemasolu oli meelestki läinud.

Foto autor: Anto Veldre

Küsisin asjatundjalt – kas liigne kaardilugeja arvutis võibki põhjustada probleeme? Selgus, et just nii ongi. Kui pista oma kaart teise kaardilugejassse ning jätta esimene tühjaks, siis hakkavad juhtuma “nähtused”. Olgu seegi õpetuseks neile, kes usuvad, et ID-kaardi tarkvara peab rõõmsasti jooksma igas juhuslikus arvutikastis.

Üllataval kombel oli olukorra lahendamisel abi sirvikust nimega Edge, mis, kuigi ise sisselogimist sooritada ei suuda, nõustus kaardilugejaid demonstreerima ükshaaval ja poole suuremalt, nii et ka tädi Maali olukorda mõistis:

Allikas: kuvatõmmis

Lahendus: ebavajalik kaardilugeja tuleb draiverite menüüst üldse keelustada (disable!), pärast mida “nähtused” kaovad:

Muus osas aga – Windows oma miljardise kasutajaskonnaga on piisavalt lihvitud tarkvara ning ka id.ee paigaldusjuhised on muutunud väga konkreetseks. Kui install ebaõnnestub, siis pigem on viga kusagil mujal kui ID-kaardi tarkvaras.

Allikas: kuvatõmmis

ja kolm sirvikut:

Allikas: Anto Veldre

Ühtlasi soovitame läbi lugeda blogikrje lõpuosas paiknevad peatükid “Murekohad” ja “Taustainfot Maci turvalisuse kohta”.

Paigaldus

Paigaldamise üldine töövoog näeb välja selline:

Autor: Anto Veldre

Vaatleme korraks ka detailvaadet. ID-kaardi tarkvara paigaldamise, häälestamise ja testimise protseduur on jaotatud kolmeks järjestikuseks rajaks – A , B, C – millest igaühe läbimine on järgmise raja eeldus. Sõnaga, nagu arvutimängu levelid.

ID-kaardi paigaldamise töövoo diagramm. Autor: Anto Veldre

Raja A läbimine tagab, et programmid on õigesti paigaldatud. Rada B selgitab välja, kas kasutajal on olemas vajalikud PIN-koodid, kaart pole lukus ega sertifikaadid aegunud ning et kasutajal on olemas vajalikud vilumused PIN-koodide pruukimiseks. Lõpuks, raja C läbimine tagab, et ka sirvikud saavad ID-kaardi tarkvaraga hästi läbi ja nõustuvad koostööd tegema e-teenustega, kus vajatakse nii sisselogimist kui allkirjastamist.

Parandus [2017-10-13]: veebileht sk.ee/tervitus pole enam käigus, esmatestimiseks logi sisse riigiportaali eesti.ee.

Sissejuhatus tehtud, võime liikuda raja A läbimise juurde.

Rada A

Raja A läbimine (tegevused 1–5) käigus paigaldab kasutaja vajaliku tarkvara. Raja A edukas läbimine annab kindluse, et kaardilugeja töötab ja ID-kaardi sisu on operatsioonisüsteemile üldse nähtav – vastasel juhul ei hakka tööle ka muud, keerulisemad toimingud.

Allikas: Anto Veldre

Tegevus 1 – uuendamine/värskendamine/ajakohastamine. Apple’i arvutitel toimub uuendamine automaatselt äpipoe kaudu, kuid „Update“ käsk tuleks kindluse mõttes anda ka käsitsi. Alljärgneval pildil on kaks uuendust soolas ning need tuleks vastu võtta, enne kui edasi liikuda. Vajuta nupule „Updates“.

Allikas: kuvatõmmis

Tegevus 2 – Arvutisse tuleb paigaldada kõik asjakohased sirvikud, ehk siis Firefox ja Chrome. Need tuleb ise netist kohale tuua, vastavalt siis Mozilla ja Chrome’i allalaadimislehelt. Paigaldus käib nagu Macis ikka: tuuakse kohale *.dmg fail, käivitatakse see, lohistatakse aplikatsioon Installerisse. Alljärgnev näide põhineb Firefoxil, Chrome paigaldamine on väga sarnane:

Vali “Downloads”. Allikas: kuvatõmmis

Faili avatakse. Allikas: kuvatõmmis

Fail liigutatakse kausta “Applications”. Allikas: kuvatõmmis

Eeldatav tulemus

Launcheris on näha mõlema sirviku käivitusikoonid:

Allikas: kuvatõmmis

Käivitama veel ei pea, see jääb pärastiseks.

Tegevus 3 – Nüüd asume paigaldama ID-kaardi tarkvara. Lähtuda  tuleb id.ee juhistest, põhjusel, et seda blogikirjet aasta pärast keegi ei uuenda, id.ee juhiseid aga küll. Saidile installer.id.ee Maciga minnes antakse platvormikohaseid soovitusi:

Allikas: kuvatõmmis

MacOSXi puhul erineb installeerimine kõigist teistest platvormidest sellega, et esimese paketina kästakse alla tõmmata sirvikutugi (allkirjastamine ja autentimine veebis) ning alles teise paketina ID-kaardi haldusvahend koos DigiDoc3 utiliidiga). Probleem – kiirelt tegutsejad jätavad mõnikord teise toe paigaldamata, mistõttu, kui neil tekivad probleemid, pole neil vahendeid vigade leidmiseks ja väljaajamiseks.

Seetõttu anname kindla soovituse – kindlasti ikka peale panna kõik viidatud paketid.

Paigaldamine toimub rakenduste poe kaudu täiesti tavaliselt:

Vali “Downloads”. Allikas: kuvatõmmis

Faili avatakse. Allikas: kuvatõmmis

Kohale toodud paigaldusäpp tuleb käima klikkida:

Allikas: kuvatõmmis

Paigaldamise käigus nõutakse administraatori parooli:

Allikas: kuvatõmmis

Paigalduse lõppedes hoiatab installer, et on vaja ära tuua veel teinegi pool tarkvarast. Seda tulebki teha:

Allikas: kuvatõmmis

Äppstoori vaade on selline (mõlemad paketid ootavad installimist):

Allikas: kuvatõmmis

Eeldatav tulemus

Mõlemad äpid (ID-kaardi haldusvahend ja DigiDoc3) on installitud ja kasutamiseks valmis:

Allikas: kuvatõmmis

Kui äpid saavad paigaldatud, ilmuvad nad nähtavale ka Launcheris:

Allikas: kuvatõmmis

Tegevus 4 – Ühenda kaardilugeja arvutiga (enamasti käib see USB-pistiku abil), ning pista kaart lugejasse. Jälgi, et kaart oleks lugejas ikka õigetpidi:

Autor: Anto Veldre

Kontrolli et tegu oleks ikka õige kaardiga, mis on õigetpidi sees (pilt allpool, kiip eespool). Vähemalt kord elus pistab meist igaüks lugejasse hoopis pangakaardi ja siis imestab: miks küll ei saa e-teenusesse sisse logida:

Autor: Anto Veldre

Tegevus 5 – Käivita äpp, mille nimi on ID-kaardi haldusvahend (ID-card Utility) ning veendu, et haldusvahend näeb kaarti ning suudab sellelt andmed sellelt välja lugeda.

Eeldatav tulemus

Allikas: kuvatõmmis

Võimalikud veateated

Juhul kui on tehtud viga kaardilugeja ühendamisel või on kaart valepidi sees või on kiip tuksis, võivad esineda sellised veateated:

Allikas: kuvatõmmis

Allikas: kuvatõmmis

Rada B

Rada B on mõeldud krüptograafiaga kaasneva info kontrollimiseks:

• kas PIN-koodid on meeles,
• ega PIN-koodid pole lukustunud,
• kas isikusertifikaadid kehtivad,
• kas konkreetne kaart on võimeline krüptograafilisi toiminguid sooritama.

Allikas: Anto Veldre

Tegevus 6 – PIN1 abil saab Haldusvahendis avada oma passipildi (see tuuakse PPA andmebaasist). Selleks tuleb vajutada lingile „Laadi pilt“ ja sisestada oma kaardi PIN1:

Allikas: kuvatõmmis

Juhul kui PIN1 on õige, ilmub ekraanile Sinu passipilt:

Allikas: PPA ja kuvatõmmis

Kas nägid oma passipilti? Kui ei, siis pole mõtet edasi liikuda, vaid tuleb lahendada PIN1 mure.

Tegevus 7 – PIN2 koodi kasutades tuleb Digidoc3 utiliidi abil digiallkirjastada mõni fail. Kuivõrd digiallkirjal on õiguslik tähendus, siis tuleks testimiseks valida mõni ohutu kiisupilt. Alul käivitame DigiDoc3 äpi:

Allikas: kuvatõmmis

Valime „allkirjastada dokument“, kusjuures vorminguks valime moodsaima „*.asice“:

Allikas: kuvatõmmis

Ka lisaväljad võib täita, ehkki testi puhul pole seda otseselt vaja:

Allikas: kuvatõmmis

Dokument on allkirjastamiseks valmis, nüüd tuleb vajutada “Allkirjasta” nupule ja sisestada oma kaardi PIN2:

Allikas: kuvatõmmis

Eeldatav tulemus

Kui tegevus õnnestus, on tulemuseks digiallkirjastatud kassipilt:

Allikas: kuvatõmmis

Sellega on raja B tegevused edukalt sooritatud.

Hoiatus! Rada B tuleb kindlasti edukalt läbida enne, kui üldse raja C (ehk sirvikute konfigureerimise) juurde edasi liikuda. Sestap on siin vahel punane joon.

Allikas: kuvatõmmis

Allikas: kuvatõmmis ID.ee saidist

Rada C

Kolmas ja viimane rada kätkeb endas sirvikute konfigureerimist netis kasutamiseks. Põhiliselt vajavad sättimist allkirjastamise moodulid. Lähtuda tuleb id.ee ajakohasest infost sirvikute Safari, Chromium ja Firefox kohta.

Rada C sisaldab selliseid tegevusi:

Allikas: Anto Veldre

Raja C tegevused tuleb sooritada iga sirviku jaoks eraldi. Otstarbekam on kõigepealt häälestada ära põhisirvik Safari ja alles siis Chrome ning Firefox.

Parandus [2017-10-13]: veebileht sk.ee/tervitus pole enam käigus, esmatestimiseks logi sisse riigiportaali eesti.ee.

Tegevus 8 – Automaatinstalli tulemuste ülevaatus. Safariga saab paigaldus ise hakkama – sealsed moodulid klikime lahti alles tegevuses nr 10. Kindlasti aga modifitseeris paigaldusprogramm sirvikute Chrome ja Firefox sättungeid. Emma-kumma käivitamisel ilmub tavapärane turvahoiatus, et programm on pärit pahast-pahast Internetist. Antud juhul ohtu pigem pole –- olid see ju Sina ise, kes just tõi õiged sirvikud originaalsaidist kohale:

Google Chrome’i avamiseks kinnituse küsimine. Allikas: kuvatõmmis

Firefoxi avamiseks kinnituse küsimine. Allikas: kuvatõmmis

Edasi vaatame üle, missuguseid muudatusi installer sirvikute häälestusse tegi.

Chrome

Chrome’i puhul märgib muudatusi sirviku üleval paremas nurgas tekkinud ID-ikoon (millel võib lisainfo saamiseks ka klõpsata):

ID-ikoon brauseri nurgas. Allikas: kuvatõmmis

Ühtlasi annab Chrome meile teada:

Allikas: kuvatõmmis

Loomulikult tuleb vajutada nupule „Enable Extension“.

Firefox

Firefox annab muudatustest väga häälekalt teada. Muudatused tuleb aktsepteerida (linnuke kasti „Allow this installation“) ja vajutada ilmuvale nupule “Restart”:

Allikas: kuvatõmmis

ID-kaardi tarkvara uusim versioon paigaldab suisa mitu lisamoodulit, sestap ilmub nähtavale teinegi infoteade:

Allikas: kuvatõmmis

Ka selle teate puhul tuleb teha linnuke kasti „Allow this installation“.

Tegevus 9 – kontrolli, kas sirvik suudab operatsioonisüsteemi vidinatega suheldes Sind mõnda e-teenusesse autentida (sisse logida). Lihtsaim on selleks kasutada testimiseks mõeldud spetsiaalset tervituslehte. Parandus [2017-10-13]: veebileht sk.ee/tervitus pole enam käigus, esmatestimiseks logi sisse riigiportaali eesti.ee.

(Sügavam selgitus: viisakate e-teenuste https-ühendus moodustatakse viisil, et TLS pannakse püsti ID-kaardil leiduva krüptomaterjali abiga. See omakorda nõuab kaardi „avamist“ PIN1 koodi abil. Kui sirviku ja ID-kaardi suhtlus miskipärast ei toimi, siis turvalist https-ühendust püsti panna ei õnnestu ja tervituskatse luhtub.)

Sisselogimiskatse tuleb sooritada eraldi iga kolme sirvikuga.

Eeldav tulemus

Tervitusleht palub valida sertifikaadi (formaalsus), seejärel palutakse sisestada PIN-kood:

Allikas: kuvatõmmis

PIN-koodi sisestamine. Allikas: kuvatõmmis

Kui kõik õnnestub, siis näidatakse lõbusat ID-mehikest:

Allikas: kuvatõmmis

Võimalikud veateated

ID-kaarti ei leitud:

Allikas: kuvatõmmis

On võimalikud ka ebamäärasemad veateated:

Allikas: kuvatõmmis

Sellise veateatega sirvikut ei saa edaspidi kindlasti kasutada. Viga tuleb üles leida ja lahendada, vajadusel spetsialisti poole pöördudes.

Kõige keerulisematel juhtudel on midagi vussis tarkvaraliste alamsüsteemide vahel – üks aken näitab, et ID-kaart on loetav ja teine, et pole. Sellisel segasel puhul on mõtet teha restart ja kui see ei aita, pöörduda IT-asjatundja poole.

Allikas: kuvatõmmis

Kuniks pole autentimist tööle saadud, on parem allkirjastamise juurde mitte edasi liikudagi (sest praktiliselt kõikidesse digiallkirjastamist nõudvatesse e-teenustesse tuleb esmalt sama sirvikuga sisse logida).

Tegevus 10 – Tuleb üle kontrollida ja häälestada kõigi sirvikute moodulid ja pluginad. Tegevuses tuleb lähtuda id.ee juhistest:

• Safari
• Chrome
• Firefox/Mozilla

Safari

Leia Safari menüüst valik „Preferences”:

Allikas: kuvatõmmis

Vali turvalisuse sakk („Security“) ning klõpsa seal nupul „Plug-in Settings“:

Allikas: kuvatõmmis

Ilmub nähtavale pluginamenüü, kust paistab, et „Firefox Token Signing“ ongi juba installitud ning ka sisse lülitatud (seisundis „On“). Kui ka Sinu arvutis paistab samamoodi, siis midagi tegema ei pea. Vajuta „Done“:

Allikas: kuvatõmmis

Ühtlasi ei maksa end lasta nimetustest eksitada – jah, tõepoolest – ka Safari kasutab „Firefoxi“ nimelist pluginat.

Chrome

Chrome’is vajab ülekontrollimist üksainuke laiendus (extension). Nn kolme-täpi-menüüst tuleb jõuda menüüpunktini Extensions / Laiendused:

Allikas: kuvatõmmis

Laiendus nimega „Token Signing“ peab olema seisundis „Lubatud“  (Enabled). Kui polnud, siis tuleb see käsitsi aktiveerida ja teha sirvikule restart:

Allikas: kuvatõmmis

Firefox

Firefoxi all on sättimist vajavaid laiendusi ja pluginaid pisut rohkem, pealegi oleneb nende kogus ID-kaardi tarkvara versiooninumbrist. Alates jaanuarist 2017 tuleb sättida tervelt kaks laiendust (extensions).

Nn kolme-triibu-menüüst tuleb liikuda alammenüüsse “Lisad”:

Allikas: kuvatõmmis

Juhul kui tegu on ID-kaardi tarkvara uuema versiooniga, paistab menüüs „Extensions“ / „Laiendused“ suisa kaks laiendust:

Allikas: kuvatõmmis

Kumbki moodul pole ülemisel pildil veel aktiivne. Mõlemad tuleb käsitsi lubada ning teha sirvikule restart:

Allikas: kuvatõmmis

Ent sellega häälestus ei piirdu. Tuleb veel minna alammenüüsse „Pluginad“ ning kui tegu oli vanema tarkvaraga, siis paistab seal moodul „Firefox Token Signing“, mis tuleb keerata aktiivseks:

Allikas: kuvatõmmis

Lõpptulemus – plugin olgu seisundis “alati aktiivne”:

Allikas: kuvatõmmis

Kokkuvõttes – Firefoxi puhul tuleb aktiveerida kaks ühikut lisamooduleid. Varem oli üks neist plugin, teine laiendus, alates jaanuarist 2017 pakutakse kaht laiendust.

Tegevus 11 – Sirvikuga allkirja andmine. Tuleb tunnistada, et digiallkiri on tõsine värk ja Eestis on raske leida e-teenust, kus saaks digiallkirjastamist ohutult, kuid tasuta testida. Üks selliseid keskkondi on hiljuti uuenenud digidoc.ee. Piiranguks on eelnev registreerimine. Tuleb ID-kaardiga sisse logida, endale „kasutaja teha“ ning – eestlasele tundub see jabur – siis saadetakse e-kirjaga registreerimislink, mida klikkides konto luuakse. Ent portaal muutus rahvusvaheliseks, Leedu IT-ettevõte Estina peab arvestama ka teiste riikide kommetega. Igatahes saab kuni 5 digiallkirja kuus anda tasuta ning just seda me hetkel vajame.

Allikas: kuvatõmmis

Pärast registreerimist tuleb oma kontole laadida üles mõni sobilik kiisupilt ning see allkirjastada. Mõned ekraanipildid (küll Windowsi keskkonnast), mis seda protseduuri illustreerivad:

Allikas: kuvatõmmis

Parooli sisestamine. Allikas: kuvatõmmis

E-posti aadressi kinnitamine. Allikas: kuvatõmmis

Alustamine. Allikas: kuvatõmmis

Digiallkirja vormingu valimine. Allikas: kuvatõmmis

Sertifikaadi valimine. Allikas: kuvatõmmis

Vajuta nuppu “Allkirjasta”. Allikas: kuvatõmmis

(selle koha peal surises portaal vähemalt kaks minutit… ikkagi tasuta kasutaja või sedasi…). Lõpuks küsiti PIN2 koodi:

Allikas: kuvatõmmis

Eeldatav tulemus

Pärast edukat allkirjastamist saadetakse e-kirjaga kinnituskiri. Edu on selgelt tähistatud.

Allikas: kuvatõmmis

Tegevus 12 – Tuleks sooritada sirvikuga allkirjastamise test veel ka mõnes muus e-teenuses, eelistatult pangas. Netipankade allkirjastamisskriptid on ühtlasi keerulised ja neid kasutatakse kõige sagedamini, mistõttu vead ilmnevad kõige kiiremini. SEB on valitud isikliku eelistuse põhjal, testida võib ka teistes netipankades.

Internetipanga kasutamiseks tuleb end kõigepealt sisse logida, milleks on loomulikult vaja kasutajatunnust vastavas pangas. Edasi toimub sertifikaadivalik ja PIN1 küsimine, nagu igas e-teenuses:

Allikas: kuvatõmmis

PIN-koodi sisestamine. Allikas: kuvatõmmis

Seejärel tuleb alustada sobivate rekvisiitidega makset ning see allkirjastada:

Allikas: kuvatõmmis

PIN2 koodi sisestamine. Allikas: kuvatõmmis

Võimalikud veateated

Allkirjastamine ebaõnnestus:

Allikas: kuvatõmmis

Kas lubad veebilehel kasutada pluginat:

Allikas: kuvatõmmis

Ehk unustasid Sa mõne plugina või laienduse aktiveerimata. Mine tagasi tegevusse 10 (rada C) ja aktiveeri vastava sirviku kõik asjassepuutuvad pluginad – nende seisund peab olema mitte “Ask”, vaid “Always Active”.

Kindlasti on võimalikke veateateid rohkem, kuid Maci testimise käigus neid lihtsalt ei esinenud – pangas allkirjastamine töötas laitmatult.

Taustainfot Maci turvalisuse kohta

Eraldi teema on MacOSi kasutamine turvalise platvormina – ehk usaldatud töövahendina. Isegi Apple ei väida enam MAcOSi tutvustuses, justkui oleks OSX / MacOS viirusevaba ja turvaliselt ülim operatsioonisüsteem. Võrreldes Windows 10 tulemuslikuks ründamiseks vajalike võtete keerukusega on MacOSi kuritahtlik ärakasutamine oskuslikule ründajale oluliselt hõlpsam.

Kui Sul on ikkagi kange tahtmine õunamärgilise seadmega oma raha- ja tööasju ajada, soovitame see võimaluste piires turvata. Juhendeid on selleks erinevaid ning me ei saa siinkohal ühtki teisele eelistada. Alustuseks sobib aga end drDuhiks nimetava tegelase ülevaade MacOSi turvalisemaks (kuigi mitte turvaliseks) konfigureerimise meetmetest või siis lihtsam skript, mis õunamasina seadeid kontrollib ning neid kasutaja nõusolekul „peenhäälestab“. Infolink veebilehitseja Safari turvalisuse kohta.

Murekohad

Olulised “märkused” ID-kaardi tarkvara juurde:

Tuleb aru saada, et Apple’i tarkvara on oma olemuselt kinnine. Ligipääs sellele, saati siis enne ametlikku reliisi, on seotud väga karmide NDA tingimustega. Otse öeldes, arendustingimused on karmid, nii meie- kui muumaistel arendajatel tuleb kassi otsida pimedas toas. Tõenäoliselt aja jooksul, kui Macimaailmas hakatakse kiipkaarte rohkem kasutama, muutub olukord paremaks. Taustainfo: Ludovik Rousseau blogi, eriti OSi uusversioonide ilmumise paiku.

Arvestades, milline on Maci kasutajate hulk Eestis protsentuaalselt, tuleks neil olla õnnelik, et tugi operatsioonisüsteemile MacOS X on olemas. Selle toe kvaliteet ei ole veel parim, põhjusteks asjaliku tagasiside vähesus ja ennekõike kinnine arendusplatvorm. Hetkel tuleb Maci kasutajatel teadmiseks võtta, et ID-kaardi tarkvara kvaliteet ei küündi samale tasemele kui näiteks Windowsi puhul. Oleneb ju tarkvara kvaliteet otseselt kasutajate hulgast ja antava tagasiside põhjalikkusest.

Kui keegi mõne probleemi avastab, või veel enam, selle enda jaoks lahendab, palun sellest kindlasti teada anda ka telefonil 1777.

Apple’i üldine ideoloogia on, et programm teeb mingit üht asja ja teeb seda hästi. Antud juhul tuleb sellesse eesmärki suhtuda reservatsioonidega: kasutajad peavad aru saama, et Apple’i kinnine arendusmudel koos kasutajate vähesusega ei ole seni võimaldanud MacOS Xi spetsiifilisi muresid baastarkvarast päris lõpuni välja ajada.