Ühe tähelepanuväärse näitena võib välja tuua nõusolekuteenuse, mille abil saab juba peagi kontrollida enda isikuandmetega toimuvat, ning mis võimaldab andmepõhist innovatsiooni erasektoris. Seda teemat puudutav esitlus pälvis ka kuulajatelt elavat tähelepanu. Avaldame vastused vaatajatele tekkinud küsimustele.

Riigi infosüsteemi haldussüsteem RIHA ja selle arengud, Riho Kerge

Klassifikaatorid olid vanas RIHA-s, nüüd toodi osad (valik tehti mingi kummalise loogika järgi) üle uude ja tuli info, et vana RIHA pannakse aasta lõpus kinni. Mis saab nendest vanadest klassifikaatoritest (mida RIHA vanast keskkonnast üle pole toodud)?
RIHA vanast keskkonnast toodi üle viimase kahe aasta jooksul uuendatud klassifikaatorid. Klassifikaatorite süsteemi koorineeriv Statistikaamet on arvamusel, et küllaltki suur osa vanas keskkonnas olevatest klassifikaatoritest polegi ilmselt klassfikaatorid, vaid infosüsteemi siseseks kasutamiseks loodud loendid. Ministeeriumide vahel on kooskõlastamisel klassifikaatorite süsteemi määruse eelnõu, mis näeb mh ette, et Statistikaamet selgitab välja, millised on (riigisisesed) klassifikaatorid ja kehtestab need või teeb ettepaneku klassifikaatori haldajale need kehtestada ühe aasta jooksul pärast määruse jõustumist. Eelnõu kohaselt kehtestatakse klassifikaatorid ministri määruse või asutuse juhi käskkirja. Ka seetõttu pole otstarbekas vanast RIHAst rohkem klassifikaatoreid üle tuua. (Põhjendatud juhul oleme siiski valmis enne 2020. aasta lõppu soovitud klassifikaatori(d) üle tooma, palun kirjutage meie kasutajatoele help@ria.ee.)

Ei soovi klassifikaatorit uuendada vaid et see toodaks üle uude RIHA-sse. Kasutusel ongi versioon, mis on vanas RIHA-s, seda sellepärast, et EU-s ei ole versioon muutunud.
Palun kirjutage meie kasutajatoele help@ria.ee ja leiame lahenduse

Kas asutused peavad nüüd kahele organisatsioonile oma infosüsteemide kohta aru andma ja kirjeldama? Statistika amet kogub samuti infot nüüd ülevaadet riigi infosüsteemi kuuluvate andmekogude kohta.
Statistikaamet on seaduseandja tahtel asunud riigis koordieerima andmehaldust. Selleks vajavad nad ülevaadet riigi infosüsteemi kuuluvate andmekogude kasutamisega seotud korralduslikest tegevustest. Sellist teavet RIHAsse ei koguta. Statisitikaamet on meile teadaolevalt seda infot kogunud/kogumas vaid ühekordse kaheosalise küsitlusega.

“Tuleb sisse logida” ja “anonüümne” ei ole väga kooskõlalised väited. Kas tõesti peab tagasiside andmiseks sisse logima?
RIHA kasutamise kohta tagasiside andmiseks ei ole sisselogimine nõutud. Anonüümse tagasiside saate jätta aadressil https://www.riha.ee/Tagasiside

Kas eelanalüüs on avalik dokument ja sellega võimalik tutvuda?
Dokumendiga tutvumiseks kirjutage palun RIHA tootejuhile

Millal RIHAKE valmis võiks saada?
Planeerime RIHAKEse valmimist 2021. aasta lõpuks.

Mis ikka saab X-tee alamsüsteemidega RIHA-s? Kas RIHA-s neid peale kustutamist ei näe ja peab otsima mujalt?
X-tee alamsüsteemid ei kuulu alates 2. detsembrist 2020 enam RIHAs registreerimisele ja seal täna olevad X-tee alamsüsteemid eemaldatakse RIHAst 2020 aasta detsembri teises pooles. Kõik X-tee alamsüsteemid leiab X-tee kataloogist https://www.x-tee.ee/service-catalog.

Miks seda RIHAKE-st jms kaasnevat kõike vaja on? X-tee teenuste wsdl-ides on objektid ja tüübid ju kirjas. Kas see lisatöö annab mingit lisaväärtust?
RIHA-le vaatamata puudub riigis ajakohane ja piisavalt usaldusvääre ülevaade riigis töödeldavatest andmetest. Kohati puudub selline ülevaade ka asutustel endil. Seni on puudunud ka standard võrreldavate andmekirjelduste loomiseks.
Statistikaamet on selle loonud. RIHAKE-sest saab asutuste andmehalduse töövahend – standardil põhinevate andmekirjelduste loomiseks ja edastamiseks RIHA-sse.
Seega loob RIHAKE-se kasutusele võtmine eeldused riigis töödeldavatest andmetest ajakohase ülevaate saamiseks (olemasolevate X-tee teenustega ei pakuta kasutamiseks kogus asutustes hallatavat andmestikku) ja andmete kiireks leidmiseks. RIHAKE-sega luuakse eeldused andmete paremaks kasutamiseks teenuste osutamisel ja otsuste tegemiseks.

Nõusolekuteenus – iga nõusolek loeb, Sander Randorg

Kas kõiki nõusolekuid antakse tasuta või kunagi saab neid ka hinnastada läbi selle platvormi?
Hinnastamist ei ole täna platvormi funktsionaalsuste hulka planeeritud.

Nõusolek ei ole isikuandmete kaitse üldmääruse alusel avaliku sektorile sobilik õiguslik alus isikuandmete töötlemiseks. Seega avalikus sektoris see ei töötaks. Kas NT kasutajaks on alati erasektor?
Praktikas on tõesti nõusolekuteenuse põhilised kasutajad erasektoris, kelle huviks on inimestele andmepõhiseid teenuseid pakkuda. Oluline on aga mõista, et nõusolekuteenuses antav nõusolek antakse tegelikult just avaliku sektori andmekogule, et eksisteeriks õiguslik alus andmete väljastamiseks, mis on üks isikuandmete töötlemise vorme. Andmete edasist töötlemist andmesaaja (näiteks ettevõtte) poolel reguleerib üldjuhul aga eraldi leping tema ja andmesubjekti vahel, mida ei hallata enam nõusolekuteenuses.

Teoorias on võimalik ka see, et avaliku sektori asutus küsib inimeselt mingit sorti lisateenuse pakkumiseks nõusolekut

(https://www.aki.ee/sites/default/files/dokumendid/isikuandmete_tootleja_uldjuhend.pdF lk 39), siiski sellistele kasutusjuhtudele me enda lahenduses ei keskendu.

Kui asutus kasutab kliendile teenuse andmiseks 12 erineva registri andmeid, kas pole oht et selle ühe avalduse töötlemiseks jookseb see keskne nõusoleku rakendus kokku? Meil on kümneid asutusi riigis.
Süsteemi perspektiivist annab inimene sellisel juhul 12 erinevat ja erinevale registrile mõeldud nõusolekut. Andmete väljastamisel kontrollib iga register just talle adresseeritud nõusolekut. Seega andmete liikumine toimub tegelikult mitmete erinevate registrite ja andmesaaja vahel, nõusolekuteenuses kontrollitakse lihtsalt seda “kas tohib?”.

Piloteerimise faasis on RIA ainus nõusolekuteenuse pakkuja, aga arhitektuuris arvestame aktiivselt vajadusega tulevikus nõusolekute haldus erinevate valdkondade vahel ära jagada, et vältida võimalikke halduskoormusest, jõudlusest, turvalisusest või muudest teguritest tingitud probleeme. Kindlasti jääb aga inimese jaoks nõusolekuteenuse keskkond riigiportaali, et kindlustada ühtlane kasutuskogemus.

Riik osutab teenuseid seaduste alusel, seetõttu kas riigiasutus peab üldse küsima neid nõusolekuid inimeselt?
Riiklikul andmekogul peab olema õiguslik alus enda käes olevate isikuandmete väljastamiseks. Riigiasutusel on seega vaja nõusolekut, kui ta tahab väljastada andmeid osapoolele, kellel pole ühtki muud seaduslikku alust nende andmete saamiseks. Lihtsustatult – kui ettevõte tahab riigi käest isikuandmeid, peab selle jaoks sellelt inimeselt luba küsima.

Kas isik võib nt volitada Google’it (või kedagi teist) oma andmeid saama perioodiliselt, et Google saaks mulle paremaid teenuseid osutada?
Nõusolekuteenuses antav nõusolek kehtib kindla ettemääratud aja, mille vältel on andmepäringud võimalikud. Google ei ole aga kindlasti osapool, kellega meil nähtavas tulevikus ühtki plaani oleks.

Kas nõusoleku tagasivõtmine kehtib ainult etteulatuvalt? St, ei pea tagantjärele mingeid nõusoleku alusel küsitud andmetega midagi tegema hakkama?Nõusoleku tagasivõtmine mõjutab ainult edasist andmeväljastust. Kuna juba edastatud andmetel on uus vastutav töötleja mõne ettevõtte näol, on näiteks “õigus olla unustatud” juba inimese ja selle ettevõtte vaheline küsimus.

Kas ma näen, kas minu antud nõusolekut on reaalselt kasutatud või mis andmeid andmete omanik reaalselt edastas?
Andmete edastamine peab olema võimalikult läbipaistev. Inimene saab analoogselt tänase andmejälgijaga ülevaate sellest, mis hetkel ja mis nõusoleku alusel andmed liikusid. Sellest, mis andmeid edastama hakatakse, saab inimene ülevaate juba hetkel, kui ta nõusolekut andma hakkab. Loomulikult on ülevaade sellest näha ka hiljem.

Kas SOM ja E&Y analüüs saab olema avalik?
Kindlasti, tegemist on siiski paljusid osapooli puudutava ja sisult olulise dokumendiga.

Riigil on meeletult andmeid ja nende peale teenuseid saab ehitada lõputult. Paraku tohib andmeid töödelda vaid seaduse alusel, mis oluliselt pärsib nt erasektoril kasutada riigi kogutavaid andmeid oma teenuse ehitamiseks. Kas mingil hetkel me jõuame ka selleni, et erasektor saab (kasutaja nõusolekul) kasutada andmeid riiklikest andmekogudest seadusest tuleneva eesmärgita?
See ongi tänase teenuse peamine mõte. Teisisõnu – positiivse stsenaariumi korral jõuab see hetk kätte suvel 2021.

Kes vastutab tekkinud kahju eest, kui mu nõusolek oli olemas, et saada teenust, aga teenus oli aeglane ja enne teenuse saamist jõudsin nõusoleku tühistada?
Nõusolekuteenuse arhitektuur välistab valdava enamiku sellistest juhtudest, kuna enne iga andmeväljastust kontrollitakse nõusolekut uuesti ning igal sammul on lähtutud inimese õigusest igal hetkel ümber otsustada. Teoorias eksisteerib imeväike võimalus, et inimene võtab nõusoleku tagasi hetk pärast seda, kui andmekogu on edukalt nõusolekut kontrollinud, aga ei ole veel jõudnud andmeid väljastada. Nagu iga teise meediumi puhul, pole füüsiliselt võimalik, et süsteem reageeriks absoluutselt samaaegselt. Nõusolekuteenus on aga siiski mitme suurusjärgu võrra kiirem, kui ükskõik millised tänased vahendid.

Kui andmejälgija jalajälg on seni päris väike, siis kas nõusolekuteenusega liidestavatele andmekogudele saab andmejälgija kasutuselevõtmine kohustuslik olema?
Andmejälgija ja nõusolekuteenus moodustavad teenustena ansambli, kuna on mõlemad tugevalt isikuandmete töötlemisega seotud. Nende ühine kasutuselevõtt andmeid väljastava andmekogu poolt on seega loomulik ning ka osapooltele mõistlik lahendus, kuidas andmete edastamine läbipaistvaks muuta.

Miks me usume, et inimesed enda andmetest lugu peavad, kuidas nad seda tegema panna? Ma ju tahan laenu saada, mis mul üle jääb *klõpsan annan nõusoleku*.
Meie saame omalt poolt anda inimesele võimaluse enda andmete kasutamise üle otsustada, teha seda ühetaoliselt ja ühes keskkonnas, saame suurendada läbipaistvust, kuvada selgitusi ning vajadusel ka hoiatusi. Kui tänased võimalused oma andmete üle otsustamiseks on olnud ahtad, ei saa ka eeldada, et see lugupidamine tühja koha pealt tekiks. Suurenev avalik diskursus isikuandmete töötlemise võimaluste ja eetilisuse üle on aga igas vormis teretulnud.

Pangalingilt nõusolekute andmise näide. Milline saab olema avalik kommunikatsioon? Tavaline inimene ei saa aru, kuhu ja miks ta nüüd sattus.
Nõusoleku küsimine peab olema selge ja arusaadav protsess juba GDPR-ist lähtuvalt. Praktikas peab andmeid küsiv rakendus inimesele selgelt teada andma, et ta suunatakse nõusolekuteenusesse nõusolekut andma. Nõusolekuteenus ise saab olema lihtsasti mõistetav ning pakkuma hulgaliselt võimalusi teenuse sisuga tutvumiseks.

Küsimus andmekogu pidaja vaates: kas andmete väljastamise teenus võib olla ka tasuline?
Teoorias on see ilmselt võimalik, kuid sõltub palju konkreetse valdkonna isikuandmete jagamise suurematest eesmärkidest. Kui erasektori pakutavad teenused parandavad näiteks rahva tervist või aitavad võitluses rahapesu vastu, on kaudsed tulud tihti otsestest kuludest tähtsamad.

Sander, kas inimene annab/saab anda nõusoleku enda andmete kasutamiseks tähtajaliselt? Mille põhjal tekivad isiku andmetest komplektid, millele inimene õiguse annab ja kes neid komplekte haldab?
Jah, iga nõusolek, mis antakse, on tähtajaline. Isikuandmete komplektid määrab andmekogu pidaja, kes enda teenuseid nõusolekupõhiselt pakkuma hakkab. Komplekt võib olla nii olemasolev andmeteenus, selle osa või päris uus loodav teenus, mille skoop on selgelt määratud ja inimmõistetavalt kirjeldatud.

Kuna järgmised kasutusjuhtumid võiksid arenduseni jõuda?
Tänase plaani kohaselt liigume kursil suvi 2021.

Kuidas riik paneb andmete saajad selgelt sõnastama andmete kasutuse otstarbe? Kas see läheb nõusoleku küsimise protsessi sisse?
Andmete kasutamise otstarve ehk eesmärk on inimesele kuvatavas nõusolekutaotluses olulisel kohal. See, milline on mõistliku pikkusega ja oma sisult inimesele arusaadav eesmärk, on E&Y läbiviidava analüüsi üks punktidest.

Mis on uut X-teel, Joonas Heiter

Mis need x-ruumid on?
X-Ruumid on üks võimalik lähenemine publish-subscribe arhitektuurimustrile, kus senise 1:1 andmevahetusele lisaks ei pea andmevahetus olema samaaegne ning võib toimuda 1:mitmele.

Kas RIA on loonud või loomas lahendust turvaserveri logide pärimiseks/väljastuseks? Praegusel kujul pole pakendatud X-tee logide pärimine praktikas võimalik (võtab nädalaid ja kuid).
Hetkel universaalset lahendust kahjuks pakkuda ei ole. Küll aga on see arendusvajadusena uurimisel v7 osana.

Kas RIA sertifikaadid jäävad tasuta kõigile kasutamiseks?
Sertifikaate ei ole plaanis hinnastada.

Kas seose lisamine RIHAs oleva infisüsteemiga on kohustuslik või vabatahtlik?
Vabatahtlik, kuid võimalusel soovituslik.

Kas on ette teada, millal X-tee v6 tugi kaob, ehk et millal oleks viimane aeg v7-ga liituda? Kuna see üleminek on suur kulu ettevõtetele, oleks hea teada mingit ajaraami.
Üleminek algab aastal 2022 ning X-tee v7 väljatöötamisel on õpitud versioon 5 sulgemisest ehk v7 üleminek on pigem sarnane versioon 6 tarkvara uuendusega ning ei vaja eraldi suuri investeeringuid.

Millal X-tee v6 kasutusest välja läheb?
Eeldatavasti 2023. aasta jooksul.

Kui asutusel pole IT administraatorit ja arvatavasti on turvaserver uuendamata, kas mingist hetkest võib X-teega liitumine kaduda?
Vastavalt määrusele tuleb kasutada viimast või eelviimast tarkvara versiooni. RIA monitoorib turvaserverites kasutatavaid tarkvaraversioone, kuid kindlasti ei lülitata kedagi X-teelt automaatselt välja, vaid suheldakse otse turvaserveri administraatoriga ning vajadusel aitame tarkvara uuendada. Kindlasti võib siinkohal pöörduda RIA poole help@ria.ee

Kas RIA poolt väljastatud e-templi sertifikaate saab ka avalik sektor. Slaidil oli mainitud, et erasektor vaid ja viitasid väikestele raamatupidamisbüroodele.
RIA poolt väljastavad e-templi sertifikaadid on eelkõige mõeldud erasektori asutustele kasutamiseks. Sertifikaatide väljastatakse kõikidele asutustele, kuid avaliku sektori puhul rõhutame üle, et tegu ei ole kvalifitseeritud usaldusteenustega ning X-tee liikmel tuleb hinnata vastavalt oma asutuse infoturbepoliitikale riske.

Kuidas sahvris vahetatud AK dokumendid registreeritakse, mida nõuab AvTS?
Sahver on failivahetuskeskkond ning selles dokumente eraldi ei registreerita. AK dokumendid tuleb vastavalt AvTSile registreerida vastavas asutuse dokumendiregistris ning Sahvris on võimalik suurte andmemahtude korral neid teisele osapoolele edastada.

RIA roll valimiste korraldamisel, Alo Einla

Mis siis juhtuma hakkab, kui VIS3 õigeks ajaks valmis ei saa? Kas kasutakse VIS2?
VIS3 saab õigeks ajaks valmis. Rahvahääletuseks saab valmis minimaalselt võimalikud funktsionaalsused, mis on hädavajalikud valimissündmuse läbiviimsieks. VIS2 ei ole kasutatav.

Kas saab ka üksnes paberil hääletada?
E-hääletamine on seaduses sätestatud valimise viis. Seega järgmistel valimistel tuleb nii e-hääletamine kui ka paberil hääletamine.

Kas iseteenindusmoodulis saavad oma kandidatuuri KOV valimistel üles seada kõik soovijad?
Jah, kõik soovijad, kellel on selleks seadusest tulenev õigus.

Usaldusteenused – valmisolek uueks kriisiks ja NFC tugi, Andrei Kargin

Millal CRIIS’i soovitakse live‘is rakendada?
CRIISi valmidus toimetada sertifikaatide uuendamisega LIVE ID-kaartidel on planeeritud saavutada 2021 lõpp – 2022 alguses. 2021 aasta jooksul planeeritakse luua CRIISi valmidust TEST ahelas sertifikaatide uuendamiseks.

Hetkel on maailmas planeerimisel immuniseerimise sertifikaat. Kas on mõeldav, et selle tarvis vajalik info on ID-kaardi omanikel talletatud ID-kaardile? Ja mis arvate ise, kas on hea idee?
ARMIS projekt loob keskkonna, mis võimaldab lisada ID-kaardile rakendusi, mille kaudu saaks hallata ja esitada isikuga seotud erinevaid tõendeid, sealhulgas võiks olla ka immuniseerimise sertifikaat. Probleem on pigem, kuidas saab valideerida – kasutada selle sertifikaadi väljaspool Eesti ökosüsteemi. Selle probleemi lahenduse otsimisega me planeerime tegeleda eraldi.

Tartu ülikoolis öeldi, et ID-kaardi NFC töötab küll. Miks ei saa telefonis ID-kaardiga allkirja anda ja autentida?
NFC-liides on uutes ID-kaartides tõepoolest aktiivne ja selle kaudu saab kätte isikufailis olevaid andmeid ja isiku sertifikaate, kuid on keelatud kasutada autentimise ja signeerimise rakendusi. Piirang on seotud rakenduste sertifitseerimisega Qualified Electronic Signature Creation Device (QSCD) tasemele.

Kes on see partner või partnerid, kes CRIIS ja ARMIS teevad?
CRIISi projektis partneriteks on NORTAL, CYBERNETICA AS ja Clarified Security. ARMIS projektis partneriteks on NORTAL ja Clarified Security

Miks peab lisama kolmanda osapoole rakenduse info kaardile, kui kolmandad osapooled saavad juba kaardilt infot lugeda?
See kindlasti sobiks online teenustele, kuid võttes arvesse offline dokumente või tõendeid, siis kaardi peal olevaid andmeid nende jaoks kindlasti ei jätku.

Riiklik SSO ja selle arengud, Helen Raamat

Kas TARAga on kõik juba suuremalt jaolt liitunud või on oodata veel suurt kasutajaskonna kasvu?
Kindlasti on oodata veel olulist kasvu, arvestades, et meil on aastaga Riigi autentimisteenusega liitunute arv kasvanud poole võrra ning igakuine liitumiste arv järjest kasvab.

Miks mõned riigiasutused venitavad TARAga liitumist?
Võib eeldada, et selleks on erinevaid põhjusi, olgu selleks siis finantsiline (näiteks, ei leita vajalikku ressurssi liidesumiseks) või organisatoorne põhjus. Riigi autentimisteenuse poolel monitoorime igapäevaselt kliendivajadusi, mis võivad mõjutada nende liitumisotsusi ning püüame võimalusel need ka enda poolel lahendada.

Miks TARA väljastab infosüsteemile kasutaja nime suurtähtedes? Kui põhjus selles, et ID-kaardil õigel kujul nime ei ole, siis kas saaks selle sinna tulevikus panna?
Nimed loetakse sertifikaadi pealt ning edastatakse samal kujul Riigi autentimisteenusega liitunud infosüsteemile.

Kuhu Euroopas Eesti eIDga sisse saab?
Piiriülene koosvõime Eesti eIDga on loodud tänaseks 21s riigis, sh Austria, Belgia, Hispaania, Holland, Horvaatia, Itaalia, Kreeka, Leedu, Luksemburg, Läti, Malta, Norra, Poola, Portugal, Rootsi, Slovakkia, Sloveenia, Soome, Suurbritannia, Taani ja Tšehhi. Näiteks Taani on teavitanud umbes 55st erinevast e-teenusest, mis on kättesaadavad läbi Taani riigiportaali https://lifeindenmark.borger.dk/. Samuti ka paljudes teistes eelnimetatud riikides.

Millist kasu asutus TARAga liitumisest saab? Kas see muudab kuidagi töö tõhusamaks või hoiab raha kokku?
Autentimislahenduse haldus igas asutuses ja haldusalas eraldi on nii haldamise kui arendamise mõttes kulukas. Riigi autentimisteenusega liitudes saavutatakse oluline kulude kokkuhoid, kuna asutus ei pea enam ise oma autentimislahendusi välja arendama ja neid käitama. Kuna autentimispäringud kaetakse samuti keskselt läbi Riigi autentimisteenuse, siis kaob asutusel vajadus hallata eraldi lepinguid SK-ga ning sellega seotud päringuid oma eelarvest rahastada. Asutused, kellel lasub eIDAS määruse rakendamise järgne kohustus tunnustada oma e-teenustes Euroopa Liidu liikmesriikide hinnatud eID vahendeid, saavad selle funktsionaalsuse läbi Riigi autentimisteenuse, ilma ise keerukat piiriülest taristut implementeerimata.

Kas praegused TARA kasutajad on sellega rahul?
Meile laeunud pöördumiste põhjal võib järeldada, et kasutajad on TARAga rahul. Ainuke rahutuse märk esineb üksikutel juhtudel arendajate poolt, kes pole TARA kohta käivat dokumentatsiooni hoolikalt läbi lugenud ja satuvad seetõttu segadusse.

Millised on kasutajate kõige sagedasemad probleemid TARAga?
Arendajate poolt arenduse käigus muudetakse mingeid parameetreid (nt redirect-url või client_id) ja siis TARA poole pöördumisel saadakse viga. Testimisel live ID-kaardi või MID ei ole korrektselt serdid üles laetud SK demo lehele.

Kas lokaalne autentimisserver võib või tohib tara teenust vahendada?
Kui küsimus käib kasutusjuhu kohta, kus asutusel on oma infosüsteem, mis delegeerib autentimist Riigi autentimisteenusele, siis selline kasutusjuht on lubatud eeldusel, et see on turvaliselt tehtud. Siinkohal lasub asutusel kohustus teavitada RIAt infosüsteemidest, kuhu autentimisteenust vahendatakse.

Alustame RIA osakondade tutvustamise sarjaga, mille avapaugu teeb eID osakond. Tänu eID meeskonnale on Eesti inimeste elu e-teenuste tõttu märgatavalt lihtsam. Elektroonilise identiteediga saab asju ajada kasvõi maailma veerel nagu tegi president Kersti Kaljulaid, kes allkirjastas teenetemärkide otsuse Antarktikas purjelaeva Admiral Bellingshausen pardal.

Riigi Infosüsteemi Ameti üks silmapaistvamaid osakondi on kindlasti elektroonilise identiteedi ehk eID osakond, kes 2017. aastal ID-kaardi kriisi ajal kastaneid tulest välja tõi. Igapäevaselt tegeleb eID osakond Eesti elektroonilise identiteedi kasutamise võimaluste arendamise ja haldamisega. Elektrooniline identiteet seob elektroonilises keskkonnas isiku tema füüsilise identiteediga – võimaldab aru saada, et internetis ei tegutse sinu nime alt tädi Maali, vaid päris Sina!

Ilmselt oled kuulnud DigiDoci tarkvarast, mida kasutatakse digiallkirjastamiseks ja krüpteerimiseks ning id.ee abikeskkonnast. Lisaks neile on eID osakonna hallata ka sisselogimislahendus nii Eesti kui ka teiste Euroopa Liidu riikide veebilehtedele ning tembeldamisrakendus TeRa, mis on mõeldud vananenud vormingus dokumentide turvalisuse tagamiseks.

Asutustele ja e-teenustele pakub eID osakond autentimise ja digiallkirjastamise teeke ning täisteenuseid, nagu autentimisteenus, allkirjastamisteenus, digiallkirjastamiseks vajalike ajatemplite vahendusteenus ja valideerimisteenus. Samuti on eID osakonnal täita teadmuskeskuse oluline roll – nõustame ja juhendame kõiki soovijaid ning edendame Euroopa Liidu ülest koostööd. 2019. aastal võitis eID baastarkvara Digidoc4 Euroopa Komisjoni võistlusel „Sharing & Reuse of IT Solutions Awards“ esikoha. Tarkvara pärjati teenuste ja kodanike jaoks suurima mõjuga vabavaralise tarkvara tiitliga.

Eesti elektrooniline identiteet lihtsustab inimeste elu märgatavalt. Tervelt 98% avalikest teenustest on Eestis e-teenustena kättesaadavad ning koguni 43% hääletajatest kasutavad interneti hääletamise võimalust. Eesti eID aitab kogu maailmas asju ajada – president Kaljulaid allkirjastas tänavuste teenetemärkide otsuse Antarktikas purjelaeva Admiral Bellingshausen pardal! Eesti elektroonilise identiteedi lahendused on eeskujuks kogu maailmas.

Et kogu see keeruline kaadervärk toimiks, töötab eID osakonnas 16 inimest. Oma tootejuht ja projektijuht on usaldusteenustel, autentimisteenustel, allkirjastamisteenusel, lõppkasutaja tarkvaral ning alusteekidel. Teenuste üleselt on osakonnas tööl analüütik, tarneinsener ja teenusehaldurid.

EID seltskond on mitmekesine nii teadmiste kui ka hobide poolest. Kõige staažikam neist on RIA-s töötanud juba kümme aastat ning uusim tulija viis kuud. Kolleegid on leidnud hulgaliselt ühiseid huvisid – osakonnal on oma WRC ennustuste liiga ning köögiseinal ripub noolemäng. Mõnel eriti suurel entusiastil on lausa oma nooled kaasas, et vastaseid heidutada. Aeg-ajalt lahkub seltskond töölt korraga, et ühiselt discgolfi rajale suunduda. Lisaks on nad aegade jooksul proovinud ka matkauiske, aga see hobi pole Eesti kesise talveilma tõttu kestma jäänud. Inimesi ükshaaval ette võttes leiab veel palju põnevat – osakonnast on omast käest võtta näiteks lohesurfar ja võitlussportlane.

Kahel korral on eID-kad käinud kokakunsti meistrinippe õppimas ning kui toa kommikauss mingil põhjusel tühi on, siis kauaks see nii ei jää! Võib kindel olla, et paari tunni jooksul võtab keegi vastutuse ja lahendab šokolaadikriisi.

Selle aasta algusest juhib eID osakonda oma tugeva, kuid leebe käega Mark Erlich, kelle positiivsus ja huumor ei jäta kedagi ükskõikseks. Osakonnas välja kujunenud kultuur võimaldab töötajal kaasa rääkida ja valikuid teha töötegemise viisi, aja ja koha suhtes. Kodukontor on suure au sees, näiteks armastavad paljud seda harrastada standardite lugemiseks või dokumentide koostamiseks. Mõni eID töötaja teeb vahepeal pikemalt tööd lausa Mehhikost, mõni teine logib tööarvutisse Eestimaa eri paigust – kord Saaremaalt, kord Lõuna-Eestist.

Osakond on avatud uuenduslikele ideedele ja projektidele. Kõik lennukad mõtted kuulatakse ära ning muredele leitakse üheskoos lahendus. Ülesandeid jagatakse mõistlikult, toimib avatud ning tulemuslik koostöö. Kontori õhkkond tekitab tunde, et oled vajalik, hinnatud ja oodatud. Osakond tegeleb väga oluliste teemadega, mille mõju võib märgata ka oma igapäevaelus. Nagu eID osakonna töötajad ise ütlevad, siis hea on tunda, et sinu töö on aidanud kogu Eesti inimeste elu kergemaks teha.

Annika Kluge
eID osakonna projektijuht

Selle suve lõpp saab olema äkiline – juhtub see, mida oleme juba pea kaks aastat vastutuult ennustanud: et ühel heal päeval keerabki Google sirviku Chrome kruvid koomale ega lase ID-kaardiga e-teenusesse isikuid, kelle kaardile on sattunud iluvigased sertifikaadid.

Millenniumlaste põlvkonnale, kes üle ühe nühvliekraanitäie korraga läbi lugeda ei täi, ütleme seetõttu kohe ära – eID pruukimiseks netis leidub ometi ju ka muid sirvikuid peale Chrome’i!

Kas see teema mind üldse puudutab?

Esimene ja kõige tähtsam küsimus – kas uudis puudutab kuidagi just mind? Küsimus on oluline, sest sertifikaadiuuenduse eelmine teavituslaine tõi meie telefonide otsa 70-aastased prouad, kes kartsid, et nende ID-kaart olla ehk tagaselja kehtetuks tunnistatud. Ei midagi säärast! Füüsiline ID-kaart ja elamisloakaart kehtivad isikut tõendava dokumendina kenasti edasi, mõningased seiklused puudutavad üksnes kaardi kasutamist Internetis.

Lakmusküsimus: kas Sina tarvitad oma ID-kaarti Internetis mõnesse e-teenusesse sisenemiseks? Viisil, et internetisirvik (brauser) küsib Sinu käest PIN1 või PIN2 koode? Kui JAH, vaid siis loe edasi, igal muul juhul mine ja naudi kena hilissuve, kuniks säärane veel kestab!

Aga … ma ju kasutan ID-kaarti elektrooniliselt! Pistan seda lugerisse Prismas, Apollos ja Olerexis? Tõepoolest, elektrooniliselt küll, aga PIN-koode seal üldjuhul ei nõuta ja sirvikust Chrome pole kassaterminalis lõhnagi, ehk siis – endiselt mine ja naudi vananaistesuve!

Tallinna Deed vs Chrome 61

Kord kodulinn Tallinnat pidi ringi jalutades leidsin liiklusmärgi aluse koos kivisse valatud kirjaveaga:

Pilt: http://tallinncity.postimees.ee/1262796/dalentide-linn-dallinna-deed

Raske tagantjärele oletada, kuidas säärane valuaps läbi lipsas, kuid üks on selge – liiklusmärki hoiab vigase kirjaga post püsti täpselt sama turvaliselt kui mistahes muu kirjaga post.

Oleme varem pikalt kirjeldanud (siin ja siin), kuidas nn negatiivse mooduli viga üldse tekkis, kuid üldiselt on tegemist samalaadi veaga, kui “Tallinna Deed”.

Igatahes on nüüd asjalood sedakaugel, et 5. septembrist 2017 laaditakse sirviku Chrome kasutajatele arvutisse uusversioon numbriga 61. Millega seoses, kui kasutaja isikusertifikaadid on iluvigadega nr 532048 ja/või 534766, siis paneb Chrome oma karvase käe vahele ning väljastab tehniliselt täpse, kuid sisult täiesti mõttetu veateate: „ERR_SSL_CLIENT_AUTH_CERT_NO_PRIVATE_KEY“. Enamike kasutajate jaoks on see hiina keel, sama edukalt võiks öelda: Böö!

Ah jah – keegi pole vigase sertifikaadiga karistanud just Sind isiklikult. Enne oktoobrit 2015 toodetud kaardid vastasid kenasti tollasele arusaamale kvaliteedist. Tõlgendus, nagu ka Google’i firma hinnangud, on muutunud normaalse arengu käigus. Alates oktoobrist 2015 väljastatud kaardid on igati korras ka tänase tõlgenduse kohaselt. Seejuures ei saa me välistada, et mõne aasta pärast leitakse puudujääke või arenguvõimalusi tänastelgi kaartidel…

Mis saab edasi?

Kuidas täpselt ja mis ulatuses uuendamata sertifikaatide teema Sind puudutab? Kuna Chrome’i turuosa sirvikute seas on suurusjärgus 70% ja ülalnimetatud kahest bugist jätkuvalt puudutatud kaartide kogus on umbes 270 000, siis päris paljudel inimestel tasuks siinkohal süveneda. Sest nüüd võib Sul tekkida väga konkreetne mure.

KUI Sinu isikusertifikaatides esineb mainitud viga NING Sa üritad pärast 5. septembrit 2017 Chrome’i uue sirvikuga (v61) mõnda e-teenusesse siseneda (mis nõuab PIN1), SIIS ajab uus Chrome sõrad vastu. Sa ei saa siis enam oma ID-kaardiga siseneda ei netipanka, eKooli, eesti.ee portaali ja kes kõik teab, kuhu veel. Küll aga on tehtud poliitiline otsus, et e-hääletamine sügisestel KOV valimistel on igal juhul võimalik (ja liiatigi veel turvaline ka).

Hetkel käibel olevad ID-kaardid (elamisloakaardid, digi-ID ja e-residendi kaardid) jagunevad kolme suurde kategooriasse, mis on pildil tähistatud värvidega: punane, sinine ja roheline.

Tuleb vaadata oma kaardi väljastamise kuupäeva (trükitud kaardi tagaküljele) ning selle alusel liigitada oma kaart ühte järgnevast kolmest grupist.

I – PUNANE – kaart on väljastatud enne oktoobrit 2014. Oluline on teada, milline iganes on Sinu olukord, kaardi endaga tegelemiseks on praegu juba hilja (mäletad ju, neid sai uuendada vaid 1. juulini 2017). Sinu valik – kas lähed võtad oma raha eest PPAst uue kaardi, sinna lisaks (kui veel pole) ka m-ID VÕI hakkad 5. septembrist Chrome’i asemel mingit muud sirvikut kasutama oma lemmikutesse e-teenustesse sisenemiseks. Muide, e-residentidele nii ammu veel kaarte ei väljastatud.

II – SININE – Sinu kaart on väljastatud vahemikus oktoober 2014 kuni oktoober 2015.  Erinevus PUNASE grupi sertifikaatidest – Sa saad endiselt sertifikaate uuendada. Selleks ava ID-kaardi haldusvahend ja vajuta nupule “Uuenda” (sertifikaate). Kui midagi ei juhtunud, siis kas polnudki vaja uuendada (kõik oli niigi korras või Sa läbisid uuenduse juba varem) või siis oli tegu mõne muu kaarditüübiga. Seega usalda ID-kaardi haldusvahendit – kui uuendamist oli vaja, siis see sooritatakse. Kuidas üle neti uuendamine täpselt käib, sellest loe siit (ja vaata juurde YouTube’ist õppevideot).

III – ROHELINE – Kui aga Sinu kaardil ilutseb väljastuskuupäevana oktoober 2015 või hilisem, siis on sertifikaatidega korras ning Sa ei pea mitte midagi tegema. Kui Sul sellegipoolest miski ei tööta, siis probleem võib mõnikord asuda ka ekraani ja tooli vahel, või väga harvadel juhtudel siiski ka konkreetses e-teenuses.

Allikas: http://knowyourmeme.com/memes/pebkac

Neile, kes armastavad pedantseid juhiseid, olgu siinkohal ära toodud ka otsuse tegemise voodiagramm:

Numeroloogia

Aktiivseid kaarte on eID ökosüsteemis hetkel arvel 1 294 653. Juuli lõpu seisuga leidus kaarte, mida oli viimase 12 kuu jooksul vähemalt ühel korral elektrooniliselt kasutatud, kokku 695 799.

Numbrid on esitatud seisuga 2017-07-01.

“A”-tüüpi kaarte ehk siis enne 2014-10-14 väljastatuid, jäeti kasutajate poolt lõpptähtajaks 2017-07-01 uuendamata 409 947. Selles koguses omakorda esineb Google Chrome’i v61 mõttes kriitilisi sertifikaadivigu 116 499 kaardil, millest vaid osa on kunagigi olnud elektroonilises kasutuses. Seega: reaalselt Chrome’iga kaklema hakkavate isikute arv on veel oluliselt väiksem. Oma “A”-tüüpi kaarte uuendati kokku 240 823 juhul, mistõttu saab öelda, et enamik tegelikest kasutajatest tegid ikkagi uuenduse ära. Muide: “A”-tüüpi kaardid aeguvad tempos ~20 000 kaarti igas kuus.

Edasi, “B”-tüüpi kaarte ehk siis neid, mida hakati väljastama pärast 2014-10-14, oli seisuga 2017-07-01 uuendamata jäetud 278 685, neist Google Chrome’i mõistes “iluvigadega” on 155 226, sh kaardid, mida pole eales e-kasutatud ega pigem hakatagi. “B”-tüüpi kaarte kauguuendati 54 015 juhul ning neid saab jätkuvalt uuendada.

Pisut teise nurga alt vaadates – kahe kaarditüübi peale kokku leidus (2017-07-01 seisuga) käibes 271 725 kaarti, mille üks või isegi mõlemad sertifikaadid Google Chrome’i v61-le ei meeldi (ning ilmneks see ikka vaid juhul, kui kaardiomanik tahab või tahaks selle sirviku kaudu mõnd internetiteenust pruukida).

• Neist 116 499 juhtu jäävadki nurka konutama ja ravi puudub (kaarditüüp “A”, joonisel punased) sest kui isik enne 2017-07-01 oma sertifikaate ära ei uuendanud, siis pärast seda kuupäeva ta enam ei saagi, isegi mitte PPA teeninduspunktides. Eks need kaardid olegi varsti aegumas, nii et aitab PPAst uue kaardi tellimine ning mobiil-ID kasutuselevõtt.
• Seevastu 155 226 kaardi puhul (kaarditüüp “B”, joonisel sinised) saab sertifikaate kenasti kauguuendada, pärast mida suudavad nad kenasti teha koostööd ka uue Chrome’iga. Lihtsalt uuendustoiming tuleb läbi teha.

Kokkuvõttes – nimetatud on MAKSIMAALSED arvud, mis ei arvesta tegelikku internetikasutust. Mingi osa inimesi pole oma ID-kaarti eales Internetis kasutanud, paraku puuduvad e-kasutuse kohta ka täpsemad andmed. Mõjutatud inimeste arv on seega oluliselt väiksem kui ülalnimetatud numbrid.

Kronoloogia

See peatükk on tehnikutele. Tavakasutajale võib nii detailirikas käsitlus jääda keeruliseks [Oluliselt täpsustatud 2017-09-01].

Praeguse Chrome’i juhtumiga on otseselt või kaudselt seotud järgmised tehnilised sündmused:

Teisisõnu – mida lugeda täiesti korras sertifikaadiks? Tänase tõlgenduse puhul on selleks pigem oktoobrist 2015 väljastatud sertifikaadid. Siiski ei saa päris välistada, et tulevikus tunnistatakse uuendamist vajavateks ka SHA-1 põhise vahesertifikaadiga (EstEID2011) tembeldatud isikusertifikaadid, millist teemat oleme varem käsitlenud siin. Mainitud asjaolu valguses saame öelda, et märtsist 2016 väljastatud sertifikaatidel pole teada ühtki, ka kõige pisemat teoreetilist probleemi.

Kaardipõlvkondade vahetus ei leidnud aset korraga, vaid järk-järgult. ID-kaardid läksid uuele platvormile üle esimesena – 16. oktoobril 2014. Digi-ID ja e-residendikaardid alustasid uue põlvkonnaga 01. detsembril. Ning lõpuks, 19. detsembril 2014 viidi kaardiplatvormile “B” üle ka elamisloakaardid.

Urinad ja jorinad

Q1 Miks minu kaarti garantiikorras välja ei vahetata?

A1 Sest tegemist pole tootmispraagiga, vaid välise olukorra muutusega. Sertifikaadid, mis varem olid täiesti asjalikud, omandasid globaalse turvaolukorra arengute ja suurfirmade valitud poliitika tõttu mõnevõrra teistsuguse turvahinnangu. OpenSSL vabavarapaketiga seonduvaid riske polnud võimalik ei ette näha ega salakavalate lepingutega katta.

Q2 Miks mulle varem teada ei antud?

A1 Tegelikkus on vastupidine – anti teada küll! Juba kaks aastat on nii siinses blogis – 1 –  2 – 3 – kui RIA kodulehe uudistes, lisaks avalikus meedias pidevalt räägitud vajadusest sertifikaate uuendada. Tegime kõik, mis meie võimuses, et inimesi uuendama suunata. Isegi YouTube’i õppevideod tellisime kolmes keeles.

Q3 No mul see ID-kaardi värk ikka ei tööta. On ikka niru tarkvara!

A3 Eesti ID-kaart ja kogu selle ökosüsteem on üks eesrindlikumaid terves maailmas! Võttes arvesse eelarve suurust ja kogu eID ökosüsteemi keerukust, on tegemist päris korraliku tootega. PEBKAC!

Kui Sinu probleem püsib, siis tuleb pöörduda IT-spetsialisti poole. Abi võib saada ka ID-kaardi tarkvara väga põhjalikest installijuhenditest siinsamas blogis – eraldi Macile, Linuxile ning loomulikult Windowsile.

Paraku pole Eesti-spetsiifilisel tarkvaral miljardeid kasutajaid nagu Gmail’il või Facebook’il, mistõttu mõni viga ehk ongi alles avastamata. Seega – palun rõõmusta meid ja ülejäänud kasutajaid ning anna oma muredest teada… näiteks abiliinil 1777.

Q4 Ma pole oma ID-kaardi tarkvara juba palju aastaid (3..4) kasutanud ja nüüd küll enam ei õnnestu tarkvara uuendada.

A4 Nii pikk paus on teadaolevalt probleemiks tõesti (Win, Linux) ja võib muuta ümberinstalli tavatult keeruliseks. Vajadusel pöördu IT-spetsialisti poole.

Neil päevil avalikustatakse uus väljalase (reliis) ID-kaardi tarkvarast. Tegemist on regulaarse uuendusega, kus lisaks pisiparandustele leidub ka mõningaid päris uusi omadusi ja võimalusi. Umbes nädala jooksul teeb ID-kaardi tarkvara kasutajale tema arvutis ettepaneku, et oleks aeg uuendused alla laadida. Entusiastid saavad reliisi kohe ise alla tirida aadressilt installer.id.ee.

Vaade 4K ekraanilt Philips 288P6

Lühikokkuvõte olulisimast

• 4K monitoride peal paistavad haldusvahendi ja Digidoc3 aknad nüüd normaalsuuruses. Monitoride lahutusvõime uueneb tänapäeval kiiresti ja uskuge või mitte, arendajatel tuli terve teek välja vahetada, et haldusvahendi aken liiga kribuks ei muutuks.
• kaasa tuleb TeRa rakendus – riist vanade SHA-1-põhiste .ddoc digiallkirjade ületembeldamiseks. Allpool pikemalt.
• Olulised täpsustused eritüübiliste allkirjade kehtivuse ja kasutuspiirangute kuvamisel. Allkirja kõlblikkuse tasemeid osutatakse nüüd värviga. Allpool pikemalt.
• Läti vormingus allkirjadega saab Digidoc3 hakkama oluliselt paremini kui enne. Hurraa!

Lätil on rahvusvahelise .asice kõrval kasutusel ka veel omaenda edoc-vorming.

Reliisiga kaasatulevate muudatuste täielikku nimekirja saab lugeda siit.

Allkirjaredelist

Vanasti oli Eestis elu lihtne – eksisteeris üksainuke jagamatu digiallkiri. Kõik teadsid, mis see on või kuidas selle kehtivust määratleda.

Siis aga, eelmise paari aasta jooksul, jõudis Euroopa Liit meile järele ning kehtestas eIDAS määruse. Mitte kõik riigid ei lenda e-allkirja mõttes stratosfääris, mõnel on hoopis tagasihoidlikumad allkirja andmise vahendid. eIDAS sätestab allkirjadele neli võimalikku (kvaliteedi)taset. Allkirjade tasemeid oleme ka varem käsitlenud siin ja seal, selle pisinüansiga, et SE237 nimeline eelnõu on vahepeal Riigikogus ära tembeldatud ning muutunud E-identimise ja e-tehingute usaldusteenuste seaduseks (EUTS).

e-allkirjade tasemed. Autor: Anto Veldre

Lühikokkuvõte: e-allkirju on eIDASe järgi nüüd neli kategooriat (tegelikult pigem kolm asjalikku kategooriat ja siis lisaks veel “muu”). Täna ronime redelist allasuunas ja alustame kõige ülemisest ja tähtsamast pulgast:

1. QES (Qualified Electronic Signature) – e-allkirja kõrgeim tase – antud turvalises seadmes (nagu ID-kaart või m-ID) paikneva kvalifitseeritud sertifikaadiga (see peen väljend tähendab, et nii kaardiomaniku kui väljastaja taust on kontrollitud). Lisaks peab isikusertifikaatide väljanägemine vastama ELi tehnonõuetele (mingi asjalik algoritm ja vorming). Kõige tipuks peab allkirja andmise seade (tõuken, volitustõend) ise olema korralikult uuritud ja kõlbulikuks tunnistatud. Kas kõik tundsid ära – see ongi meie ID-kaart!

2. AdES/QC – Täiustatud (Advanced) e-allkiri koos kvalifitseeritud sertifikaadiga (Qualified Certificate). Kontrollitud olgu nii allkirjaomaniku taust (seda teeb meil PPA) kui ka sertifikaadiväljastaja (meil SK) taust. Ikkagi peab isikusertifikaatide väljanägemine vastama ELi tehnonõuetele (mingi asjalik algoritm ja vorming). Enamik ELi allkirju kuuluvad just siia gruppi, SmartID seni veel ka. Selle grupi krüptograafiakandja ei pruugi olla läbi uuritud ega ära sertifitseeritud. Vastik legaalprobleem QS allkirjade juures tekib ELi nõudest, et selsamal hetkel, kui meie riigisektor kohalikke QS e-allkirju aktsepteeriks, tekiks riigil automaatselt kohustus aktsepteerida ka kõigi teiste ELi riikide QS-taseme allkirju – ja neid on meeletu kogus.

3. AdES (Advanced Electronic Signature) – kõige nirum, kuid siiski veel mõnevõrra asjalik e-allkirja tase. Taustu ega riistu eriti ei kontrollita, üksnes sertifikaat peab ELi tehnonõuetele vastama.

4. Kõige madalam tase, ehk “Muuuuu!”  Ei mingeid nõudeid. Näiteks Telia mehhaaniku nühvliekraanile krihvliga antav omakäeline allkiri kuulub just siia gruppi.

Terminoloogia

Koll on peidus seal, et kui varem kasutati ühtainukest terminit – digiallkiri, siis nüüd on termineid mitu:

e-allkiri – ükskõik missugusesse nelja gruppi kuuluv ilmastikunähtus;
digiallkiri – QES (ehk siis kõrgeimale) tasemele vastav e-allkiri. Juriidilist selgitust vt EUTS §24.

Kasutusknihvid

Nagu aru saite, digiallkiri ja e-allkiri on mõnevõrra erinevad asjad. Esimene sisaldub teises.

Riigisektor reeglina muid e-allkirju ei tunnista, kui juba kasutusel olevad digiallkirju (QES ehk kõrgeim tase, võrdsustatud omakäelise allkirjaga). Tulevikus ei saa midagi välistada, aga hetkel pole silmapiiril lahendusi, mida saaks riik pruukida ilma umbes 100 seaduseteksti muutmata ning sunduseta tunnistada ELi allkirjade märkimisväärset paljusust. Samas, riigil ja kohalikel omavalitsustel on protsesse, kus saab suhelda ka üldse allkirja (saati e-allkirja) kasutamata: nt võib saata e-kirja või faksi. Samas kui allkirja juba nõutakse, siis ikkagi üksnes digiallkirja.

Vilgas erasektor aga otsib täpsemaid optimume – näiteks SmartID näol. SmartID täna vastab AdES/QC tasemele ja kui neil õnnestub teatavad hindamisprotseduurid läbida, pole välistatud, et nad aasta-paari jooksul tõusevadki QES tasemele.

Lihtne, kas pole?!

Ole DigiDoc3 kasutamisel hoolas!

Kokkuvõttes – kasutaja elu läks just oluliselt keerulisemaks. Enam ei piisa allkirja kehtivuse tuvastamisest. Kehtib küll, aga tase pole see, järelikult näiteks riigiasutusega suhtlemiseks ei sobi.

QES ehk Tõeline Digiallkiri (TM) näeb välja selline (märka rohelist värvi! – on kehtiv – ning tea, et vaid see allkiri on omakäelisega võrdsustatud:

Kui vajutada menüüpunktile “Vaata üksikasju”, siis on Digidoc kõigega väga rahul, mingeidki virinaid allkirja kvaliteedi üle ei ilmne:

Seevastu näiteks Smart-ID abil antud e-allkiri näeb DigiDoc3 utiliidis välja pisut teisiti (märka KOLLAST värvi!):

Maailma üks esimesi SmartID abil antud allkirju

Allkiri on igati kehtiv (roheline värv), ent kuivõrd Smart-ID alles astub samme, et QES tasemele sertifitseeruda, siis on KOLLASEGA lisatud sõna “PIIRANGUD“. Vajutades menüüpunktile “Vaata üksikasju” on võimalik piirangu olemust lähemalt uurida:

Seega, kollast nähes peaks kasutaja aru saama, et kusagil nurga taga on veel mingi aga. Menüüpunktil “Vaata üksikasju” klikkides avaneb uus aken, kus seletatakse ära, mis täpselt on konkreetse aga tähendus.

SmartID puhul peitub “piirangu” põhjus asjaolus, et seda pole veel jõutud QES tasemele sertifitseerida, mõne teise riigi mõne teise allkirja puhul võib piirangu põhjuseks olla midagi muud.

Jäta meelde!: riigiasutustes kõlbab endiselt üksnes QES ehk digiallkiri ehk see allkiri, mida näidatakse roheliselt. Samas, kui piiranguga allkirja on andnud ELi muu riigi kodanik, siis on juristide otsustada, mida säärase e-allkirjaga Eesti oludes üldse peale hakata – kas aktsepteerida või mitte.

Usun, et ELi eIDAS-süsteemile üleminek põhjustab kasutajates alul parasjagu segadust. On ju meil nüüd ühe normaalse digiallkirja asemel tervelt neli erinevat taset. Praktikas on vaid eIDASe allkirjaredeli kahel ülemisel tasemel Eestis mingi kasutusala. Ometi usun, et igaüks saab pisukese harjutamise peale need tasemed selgeks, nii et marss harjutama!

Lõpuks, leidub allkirju, mille puhul ei räägita enam mitte piirangust, vaid suisa hoiatusest. Enamasti on tegemist juhtudega, kus mõni arendaja on eksinud tehnilise vormingu suhtes. Hoiatusega allkirja kohates tuleks konsulteerida spetsialistiga – näiteks kirjutada aadressil help@ria.ee.

TeRa rakendus

TeRa (ehk Tembeldamise Rakendus) on mõeldud hapuks minevate digiallkirjade karjakaupa ärapäästmiseks Sinu arvutis.

Mure iseenesest tuleneb asjaolust, et Eestis on digiallkiri kasutusel juba 15 aastat. Esimesed digiallkirjad põhinesid räsialgoritmil SHA-1, mis tänaseks on räbalateks kuhtumas. Iseenesest pole siin midagi valesti – e-riigis tulebki arvestada, et algoritmid pidevalt täiustuvad ja et vanad algoritmid pole enam nii murdmiskindlad. Nii see hakkabki tulevikus olema, et iga n aasta tagant tuleb krüptograafialahendusi uuendada. Aga et see juhtus alles esimest korda, siis konservatiivid alles tõrguvad säärast perspektiivi uskumast…

Muide, ka SHA-1 räsialgoritmi kuhtumisest oleme varem kirjutanud.

Otse öeldes, kui Sina ei otsi üles oma olulisi digiallkirju ega tembelda neid TeRa abil üle mõne nüüdisaegsema algoritmiga, siis võib tulevikus tekkida sekeldusi. RIA itimehed ei saa küll ühtki allkirja lambist kehtetuks tunnistada, kuid kui tekib vaidlus, allkirjastatud dokumentidele “tekivad” erinevad sisud, siis neist õige tuvastamiseks võib juristidele kuluda väga palju aega ja raha.

Uued räsialgoritmid on murdmiskindlamad ja annavad eelmistest pikema väljundi

TeRa on mõeldud kodukasutajale oma hapuksminevate SHA-1 algoritmil põhinevate digiallkirjade päästmiseks. Rakendus tuleb käima panna ning ta otsib ise arvutist üles kõik vananevad digiallkirjad ning pistab need uude, krüptograafiliselt murdmiskindlasse konteinerisse (mis, hmm, loodetavasti peab vastu järgmised 10 aastat).

Vajadusel võib lugeda TeRa kasutusjuhendit.

Asutustele ja firmadele, kus vorbitakse sadu tuhandeid digiallkirju, kujuneb ületembeldus parajaks pähkliks, ent pole kahtlust, et nad mainituga hakkama saavad. Ühtlasi on asutustele loodud TeRa käsurearakendus.

TeRa protsessi voog arhitektuurinõukogu ajalooliselt slaidilt, BDOC asemel täna tegelikult moodustatakse juba ASIC-S vormingus fail. Teinegi oluline muudatus: DDOC faile tegelikult ei kustutata, need jäävad kasutajale kenasti alles.

Mis kuupäevaks peaksid kodused allkirjad saama üle tembeldatud? Hetkel hindab RIA, et 1. juuliks 2018. Ent ütleme ausalt välja, kui mõni vahepeal ilmunud krüptograafiline uuring SHA-1 algoritmi päris ribadeks kisub, eks siis tuleb ka riskid uuesti ümber hinnata.

Kartaago hävitamisest

Ehkki alljärgnev pole otseselt tänase päeva teema, palun mine ja uuenda ühtlasi ära ka oma sertifikaadid ID-kaardi sees. Nimelt, väga suur kogus sertifikaate on säärased, mida alates 1. juulist 2017 enam uuendada ei saa.

Kui jätad oma sertifikaadid enne 1. juulit uuendamata, tekib Sul risk, et mõned internetisirvikud enam ei soovi Sinu ID-kaardiga koostööd teha või Sind ei lasta sääraste sertifikaatidega enam mõnesse olulisse e-teenusesse sisse.

Märka hüüumärki!

Kui jätta 1. juuliks oma sertifikaadid uuendamata, siis küll midagi fataalset ei juhtu (ei võeta valimisõigust kelleltki ära vms) ja PPA teenindussaalist saab alati uue ID-kaardi, kuid paraku juba üldises järjekorras ja raha eest.

25. jaanuaril 2017 avalikustati järjekordne versioon ID-kaardi tarkvarast (17.01) ning alates 1. veebruarist hakkab see kasutajate arvutites automaatselt vanemaid versioone välja vahetama.

ID-kaardi tarkvara uueneb seekord kahes aspektis: seoses Digidoc programmiga ja tulenevalt veebilehitseja Firefoxi moderniseerimislainest.

Uus versioon ID-kaardi tarkvarast ravib kaht olulist muudatust väliskeskkonnas:

Esiteks leidis aset DigiDoc3 programmi puudutav muudatus usaldusahelas. Mullu 22. novembril kinnitas Vabariigi Valitsus uue võtme, millega edaspidi allkirjastatakse usaldusväärsete partnerite nimekiri (Trusted List, TL). Kui küsite, miks oli vaja uut võtit, siis eelmine hakkab aeguma: sertifikaatidel saab parim enne läbi karmilt – sekundipealt.

22. veebruaril 2017 saabub see hetk, kus vanem DigiDoci versioon ei oska enam välismaailmas orienteeruda, sest tema sisse kirjutatud usaldusankur aegub. Dokumente allkirjastada ei saa ja sissetulnud dokumentidel allkirju kontrollida samuti mitte. Juhul kui ekraanile ilmub selline teade:

Allikas: kuvatõmmis

… siis edasi aitab vaid uue, targema DigiDoc3 paigaldamine. Õnneks on siin maailmas miski ka muutumatu. Nimelt saab ID-kaardi uut tarkvara alla laadida endisest kohast: installer.id.ee ja ootamatuste vältimiseks tulekski tarkvara uuendada pigem varakult kui sundolukorda sattudes.

Teiseks, Mozilla Firefox on otsustanud lõpule viia oma pikaleveninud pluginarevolutsiooni, millest oleme varemgi kirjutanud. NP-API tugi kaob varsti lõplikult ka Firefoxist.

Üleminekuperioodil sisaldab Firefox kolmetriibumenüüs lisade all tervelt kahte laiendust (extension) nimega “Token Signing”. Üks neist, senine, tagab ID-kaardi töövõime netis allkirjastamisel vana NP-API meetodi kohaselt ning teeb seda kuni üleminekupäevani märtsis-aprillis.

Teine laiendus tagab ID-kaardi ja Firefoxi koostöös allkirjastamisvõime pärast seda kuupäeva. Juhul kui Sinu arvutis eksisteerivad mõlemad Firefoxi laiendused (ja satuvad nad sinna ju peamiselt ID-kaardi tarkvara toel), siis toimub üleminek Sinu jaoks sujuvalt.

Kui aga Sinu Firefoxil ei ole laienduste menüüs kaht allkirjastamisega seotud laiendust – üht uue, teist vana standardi jaoks – siis pärast X-päeva märtsis/aprillis ei saa enam Firefoxiga netis allkirju anda ega pangaülekandeid allkirjastada. Siis aitab ID-kaardi tarkvara uuem versioon.

Miks üldse tarkvara uuendada?

Põhjus lihtne – pilveajastu tarkvara pole ammu enam iseseisev tükike Sinu arvutis, vaid vajab toimimiseks osiseid ja tükikesi välismaailmast.

Sõltuvused:

1. Sõltuvused võivad tuleneda sertifikaatidest – tarkvara peab olema kindel oma volitustes ja suutma tuvastada partnereid ja komponente, millega ta suhtleb. Selleks tarvitatakse sertifikaate ja krüptograafilisi võtmeid, ent sertifikaatidel on omadus parim enne möödumisel päevapealt aeguda.
2. Mõnel juhul on kasutusel ettekokkulepitud serverid. Need paraku ei toimi igavesti, vaid üksnes nn garantiiperioodi vältel (nt täna ei pruugi Windows XP seerianumbri kontrollimise server enam olla kättesaadav).
3. Mõnikord uuendatakse hoopis vorminguid ja protokolle ehk kokkuleppeid selle kohta, kuidas programmid ja arvutid omavahel suhtlevad (vt varasem blogikirje TL uuendamisest).

Kokkuvõttes – pisutki vanem tarkvara ei pruugi uusi nippe ja muutusi tunda ning jääb vahepeal muutunud välismaailmas hätta.

Tänapäeva keerulises IT-maailmas on uuendamine seega pidev ja vältimatu. Kui rongist maha jääd, siis värk ei tööta (kuniks tarkvara uuendad). Eriti just firmad ja riigiasutused võiksid IT-muudatusi planeerida ette varakult, et tööprotsess ootamatult ei seiskuks.

Teenusepakkujatele

Mozilla Firefoxi ülalkirjeldatud muudatus puudutab ka teenusepakkujaid. Nemad peavad viima oma teenuse märtsiks/aprilliks vastavusse Firefoxi uue standardiga või muidu kliendid selles e-teenuses enam allkirjastada ei saa.

Õnneks on tegemist suhteliselt kerge muudatusega, mis väga mahukat testimist ei vaja. Teenusepakkuja peab oma e-teenuses uuendama hwcrypto.js utiliidi ja seda antakse täiesti tasuta siit.

Häkkerisektsioon – killukesi Digidoc3 siseelust

Lihtkasutaja ei pea seda peatükki lugema. Kuid on ju veel ka inimesi, kes tahavad kindlasti teada, mis on karul kõhus.

Digidoc3 programm on teatavasti ette nähtud dokumentidele allkirjade andmiseks ning allkirjakontrolliks võõrastel, sissetulnud dokumentidel. Hea öelda – allkirju kontrollida – tehniliselt ju üks bitijoru kõik. Ent allkirja puhul on vaja teada, kelle allkirju üldse usaldada. Ja see pole üldse enam tehniline asi, vaid peen juriidiline ja organisatoorne värk. Keda usaldada? Kelle toodetud allkirju usaldada? Kelle toodetud sertifikaatidega väljastatud allkirju usaldada?

Sõnaga, kui Digidoc3 käima läheb, siis selgitab ta välja, missuguses juriidilises ümbruses ta täna tegutseb. Ta kontrollib oma kõhust (käššist) järele, kas seal ehk leidub mõni mitteaegunud usaldusnimekiri (TL – trusted list). Kui kohalikku koopiat pole või see on iganenum kui nt 3 v 7 päeva, minnakse ja tuuakse etteantud aadressilt uus TL.

Usaldusnimekirjast paistab, kellel üldse on õigus kehtivaid eID sertifikaate väljastada, mis ühtlasi tähendab – millisest ahelast pärit isikusertifikaadid tunnistada allkirja andmisel ausateks ja autentseteks. Kui kontroll puuduks, kõlbaks ju iga õige pikkusega bitijada!

Ent sellega paikvaatlus ei piirdu. DigiDoc3 peab nüüd otsustama, kas uus TL on ka ise aus ja autentne – et keegi ei saaks valenimekirja ette sokutada. Sel eesmärgil on TL allkirjastatud eespool käsitletud ametliku võtmega. Miks oli seekordset ülemineku-uuendust vaja? Sest DigiDoc peab ju ometi kusagilt teada saama, et Vabariigi Valitsus on vahepeal kohaliku Eesti TLi allkirjastamiseks uue võtme kehtestanud.

Ühtlasi tirib DigiDoc3 alla ka mõne naaberriigi usaldusnimekirjad (TL) – eks ikka nende, kelle digiallkirju oleme harjunud kontrollima.

Allikas: kuvatõmmis

Usaldusnimekirjade allalaadimise teeb keeruliseks ja aeganõudvaks asjaolu, et lisaks kõigile praegu kehtivatele sertifikaatidele, mille alt hetkel isikusertifikaate väljastatakse, tuleb kaasa lohistada ka kõigi usaldusteenuse pakkujate kogu eelnevat ajalugu. Kes kunagi üldse on missuguseid sertifikaate väljastanud, mis turvatasemel, mis kehtivusajaga ja mille väljastamiseks… Õnneks on meil teenusepakkujaid seni peaasjalikult üks: SK.

Ent siitmaalt asi alles läheb huvitavaks. Nagu ühes varasemas blogikirjes mainitud, Eesti ei otsusta enam üksi, keda usaldada, vaid tuleb kiigata Euroopa vastavasse nimekirja hüüdnimega LOTL (List of the Trusted Lists). Kena küll, et Eesti valitsus otsustas ühe aeguva võtme (ja sellega kaasneva sertifikaadi) 23. novembri määrusega välja vahetada! Ent kuidagi peab see info jõudma ka ELi usaldusnimekirja (EU LOTL). Siis saavad kolm EU ametnikku allkirjastada oma võtmetega järgmise versiooni EU LOTList ning selle avalikult publitseerida.

Ja siinkohal saab ring täis. Varem uuendati EU LOTLi sisu nii harva, et automaatuuenduste peale ei pidanud mõtlema. Kuid digiasi areneb ELis gepardikiirusel. Viimasel ajal kaldub sinnapoole, et EU LOTL pakub uusversioone igal nädalal – taas lisandub mõni Itaalia usaldusteenus. Enamik neist muudatustest pole meid kuigivõrd puudutanud, ent Eesti uue allkirjavõtme listimisest ELi nimekirjas oleme ise eluliselt huvitatud. Või mille abi muidu saaks DigiDoc3 kontrollida Eesti usaldusnimekirja ehtsust? Kui aga tahame edaspidi kõigi välismaiste allkirjadega kursis olla – ning me vist tahame – siis tuleb vältimatult luua uuendusmehhanism ka EU LOTLi uuendamiseks reaalajas (nagu toimub EE TL puhul). Seda on plaanis teha ID-tarkvara järgmise reliisiga umbes aprillis või mais.

Kas märkasite, kui keeruliseks on maailm digiajastul muutunud? Enne kui pisike DigiDoc3 programm üldse saab tööle hakata, kogub see megabaitide kaupa teadmisi selle kohta, milliseid allkirju tohib usaldada, mis tasemel ja mis kehtivusega; lisaks laadib Interneti valitud kohtadest alla terve hulga hargmaiseid sertifikaadinimekirju.

Sestap muretsegem endale kiire netiühendus ning andkem DigiDoc3 programmile olukorrapildi allatirimiseks piisavalt aega.

PS. ID-tarkvara versioonide numeratsioon on sellest aastast muutunud. Kasutajate elu ja kasutajatoe (1777, abi@id.ee) töö hõlbustamiseks tähistavad ID-tarkvara versioone nüüdsest kalendriga seotud numbrid (aasta+kuu).