Tag Archives: eID

Nimekirjade nimekiri

Anto Veldre, analüütik

25. jaanuaril 2017 avalikustati järjekordne versioon ID-kaardi tarkvarast (17.01) ning alates 1. veebruarist hakkab see kasutajate arvutites automaatselt vanemaid versioone välja vahetama.

ID-kaardi tarkvara uueneb seekord kahes aspektis: seoses Digidoc programmiga ja tulenevalt veebilehitseja Firefoxi moderniseerimislainest.

Uus versioon ID-kaardi tarkvarast ravib kaht olulist muudatust väliskeskkonnas:

Esiteks leidis aset DigiDoc3 programmi puudutav muudatus usaldusahelas. Mullu 22. novembril kinnitas Vabariigi Valitsus uue võtme, millega edaspidi allkirjastatakse usaldusväärsete partnerite nimekiri (Trusted List, TL). Kui küsite, miks oli vaja uut võtit, siis eelmine hakkab aeguma: sertifikaatidel saab parim enne läbi karmilt – sekundipealt.

22. veebruaril 2017 saabub see hetk, kus vanem DigiDoci versioon ei oska enam välismaailmas orienteeruda, sest tema sisse kirjutatud usaldusankur aegub. Dokumente allkirjastada ei saa ja sissetulnud dokumentidel allkirju kontrollida samuti mitte. Juhul kui ekraanile ilmub selline teade:

Allikas: kuvatõmmis

… siis edasi aitab vaid uue, targema DigiDoc3 paigaldamine. Õnneks on siin maailmas miski ka muutumatu. Nimelt saab ID-kaardi uut tarkvara alla laadida endisest kohast: installer.id.ee ja ootamatuste vältimiseks tulekski tarkvara uuendada pigem varakult kui sundolukorda sattudes.

Teiseks, Mozilla Firefox on otsustanud lõpule viia oma pikaleveninud pluginarevolutsiooni, millest oleme varemgi kirjutanud. NP-API tugi kaob varsti lõplikult ka Firefoxist.

Üleminekuperioodil sisaldab Firefox kolmetriibumenüüs lisade all tervelt kahte laiendust (extension) nimega “Token Signing”. Üks neist, senine, tagab ID-kaardi töövõime netis allkirjastamisel vana NP-API meetodi kohaselt ning teeb seda kuni üleminekupäevani märtsis-aprillis.

Teine laiendus tagab ID-kaardi ja Firefoxi koostöös allkirjastamisvõime pärast seda kuupäeva. Juhul kui Sinu arvutis eksisteerivad mõlemad Firefoxi laiendused (ja satuvad nad sinna ju peamiselt ID-kaardi tarkvara toel), siis toimub üleminek Sinu jaoks sujuvalt.

Kui aga Sinu Firefoxil ei ole laienduste menüüs kaht allkirjastamisega seotud laiendust – üht uue, teist vana standardi jaoks – siis pärast X-päeva märtsis/aprillis ei saa enam Firefoxiga netis allkirju anda ega pangaülekandeid allkirjastada. Siis aitab ID-kaardi tarkvara uuem versioon.

Miks üldse tarkvara uuendada?

Põhjus lihtne – pilveajastu tarkvara pole ammu enam iseseisev tükike Sinu arvutis, vaid vajab toimimiseks osiseid ja tükikesi välismaailmast.

Sõltuvused:

  1. Sõltuvused võivad tuleneda sertifikaatidest – tarkvara peab olema kindel oma volitustes ja suutma tuvastada partnereid ja komponente, millega ta suhtleb. Selleks tarvitatakse sertifikaate ja krüptograafilisi võtmeid, ent sertifikaatidel on omadus parim enne möödumisel päevapealt aeguda.
  2. Mõnel juhul on kasutusel ettekokkulepitud serverid. Need paraku ei toimi igavesti, vaid üksnes nn garantiiperioodi vältel (nt täna ei pruugi Windows XP seerianumbri kontrollimise server enam olla kättesaadav).
  3. Mõnikord uuendatakse hoopis vorminguid ja protokolle ehk kokkuleppeid selle kohta, kuidas programmid ja arvutid omavahel suhtlevad (vt varasem blogikirje TL uuendamisest).

Kokkuvõttes – pisutki vanem tarkvara ei pruugi uusi nippe ja muutusi tunda ning jääb vahepeal muutunud välismaailmas hätta.

Tänapäeva keerulises IT-maailmas on uuendamine seega pidev ja vältimatu. Kui rongist maha jääd, siis värk ei tööta (kuniks tarkvara uuendad). Eriti just firmad ja riigiasutused võiksid IT-muudatusi planeerida ette varakult, et tööprotsess ootamatult ei seiskuks.

Teenusepakkujatele

Mozilla Firefoxi ülalkirjeldatud muudatus puudutab ka teenusepakkujaid. Nemad peavad viima oma teenuse märtsiks/aprilliks vastavusse Firefoxi uue standardiga või muidu kliendid selles e-teenuses enam allkirjastada ei saa.

Õnneks on tegemist suhteliselt kerge muudatusega, mis väga mahukat testimist ei vaja. Teenusepakkuja peab oma e-teenuses uuendama hwcrypto.js utiliidi ja seda antakse täiesti tasuta siit.

Häkkerisektsioon – killukesi Digidoc3 siseelust

Lihtkasutaja ei pea seda peatükki lugema. Kuid on ju veel ka inimesi, kes tahavad kindlasti teada, mis on karul kõhus.

Digidoc3 programm on teatavasti ette nähtud dokumentidele allkirjade andmiseks ning allkirjakontrolliks võõrastel, sissetulnud dokumentidel. Hea öelda – allkirju kontrollida – tehniliselt ju üks bitijoru kõik. Ent allkirja puhul on vaja teada, kelle allkirju üldse usaldada. Ja see pole üldse enam tehniline asi, vaid peen juriidiline ja organisatoorne värk. Keda usaldada? Kelle toodetud allkirju usaldada? Kelle toodetud sertifikaatidega väljastatud allkirju usaldada?

Sõnaga, kui Digidoc3 käima läheb, siis selgitab ta välja, missuguses juriidilises ümbruses ta täna tegutseb. Ta kontrollib oma kõhust (käššist) järele, kas seal ehk leidub mõni mitteaegunud usaldusnimekiri (TL – trusted list). Kui kohalikku koopiat pole või see on iganenum kui nt 3 v 7 päeva, minnakse ja tuuakse etteantud aadressilt uus TL.

Usaldusnimekirjast paistab, kellel üldse on õigus kehtivaid eID sertifikaate väljastada, mis ühtlasi tähendab – millisest ahelast pärit isikusertifikaadid tunnistada allkirja andmisel ausateks ja autentseteks. Kui kontroll puuduks, kõlbaks ju iga õige pikkusega bitijada!

Ent sellega paikvaatlus ei piirdu. DigiDoc3 peab nüüd otsustama, kas uus TL on ka ise aus ja autentne – et keegi ei saaks valenimekirja ette sokutada. Sel eesmärgil on TL allkirjastatud eespool käsitletud ametliku võtmega. Miks oli seekordset ülemineku-uuendust vaja? Sest DigiDoc peab ju ometi kusagilt teada saama, et Vabariigi Valitsus on vahepeal kohaliku Eesti TLi allkirjastamiseks uue võtme kehtestanud.

Ühtlasi tirib DigiDoc3 alla ka mõne naaberriigi usaldusnimekirjad (TL) – eks ikka nende, kelle digiallkirju oleme harjunud kontrollima.

Allikas: kuvatõmmis

Usaldusnimekirjade allalaadimise teeb keeruliseks ja aeganõudvaks asjaolu, et lisaks kõigile praegu kehtivatele sertifikaatidele, mille alt hetkel isikusertifikaate väljastatakse, tuleb kaasa lohistada ka kõigi usaldusteenuse pakkujate kogu eelnevat ajalugu. Kes kunagi üldse on missuguseid sertifikaate väljastanud, mis turvatasemel, mis kehtivusajaga ja mille väljastamiseks… Õnneks on meil teenusepakkujaid seni peaasjalikult üks: SK.

Ent siitmaalt asi alles läheb huvitavaks. Nagu ühes varasemas blogikirjes mainitud, Eesti ei otsusta enam üksi, keda usaldada, vaid tuleb kiigata Euroopa vastavasse nimekirja hüüdnimega LOTL (List of the Trusted Lists). Kena küll, et Eesti valitsus otsustas ühe aeguva võtme (ja sellega kaasneva sertifikaadi) 23. novembri määrusega välja vahetada! Ent kuidagi peab see info jõudma ka ELi usaldusnimekirja (EU LOTL). Siis saavad kolm EU ametnikku allkirjastada oma võtmetega järgmise versiooni EU LOTList ning selle avalikult publitseerida.

Ja siinkohal saab ring täis. Varem uuendati EU LOTLi sisu nii harva, et automaatuuenduste peale ei pidanud mõtlema. Kuid digiasi areneb ELis gepardikiirusel. Viimasel ajal kaldub sinnapoole, et EU LOTL pakub uusversioone igal nädalal – taas lisandub mõni Itaalia usaldusteenus. Enamik neist muudatustest pole meid kuigivõrd puudutanud, ent Eesti uue allkirjavõtme listimisest ELi nimekirjas oleme ise eluliselt huvitatud. Või mille abi muidu saaks DigiDoc3 kontrollida Eesti usaldusnimekirja ehtsust? Kui aga tahame edaspidi kõigi välismaiste allkirjadega kursis olla – ning me vist tahame – siis tuleb vältimatult luua uuendusmehhanism ka EU LOTLi uuendamiseks reaalajas (nagu toimub EE TL puhul). Seda on plaanis teha ID-tarkvara järgmise reliisiga umbes aprillis või mais.

Kas märkasite, kui keeruliseks on maailm digiajastul muutunud? Enne kui pisike DigiDoc3 programm üldse saab tööle hakata, kogub see megabaitide kaupa teadmisi selle kohta, milliseid allkirju tohib usaldada, mis tasemel ja mis kehtivusega; lisaks laadib Interneti valitud kohtadest alla terve hulga hargmaiseid sertifikaadinimekirju.

Sestap muretsegem endale kiire netiühendus ning andkem DigiDoc3 programmile olukorrapildi allatirimiseks piisavalt aega.

PS. ID-tarkvara versioonide numeratsioon on sellest aastast muutunud. Kasutajate elu ja kasutajatoe (1777, abi@id.ee) töö hõlbustamiseks tähistavad ID-tarkvara versioone nüüdsest kalendriga seotud numbrid (aasta+kuu).

ID-kaardi tarkvara paigaldamine (eellugu)

Autor: Anto Veldre, analüütik

Aeg-ajalt kuuldub sotsiaalvõrgustikes, blogisabades ja kommentaariumites hüüatusi stiilis, et ID-kaart “ei tööta”. Tehniku vaatevinklist kõlab säärane avaldus pikantselt, sest keeruline süsteem teatavasti ei lähe kunagi rikki täies ulatuses, jama põhjustab ikka mingi üks konkreetne detail. Võrdluses autoga: ei juhtu ju sedasi, et kogu auto korraga lakkaks töötamast – ikka leidub mõni konkreetsem põhjus: tuksis on kas klaasipuhastaja, pidurid, rool või vasak suunatuli. Mehhaaniku kuldreegli kohaselt tuleb see rikkis detail (või halvemal juhul kaks) üles leida ning vahetada.

Riigi Infosüsteemi Amet (ID-kaardi valdkonna arendaja ning suunajana) on otseselt huvitatud ID-kaardi tarkvara kohta käivast tagasisidest. Kuidas teha ID-kaardi kasutamine mugavaks ja sujuvaks? Kuidas tõsta kodanike rahuolu? Tõstmaks kasutuskogemuse taset (khhm, veelgi), võtsin ette ID-kaardi tarkvara ja installeerimisprotseduurid ning hindasin seda kõike oma kurja ning kriitilise silmaga. Kogetu tulemusel valmis pisut teistmoodi installeerimisjuhend, mis ongi nüüd teie ees.

Kokku on sel kirjutisel viis osa: teooria (siinses postituses), praktika (selgitab ID-kaardi tarkvara installimise imetabaseid nüansse) ning kolm konkreetset jupikest – üks iga toetatud operatsioonisüsteemi (opsüsteemi) kohta: Microsoft, Linux ja MacOS X.

Selles osas selgitan ümbritseva maailma mõningaid seaduspärasusi, andmaks aimu, miks mõned ID-kaardi ökosüsteemiga seotud valikud on just sellised nagu need parajasti on, ning hindamaks reserve tarkvara kasutatavuse tõstmisel. Selle osa võiks kokku võtta nii: milline osa süüst kelle kapsaaeda kuulub.

Autor: Anto Veldre

Tase: algaja

Abiliinile pöördumiste statistika (miks minu ID-kaart “ei tööta”?) paljastab mõne lausa uskumatu stsenaariumi. Kaardi valepidi lugejasse pistmine on üks esimesi ja tähtsamaid põhjusi, miks ID-kaart „ei tööta“. Mäletan vanu ID-kaarte (kuni 2010-01-01), millel kiip ja näopilt paiknesid samal küljel. Nendega oli asi lihtne – kaart tuli panna lugejasse inimese moodi: nägu ülespidi, silmsidet säilitades. Täna on asi keerulisem – kaart tuleb lugejasse pista Euroopa moodi: kiip ees, kuid nägu põranda poole. See ebaintuitiivne käsitsusviis toob paraku kaasa segadust ja solvumistki. Eks ole ju piinlik, kui abiliin küsib: kas teil on kaart ikka õigetpidi sees?!

Peamise kolme põhjuse hulgas, miks ID-kaart “ei tööta”, leidub põhjus “isik ei tea oma PIN-koode”. Olgem ausad, ID-kaart turvatootena mitte üksnes ei saa ilma (õigete) PIN-koodideta töötada, vaid ei tohigi. Iseenesest kurb stsenaarium, sest abiliinil tagavarakoode anda pole ja sestap süü kui selline jääb plastiku kanda…

Allikas: kuvatõmmis

Pidisuse ja PIN-koodi probleemid tunduvad sürrealistlike ja halenaljakatena, ent tegu on tegelike muredega, millele kulub suur osa abiliini jõudlusest.

Veel üks huvitav probleem, millega algaja põrkub, on ajalõpp (timeout). Kui molutada, näiteks teha sisselogimisprotseduurist ekraanipilte (nagu mina) või käia vahepeal sahtlist PIN-koode otsimas (nagu vanaema), siis tiksuvad sekundid kiiresti aia taha ning kaardikasutustoiming võib ebaõnnestuda.

Sestap moraal: kuniks PIN-koodid pole käes või peas, ära autentimis- ja allkirjastamistoimingut üldse üritagi, kohmerdamiseks ei jäeta aega.

Tase: edasijõudnu

Minu ID-kaart “ei tööta” endiselt – no miks ometi?! Sageli on põhjuseks aegunud tarkvara. Varem arvati ühiskonnas, et on igaühe oma asi, kui vana tarkvara ta pruugib. Tänaseks muutub reaalsus nii kiiresti, et vaid paar viimast versiooni mistahes tarkvarast töötavad korralikult. Kes ei usu, proovigu paigaldada operatsioonisüsteemi Windows NT 3.52 ja vaadaku, missuguste probleemidega ta ürituse käigus kokku puutub.

Mingit hulka inimesi (tänase seisuga u 2% kasutajatest) pahandab, kui nende muldvana Windows XP või Vista enam ID-kaardiga koostööd ei tee. Ometi on põhjus lihtne – tootja (antud juhul Microsoft) on vanad operatsioonisüsteemid maha kandnud, ei väljasta neile enam turvapaiku ega paranda vigu. Mistõttu pole riigil mõistlik ka ID-kaardi tarkvara uuematesse versioonidesse vanakraamituge lisada (pole otstarbekas ID-kaardiga “turvata” eset, mis pole enam ammu turvaline ega muutu selliseks ka ID-kaardi toel). Linuxi maailmas on olukord väga sarnane:

Aegunud tarkvara. Allikas: kuvatõmmis

Ühtlasi pole mõtet pruukida mõne aasta tagust ID-kaardi tarkvara. Digisfääri areng on olnud sedavõrd kiire, et ID-tarkvara vanemad versioonid ei suuda enam muutunud reaalsusega suhelda.

Põhjusi, miks ID-kaardi tarkvara vanemad versioonid enam ei päde, on päris mitu:

  • rahaline otstarbekus – kõiki maailma operatsioonisüsteeme ei jaksa Eesti maksumaksja oma rahakotist ülal pidada. Tuleb teha valik ja toetada vaid seda, mida enim kasutatakse.
  • standardite ning vormingute muutus – mõne aasta jooksul toimunud muutused:
    • kasutusele on tulnud SHA-2 räsiprotokolli pruukivad ID-kaardid,
    • kasutusele on tulnud Euroopaga sobiv digiallkirja vorming ASiC-E, käibelt on välja viidud vana DDOC-vorming;
    • vastavalt Euroopa nõuetele on täiesti muutunud usaldusankru süsteem (koht, kust Trusted List ehk TL saadakse);
    • TL faili sisemine vorming on paari viimase versiooni käigus uuenenud nii, et vanad programmid ei suuda seda mõtestada.
  • ID-kaardil paiknevate sertifikaatide uuendamise võime tekkis tarkvarasse suhteliselt hiljuti.

Kokkuvõttes: Uuenda! Võiks kujuneda heaks rahvakombeks, et kõigepealt paigaldatakse ID-kaardi tarkvarast kõige viimane versioon. Selle saab lehelt installer.id.ee. Ja alles siis häälitakse teemal töötab / ei tööta.

Tase: ekspert

No aga minu ID-kaart “ei tööta” endiselt. Nüüd hakkame jõudma tõeliste probleemideni. Hakkame rääkima infotehnoloogia arengu ajaloost, et maha panna selge märk, kus me täna asume.

Kui Tim Berners-Lee internetisirviku (brauseri) leiutas, siis alul peeti seda eset mänguasjaks. Pisut hiljem hakati sirvikut aga kasutama absoluutselt kõigeks, eriti panganduses. Eesti oli turvalise internetipanganduse üks pioneere. Põhjusel, et meil anti käiku toimiv ID-kaart, pääsesime aastatel 2004–2005 ikka väga paljudest internetipanganduse ja identiteedivarguste lastehaigustest, vt teadustöö aastast 2012.

Välismaal aga muudkui varastati sirviku abil, häkkerid treisid koledaid viirusi sirviku küüru otsa. Kui lõpuks aastatel 2014–2015 avastati hirmsad turvaaugud seni turvaliseks peetud https protokolli osistest, siis oligi revolutsioon käes. Maailmale sai lõpuks selgeks, et ülikasulik ese nimega sirvik/brauser on ühtlasi väga ohtlik ese, mille vanaviisi edasi pruukimine võib kasutaja rahast ilma jätta.

Allikas: heartbleed.com

(Eraisiku-pool minus küsib nüüd minu riigitöötaja-poolelt: mida hekki, kas te kogu selle aja tarvitasitegi Eesti ID-kaardi jaoks seda jõle ebaturvalist tehnoloogiat? 😉 Tegelikult sobisid brauseri küüru peal paiknevad BHO ja muud pluginad omasse aega päris kenasti ja olid tollal ka piisavalt turvalised… Kuniks ümbrus muutus: Interneti ja sirvikute kasutamine kasvas totaalseks ning internetikuritegevus sai tuule tiibadesse. Olukord muutus siis, kui netti asusid ööpäevaringselt pruukima nii vanaemad kui lasteaialapsed. Muutuse põhjuseks olid tehnoloogiavead koostoimes kasutajate üha langeva kvaliteediga. Et infoühiskond kokku ei kukuks, tuli hakata kasutajat kaitsma tema enda käitumislolluste eest.)

Allikas: Australian Institute of Criminology, http://www.aic.gov.au/media_library/conferences/other/smith_russell/2010-09-nfa.pdf

Ja siis see juhtuski – sirvikutootjad hakkasid brauserite siseehitust pingule kruvima (turvalisus vs mugavus). Selleks, et Eesti ID-kaart saaks sirviku otsas edasi elada ja transaktsioone allkirjastada, pidid ID-kaardi tarkvara loojad sisenema ebamugavustsooni. Endiselt vajatakse sirviku otsa mooduleid / pluginaid / abilisi, kuid oh häda, sirvikutootjad on plugina paigaldamise muutnud kole keeruliseks – nõuavad digisigneerimist jms. Miks? No ikka selleks, et lollkasutaja kogemata OK-nuppu ei litsuks ega “uskumatult hea pakkumise” peale oma sirvikule ise pahavara selga ei installeeriks.

Vahepeal arenesid edasi ka pluginate standardid. Mistõttu RIA valmistas uue jubina nimega “(Firefox) Token Signing”. Et allkirjastamine brauseris vunkaks, tuleb jubin installeerida ning tema kasutamine lubada – seda sirvikule tutvustada.

Pilt Chrome’i sirvikulaienduste (extensions) menüüst. Allikas: kuvatõmmis

Pole vahet, kas lõppkasutajale meeldib laienduste käsitsi näperdamine või ei meeldi. Ümbritsev reaalsus on selline, et netis kasutamisel vajalik ID-kaardi tarkvara vunkab vaid brauseri küüru otsas ning teeb seda siis ja üksnes siis, kui inimene ise selle sinna vabatahtlikult paigaldab ja brauserile uut abilist tutvustab. Kui Sa tahad ekspert olla, siis tuleb sellest pisitakistusest mööda saada! Suurim keerukus, millega kasutaja (tädi Maali) täna ID-tarkvara installeerimisel põrkub, on just vajadus sirviku soolikates sorida ja laiendusi aktiivseks kruttida.

Kokkuvõttes – oleneb sirvikust… autentimine hakkab tööle enamasti lambist (pärast paigaldust, v.a Linux), ent allkirjastamine sageli mitte (ja see on paratamatus, mille kõrvaldamine nõuabki käsitööd). Et sirvikus allkirjastamine töötaks (näiteks netipangas), tuleb see isiklikult, omaenda valge käega a) installeerida ja b) kasutamiseks lubada. Käsitöö ideele vastujorisemine ei aita.

Segaduse suurendamiseks käituvad eri sirvikud erinevate opsüsteemide all kõik pisut erinevalt. Kõige valutum on ID-kaardi tarkvara install tutika Windows 7 selga – installer suudab kolmele brauserile kõik vajalikud moodulid ise kaela tõmmata – kasutajat üksnes informeeritakse. Kõige keerulisem on olukord Linuxi all, kus versioonist olenevalt võib juhtuda, et viimne kui üks plugin vajab käsitsi lubamist (ja mõnes õnnetus distributsioonis (distros) polegi see üldse võimalik):

Pilt Ubuntu mittetoetatud versioonist 15.04, kus pluginal allkiri puudu. Allikas: kuvatõmmis

***

Selle kirjatüki eesmärk oli anda aimu, et üldsegi mitte kõik ID-kaardi „mittetöötamise“ põhjused ja ilmingud ei ole Eesti riigi ega RIA süü. Palju muresid tekib kasutaja enda käitumisest ja teine osa sirvikutootjate tootemudeli muutustest, mida meie ID-kaardi ökosüsteem ennustada ega juhtida ei suuda, seega saame vaid kohanduda.

Kirjatüki järgmises osas tuleb juttu eri operatsioonisüsteemidest ja sirvikutest ning esitame ID-kaardi universaalse installeerimisjuhendi ühelainsal diagrammil.

ID-tarkvara paigaldamine Windowsile

Autor: Anto Veldre, analüütik

Selles osas käsitleme ID-kaardi tarkvara paigaldamist Microsoft Windowsile, mis on suhteliselt lihtne tegevus. Kui tarkvaraga kaasnevaid, saidist id.ee saadud juhiseid (brauseri häälestamiseks) täpselt täita, siis tädi Maali saab installeerimisega kenasti hakkama. Kontrollitud.

Reaalsed mured ID-kaardi mittetöötamisega Windowsi keskkonnas jaotuvad tädi Maali kogemuse kohaselt põhiliselt kaheks: konkreetse arvutiriistvaraga seotud seiklused ning paigaldusjuhiste eiramine.

Tädi Maali tegi ID-kaardi installimise läbi kolme erineva Windowsiga (kõik 64-bitised). Kõigepealt Win 7 (SP1), mis sai spetsiaalselt selleks otstarbeks üles seatud. Teiseks katseobjektiks oli Windows 10, samuti isevalmistatud masin, mis eelmises elus oli Win7, ning mille Microsoft vahepeal uuendas Win10 peale. Lõpuks, kooliõpilase võimas sülearvuti, kuhu tootja oli peale pannud Win 8.1. Kõigil kolmel platvormil installeerus ID-kaardi tarkvara eriliste komplikatsioonideta, ent loe ka peatükki “Murekohad”!

Windowsi all töötab korralikult nii haldusvahend kui Digidoc3 kui ka ports netisirvikuid. Lühikokkuvõte äraproovitust on esitatud tabelis:

Autor: Anto Veldre

Paigaldus

Paigaldamise töövoog on esitatud alljärgneval diagrammil:

Autor: Anto Veldre

Kogu paigaldusprotseduur on jaotatud kolmeks järjestikuseks rajaks. Raja A läbimisega tagatakse, et programmid on õigesti paigaldatud. Raja B läbimise käigus selgub PIN-koodide olemasolu ja lihvitakse elementaarseid kasutamisoskusi. Raja C läbimine kindlustab, et sirvikud saavad ID-kaardi tarkvaraga hästi läbi ja nõustuvad koostööd tegema.

Olgu ära toodud ka paigaldusprotseduuri pisut detailsem pilt, kus iga tegevus on kujutatud ükshaaval:

ID-kaardi paigaldamise töövoo diagramm. Autor: Anto Veldre

Mis aga põhilisim – järgmise raja juurde tuleb edasi liikuda alles siis, kui eelmine rada on edukalt läbitud.

Parandus [2017-10-13]: veebileht sk.ee/tervitus pole enam käigus, esmatestimiseks logi sisse riigiportaali eesti.ee.

Rada A

Raja A läbimine (tegevused 1–5) valmistab arvuti ette ning annab kindluse, et kaardilugeja töötab ning et ID-kaardi sisu on operatsioonisüsteemile üldse nähtav.

Algus > 1. Uuenda arvuti tarkvara! > Rebuut! > 2. Paigalda arvutisse ette ära kõik vajalikud sirvikud > 3. Paigalda UUSIM versioon ID-tarkvarast > 4. Ühenda kaardilugeja arvutiga, pista ID-kaart sisse (ja hoia seal lõpuni) > 5. Kontrolli ID-kaardi loetavust haldusvahendiga >

Autor: Anto Veldre

Tegevus 1 – Uuendamine / värskendamine / ajakohastamine – käib Windowsis üldiselt automaatselt, kuid ei tee paha see ka käsitsi käima lasta: Control Panel -> Windows Updates.

Ekraanil tekst: "Windows Update. Downloading updates... Downloading 207 updates...."

Allikas: kuvatõmmis

Uuendamise järel tuleb masin kindlasti korraks kinni panna (teha restart).

Tegevus 2 – Sirvikute paigaldamine. Kaks neist (Internet Explorer ehk IE ja Edge) on juba kohal, ent kaks tuleb ise netiavarustest kohale lohistada, vastavalt siis Chrome ja Mozilla Firefox. Miks tuleb? Sest perioodiliselt esineb olukordi, kus üks või mitu sirvikut on turvajamade või ootamatute uuenduste tõttu kasutamatud. Installeerides kõik sirvikud kohe valmis, on siis halvaks päevaks tagavaravariant olemas ning elu ei jää seisma.

Windowsis on installeerimine tehtud sedavõrd lihtsaks, et ega siin eriti õpetada olegi (klikk-klikk-OK):

Tekst: "Do you want to run or save Firefox Setup Stub 50.1.0.exe from Download-installer.cdn.mozilla.net?" Nupud: "Run", "Save" ja "Cancel"

Allikas: kuvatõmmis

Ekraanil tekst: "Open File - Security Warning. Do you want to run this file?"

Allikas: kuvatõmmis

Võimalikud veateated

Administraatori õiguste olemasolu kasutajal (eriti kontoritingimustes) on igaühe enda risk:

Veateade ekraanil: "install nurjus. Google Chrome vajab installiks ülema õigusi."

Allikas: kuvatõmmis

Tegevus 3 – Paigaldame ID-kaardi tarkvara. Lähtuda tuleb id.ee veebisaidi nõuannetest (mida hoitakse alati ajakohastena). Sinna Windowsi sirvikuga minnes ning „Paigalda tarkvara“ vajutades antakse asjakohaseid soovitusi:

Allikas: kuvatõmmis

ID-kaardi tarkvara allalaadimine ja installeerimine näevad välja nii:

Tekst: "Do you want to run or save Open-EID-3.12.5.1672_x86.exe from installer.id.ee?" Nupud: "Run", "Save" ja "Cancel"

Allikas: kuvatõmmis

Kui ei taibanud kohe „Run“ vajutada, siis võib installeri ka maha salvestada ja hiljem käivitada:

Teade ekraanil: "Faili Open-EID-3.12.5.1672_x86.exe avamine"

Allikas: kuvatõmmis

Taas kord on vaja administraatori õigusi (ning meie ei tea, kust teie need saate).

Ekraanil tekst: "Do you want to allow this app to make changes to your device?"

Allikas: kuvatõmmis

Voilaa! Asi edeneb!

Teade ekraanil: "eID tarkvara paigaldus. Seadistuse edenemine..."

Allikas: kuvatõmmis

Sekka vilgutatakse ka muid pilte… installer leiab iseseisvalt üles kaardilugeja ja paigaldab sellele draiverid:

Teade ekraani allosas: "Estonian National ID Card. Device driver software installed successfully."

Allikas: kuvatõmmis

ID-kaardi tarkvara võib lugeda edukalt paigaldatuks, kui ilmub säärane kujutis:

Teade ekraanil: "eID tarkvara paigaldus õnnestus! E-teenustes ID-kaardiga allkirjastamiseks on Teil vajalik veel aktiveerida veebilehitsejas allkirjastamise plugin. Juhend aktiveerimiseks on leitav siit."

Allikas: kuvatõmmis

Sõnale „siit“ klikkides satub kasutaja taas kord id.ee juhendeid lugema, ent praegu sooritame raja A tegevusi rahulikult edasi.

Tegevus 4 – Ühenda oma kaardilugeja arvutiga (enamasti USB-pistiku abil, mõnikord aga on kaardilugeja salamisi monteeritud arvuti korpusse) ning torka kaart lugejasse. Hetkel veel pole oluline, et tegu oleks uue ja kehtiva kaardiga, proovimiseks kõlbab ka vana.

Eeldatav tulemus

Allikas: kuvatõmmis

Seikluste vältimiseks edaspidi tuleks kaart sisse panna nägu alaspidi ning kiip eespool. Kiipi ennast sel pildil ei paista, sest ta on kenasti kontaktide küljes.

Tegevus 5 – Käivita ID-kaardi haldusvahend (alammenüüst Accessories) ning veendu, et haldusvahend näeb kaarti ning suudab andmed sellelt välja lugeda.

Eeldatav tulemus

Haldusvahend peaks kuvama külgeühendatud kaardi andmed:

ID-kaardi haldusvahend kuvab isikuandmed, dokumendi andmed ja sertifikaatide andmed.

Allikas: kuvatõmmis

Võimalikud veateated

Veasituatsioonide ravi on lihtne – haldusvahend ütleb ise, mis tal mureks:

Haldusvahend näitab punase kirjaga veateadet: "Ühtegi kiipkaardilugejat pole ühendatud"

Allikas: kuvatõmmis

Allikas: kuvatõmmis

Juhul, kui ID-kaarti kõigele vaatamata välja lugeda ei õnnestu, tasub kontrollida, mispidi see kaart ikkagi sisse sai või mis kaart see õigupoolest oligi. Näiteks pangakaardi pistmine kaardilugejasse on ikka uskumatult sage tegevus.

Allikas: kuvatõmmis

Allikas: kuvatõmmis

Kui aga õnnestub haldusvahend mingi nipiga hanguma panna, siis on targem peatuda ja paluda endast targemate abi. Tõenäoliselt on siis miskit mäda kas arvuti riistvaraga (muuhulgas otsi arvuti eest ja tagant salapärast teist kaardilugejat, vt peatükk „Murekohad“ lõpupoole) või on arvutil mõni muu häda kallal.

Allikas: kuvatõmmis

Rada B

Rada B on mõeldud krüptograafiaga kaasneva info kontrollimiseks:

  • kas PIN-koodid on meeles,
  • ega PIN-koodid pole juhtumisi lukustunud,
  • kas isikusertifikaadid kehtivad,
  • kas konkreetne kaart on võimeline krüptograafilisi toiminguid sooritama.

Autor: Anto Veldre

Tegevus 6 – Avame PIN1 abil haldusvahendis passipildi (see tuuakse PPA andmebaasist, mistõttu toiminguks vajatakse ka netiühendust). Tegevuse käigus saab selgeks, kas PIN1 on teada, õige ega ole lukustunud – tarkus, mis hoiab veidi hiljem kokku palju väärtuslikku aega.

Allikas: kuvatõmmis

Allikas: kuvatõmmis

Tegevus 7 – Leiame kontoritarvete alammenüüst utiliidi nimega Digidoc3 ning digiallkirjastame selle vahendusel mõne faili (näiteks kassipildi). Tegevuse käigus selgub vältimatult, kas kaardi PIN2 on teada, õige ega ole lukustunud.

Eeldatav tulemus

Allkirjastamine õnnestus ja vastavalt seadistusele tekkis kas *.bdoc või *.asice laiendiga fail.

Allikas: kuvatõmmis

Võimalikud veateated

Tasub hoolikalt tähele panna, mida DigiDoc3 meile räägib:

Allikas: kuvatõmmis

Hoiatus! Segaduste vältimiseks tuleb rada B kindlasti läbida ja mõlemad PIN-koodid läbi testida enne, kui edasi liikuda raja C (ehk sirvikute konfigureerimise) juurde. Sellepärast paikneb siin vahel punane joon.

Allikas: id.ee

Rada C

Kolmas ja viimane rada on vaja läbi teha selleks, et sirvikud oleksid suutelised e-teenustes dokumente ja transaktsioone allkirjastama. Lähtuda tuleb id.ee sirvikukonfimise infost ning lugeda lisaks iga üksiku sirviku kohta eraldi: IEChromeFirefox.

Raja C tegevusi tuleb korrata iga sirviku jaoks eraldi. Otstarbekam on kõigepealt häälestada ära IE, seejärel Chrome ning alles kogemuse kasvades võtta ette Firefox.

Raja C tegevuste järgnevus on selline:

Parandus [2017-10-13]: veebileht sk.ee/tervitus pole enam käigus, esmatestimiseks logi sisse riigiportaali eesti.ee.

Autor: Anto Veldre

NB! Edge pole koos ID-kaardiga ei häälestatav ega kasutatav, selle puhul võib teadmiseks võtta satiirilise tõdemuse:

Allikas: kuvatõmmis

Tegevus 8 – Kontrollime üle, mida meile installiti ja aktsepteerime tehtu. ID-kaardi tarkvara installer tegi kasutaja õnne nimel teatavaid jõupingutusi, et keerulised häälestused automaatselt ära sooritada. Win7 all õnnestub see maksimaalselt, Win8 ja 10 all nõuab tulemus pisut kohendamist.

Chrome

Chrome annab käivitudes kõvahäälselt teada, et „talle on vahepeal lisatud laiendus“ ning palub kasutajal see muudatus aktsepteerida:

Allikas: kuvatõmmis

See laiendus tuleks lubada. Vajadusel võib ka lähemalt uurida, mida siis täpselt tehti (vajutada hüüumärgile):

Allikas: kuvatõmmis

Sellega on Chrome’i siseelu üle vaadatud.

Firefox

Ka Firefox annab muudatussoovist valjuhäälselt teada:

Allikas: kuvatõmmis

Käsitsi tuleb teha linnuke õigesse kasti ning pruukida kohe seejärel ilmuvat Restart nuppu (piisab õigel nupul klõpsamisest):

Allikas: kuvatõmmis

Sellega on Firefoxi muudatus heaks kiidetud.

Tegevus 9 – kontrolli, kas sirvik suudab operatsioonisüsteemi vidinatega korrektselt suheldes Sind mõnesse e-teenusesse autentida (sisse logida).

Lihtsaim on pruukida testimiseks mõeldud spetsiaalset SK tervituslehte. Parandus [2017-10-13]: veebileht sk.ee/tervitus pole enam käigus, esmatestimiseks logi sisse riigiportaali eesti.ee. Kindlasti tuleb testi käigus ette sertifikaadi valiku aken ja küsitakse PIN1 koodi:

Allikas: kuvatõmmis

Allikas: kuvatõmmis

Eeldatav tulemus

Kui kuufaas oli õige, näidatakse meile rõõmsat õnnestumislogo:

Allikas: kuvatõmmis

Võimalikud veateated

IE on kõige kavalam. Tema tunneb ära, et midagi on valesti ning annab täitsa õiget nõu:

Allikas: kuvatõmmis

Teised sirvikud on pisut otumad ning usuvad, et miskit läks valesti hoopis https veebisaidi vaatamiseks vajaliku SSL-tunneli püstipanekuga. (Mis tegelikult pole ju päris vale, kuivõrd selleks vajatakse ID-kaarti ja PIN1 koodi küll). Keeruline? Mõned veateated ongi arusaamiseks igerikud:

Allikas: kuvatõmmis

Ent ID-mehike oskab pakkuda, kust peaks viga otsima:

Allikas: kuvatõmmis

Parandus [2017-10-13]: veebileht sk.ee/tervitus pole enam käigus, esmatestimiseks logi sisse riigiportaali eesti.ee.

NB! Kui Sa nägid ükskõik millist neist veateadetest, siis pole mõtet enne edasi liikuda, kuniks probleem saab lahendatud. Sest kuni autentimist tööle ei saa, ei õnnestu allkirjastamise juurde edasi liikuda (nimelt enamik digisigneerimist pakkuvaid e-teenuseid nõuavad eeldusena sama sirvikuga sisselogimist).

Tegevus 10 – Kontrollime üle, et brauseritel on lisamoodulid installitud.

Allikas: kuvatõmmis

Lähtuda tuleb id.ee detailsetest juhistest: IEChromeFirefox.

Internet Explorer

Juhised: IE

IE puhul suutis installer mooduli sättimisega kenasti ise hakkama saada (enabled!), teisisõnu, meie ei pea siin enam midagi muutma:

Allikas: kuvatõmmis

Et saaksime IE töötamises päris kindlad olla, tuleb see korraks tagasi viia vabrikuseadetesse (sedasi õpetab meid id.ee). Valime hammasrattamenüüst:  -> Internet Options -> Advanced nupukese „Reset“ ja klõpsame seda:

Allikas: kuvatõmmis

Juhtub umbes sedasi:

Hea, et üle küsitakse, vajutame taas „Reset“:

Allikas: kuvatõmmis

Arusaadav, et häälestuste nullimise käigus võib tuksi minna varem mõnel muul otstarbel  suure vaevaga seadistatud häälestus. Igatahes on nüüd asi sealmaal, et nõutakse kogu arvuti restarti:

Allikas: kuvatõmmis

Chrome

Juhised: Chrome

Chrome’i puhul vajab ülekontrollimist üks laiendus (extension). Nn kolme-täpi-menüüst tuleb valida Settings -> Extensions. Laiendus nimega „Token Signing“ peab olema aktiivne (enabled). Sel pildil miskipärast ei ole (disabled) ja peame olukorra käsitsi parandama:

Allikas: kuvatõmmis

Lubame laienduse käsistsi ja teeme sirvikule restardi (hmm, taaskäivituse), pärast seda ongi moodul aktiveeritud.

Allikas: kuvatõmmis

Firefox

Juhised: Firefox

Firefoxis vajab ülekontrollimist üks laiendus ja üks plugin (ehk siis kokku kaks lisamoodulit). Kusjuures, alates 2017.a. jaanuari lõpust hoopistükkis kaks laiendust. Nn kolme-triibu-menüüst tuleb valida Lisad:

Allikas: kuvatõmmis

Seekord õnneks selgub, et laiendustega on kõik korras – „Firefox PKCS11 Loader“ ongi juba aktiveeritud:

Allikas: kuvatõmmis

Ka plugina „(Firefox) Token Signing“ olek on „Alati aktiivne“ – just see, mida ootame.

Allikas: kuvatõmmis

Juhul kui Sinu arvutis on lood teisiti, siis tuleb plugin „alati aktiivseks“ sättida käsitsi ning pärast seda kindlasti teha brauserile restart.

Tegevus 11 – Sirvikuga allkirja andmine. Hetkel on kõige mugavam seda tegevust testida digidoc.ee keskkonnas. Sinna tuleb sisse logida, laadida üles mõni juriidiliselt korrektne kiisupilt ning see allkirjastada.

Estina poolt majandatav Digidoc.ee tegi hiljuti läbi põhjaliku uuenduskuuri. Siinset rahvast ehk pisut häirib algeline kontoloomise mehhanism (e-mailiga) ning kuupiirang 5 tasuta allkirja, ent neile puudustele vaatamata on teenus ikkagi tasuta, ehk just see, mida me testimiseks vajame.

Alul tekitame endale kasutajakonto – selleks vajame PIN1 ja meiliaadressi:

Allikas: kuvatõmmis

Eeldatav tulemus

Mõningase nugistamise tulemusel õnnestub PIN2 abil allkirjastada kiisupilt:

Allikas: kuvatõmmis

Tegevus 12 – Tuleb sooritada sirvikuga allkirjastamise test veel mõnes teiseski e-teenuses, eelistatult pangas. Miks just pangas – esiteks, enamik inimesi vajavad netipanka niikuinii, ja kuna pankades on ID-kaardi kasutatavus väga kõrge, siis on sealsed skriptid parima kvaliteediga. Pangas leiame võimalikud vead kõige kiiremini.

SEB on valitud isikliku eelistuse põhjal, testida võib ka teistes netipankades.

Eeldatav tulemus

Sisselogimine:

Allikas: kuvatõmmis

Makse allkirjastamine:

Allikas: kuvatõmmis

PIN2 sisestus:

Allikas: kuvatõmmis

Võimalikud veateated

Kes nüüd täpselt teab, miks just nii juhtus… ajalõpp saabus enne kätte, kui sisestati PIN1 või PIN2 ? Proovi uuesti!

Allikas: kuvatõmmis

Allikas: kuvatõmmis

Kui aga juhtumisi satub ette sedavõrd vastuoluline pilt, kus haldusvahend näeb ID-kaarti aga sirvik mitte ning ka korduv restart ei aita, siis pole sirvik oma rollist õigesti aru saanud ning arvuti tuleb viia šamaani kätte uurimiseks:

Allikas: kuvatõmmis

Murekohad

Häda number 1: mis kell on? Windows 7 üllatas tädi Maalit kalendriga. Sai pruugitud vana, AMD Athlon protsessoril põhinevat MSI emaplaati, millel aga vahepeal patarei ära tühjenenud. Patarei ost ja prillisanga abil äravahetamine osutus tädi Maalile jõukohaseks, ent kratt eksitas kätt aastaarvu osas: BIOSi menüüsse sai kogemata kirja vale aastaarv – 2016.

Allikas: kuvatõmmis

Siitmaalt hädad algasid. Windows 7 küll installeerus, kuid ei nõustunud end ei uuendama ega seerianumbrit registreerima, ega jõudnudki olekusse, kus üldse saaks alustada ID-kaardi tarkvara paigaldamisega – ajas sõrad vastu, olevat mingi sertifikaatide kehtivusega seotud jama (veakood 80072F8F):

Allikas: kuvatõmmis

Mainit murel on ülimalt vähe pistmist ID-kaardi tarkvaraga, kuid saagu ta siinkohal siiski kirjeldatud kui värvikas näide varjatud eeldusest, mida mitte teades võib kasutaja paraja portsu otsa sattuda. Linux näiteks keerab paigaldamise ajal arvuti kella sundkorras õigeks ning uurib geolokatsiooni abil välja ka kasutaja asukohariigi – (et kõige õigemaid täpitähti pakkuda).

Häda number 2: mõnel arvutil näikse neid kaardilugejaid kobaras olema. See mure osutus lõbusamaks, kuid raviaega nõudvamaks. Asi algas sellest, et Win10 all näitas ID-kaardi tarkvara üles teatavat ebastabiilsust. Sihilike katsetega õnnestus hangutada nii haldusvahend kui ka rahaülekanne SEB pangast. Pidi ju ometi olema stabiilne ja töötav tarkvara? Põhjus on siin:

Allikas: kuvatõmmis

Kahepäevane veaotsing tipnes põhjuse leidmisega – arvutis leidus salajane Hiina päritolu kaardilugeja, mille olemasolu oli meelestki läinud.

Foto autor: Anto Veldre

Küsisin asjatundjalt – kas liigne kaardilugeja arvutis võibki põhjustada probleeme? Selgus, et just nii ongi. Kui pista oma kaart teise kaardilugejassse ning jätta esimene tühjaks, siis hakkavad juhtuma “nähtused”. Olgu seegi õpetuseks neile, kes usuvad, et ID-kaardi tarkvara peab rõõmsasti jooksma igas juhuslikus arvutikastis.

Üllataval kombel oli olukorra lahendamisel abi sirvikust nimega Edge, mis, kuigi ise sisselogimist sooritada ei suuda, nõustus kaardilugejaid demonstreerima ükshaaval ja poole suuremalt, nii et ka tädi Maali olukorda mõistis:

Allikas: kuvatõmmis

Lahendus: ebavajalik kaardilugeja tuleb draiverite menüüst üldse keelustada (disable!), pärast mida “nähtused” kaovad:

Muus osas aga – Windows oma miljardise kasutajaskonnaga on piisavalt lihvitud tarkvara ning ka id.ee paigaldusjuhised on muutunud väga konkreetseks. Kui install ebaõnnestub, siis pigem on viga kusagil mujal kui ID-kaardi tarkvaras.