Tag Archives: eID

ID-tarkvara paigaldamine macOSile

Blogiseeria selles osas uurime ID-kaardi tarkvara paigaldamist Apple’i arvutitele. Apple’i kompuutritel on toetatud kolm viimast OSi (hetkel: Yosemite, El Capitan, Sierra):

Allikas: kuvatõmmis

ja kolm sirvikut:

Allikas: Anto Veldre

Ühtlasi soovitame läbi lugeda blogikrje lõpuosas paiknevad peatükid “Murekohad” ja “Taustainfot Maci turvalisuse kohta”.

Paigaldus

Paigaldamise üldine töövoog näeb välja selline:

Autor: Anto Veldre

Vaatleme korraks ka detailvaadet. ID-kaardi tarkvara paigaldamise, häälestamise ja testimise protseduur on jaotatud kolmeks järjestikuseks rajaks – A , B, C – millest igaühe läbimine on järgmise raja eeldus. Sõnaga, nagu arvutimängu levelid.

ID-kaardi paigaldamise töövoo diagramm. Autor: Anto Veldre

Raja A läbimine tagab, et programmid on õigesti paigaldatud. Rada B selgitab välja, kas kasutajal on olemas vajalikud PIN-koodid, kaart pole lukus ega sertifikaadid aegunud ning et kasutajal on olemas vajalikud vilumused PIN-koodide pruukimiseks. Lõpuks, raja C läbimine tagab, et ka sirvikud saavad ID-kaardi tarkvaraga hästi läbi ja nõustuvad koostööd tegema e-teenustega, kus vajatakse nii sisselogimist kui allkirjastamist.

Parandus [2017-10-13]: veebileht sk.ee/tervitus pole enam käigus, esmatestimiseks logi sisse riigiportaali eesti.ee.

Sissejuhatus tehtud, võime liikuda raja A läbimise juurde.

Rada A

Raja A läbimine (tegevused 1–5) käigus paigaldab kasutaja vajaliku tarkvara. Raja A edukas läbimine annab kindluse, et kaardilugeja töötab ja ID-kaardi sisu on operatsioonisüsteemile üldse nähtav – vastasel juhul ei hakka tööle ka muud, keerulisemad toimingud.

Algus > 1. Uuenda arvuti tarkvara! > Rebuut! > 2. Paigalda arvutisse ette ära kõik vajalikud sirvikud > 3. Paigalda UUSIM versioon ID-tarkvarast > 4. Ühenda kaardilugeja arvutiga, pista ID-kaart sisse (ja hoia seal lõpuni) > 5. Kontrolli ID-kaardi loetavust haldusvahendiga >

Allikas: Anto Veldre

Tegevus 1 – uuendamine/värskendamine/ajakohastamine. Apple’i arvutitel toimub uuendamine automaatselt äpipoe kaudu, kuid „Update“ käsk tuleks kindluse mõttes anda ka käsitsi. Alljärgneval pildil on kaks uuendust soolas ning need tuleks vastu võtta, enne kui edasi liikuda. Vajuta nupule „Updates“.

Allikas: kuvatõmmis

Tegevus 2 – Arvutisse tuleb paigaldada kõik asjakohased sirvikud, ehk siis Firefox ja Chrome. Need tuleb ise netist kohale tuua, vastavalt siis Mozilla ja Chrome’i allalaadimislehelt. Paigaldus käib nagu Macis ikka: tuuakse kohale *.dmg fail, käivitatakse see, lohistatakse aplikatsioon Installerisse. Alljärgnev näide põhineb Firefoxil, Chrome paigaldamine on väga sarnane:

Vali “Downloads”. Allikas: kuvatõmmis

Faili avatakse. Allikas: kuvatõmmis

Fail liigutatakse kausta “Applications”. Allikas: kuvatõmmis

Eeldatav tulemus

Launcheris on näha mõlema sirviku käivitusikoonid:

Allikas: kuvatõmmis

Käivitama veel ei pea, see jääb pärastiseks.

Tegevus 3 – Nüüd asume paigaldama ID-kaardi tarkvara. Lähtuda  tuleb id.ee juhistest, põhjusel, et seda blogikirjet aasta pärast keegi ei uuenda, id.ee juhiseid aga küll. Saidile installer.id.ee Maciga minnes antakse platvormikohaseid soovitusi:

Allikas: kuvatõmmis

MacOSXi puhul erineb installeerimine kõigist teistest platvormidest sellega, et esimese paketina kästakse alla tõmmata sirvikutugi (allkirjastamine ja autentimine veebis) ning alles teise paketina ID-kaardi haldusvahend koos DigiDoc3 utiliidiga). Probleem – kiirelt tegutsejad jätavad mõnikord teise toe paigaldamata, mistõttu, kui neil tekivad probleemid, pole neil vahendeid vigade leidmiseks ja väljaajamiseks.

Seetõttu anname kindla soovituse – kindlasti ikka peale panna kõik viidatud paketid.

Paigaldamine toimub rakenduste poe kaudu täiesti tavaliselt:

Vali “Downloads”. Allikas: kuvatõmmis

Faili avatakse. Allikas: kuvatõmmis

Kohale toodud paigaldusäpp tuleb käima klikkida:

Allikas: kuvatõmmis

Paigaldamise käigus nõutakse administraatori parooli:

Allikas: kuvatõmmis

Paigalduse lõppedes hoiatab installer, et on vaja ära tuua veel teinegi pool tarkvarast. Seda tulebki teha:

Allikas: kuvatõmmis

Äppstoori vaade on selline (mõlemad paketid ootavad installimist):

Allikas: kuvatõmmis

Eeldatav tulemus

Mõlemad äpid (ID-kaardi haldusvahend ja DigiDoc3) on installitud ja kasutamiseks valmis:

Allikas: kuvatõmmis

Kui äpid saavad paigaldatud, ilmuvad nad nähtavale ka Launcheris:

Allikas: kuvatõmmis

Tegevus 4 – Ühenda kaardilugeja arvutiga (enamasti käib see USB-pistiku abil), ning pista kaart lugejasse. Jälgi, et kaart oleks lugejas ikka õigetpidi:

Autor: Anto Veldre

Kontrolli et tegu oleks ikka õige kaardiga, mis on õigetpidi sees (pilt allpool, kiip eespool). Vähemalt kord elus pistab meist igaüks lugejasse hoopis pangakaardi ja siis imestab: miks küll ei saa e-teenusesse sisse logida:

Autor: Anto Veldre

Tegevus 5 – Käivita äpp, mille nimi on ID-kaardi haldusvahend (ID-card Utility) ning veendu, et haldusvahend näeb kaarti ning suudab sellelt andmed sellelt välja lugeda.

Eeldatav tulemus

Allikas: kuvatõmmis

Võimalikud veateated

Juhul kui on tehtud viga kaardilugeja ühendamisel või on kaart valepidi sees või on kiip tuksis, võivad esineda sellised veateated:

Allikas: kuvatõmmis

Allikas: kuvatõmmis

Rada B

Rada B on mõeldud krüptograafiaga kaasneva info kontrollimiseks:

  • kas PIN-koodid on meeles,
  • ega PIN-koodid pole lukustunud,
  • kas isikusertifikaadid kehtivad,
  • kas konkreetne kaart on võimeline krüptograafilisi toiminguid sooritama.

Allikas: Anto Veldre

Tegevus 6 – PIN1 abil saab Haldusvahendis avada oma passipildi (see tuuakse PPA andmebaasist). Selleks tuleb vajutada lingile „Laadi pilt“ ja sisestada oma kaardi PIN1:

Allikas: kuvatõmmis

Juhul kui PIN1 on õige, ilmub ekraanile Sinu passipilt:

Allikas: PPA ja kuvatõmmis

Kas nägid oma passipilti? Kui ei, siis pole mõtet edasi liikuda, vaid tuleb lahendada PIN1 mure.

Tegevus 7 – PIN2 koodi kasutades tuleb Digidoc3 utiliidi abil digiallkirjastada mõni fail. Kuivõrd digiallkirjal on õiguslik tähendus, siis tuleks testimiseks valida mõni ohutu kiisupilt. Alul käivitame DigiDoc3 äpi:

Allikas: kuvatõmmis

Valime „allkirjastada dokument“, kusjuures vorminguks valime moodsaima „*.asice“:

Allikas: kuvatõmmis

Ka lisaväljad võib täita, ehkki testi puhul pole seda otseselt vaja:

Allikas: kuvatõmmis

Dokument on allkirjastamiseks valmis, nüüd tuleb vajutada “Allkirjasta” nupule ja sisestada oma kaardi PIN2:

Allikas: kuvatõmmis

Eeldatav tulemus

Kui tegevus õnnestus, on tulemuseks digiallkirjastatud kassipilt:

Allikas: kuvatõmmis

Sellega on raja B tegevused edukalt sooritatud.

Hoiatus! Rada B tuleb kindlasti edukalt läbida enne, kui üldse raja C (ehk sirvikute konfigureerimise) juurde edasi liikuda. Sestap on siin vahel punane joon.

Allikas: kuvatõmmis

Allikas: kuvatõmmis ID.ee saidist

Rada C

Kolmas ja viimane rada kätkeb endas sirvikute konfigureerimist netis kasutamiseks. Põhiliselt vajavad sättimist allkirjastamise moodulid. Lähtuda tuleb id.ee ajakohasest infost sirvikute SafariChromium ja Firefox kohta.

Rada C sisaldab selliseid tegevusi:

Allikas: Anto Veldre

Raja C tegevused tuleb sooritada iga sirviku jaoks eraldi. Otstarbekam on kõigepealt häälestada ära põhisirvik Safari ja alles siis Chrome ning Firefox.

Parandus [2017-10-13]: veebileht sk.ee/tervitus pole enam käigus, esmatestimiseks logi sisse riigiportaali eesti.ee.

Tegevus 8 – Automaatinstalli tulemuste ülevaatus. Safariga saab paigaldus ise hakkama – sealsed moodulid klikime lahti alles tegevuses nr 10. Kindlasti aga modifitseeris paigaldusprogramm sirvikute Chrome ja Firefox sättungeid. Emma-kumma käivitamisel ilmub tavapärane turvahoiatus, et programm on pärit pahast-pahast Internetist. Antud juhul ohtu pigem pole –- olid see ju Sina ise, kes just tõi õiged sirvikud originaalsaidist kohale:

Google Chrome’i avamiseks kinnituse küsimine. Allikas: kuvatõmmis

Firefoxi avamiseks kinnituse küsimine. Allikas: kuvatõmmis

Edasi vaatame üle, missuguseid muudatusi installer sirvikute häälestusse tegi.

Chrome

Chrome’i puhul märgib muudatusi sirviku üleval paremas nurgas tekkinud ID-ikoon (millel võib lisainfo saamiseks ka klõpsata):

ID-ikoon brauseri nurgas. Allikas: kuvatõmmis

Ühtlasi annab Chrome meile teada:

Allikas: kuvatõmmis

Loomulikult tuleb vajutada nupule „Enable Extension“.

Firefox

Firefox annab muudatustest väga häälekalt teada. Muudatused tuleb aktsepteerida (linnuke kasti „Allow this installation“) ja vajutada ilmuvale nupule “Restart”:

Allikas: kuvatõmmis

ID-kaardi tarkvara uusim versioon paigaldab suisa mitu lisamoodulit, sestap ilmub nähtavale teinegi infoteade:

Allikas: kuvatõmmis

Ka selle teate puhul tuleb teha linnuke kasti „Allow this installation“.

Tegevus 9 – kontrolli, kas sirvik suudab operatsioonisüsteemi vidinatega suheldes Sind mõnda e-teenusesse autentida (sisse logida). Lihtsaim on selleks kasutada testimiseks mõeldud spetsiaalset tervituslehte. Parandus [2017-10-13]: veebileht sk.ee/tervitus pole enam käigus, esmatestimiseks logi sisse riigiportaali eesti.ee.

(Sügavam selgitus: viisakate e-teenuste https-ühendus moodustatakse viisil, et TLS pannakse püsti ID-kaardil leiduva krüptomaterjali abiga. See omakorda nõuab kaardi „avamist“ PIN1 koodi abil. Kui sirviku ja ID-kaardi suhtlus miskipärast ei toimi, siis turvalist https-ühendust püsti panna ei õnnestu ja tervituskatse luhtub.)

Sisselogimiskatse tuleb sooritada eraldi iga kolme sirvikuga.

Eeldav tulemus

Tervitusleht palub valida sertifikaadi (formaalsus), seejärel palutakse sisestada PIN-kood:

Allikas: kuvatõmmis

PIN-koodi sisestamine. Allikas: kuvatõmmis

Kui kõik õnnestub, siis näidatakse lõbusat ID-mehikest:

Allikas: kuvatõmmis

Võimalikud veateated

ID-kaarti ei leitud:

Allikas: kuvatõmmis

On võimalikud ka ebamäärasemad veateated:

Allikas: kuvatõmmis

Sellise veateatega sirvikut ei saa edaspidi kindlasti kasutada. Viga tuleb üles leida ja lahendada, vajadusel spetsialisti poole pöördudes.

Kõige keerulisematel juhtudel on midagi vussis tarkvaraliste alamsüsteemide vahel – üks aken näitab, et ID-kaart on loetav ja teine, et pole. Sellisel segasel puhul on mõtet teha restart ja kui see ei aita, pöörduda IT-asjatundja poole.

Allikas: kuvatõmmis

Kuniks pole autentimist tööle saadud, on parem allkirjastamise juurde mitte edasi liikudagi (sest praktiliselt kõikidesse digiallkirjastamist nõudvatesse e-teenustesse tuleb esmalt sama sirvikuga sisse logida).

Tegevus 10 – Tuleb üle kontrollida ja häälestada kõigi sirvikute moodulid ja pluginad. Tegevuses tuleb lähtuda id.ee juhistest:

Safari

Leia Safari menüüst valik „Preferences”:

Allikas: kuvatõmmis

Vali turvalisuse sakk („Security“) ning klõpsa seal nupul „Plug-in Settings“:

Allikas: kuvatõmmis

Ilmub nähtavale pluginamenüü, kust paistab, et „Firefox Token Signing“ ongi juba installitud ning ka sisse lülitatud (seisundis „On“). Kui ka Sinu arvutis paistab samamoodi, siis midagi tegema ei pea. Vajuta „Done“:

Allikas: kuvatõmmis

Ühtlasi ei maksa end lasta nimetustest eksitada – jah, tõepoolest – ka Safari kasutab „Firefoxi“ nimelist pluginat.

Chrome

Chrome’is vajab ülekontrollimist üksainuke laiendus (extension). Nn kolme-täpi-menüüst tuleb jõuda menüüpunktini Extensions / Laiendused:

Allikas: kuvatõmmis

Laiendus nimega „Token Signing“ peab olema seisundis „Lubatud“  (Enabled). Kui polnud, siis tuleb see käsitsi aktiveerida ja teha sirvikule restart:

Allikas: kuvatõmmis

Firefox

Firefoxi all on sättimist vajavaid laiendusi ja pluginaid pisut rohkem, pealegi oleneb nende kogus ID-kaardi tarkvara versiooninumbrist. Alates jaanuarist 2017 tuleb sättida tervelt kaks laiendust (extensions).

Nn kolme-triibu-menüüst tuleb liikuda alammenüüsse “Lisad”:

Allikas: kuvatõmmis

Juhul kui tegu on ID-kaardi tarkvara uuema versiooniga, paistab menüüs „Extensions“ / „Laiendused“ suisa kaks laiendust:

Allikas: kuvatõmmis

Kumbki moodul pole ülemisel pildil veel aktiivne. Mõlemad tuleb käsitsi lubada ning teha sirvikule restart:

Allikas: kuvatõmmis

Ent sellega häälestus ei piirdu. Tuleb veel minna alammenüüsse „Pluginad“ ning kui tegu oli vanema tarkvaraga, siis paistab seal moodul „Firefox Token Signing“, mis tuleb keerata aktiivseks:

Allikas: kuvatõmmis

Lõpptulemus – plugin olgu seisundis “alati aktiivne”:

Allikas: kuvatõmmis

Kokkuvõttes – Firefoxi puhul tuleb aktiveerida kaks ühikut lisamooduleid. Varem oli üks neist plugin, teine laiendus, alates jaanuarist 2017 pakutakse kaht laiendust.

Tegevus 11 – Sirvikuga allkirja andmine. Tuleb tunnistada, et digiallkiri on tõsine värk ja Eestis on raske leida e-teenust, kus saaks digiallkirjastamist ohutult, kuid tasuta testida. Üks selliseid keskkondi on hiljuti uuenenud digidoc.ee. Piiranguks on eelnev registreerimine. Tuleb ID-kaardiga sisse logida, endale „kasutaja teha“ ning – eestlasele tundub see jabur – siis saadetakse e-kirjaga registreerimislink, mida klikkides konto luuakse. Ent portaal muutus rahvusvaheliseks, Leedu IT-ettevõte Estina peab arvestama ka teiste riikide kommetega. Igatahes saab kuni 5 digiallkirja kuus anda tasuta ning just seda me hetkel vajame.

Allikas: kuvatõmmis

Pärast registreerimist tuleb oma kontole laadida üles mõni sobilik kiisupilt ning see allkirjastada. Mõned ekraanipildid (küll Windowsi keskkonnast), mis seda protseduuri illustreerivad:

Allikas: kuvatõmmis

Parooli sisestamine. Allikas: kuvatõmmis

E-posti aadressi kinnitamine. Allikas: kuvatõmmis

Alustamine. Allikas: kuvatõmmis

Digiallkirja vormingu valimine. Allikas: kuvatõmmis

Sertifikaadi valimine. Allikas: kuvatõmmis

Vajuta nuppu “Allkirjasta”. Allikas: kuvatõmmis

(selle koha peal surises portaal vähemalt kaks minutit… ikkagi tasuta kasutaja või sedasi…). Lõpuks küsiti PIN2 koodi:

Allikas: kuvatõmmis

Eeldatav tulemus

Pärast edukat allkirjastamist saadetakse e-kirjaga kinnituskiri. Edu on selgelt tähistatud.

Allikas: kuvatõmmis

Tegevus 12 – Tuleks sooritada sirvikuga allkirjastamise test veel ka mõnes muus e-teenuses, eelistatult pangas. Netipankade allkirjastamisskriptid on ühtlasi keerulised ja neid kasutatakse kõige sagedamini, mistõttu vead ilmnevad kõige kiiremini. SEB on valitud isikliku eelistuse põhjal, testida võib ka teistes netipankades.

Internetipanga kasutamiseks tuleb end kõigepealt sisse logida, milleks on loomulikult vaja kasutajatunnust vastavas pangas. Edasi toimub sertifikaadivalik ja PIN1 küsimine, nagu igas e-teenuses:

Allikas: kuvatõmmis

PIN-koodi sisestamine. Allikas: kuvatõmmis

Seejärel tuleb alustada sobivate rekvisiitidega makset ning see allkirjastada:

Allikas: kuvatõmmis

PIN2 koodi sisestamine. Allikas: kuvatõmmis

Võimalikud veateated

Allkirjastamine ebaõnnestus:

Allikas: kuvatõmmis

Kas lubad veebilehel kasutada pluginat:

Allikas: kuvatõmmis

Ehk unustasid Sa mõne plugina või laienduse aktiveerimata. Mine tagasi tegevusse 10 (rada C) ja aktiveeri vastava sirviku kõik asjassepuutuvad pluginad – nende seisund peab olema mitte “Ask”, vaid “Always Active”.

Kindlasti on võimalikke veateateid rohkem, kuid Maci testimise käigus neid lihtsalt ei esinenud – pangas allkirjastamine töötas laitmatult.

Taustainfot Maci turvalisuse kohta

Eraldi teema on MacOSi kasutamine turvalise platvormina – ehk usaldatud töövahendina. Isegi Apple ei väida enam MAcOSi tutvustuses, justkui oleks OSX / MacOS viirusevaba ja turvaliselt ülim operatsioonisüsteem. Võrreldes Windows 10 tulemuslikuks ründamiseks vajalike võtete keerukusega on MacOSi kuritahtlik ärakasutamine oskuslikule ründajale oluliselt hõlpsam.

Kui Sul on ikkagi kange tahtmine õunamärgilise seadmega oma raha- ja tööasju ajada, soovitame see võimaluste piires turvata. Juhendeid on selleks erinevaid ning me ei saa siinkohal ühtki teisele eelistada. Alustuseks sobib aga end drDuhiks nimetava tegelase ülevaade MacOSi turvalisemaks (kuigi mitte turvaliseks) konfigureerimise meetmetest või siis lihtsam skript, mis õunamasina seadeid kontrollib ning neid kasutaja nõusolekul „peenhäälestab“Infolink veebilehitseja Safari turvalisuse kohta.

Murekohad

Olulised “märkused” ID-kaardi tarkvara juurde:

Tuleb aru saada, et Apple’i tarkvara on oma olemuselt kinnine. Ligipääs sellele, saati siis enne ametlikku reliisi, on seotud väga karmide NDA tingimustega. Otse öeldes, arendustingimused on karmid, nii meie- kui muumaistel arendajatel tuleb kassi otsida pimedas toas. Tõenäoliselt aja jooksul, kui Macimaailmas hakatakse kiipkaarte rohkem kasutama, muutub olukord paremaks. Taustainfo: Ludovik Rousseau blogi, eriti OSi uusversioonide ilmumise paiku.

Arvestades, milline on Maci kasutajate hulk Eestis protsentuaalselt, tuleks neil olla õnnelik, et tugi operatsioonisüsteemile MacOS X on olemas. Selle toe kvaliteet ei ole veel parim, põhjusteks asjaliku tagasiside vähesus ja ennekõike kinnine arendusplatvorm. Hetkel tuleb Maci kasutajatel teadmiseks võtta, et ID-kaardi tarkvara kvaliteet ei küündi samale tasemele kui näiteks Windowsi puhul. Oleneb ju tarkvara kvaliteet otseselt kasutajate hulgast ja antava tagasiside põhjalikkusest.

Kui keegi mõne probleemi avastab, või veel enam, selle enda jaoks lahendab, palun sellest kindlasti teada anda ka telefonil 1777.

Apple’i üldine ideoloogia on, et programm teeb mingit üht asja ja teeb seda hästi. Antud juhul tuleb sellesse eesmärki suhtuda reservatsioonidega: kasutajad peavad aru saama, et Apple’i kinnine arendusmudel koos kasutajate vähesusega ei ole seni võimaldanud MacOS Xi spetsiifilisi muresid baastarkvarast päris lõpuni välja ajada.

ID-tarkvara paigaldamine Linuxile

Blogiseeria selles osas uurime ID-kaardi tarkvara paigaldamist Linuxile. Väga kasulik on eelnevalt tutvuda ID-kaardi installeerimisega mõnel teisel platvormil (näiteks Windowsil), siis on lihtsam ootusi häälestada ja tulemust hinnata.

Kui Sa pole süsteemiadministraator, siis lihtinimesele ainuke enam-vähem töökindel rada ID-kaardi tarkvara installimiseks on operatsioonisüsteemi (OS) kõige viimane versioon koos ID-kaardi tarkvara kõige viimase versiooniga. Kirjutamise hetkel tähendab see Ubuntu 16.10 versiooni kuniks aprillis 2017 saabub (ja millalgi saab toetatud) Ubuntu 17.04.

Tädi Maali katsetused erinevate Linuxitega (v.a kõige viimane versioon Ubuntu 16.10) näitasid, et eri distrotega (distributsioonidega) tekib erinevaid põhimõttelisi probleeme, ennekõige sirvikute (veebilehitsejate) puhul.

Autor: Anto Veldre

Ubuntu 14.04-05 puhul hakkasid mõlemad sirvikud küll tööle, ent alles pärast arutut hulka restarte, uuendusi ja moodulite korduvat häälestamist. Ubuntu 15.04 sattus ajaliselt sirvikute turvaideoloogia vahetushetkele ja selle sirvikutele allkirjastatud (e töötavaid) mooduleid enam ei toodeta. 15.10 all hakkas alul tööle üks brauser ja pärast teine, ent ühekorraga ei õnnestunud neid tööle panna isegi pärast arvuti korduvaid restarte. Distro 16.04 LTS puhul Chrome tööle ei hakanudki (testija kannatus katkes). Distrot 16.10 sai proovitud kolmes eri masinas, neist kahel Chrome ID-kaardiga tööle ei hakanudki (kiireimal masinal hakkas) ning üks isend kolmest suutis hangutada isegi haldusvahendi.

Linuxi toe puhul jääb täiesti ilmselt probleemiks, et häkkerid lahendavad iga ettesattunud probleemi vaid enda jaoks ja toote lihvimiseks vajalikku kriitilist kasutajate massi ei kogune. Mistõttu mul on siinkohal tõsine palve – andke palun igast lahendatud või isegi lahendamata murest (ID-kaart & Linux) teada ka telefonil 1777, et anda tagasisidet.

Murekohad

Olulised “tisklaimerid” ID-kaardi tarkvara juurde Linuxi all:

  1. Pigem läheb käima Firefox kui Chromium, ent kui Firefox mõne äkilise uuendusega välja tuleb, võib ajutiselt juhtuda ka vastupidi.
  2. Pigem läheb tarkvara käima käima uuel, 4GB+ mäluga arvutil kui mõnel vanal masinal.
  3. Ennemini läheb käima autentimine kui allkirjastamine. Aga kui autentimine käima ei läinud, siis pigem ei lähe käima ka allkirjastamine (mis on üllatav, kuivõrd autentimise ja allkirjastamise alamsüsteemid sirvikutel käivad eri radu).
  4. id.ee instruktsioonide järgimine ei ole sihini jõudmiseks piisav – leidub veel hulk salanippe, mille peale alati ei tulegi.
  5. Firefox eeldab, et käivitamise hetkel oleks ID-kaart juba lugejas, kaarti hiljem lugejasse pistes võivad tekkida “nähtused”, mis nõuavad suisa masina restarti.
  6. On kasulik teha restarti iga olulise paigaldus- või häälestustoimingu järel (see ei tohiks nii olla, ent on). Juba pärast paaripäevast töötamist on kasulik (või töövõime taastamiseks möödapääsmatu) sirvikule restarti teha – Y- ja Z-põlvkonna kasutajate suureks meelehärmiks, kelle tööstiil teatavasti on 50 korraga lahtiolevat sirvikuakent.
  7. Linuxi mittekasutajatel on hea meenutada, et iga Unix (sh Linux) eristab suur- ja väiketähti, seega on täpsus failinimedes abiks.
  8. Olgu ära mainitud ka mainitud segadused 32 bit / 64 bit brauseritega. Kuni veebruari 2017 keskpaigani seisab Firefoxi juures tisklaimer, et ta 64-bit brauseriga ei tööta. Mida see praktikas tähendab, sellest tädi Maali aru ei saanud.
  9. GUI disain muutub mitme asjaosalise koostöös sedavõrd koledaks, et Maci esteedid saaksid rabanduse. Linuxi häkkerile on see pisiasi.

Allikas: kuvatõmmis

  1. Lõpuks, id.ee avaldus toetatud operatsioonisüsteemidest jätab üht-teist ütlemata:

Allikas: kuvatõmmis

Ütleme siis selgelt välja: reast on puudu Ubuntu 14.10 ja 15.04. Neid ei toetata. Haldusvahend ja Digidoc3 lähevad küll kenasti käima, ent sirvikumooduleid ID-kaardiga tööle saada pole võimalik. Teatest ei ole võimalik välja lugeda 32/64bit distrote kõlblikkuse täpseid asjaolusid – näiteks 14.04-05 distrot sai proovitud mõlemas variandis ja selgust ei saabunud.

Ka ei räägi ametlik toetusrida midagi lUbuntu, kUbuntu, xUbuntu, Ubuntu Mate ja teiste erifookusega distrote kohta. Rõõmus uudis kõlab, et need käituvad enamjaolt nagu samanumbrilised põhidistrod – garantiid anda ei saa, aga tasub proovida!

Paigaldus

Paigaldamise töövoog on esitatud alljärgneval diagrammil.

Autor: Anto Veldre

Tuleb järjest läbi käia kolm rada, kusjuures järgmist ei võeta ette enne kui eelmine on edukalt läbitud. Allpool on ka väga detailne joonis kõigist tegevustest, mis tuleb paigaldamise, häälestamise ja testimise käigus läbida:

Autor: Anto Veldre

Raja A läbimine garanteerib, et programmid on õigesti paigaldatud. Rada B sunnib kasutajat kontrollima oma teadmisi: PIN-koodide olemasolu ja elementaarseid kasutamisoskusi. Lõpuks, raja C läbimine kindlustab, et sirvikud saavad ID-kaardi tarkvaraga hästi läbi ja nõustuvad koostööd tegema.

Parandus [2017-10-13]: veebileht sk.ee/tervitus pole enam käigus, esmatestimiseks logi sisse riigiportaali eesti.ee.

Rada A

Raja A läbimine (tegevused 1–5) paigaldab vajaliku tarkvara ning annab kindluse, et kaardilugeja töötab ja ID-kaardi sisu on operatsioonisüsteemile üldse nähtav.

Algus > 1. Uuenda arvuti tarkvara! > Rebuut! > 2. Paigalda arvutisse ette ära kõik vajalikud sirvikud > 3. Paigalda UUSIM versioon ID-tarkvarast > 4. Ühenda kaardilugeja arvutiga, pista ID-kaart sisse (ja hoia seal lõpuni) > 5. Kontrolli ID-kaardi loetavust haldusvahendiga >

Autor: Anto Veldre

Tegevus 1 – uuendamine/värskendamine/ajakohastamine – käib kas automaatselt või kamandatakse administraatorina käsurealt:

sudo apt-get update

sudo apt-get upgrade

Tegevus 2 – paigaldamine. Linuxi all on kasulik mitte hakata uusimaid tarkvaraversioone käsitsi kohale tõmbama. Kodukasutajal soovitan jätta paigaldamine ja uuendamine distributsiooni autorite kontrolli alla (ning mitte paigaldada ise asju algkoodist)… siis on suurte turvaaukude puhul lootust, et mure kiiremini ära paigatakse. Maitse asi, kas pruukida mõnd graafilist uuendit (mina eelistan Synaptic’u nimelist) või suisa käsurida:

apt-get install chromium-browser

Tegevus 3 – ID-kaardi tarkvara installides tuleb lähtuda id.ee veebisaidi suunistest. Põhjus: see blogi siin võib aeguda, id.ee saidi sisu uuendatakse pidevalt. Sinna Linuxiga minnes antakse platvormikohaseid soovitusi:

Allikas: kuvatõmmis

Linuxi all toimub ID-kaardi tarkvara paigaldamine shelli skriptiga, mis aga tuleb eelnevalt ID.ee saidist alla tirida:

Allikas: kuvatõmmis

„Save“ valikuga nõustudes salvestub installiskript kataloogi /home/<KASUTAJANIMI>/Download/. Siis tuleb shelli akna (terminaaliakna) abil mainitud kataloogi siseneda ning seal asudes käsurealt kamandada:

sudo sh install-open-eid.sh

Administraatori õigustesse tõusmiseks küsitakse kasutaja parooli ning paigaldamise keskpaigas on vajalik üks Y |ENTER| vajutus.

Allikas: kuvatõmmis

Tegevus 4 – Ühenda kaardilugeja arvutiga (enamasti käib see USB abil, mõnikord aga on kaardilugeja salaja monteeritud arvuti korpusse) ning pista kaart lugejasse. Hetkel veel pole oluline, et tegu oleks uue ja kehtiva kaardiga, kõlbab ka vana.

Seda, kas ID-kaart on operatsioonisüsteemile nähtav, saab kontrollida käsurealt:

Allikas: kuvatõmmis

Tegevus 5 – Käivita ID-kaardi haldusvahend (alammenüüst Accessories) ning veendu, et haldusvahend näeb kaarti ning suudab andmed sellelt välja lugeda

Võimalikud veateated

Allikas: kuvatõmmis

Allikas: kuvatõmmis

Allikas: kuvatõmmis

Eeldatav tulemus

Allikas: kuvatõmmis

Õnnitleme! Rada A on läbitud, tarkvara paigaldatud ja esmane kontakt ID-kaardiga saavutatud.

Rada B

Rada B on mõeldud krüptograafiaga kaasneva info kontrollimiseks:

  • kas PIN-koodid on meeles?
  • ega PIN-koodid ole lukustunud?
  • kas isikusertifikaadid kehtivad?
  • kas konkreetne kaart on võimeline krüptograafilisi toiminguid sooritama.

Autor: Anto Veldre

Tegevus 6 – PIN1 abil saab haldusvahendis avada oma passipildi (see tuuakse PPA andmebaasist). Selleks tuleb vajutada õigele lingile (“Load picture”) ja sisestada PIN1:

Allikas: kuvatõmmis

Kas nägid oma passipilti? Kui ei, siis pole mõtet edasi liikuda.

Allikas: kuvatõmmis

Tegevus 7 – PIN2 koodi kasutades tuleb Digidoc3 utiliidi abil digiallkirjastada mõni fail. Kuivõrd digiallkirjal on õiguslik tähendus, siis tuleks sel otstarbel valida mõni ohutu kiisupilt.

Allikas: kuvatõmmis

Hoiatus! Rada B tuleb kindlasti enne edukalt lõpetada, kui üldse raja C (ehk sirvikute konfigureerimise) juurde edasi liikuda. Põhjus – kui ID-kaart ei hakanud tööle kohalike utiliitidega, siis ülima tõenäosusega ei hakka ta tööle ka sirvikutega. Sestap on siin mõttepausiks vahel punane joon.

Rada C

Kolmas ja viimane rada kätkeb endas sirvikute konfigureerimist netis allkirjastamiseks. Lähtuda tuleb id.ee sellekohasest infost:

Autor: Anto Veldre

Raja C tegevusi tuleb korrata mõlemi sirviku jaoks eraldi. Otstarbekam on alul häälestada ära Firefox (keerulisem, ent õnnestub sagedamini) ning alles seejärel Chromium.

Parandus [2017-10-13]: veebileht sk.ee/tervitus pole enam käigus, esmatestimiseks logi sisse riigiportaali eesti.ee.

Tegevuse 8 (automaatinstalli tulemuste ülevaatuse) saab Linuxi puhul täiesti vahele jätta. Isegi kui install teeb midagi kasutaja eest ära, siis, vastavalt Linuxi ideoloogiale, õnnestumisest ei raporteerita, kasutajale sellest teada ei anta ega nõuta OK-vajutusi õnne aktsepteerimiseks.

Tegevus 9 – kontrolli, kas sirvik suudab operatsioonisüsteemi vidinatega suheldes Sind mõnda e-teenusesse autentida (sisse logida). Lihtsaim on selleks kasutada testimiseks mõeldud spetsiaalset tervituslehte https://www.sk.ee/tervitus.

 

Eeldatav tulemus

Allikas: kuvatõmmis

Allikas: kuvatõmmis

Allikas: kuvatõmmis

Võimalikud veateated

Allikas: kuvatõmmis

(Ülalolev veateade paraku ei osuta jama sügavamatele põhjustele. Nimelt – viisakate e-teenuste https-ühendus moodustatakse viisil, et TLS pannakse püsti ID-kaardil leiduva krüptomaterjali abil. See omakorda eeldab kaardi „avamist“ PIN1 koodi abil. Kui sirviku ja ID-kaardi suhtlus miskipärast ei toimi, siis ei õnnestu püsti panna ka turvalist https-ühendust ja tervituskatse luhtub.)

Allikas: kuvatõmmis

NB! Muide, ka Linuxi all peab sirvikus autentimine hakkama ise tööle kohe pärast sirviku installeerimist (rada A, pärast sammu 3). Kui seda ei juhtu, siis on tegemist tõsise (ja paraku sagedase) probleemiga, millega (kui korduv restart ei aita) peaks tegelema spetsialist. Võimalikud vead: vale distro, uuendamata põhitarkvara, vanaraud. Kuniks pole autentimist tööle saadud, ei tasu allkirjastamise juurde üldse edasi liikuda (sest praktiliselt kõikidesse digisigneerimist nõudvatesse e-teenustesse tuleb eelnevalt sama sirvikuga sisse logida).

Tegevus 10 – Kontrollida, et brauseritel on lisamoodulid installitud. Tegevuses tuleb lähtuda id.ee juhistest:

Chromium

Chromiumis vajab ülekontrollimist üksainus laiendus (extension). Nn kolme-täpi-menüüst tuleb valida Settings -> Extensions. Laiendus nimega „Token Signing“ peab olema aktiivne (enabled). Kui polnud, siis tuleb see käsitsi aktiveerida ja teha restart sirvikule (või isegi arvutile).

Allikas: kuvatõmmis

Firefox

Firefoxis vajab ülekontrollimist üks laiendus ja üks plugin (ehk siis kokku tervelt kaks lisamoodulit). Märkus: jaanuaris 2017 ilmub ID-kaardi tarkvarast uus versioon, kus laiendusi on kaks. Laienduste menüüsse jõudmiseks tuleb nn kolme-triibu-menüüst tuleb valida Lisad:

Allikas: kuvatõmmis

Laiendustega on sel pildil kõik korras – „Firefox PKCS11 Loader“ ongi juba aktiveeritud:

Allikas: kuvatõmmis

Seevastu pluginate menüüd üle kontrollides selgub, et plugina olek vajab käsitsi sekkumist:

Allikas: kuvatõmmis

Plugin „(Firefox) Token Signing“ peab olema alati aktiivne.

Pärast muudatusi on soovitav teha restart brauserile või isegi arvutile (arusaamatu, kuid toimib). Pärast rebuuti tuleks laiendused/pluginad veel kord üle vaadata ning veenduda, et tehtud valikud on säilinud.

Allikas: kuvatõmmis

Tegevus 11 – Sirvikuga allkirja andmine. Hetkel kõige mugavam on teha esimesed katsed digidoc.ee keskkonnas. Sinna tuleb alul sisse logida, siis laadida üles mõni sobilik kiisupilt ning see lõpuks allkirjastada.

Digidoc.ee veebisait on värskelt muutunud, Estina on teinud selle rahvusvaheliseks, mistõttu on vaja läbida kohustuslik registreerimine (konto avamine) ning esineb piirang 5 digiallkirja kuus. Sellegipoolest on portaal testimiseks täiesti kasutatav.

Eeldatav tulemus

Allikas: kuvatõmmis

Allikas: kuvatõmmis

 

NB! Juhul kui ei õnnestu isegi digidoc.ee-sse sisse logida, siis marss tagasi Tegevuse 9 juurde!

Tegevus 12 – Tuleb sooritada sirvikuga allkirjastamise test veel mõnes teiseski e-teenuses, eelistatult pangas. Netipankade allkirjastamisskriptid on ühtlasi keerulised ja neid kasutatakse kõige sagedamini, mistõttu vead ilmnevad seal kõige kiiremini. SEB on valitud isikliku eelistuse põhjal, testida võib ka teistes netipankades.

Eeldatav tulemus

Sisselogimine:

Allikas: kuvatõmmis

Makse allkirjastamine:

Allikas: kuvatõmmis

PIN2 sisestus:

Allikas: kuvatõmmis

Nalja kah

Tänapäeval ei maksa ehmatada koledate keeleüllatuste üle mistahes tarkvaras. Mida küll võiks tähendada omahost, minuhost, temahost? Tähendusväärsel kombel „turvaseade“ on formaalselt õige, kuivõrd PIN1 tõesti avab ID-kaardi (turvaseadme), mitte ei liigu traatipidi panka (nagu tädi Maali naiivselt arvas). Kas Sina teadsid, et sisestatud PIN kood liigub vaid ID-kaardini ja ei kunagi kaugemale?

Allikas: kuvatõmmis

Kauguuendamise kolmas laine

aktiivseid-kaarte

Allikas: id.ee

Riigi Infosüsteemi Ameti analüütik Anto Veldre kirjutab 2017. aasta alguses käivituvast ID-kaartide kauguuendamise kolmandast lainest.

Jaanuaris pääseb paisu tagant valla ID-kaardi sertifikaatide uuendamise kolmas laine. Seekordne sertifikaadiuuendus on suurim ning puudutab enam kui 700 000 ID-kaardi ja digi-ID omanikku, teisisõnu, tegemist on ulatusliku ning enamikele Eesti elanikele olulise sündmusega.

Sedavõrd suured numbrid tulevad asjaolust, et paljudel inimestel on mitu identiteedikandjat – ID-kaarti kantakse kaasas ja pruugitakse eraeluliste asjade ajamiseks, digi-ID on sageli kasutusel asutustes ja firmades digitaalse töövoo tagamiseks. (NB! m-ID jääb väljapoole käesoleva kirjutise raame).

Eesti on seni ainus riik maailmas, kus elanikud saavad isikusertifikaate uuendada üle Interneti. See on kooskõlas meie digitaalse eluviisiga, arusaamaga, et pigem olgu vähem füüsilisi kontoreid, kuid mugavamad e-teenused.

ID-kaardi online uuendamise võimalus avati märtsis 2016. Esimeses ja teises laines seni oli “uutmine” piiratud vaid standardile mittevastavate sertifikaatidega. Nüüd tehakse uuendamine lahti kõigile ülejäänutele – ajendiks on üleminek tugevamale krüptograafiale. Tahame jõuda olukorrani, kus räsiprotokolli SHA-1 oleks igapäevasest kasutusest välja viidud.

Miks on uuendamine vajalik? Oleme varemalt kirjutanud sellest, et tehnoloogia areng maailmas üha kiireneb ning viie aasta jooksul, mis keskmine füüsiline dokument kehtib, võib infoturbes vägagi palju muutuda. Võimalikud turvavead, muutunud standardid, vananevad krüptograafilised algoritmid, lisaks ökosüsteemi järsult muutvad ootamatud otsused suurkorporatsioonidelt. Ei imestaks, kui varsti hakkaksime isikusertifikaate vahetama suisa igal aastal… riskihalduse eesmärgil või lihtsalt “igaks juhuks”.

RIA blogis on mitmeid teemassepuutuvaid artikleid: räsidest ning räsimisest, ID-kaardi sisemusest, uuendamise esimesest ja teisest lainest.

Ettevalmistused

Kuidas vahetamine välja näeb? Isikusertifikaatide vahetamiseks tasub esmalt veenduda, et ID-kaardi tarkvara Sinu arvutis on uusim. Mine aadressile installer.id.ee ning installi oma arvutisse uusim ID-kaardi tarkvara. Muide, tänapäeval ongi mõtet kõiki programme pidevalt uuendada. Paikasid ja parandusi tuleb peale pidevalt, vahel suisa säärase kiirusega, et versiooninumbritest võib tekkida peavalu.

haldusvahend2

Allikas: kuvatõmmis

Uuendamise kulg

Oleks kasulik enne uuendama asumist läbi lugeda abitekst, mille põhjal lahendada uuendamisel ettejuhtuvaid olukordi. Mõnel puhul (väsimus, haigus, eelseisev reis) peaks uuendamise pigem edasi lükkama.

Uuendamisega tuleks alustada alles pärast abiteksti läbilugemist ning pärast ID-kaardi tarkvara uusima versiooni paigaldamist. Selleks tuleb kaart lugejasse pista ning käivitada “ID-kaardi haldusvahend”. Uuendamise nupp on vajutatav nende kahe eelduse korral:

  1. tegu on uuendamissuutelise kaardiga
  2. kaardil on uuendamist vajavad sertifikaadid

Uuendamise konkreetne kulg pisut oleneb konkreetse kaardi versioonist – kas tegemist on vanemat (kuni 2015 lõpp) või uuemat (alates 2015 lõpp) tüüpi kaardiga. Vanemat tüüpi kaardi korral tuleks õppevideot vaadata siit ning sertifikaate õnnestub vahetada ilma PIN-koode muutmata.

Uuematel kaartidel (toodetud 2015 lõpus ja hiljem) on turvanõuded nii kõrged, et ka sertifikaatide vahetamine osutub mõnevõrra keerulisemaks – kasutajale tähendab see eelkõige paberi ja pastaka leidmist uute PIN-koodide üleskirjutamiseks. Uuemate kaartide uuendamise mõnevõrra keerulisemat õppevideot saab kaeda siin.

Olenevalt arvutivõrgu kvaliteedist ja kuu faasist võib juhtuda, et uuendamine läheb tuksi. Ikka juhtub. Sellisel juhul tuleb kaart PPA teeninduspunktis ette näidata ning paluda garantiikorras asendada. Mistõttu – kui homme on ees kiireloomuline välismaareis, siis kindlasti ei soovita selle eelõhtul kaarti kiirkorras uuendama hakata.

Viivitada ei tasu

Tahaksin hoiatada veel ühe viperuse eest, mis uuendajal võib ette tulla. Nimelt, ajalõpud (timeout‘id) on süsteemis seatud nõnda, et kui konkreetse kaardi puhul on “Uuenda” nupule ära vajutatud, siis hakkab kell tiksuma ning jääb tiksuma ka siis, kui uuendust mingil põhjusel lõpuni ei viidud. Uuendamine on seega võimalik vaid kolmekümne päeva jooksul pärast esmast nupuvajutust ning kui see aeg täis tiksub, siis ei aita konkreetse kaardi puhul enam miski ega keski peale PPA teeninduse.

Miks nii? Tegemist on turvameetmega, tagamaks, et kaardi uuendamine mingi mõistliku ajaperioodi vältel ära sooritatakse, selmet oodata Godot’ saabumist või hetke, mil Päike muutub supernoovaks. Küll aga võib see turvameede segadusse ajada kiire eluviisiga inimesi, kel jagub oma ID-kaardi paitamiseks mahti täpselt üks kord kuus. Esimesel kuul vajutatakse nuppu ja jäetakse uuendus pooleli, järgmisel kuul aga selgub ootamatult, et nüüd enam uuendada ei saagi. Nii on, sellega tuleb leppida. Seega – kui “Uuenda” nupule on kord juba ära vajutatud, olgu siis uudishimust või muul põhjusel, siis peaks tähtsa tegevuse loetud päevade jooksul ikkagi ka lõpule viima.

Mis saab siis, kui kodanik kaardiuuendamist üldse ette ei võta („uuenda“ nupule ei vajuta)? Praegu ja kohe ei juhtugi midagi. Hetkel pole teada ühtki lõplikku kuupäeva, enne mida peaksid sertifikaadid kindlasti saama vahetatud. Kuid varem või hiljem see kuupäev tekib – millalgi tulevikus, kui riskihinnangud mingil põhjusel muutuvad (tüüpiliselt juhtub see pärast mõne eduka krüptograafia-alase uurimistöö avaldamist), siis võidakse SHA-1 põhiste isikusertifikaatide elektrooniline kasutus sulgeda suhteliselt ootamatult ja päevapealt. Ja säärases olukorras ei aita tõesti enam muu, kui uue kaardi tellimine (kulu + ootamatus).