Tag Archives: eID

Eurodigiajastu mõisteselgitusi

Anto Veldre, RIA analüütik

Ühes eelmises blogiartiklis tutvustasime, kuidas meil Eestis 1. juulil 2016 otsekohaldus üks ELi seadusakt ja mismoodi digiallkirja kasutamine ja tõlgendamine sellest muutub. Täna räägime eIDAS-määrusest just muudatuste seisukohast: mis muutub, millega peab arvestama, millega on suurim oht alt lennata?!

Olulisim muudatus – me ei pea siin Eestis enam kõiki pisiasju ise leiutama. ELi standardite toel hakkavad kogu Euroopa e-allkirjad rääkima ühes keeles, edaspidi kõlbavad meie antud digiallkirjad kenasti kõigis ELi riikides (mäherdune aja kokkuhoid asjaajamisel!). Riigiülene digiallkiri toetab tublisti ka e-residentide programmi algeesmärke. Tegelikult olekski Eesti kodanikel aeg digiallkirjastatud dokumentidega euroasutustele tormi joosta.

eIDAS: eTime-Stamp, eIdentification (eID), Website authentication, eDelivery, eSignature, eSeal

Sinine tabalukk on ELi usaldusmärk

Ajalugu

Heasoovijad märkisidki juba RIA Facebook’i lehel, et Euroopa Liidu jaoks ulatub digitaalsete usaldusteenuste ajalugu aastasse 1999. Nimelt siis kehtestati direktiiv 1999/93/EÜ. Põhjusel või teisel edenes digiasi Eestis jõudsalt, Euroliidus aga mitte veel niivõrd. Euroliit uuris, miks riikidevaheline digiallkirjandus käima ei lähe ja põhjusi leiti mitu – küll tehniline ühtesobimatus, küll riikide kultuurilised erinevused.

Tehnilisest probleemist ülesaamiseks valmistas vastav instituut (ETSI) ette ühtsed tehnilised standardid. Sealtmaalt alates ei saanud keegi enam öelda, et vormingud ei ühildu. Suhtumisest ülesaamiseks ja ühtse digituru võimaldamiseks taotleti aga enamat. Välistamaks võimalust, et mõni riik digireaalsust jätkuvalt eirab, kehtestati aastal 2014 oluliselt jõulisemad meetmed eIDAS määrusena. Et motiveerida riike kiiremini arenema, pandi meetmed sundkorras otsekohalduma, teisisõnu – saavutati üleolek kohalikest seadustest. Tähtaeg 1. juuli 2016 pärineb eIDAS määruse rakenduskavast. Alates sellest päevast ei tohi liikmesriigi e-allkirjana näivat asjandust enam ukselt tagasi saata.

Digiallkiri

Esimese olulise erinevusena märkame, et meile harjumuspärast sõna digiallkiri eIDAS-määruse tekstist ei leia. Euroopa säädused räägivad e-allkirjadest. Kuivõrd meil on digiallkirjastamine ammu levinud ja inimesed seostavad sellega täiesti kindlat asja, siis osutus tarvilikuks päästeoperatsioon: Euroopa õigusest leiti e-allkirja üks teatav alamliik, mis kõige rohkem sarnanes meie senise digiallkirjaga ning nimetati see ümber digiallkirjaks.

Paraku on ümbernimetamine seni jäänud pidama seaduseelnõu tasemele ning Riigikogu läks puhkusele seda teemat lõpetamata. Seaduseelnõu SE237 seletuskiri ütleb (lk 17, eelviimane lõik):

Termin digiallkiri on olnud kasutuses sellise e-allkirja kohta, mis eIDAS määruses vastab kvalifitseeritud e-allkirja nõuetele. Vältimaks segadust ning tagades õigusselgust käibel olevate terminite osas, on lõikes 1 sätestatud, et eIDAS määruses sätestatud kvalifitseeritud e-allkiri on siseriiklikult käsitletav digitaalallkirjana. Kuna Eesti seadustes ning avalikkuses kasutatakse mõistet 'digitaalallkiri', on mõistlik jätkata selle termini kasutamist. eIDAS määruses kasutatud termin 'kvalifitseeritud e-allkiri' omab samasugust õiguslikku tähendust nagu 'digitaalallkiri'.

Loodetavasti tuleb Riigikogu septembris kenasti puhanuna taas tööle ning vormistab toreda sõnamängu ka seaduseks ära. Seniks jätkame sõna digiallkiri kasutamist heas usus.

Usaldusväärsuse tasemed

E-allkirju (ehk elektroonseid allkirju) on erineva usaldustasemega. eIDAse põhjal on tasemeid tervenisti neli. Kuivõrd eelmises blogipostituses selgitasime tasemete omadusi põhjalikult, siis siinkohal piirdume vaid ülevaatliku joonisega.

e-allkirjade tasemed. Autor: Anto Veldre

e-allkirjade tasemed. Autor: Anto Veldre

Eestit kummitav mure – kuivõrd meie endi digiallkiri kuulub kõige kõrgemasse kategooriasse, siis meil tekib õigus ja kiusatus ignoreerida kõike, mis paikneb meie tasemest allpool. eIDAS-määrus annab selleks kenasti ka võimaluse, öeldes, et iga riik peab aktsepteerima teiste riikide samaväärseid ja kõrgema taseme allkirju.

Probleem tekib seal, kus on vaja rahvusvahelist koostööd. Kui eestlasest kooskõlastaja on nimestikus kolmas, siis võib DigiDoc3 eelnevate allkirjade verifitseerimisel tõesti nuriseda, et eelnevad allkirjad on kehtetud. Ning ongi, Eesti territooriumil ja seaduste järgi. DigiDoc3 allkirjarakendus ju mõtteid ei loe, ta ei tea, mida dokumendiga edasi kavatsetakse teha. Kui nüüd eestlane oma käpajälje kolmanda allkirjana lisab, siis järgmisse riiki liikudes on kõik kolm allkirja seal kenasti taas kehtivad.

Paradoks? Just seetõttu peavad e-allkirjadega töötavad inimesed väga täpselt aru saama, missugune allkiri on kus kehtiv ja kus kehtetu. Asjaolu, et mingi allkiri on Eestis kehtetu oma taseme poolest, ei muuda seda automaatselt kehtetuks mõnes teises riigis.

Täna ei saa me veel väita, et DigiDoc3 programm juba tunnebki ära kõigi liikmesriikide kõikvõimalikes vormingutes antud allkirjad. On riike, mille vorminguid tuntakse paremini, on riike, mille omi alles õpitakse tundma. 7. juulil avaldati taas kord järgmine versioon ID-kaardi tarkvarast (3.12.4) ning selle koosseisu kuuluv Digidoc3 tunneb ära senisest enamate riikide digiallkirjad.

Täna ei ole tegemist teab mis suure probleemiga – teadaolevalt saabub välismaiseid digiallkirju riigisektorisse töötlemiseks mahus kuni 100 allkirja aastas. Niipea kui mõne riigi allkirjad populaarsemaks muutuvad, püüab RIA neile pakkuda ka Digidoc3 tuge.

Vast kõige keerulisem saabki olema usaldusväärsuse tasemete käsitlemine – täna ei ole allkirja liigitamine taseme järgi lõpuni algoritmiseeritav – puudub kõigi riikide kõigi allkirjatüüpide koondtabel. Loodetavasti tulevikus olukord paraneb ning tekib võimalus allkirja taseme määratlemiseks – kas siis DigiDoc3 programmi või mõne portaali abil.

Aktsepteerimine, tunnustamine jms tegevused

Eurodirektiivide ümberpanek eesti keelde on keeruline, sest mõningate sõnade tähendusväljad on soome-ugri keeltes täiesti teistsugused. eIDAS pruugib näiteks sõna “aktsepteerimine”. Ehk siis kõik riigid peavad nüüd aktsepteerima teiste liikmesriikide digiallkirju. Kuid missuguseid tegevusi see „aktsepteerimine“ täpselt hõlmab?

Siitmaalt paraku lähevad asjad keerukaks. Mõned põhipunktid:

Kust üldse saame aru, et tegemist on e-allkirjaga (mitte aga Kindle lugerile mõeldud PDFiga)? Nagu eelmises blogiloos vihjatud, PDF-vorming digiallkirja kandjana on eestlase jaoks päris üllatav. Kust me saame aru, et tegemist on ETSI standardi kohaselt vormistatud digiallkirjaga? Eks tuleb vastavast programmist läbi lasta ehk töödelda.

Töödelda aga ei saa asju, mis on saadud teab kust. Töödelda on mõtet vaid asju, mis on eelnevalt vastu võetud ning ka nõuetekohaselt registreeritud. Lõpuks, alles siis kui eelnevad tegevused on sooritatud, saab allkirja pista masinasse, mis ütleb, et ongi tegu mõne ELi poolt aktsepteeritud allkirjavorminguga. Ning alles päris viimase asjana saab püstitada allkirja juriidilise kehtivuse küsimuse.

E-allkirja lakmusküsimus on: kas konkreetne e-allkiri kuulub kõrgeimaile tasemele (QES a.k.a. digiallkiri), sest vaid sel juhul peame seda aktsepteerima Eesti õigusruumis.

Kõigi mainitud protseduuride nüansid tuleb alles välja töötada ning ettearvatult tekib sekretäridel ja arhivaaridel palju lisaküsimusi. Meie parimat hetkearusaamist illustreerigu see joonis:

Allkirjana esitatav artefakt. Kas võtame vastu? Ei või Jah? Ei ehk digiallkirja tagasilükkamine pole 1. juulist 2016 enam lubatud. Jah > Registreerimine dokumendihalduses > Töötlemine > Kas allkiri kehtib Eesti õigusruumis? Jah - õnnelik lõpp- Ei - õnnetu lõpp (allkiri ei sobinud).

Toimingud e-allkirjaga, autor: Anto Veldre

Ühtlasi tuleb aru saada, et ka sõna valideerimine on koormatud ülearuste tähendustega. Mõnes teises valdkonnas, näiteks sertifikaadi kehtivuse kontrollimisel, võib valideerimine tähendada hoopis midagi muud.

Sisselogimisest

Praegu on eIDAS teinud kohustuslikuks e-allkirjade aktsepteerimise (sel on pistmist meie ID-kaardil paikneva allkirjastamissertifikaadiga). Kuid juba septembris 2018 tekib riikidel sarnane kohustus ka sisselogimise osas. Riigid võtavad kasutusele ristautentimise lahenduse ja riigiasutuste portaalidesse tuleb sealtmaalt lubada ka kõik võõraste autentimisvahenditega saabujad liikmesriikidest.

Või kas ikka tuleb, sest ka sisselogimise puhul kehtib maagiline määratlus „sama või kõrgema tasemega“. Võõraste ligilaskmine meie süsteemidele saab olema keeruline (lk 9), kuivõrd tulijatel ei pruugi olla isegi meie mõistes isikukoodi. Mõnes järgmises blogijutus ehk kirjeldame skisoidset õudust, kuidas Heinz Saksamaalt siseneb meie portaalidesse ja pruugib vaheldumisi mitmelt liidumaalt saadud allkirjastamissertifikaate ja sekka Saksa eID kaarti – puudub vähimgi võimalus tema osaisikuid omavahel seostada, sest Saksa traditsioon ja sealne põhiseadus keelavad inimeste nummerdamise.

Halloo, serveriomanikud, Kartaago ootab hävitamist!

Senaator Cato Vanas-Roomas manitses iga kõne lõpus: „muide, Kartaago tuleb hävitada!“. Eestis ja täna võiksid asutused, kelle infosüsteemid eurokõlbmatuid digiallkirju vorbivad, oma süsteemid lõpuks ometi Euroopa-kõlbulikuks muuta. Vana ja aegunud Jdigidoc teeki (mille eluiga ja tugi on ammu lõppenud) pruugitakse täna 98% digiallkirjade loomiseks. Uus, euroühtesobiv DD4J teek (rahvakeeli libraar) on seni kasutusel vaid 0,05% digiallkirjade loomisel.

Armsad arendajad, austatud juhid ja rahakotiraudu avavad finantsistid! Nüüd on tõesti tagumine aeg viia oma asutuse infosüsteem üle DigiDoc4J teegi (ehk lühidalt DD4J) kasutamisele või muidu… Juba septembrist 2014 oleme teavitanud, et ilma DigiDoc4J teegita eurokõlblikku (ASiC-E formaadis) allkirja anda ei saa.

Lisamaterjalid:

Kaardiuuenduse teine laine

Anto Veldre, RIA analüütik

Paar kuud tagasi algas Eesti ID-kaartide sisu uuendamine. Selle asemel, et inimene teenindusbüroosse lähetada, pistab ta oma kodus isikutunnistuse lugejasse ning mõne minutiga asendab kaardil asuvad sertifikaadid uute vastu.

Säärane e-elustiili toetav idee tundus alguses olevat parasjagu kreisi – ükski riik polnud varemalt isikutunnistuse uuendamist üle interneti teinud. Samas polegi palju riike, kus ID-kaartide kiibifunktsioon oleks üldrahvalikult kasutusel.

Praegu võib öelda, et idee töötab. Aega hoitakse kokku kõvasti – uuendame kaardi sisu, nagu värskendatakse äppe telefonides. Pole parata – täiendusi vajab ka isikuttõendav dokument.

Praeguseks on uuendatud üle 7000 kaardi ja uuendajad pole kuigivõrd hätta jäänud. Pigem on kurdetud, et miks mina veel oma kaarti uuendada ei saa?!? Inimestest võib aru saada, Google’i lubatud 6-kuulisest tähtajast on märkamatult saamas aasta, ühtki otsest ohtu kusagilt veel ei paista.

Uuendamise teine laine algas 22. juunil 2016, mil uuendamisse läksid ka 2015. aastal väljaantud kaardid (ka digitaalsed isikutunnistused, ka e-residendi kaardid). Lisanduvate kaartide kogus on 264 000, seega uutmist vajavate kaartide koguhulk on nüüd ((155k -7k) + 264k) = ~413k kaarti.
Teise laine omapära on keerukam uuendusprotsess. Uuendamisel küsitakse kaardi PIN-koode (uusi ja vanu) ikka päris mitu korda. Ning erinevalt esimesest lainest ei piirdu asi sertifikaadiuuendusega, vaid vahetada tuleb ka krüptovõtmed ja neid avavad PIN-koodid.

Miks üldse uuendame?

Nagu varem kirjutatud, 2014. aasta turvaõnnetuste tulemusel jõudsid IT suurfirmad järelduseni, et krüptograafilise tarkvara kvaliteeti võiks tõsta. Google’i uus BoringSSL tarkvara märkas 2015. aastal ära, et üks teatav aastast 2000. aastast pärinev “tõlgenduslik iseärasus” on endiselt parandamata ning mõned seniste vahenditega väljastatud sertifikaadid (sh mõnedki Eesti ID-kaartide omad) tuleks nüüd kooskõlla viia täpse tõlgendusega.

Nimelt, RSA krüptosüsteemis leidub kahe algarvu korrutis (nn “moodul”) ja algarvud on teatavasti üdini positiivsed. Varemalt tarvitati tervet mõistust: miinusmärgina tõlgendatavat kahendarvu “1” lihtsalt eirati. Iga koolipoiss ju teab, et algarv ei saa olla negatiivne. Boring SSL tulekuga aeti pill lõhki ning võeti formalistlik suund – ikkagi turvaasi, järelikult olgu kõik viimase bitini õige.

Teisestki uuenduspõhjusest on varem kirjutatud – nimelt hakkas meid truult teeninud räsialgoritm SHA-1 vanaks jääma ning tuleb käibest välja viia. Alates 1. märtsist 2016 väljastatakse Eesti isikutunnistustesse juba uusi sertifikaate, mille tembeldamisel on kasutatud moodsat SHA-2 algoritmi.

Brauserikeskses maailmas on Google, Mozilla ja Microsoft jumala staatuses – kui nemad tunnistavad sertifikaadi vigaseks, siis ei saa ei riik ega e-pood säärast sertifikaati enam pruukida. Tuleb vahetada!

Kokkuvõttes, umbes 420 000 kaardi uuendamiseks leidus vähemalt kolm head põhjust:

Millal me mida uuendame?

Lihtne vastus kõlab sedasi – too oma arvutisse ID-kaardi tarkvara uusim versioon, käivita ID-kaardi haldusvahend ning kui Sinu kaardi uutmise aeg on käes, siis Sulle öeldakse.

Autor: Anto Veldre

Autor: Anto Veldre

NB! Kogused on joonisel esitatud 2016 märtsi seisuga.

Joonisel on loetletud kõik olulisemad kaardihulgad. Alustame lõpust – punase värviga tähistatud hulgast – kui kaardil on kiip puruks või kui kasutaja ei mäleta omi PIN-koode, siis arusaadavalt pole mõtet seda kaarti uuendamiseks lugejasse sisestada.

Edasi, roosaga on tähistatud kaarditüübid, millele kunagi uuendust pakkuma ei hakatagi. Mingi kogus kaarte on sedavõrd vanad, et SHA-2 algoritmi neil rakendada ei saa. Leidub pisem kogus kaarte, mille uuendamisel tekkis vigu liiga sageli – säärase kaardi omanik suunatakse otse PPA teenindusse ning on lootust need kaardid garantiikorras asendada (ID-kaardi haldusvahend väljastab siis vastava juhise).

Rohelise värviga on tähistatud need kaardid, mida on kavas uuendada. Laine A on juba alanud. Pisut keerulisemate kaartide uuendamine algas 21. juunil.

Alles siis, kui Google Chrome’i suhtes tundlikud kaardid on eelisjärjekorras ära uuendatud, võetakse ette kolmas laine: SHA-1 abil väljastatud isikusertifikaatide asendamine moodsate, SHA-2 algoritmil põhinevatega (grupp C). Praeguse seisuga näib, et Google Chrome’i kriitiline hetk ehk ver. 53 saabumine ei tohiks toimuda enne septembrit.

Ekraanikuva: Uuendamise märguanded ID-kaardi haldusvahendis

Ekraanikuva: Uuendamise märguanded ID-kaardi haldusvahendis

Ettevalmistus uuenduseks

Uuendamiseks tuleb lehelt installer.id.ee laadida alla ID-kaardi tarkvara, paigaldada see arvutisse ning järgida selle antavaid juhiseid. Vaata läbi uuendusvideo. Uuendamise käigus paigaldatakse kaartidele uued sertifikaadid, mis tuginevad senisest tugevamal SHA-2 algoritmil. Kui haldusvahend Sulle sertifikaatide uuendusvõimalust ei paku, siis pole Sinu kaardi sertifikaatide uuendamise aeg käes.

Uuendamise jooksul küsitakse PIN-koode korduvalt (kuni seitse korda – alul vanu, siis uusi). Veelgi enam, kaardiomanikule genereeritakse uued privaatvõtmed ja sel puhul on PIN-koodide vahetamine paratamatu. (Privaatvõtmed genereeritakse ikka kaardi sees, need üle Interneti ei liigu!).

Kokkuvõttes, kui Sul on digitaalne isikutunnistus (sh e-residendi kaart) või aastal 2015 väljastatud ID-kaart, siis valmistu pisut keerulisemaks uuendusprotsessiks. Teema on mitmetahuline, vajadusel loe üle ka pikemad hoiatused eelmisest samateemalisest kirjutisest.

Sõltumata kaardi tüübist tuleks arvestada järgmist:

  • Päästa (dekrüpteeri ja salvesta) oma postkastist *.cdoc laiendiga failid – need on seotud Sinu vana privaatvõtmega ja pärast uuendust enam ei avane.
  • Veendu, et Sul on mingi alternatiivne identiteedikandja (m-ID) juhuks, kui midagi vussi läheb. Muidu jääb Su e-elu seisma.
  • Täida normaalseid e-hügieeni nõudeid ja veendu, et Sinu arvutis poleks mingit pahavara.
  • Enne kaardiuuendust paigalda viimaseim versioon ID-kaardi tarkvarast. Uuendamine toimub ID-kaardi haldusvahendiga, mille versioon olgu vähemasti 3.12.2.
  • Uuendama asu ikka vaid siis, kui tervis korras, pea värske ja puhanud. Enne uuendamist kirjuta paberile abiliini number 1777 ning veendu, et telefoni aku on täis.

Uuendamise ajal:

  • tee ettevalmistusi, et arvuti toide poole tegevuse pealt ei katkeks (laadi aku täis, kasuta UPSi vms),
  • ära mingil juhul tõmba kaarti lugejast välja uuendamise keskel – muidu läheb uuendus kindlasti katki,
  • kasuta ikka korralikku, kiiret Internetti ja ära samaaegselt suuri faile alla laadi,
  • loe korduma kippuvaid küsimusi kauguuendamise kohta lehelt id.ee.

Kui uuendamise käigus läheb miskit viltu, siis helista ID-kaardi abiliinile 1777 (välismaalt helistades +372 677 3377). Õnnestunud uuendamise peale võib robot saata Sulle sõnumi portaalis eesti.ee registreeritud ametlikule e-postiaadressile.

Pärast uuendamist:

  • Mine kontrolli üle oma lemmikteenuste (pank, maksuamet, eesti.ee portaal jms) toimivus oma uute SHA-2 ahela sertifikaatidega.

Teenusepakkujate valmisolek

Ehkki SHA-2 algoritmil põhinevaid sertifikaate väljastatakse märtsist 2016, võib juhtuda, et mõni pisem e-teenus ei toeta SHA-2 põhinevate sertifikaatide kasutamist. Sel juhul võiks teenuse omanik läbi lugeda vahesertifikaadi SK-2015 installeerimisõpetuse ning talitada vastavalt juhendile.

Kui mõni avalik teenus Sinu ärauuendatud ID-kaarti endiselt ei toeta, siis suhtle abiliiniga 1777 või saada kiri portaali omanikule.

Kauguuendamise abimaterjalid

Kiri Aleixolt

Anto Veldre, analüütik

harry-calligraphy-envelope

Allikas: http://www.katescreativespace.com/

Alates juulist 2016 hakkab kehtima Euroopa Liidu otsekohalduv rakendusakt, mis jõustab Euroliidu eIDAS-määruse ka tegelikus elus. Eks ju varemgi nõuti allkirjade piiriülesust (alates EL direktiivist 1999/93), kuid leidus tehnilisi nüansse, mis võimaldasid ühtesobivusega viivitada.

Esimesest juulist rakenduvad nõuded usaldusteenustele ja sääraste osutajatele ning vähemasti avalik sektor enam oodata ei saa – kõigis EL riikides tuleb vastu võtta mistahes EL riigist saabunud allkirju. Teaduslik käsitlus aktuaalsetest sündmustest on esitatud Mark Erlichi juhendmaterjalis.

Eestis ollakse harjunud mõtlema, et ID-kaart ja digiallkiri on kohalik leiutis, kuigi neid imesid võimaldavad tehnoloogiad pole üldsegi kohalikku päritolu. Eesti põhiline saavutus seisneb pigem selles, et meie ühiskond kasutab neid tehnoloogiaid igapäevaselt ja läbivalt; EL alles alustab sellega.

Nüüd, kus me enam pole iseendi veduriks, vaid vägesid juhitakse Brüsselist, võime mõnevõrra kergemini hingata – me ei pea enam rabelema ega digitaalse eluviisi õigsust Brüsseli onule tõestama. Algajat ehmatab enim just digiallkirjade paljusus võrreldes Eesti senise süsteemi üliselgusega.

Mis edasi?

Kui veel 30. juunil võis saadu(d allkirja) kurioosumina ära raamistada ja seinale riputada, siis alates 1. juulist 2016 peab avalik sektor vastu võtma kõik EL liikmesriikidest saabunud e-allkirjad. Näiteks väidab EL nomaad Aleixo Almeda Alvares oma e-kirjas, et ta on ülikoolis õppinud, tahab meile tööle kandideerida ja lisab oma haridust tõendava, e-allkirjastatud PDF-faili.

esign13

Allikas: http://www.gradvocates.com/

Šokk ongi käes – mõnes riigis allkirjastatakse dokumente mõne ID-kaardist oluliselt erineva vahendiga ning liikmesriikide digiallkirjad võivadki esineda oluliselt erinevates failivormingutes, eelkõige juba mainitud PDF kujul. (Mis muidugi üldse ei tähenda nagu iga PDF-fail kohe automaatselt olekski EL digiallkiri).

Kuidas säärast tundmatus formaadis allkirja kontrollida? Kiire vastus kõlab kulunult – endiselt tuleb käivitada ID-kaardi tarkvarakomplekti kuuluv DigiDoc3 programm. Juhul, kui tegu on uusima versiooniga (ID-kaardi baastarkvara versioon 3.12.4 saabub orienteeruvalt 27. juuniks), siis tunneb meie tarkvara kenasti ära suurema osa ELis aktsepteeritud sertifikaatidest.

Kui sertifikaate ei too kurg, siis kes?

Mäletatavasti, selleks et kodanik (või miks mitte ka asutus) saaks end mingisse teenusesse sisse logida või kusagile oma digitaalse käpajälje maha jätta, vajatakse digitaalseid sertifikaate. Kui klassikalises maailmas kannatab paber kõike, pole raske kirjutusmasinaga A4 lehele trükkida väidet, et vastava paberi esitaja töötab juulikuust universumi direktorina. Digimaailmas on veidrat väita mõnevõrra keerulisem, sest digisaba lohiseb taga oluliselt pikemalt kui kantseleitarvete ostukviitung.

Alustuseks otsustab mõni ärikontor, et nemad nüüd hakkavadki sertifikaadiäriga tegelema ning genereerivad endale n-ö juurmise ehk päälmise sertifikaadi. (Mõnes riigis tuleb sääraseks kutsetegevuseks veel ka tegevusluba võtta ja enesele audit kaela kutsuda). Juurmise sertifikaadi alla siis väljastatakse endile kitsama otstarbega n-ö teenusesertifikaate, millega lõppkasutajatooteid tembeldada. Ning lõpuks, kui kontorisse (Eesti puhul küll PPA kontorisse) ilmub kodanik ja tahab endale sertifikaati saada, siis väikese tasu eest see talle ka väljastatakse.

Mida sertifikaatidega tehakse?

Me kõik teame – sertifikaat kas esitatakse sisselogimise hetkel või see kaasatakse (krüptograafiliselt tagasivõtmatul moel) digiallkirja loomisse. Eestis tundub meile loomulik, et sisselogimiseks on üks sertifikaat ja allkirjastamiseks teine (sest meil nii on), kuid mõnes teises riigis võib sertifikaatide jaotus, otstarve ja paiknemine olla hoopis teistsugune (ID-kaardi sees, arvuti kõvakettal või kusagil mujal – näiteks pilves).

Kui kodanik esitab digitaalse väite, et ta töötab näiteks, khmm, universumi direktorina, siis erinevalt A4 paberist (mis kannatab kõike), paistab allkirja seest/küljest välja veel kaks asja – esiteks, kust (kelle käest) väitja oma sertifikaadi sai ning seejärel, et kas ka keegi teine on säärasele väitele oma kinnitava käpajälje alla pannud. Selgelt eristub asjaolu, kui keegi teine pole mainit väidet oma digiallkirjadega kinnitanud, siis jääb säärane väide üksnes kodaniku enda südametunnistusele.

Euroopa Komisjon on tekitanud kataloogi, kuhu Euroopa riigid panevad kirja oma teadaolevad sertifikaadiväljastajad ja nende teenus-sertifikaadid, teisisõnu peab EK usaldusnimekirja (TSL – Trusted Service Status List). DigiDoc3 programm üritabki käivitumisel seda nimekirja alla laadida, kui see ei õnnestu, siis kaebleb programm, et ta enam ei tea, keda usaldada.

Brüssel on riikidel käskinud oma sertifikaadimajanduse korda teha, avalikult välja näidata need olulised bitijadad, millele tuginedes naaberriigid saaksid üksteise allkirju kontrollida ning nimekirjad on keskselt publitseeritud. Enam pole oluline, mida me ise endast arvame. On oluline, kuidas Euroopa meid (läbi keskse nimekirja) näeb. Näpuharjutuseks võib igamees ise usaldusnimekirjast Estonia sõna otsida ning sedakaudu läbi TJA Sertifitseerimiskeskuseni jõuda.

TSL-katki

Allikas: kuvatõmmis

Terminoloogia

eIDASe võtmes räägitakse usaldusteenustest. See on termin, mida Eestis on asutud kasutama küll alles viimastel aastatel, kuid lihtsustatult hõlmab usaldusteenus autentimise, allkirjastamise, tembeldamise ning sertifitseerimisega seotud digiteemasid. See, mida meie oleme harjunud nimetama digiallkirjaks, kannab EL kõnepruugis hoopis kvalifitseeritud e-allkirja nimetust.

Kas kõik allkirjad on võrdsed?

Nii nagu füüsilises maailmas on erikujulisi pitsateid, nii ka digimaailmas. Mõnel pitsatil on rohkem vigureid küljes ja siis usutakse, et säärane olla võltsimiskindlam.

Erinevalt Eesti senisest must-valgest skeemist jaotab eIDAS-määrus allkirjad nelja kategooriasse, lähtuvalt nende tõsikindluse tasemest:

  1. Kõige madalam tase – lihtsalt allkirjad ehk kõik muu, mis kõrgematele nõuetele ei vasta, näiteks allkiri, mis on antud kodus, isevalmistatud sertifikaadiga. See tase polegi nii mõttetu kui tundub, sest kui inimene on aastaid järjest ühe ja sama “pitsatiga” digiallkirju andnud, siis võib küll kujuneda teatav veendumus, et ju see on jätkuvalt tema ise, kelle valduses vastav pitsat asub. Sääraseid allkirju võib, aga ei pea aktsepteerima – kasutamine ja menetlemine on rangelt vabatahtlikud. Ah jah – siia alamliiki kuuluvad ka näiteks e-lugeri ekraanile sirgeldatud pookstavid.
KopijaVerna

Allikas: Internet

  1. AdES ( Advanced Electronic Signature) – Veidi kõrgem tase ehk “täiustatud” elektrooniline allkiri – eIDAS nõuab, et AdES allkirja sügav tehniline olemus vastaks teatavatele miinimumnõuetele.

Sertifikaadi väljastaja võiks sisalduda vastavas registris, kuid erilisi nõudeid talle ei esitata ja auditeerimine pole kohustuslik. Ka ei nõuta selle taseme puhul veel turvalist karpi (vahendit), mille sees asuks sertifikaati “avav” võti. Isik ehk ongi tõsikindlalt kindlaks tehtud, aga võib-olla pole ka. Privaatvõtit tohib hoida failisüsteemis, pilves, sõnaga – igal pool.

Ainuke erinevus “muust” on tehniliselt standardne lahendus, mida on programmidel lihtsam “süüa”.

  1. AdES/QC – Täiustatud allkiri kvalifitseeritud sertifikaadiga (QualifiedCertificate) – erineb punktis 2 välja antud allkirjast paari olulise nõude poolest.

Esiteks, sertifikaat pärinegu nõuetele vastavast ning auditeeritud sertifitseerimiskontorist. Siis saab olla kindel, et säärane sertifikaat on väljastatud ikkagi vaid üheleainsale inimesele ning et eksisteerib mehhanism, mis võimaldaks näiteks varastatud sertifikaadi peatada. Teiseks – auditeeritud sertifitseerimiskontor teeb olulisi jõupingutusi isikusamasuse tuvastamiseks – arvatavasti on soovijat enne pitsati väljastamist kontrollitud. Eestis näiteks teeb seda PPA.

  1. QES (Qualified Electronic Signature)punktis 3 kirjeldatud täiustatud allkiri, mis aga on antud spetsiaalses turvalises seadmes säilitatud bitijadadega (näited: PIN-koodidega kaitstav USB-pulk või kiipkaart).

Kokkuvõtvalt, kõrgeima taseme allkirja puhul:

  • Sertifikaati käivitav privaatvõti paikneb kvalifitseeritud esemes sügaval sees;
  • sertifikaati kasutav isik on tõsikindlalt tuvastatud;
  • on veendumus, et keegi teine ei saa vahendit kuritarvitada (mitmefaktoriline autentimine vms).

Mis kõige tähtsam, vaid kõrgeima taseme vahendiga antud allkiri loetakse alastes aastast 2014 terves Euroopas võrdseks isiku omakäelise allkirjaga. Sellele tasemele paigutub ka meie ID-kaart.

uusID-kaartesi300

Kõrvalepõikena – kui mõnele kõrgtaseme vahendile unustatakse pärast uuenduskuuri audit tegemata, langeb see vahend automaatselt astme võrra allapoole.

Kuid … mida peale hakata vähemvõrdsete allkirjadega?

Kuivõrd me siin Eestis lendame nii kõrgelt ja väga mustvalges režiimis (kas digiallkiri vs mitte), siis tuleb arendada halltoonide äratundmise oskust.

some_animals_are_more_equal_than_others__by_gasketfuse-d5bq5r1

Allikas: http://gasketfuse.deviantart.com/art/Some-Animals-Are-More-Equal-Than-Others-322027165

Eespool mainisime liikmesriigi kodaniku (näiteks Aleixo Almeda Alvares’e) poolt antud PDF-vormingus digiallkirja. Võimalik, et see allkiri on antud kvalifitseeritud sertifikaadiga, ehk siis – Aleixo isik on kohaliku politsei poolt tõsikindlalt tuvastatud, kuid paraku tolles riigis tarvitatakse auditeerimata süsteemi, mille kohaselt allkirjastamisvõtmeid hoitakse arvuti kettal (selmet turvalise kiipkaardi sees). Kas see nüüd tähendab, et Aleixo antud AdES/QC taseme allkiri on õigustühine?

eIDASe järgi tuleb Eestis välismaistest e-allkirjadest aktsepteerida kõiki vähemalt sama taseme allkirju, mida me sama teenuse puhul siseriiklikultki tunnistame. Eesti erimure seisneb asjaolus, et meie igapäevavahendiks ongi just omakäelise allkirjaga võrdsustatud ID-kaart ja sealt väljatulnud QES taseme allkiri.

Kas see peaks tähendama, et me jätame poolte liikmesriikide allkirjad aktsepteerimata ja saadame tööd otsivad Aleixo pikalt? Ei, kaugeltki mitte!

Peame Eestis õppima halltoone tuvastama. Uurime: korravalve on Aleixo isiku kindlaks teinud – väga hea! Ahah, ja sertifikaadi päritolus võib ka enam-vähem kindel olla nagu ka selle tagasikutsumise mehhanismides. No aga sel juhul, kuivõrd Aleixo ju ise tuleb kohale (siia meile tööle) ja täitsa ise ning suuliselt kinnitab üle, et tõesti tema ise andiski selle allkirja (vahet pole, mis vahendiga, kasvõi puuhaluga), tundub, et konkreetsel juhul riski eriti pole, me võiksime Aleixo antud digiallkirja kenasti usaldada.

Teisisõnu, lisaks allkirja tehnilisele vastavusele tuleb alati hinnata ka selle andmise konteksti. Antud juhul lisandub siiski veel üks nüanss – haridust tõendava dokumendi võiks pigem ikkagi allkirjastada ülikool ise, mitte hariduse saaja.

Kes teeb mida?

Riik

Riigikogus on esimese lugemise läbinud eelnõu 237SE, millega “Digitaalallkirja seadus” (DAS) kaotab kehtivuse ja enamik selle sätteid asendatakse eIDASe sätetega. Mõrkmagusa mälestusena jääb minevikku ka meie digitaalallkirja täitsa oma formaat DDOC.

Eelnõu 237SE seletuskirjas antakse teada, et seniseid (juba antud) allkirju aktsepteeritakse edaspidigi, kuid 1. juulist pole mõtet uusi *.ddoc vormingust allkirju juurde sigitada – neid ei pruugi EL seadusandlus omakäelise allkirjaga võrdseks lugeda.

Riigiisad on ka lihtinimesele mõelnud – sääduseelnõu kohaselt tähendab “kvalifitseeritud e-allkiri” edaspidi digitaalallkirja ja vastupidi. Seega, kui jutt käib “digiallkirjastamisest”, siis tulevikus mõeldakse selle all üksnes QES taseme vahendit.

Firma ja asutus

Organisatsiooni vaatest on allkirjareformil kaks aspekti – suuta võõraid allkirju aktsepteerida (tänase seisuga saab kogu Eesti avalik sektor alla saja (!) “võõra” allkirja aastas, kuid võib ennustada, et see näitaja kasvab). Teiseks, asutusel endal peab olema suutlikkus väljastada kõrgeima (QeS) või mõne teise sobiva taseme allkirju, mida teised riigid murevabalt aktsepteeriksid.

Seega – kui Sinu firma või asutuse infosüsteem miskipärast pole ikka veel nüüdisaegsemale allkirjavormingule üle läinud, siis tuleks seda nüüd teha. Euroopaga ühildumisel on nüansse ka vormingul, millega allkirjastamise hetk allkirja sisse pisetakse (TM vs TS).

Nagu ütleb Mark Erlich oma juhendis: “Sõltumata uutest ja vanadest standarditest on ülimalt oluline, et infosüsteemid ja e-teenused, kus kasutatakse digitaalallkirjastamist, võtaksid ajatempli teenuse kasutusele esimesel võimalusel. Ainult nii saame garanteeritult tagada, et meie digitaalallkirjad on ka teistes riikides kasutusel olevates lahendustes verifitseeritavad.”

Mäletatavasti tuleb selleks integreerida oma infosüsteemidega uus teek – DigiDoc4J – sest varemalt kasutatud JDigiDoc-teek ei pruugi eIDASe nõudeid rahuldada.

Ning loomulikult tuleks töötajaid koolitada, et need orienteeruksid Euroopa rikkalikus allkirjavalikus.

Sagedamini esitatavad küsimused

  • Kas infosüsteemil on valmisolek käsitleda isikuid, kellel puudub harjumuspärane isikukood?
  • Mida teeb asutus võõrapärase digitaalselt allkirjastatud dokumendiga?
  • Kas e-teenuse protsessi jaoks on oluline, et allkirja tase vastaks omakäelisele allkirjale?
  • Kas ja mis kujul on vaja säilitada (arhiveerida) võõrapärast digitaalselt allkirjastatud dokumenti?

Muide, eIDAS reguleerib üksnes avalikku sektorit. Kui firma avaliku sektoriga mingeidki asju ei aja, siis tohib endiselt allkirjastada ka krihvliga.

Eraisik

Tädi Maali ei pea kuigivõrd muretsema. Kui tema operatsioonisüsteem on kaasaegne (siin on loetelu toetatutest) ning DigiDoc3 programm pärineb uusimast ID-kaardi tarkvaraväljalaskest, siis asjad lihtsalt töötavad.

Roosilise tulevikuperspektiivina kangastub eraisikule võimalus oma ID-kaardiga kõikvõimalikesse Euroopa portaalidesse sisse logida, kuid olgem realistid, see päris päevapealt ei juhtu.