Tag Archives: ID-kaardi tarkvara

ID-kaardi tarkvara uueneb

Autor: Anto Veldre, RIA analüütik

Neil päevil avalikustatakse uus väljalase (reliis) ID-kaardi tarkvarast. Tegemist on regulaarse uuendusega, kus lisaks pisiparandustele leidub ka mõningaid päris uusi omadusi ja võimalusi. Umbes nädala jooksul teeb ID-kaardi tarkvara kasutajale tema arvutis ettepaneku, et oleks aeg uuendused alla laadida. Entusiastid saavad reliisi kohe ise alla tirida aadressilt installer.id.ee.

Vaade 4K ekraanilt Philips 288P6

Lühikokkuvõte olulisimast

  • 4K monitoride peal paistavad haldusvahendi ja Digidoc3 aknad nüüd normaalsuuruses. Monitoride lahutusvõime uueneb tänapäeval kiiresti ja uskuge või mitte, arendajatel tuli terve teek välja vahetada, et haldusvahendi aken liiga kribuks ei muutuks.
  • kaasa tuleb TeRa rakendus – riist vanade SHA-1-põhiste .ddoc digiallkirjade ületembeldamiseks. Allpool pikemalt.
  • Olulised täpsustused eritüübiliste allkirjade kehtivuse ja kasutuspiirangute kuvamisel. Allkirja kõlblikkuse tasemeid osutatakse nüüd värviga. Allpool pikemalt.
  • Läti vormingus allkirjadega saab Digidoc3 hakkama oluliselt paremini kui enne. Hurraa!

Lätil on rahvusvahelise .asice kõrval kasutusel ka veel omaenda edoc-vorming.

Reliisiga kaasatulevate muudatuste täielikku nimekirja saab lugeda siit.

Allkirjaredelist

Vanasti oli Eestis elu lihtne – eksisteeris üksainuke jagamatu digiallkiri. Kõik teadsid, mis see on või kuidas selle kehtivust määratleda.

Siis aga, eelmise paari aasta jooksul, jõudis Euroopa Liit meile järele ning kehtestas eIDAS määruse. Mitte kõik riigid ei lenda e-allkirja mõttes stratosfääris, mõnel on hoopis tagasihoidlikumad allkirja andmise vahendid. eIDAS sätestab allkirjadele neli võimalikku (kvaliteedi)taset. Allkirjade tasemeid oleme ka varem käsitlenud siin ja seal, selle pisinüansiga, et SE237 nimeline eelnõu on vahepeal Riigikogus ära tembeldatud ning muutunud E-identimise ja e-tehingute usaldusteenuste seaduseks (EUTS).

e-allkirjade tasemed. Autor: Anto Veldre

Lühikokkuvõte: e-allkirju on eIDASe järgi nüüd neli kategooriat (tegelikult pigem kolm asjalikku kategooriat ja siis lisaks veel “muu”). Täna ronime redelist allasuunas ja alustame kõige ülemisest ja tähtsamast pulgast:

1. QES (Qualified Electronic Signature) – e-allkirja kõrgeim tase – antud turvalises seadmes (nagu ID-kaart või m-ID) paikneva kvalifitseeritud sertifikaadiga (see peen väljend tähendab, et nii kaardiomaniku kui väljastaja taust on kontrollitud). Lisaks peab isikusertifikaatide väljanägemine vastama ELi tehnonõuetele (mingi asjalik algoritm ja vorming). Kõige tipuks peab allkirja andmise seade (tõuken, volitustõend) ise olema korralikult uuritud ja kõlbulikuks tunnistatud. Kas kõik tundsid ära – see ongi meie ID-kaart!

2. AdES/QC – Täiustatud (Advanced) e-allkiri koos kvalifitseeritud sertifikaadiga (Qualified Certificate). Kontrollitud olgu nii allkirjaomaniku taust (seda teeb meil PPA) kui ka sertifikaadiväljastaja (meil SK) taust. Ikkagi peab isikusertifikaatide väljanägemine vastama ELi tehnonõuetele (mingi asjalik algoritm ja vorming). Enamik ELi allkirju kuuluvad just siia gruppi, SmartID seni veel ka. Selle grupi krüptograafiakandja ei pruugi olla läbi uuritud ega ära sertifitseeritud. Vastik legaalprobleem QS allkirjade juures tekib ELi nõudest, et selsamal hetkel, kui meie riigisektor kohalikke QS e-allkirju aktsepteeriks, tekiks riigil automaatselt kohustus aktsepteerida ka kõigi teiste ELi riikide QS-taseme allkirju – ja neid on meeletu kogus.

3. AdES (Advanced Electronic Signature) – kõige nirum, kuid siiski veel mõnevõrra asjalik e-allkirja tase. Taustu ega riistu eriti ei kontrollita, üksnes sertifikaat peab ELi tehnonõuetele vastama.

4. Kõige madalam tase, ehk “Muuuuu!”  Ei mingeid nõudeid. Näiteks Telia mehhaaniku nühvliekraanile krihvliga antav omakäeline allkiri kuulub just siia gruppi.

Terminoloogia

Koll on peidus seal, et kui varem kasutati ühtainukest terminit – digiallkiri, siis nüüd on termineid mitu:

e-allkiri – ükskõik missugusesse nelja gruppi kuuluv ilmastikunähtus;
digiallkiri – QES (ehk siis kõrgeimale) tasemele vastav e-allkiri. Juriidilist selgitust vt EUTS §24.

Kasutusknihvid

Nagu aru saite, digiallkiri ja e-allkiri on mõnevõrra erinevad asjad. Esimene sisaldub teises.

Riigisektor reeglina muid e-allkirju ei tunnista, kui juba kasutusel olevad digiallkirju (QES ehk kõrgeim tase, võrdsustatud omakäelise allkirjaga). Tulevikus ei saa midagi välistada, aga hetkel pole silmapiiril lahendusi, mida saaks riik pruukida ilma umbes 100 seaduseteksti muutmata ning sunduseta tunnistada ELi allkirjade märkimisväärset paljusust. Samas, riigil ja kohalikel omavalitsustel on protsesse, kus saab suhelda ka üldse allkirja (saati e-allkirja) kasutamata: nt võib saata e-kirja või faksi. Samas kui allkirja juba nõutakse, siis ikkagi üksnes digiallkirja.

Vilgas erasektor aga otsib täpsemaid optimume – näiteks SmartID näol. SmartID täna vastab AdES/QC tasemele ja kui neil õnnestub teatavad hindamisprotseduurid läbida, pole välistatud, et nad aasta-paari jooksul tõusevadki QES tasemele.

Lihtne, kas pole?!

Ole DigiDoc3 kasutamisel hoolas!

Kokkuvõttes – kasutaja elu läks just oluliselt keerulisemaks. Enam ei piisa allkirja kehtivuse tuvastamisest. Kehtib küll, aga tase pole see, järelikult näiteks riigiasutusega suhtlemiseks ei sobi.

QES ehk Tõeline Digiallkiri (TM) näeb välja selline (märka rohelist värvi! – on kehtiv – ning tea, et vaid see allkiri on omakäelisega võrdsustatud:

Kui vajutada menüüpunktile “Vaata üksikasju”, siis on Digidoc kõigega väga rahul, mingeidki virinaid allkirja kvaliteedi üle ei ilmne:

Seevastu näiteks Smart-ID abil antud e-allkiri näeb DigiDoc3 utiliidis välja pisut teisiti (märka KOLLAST värvi!):

Maailma üks esimesi SmartID abil antud allkirju

Allkiri on igati kehtiv (roheline värv), ent kuivõrd Smart-ID alles astub samme, et QES tasemele sertifitseeruda, siis on KOLLASEGA lisatud sõna “PIIRANGUD“. Vajutades menüüpunktile “Vaata üksikasju” on võimalik piirangu olemust lähemalt uurida:

Seega, kollast nähes peaks kasutaja aru saama, et kusagil nurga taga on veel mingi aga. Menüüpunktil “Vaata üksikasju” klikkides avaneb uus aken, kus seletatakse ära, mis täpselt on konkreetse aga tähendus.

SmartID puhul peitub “piirangu” põhjus asjaolus, et seda pole veel jõutud QES tasemele sertifitseerida, mõne teise riigi mõne teise allkirja puhul võib piirangu põhjuseks olla midagi muud.

Jäta meelde!: riigiasutustes kõlbab endiselt üksnes QES ehk digiallkiri ehk see allkiri, mida näidatakse roheliselt. Samas, kui piiranguga allkirja on andnud ELi muu riigi kodanik, siis on juristide otsustada, mida säärase e-allkirjaga Eesti oludes üldse peale hakata – kas aktsepteerida või mitte.

Usun, et ELi eIDAS-süsteemile üleminek põhjustab kasutajates alul parasjagu segadust. On ju meil nüüd ühe normaalse digiallkirja asemel tervelt neli erinevat taset. Praktikas on vaid eIDASe allkirjaredeli kahel ülemisel tasemel Eestis mingi kasutusala. Ometi usun, et igaüks saab pisukese harjutamise peale need tasemed selgeks, nii et marss harjutama!

Lõpuks, leidub allkirju, mille puhul ei räägita enam mitte piirangust, vaid suisa hoiatusest. Enamasti on tegemist juhtudega, kus mõni arendaja on eksinud tehnilise vormingu suhtes. Hoiatusega allkirja kohates tuleks konsulteerida spetsialistiga – näiteks kirjutada aadressil help@ria.ee.

TeRa rakendus

TeRa (ehk Tembeldamise Rakendus) on mõeldud hapuks minevate digiallkirjade karjakaupa ärapäästmiseks Sinu arvutis.

Mure iseenesest tuleneb asjaolust, et Eestis on digiallkiri kasutusel juba 15 aastat. Esimesed digiallkirjad põhinesid räsialgoritmil SHA-1, mis tänaseks on räbalateks kuhtumas. Iseenesest pole siin midagi valesti – e-riigis tulebki arvestada, et algoritmid pidevalt täiustuvad ja et vanad algoritmid pole enam nii murdmiskindlad. Nii see hakkabki tulevikus olema, et iga n aasta tagant tuleb krüptograafialahendusi uuendada. Aga et see juhtus alles esimest korda, siis konservatiivid alles tõrguvad säärast perspektiivi uskumast…

Muide, ka SHA-1 räsialgoritmi kuhtumisest oleme varem kirjutanud.

Otse öeldes, kui Sina ei otsi üles oma olulisi digiallkirju ega tembelda neid TeRa abil üle mõne nüüdisaegsema algoritmiga, siis võib tulevikus tekkida sekeldusi. RIA itimehed ei saa küll ühtki allkirja lambist kehtetuks tunnistada, kuid kui tekib vaidlus, allkirjastatud dokumentidele “tekivad” erinevad sisud, siis neist õige tuvastamiseks võib juristidele kuluda väga palju aega ja raha.

Uued räsialgoritmid on murdmiskindlamad ja annavad eelmistest pikema väljundi

TeRa on mõeldud kodukasutajale oma hapuksminevate SHA-1 algoritmil põhinevate digiallkirjade päästmiseks. Rakendus tuleb käima panna ning ta otsib ise arvutist üles kõik vananevad digiallkirjad ning pistab need uude, krüptograafiliselt murdmiskindlasse konteinerisse (mis, hmm, loodetavasti peab vastu järgmised 10 aastat).

Vajadusel võib lugeda TeRa kasutusjuhendit.

Asutustele ja firmadele, kus vorbitakse sadu tuhandeid digiallkirju, kujuneb ületembeldus parajaks pähkliks, ent pole kahtlust, et nad mainituga hakkama saavad. Ühtlasi on asutustele loodud TeRa käsurearakendus.

TeRa protsessi voog arhitektuurinõukogu ajalooliselt slaidilt, BDOC asemel täna tegelikult moodustatakse juba ASIC-S vormingus fail. Teinegi oluline muudatus: DDOC faile tegelikult ei kustutata, need jäävad kasutajale kenasti alles.

Mis kuupäevaks peaksid kodused allkirjad saama üle tembeldatud? Hetkel hindab RIA, et 1. juuliks 2018. Ent ütleme ausalt välja, kui mõni vahepeal ilmunud krüptograafiline uuring SHA-1 algoritmi päris ribadeks kisub, eks siis tuleb ka riskid uuesti ümber hinnata.

Kartaago hävitamisest

Ehkki alljärgnev pole otseselt tänase päeva teema, palun mine ja uuenda ühtlasi ära ka oma sertifikaadid ID-kaardi sees. Nimelt, väga suur kogus sertifikaate on säärased, mida alates 1. juulist 2017 enam uuendada ei saa.

Kui jätad oma sertifikaadid enne 1. juulit uuendamata, tekib Sul risk, et mõned internetisirvikud enam ei soovi Sinu ID-kaardiga koostööd teha või Sind ei lasta sääraste sertifikaatidega enam mõnesse olulisse e-teenusesse sisse.

Märka hüüumärki!

Kui jätta 1. juuliks oma sertifikaadid uuendamata, siis küll midagi fataalset ei juhtu (ei võeta valimisõigust kelleltki ära vms) ja PPA teenindussaalist saab alati uue ID-kaardi, kuid paraku juba üldises järjekorras ja raha eest.

ID-kaardi tarkvara paigaldamine (eellugu)

Autor: Anto Veldre, analüütik

Aeg-ajalt kuuldub sotsiaalvõrgustikes, blogisabades ja kommentaariumites hüüatusi stiilis, et ID-kaart “ei tööta”. Tehniku vaatevinklist kõlab säärane avaldus pikantselt, sest keeruline süsteem teatavasti ei lähe kunagi rikki täies ulatuses, jama põhjustab ikka mingi üks konkreetne detail. Võrdluses autoga: ei juhtu ju sedasi, et kogu auto korraga lakkaks töötamast – ikka leidub mõni konkreetsem põhjus: tuksis on kas klaasipuhastaja, pidurid, rool või vasak suunatuli. Mehhaaniku kuldreegli kohaselt tuleb see rikkis detail (või halvemal juhul kaks) üles leida ning vahetada.

Riigi Infosüsteemi Amet (ID-kaardi valdkonna arendaja ning suunajana) on otseselt huvitatud ID-kaardi tarkvara kohta käivast tagasisidest. Kuidas teha ID-kaardi kasutamine mugavaks ja sujuvaks? Kuidas tõsta kodanike rahuolu? Tõstmaks kasutuskogemuse taset (khhm, veelgi), võtsin ette ID-kaardi tarkvara ja installeerimisprotseduurid ning hindasin seda kõike oma kurja ning kriitilise silmaga. Kogetu tulemusel valmis pisut teistmoodi installeerimisjuhend, mis ongi nüüd teie ees.

Kokku on sel kirjutisel viis osa: teooria (siinses postituses), praktika (selgitab ID-kaardi tarkvara installimise imetabaseid nüansse) ning kolm konkreetset jupikest – üks iga toetatud operatsioonisüsteemi (opsüsteemi) kohta: Microsoft, Linux ja MacOS X.

Selles osas selgitan ümbritseva maailma mõningaid seaduspärasusi, andmaks aimu, miks mõned ID-kaardi ökosüsteemiga seotud valikud on just sellised nagu need parajasti on, ning hindamaks reserve tarkvara kasutatavuse tõstmisel. Selle osa võiks kokku võtta nii: milline osa süüst kelle kapsaaeda kuulub.

Autor: Anto Veldre

Tase: algaja

Abiliinile pöördumiste statistika (miks minu ID-kaart “ei tööta”?) paljastab mõne lausa uskumatu stsenaariumi. Kaardi valepidi lugejasse pistmine on üks esimesi ja tähtsamaid põhjusi, miks ID-kaart „ei tööta“. Mäletan vanu ID-kaarte (kuni 2010-01-01), millel kiip ja näopilt paiknesid samal küljel. Nendega oli asi lihtne – kaart tuli panna lugejasse inimese moodi: nägu ülespidi, silmsidet säilitades. Täna on asi keerulisem – kaart tuleb lugejasse pista Euroopa moodi: kiip ees, kuid nägu põranda poole. See ebaintuitiivne käsitsusviis toob paraku kaasa segadust ja solvumistki. Eks ole ju piinlik, kui abiliin küsib: kas teil on kaart ikka õigetpidi sees?!

Peamise kolme põhjuse hulgas, miks ID-kaart “ei tööta”, leidub põhjus “isik ei tea oma PIN-koode”. Olgem ausad, ID-kaart turvatootena mitte üksnes ei saa ilma (õigete) PIN-koodideta töötada, vaid ei tohigi. Iseenesest kurb stsenaarium, sest abiliinil tagavarakoode anda pole ja sestap süü kui selline jääb plastiku kanda…

Allikas: kuvatõmmis

Pidisuse ja PIN-koodi probleemid tunduvad sürrealistlike ja halenaljakatena, ent tegu on tegelike muredega, millele kulub suur osa abiliini jõudlusest.

Veel üks huvitav probleem, millega algaja põrkub, on ajalõpp (timeout). Kui molutada, näiteks teha sisselogimisprotseduurist ekraanipilte (nagu mina) või käia vahepeal sahtlist PIN-koode otsimas (nagu vanaema), siis tiksuvad sekundid kiiresti aia taha ning kaardikasutustoiming võib ebaõnnestuda.

Sestap moraal: kuniks PIN-koodid pole käes või peas, ära autentimis- ja allkirjastamistoimingut üldse üritagi, kohmerdamiseks ei jäeta aega.

Tase: edasijõudnu

Minu ID-kaart “ei tööta” endiselt – no miks ometi?! Sageli on põhjuseks aegunud tarkvara. Varem arvati ühiskonnas, et on igaühe oma asi, kui vana tarkvara ta pruugib. Tänaseks muutub reaalsus nii kiiresti, et vaid paar viimast versiooni mistahes tarkvarast töötavad korralikult. Kes ei usu, proovigu paigaldada operatsioonisüsteemi Windows NT 3.52 ja vaadaku, missuguste probleemidega ta ürituse käigus kokku puutub.

Mingit hulka inimesi (tänase seisuga u 2% kasutajatest) pahandab, kui nende muldvana Windows XP või Vista enam ID-kaardiga koostööd ei tee. Ometi on põhjus lihtne – tootja (antud juhul Microsoft) on vanad operatsioonisüsteemid maha kandnud, ei väljasta neile enam turvapaiku ega paranda vigu. Mistõttu pole riigil mõistlik ka ID-kaardi tarkvara uuematesse versioonidesse vanakraamituge lisada (pole otstarbekas ID-kaardiga “turvata” eset, mis pole enam ammu turvaline ega muutu selliseks ka ID-kaardi toel). Linuxi maailmas on olukord väga sarnane:

Aegunud tarkvara. Allikas: kuvatõmmis

Ühtlasi pole mõtet pruukida mõne aasta tagust ID-kaardi tarkvara. Digisfääri areng on olnud sedavõrd kiire, et ID-tarkvara vanemad versioonid ei suuda enam muutunud reaalsusega suhelda.

Põhjusi, miks ID-kaardi tarkvara vanemad versioonid enam ei päde, on päris mitu:

  • rahaline otstarbekus – kõiki maailma operatsioonisüsteeme ei jaksa Eesti maksumaksja oma rahakotist ülal pidada. Tuleb teha valik ja toetada vaid seda, mida enim kasutatakse.
  • standardite ning vormingute muutus – mõne aasta jooksul toimunud muutused:
    • kasutusele on tulnud SHA-2 räsiprotokolli pruukivad ID-kaardid,
    • kasutusele on tulnud Euroopaga sobiv digiallkirja vorming ASiC-E, käibelt on välja viidud vana DDOC-vorming;
    • vastavalt Euroopa nõuetele on täiesti muutunud usaldusankru süsteem (koht, kust Trusted List ehk TL saadakse);
    • TL faili sisemine vorming on paari viimase versiooni käigus uuenenud nii, et vanad programmid ei suuda seda mõtestada.
  • ID-kaardil paiknevate sertifikaatide uuendamise võime tekkis tarkvarasse suhteliselt hiljuti.

Kokkuvõttes: Uuenda! Võiks kujuneda heaks rahvakombeks, et kõigepealt paigaldatakse ID-kaardi tarkvarast kõige viimane versioon. Selle saab lehelt installer.id.ee. Ja alles siis häälitakse teemal töötab / ei tööta.

Tase: ekspert

No aga minu ID-kaart “ei tööta” endiselt. Nüüd hakkame jõudma tõeliste probleemideni. Hakkame rääkima infotehnoloogia arengu ajaloost, et maha panna selge märk, kus me täna asume.

Kui Tim Berners-Lee internetisirviku (brauseri) leiutas, siis alul peeti seda eset mänguasjaks. Pisut hiljem hakati sirvikut aga kasutama absoluutselt kõigeks, eriti panganduses. Eesti oli turvalise internetipanganduse üks pioneere. Põhjusel, et meil anti käiku toimiv ID-kaart, pääsesime aastatel 2004–2005 ikka väga paljudest internetipanganduse ja identiteedivarguste lastehaigustest, vt teadustöö aastast 2012.

Välismaal aga muudkui varastati sirviku abil, häkkerid treisid koledaid viirusi sirviku küüru otsa. Kui lõpuks aastatel 2014–2015 avastati hirmsad turvaaugud seni turvaliseks peetud https protokolli osistest, siis oligi revolutsioon käes. Maailmale sai lõpuks selgeks, et ülikasulik ese nimega sirvik/brauser on ühtlasi väga ohtlik ese, mille vanaviisi edasi pruukimine võib kasutaja rahast ilma jätta.

Allikas: heartbleed.com

(Eraisiku-pool minus küsib nüüd minu riigitöötaja-poolelt: mida hekki, kas te kogu selle aja tarvitasitegi Eesti ID-kaardi jaoks seda jõle ebaturvalist tehnoloogiat? 😉 Tegelikult sobisid brauseri küüru peal paiknevad BHO ja muud pluginad omasse aega päris kenasti ja olid tollal ka piisavalt turvalised… Kuniks ümbrus muutus: Interneti ja sirvikute kasutamine kasvas totaalseks ning internetikuritegevus sai tuule tiibadesse. Olukord muutus siis, kui netti asusid ööpäevaringselt pruukima nii vanaemad kui lasteaialapsed. Muutuse põhjuseks olid tehnoloogiavead koostoimes kasutajate üha langeva kvaliteediga. Et infoühiskond kokku ei kukuks, tuli hakata kasutajat kaitsma tema enda käitumislolluste eest.)

Allikas: Australian Institute of Criminology, http://www.aic.gov.au/media_library/conferences/other/smith_russell/2010-09-nfa.pdf

Ja siis see juhtuski – sirvikutootjad hakkasid brauserite siseehitust pingule kruvima (turvalisus vs mugavus). Selleks, et Eesti ID-kaart saaks sirviku otsas edasi elada ja transaktsioone allkirjastada, pidid ID-kaardi tarkvara loojad sisenema ebamugavustsooni. Endiselt vajatakse sirviku otsa mooduleid / pluginaid / abilisi, kuid oh häda, sirvikutootjad on plugina paigaldamise muutnud kole keeruliseks – nõuavad digisigneerimist jms. Miks? No ikka selleks, et lollkasutaja kogemata OK-nuppu ei litsuks ega “uskumatult hea pakkumise” peale oma sirvikule ise pahavara selga ei installeeriks.

Vahepeal arenesid edasi ka pluginate standardid. Mistõttu RIA valmistas uue jubina nimega “(Firefox) Token Signing”. Et allkirjastamine brauseris vunkaks, tuleb jubin installeerida ning tema kasutamine lubada – seda sirvikule tutvustada.

Pilt Chrome’i sirvikulaienduste (extensions) menüüst. Allikas: kuvatõmmis

Pole vahet, kas lõppkasutajale meeldib laienduste käsitsi näperdamine või ei meeldi. Ümbritsev reaalsus on selline, et netis kasutamisel vajalik ID-kaardi tarkvara vunkab vaid brauseri küüru otsas ning teeb seda siis ja üksnes siis, kui inimene ise selle sinna vabatahtlikult paigaldab ja brauserile uut abilist tutvustab. Kui Sa tahad ekspert olla, siis tuleb sellest pisitakistusest mööda saada! Suurim keerukus, millega kasutaja (tädi Maali) täna ID-tarkvara installeerimisel põrkub, on just vajadus sirviku soolikates sorida ja laiendusi aktiivseks kruttida.

Kokkuvõttes – oleneb sirvikust… autentimine hakkab tööle enamasti lambist (pärast paigaldust, v.a Linux), ent allkirjastamine sageli mitte (ja see on paratamatus, mille kõrvaldamine nõuabki käsitööd). Et sirvikus allkirjastamine töötaks (näiteks netipangas), tuleb see isiklikult, omaenda valge käega a) installeerida ja b) kasutamiseks lubada. Käsitöö ideele vastujorisemine ei aita.

Segaduse suurendamiseks käituvad eri sirvikud erinevate opsüsteemide all kõik pisut erinevalt. Kõige valutum on ID-kaardi tarkvara install tutika Windows 7 selga – installer suudab kolmele brauserile kõik vajalikud moodulid ise kaela tõmmata – kasutajat üksnes informeeritakse. Kõige keerulisem on olukord Linuxi all, kus versioonist olenevalt võib juhtuda, et viimne kui üks plugin vajab käsitsi lubamist (ja mõnes õnnetus distributsioonis (distros) polegi see üldse võimalik):

Pilt Ubuntu mittetoetatud versioonist 15.04, kus pluginal allkiri puudu. Allikas: kuvatõmmis

***

Selle kirjatüki eesmärk oli anda aimu, et üldsegi mitte kõik ID-kaardi „mittetöötamise“ põhjused ja ilmingud ei ole Eesti riigi ega RIA süü. Palju muresid tekib kasutaja enda käitumisest ja teine osa sirvikutootjate tootemudeli muutustest, mida meie ID-kaardi ökosüsteem ennustada ega juhtida ei suuda, seega saame vaid kohanduda.

Kirjatüki järgmises osas tuleb juttu eri operatsioonisüsteemidest ja sirvikutest ning esitame ID-kaardi universaalse installeerimisjuhendi ühelainsal diagrammil.

ID-kaardi tarkvara paigaldamisest

Autor: Anto Veldre, analüütik

Viis logo: Internet Explorer, Chrome, Firefox, Edge, Safari

Viie veebilehitseja logod, allikas: www.id.ee

Sirvikutest

ID-kaardiga koosvõimelisi sirvikuid (teise nimega brausereid) on neli, lisaks tuleb mainida üht (s)irvikut, mis vaatamata kõrgetele ootustele endiselt ID-kaardiga koostööd ei tee.

Firefox – Väga levinud ja suhteliselt vana vabavaraline sirvik. Kõlbab kasutada kõigil platvormidel. Võrreldes teiste peavoolusirvikutega on ehk kõige kergekaalulisem (low footprint). Linuxi puhul on Firefoxi lihtsaim tööle saada. On teadaolevaid puudusi – nuhib pisut ülearu (kuniks ise ära ei keela) ja vahel kuritarvitab mälu (abiks about:memory), mistõttu puhutine restart abiks (jah, restart – Z-põlvkond, kes te permanentselt 50 sirvikuakent korraga lahti hoiate). ID-kaardi kasutamiseks on vaja häälestada kaks allkirjastamise lisamoodulit (võrreldes Chrome’i üheainsaga). Koopiaõiguslikel põhjustel kasutatakse ka nimesid Mozilla või suisa Icewiesel.

Chrome – Suhteliselt laia jalajäljega barokkbrauser. Mees nagu orkester – kõlbab kasutada kõigil platvormidel. Tarvitab väga palju mälu ja tal on komme kõvaketas märkmeid täis kirjutada. Varastab privaatinfot ja üritab kasutajat pidevalt sisselogitud olekusse meelitada (siis saab rohkem infot). Samas annab kasutajale üht-teist head vastu ka. Chrome ei pruugi sobida vanadesse aeglastese arvutitesse, sest tahab ise ja üksi saada suurusjärgus 1 GB mälu. Koopiaõiguslikel põhjustel kasutatakse Linuxi all nime Chromium.

Internet Explorer (IE) – Paljusid avalikke veebistandardeid sihilikult eirav vananenud ese. Saadaval üksnes Microsofti operatsioonisüsteemides. Käivitamisel näib kiire, tegelikult aga lihtsalt kaval – laadib end varakult mällu valmis. Sirviku küüru otsas elavate BHO moodulite turvalisuse üle võib ilkuda, aga Microsofti puhul kaitseb opsüsteem oma kasutajat muul moel. Positiivset: selle toote nurgad on ammu maha lihvitud, töötab stabiilselt, netis on saada arvukalt juhendeid ja abi.

Edge – tuttuus sirvik, esineb vaid Windows 10s. Vaatamata kõigile lubadustele ja lootustele pole ID-kaardi jaoks seni pruugitav. Häkkerid tegelikult oskavad autentimist tööle panna küll, kuid allkirjastamist mitte. Põhjus – Microsoft pole seni tekitanud konksu, kuhu allkirjastamise lisamoodul saaks kinnituda. Vähemasti on Edge nii armas, et peamised veebisaidid, millega ta hakkama ei saa, suunatakse ühe teatava nimekirja abil IE kätte töötlemiseks. Viis, kuidas Edge seda teeb, on sama armas:

Tekst: "You've stumbled upon some vintage web tech. This website runs on older technology and will only work in Internet Explorer." Ja nupp kirjaga "Open with Internet Expolrer."

Allikas: kuvatõmmis

Safari – Kuulsusrikkale ajaloole vaatamata on see sirvik täna aktuaalne vaid MacOS Xi all, kus see on integreeritud põhibrauseriks.

Kindlasti oled märganud, et sirvikute puhul on inimeste maitse totaalselt erinev. Nagu ka filmi- ja raamatueelistused – igaühel on oma lemmik ja ratsionaalset selgitust valikule sageli ei leidu. Paljud inimesed hoiavad oma elu turvadomeene sirvikukaupa lahus – ehk siis ühe sirvikuga ajavad tööasju, teisega eraasju. Kuivõrd tänapäeval läheb iga brauser arendusvigade või uuenduste tõttu perioodiliselt katki, on kasulik hoida installeerituna ning ajakohasena mitut brauserit.

Ehk on huvitav teada, et ID-kaardi seisukohast eksisteerib veel terve seltskond mittesirvikuid, näiteks Opera, millel moodulite tugi puudus sedavõrd pikalt, et arendajad minetasid selle vastu huvi.

Operatsioonisüsteemidest

Kolm logo: Windows, Apple, Linux

Allikas: http://www.newgrounds.com/bbs/topic/199254

Operatsioonisüsteem (OS, opsüsteem) on standardtarkvara, mis istub rauakasti ja ülejäänud laiatarbetarkvara vahel. Selle ülesanne on tühjale Golemile elu sisse puhuda. Tänapäeva mure: uusi turvaauke tuleb peale sellise kiirusega, et keegi peab neid pidevalt lappima. Maksulise tarkvara puhul on lappijaks tootja, vaba tarkvara puhul mõni vabaseltskond või rohe-idu-ettevõte. Tekib ilmne kulumure – kui kaua jaksame vanu operatsioonisüsteeme hingamisaparaadi all hoida?

ID-kaart pole toetatud sugugi mitte kõigil maailma operatsioonisüsteemidel, vaid üksnes neil, millele RIA on jaksanud toe tellida. Seejuures tuleb kogu aeg hoolega peale passida, et mitte raisata raha gerontoloogiale. Rusikareegel: ID-kaardi tarkvara on saadaval peamiselt neile operatsioonisüsteemidele, mida ka tootja ise veel aktiivselt toetab.

Täpne loetelu operatsioonisüsteemidest, mida ID-kaart toetab, on saadaval lehel id.ee.

Android ega iOS täna veel ID-kaarti ei toeta (ka m-ID jääb tänase teema serva taha), ent ehk ilmub see tugi millalgi tulevikus (nn MOPP projekti raames). Windows XP ja Vista kohta võib öelda, et nende parim enne on ammu läbi – neid ei toetatata põhjusel, et nad on aegunud.

Satiiriline kontrollküsimus: miks ometi küll keegi ei nõua ID-kaardi tuge MS DOS versioonile 3.3 ja PDP-11 miniarvutile?

Edulugu

Siis ikkagi – kui keeruline on oma lemmik-operatsioonisüsteemile ID-kaardi tuge installida? Ütleme ausalt, keerukus ja saavutatav tulem oleneb vägagi operatsioonisüsteemist.

Microsoft Windowsiga ID-kaardi kasutajaid leidub sedapalju, et enamik pisivigu on ammu välja silutud (vigade väljatulek teatavasti eeldab suurt kasutajahulka ja pidevat tagasisidet). Tädi Maali suutis oma testimisega riivata vaid üht viga ja seegi langes pigem iseehitatud arvuti kui Microsofti või RIA kapsaaeda.

Microsoft Windowsi puhul on tädi Maalil siiski huvitav ettepanek – panna ID-kaardi tarkvara peale juba arvutifirmas, müügieelse ettevalmistuse käigus.

MacOS X kasutajaid on Eestis suhteliselt vähe, küll aga on nad teadlikud, nõudlikud ja häälekad ning annavad märgatud hädadest valju kisaga teada. Paraku ei saabu juhuslike ja süsteemsete murede ravi Apple’i firmast sugugi ergult. MacOS Xi eri probleeme kiipkaartide käsitlemisel on oma blogis värvikalt kirjeldanud Ludovik Rousseau (eriti tasub lugeda aastate 2014/2015 artikleid – siis tekkisid Yosemite & El Capitan). RIA ja SK on kinnise arhitektuuriga süsteemi pisihädasid ravides üksjagu võimelnud, aga lõplikku (töö)kindlust pole tänagi.

Ubuntu Linuxi kasutajate elu on kõige keerulisem. Kuigi vahel unistatakse meil lootusrikkalt nn rahvaLinuxist (Estobuntu etc), selgitas tädi Maali vahetu testimise käigus üheselt välja, et lihtinimesele on Linuxi puhul jalutamiseks jäetud vaid üks ülikitsas rada – kõige viimane OS version koos ID-kaardi tarkvara kõige viimase versiooniga. Ehk läheb käima, aga ehk ei lähe ka.

Tädi Maali test

Kokkuvõte tädi Maali tehtud testimisest:

Kommentaarid tabelile:

  • Halliga on tähistatud kombinatsioonid, mida Tädi Maali ei testinud (kas ilmvõimatuse või ajapuuduse tõttu).
  • ID-kaardiga otse suhtlev tarkvara, s.o haldusvahend ja DigiDoc3, osutus väga töökindlaks igal platvormil. Korduva ning kuritahtliku vaevanägemise järel õnnestus ID-kaardi haldusvahend kurja pilgu abil pangestada vaid ühel Ubuntul ja ühel isevalmistatud Windows 7 aparaadil:

    Tekst: "The application ID-card Utility has closed unexpectedly."

    Allikas: kuvatõmmis

  • Ubuntu versioone 14.10 ja 15.04 ID-kaart ei toeta. Tundub, et põhjusega. Linuxi nähtused on sedavõrd spetsiifilised, et neid käsitleme eraldi, nohikusektsioonis.

Juhised

Allpool on viited blogiartiklitele, mis kirjeldavad, kuidas eri platvormidel ID-kaardi tarkvara õigesti paigaldada, viisil, et netibrauseris töötaksid nii autentimine kui allkirjastamine.

Universaalne töövoog ID-kaardi tarkvara installimisel mistahes (toetatud) platvormile peaks välja nägema selline:

Autor: Anto Veldre

Iga raja läbimiseks tuleb teha terve hulk alltegevusi, need paistavad välja mõnevõrra keerukamalt ülddiagrammilt:

ID-kaardi paigaldamise töövoo diagramm. Allikas: tädi Maali onupoja tädimehe lapselaps, analüütik Anto

Operatsioonisüsteemipõhiste juhiste kõrval võiks kinni pidada sellisest raamtegevuskavast:

1. Veendu, et arvuti kogu tarkvara on uuendatud ja uusim. Pärast seda tee arvutile kindlasti rebuut (ära küsi MIKS – arendajad on tarkvara luues karmareeglite vastu eksinud sedavõrd korduvalt – lihtsalt tee!).

Tekst: "Wou need to restart your computer for the changes to take effect.

Allikas: kuvatõmmis

2. Paigalda oma arvutisse kõik need sirvikud, mida Sa hiljem tahad koos ID-kaardiga pruukima hakata. Miks kohe praegu? Sest kui sirvikud on arvutis juba olemas, siis vähemasti Windowsis on ID-kaardi installeril võime osa tööd Sinu eest ära teha – pluginad võivad installeeruda automaagiliselt, eriti Win7 all. Vt ka punkti 8.

3. Paigalda arvutisse UUSIM VERSIOON ID-kaardi tarkvarast. Seda manti saab lehelt www.id.ee vastavalt oma operatsioonisüsteemile (loe: Maciga ära Linuxi softi järele mine!). Samas paigas on ka juhised edasitalitamiseks. Viska vahelduseks pilk ekraanile – ega kusagil ei vilgu tulikirjas ERROReid?

Vajuta nupule “Paigalda ID-tarkvara”:

Allikas: kuvatõmmis

4. Pista kaart pilusse ning palun ikka õigetpidi, mitte nii nagu sel pildil siin. Kaardilugeja pistik võiks ka olla torgatud arvuti USB-pesasse.

Kas leidsid vea? Autor: Anto Veldre

5. Kontrolli ID-kaardi haldusvahendi abil, et andmed suudetakse kaardilt välja lugeda. Sel hetkel tavaliselt saabki selgeks, kas kaardilugeja juhe oli tagant ära

Haldusvahendis on punaselt kirjas veateade: "Ühtegi kiipkaardilugejat pole ühendatud".

Allikas: kuvatõmmis

või kaart oligi valepidi sees.

ID-kaardi haldusvahend on vägagi töökindel programm. Kui selle tarvitamise käigus ilmneb „nähtusi“, siis tuleb need lahendada enne, kui üldse sirvikute häälestamise juurde asuda. Aeglases masinas võib juhtuda, et haldusvahend “korraks peatub”. Kui olukord mõne sekundiga üle ei lähe, tuleb see liigitada kahtlaseks.

Haldusvahendi päises on kirjas "ID-kaardi haldusvahend (Not Responding)".

Allikas: kuvatõmmis

Pilt asjalikust haldusvahendist:

Pildil haldusvahend, mis kuvab ID-kaardi andmeid (isikuandmed, dokumendi andmed, sertifikaatide andmed).

ID-kaardi haldusvahend, allikas: kuvatõmmis

6. Veendu, et tead oma kaardi PIN1 koodi, et see kood on õige ning et PIN poleks lukustunud. Kuidas PIN1 kontrollida? Muudkui aga kliki passipildi kastikesel („Laadi pilt“)!

Veateade PIN koodi sisestamisel: "Vale PIN1 kood. Saad veel proovida 2 korda".

Allikas: kuvatõmmis

Ups! Seevastu õige PIN1 puhul antakse näha passipilti:

Passipilt

Allikas: PPA ja kuvatõmmis

7. Käivita DigiDoc3 programm. Leia arvutist mõni kiisupilt ning digiallkirjasta see. Digisigneerimise käigus selgub vältimatult, kas Sa ikka tead oma õiget PIN2 koodi ning ega see pole juhtumisi lukustunud.

Allikas: kuvatõmmis

Alles nüüd (ja üldsegi mitte varem) on mõtet üldse asuda sirvikute häälestamise kallale.

8. Käivita iga sirvikumark ükshaaval. Vaata, kas ehk ilmub kuhugi (üles paremasse nurka) teade, et installer on Sinu eest mingi osa tööd ära teinud (st sirvikusse mõne mooduli installeerinud)?. Just seda tähistab hüüumärk Chrome’i aknanurgas. Kui nii, siis nõustu kõige tehtuga:

Tekst ekraanil: "Lisati "Token signing". Teine programm teie arvutis lisas laienduse, mis võib muuta Chrome'i toimimist. Rakendus saab teha järgmist. Külastatavate veebisaitide andmete lugemine ja muutmine. Side koostööd tegevate omarakendustega." Nupud: "Luba laiendus" ja "Eemalda Chrome'ist"

Autor: Anto Veldre

(infoturblasena naudin eriti just võimalust muuta külastatavate veebisaitide andmeid 😉 – see on nali)

Firefox näitab mooduli installeerimist välja sedasi:

Ekraanil tekst "Mingi teine rakendus sinu arvutis soovib Firefoxi järgneva lisaga muuta: Firefox PKCS11 loader 3.12.0..."

Allikas: kuvatõmmis

9. Autentimistest. Üks sirvikumark korraga, kontrolli aadressil sk.ee/tervitus, kas konkreetne sirvik suudab PIN1 küsida ja selleks vajalike OS-jubinatega suhelda. Sirvikus allkirjastamise juurde pole mõtet enne edasi liikudagi kui sisselogimise osa korras.

Alljärgnev pilt osutab, et Sinu sirvikuga on miskit väga pahasti, see ei näe kohe üldse kaarti. Kui masina restart või kaks ei aita, siis avitab vaid spetsialist. Ise edasi näperdamisel puudub sügavam mõte.

Ekraanil tekst: "This site can't provide a secure connection. www.sk.ee didn't accept your login certificate, or one may not have been provided. Try contacting the system admin. ERR_BAD_SSL_CLIENT_AUTH_CERT"

Allikas: kuvatõmmis

Autentimise osa (ehk siis PIN1 pruukimise sirvikus) võib lugeda lootustandvaks, kui ette tuleb säärane pilt:

Ekraanil tekst: "ANTO VELDRE! ID-kaardi meeskond tervitab Sind ID-kaardi eduka kasutuselevõtu puhul! ..."

Allikas: kuvatõmmis

Reeglina, kui ühte e-teenusesse juba õnnestus end sisse logida, siis võiks see õnnestuda ka järgmistes. Sellegipoolest ei tee paha veel teiseski teenuses üle katsetada.

Ära siis unusta, et oled seni autentimist kontrollinud vaid ühes sirvikus. Samad tegevused tuleb teha eraldi iga sirviku jaoks!

Nüüd liigume edasi allkirjastamismoodulite kallale – parimad juhised on saadaval id.ee saidilt (juhised pisut erinevad vastavalt operatsioonisüsteemile):

Ekraanil tekst: "4. Luba allkirjastamiseks vajamineva plugina kasutus. Juhiste nägemiseks klõpsa kasutatava veebilehitseja ikoonil", seejärel kolm logo: IE, Chrome, Firefox

Allikas: kuvatõmmis

10. Üks sirvikumark korraga, loe id.ee juhiseid ning säti vastavalt juhistele aktiivseks iga sirviku laiendused ja pluginad.

Juhul kui mõni nõutav moodul on üldse puudu, tee alul sirvikule restart, siis OSile restart ja kui ikka puudu (hmm, mida ei tohiks küll juhtuda, kuid kui juhtub), siis tiri vajalikud lisajubinad käsitsi kohale ja tutvusta neid oma sirvikule (aktiveeri).

Kuivõrd moodulite paigaldus on operatsioonisüsteemiti pisut erineva kujuga, siis sellest täpsemalt juba iga operatsioonisüsteemi käsitlemise juures.

Pärast kõigi sirvikute timmimist tasub teha arvutile taas kord igaksjuhuksrestart (rebuut) ja veenduda, et sirviku lisamoodulite (laienduste, pluginate) õige ja vajalik seisund on säilinud ka pärast restarti.

11. Dokumendi allkirjastamist sirvikus tuleb kindlasti testida, näiteks portaalis digidoc.ee. Ohutu on allkirjastamiseks üles laadida mõni mitteprivaatne kiisupilt. Täpsemad juhised iga OSi blogipostituse juures eraldi.

12. Kõige lõpuks veendume, et sirvikus töötab ka transaktsiooni allkirjastamine. Selleks mine oma lemmikteenustesse (näiteks mõnda netipanka) ning tee €1,57 ülekanne sõbrale või sugulasele. Kas õnnestus? Pilte vaata konkreetse OSi blogiteksti juurest.

Muud

Üldjuhul me ei õpeta Sind, kuidas saada oma arvutis administratiivkasutaja õiguseid, s.o siis sellise kasutaja õigusi, kel on õigus tarkvara paigaldada. Eeldame, et Sul on need õigused olemas.

Ignoori opsüsteemide reklaami- ja lobajuttu. Enamasti on sealt sügavam mõte puudu.

Lugemisvaate nupu selgitustekst: "Lugemisvaade. Eemalda kogu segav virvarr, nii et saaksid keskenduda lugemisele."

Allikas: kuvatõmmis

ID-kaardi tarkvara paigaldamine konkreetses operatsioonisüsteemis