Tag Archives: usaldusnimekiri

ID-kaardi ökosüsteem

Autor: Anto Veldre
Tekst on koostatud 2017. aasta lõpus ja see ilmus ka IT-uudiste protaalis geenius.ee

Aeg-ajalt kohtame tekstides keerukat sõnapaari “ID-kaardi ökosüsteem”, vahel ka “eID ökosüsteem”. See mõiste hõlmab kaarti ennast, kasutajatarkvara ning ühtlasi ka riigi- või erafirmade poolseid teenuseid. Teemavaldkonda kuulub veel kaartide valmistamine ja väljastamine.

Ütleme ausalt ära – eID ökosüsteem on üpris keeruline. Kui küsisin ühel konverentsil rahvalt – kas peaks asju sügavamalt selgitama, siis enamik arvasid, et pigem ei – peaasi, et värk töötaks. Juhtudel, kui ID-kaart või mõni teenus vajab uuendamist, võib selgesti tajuda, kuidas kaasnevast keerukusest ei saada aru. Ent asi läheb käest siis, kui ka teenusepakkujad ning tehnikud enam üldpilti ei hooma, rääkimata e-riiki arvustavatest arvamusliidritest. Öeldakse – no tehke ometi ära, see ei saa ju nii keeruline olla (näiteks – Apple’i arvutitesse tarkvara sertifitseerida).

Augustis 2016 oli mul põhjust korraks aeg maha võtta ning koostada üks joonis, kus peal oleks kogu eID maailma puutuv. Et kui tähtsatel koosolekutel mõnest eID alamteemast juttu tuleb, saaks nimetatud esemele joonisel ka selgesti osutada. Tänaseks on Eesti rahva huvi ID-kaardiga seonduva osas tõusnud piisavalt kõrgele, nii et julgen selle vana joonis(tus)e tuua ka avalikkuse ette.

Tegu on arhitektuurilise vaatega. Siiski pole see normeeriv vaade – teisisõnu, Eesti eID ökosüsteemi selle joonise järgi tegelikult ikkagi valmis ei ehitatud – see lihtsalt tekkis (ja targad UML diagrammid oleksid blogi jaoks pisut liig). Tegu on kirjeldava vaatega – joonis püüab vastata küsimusele, mida mõnesuguse IT-taustaga inimene eID ökosüsteemis märkab ja tähele paneb.

Vahepeal on ka aeg edasi läinud, näiteks on ilmunud eraõiguslik autentimisvahend nimega Smart-ID. Segaduse vältimiseks ma 2016. a augustikuisele pildile tänaseid uusi elemente siiski ei lisanud.

Tisklaimer: tegu on populariseeriva lahtikirjutuse, mitte RIA ametliku seisukohaga. Võimalikud vead on ikka autori enda omad.

Üksikasjalik kirjeldus

Nõuded ja disainivalikud

Elektroonilise identiteedi valdkonnale esitab nõudeid nii Eesti kui Euroopa seadusandlus. Lisaks on Eesti valitsusel kui eraldiseisval organisatsioonil mõned omad prioriteedid (e-residentsus), mis küll otseselt seadusandlusest ei tulene, aga mida arendatakse eelisjärjekorras.

EL eIDAS-määruse nõuetele on Eesti end allutanud suhteliselt hiljuti. Euroopa tahab, et kodakondsusest olenemata saaks liikmesriikide portaalidesse ligi iga ELi resident ning on elektroonilise identiteedi sel eesmärgil ära reguleerinud ja käsulaudadega varustanud. ELi suundumustest saab lugeda siin ja siin.

Eestis on tegelikult maailma ainuke avalik ning masskasutuses eID ökosüsteem, mis ka tegelikult töötab. Oleme selles osas ülejäänud maailmast umbes 15 aastat ees.

Kui uurida, mille poolest Eesti süsteem eristub, siis põhiliselt sellega, et väljastatavatel kaartidel on taga reaalne kasutusvõimalus – alates pangaäppidest ja lõpetades internetihääletusega. On palju riike, kus kiibiga kaarte küll väljastatakse, kuid praktikas kuigivõrd ei kasutata.

Aksioomid

Eesti eID ökosüsteemis kehtivad mõningad aksioomid, mida otsesõnul ei kuulutata, kuid mis on aegade jooksul paika loksunud ning mis teiste maade ideolooge kõige enam jahmatavad:

  1. Eesti riigina ja omaenda menetlustoimingutes aktsepteerib vaid digiallkirja kõige kõrgemat, QES taset (eIDASe mõistes). Smart-ID püüab seda positsiooni aegamööda kõigutada, muidugi mitte pahatahtlikkusest, vaid põhjusel, et kõrgeimale tasemele sertifitseerumine ongi väga raske.
  2. Autentimis- ja allkirjastamissertifikaat käisid meil alul kategooriliselt paaris (mis polnud isegi mitte aksioom, vaid suisa dogma). Meile tundub see igapäevane, nüüdseks oleme näinud, et  Läänes tehakse teisiti. Näiteks hiljuti kuulsime Slovakkia ID-kaartidest, kus tundub olevat kolm sertifikaati – kolmas on krüpteerimiseks. Mõnes Euroopa riigis aga võib juhtuda hoopis nii, et autenditakse ühe firma sertifikaadiga ja allkirjastakse millegi hoopis muuga. Meil käivad autentimine ja allkirjastamine sageli paaris, kuid kumbki kood tuleb sisestada eraldi – põhjus on igale turvatehnikule hästi arusaadav (loe: kahjuks mitte teiste elualade esindajatele).
  3. Isikud on nummerdatud nagu lehmad karjas. Meile tundub see elementaarne (sest kuidas muidu eristada arvukaid Jaan Tammesid), Euroopat aga tabas II Maailmasõja mõjul psühhotrauma, mis nummerdamist takistab. Näiteks Saksa Liitvabariigi põhiseadus keelab inimeste nummerdamise otsesõnu. Kuidas jõuda sellise eelarvamusega e-riigini – raske öelda. Eesti isikukood on riigiülene, mis tähendab, et maakonna (mujal: liidumaa, oblasti) tasemel identiteedi mõiste puudub.
  4. Isiku identiteet on avalik. See tähendab, et isikukood on “sinu digitaalne nimi”, mida teavad kõik, vastandina USA SSNile (Social Security Number), mida võõrad teada ei tohi. Meie isikukood on kasutajanimi, USA SSN on parool. Olenevalt sellest pisinüansist tuleb infosüsteemid üles ehitada täiesti erinevalt. Meil isikukoodiga autentida ei saa ega tohi. USAs seevastu toimuvad SSN-teemalised kuritarvitused pidevad.

Eraldi teema on SK LDAP, mida on käsitlenud diametraalselt erinevate vaadetega õiguskantslerid, kuid laiema avalikkuse teadvusse jõudis püstitus alles hiljuti, seoses krüpteerimisteenuse ajutise sulgemisega. Kui isiku identiteet poleks avalik, siis e-riigis teatud teenuseid ei saakski osutada (PKIpublic key infrastructure).

  1. Baasidentiteedi (ehk alus-identiteedi) mõiste. Eestis saab isikuttõendavaid dokumente (saati siis e-dokumente) väljastada vaid isikule, kelle isikusamasus on eelnevalt politseis tõsikindlalt kindlaks tehtud (nn absoluutne ja riigi poolt tagatud identiteet). Mujal maailmas ei pruugi nii olla. Mõnes riigis võib ise identiteediväiteid häälida ning seadus suhtub umbes sedasi, et “aga ta on ju 10 aastat Miki-Hiirena allkirju andnud”. On riike, kus varem väljastatud dokumendi kaal on suurem kui kirjel andmebaasis või kartoteegis. Eestis on isikuttõendav dokument vaid identiteedikandja, see peegeldab andmebaasis kirjasolevat reaalsust.
  2. Nn vallasallkirjad (ingl.k. offline) – oma arvutis üksiku saare peal meisterdatud allkirjad – pole meil võimalikud. Eestis saab digiallkirja anda üksnes viisil, et teenusepakkujaga võetakse ühendust ning tema serverisse jääb märk maha. Kliendile väljastatakse (ja pakitakse digiallkirja konteinerisse) ka kehtivuskinnitus. See tagab digiallkirja võltsimiskindluse isegi juhul, kui võtmed kompromiteeruvad või kui sertifitseerimisfirma häviks tuumaplahvatuses. Mainitud superomaduse tumedam pool on asjaolu, et ka näiteks e-hääletamise fakt tekitab teenusepakkuja serverisse jälje ja puristidele see arusaadavalt ei meeldi.
  3. TLS/SSL/HTTPS tunneli moodustamine veebiteenusesse sisenemisel toimub kaardil leiduva krüptomaterjali abil, kuid selleks kasutatakse tavalist internetisirvikut. See on väga tehniline ja väga kaugeleulatuv turvameede, mis välistab enamiku vahemeheründeid (MitM – Man in the Middle). Tumedamast poolest – veebilehitseja kasutamisest on tänaseks kujunenud loodusõnnetus.

Mainitud iseärasuste komplekt erineb muu maailma kommetest väga põhimõtteliselt.

Ökosüsteemi pidamine ja arendamine

Kilp sel joonisel märgib turvalisust. Iseenesest tore mõte Karnault ja Lobjakalt [ERR 2017-10-29] – jätame vanamoodsa plastiku sinnapaika ja läheme 2 aastaga mobla-identiteedile üle. Paraku ei kaasne sellega automaatselt turvalisust. SS7 või mõni teine moblatõbi võib sisse lüüa veelgi ootamatumalt kui ROCA. Olen neid stsenaariume käsitlenud siin.

Pöidlaikoon ülemisel joonisel märgib heakskiitu ja konsensust. Välja mõelda ja ellu kutsuda saab ikkagi vaid üritusi, millega on nõus enamik ökosüsteemi osalisi. Päris nii ei ole, et iga idee realiseeritaks. Tõsi, selliste otsuste protseduur ja korraldus ei pruugi kõrvalseisjate jaoks olla läbipaistvad. Era- ning riiklike identiteedikandjate puhul saavutatakse konsensus ka pisut eri teid pidi.

Identiteedikandjad ja sertifikaadid

Eestis on identiteedikandjaid päris mitu: ID-kaart, digi-ID, lisaks e-residendi kaart, elamisloakaart (jooniselt puudu, funktsionaalselt võrdsustatud ID-kaardiga) ning välisdiplomaadi kaart (jooniselt puudu, vaid paarsada kasutajat). Ent need on riiklikud identiteedikandjad. Lisaks on veel terve hulk eraõiguslikke kandjaid, millest m-ID on ehk kõige erilisem – teatud tingimustel (aktiveerimine ID-kaardiga) on riik sellele andnud küllaltki samad õigused ja garantiid kui ID-kaardile – kasutatakse isegi sama sertifikaadiharu. Seepärast ulatubki joonisel roosa “era” (väljaandja!) sellesama sertifikaadipaari kohale, mis riiklik identiteet.

Smart-ID on jooniselt puudu – põhjusel, et joonise tegemise hetkel (augustis 2016) polnud veel vajadust sellest tõsiselt rääkida. Oluline on veel märkida, et SEB-uksekaardiga ning asutuse digitempliga e-hääletusele ei lasta – nende puhul tulevad sertifikaadid pisut teisest harust.

Kollane värv märgib aksioomi nr 2: autentimis- ja allkirjastamissertifikaat käivad alati paaris. Tänases Eestis pärinevad sertifikaadid alati ühest kohast – firmast SK ID Solutions AS. EL siiski usub, et ka meie väiksele turule võiks mahtuda teisigi sertifitseerimisfirmasid, hetkel tehakse jõupingutusi, et teenuseturg eIDASe vaimus avada.

Kiipkaardid ja nende personaliseerimine

Et panna standardset kiipkaarti Eesti eID süsteemiga sobituma, peab kiipkaardi peal leiduma rakendus, mis oskaks välismaailmaga suhelda. ID-kaarte personaliseeris meil AS Trüb, millest praeguseks on saanud Gemalto kontserni osa (joonisel: kaarditootja). Varsti käivitub PPA-l järgmine leping, mille kohaselt võib personaliseerimise üle võtta ka järgmine firma.

Telefoni SIM-kaardi lahendus on Eestis unikaalne – pruugime GSM 2G  tehnoloogiat nimega SIM Toolkit, mis aga on osutunud uskumatult turvaliseks – SS7 abil Eestis pangaröövi korraldada ei õnnestu (vs Saksamaal).

Mobiil-ID puhul paigutatakse võtmed SIM-kaardile tootmise käigus – seostamine isikuga toimub alles väljastamisel. Allkirjastamine SIM-kaardi abil on pisut nipiga tegevus – et pirakas dokument tõmbaks õhukese SMS kanali korralikult umbe, sestap toimub allkirjastatava räsi arvutamine serveris e-teenuse pakkuja juures.

Mõnedki seosed on sel joonisel tähistamata, kuid kaarte väljastada ja personaliseerida saab vaid väga mitme riigiasutuse ja erafirma koostöös. See tuleneb aksioomidest 3, 4 ja 5: identiteedikandja saab tugineda üksnes politsei andmebaasidele, sertifikaadid aga tuleb avalikult publitseerida (PKI standardnõue, vt SK LDAP).

Kasutaja ning arvutisobitus

Mobiiltelefoni puhul on sobitus lihtne – piisab sellest, kui telefon toetab “Sim Toolkit” nimelist tehnoloogiat. Kui toetab, siis kogu ülejäänud tarkus saab paikneda SIM-kaardil ning töötab nii nuputelefoni kui nutitelefoniga.

Autor Anto Veldre

Arvuti puhul on asjad pisut keerulisemad. Kiipkaardiga suhtlemiseks ning sellelt volitustõendite väljalugemiseks on vaja draivereid ning PKCS 11 standardit tundvat tarkvara. Pluss siis veel mugavusprogrammid nagu “ID-kaardi haldustarkvara”, Digidoc3 jne, mis paketina kannab üldnime – ID-kaardi tarkvara.

Absoluutne enamik viimase 2–4 aasta jooksul ID-kaardiga aset leidnud seiklustest on tingitud asjaolust, et Eesti pidi ID-kaardi liidestamiseks väga varakult, ehk aastal 2002, mingi tee ära valima. Viimastel aastatel aga on maakerale küberpätte palju saanud ja internet (mitte meil, vaid läänes) sedavõrd ohtlikuks muutunud, et suurfirmad pidevalt keevitavad internetisirvikutesse juurde igasuguseid turvavigureid, mis ID-kaardi toimimise järjekordselt tuksi keeravad (ja nii iga järgmise veebilehitseja puhul).

Google on kunagi öelnud, et nad kuulavad kasutajaskonna arvamust juhul, kui see esindab vähemalt 5% tarbijatest. Eesti oma rahvaarvuga ei täida seda kriteeriumi ealeski.

Apple’i arenduspoliitika on olemuselt salatsev, nii et väikeriigil pole lootustki oma programme õigeaegselt valmis (sertifitseeritud, inspekteeritud) saada.

Aeg näitab, mis saab edasi, kuid veebilehitseja külge kinnituvaid identiteedilahendusi, mis meid 15 aastat truult teenisid, on muutunud maailma tingimustes üha raskem käigus hoida.

MOPP – Intervjuu ERR’ile, november 2016

Huvitavad arengud toimuvad ka nutiseadmete vallas. Mõnelgi juhul oleks otstarbekam nutiseadmes kasutada mitte mobiil-ID-d, vaid ID-kaarti. Täna on see tehniliselt juba võimalik, kahjuks veel mitte autentimiseks – lääne suurfirmad arvavad, et nutibrauser lisamooduleid ei vaja (mäletate ju – ükski PC ei vaja eales rohkem mälu kui 640 kilobaiti). Seda keerukat olukorda üritab mõnevõrra siluda MOPP-projekt, ent esteetidele näib füüsilise kiipkaardi ja nutiseadme ühendamine rüvetamisena ja peajoone eiramisena.

Kokkuvõttes – eID liidestamine kasutajaseadmega (või õigupoolest, liidestuse kvaliteedi jätkuvus) on meist mitteolenevatel põhjustel sattunud löögi alla. Et edasi liikuda kohast, kus täna asume, tuleb mõnedki valikud teha teisiti kui seni.

 

Teenused ja liidesed

Tänapäeva äratootestatud ning teenusekeskses maailmas tohib küsida, mis siis ikkagi on ID-kaardi pakutavad teenused?

Eelmise joonise kordus

Teenus kasutajale

Huvitaval kombel eristab vene keel lõppkasutaja teenuseid – услуга – ning IT-teenuseid – сервис – oluliselt täpsemini. Identiteedikandja pakutavaid lõppkasutajateenuseid on neli  :

  • autentimine (e sisselogimine, e kaugtuvastus)
  • (dokumendi või transaktsiooni) allkirjastamine
  • krüpteerimine (kõlbab vaid transpordiks, mitte pikaajaliseks sälitamiseks)
  • uuendamine (nii sobitustarkvara kui uusimal ajal /alates märts 2015/ ka e-dokumendi sisu – võtmete, sertifikaatide ja rakenduse kaug-uuendamine).

Arusaadavalt pole uuendamine äriteenus, kuid ta on oluline turvalisuse jätkuvaks ja pidevaks tagamiseks. Mõte sellest, et isikuttõendava dokumendi sisu võiks kauguuendada, tundub enamikele lääneriikidele seni sama imelik kui planeedilt Margo saabunud tulnukas Zog. (Sest pole ju mõtet uuendada asju, mida peaaegu ei kasutatagi.)

Tootestatud teenus

Tavakasutajal pole õrna aimugi, et eID ökosüsteemi tööks peab eesriide taga kogu aeg käima päris mitu IT-teenust (сервис). Need on:

  • Trusted List – nimekiri usaldatud sertifikaatidest (TL). Eestis on juba kaks korda juhtunud, et ELi süül unustatakse peanimekiri (LoTL) uuendamata ning meie Digidoc3 rakendus keeldub käivitumast. Teisisõnu – me juba ammu ei määra ise, keda või mida tohime usaldada, saame selle info Brüsselist.
  • OCSP – sisuliselt on tegu teenusega, mis ütleb, kas Sinu sertifikaat hetkel ikka kehtib. Praegu pakub seda teenust SK. On teada ka mõned odavamad nipid (CRL) teenussõltuvuse vähendamiseks – muidu võib juhtuda, et teenusekatkestuse korral ei saa ID-kaardiga isegi mitte töökohaarvutisse sisse logida.
  • LDAP – pisut oli sel teemal juttu ka aksioomi nr 4 kirjelduses.
  • TS (timestamp) – digiallkirja jaoks nõutav turvaline kellaajateenus.

Läbi teenusekihi liiguvad tegelikult ka tugiteenused, eriti ja eelkõige SK abiliin telefonil 1777, portaal id.ee ning PPA infotelefon.

Standardliides

Allkirjastada on võimalik ka omaenda arvutis. Kuhugi sisselogimiseks aga peab olema kokku lepitud standard, mille kohaselt see sisselogimine käib. Tänapäeva de-facto standardiks on loomulikult veeb.

Eesti ID-kaardiga siselogimisel toimub alkeemia – moodustamaks teenusportaaliga turvalist TLS/SSL/HTTPS ühendust, pannakse esmane käepigistus toime mitte lambist võetud bitijoruga (nagu sirvikustandard ette näeb), vaid kaasatakse turvakihi loomisse ID-kaart – vt aksioom 7.

Kui isik mäletab oma PIN-koodi, siis ID-kaart avaneb ning üksnes siis nõustub kaart sirvikule andma seda, mida too vajab. Läänes, vastupidi, kõigepealt pannakse TLS/SSL/HTTPS tunnel püsti prügikastist pärineva märgijoruga ning alles seejärel hakatakse teenusepakkujale “turvalise” tunneli kaudu oma isikusamasust tõestama.

Oluline erinevus – Eesti ID-kaardiga sisselogimisel on turvakiht seotud ID-kaardil paikneva võtmega. Teisisõnu – turvatunnelil on isiku nimi küljes (loe: häkkida on mõttetu). Veel enam, päris mitut liiki vahemeherünnakud (MitM) osutuvad võimatuks, kuivõrd liiniluuret teostaval kontoril pole koopiat Sinu ID-kaardist.

Kokkuvõttes: et ID-kaardiga sisselogimist õigesti toime panna, on vaja mõnesugust teadmust, mis Läänes puudub. Lääne tipptaseme itimees jääb oma serverit ID-kaardi jaoks konfides korralikult hätta, sest keegi pole talle eestlaste salatrikkidest rääkinud.

Seevastu murekohaks, nagu ülalpool juba rõhutatud, on veebilehitseja arhitektuuri sedavõrd kiire muutus, et Eesti ei suuda sellega jätkusuutlikult kaasas käia (ega suurkorporatsioonidega võidelda). Vaid aeg näitab, kuidas see lahing lõpeb.

Allkirjastamise puhul on võtmetähtsus arvutisse paigaldatud draiveritel ja abiprogrammidel.

Organisatsioonid ja andmebaasid

Et omavaheliste suhete rägastikku pisut lihtsustada, on mõnedki nooled joonistamata.

Järgmistel riigiasutustel on eID toimimises eriti tähtis roll:

  • RIA – koordineerib eID ja digitaalallkirja kasutust ning loob tarkvaralise platvormi nende funktsionaalsuse toimimiseks.
  • PPA – tellib teenuseid: kogu m-ID teenus, LDAP, OCSP, CRL, lisaks  väljastab isikutunnistusi, peab andmebaase.
  • TJA – hindab usaldusteenuste nõuetele vastavust ning kannab teenuseosutajaid registrisse. Kasutajaarvuti jaoks tähendab see EL “listide listi” (LotL) serverist sr.riik.ee.

Erafirmadest on kaasatud sertifitseerimiskeskus (SK ID Solutions AS või tulevikus mõni teine), erinevate tootestatud teenuste osutajad ning muidugi hulganisti tarkvaraarendajad. Mobiil-ID puhul on osaliste ring laiem veel ka mobiilside teenusepakkujate võrra.

Tuleb rõhutada, et lisaks omavaheliste lepingute sõlmimisele on need asutused ja firmad omavahel liidestanud ka infosüsteemid. Mõnda teenust ei saagi lõppkasutajale osutada, kui rivis pole viit organisatsiooni korraga (TJA+RIA+PPA+Trüb/Gemalto+SK). See tõstab töökindlusnõudete lati päris kõrgele.

Andmebaasid

eID seisukohast eksisteerib mitu üliolulist registrit/andmebaasi/repositooriumi:

  • andmebaas, kus hoitakse baasidentiteete,
  • isikut tõendavate dokumentide andmebaas (joonisel kujutamata),
  • sertifikaadihoidla, kuhu saab teha päringut OCSP teenuse kaudu
  • eelmise alamhulk – kehtetute sertifikaatide nimekiri (CRL) – mõeldud õnnetuile, kes täiemahulist teenust osta ei jaksa.

Lõpuks, omamoodi registriks võib lugeda ka Euroopa Liidust saabuvat usaldusnimekirja (LoTL), mis sisaldab viiteid riiklikele usaldusnimekirjadele (TL).

Siinkohal võiksime arhitektuurijoonise ülemise ja alumise otsa omavahel rõngasse painutada, sest jõudsime otsapidi tagasi sinna, kust alustasime – Euroopa Liidu juurde.

Tervik

Lõpetuseks veelkord kogu eID ökosüsteemi pilt tervikuna:

Nimekirjade nimekiri

Anto Veldre, analüütik

25. jaanuaril 2017 avalikustati järjekordne versioon ID-kaardi tarkvarast (17.01) ning alates 1. veebruarist hakkab see kasutajate arvutites automaatselt vanemaid versioone välja vahetama.

ID-kaardi tarkvara uueneb seekord kahes aspektis: seoses Digidoc programmiga ja tulenevalt veebilehitseja Firefoxi moderniseerimislainest.

Uus versioon ID-kaardi tarkvarast ravib kaht olulist muudatust väliskeskkonnas:

Esiteks leidis aset DigiDoc3 programmi puudutav muudatus usaldusahelas. Mullu 22. novembril kinnitas Vabariigi Valitsus uue võtme, millega edaspidi allkirjastatakse usaldusväärsete partnerite nimekiri (Trusted List, TL). Kui küsite, miks oli vaja uut võtit, siis eelmine hakkab aeguma: sertifikaatidel saab parim enne läbi karmilt – sekundipealt.

22. veebruaril 2017 saabub see hetk, kus vanem DigiDoci versioon ei oska enam välismaailmas orienteeruda, sest tema sisse kirjutatud usaldusankur aegub. Dokumente allkirjastada ei saa ja sissetulnud dokumentidel allkirju kontrollida samuti mitte. Juhul kui ekraanile ilmub selline teade:

Allikas: kuvatõmmis

… siis edasi aitab vaid uue, targema DigiDoc3 paigaldamine. Õnneks on siin maailmas miski ka muutumatu. Nimelt saab ID-kaardi uut tarkvara alla laadida endisest kohast: installer.id.ee ja ootamatuste vältimiseks tulekski tarkvara uuendada pigem varakult kui sundolukorda sattudes.

Teiseks, Mozilla Firefox on otsustanud lõpule viia oma pikaleveninud pluginarevolutsiooni, millest oleme varemgi kirjutanud. NP-API tugi kaob varsti lõplikult ka Firefoxist.

Üleminekuperioodil sisaldab Firefox kolmetriibumenüüs lisade all tervelt kahte laiendust (extension) nimega “Token Signing”. Üks neist, senine, tagab ID-kaardi töövõime netis allkirjastamisel vana NP-API meetodi kohaselt ning teeb seda kuni üleminekupäevani märtsis-aprillis.

Teine laiendus tagab ID-kaardi ja Firefoxi koostöös allkirjastamisvõime pärast seda kuupäeva. Juhul kui Sinu arvutis eksisteerivad mõlemad Firefoxi laiendused (ja satuvad nad sinna ju peamiselt ID-kaardi tarkvara toel), siis toimub üleminek Sinu jaoks sujuvalt.

Kui aga Sinu Firefoxil ei ole laienduste menüüs kaht allkirjastamisega seotud laiendust – üht uue, teist vana standardi jaoks – siis pärast X-päeva märtsis/aprillis ei saa enam Firefoxiga netis allkirju anda ega pangaülekandeid allkirjastada. Siis aitab ID-kaardi tarkvara uuem versioon.

Miks üldse tarkvara uuendada?

Põhjus lihtne – pilveajastu tarkvara pole ammu enam iseseisev tükike Sinu arvutis, vaid vajab toimimiseks osiseid ja tükikesi välismaailmast.

Sõltuvused:

  1. Sõltuvused võivad tuleneda sertifikaatidest – tarkvara peab olema kindel oma volitustes ja suutma tuvastada partnereid ja komponente, millega ta suhtleb. Selleks tarvitatakse sertifikaate ja krüptograafilisi võtmeid, ent sertifikaatidel on omadus parim enne möödumisel päevapealt aeguda.
  2. Mõnel juhul on kasutusel ettekokkulepitud serverid. Need paraku ei toimi igavesti, vaid üksnes nn garantiiperioodi vältel (nt täna ei pruugi Windows XP seerianumbri kontrollimise server enam olla kättesaadav).
  3. Mõnikord uuendatakse hoopis vorminguid ja protokolle ehk kokkuleppeid selle kohta, kuidas programmid ja arvutid omavahel suhtlevad (vt varasem blogikirje TL uuendamisest).

Kokkuvõttes – pisutki vanem tarkvara ei pruugi uusi nippe ja muutusi tunda ning jääb vahepeal muutunud välismaailmas hätta.

Tänapäeva keerulises IT-maailmas on uuendamine seega pidev ja vältimatu. Kui rongist maha jääd, siis värk ei tööta (kuniks tarkvara uuendad). Eriti just firmad ja riigiasutused võiksid IT-muudatusi planeerida ette varakult, et tööprotsess ootamatult ei seiskuks.

Teenusepakkujatele

Mozilla Firefoxi ülalkirjeldatud muudatus puudutab ka teenusepakkujaid. Nemad peavad viima oma teenuse märtsiks/aprilliks vastavusse Firefoxi uue standardiga või muidu kliendid selles e-teenuses enam allkirjastada ei saa.

Õnneks on tegemist suhteliselt kerge muudatusega, mis väga mahukat testimist ei vaja. Teenusepakkuja peab oma e-teenuses uuendama hwcrypto.js utiliidi ja seda antakse täiesti tasuta siit.

Häkkerisektsioon – killukesi Digidoc3 siseelust

Lihtkasutaja ei pea seda peatükki lugema. Kuid on ju veel ka inimesi, kes tahavad kindlasti teada, mis on karul kõhus.

Digidoc3 programm on teatavasti ette nähtud dokumentidele allkirjade andmiseks ning allkirjakontrolliks võõrastel, sissetulnud dokumentidel. Hea öelda – allkirju kontrollida – tehniliselt ju üks bitijoru kõik. Ent allkirja puhul on vaja teada, kelle allkirju üldse usaldada. Ja see pole üldse enam tehniline asi, vaid peen juriidiline ja organisatoorne värk. Keda usaldada? Kelle toodetud allkirju usaldada? Kelle toodetud sertifikaatidega väljastatud allkirju usaldada?

Sõnaga, kui Digidoc3 käima läheb, siis selgitab ta välja, missuguses juriidilises ümbruses ta täna tegutseb. Ta kontrollib oma kõhust (käššist) järele, kas seal ehk leidub mõni mitteaegunud usaldusnimekiri (TL – trusted list). Kui kohalikku koopiat pole või see on iganenum kui nt 3 v 7 päeva, minnakse ja tuuakse etteantud aadressilt uus TL.

Usaldusnimekirjast paistab, kellel üldse on õigus kehtivaid eID sertifikaate väljastada, mis ühtlasi tähendab – millisest ahelast pärit isikusertifikaadid tunnistada allkirja andmisel ausateks ja autentseteks. Kui kontroll puuduks, kõlbaks ju iga õige pikkusega bitijada!

Ent sellega paikvaatlus ei piirdu. DigiDoc3 peab nüüd otsustama, kas uus TL on ka ise aus ja autentne – et keegi ei saaks valenimekirja ette sokutada. Sel eesmärgil on TL allkirjastatud eespool käsitletud ametliku võtmega. Miks oli seekordset ülemineku-uuendust vaja? Sest DigiDoc peab ju ometi kusagilt teada saama, et Vabariigi Valitsus on vahepeal kohaliku Eesti TLi allkirjastamiseks uue võtme kehtestanud.

Ühtlasi tirib DigiDoc3 alla ka mõne naaberriigi usaldusnimekirjad (TL) – eks ikka nende, kelle digiallkirju oleme harjunud kontrollima.

Allikas: kuvatõmmis

Usaldusnimekirjade allalaadimise teeb keeruliseks ja aeganõudvaks asjaolu, et lisaks kõigile praegu kehtivatele sertifikaatidele, mille alt hetkel isikusertifikaate väljastatakse, tuleb kaasa lohistada ka kõigi usaldusteenuse pakkujate kogu eelnevat ajalugu. Kes kunagi üldse on missuguseid sertifikaate väljastanud, mis turvatasemel, mis kehtivusajaga ja mille väljastamiseks… Õnneks on meil teenusepakkujaid seni peaasjalikult üks: SK.

Ent siitmaalt asi alles läheb huvitavaks. Nagu ühes varasemas blogikirjes mainitud, Eesti ei otsusta enam üksi, keda usaldada, vaid tuleb kiigata Euroopa vastavasse nimekirja hüüdnimega LOTL (List of the Trusted Lists). Kena küll, et Eesti valitsus otsustas ühe aeguva võtme (ja sellega kaasneva sertifikaadi) 23. novembri määrusega välja vahetada! Ent kuidagi peab see info jõudma ka ELi usaldusnimekirja (EU LOTL). Siis saavad kolm EU ametnikku allkirjastada oma võtmetega järgmise versiooni EU LOTList ning selle avalikult publitseerida.

Ja siinkohal saab ring täis. Varem uuendati EU LOTLi sisu nii harva, et automaatuuenduste peale ei pidanud mõtlema. Kuid digiasi areneb ELis gepardikiirusel. Viimasel ajal kaldub sinnapoole, et EU LOTL pakub uusversioone igal nädalal – taas lisandub mõni Itaalia usaldusteenus. Enamik neist muudatustest pole meid kuigivõrd puudutanud, ent Eesti uue allkirjavõtme listimisest ELi nimekirjas oleme ise eluliselt huvitatud. Või mille abi muidu saaks DigiDoc3 kontrollida Eesti usaldusnimekirja ehtsust? Kui aga tahame edaspidi kõigi välismaiste allkirjadega kursis olla – ning me vist tahame – siis tuleb vältimatult luua uuendusmehhanism ka EU LOTLi uuendamiseks reaalajas (nagu toimub EE TL puhul). Seda on plaanis teha ID-tarkvara järgmise reliisiga umbes aprillis või mais.

Kas märkasite, kui keeruliseks on maailm digiajastul muutunud? Enne kui pisike DigiDoc3 programm üldse saab tööle hakata, kogub see megabaitide kaupa teadmisi selle kohta, milliseid allkirju tohib usaldada, mis tasemel ja mis kehtivusega; lisaks laadib Interneti valitud kohtadest alla terve hulga hargmaiseid sertifikaadinimekirju.

Sestap muretsegem endale kiire netiühendus ning andkem DigiDoc3 programmile olukorrapildi allatirimiseks piisavalt aega.

PS. ID-tarkvara versioonide numeratsioon on sellest aastast muutunud. Kasutajate elu ja kasutajatoe (1777, abi@id.ee) töö hõlbustamiseks tähistavad ID-tarkvara versioone nüüdsest kalendriga seotud numbrid (aasta+kuu).

Kuhu heidame usaldusankru?

Riigi Infosüsteemi Ameti analüütik Anto Veldre kirjutab usaldusnimekirjade aegumisest.

5_500

Allikas: http://oceanexplorer.noaa.gov/history/readings/gulf/media/5_500.jpg

Internetis leidub üks ressurss, mida tavainimene otseselt ei vaja – nimelt TLTrusted List. Küll aga vajab seda ressurssi ID-kaardi baastarkvara, eriti ja eelkõige siis DigiDoc3 klient (programm). Ehk siis – sama programm, mida kasutatakse oma arvutis digiallkirja andmiseks.

Tegelikult – DigiDoc3 klientprogramm küsib kohe käivitudes netist järele, keda ta allkirjade küsimuses üldse peaks usaldama. Teistpidi sõnastades, TL on Euroopa poolt heaks kiidetud, sertifitseeritud ja muidu toredate teenusepakkujate nimekiri (list), ilma milleta on arvutis pea võimatu digiallkirju anda või verifitseerida.

Peatselt aga seisab meil ees sündmus, kus TL vana versiooni (v30) kehtivusaeg saab ümber, mistõttu digiallkirjadega toimetavad programmid peavad endale hankima Trusted Listi uue versiooni. Kõige uuem ja praegu kehtiv TL kannab muide versiooninumbrit 32.

Mis seal salata, vahepeal õppisid kontorite itimehed usaldusankrut pisut “sättima”. Selmet kogu kontoris tarkvara ära uuendada, trikitasid nad oma ankru merre TL vana versiooni kohal. Ent nagu öeldud, detsembris saab see epohh läbi, sest TL v30 lihtsalt aegub, lõpetab kehtivuse.

Ja nüüd asub kontorisündmusi juhtima pisuke “lisamure”. Vahepeal nimelt uuendati kogu Euroopas TL vormingut. Kui Trusted List v30 avalikustati veel vanas vormingus (v4), siis praegu kehtiv TL on sõnastatud juba järgmises, v5 vormingus. Seega, iga programm, mis soovib digiallkirjadega toimetada (koduarvutis, tööarvutis, teenuseserveris), peab suutma TL v5 vormingut lugeda.

Mäletatavasti juulist ajaarvamine muutus ning pärast usaldusteenuste üleminekut eIDASele saame üle-euroopalises kontekstis vaid ülejäänud Euroopaga sama jalga käia. Trikitamisvõimalused on otsas.

Kodukasutaja

Klientide pool jookseb piir baastarkvara v 3.12.4 juurest. Teisisõnu, usaldusteenuse pakkujate nimekirja uut vormingut suudab töödelda ID-kaardi tarkvara alates versiooninumbrist 3.12.4. Kõik eelmised versioonid jäävad uue vormingu lugemisega hätta.

tarkvara-klient

Allikas: id.ee

Kodukasutajal pole vaja teha suurt muud, kui tuua aadressilt installer.id.ee endale ID-kaardi tarkvara uusim versioon ning see paigaldada. Uuendamine toimub kiiresti ning juba viie minuti pärast töötab kõik taas. Versiooninumbrid… nende teadmine kahju ei tee, kuid kaasajal saab ka ilma mõtlemata – uusim tarkvara töötab kõige paremini.

Kui kristalselt aus olla, siis võiks kasutaja veel üle vaadata, ega mõni brauseriplugin järsku sättimist ei vaja… sirvikutootjad on läinud väga täpseks ja võib juhtuda, et sirviku pluginates vajab mõni linnuke tegemist.

Ent Vista ja XP? See rong on läinud, neid operatsioonisüsteeme ei toetata juba poolteist aastat. Põhjus lihtne – pole mõtet maksumaksja raha surnud hobusesesse pumbata.

Teekide ajaloost

Kogu edasine jutt on mõeldud asutuste ja firmade asjapulkadele – kodukasutajale pole järgnev info ülearu põnev. Et siis millal täpselt tekkis vajadus jDigiDoc välja vahetada DigiDoc4j vastu?

Vanasti kasutasid asutused ja firmad digitaalallkirjastamiseks ja allkirjade kontrolliks teeki (ingl.k. library) nimega jDigiDoc. DDOC formaadiga sai see teek kenasti hakkama, kuid siis ajad muutusid – saabus BDOC vorming, saabusid euronõuded. Et saada hakkama ka digitaalallkirja uuemate vormingutega, nagu BDOC või suisa ASiC-E, valmis uus teek nimega DigiDoc4j (muide, vahel kasutatakse DigiDoc4j asemel ka lühendit DD4J.)

DD4J tuleku ajalugu (lihtsalt selleks, et keegi ei saaks öelda, et ta pole probleemipüstitusest kunagi varem kuulnud):

versioon-avaldatud

Allikas: id.ee

Vajadusest uuele teegile üle minna hakati rääkima juba päris ammu. Infohommiku materjal märtsist 2015. Novembris 2015 avalikustati DigiDoc4j teegi versioon 1.00. Vajadust vana teek kiiremas korras välja vahetada toonitati veel kord mais 2016. Lõpuks, oktoobris 2016 käib jutt juba üksnes uue teegi uuemast versioonist, eeldatakse, et vana jDigiDoc teek enam kasutuses pole.

Kontoris

Kontorikasutajaga on keerulisem lugu. Teatavasti kontorikasutaja ei saa ise oma tarkvaraversiooni muuta, seda teeb tema eest itimees. Itimehel on aga muresid palju – mõne tarkvara mingi versiooni tõstmine või langetamine pole itimehe jaoks primaarne tegevus, kuni ähvardab otsene oht. Vahel mõjutavad itimehe tööd ka suured ülemused, kes sätivad itimehe prioriteete eelarve kaudu. Ent.

Kontorites leidub kaks olulist tarkvara. Kõigepealt juba seesama eelpoolmainitud ID-kaardi baastarkvara, mis tuleb tõsta versioonile 3.12.4. Paraku on kontoreid, kus ajaloolistel ja eelarvelistel põhjustel on otsustatud jätkuvalt DDOCi küljes rippuda, selmet töövood BDOCi või ASiC-E peale häälestada. Nüüd, novembri lõpus, läheb neil kontoritel ikka väga kiireks. Juhul kui kontoriarvutites pole ID-kaardi tarkvara versiooninumbriga vähemalt 3.12.4, siis Euroopa poolt etteantud usaldusankrute listi lugeda ega lahti parsida ei õnnestu. Mis tähendab, et tööprotsessid lähevad katki.

Asutuste ja firmade serveriruumides leidub veel teinegi huvitav tarkvara, nimelt jubin, millega süsteemid automaatselt allkirju annavad ja kontrollivad. Need kontorid, kes ongi juba üle läinud tarkvarale DigiDoc4j, ei peaks väga muretsema. Kui installeeritud on vähemasti versioon 1.0.3 sellest teegist, siis osatakse 3. detsembril kaelakukkuv uus v5 vormingus usaldusnimekiri kenasti välja lugeda. Kui on installeeritud versioon 1.0.0, siis selle tõstmine versioonile 1.0.3 on ikkagi kordades lihtsam kui infosüsteemi sügavamat putitamist nõudev teegivahetus muldvanalt JDigiDoc teegilt moodsale euroteegile DigiDoc4j.

Pole saladus – osa kontoreid on ikkagi nipitanud ja jätnud vana teegi JDigiDoc pealt uuele teegile DigiDoc4j üle minemata, kuigi ülemineku vajadusest on kõigis meediakanalites pröögatud juba vähemalt poolteist aastat. Miks nad nii teevad? Sest IT arengust loobumine tähendab kokkuhoidu. Ju oli raha vaja kusagil mujal.

Ent nüüd on käes tõesti tagumine hetk. Juhul kui firma serverites ongi kasutusel muldvana jdigidoc, siis hakkab ilmnema üha rohkem probleeme – kodukasutaja (või hoopis välismaalane) saadab asutusse täiesti korrektselt allkirjastatud dokumendi, kuid asutuses pruugitav vana teek ei pruugi seda heaks kiita.“.

Pisut vähem paanikat tekib neis asutustes, kus DigiDoc4J on küll installeeritud ja infosüsteemiga sobitatud, kuid versiooninumber pisut liiga varane (1.0.2 või väiksem). Neis kohtades on olukord soodsam seetõttu, et infosüsteem ise on ju uuele teegile üle viidud ja suuremad juurutustööd sooritatud, jäänud on vaid koera saba pikendamine versiooninumbri või paari võrra, mis reeglina on suhteliselt kiire tegevus. Kahe nädalaga veel jõuab!

Patustajaid otseselt nimetamata tsiteerime üht varasemat blogikirjet (juuni 2016): “Vana ja aegunud JDigiDoc teeki (mille eluiga ja tugi on ammu lõppenud) pruugitakse täna 98% digiallkirjade loomiseks. Uus, euroühtesobiv DD4J teek on seni kasutusel vaid 0,05% digiallkirjade loomisel.”.