Digi
06.02.2015, 15:30

Digi-ID ja ID-tarkvara uuenevad: mida võiksid teada

 
Sander Hüüs
ID-kaart, ID-kaardilugeja
ID-kaart, ID-kaardilugeja
FOTO: Foto: Ardo Kaljuvee
Eesti on oma lühikese iseseisvusaja jooksul võtnud nõuks igapäevaste asjaajamiste lihtsustamiseks eri IT-lahendusi kasutada.

Nii oleme loonud Eesti ID-kaardi ja Digi-ID süsteemi, mis on ühtlasi nii isikutunnistus kui ka elektrooniline võti enda isiku kinnitamiseks digitaalses maailmas. Täna on meie ID-kaardi lahendus muutumas, kuidas täpsemalt, sellest kohe lähemalt, kirjutab Digitark.ee.

Enne, kui saame lähemalt rääkida ID-kaardiga seotud uuendustest, on paslik meenutada peamiseid ID-kaardiga seonduvaid mõisteid ning mida selle kasutamiseks on vaja:

* ID-tarkvara - hangi ja paigalda aadressilt installer.id.ee;

* PIN-koodid - väljastatakse koos ID-kaardiga. Kui koodid on kadunud, saad uued Politsei- ja Piirivalveameti kodakondsus- ja migratsioonibüroode teenindusest;

* kehtivad sertifikaadid - kui need on aegunud, siis saad neid ise uuendada ID-kaardi haldusvahendis või internetis aadressil www.sk.ee/id-kontroll;

* internetiühendusega arvuti ja kaardilugeja.

Nii nagu reaalses maailmas, tuleb ka virtuaalses maailmas ühiselt kasutatavate teenuste puhul kokku leppida reeglistikus ja formuleeringus, kuidas ja mil moel teenust kasutatakse.

Lisaks tuleb virtuaalses maailmas kokku leppida ka failivormingus, milleks antud juhul on .ddoc ja .cdoc ning uus lisandunud formaat .bdoc.

DDOC

Eesti digitaalallkirja failiformaat ei ole suvaliselt põlve otsast valmis treitud, vaid selle struktuuri ehitamisel on silmas peetud XML Advanced Electronic Signaturesi (XAdES - ETSI TS 101 903) nimelist rahvusvaheliselt tunnustatud standardit.

On oluline teada, et selle abil on võimalik lisada failile omadusi nagu:

* Allkirjastamise asukoht
* Allkirjastaja roll või resolutsioon
* Allkirjastamise aeg
* Allkirjas sisaldub allkirjastaja sertifikaadi kehtivuse info
* OCSP* vastus ja serveri sertifikaat

OCSP* (Online Certificate Status Protocol - meie mõistes isikut tuvastav server internetis)

Seda komplekti omadusi nimetataksegi koondnimetusega digitaalse allkirja andmine.

Kuna tegemist on “konteinerfailiga” ehk failiga, mille sisse saab panna teisi faile, muutubki võimalikuks .ddoc formaadiga digitaalallkirja andmine, kus allkirja saanud dokument asub selle faili sees.

Kui nimekirja esimesed kaks omadust ei ole allkirja kehtivuse seisukohast kuigivõrd olulised, siis viimased neli seevastu omavad selles asendamatut rolli, saavutamaks allkirja kehtivuse kinnitus ilma täiendava infota.

Seega peavad allkirjastaja sertifikaadi väljastaja ja OCSP kehtivuskinnituse serveriteenuse pakkujad olema usaldusväärsed.

Arusaadavalt on nende omaduste puhul veel ka väga tähtis meeles pidada, et kord allkirjastatud dokumenti ei ole võimalik muuta – failile lisatud infot on võimalik ainult lugeda, mitte muuta.

CDOC

.CDOC on faili laiend, mida kasutatakse krüpteeritud DigiDoc-vormingus failide eristamiseks.

Krüpteeritud DigiDoc failivorming põhineb rahvusvahelisel standardil XML-ENC (ENCDOC-XML).

Eraldi failivorming on loodud just nimelt selleks, et näiteks digitaalselt allkirjastatud dokumenti ei saaks keegi teine peale määratud isikute avada ega lugeda.

Sellisel juhul tuleb avada DigiDoci krüpto rakendus (paigaldatakse koos ID-kaardi tarkvaraga) ja lisada sinna juba digitaalselt allkirjastatud .ddoc dokument.

.cdoc-faili lisatud info krüpteeritakse krüpteerimisalgoritmiga AES.

Tasub aga meeles pidada, et lahendus sobib vaid info vahetamiseks, sest näiteks ID-kaardi kaotsimineku või aegumise korral pole võimalik enam antud faili ühegi nipiga avada.

Mis on BDOC ja miks me sellele üle läheme?

BDOC on uus digitaalallkirja vorming, mis on loodud selleks, et asendada Eesti-spetsiifiline DDOC (DigiDoc) enamlevinud standardiga.

See annab võimaluse meie digiallkirja lugemiseks välismaal ning jätab tulevikule mõeldes arenemisvõimalusi (näiteks uued krüptoalgoritmid uutes Mobiil-ID ja ID-kaartides).

Lisaks on uus digiallkirja formaat struktuurilt sarnane tuttavlike .zip pakkimisvormingutega. Nende eesmärk on info pakkimine, kuid sobivaid komponente lisades saame luua sarnase ülesehitusega vormingu nagu .ddoc.

See erinevus eemaldab automaatselt ka näiteks e-maili teel digiallkirja saatmise sagedase mure – uus vorming on selleks põhimõtteliselt paremini toetatud.

Olulisemate BDOC-formaadile ülemineku sündmuste ajakava

Järgmise paari aasta jooksul on plaan Eestis järk-järgult .bdocile täielikult üle minna. See tähendab, et .ddoc failid jäävad endiselt loetavaks, aga allkirju antakse edaspidi ainult BDOC-vormingus.

11. 2013 - formaadi BDOC 2.1 spetsifikatsiooni kinnitamine

12. 2013 - kättesaadav ID-tarkvara ver 3.8 (lõppkasutaja tarkvara ja teegid)

03. 2014 - AS Sertifitseerimiskeskus teenustele (DigiDocService, DigiDoc Portaal) on lisatud BDOC 2.1 formaadi tugi

06. 2014 - BDOC 2.1 standard EVS 821:2014 kehtib (vaikimisi formaadiks DigiDoc portaalis sai BDOC)

2015 - ID-tarkvara ver 3.10 on BDOC 2.1 vaikimisi formaat DDOC formaadi asemel (hetkel värskeim 3.9)

2015/2016 - DDOC formaadi loomise tugi kaob ID-kaardi baastarkvarast, säilub verifitseerimise ehk allkirja kehtivuse kinnitamise ja avamise tugi.

Üleminek tähendab, et ID-kaardi baastarkvara ja teised infosüsteemid, kus saab digiallkirjastada ja digiallkirjastatud faile käidelda, tunnevad BDOC formaadis failid ära ning võimaldavad selliseid faile luua.

Kõik senised DDOC failid jäävad kehtima, ID-kaardi baastarkvara toetab esialgu formaate nii DDOC kui BDOC.

Hiljem saab uusi allkirjastatud konteinereid luua vaid BDOC-formaadis. Kaugemas perspektiivis säilib DDOC-failide kehtivuse kontroll, aga uued allkirjastatud dokumendid tehakse BDOC formaadis.

Mida teha, et uuendustega kaasas käia?

Erakasutajana ei peagi sa tegema mitte midagi muud kui vaid ID-kaardi tarkvara uuendama.

Uuenenud ID-tarkvaraga saab lisaks traditsioonilisele DDOC-vormingule anda allkirju ka BDOC-vormingus, viimase puhul saab allkirjastamiseks kasutada ka Soome ID-kaarti.

Windowsi kasutajatele on tarkvara endiselt uuendatav veebilehel https://installer.id.ee või ID-kaardi haldusvahendi kaudu (nupust seaded > kontrolli uuendusi).

OS X ehk Maci-kasutajate jaoks on uuenenud ID-tarkvara kättesaadav App Store’is.

Linuxi kasutajad leiavad omale vajalikud installifailid samuti aadressil https://installer.id.ee.

Mis puutub aga ID-kaardi turvalisusesse, siis siin märgib uue vormingu kasutuselevõtmine selget arengut – võimalik on kasutada võimsamaid krüptoalgoritme.

Ka täna kasutusel olevad algoritmid on "sisuliselt" häkkimiskindlad. Aga vaid senikaua, kuni mõni huvitatud osapool on nõus kulutama meeletuid ressursse ühe konkreetse algoritmi murdmiseks. Seejuures räägime ikkagi aasta(kümne)tesse küündivatest ajakuludest.

https://digidoc.sk.ee/
http://www.id.ee/

Kommenteeri Loe kommentaare
Delfi
Jaga
Kommentaarid