EID funktsioonide lühitutvustus toorik

Allikas: eid.eesti.ee

eID tehniliste funktsioonide lühitutvustus

Isiku autentimine

eID-dokumentidel on isikutuvastussertifikaat, mis sisaldab informatsiooni enda omaniku kohta. PIN 1 sisestamisega saab kaardi omanik tõestada, et tegu on temaga ning et sertifikaadil sisalduv informatsioon käib tema kohta. Seda informatsiooni saavad rakendused ning veebiteenused ära kasutada, et veenduda kasutaja isikus. Kuigi Mobiil-ID puhul käib isikutuvastusallkirja andmine üle mobiilivõrgu, on põhimõte täpselt sama.

Isikutuvastust saab kasutada näiteks töölauarakendusse, veebiteenusesse või arvutisse endasse sisselogimiseks.

Digiallkirjade andmine

eID-dokumentidel on ka allkirjastamisertifikaat ning -võtmepaar. § 2 lg 3 sätestab:

Digitaalallkiri koos selle kasutamise süsteemiga peab:
 1) võimaldama üheselt tuvastada isiku, kelle nimel allkiri on antud;
 2) võimaldama kindlaks teha allkirja andmise aja;
 3) siduma digitaalallkirja andmetega sellisel viisil, mis välistab võimaluse tuvastamatult muuta andmeid või nende tähendust pärast allkirja andmist.

Punkti 1 rahuldab sertifikaat, mis seob isiku avaliku võtmega ning on SK poolt allkirjastatud. Punkt 2 rahuldatakse ajatembeldusega. Punkt 3 on rahuldatud tõsiasjaga, et kui andmed muutuvad, siis muutub ka nende räsi ning allkiri.

Seega on eID-dokumentide allkirjastamisvõtmepaariga antud ning kehtivuskinnitust omavad allkirjad seaduslikult siduvad ning samaväärsed tavalise allkirjaga. Allkirja andmise järgselt saadetakse sertifikaadi seerianumber koos allkirjastatud dokumendi räsiga AS Sertifitseerimiskeskusele, kes kinnitab sertifikaadi kehtivuse ning teeb turvalogisse sissekande selle allkirja kohta -- sellega tagatakse salgamise vääramine (non-repudiation) ehk allkirja pole võimalik eitada. Üldjuhul hoitakse allkirju konteineris koos algsete dokumentide, allkirjastaja sertifikaadi, kehtivuskinnituse ning kehtivuskinnitaja sertifikaadiga.

Ajatembeldamine

Kui sertifikaadi kehtivuskinnituse päringusse lisada ka allkirjastatud dokumendi räsi, siis teenuse saadetud vastus omandab tähenduse "hetkel, kui ma selle sertifikaadi alusel allkirjastatud dokumenti nägin, oli see sertifikaat kehtiv", kusjuures vastuses sisaldub ka aeg, mil see väljastati. Vastus on ka allkirjastatud ja seega muutmise eest kaitstud. SK võtab endale vastutuse kinnituste, k.a. seal sisalduva ajakomponendi õigsuse eest ning kannab kõik sertifikaatide olekumuutused ning väljastatud kehtivuskinnitused turvalisesse logisse, mis tagab pikaajalise tõestusväärtuse.[1]

Digiallkirja vormingutes DDOC ja BDOC-TM ei kasutata eraldiseisvat ajatembeldusteenust, vaid see on realiseeritud läbi kehtivuskinnituse teenuse. Oluliselt standardsem on kasutada ajatembeldusteenust, mis on toetatud digiallkirja vormingus BDOC-TS.

BDOC vormingus dokumentide pikaajalise säilivuse tagamiseks on tulevikus võimalik kasutada arhivaalset ajatembeldamist. See mehhanism rajaneb põhimõttel “kindlustame seda, mis võib olla nõrk”. Järjestikku ajatemplid kaitsevad kogu materjali nõrkade räsialgoritmide ning krüptograafilise materjali ja algoritmide murdmise eest.

Digitembeldamine

Digitembeldamise all mõeldakse digitaalsete allkirjade andmist asutustele (juriidilistele isikutele) mõeldud digitemplit kasutades, seda siis kas mõne asutuse töötaja poolt või rakenduse poolt automaatselt. Lihtsalt öeldes on digitempel ID-kaardi analoog ettevõtetele.[2]

Sertifitseerimiskeskuse poolt pakutakse digitembeldamiseks

  • ID-kaardi baastarkvaraga paigaldatavat DigiDoc3 klientprogrammi (töötab ainult Windowsis; juhend),
  • mass-allkirjastamiseks mõeldud TempelPlus tarkvara,
  • DigiDocService-veebiteenust ning
  • DigiDoc-teeke, millega saab luua oma rakendusi digitembeldamiseks.

Krüpteerimine / dekrüpteerimine

eID-dokumendid võimaldavad faile krüpteerida ja dekrüpteerida kasutades autentimissertifikaati. Funktsioon on mõeldud eelkõige failide turvaliseks transpordiks ebaturvalises keskkonnas (nt internet), vastandina andmete pikaajalisele säilitamisele.

Tähelepanu: Aegunud või uuendatud sertifikaadiga ega ka uue ID-kaardiga ei saa eelmise sertifikaadiga krüpteeritud dokumenti dekrüpteerida. Samuti ei saa ID-kaardi jaoks krüpteeritud konteinerit avada sama isik oma Digi-ID-ga. Just nendel põhjustel ei ole krüpteeritud dokumendid mõeldud pikaajaliseks säilitamiseks.

Üks variant dokumentide krüpteerimiseks on luua XML Encryption Syntax and Processing standardile vastav krüptokonteiner, kuhu pannakse krüpteeritud dokumendid, vastuvõtjate sertifikaadid ning muu kasulik metainfo. Vastavad vahendid krüpteerimiseks ja dekrüpteerimiseks on saadaval DigiDoci teekides, lisainfot leiab krüpteerimist käsitlevalt id.ee lehelt.

Teine levinud kasutusjuhtum on e-posti krüpteerimine kasutades S/MIME standardit, kus kiri krüpteeritakse vastuvõtja avaliku võtmega (mille leiab tema isikutuvastussertifikaadilt).

Tähelepanu: S/MIME-ga krüpteeritud kirju saab saata ainult sellele aadressile, mis on sertifikaadi peal. S.t niimoodi krüpteeritud kirju saab saata ainult vastuvõtja @eesti.ee aadressile.

Lisaks neile kahele leidub muidugi ka hulgaliselt teisi kasutusjuhtumeid krüpteerimise jaoks ning kuna eID dokumente saab kasutada suvalise baidijada krüpteerimiseks, siis on neid võimalik ka nendes kasutada.


Allikaviited

  1. http://sk.ee/upload/files/kehtivuskinnituse_tech_kirjeldus.pdf
  2. http://id.ee/index.php?id=30282