EID lühitutvuse eelmine versioon

Allikas: eid.eesti.ee

eID lühitutvustus

Mis on mis

Eestis reglementeerib eID kasutamist Digitaalallkirja seadus[1] ja Isikut tõendavate dokumentide seadus[2], mille alusel väljastatakse Eesti ID-kaarti.[3]

ID-kaart

ID-kaart (EstEID) on kohustuslik isikut tõendav dokument, mida saab kasutada elektroonselt digiallkirja (tehnilises mõttes digisignatuuri) andmise, isikutuvastamise ning andmete krüpteerimise funktsioonides. ID-kaardile on salvestatud kaks X.509-vormingus sertifikaati: 1) sertifikaat digitaalseks isikutuvastuseks ning andmete allkirjastamiseks ja krüpteerimiseks; 2) sertifikaat digitaalseks allkirjastamiseks, mille abil saab kaardiomanik anda kehtiva digitaalallkirja.

Enne 1. jaanuari 2007 välja antud ID-kaart kehtib 10 aastat ning sellel olevad sertifikaadid 3 aastat. Kehtivuse lõppemisel saab sertifikaate tasuta uuendada. Alates 1. jaanuarist 2007 välja antud ID-kaartidel kehtivad sertifikaadid sama kaua kui kaart ise ehk siis 5 aastat ning sertifikaate uuendama ei pea.[4]

Kaardile on kantud ka isikuandmete fail, mille kohta leiab lisainfot jaotisest Isikuandmete faili kasutamine.

EstEID kaardid vastavad ISO/IEC 7816 standardile. Viimased EstEID standardid, sertifikaatide profiilid ja spetsifikatsioonid leiab id.ee lehelt.

Digitaalne isikutunnistus

Digitaalne isikutunnistus ehk digi-ID on riiklik digitaalne dokument, millega saab elektroonilises keskkonnas oma isikut tuvastada ja anda digitaalallkirja. Erinevalt ID-kaardist ei ole Digi-ID-kaart mõeldud kasutamiseks visuaalse isikut tõendava dokumendina, mistõttu ei kanta sellele fotot -- ainult nimi, isikukood, dokumendi number ning kehtivusaja lõpp. Samuti on Digi-ID-kaardi isikuandmete fail tühi v.a dokumendinumbri väli. Krüptograafia seisukohast on tegu samasuguse kiipkaardiga nagu ID-kaart. Seetõttu kasutab SK Digi-ID sertifikaatide väljastamisel samu üldpõhimõtteid, EstEID-kaardi sertifitseerimispoliitikat ning EstEID sertifikaatide profiili. Samal põhjusel käsitleb juhend Digi-ID-d ja ID-kaarti samaväärsena.

Digitaalne isikutunnistus ning selle sertifikaadid antakse välja kehtivusajaga kolm aastat.[4]

Kui ID-kaardi väljastamine võtab kuni 1 kuu, siis digitaalne isikutunnistus väljastatakse Politsei- ja Piirivalveameti büroodest ootetööna.

Digitaalne tempel

Digitaalne tempel e. digitempel on teenus, mille abil saavad juriidilised isikud (nt ettevõtted) anda digiallkirju dokumentidele. Seeläbi lisatakse dokumendile kinnitus, et dokument pärineb allkirjastanud ettevõttest (s.t digidokumendi kinnitab asutus, mitte selleks volitatud füüsiline isik -- inimesed vahetuvad, asutus jääb) ning et dokumenti ei ole vahepeal muudetud. Allkirjastada (sh mass-allkirjastada) saab nt arveid, maksekorraldusi, kinnitusi, tunnistusi, väljavõtteid (nt SEB pank pakub automaatselt digitembeldatud kontoväljavõtet) jne. Teenuse tellimisel väljastab SK ettevõttele USB-krüptopulgal X.509-sertifikaadi (mille kasutusala määratakse sertifikaadi nimetusega) ning analoogiliselt digiallkirjaga luuakse templi kasutamisel allkirjastatavatest andmetest DigiDOC-vormingus konteiner.

Digitempli andmise korda ja tõestusväärtust reguleerivad seadus (DAS[1]), sertifitseerimispoliitika (mis on vastava sertimisteenuse spetsiifiline ja detailsem) ning üldisemad sertifitseerimispõhimõtted.

Elektrooniline elamisloakaart

Elektrooniline elamisloakaart väljastatakse ID-kaardi asemel Eestis elavatele välismaalastele, kes ei ole Euroopa Liidu kodanikud, ning sinna kantakse elamisloa andmed. ID-kaardi ja elamisloakaardi funktsionaalsus elektrooniliste teenuste kasutamiseks on sama. Ka elamisloakaardiga saab digitaalselt isikut tuvastada ning allkirja anda. Peamine erinevus seisneb selles, et Eesti ja Euroopa Liidu kodanikele välja antava ID-kaardiga saab Euroopa Liidu piires reisida, elamisloakaardiga väljaspool Eestit reisida ei saa. Teise erinevusena sisaldab elamisloakaart lisaks kontaktivaba kiipi, kuhu on salvestatud kasutaja sõrmejäljekujutised ja näokujutis. ID-kaardil kontaktivaba kiip puudub. Kuna kontaktivaba kiipi juhendis ei kasutata, siis käsitletakse elamisloakaarti ja ID-kaarti samaväärsena. Elamisloakaart kehtib kuni 5 aastat, kuid mitte kauem kui kehtib isikule välja antud elamisluba või elamisõigus.

Mobiil-ID

Mobiil-ID on elektrooniline isikut tõendav dokument, mis võimaldab elektroonilist isikutuvastamist ja digitaalset allkirjastamist mobiiltelefoni abil, kus telefon koos vastava SIM-kaardiga täidab ühel ajal nii ID-kaardi kui ka kaardilugeja funktsiooni. Mobiil-ID kasutamiseks on vajalik teenust võimaldav spetsiaalne SIM-kaart, mille saamiseks tuleb sõlmida teenusleping mobiilioperaatori juures. Mobiil-ID muutub kasutatavaks pärast aktiveerimist Politsei- ja Piirivalveameti elektroonilises taotluskeskkonnas, mille käigus taotletakse vajalikud sertifikaadid. Erinevalt teistest dokumentidest ei talletata Mobiil-ID sertifikaate SIM-kaardil. Erinevalt ID-kaardist ei ole võimalik Mobiil-ID sertifikaate kasutada dokumentide krüpteerimiseks -- vastasel juhul näeks nii DigiDocService kui ka mobiilioperaator lahti krüpteeritud andmeid.[5]

Alates 01. veebruarist 2011 välja antud Mobiil-ID puhul on tegu digitaalse isikutunnistusega, mille väljaandmine toimub isikut tõendavate dokumentide seaduse alusel.[6]

Enne 01. veebruari 2011 välja antud Mobiil-ID sertifikaadid kehtivad 5 aastat. Alates 01. veebruarist 2011 välja antava Mobiil-ID vormis digitaalse isikutunnistuse sertifikaadid kehtivad 3 aastat. Sertifikaatide kehtivuse lõppedes tuleb SIM-kaart vahetada.[4]

2008. aastal läbiviidud turvauuringu tulemusena leiti, et raportis esitatud soovituste täitmisel ja lisariskide aktsepteerimisel võib Mobiil-ID-d kasutada võrdväärselt ID-kaardiga.[7]

2009. aastal läbiviidud formaalse analüüsi kohaselt on küll Mobiil-ID protokollis mõned nõrkused ning on välja pakutud lahendused, mida tasuks kiiremas korras realiseerida, ent kokkuvõttes leitakse, et protokoll on lähitulevikus edasi kasutamiseks piisavalt turvaline.[8]

Ülevaade eID rakendusvõimalustest

Isiku autentimine

eID-dokumentidel on isikutuvastussertifikaat, mis sisaldab informatsiooni enda omaniku kohta. PIN 1 sisestamisega saab kaardi omanik tõestada, et tegu on temaga ning et sertifikaadil sisalduv informatsioon käib tema kohta. Seda informatsiooni saavad rakendused ning veebiteenused ära kasutada, et veenduda kasutaja isikus. Kuigi Mobiil-ID puhul käib isikutuvastusallkirja andmine üle mobiilivõrgu, on põhimõte täpselt sama.

Isikutuvastust saab kasutada näiteks töölauarakendusse, veebiteenusesse või arvutisse endasse sisselogimiseks.

Digiallkirjade andmine

eID-dokumentidel on ka allkirjastamisertifikaat ning -võtmepaar. DAS[1] § 2 lg 3 sätestab:

Digitaalallkiri koos selle kasutamise süsteemiga peab:
 1) võimaldama üheselt tuvastada isiku, kelle nimel allkiri on antud;
 2) võimaldama kindlaks teha allkirja andmise aja;
 3) siduma digitaalallkirja andmetega sellisel viisil, mis välistab võimaluse tuvastamatult muuta andmeid või nende tähendust pärast allkirja andmist.

Punkti 1 rahuldab sertifikaat, mis seob isiku avaliku võtmega ning on SK poolt allkirjastatud. Punkt 2 rahuldatakse ajatembeldusega. Punkt 3 on rahuldatud tõsiasjaga, et kui andmed muutuvad, siis muutub ka nende räsi ning allkiri.

Seega on eID-dokumentide allkirjastamisvõtmepaariga antud ning kehtivuskinnitust omavad allkirjad seaduslikult siduvad ning samaväärsed tavalise allkirjaga. Allkirja andmise järgselt saadetakse sertifikaadi seerianumber koos allkirjastatud dokumendi räsiga AS Sertifitseerimiskeskusele, kes kinnitab sertifikaadi kehtivuse ning teeb turvalogisse sissekande selle allkirja kohta -- sellega tagatakse salgamise vääramine (non-repudiation) ehk allkirja pole võimalik eitada. Üldjuhul hoitakse allkirju konteineris koos algsete dokumentide, allkirjastaja sertifikaadi, kehtivuskinnituse ning kehtivuskinnitaja sertifikaadiga.

Ajatembeldamine

Kui sertifikaadi kehtivuskinnituse päringusse lisada ka allkirjastatud dokumendi räsi, siis teenuse saadetud vastus omandab tähenduse "hetkel, kui ma selle sertifikaadi alusel allkirjastatud dokumenti nägin, oli see sertifikaat kehtiv", kusjuures vastuses sisaldub ka aeg, mil see väljastati. Vastus on ka allkirjastatud ja seega muutmise eest kaitstud. SK võtab endale vastutuse kinnituste, k.a. seal sisalduva ajakomponendi õigsuse eest ning kannab kõik sertifikaatide olekumuutused ning väljastatud kehtivuskinnitused turvalisesse logisse, mis tagab pikaajalise tõestusväärtuse.[9]

Seega ei kasutata eraldiseisvat ajatembeldusteenust, vaid see on realiseeritud läbi kehtivuskinnituse teenuse.

Digitembeldamine

Digitembeldamise all mõeldakse digitaalsete allkirjade andmist asutustele (juriidilistele isikutele) mõeldud digitemplit kasutades, seda siis kas mõne asutuse töötaja poolt või rakenduse poolt automaatselt. Lihtsalt öeldes on digitempel ID-kaardi analoog ettevõtetele.[10]

Sertifitseerimiskeskuse poolt pakutakse digitembeldamiseks

  • ID-kaardi baastarkvaraga paigaldatavat DigiDoc3 klientprogrammi (töötab ainult Windowsis; juhend),
  • mass-allkirjastamiseks mõeldud TempelPlus tarkvara,
  • DigiDocService-veebiteenust ning
  • DigiDoc-teeke, millega saab luua oma rakendusi digitembeldamiseks.

Krüpteerimine / dekrüpteerimine

eID-dokumendid võimaldavad faile krüpteerida ja dekrüpteerida kasutades autentimissertifikaati. Funktsioon on mõeldud eelkõige failide turvaliseks transpordiks ebaturvalises keskkonnas (nt internet), vastandina andmete pikaajalisele säilitamisele.

Tähelepanu: Aegunud või uuendatud sertifikaadiga ega ka uue ID-kaardiga ei saa eelmise sertifikaadiga krüpteeritud dokumenti dekrüpteerida. Samuti ei saa ID-kaardi jaoks krüpteeritud konteinerit avada sama isik oma Digi-ID-ga. Just nendel põhjustel ei ole krüpteeritud dokumendid mõeldud pikaajaliseks säilitamiseks.

Üks variant dokumentide krüpteerimiseks on luua XML Encryption Syntax and Processing standardile vastav krüptokonteiner, kuhu pannakse krüpteeritud dokumendid, vastuvõtjate sertifikaadid ning muu kasulik metainfo. Vastavad vahendid krüpteerimiseks ja dekrüpteerimiseks on saadaval DigiDoci teekides, lisainfot leiab krüpteerimist käsitlevalt id.ee lehelt.

Teine levinud kasutusjuhtum on e-posti krüpteerimine kasutades S/MIME standardit, kus kiri krüpteeritakse vastuvõtja avaliku võtmega (mille leiab tema isikutuvastussertifikaadilt).

Tähelepanu: S/MIME-ga krüpteeritud kirju saab saata ainult sellele aadressile, mis on sertifikaadi peal. S.t niimoodi krüpteeritud kirju saab saata ainult vastuvõtja @eesti.ee aadressile.

Lisaks neile kahele leidub muidugi ka hulgaliselt teisi kasutusjuhtumeid krüpteerimise jaoks ning kuna eID dokumente saab kasutada suvalise baidijada krüpteerimiseks, siis on neid võimalik ka nendes kasutada.

Alternatiivsed rakendamisvõimalused

Lisaks ülaltoodud põhifunktsioonidele on ID-kaardil veel järgmised kasutusvõimalused.

  • transpordikaart, s.t eelkõige ID-pilet. Viimane on realiseeritud keskserveris oleva andmebaasina, kus isikukoodidega on seostatud vastavad sõiduõigused, enamasti teatud tüüpi kuukaardid. Sõiduõiguse kontrollimisel kasutatakse ID-kaardi lugejaid selleks, et kiiresti ja mugavalt tuvastada reisija isikukoodi (kuna ID-kaart ise ei sisalda mingit teavet sõiduõiguse kohta);
  • raamatukogukaart (infosüsteemi URRAM[11] kasutavatel raamatukogudel on võimalik ID-kaarti lugejakaardina rakendada[12]);
  • kliendikaart (lojaalsuskaart), täpsemalt vt jaotis "ID-kaart kliendikaardina";
  • ukse- või pääsukaart;

Allikaviited