Erinevus lehekülje "EID lühitutvustus" redaktsioonide vahel

Allikas: eid.eesti.ee
Jump to navigation Jump to search
(→‎Mobiil-ID: Formaalse analüüsi järeldused)
(→‎Mobiil-ID: 2008. a turvauuring)
38. rida: 38. rida:
  
 
Mobiil-ID kasutamiseks on vajalik teenust võimaldav spetsiaalne SIM-kaart, mille saamiseks tuleb sõlmida teenusleping mobiilioperaatori juures. Mobiil-ID muutub kasutatavaks pärast aktiveerimist Politsei- ja Piirivalveameti elektroonilises taotluskeskkonnas.
 
Mobiil-ID kasutamiseks on vajalik teenust võimaldav spetsiaalne SIM-kaart, mille saamiseks tuleb sõlmida teenusleping mobiilioperaatori juures. Mobiil-ID muutub kasutatavaks pärast aktiveerimist Politsei- ja Piirivalveameti elektroonilises taotluskeskkonnas.
 +
 +
2008. aastal läbiviidud turvauuringu tulemusena leiti, et raportis esitatud soovituste täitmisel ja lisariskide aktsepteerimisel võib Mobiil-ID-d kasutada võrdväärselt ID-kaardiga.<ref>http://www.riso.ee/et/files/MOBIIL-ID_kokkuvote_11-07-2008.pdf</ref>
  
 
2009. aastal läbiviidud formaalse analüüsi kohaselt on küll Mobiil-ID protokollis mõned nõrkused ning on välja pakutud lahendused, mida tasuks kiiremas korras realiseerida, ent kokkuvõttes leitakse, et protokoll on lähitulevikus edasi kasutamiseks piisavalt turvaline.<ref>P. Laud, M. Roos. ''Formal Analysis of the Estonian Mobile-ID Protocol.'' http://math.ut.ee/~peeter_l/research/nordsec09.pdf</ref>
 
2009. aastal läbiviidud formaalse analüüsi kohaselt on küll Mobiil-ID protokollis mõned nõrkused ning on välja pakutud lahendused, mida tasuks kiiremas korras realiseerida, ent kokkuvõttes leitakse, et protokoll on lähitulevikus edasi kasutamiseks piisavalt turvaline.<ref>P. Laud, M. Roos. ''Formal Analysis of the Estonian Mobile-ID Protocol.'' http://math.ut.ee/~peeter_l/research/nordsec09.pdf</ref>

Redaktsioon: 26. september 2012, kell 08:23

eID lühitutvustus

Mis on mis

Eestis reglementeerib eID kasutamist Digitaalallkirja seadus[1] ja Isikut tõendavate dokumentide seadus[2], mille alusel väljastatakse Eesti ID-kaarti.[3]

ID-kaart

ID-kaart (EstID) on kohustuslik isikut tõendav dokument, mida saab kasutada elektroonselt digiallkirja (tehnilises mõttes digisignatuuri) andmise ja isikutuvastamise funktsioonides. ID-kaardile on salvestatud kaks X.509-vormingus sertifikaati: 1) sertifikaat digitaalseks isikutuvastuseks ning e-posti allkirjastamiseks ja krüpteerimiseks; 2) sertifikaat digitaalseks allkirjastamiseks, mille abil saab kaardiomanik anda kehtiva digitaalallkirja. Need sertifikaadid kehtivad 5 aastat. Lisainfot kaardile kantud andmete kohta leiab jaotisest Isikuandmete faili kasutamine.

Digitaalne isikutunnistus

Digitaalne isikutunnistus ehk digi-ID on riiklik digitaalne dokument, millega saab elektroonilises keskkonnas oma isikut tuvastada ja anda digitaalallkirja. Erinevalt ID-kaardist ei kanta Digi-ID-kaardile isiku nime, fotot ega muud teavet, mis võimeldaks kaarti kasutada visuaalse isikut tõendava dokumendina. Krüptograafia seisukohast on tegu samasuguse kiipkaardiga nagu ID-kaart. Seetõttu kasutab SK Digi-ID sertifikaatide väljastamisel samu üldpõhimõtteid, ESTEID-kaardi sertifitseerimispoliitikat ning ESTEID sertifikaatide profiili. Samal põhjusel käsitleb juhend Digi-ID-d ja ID-kaarti samaväärsena. Digitaalne isikutunnistus antakse välja kehtivusajaga kolm aastat.

Tähelepanu: Digi-ID ja ID-kaardi sertifikaadid pole n-ö ristkasutatavad, ehk kui näiteks krüpteerida dokument digi-ID serdiga (ESTEID DIGI-ID), siis seda ID-kaardiga (ESTEID) avada ei saa.

Digitaalne tempel

DAS[1] määratlus (§ 211 lg 1 p 1):

 Digitaalne tempel on tehniliste ja organisatsiooniliste vahendite süsteemi abil moodustatud 
 andmete kogum, mida digitaalse templi sertifikaadi omanik kasutab tõendamaks digitaalse dokumendi 
 terviklust ning oma seost sellise dokumendiga.

Digitaalne tempel e. digitempel on AS-i Sertifitseerimiskeskus firmapärane teenus, mille abil saavad juriidilised isikud (nt ettevõtted) anda digiallkirju dokumentidele, millega lisatakse dokumendile kinnitus, et dokument pärineb allkirjastanud ettevõttest (s.t digidokumendi kinnitab asutus, mitte selleks volitatud füüsiline isik -- inimesed vahetuvad, asutus jääb) ning et dokumenti ei ole vahepeal muudetud. Allkirjastada (sh mass-allkirjastada) saab nt arveid, maksekorraldusi, kinnitusi, tunnistusi jne. Teenuse tellimisel väljastab SK ettevõttele USB-krüptopulgal X.509-sertifikaadi.

Tehnoloogiliselt on digitempel analoogiline digiallkirjale (teda võibki pidada juriidilise isiku digiallkirjaks) -- templi kasutamisel luuakse andmete allkirjastamisel DigiDOC-vormingus konteiner samamoodi nagu ID-kaardi või Digi-ID kasutamisel. Ainus vahe on selles, et erinevalt isiklikust digitaalallkirjast võib asutuse digitaalne kinnitus olla tekitatud erinevate põhimõtete kohaselt. Seetõttu lisanduvad digitaalseks kinnitamiseks väljastatud sertifikaadi semantikasse nn. kinnituspõhimõtted (signing policy), mis kirjeldavad digitaalse kinnituse otstarvet, tekitamise viisi jms. spetsiifikat.

Asutuse digitaalsel kinnitusel on kaks põhilist kasutusjuhtu:

  1. Kinnituse lisamine digitaalselt allkirjastatud dokumendile – sellisel juhul tekib dokumendile asutuse mõõde ning allkirjastanud isikule allkirjastamise kontekst.
  2. TODO: parem sõnastus: Automaatselt genereeritud digitaalsed kinnitused (ilma digitaalallkirjata) – nt mitmesugused tõendid ja väljavõtted, mille puhul on hiljem võimalik tõendada info terviklust, päritolu ja moodustamise konteksti.

Digitempli andmise kord ja tõestusväärtus on reguleeritud seadusega, sertifitseerimisteenuse osutaja sertifitseerimispõhimõtetega ja templi andja tembelduspõhimõtetega.[4]

Elektrooniline elamisloakaart

Elektrooniline elamisloakaart väljastatakse ID-kaardi asemel Eestis elavatele välismaalastele, kes ei ole Euroopa Liidu kodanikud, ning sinna kantakse elamisloa andmed. ID-kaardi ja elamisloakaardi funktsionaalsus elektrooniliste teenuste kasutamiseks on sama. Ka elamisloakaardiga saab digitaalselt isikut tuvastada ning allkirja anda. Peamine erinevus seisneb selles, et Eesti ja Euroopa Liidu kodanikele välja antava ID-kaardiga saab Euroopa Liidu piires reisida, elamisloakaardiga väljaspool Eestit reisida ei saa. Teise erinevusena sisaldab elamisloakaart kontaktivaba kiipi, kuhu on salvestatud kasutaja sõrmejäljekujutised ja näokujutis. ID-kaardil kontaktivaba kiip puudub. Elamisloakaart kehtib kuni 5 aastat, kuid mitte kauem kui kehtib isikule välja antud elamisluba või elamisõigus.

Mobiil-ID

Mobiil-ID on elektrooniline isikut tõendav dokument, mis võimaldab elektroonilist isikutuvastamist ja digitaalset allkirjastamist mobiiltelefoni abil, kus telefon koos vastava SIM-kaardiga täidab ühel ajal nii ID-kaardi kui ka kaardilugeja funktsiooni. Erinevalt ID-kaardist ei ole võimalik Mobiil-ID sertifikaate kasutada dokumentide krüpteerimiseks. Mobiil-ID sertifikaadid kehtivad 3 aastat.[5]

Alates 01.02.2011 välja antud Mobiil-ID puhul on tegu digitaalse isikutunnistusega, mille väljaandmine toimub isikut tõendavate dokumentide seaduse alusel.[6]

Mobiil-ID kasutamiseks on vajalik teenust võimaldav spetsiaalne SIM-kaart, mille saamiseks tuleb sõlmida teenusleping mobiilioperaatori juures. Mobiil-ID muutub kasutatavaks pärast aktiveerimist Politsei- ja Piirivalveameti elektroonilises taotluskeskkonnas.

2008. aastal läbiviidud turvauuringu tulemusena leiti, et raportis esitatud soovituste täitmisel ja lisariskide aktsepteerimisel võib Mobiil-ID-d kasutada võrdväärselt ID-kaardiga.[7]

2009. aastal läbiviidud formaalse analüüsi kohaselt on küll Mobiil-ID protokollis mõned nõrkused ning on välja pakutud lahendused, mida tasuks kiiremas korras realiseerida, ent kokkuvõttes leitakse, et protokoll on lähitulevikus edasi kasutamiseks piisavalt turvaline.[8]

Isikutuvastamine

Isikutuvastamine Mobiil-ID abil toimub järgmiselt:[9]

  1. Kasutaja sisestab oma telefoninumbri ja/või isikukoodi ning viimase välja andnud riigi koodi. Need andmed edastatakse teenusele DigiDocService.
  2. DigiDocService kontrollib OCSP-protokolli vahendusel, et kasutaja Mobiil-ID isikutuvastuse sertifikaat kehtib.
  3. Samaaegselt teeb DigiDocService järgmist:
    • Saadab mobiiloperaatorile isikutuvastuse päringu (mis edastab selle kasutaja telefonile);
    • Tagastab kontrollkoodi ja kasutaja sertifikaadi.
      • NB! Teenus tagastab kõigest tuvastamisel oleva isiku sertifikaadi -- see ei tähenda veel, et kasutaja oleks autenditud!
  4. Rakendus kuvab kasutajale neljakohalise isikutuvastuspäringu kontrollkoodi.
  5. Rakendus hakkab perioodiliselt käima DigiDocService'i käest isikutuvastuspäringu olekut küsimas.
    • Olekupäring on võimalik teha ka sünkroonselt, s.t DigiDocService hoiab ühendust avatuna ning ei tagasta midagi enne, kui mobiiltelefonilt on tulnud vastus.
  6. Kasutaja telefonil kuvatakse teade isikutuvastuspäringu kohta
  7. Kasutaja veendub, et telefonil kuvatav kontrollkood langeb kokku rakenduse poolt kuvatavaga ning sisestab Mobiil-ID PIN1.
  8. Teenuse poolt saadetud väljakutse (challenge) allkirjastatakse SIM-kaardil oleva salajase võtmega ning tulemus saadetakse mobiiloperaatorile, mis edastab selle DigiDocService'ile.
  9. Järgmine kord, kui rakendus tuleb teenuselt päringu olekut küsima, vastab teenus, et kasutaja on autenditud ning tagastab allkirja.

Digitaalne allkirjastamine

Allkirjastamine toimub sarnaselt isikutuvastamisega, järgmiste erinevustega:

  • Teenusele saadetakse allkirjastatavad dokumendid või nende räsid ning Mobiil-ID allkirja küsitakse hoopis nende räsile, mitte juhuarvule.
  • Allkiri antakse digitaalallkirjastamise salajase võtmega, mitte isikutuvastamise omaga. Sellest tulenevalt peab kasutaja sisestama PIN2, mitte PIN1.

Nende toimingute tulemusel moodustab DigidocService-teenus allkirjastatud konteineri, mille rakendus saab alla laadida. Kui alguses saadeti teenusele vaid allkirjastatavate dokumentide räsid, siis lisasammuna peab konteineris asendama räsid dokumentide endiga.

Ülevaade eID rakendusvõimalustest

Isiku autentimine

eID-dokumentidel on isikutuvastussertifikaat, mis sisaldab informatsiooni enda omaniku kohta. PIN 1 sisestamisega saab kaardi omanik tõestada, et tegu on temaga ning et sertifikaadil sisalduv informatsioon käib tema kohta. Seda informatsiooni saavad rakendused ning veebiteenused ära kasutada, et veenduda kasutaja isikus. Kuigi Mobiil-ID puhul käib isikutuvastusallkirja andmine üle mobiilivõrgu, on põhimõte täpselt sama.

Digiallkirjade andmine

eID-dokumentidel on ka allkirjastamisertifikaat ning -võtmepaar. Nendega antud allkirjad on seaduslikult siduvad ning samaväärsed tavalise allkirjaga. Allkirja andmise hetkel saadetakse sertifikaat koos allkirjastatava dokumendi räsiga Sertifitseerimiskeskusele, kes kinnitab sertifikaadi kehtivuse ning kannab turvalogisse sissekande selle räsi allkirjastamise kohta—sellega tagatakse salgamise vääramine (non-repudiation) ehk allkirja pole võimalik eitada.

Digitembeldamine

Digitembeldamise all mõeldakse digitaalsete allkirjade andmist asutustele (juriidilistele isikutele) mõeldud digitemplit kasutades, seda siis kas mõne asutuse töötaja poolt või rakenduse poolt automaatselt. Lihtsalt öeldes on digitempel ID-kaardi analoog ettevõtetele.[10]

Sertifitseerimiskeskuse poolt pakutakse digitembeldamiseks

  • ID-kaardi baastarkvaraga paigaldatavat DigiDoc3 klientprogrammi (töötab ainult Windowsis; juhend) ning
  • mass-allkirjastamiseks mõeldud TempelPlus tarkvara.

Krüpteerimine / dekrüpteerimine

ID-kaart võimaldab faile krüpteerida ja dekrüpteerida, kasutades ID-kaardi autentimissertifikaati. Funktsioon on mõeldud eelkõige failide turvaliseks transpordiks, vastandina andmete pikaajalisele säilitamisele. Standardile XML-ENC vastavad vahendid krüpteerimiseks ja dekrüpteerimiseks on saadaval DigiDoci teekides, lisainfot leiab vastavalt id.ee lehelt.

Tähelepanu: Aegunud või uuendatud sertifikaadiga ega ka uue ID-kaardiga ei saa eelmise sertifikaadiga krüpteeritud dokumenti dekrüpteerida.

Alternatiivsed rakendamisvõimalused

Lisaks ülaltoodud põhifunktsioonidele on ID-kaardil veel järgmised kasutusvõimalused.

  • transpordikaart, s.t eelkõige ID-pilet. Viimane on realiseeritud keskserveris oleva andmebaasina, kus isikukoodidega on seostatud vastavad sõiduõigused, enamasti teatud tüüpi kuukaardid. Sõiduõiguse kontrollimisel kasutatakse ID-kaardi lugejaid selleks, et kiiresti ja mugavalt tuvastada reisija isikukoodi (kuna ID-kaart ise ei sisalda mingit teavet sõiduõiguse kohta);
  • raamatukogukaart (infosüsteemi URRAM[11] kasutavatel raamatukogudel on võimalik ID-kaarti lugejakaardina rakendada[12]);
  • kliendikaart (lojaalsuskaart), täpsemalt vt jaotis "ID-kaart kliendikaardina";
  • ukse- või pääsukaart;

Allikaviited