EID lühitutvustus

Allikas: eid.eesti.ee
Redaktsioon seisuga 20. september 2012, kell 17:15 kasutajalt Martlaur (arutelu | kaastöö) (→‎Digitembeldamine)
Jump to navigation Jump to search

eID lühitutvustus

Mis on mis

Eestis reglementeerib eID kasutamist Digitaalallkirja seadus[1] ja Isikut tõendavate dokumentide seadus[2], mille alusel väljastatakse Eesti ID-kaarti.[3]

ID-kaart

ID-kaart (EstID) on kohustuslik isikut tõendav dokument, mida saab kasutada elektroonselt digiallkirja (tehnilises mõttes digisignatuuri) andmise ja isikutuvastamise funktsioonides. ID-kaardile on salvestatud kaks sertifikaati: 1) sertifikaat digitaalseks isikutuvastuseks ning e-posti allkirjastamiseks ja krüpteerimiseks; 2) sertifikaat digitaalseks allkirjastamiseks, mille abil saab kaardiomanik anda kehtiva digitaalallkirja. Need sertifikaadid kehtivad 5 aastat.

Digitaalne isikutunnistus

Digitaalne isikutunnistus ehk digi-ID on riiklik digitaalne dokument, millega saab elektroonilises keskkonnas oma isikut tuvastada ja anda digitaalallkirja. Erinevalt ID-kaardist ei kanta Digi-ID-kaardile isiku nime, fotot ega muud teavet, mis võimeldaks kaarti kasutada visuaalse isikut tõendava dokumendina. Krüptograafia seisukohast on tegu samasuguse kiipkaardiga nagu ID-kaart. Seetõttu kasutab SK Digi-ID sertifikaatide väljastamisel samu üldpõhimõtteid, ESTEID-kaardi sertifitseerimispoliitikat ning ESTEID sertifikaatide profiili. Samal põhjusel käsitleb juhend Digi-ID-d ja ID-kaarti samaväärsena. Digitaalne isikutunnistus antakse välja kehtivusajaga kolm aastat.

Tähelepanu: Digi-ID ja ID-kaardi sertifikaadid pole n-ö ristkasutatavad, ehk kui näiteks krüpteerida dokument digi-ID serdiga (ESTEID DIGI-ID), siis seda ID-kaardiga (ESTEID) avada ei saa.

Digitaalne tempel

DAS[1] määratlus (§ 211 lg 1 p 1):

 Digitaalne tempel on tehniliste ja organisatsiooniliste vahendite süsteemi abil moodustatud 
 andmete kogum, mida digitaalse templi sertifikaadi omanik kasutab tõendamaks digitaalse dokumendi 
 terviklust ning oma seost sellise dokumendiga.

Digitaalne tempel e. digitempel on AS-i Sertifitseerimiskeskus firmapärane teenus, mille abil saavad juriidilised isikud (nt ettevõtted) anda digiallkirju dokumentidele, millega lisatakse dokumendile kinnitus, et dokument pärineb allkirjastanud ettevõttest ning et dokumenti ei ole vahepeal muudetud. Allkirjastada (sh mass-allkirjastada) saab nt arveid, maksekorraldusi, kinnitusi, tunnistusi jne. Teenuse tellimisel väljastab SK ettevõttele USB-krüptopulgal X.509-sertifikaadi.

Tehnoloogiliselt on digitempel analoogiline digiallkirjale (teda võibki pidada juriidilise isiku digiallkirjaks) -- templi kasutamisel luuakse andmete allkirjastamisel DigiDOC-vormingus konteiner samamoodi nagu ID-kaardi või Digi-ID kasutamisel. Ainus vahe on selles, et erinevalt isiklikust digitaalallkirjast võib asutuse digitaalne kinnitus olla tekitatud erinevate põhimõtete kohaselt. Seetõttu lisanduvad digitaalseks kinnitamiseks väljastatud sertifikaadi semantikasse nn. kinnituspõhimõtted (signing policy), mis kirjeldavad digitaalse kinnituse otstarvet, tekitamise viisi jms. spetsiifikat.

Asutuse digitaalsel kinnitusel on kaks põhilist kasutusjuhtu:

  1. Kinnituse lisamine digitaalselt allkirjastatud dokumendile – sellisel juhul tekib dokumendile asutuse mõõde ning allkirjastanud isikule allkirjastamise kontekst.
  2. TODO: parem sõnastus: Automaatselt genereeritud digitaalsed kinnitused (ilma digitaalallkirjata) – nt mitmesugused tõendid ja väljavõtted, mille puhul on hiljem võimalik tõendada info terviklust, päritolu ja moodustamise konteksti.

Digitempli andmise kord ja tõestusväärtus on reguleeritud seadusega, sertifitseerimisteenuse osutaja sertifitseerimispõhimõtetega ja templi andja tembelduspõhimõtetega.[4]

Elektrooniline elamisloakaart

Elektrooniline elamisloakaart väljastatakse ID-kaardi asemel Eestis elavatele välismaalastele, kes ei ole Euroopa Liidu kodanikud, ning sinna kantakse elamisloa andmed. ID-kaardi ja elamisloakaardi funktsionaalsus elektrooniliste teenuste kasutamiseks on sama. Ka elamisloakaardiga saab digitaalselt isikut tuvastada ning allkirja anda. Peamine erinevus seisneb selles, et Eesti ja Euroopa Liidu kodanikele välja antava ID-kaardiga saab Euroopa Liidu piires reisida, elamisloakaardiga väljaspool Eestit reisida ei saa. Teise erinevusena sisaldab elamisloakaart kontaktivaba kiipi, kuhu on salvestatud kasutaja sõrmejäljekujutised ja näokujutis. ID-kaardil kontaktivaba kiip puudub. Elamisloakaart kehtib kuni 5 aastat, kuid mitte kauem kui kehtib isikule välja antud elamisluba või elamisõigus.

Mobiil-ID

Mobiil-ID on elektrooniline isikut tõendav dokument, mis võimaldab elektroonilist isikutuvastamist ja digitaalset allkirjastamist mobiiltelefoni abil, kus telefon koos vastava SIM-kaardiga täidab ühel ajal nii ID-kaardi kui ka kaardilugeja funktsiooni. Erinevalt ID-kaardist ei ole võimalik Mobiil-ID sertifikaate kasutada dokumentide krüpteerimiseks. Mobiil-ID sertifikaadid kehtivad 3 aastat.[5]

Alates 01.02.2011 välja antud Mobiil-ID puhul on tegu digitaalse isikutunnistusega, mille väljaandmine toimub isikut tõendavate dokumentide seaduse alusel.[6]

Mobiil-ID kasutamiseks on vajalik teenust võimaldav spetsiaalne SIM-kaart, mille saamiseks tuleb sõlmida teenusleping mobiilioperaatori juures. Mobiil-ID muutub kasutatavaks pärast aktiveerimist Politsei- ja Piirivalveameti elektroonilises taotluskeskkonnas.

TODO: kirjutame järgmised infokillud lahti:

Isikutuvastamine

Isikutuvastamine Mobiil-ID abil toimub järgmiselt:[7]

  1. Kasutaja sisestab oma telefoninumbri ja/või isikukoodi ning viimase välja andnud riigi koodi. Need andmed edastatakse teenusele DigiDocService.
  2. DigiDocService kontrollib OCSP abil üle, et kasutaja Mobiil-ID isikutuvastuse sertifikaat kehtib.
  3. DigiDocService samaaegselt
    • saadab mobiiloperaatorile isikutuvastuse päringu (mis edastab selle kasutaja telefonile) ning
    • tagastab kontrollkoodi ja kasutaja sertifikaadi.
      • NB! Teenus tagastab kõigest tuvastatava isiku sertifikaadi—see ei tähenda, et kasutaja oleks autenditud.
  4. Rakendus kuvab kasutajale isikutuvastuspäringu kontrollkoodi.
  5. Rakendus hakkab perioodiliselt käima teenuse DigiDocService käest isikutuvastuspäringu olekut küsimas.
    • Olekupäring on võimalik teha ka sünkroonselt, s.t DigiDocService hoiab ühendust lahti ning ei tagasta midagi enne, kui mobiiltelefonilt on tulnud vastus.
  6. Kasutaja telefonil kuvatakse teade isikutuvastuspäringu kohta ning ta kinnitab, et telefonil kuvatav kontrollkood langeb kokku rakenduse poolt kuvatavaga.
  7. Kasutaja sisestab Mobiil-ID PIN1, teenuse poolt saadetud väljakutse (challenge) allkirjastatakse SIM-kaardil oleva salajase võtmega ning tulemus saadetakse mobiiloperaatorile, mis edastab selle teenusele DigiDocService.
  8. Järgmine kord, kui rakendus tuleb teenuselt küsima, mis on päringu olek, vastatakse, et kasutaja on autenditud.

Digitaalne allkirjastamine

Allkirjastamine käib sarnaselt isikutuvastamisega, järgmiste erinevustega:

  • Teenusele saadetakse allkirjastatavad dokumendid või nende räsid ning Mobiil-ID allkirja küsitakse hoopis nende räsile, mitte juhuarvule.
  • Allkiri antakse digitaalallkirjastamise salajase võtmega, mitte isikutuvastamise omaga. Sellest tulenevalt peab kasutaja sisestama PIN 2, mitte PIN 1.

Eelneva tulemusena moodustab teenus allkirjastatud konteineri, mille rakendus saab alla laadida. Kui alguses saadeti teenusele vaid allkirjastatavate dokumentide räsid, siis lisasammuna peab konteineris asendama räsid dokumentide endiga.

Ülevaade eID rakendusvõimalustest

Isiku autentimine

eID-dokumentidel on isikutuvastussertifikaat, mis sisaldab informatsiooni enda omaniku kohta. PIN 1 sisestamisega saab kaardi omanik tõestada, et tegu on temaga ning et sertifikaadil sisalduv informatsioon käib tema kohta. Seda informatsiooni saavad rakendused ning veebiteenused ära kasutada, et veenduda kasutaja isikus. Kuigi Mobiil-ID puhul käib isikutuvastusallkirja andmine üle mobiilivõrgu, on põhimõte täpselt sama.

Digiallkirjade andmine

eID-dokumentidel on ka allkirjastamisertifikaat ning -võtmepaar. Nendega antud allkirjad on seaduslikult siduvad ning samaväärsed tavalise allkirjaga. Allkirja andmise hetkel saadetakse sertifikaat koos allkirjastatava dokumendi räsiga Sertifitseerimiskeskusele, kes kinnitab sertifikaadi kehtivuse ning kannab turvalogisse sissekande selle räsi allkirjastamise kohta—sellega tagatakse salgamise vääramine (non-repudiation) ehk allkirja pole võimalik eitada.

Digitembeldamine

Digitembeldamise all mõeldakse digitaalsete allkirjade andmist asutustele (juriidilistele isikutele) mõeldud digitemplit kasutades, seda siis kas mõne asutuse töötaja poolt või rakenduse poolt automaatselt. Lihtsalt öeldes on digitempel on ID-kaardi analoog ettevõtetele.[8]

Sertifitseerimiskeskuse poolt pakutakse digitembeldamiseks

  • ID-kaardi baastarkvaraga paigaldatavat DigiDoc3 klientprogrammi (töötab ainult Windowsis; juhend) ning
  • mass-allkirjastamiseks mõeldud TempelPlus tarkvara.

Krüpteerimine / dekrüpteerimine

ID-kaart võimaldab faile krüpteerida ja dekrüpteerida, kasutades ID-kaardi autentimissertifikaati. Funktsioon on mõeldud eelkõige failide turvaliseks transpordiks, vastandina andmete pikaajalisele säilitamisele. Standardile XML-ENC vastavad vahendid krüpteerimiseks ja dekrüpteerimiseks on saadaval DigiDoci teekides, lisainfot leiab vastavalt id.ee lehelt.

Tähelepanu: Aegunud või uuendatud sertifikaadiga ega ka uue ID-kaardiga ei saa eelmise sertifikaadiga krüpteeritud dokumenti dekrüpteerida.

Alternatiivsed rakendamisvõimalused

  • transpordikaart, s.t eelkõige ID-pilet. Viimane kujutab endast keskserveris olevat andmebaasi, kus isikukoodidega on seostatud vastavad sõiduõigused, enamasti teatud tüüpi kuukaardid. Sõiduõiguse kontrollimisel kasutatakse ID-kaardi lugejaid selleks, et kiiresti ja mugavalt tuvastada reisija isikukoodi -- ID-kaart ise ei sisalda mingit infot sõiduõiguse kohta.
  • raamatukogukaart
  • kliendikaart (lojaalsuskaart)
  • ukse- või pääsukaart

Allikaviited