Milliseid muudatusi toob Digi-ID ja ID-tarkvara uuenemine? 0


Hiljuti avaldanud autorid

Eesti on oma lühikese iseseisvusaja jooksul võtnud nõuks igapäevaste asja-ajamiste lihtsustamiseks erinevate IT-lahenduste kasutamise. Nii oleme loonud Eesti ID-kaardi ja Digi-ID süsteemi, mis on ühtlasi nii isikutunnistus kui ka elektrooniline võti enda isiku kinnitamiseks digitaalses maailmas. Täna on meie ID-kaardi lahendus muutumas, kuidas täpsemalt, sellest kohe lähemalt.

Digitark on Digi-ID teemadel korduvalt ja mitmekesiselt erinevaid artikleid avaldanud:

Enne, kui saame lähemalt rääkida ID-kaardiga seotud uuendustest, on paslik meenutada peamiseid ID-kaardiga seonduvaid mõisteid ja eeltööd, mida selle kasutamiseks on vaja:

  • ID-tarkvara – paigalda tarkvara aadressilt installer.id.ee
  • PIN-koode – väljastatakse koos ID-kaardiga. Kui koodid on kadunud, saad uued Politsei- ja Piirivalveameti kodakondsus- ja migratsioonibüroode teenindusest
  • kehtivaid sertifikaate – kui sertifikaadid on aegunud, siis saad neid ise uuendada ID-kaardi haldusvahendis või Internetis aadressil www.sk.ee/id-kontroll
  • internetiühendusega arvuti
  • kaardilugeja

Nii nagu reaalses maailmas, tuleb ka virtuaalses maailmas ühiselt kasutatavate teenuste puhul kokku leppida reeglistikus ja formuleeringus, kuidas ja mil moel teenust kasutatakse. Lisaks kogu lahenduse ülesehitusele tuleb virtuaalses maailmas kokku leppida ka failivormingus, milleks antud juhul on .ddoc ja .cdoc ning kõnealune uus lisandunud .bdoc formaat.

DDOC

Eesti digitaalallkirja failiformaat ei ole suvaliselt põlve otsast valmis treitud, vaid selle struktuuri ehitamisel on silmas peetud XML Advanced Electronic Signatures (XAdES – ETSI TS 101 903) nimelist rahvusvaheliselt tunnustatud standardit. Kusjuures on oluline teada, et selle abil on võimalik lisada failile selliseid omadusi:

  1. Allkirjastamise asukoht
  2. Allkirjastaja roll või resolutsioon
  3. Allkirjastamise aeg
  4. Allkirjas sisaldub allkirjastaja sertifikaadi kehtivuse info
  5. OCSP* vastus
  6. OCSP serveri sertifikaat
    *(Online Certificate Status Protocol – meie mõistes isikut tuvastav server internetis)

Seda komplekti omadusi nimetataksegi koondnimetusega digitaalse allkirja andmine. Kuna tegemist on nö “konteinerfailiga”, ehk failiga, mille sisse saab panna teisi faile, muutubki võimalikuks .ddoc failformaadiga digitaalallkirja andmine, kus allkirja saanud dokument asub selle faili sees.

Digidoc

Kui eelpool loetletud nimekirja esimesed kaks omadust ei ole allkirja kehtivuse seisukohast kuigivõrd olulised, siis viimased neli seevastu omavad selles asendamatuid rolle, saavutamaks allkirja kehtivuse kinnitus ilma täiendava infota. Seega peavad allkirjastaja sertifikaadi väljastaja ja OCSP kehtivuskinnituse serveriteenuse pakkujad olema usaldusväärsed.

Arusaadavalt on nende omaduste puhul veel ka väga tähtis meeles pidada, et kord allkirjastatud dokumenti ei ole võimalik muuta – failile lisatud infot on võimalik ainult lugeda, mitte muuta.

CDOC

.CDOC on faili laiend, mida kasutatakse krüpteeritud DigiDoc vormingus failide eristamiseks. Krüpteeritud DigiDoc failivorming põhineb rahvusvahelisel  standardil XML-ENC (ENCDOC-XML).

Eraldi failivorming on loodud just nimelt selleks, et näiteks digitaalselt allkirjastatud dokumenti ei saaks keegi teine peale määratud isikute avada ega lugeda. Sellisel juhul tuleb avada DigiDoc’i krüpto rakendus (paigaldatakse koos ID-kaardi tarkvaraga) ja lisada sinna juba digitaalselt allkirjastatud .ddoc dokument. Kogu .cdoc’i faili lisatud info krüpteeritakse AES’i nimelise krüpteerimisalgortimiga.

Tasub aga meeles pidada, et see lahendus sobib vaid info vahetamiseks, sest näiteks ID-kaardi kaotsimineku või aegumise korral pole võimalik enam antud faili ühegi nipiga avada.

Mis on BDOC formaat ja miks me sellele üle läheme?

BDOC on uus digitaalallkirja vorming, mis on loodud selleks, et asendada Eesti-spetsiifiline DDOC (DigiDoc) digitaalallkirja vorming enamlevinud standardiga. See annab võimaluse meie digiallkirja lugemiseks ka välismaal ning lisaks tuleb tulevikule mõeldes (näiteks uued krüptoalgoritmid uutes Mobiil-ID ja ID-kaartides) rohkem arenemisvõimalusi jätta.

Lisaks on uus digiallkirja formaat struktuurilt sarnane tuttavlike .zip pakkimisvormingutega. Nende failide eesmärk on info pakkimine, kuid sobivaid komponente lisades saame luua sarnase ülesehitusega vormingu, nagu seda on .ddoc failiformaat. See erinevus eemaldab automaatselt ka näiteks e-maili teel digiallkirja saatmise sagedase mure – uus vorming on selleks tarbeks põhimõtteliselt paremini toetatud.

ID-installer

Järgmise paari aasta jooksul on plaan Eestis järk-järgult .bdocile täielikult üle minna. See tähendab, et .ddoc failid jäävad endiselt loetavateks, aga allkirju antakse edaspidi ainult BDOC-vormingus. 
Olulisemate BDOC formaadile ülemineku 
sündmuste ajakava

  • 11.2013 – BDOC 2.1 formaadi spetsifikatsiooni kinnitamine
  • 12.2013 – kättesaadav ID-tarkvara ver 3.8 (lõppkasutaja tarkvara ja teegid)
  • 03.2014 – AS Sertifitseerimiskeskus teenustele (DigiDocServiceDigiDoc Portaal) on lisatud BDOC 2.1 formaadi tugi
  • 06.2014 – BDOC 2.1 standard EVS 821:2014 on kehtiv (vaikimisi formaadiks DigiDoc portaalis sai BDOC)
  • 2015 – ID-tarkvara ver 3.10 on BDOC 2.1 vaikimisi formaat DDOC formaadi asemel (hetkel värskeim 3.9)
  • 2015/2016 – DDOC formaadi loomise tugi kaob ID-kaardi baastarkvarast, säilub verifitseerimise ehk allkirja kehtivuse kinnitamise ja avamise tugi.
Üleminek tähendab, et ID-kaardi baastarkvara ja teised infosüsteemid, kus saab digiallkirjastada ning digiallkirjastatud faile käidelda, tunnevad BDOC formaadis failid ära ning võimaldavad selliseid faile luua. Kõik senised DDOC failid jäävad kehtima, ID-kaardi baastarkvara toetab esialgu nii DDOC kui BDOC formaati, hiljem saab uusi allkirjastatud konteinereid luua vaid BDOC formaadis. Kaugemas perspektiivis säilib DDOC failide kehtivuse kontroll, aga uued allkirjastatud dokumendid tehakse BDOC formaadis.

Mida teha, et uuendustega kaasas käia?

Erakasutajana ei peagi sa tegema mitte midagi muud, kui vaid oma ID-kaardi tarkvara uuendama. Uuenenud ID-tarkvaraga saab lisaks traditsioonilisele DDOC-vormingule anda allkirju ka BDOC-vormingus, viimase puhul saab allkirjastamiseks kasutada ka Soome ID-kaarti.

Kui Windowsi kasutajatele on tarkvara endiselt uuendatav veebilehel https://installer.id.ee või ID-kaardi haldusvahendi kaudu (nupust seaded > kontrolli uuendusi), siis Mac OS X kasutajate jaoks on uuenenud ID-tarkvara kättesaadav App Store’is. Linux’i kasutajad leiavad omale vajalikud installifailid samuti https://installer.id.ee-st.

Mis puutub aga ID-kaardi turvalisusesse, siis siinkohal märgib uue vormingu kasutuselevõtmine selget arengut – võimalik on kasutada võimsamaid krüptoalgoritme. Ka täna kasutusel olevad algoritmid on “sisuliselt” häkkimiskindlad: seda vaid senikaua, kuni mõni huvitatud osapool on nõus kulutama meeletuid ressursse ühe konkreetse algoritmi murdmiseks. Seejuures räägime me ikkagi aasta(kümne)tesse küündivatest ajakuludest.

https://digidoc.sk.ee/
http://www.id.ee/


Autorist

Sander Hüüs

Sander Hüüs

Kirjutan väga erinevatel teemadel, peamiselt programmidest (nii arvutitele kui telefonidele), tarkvaramaailma uudistest ning internetiteenustest. Kõige olulisemaks pean kirjutamisel lihtsust ja ülevaatlikkust, et teksti oleks mõnus lugeda.

Autori teised artiklid

Kommentaarid