2017. aasta novembris toimuvate ID-kaardi muudatuste mõju e-teenuste pakkujatele

Allolev info on oluline ennekõike ID-kaardiga kasutatavate e-teenuste ja infosüsteemide omanikele, selleks, et teie teenused oleksid kasutatavad uuendatud ID-kaardiga. Palun testige oma teenuseid testkaardiga ja vajadusel tehke muudatused.

NB! Artiklis info uueneb jooksvalt!  Uuendatud  26.10.2017

Miks muudatused toimuvad?

30. augustil informeeris rahvusvaheline teadlaste grupp Riigi Infosüsteemi Ametit (RIA), et nad avastasid turvariski, mis mõjutab Eestis alates 2014. aasta oktoobrist välja antud ID-kaarte. Vaata lisainfot siit: https://www.ria.ee/ee/id-kaardi-kiibis-avastati-turvarisk.html

RIA eestvedamisel on välja töötatud tarkvara, mille abil saab turvariskiga ID-kaartide, elamisloa ja digi-ID elektroonilist osa kauguuendada alates 2017. aasta novembrist.

Kuidas teada saada milline sertifikaat võib olla mõjutatud?

https://github.com/crocs-muni/roca on saadaval kood, mis võimaldab kontrollida, kas esitatud sertifikaat võib olla mõjutatud.

Millised muudatused toimuvad?

Uuendatakse ID-kaartide, elamisloa ja digi-ID elektroonilist osa. 

Uuendatud ID-kaardi sertifikaatide puhul võetakse kasutusse elliptkõverate krüptograafia (seni on olnud kasutusel RSA algoritm), mille kohta saab lugeda Krüptoalgoritmide uuringust, mis on kättesaadav siit: https://www.ria.ee/public/RIA/Kruptograafiliste_algoritmide_uuring_2015.pdf

Milline on muudatuse mõju?

Dokumentide elektroonilise osa uuendamine võib puudutada infosüsteeme ja rakendusi, kus on võimalik ID-kaarti (sh digi-ID, elamisloakaart, e-residendi digi-ID) kasutades autentida ja/või digitaalallkirjastada ja/või krüpteerida – dekrüpteerida. 

Mobiil-ID puhul on elliptkõverate krüptograafia olnud kasutuses juba 2015. aasta algusest. Infosüsteemid, kus on võimalik kontrollida digitaalallkirjade kehtivust teadaolevalt mõjutatud ei ole. 

NB! Olulisemad piirangud!

  • Uuendatud ID-kaardiga ei ole võimalik allkirjastada DDOC formaadis faile. Infosüsteemid, kus on veel võimalik DDOC allkirjastamine, peaksid üle minema ASICE formaadile.
  • Uuendatud ID-kaardi sertifikaadile ei ole võimalik krüpteerida. Vastav tugi arendatakse hiljem. Selle käigus uuendatakse ka CDOC formaat.
  • Uuendatud ID-kaarti saab kasutada ainult uue ID-tarkvara versiooniga, mis on avalikustatud aadressil https://installer.id.ee.
  • Uuendatud ID-kaardi sertifikaadiga ei ole võimalik PDF formaadis allkirjastamine. Vastav piirang on PDF standardi poolel. 

Millal muudatused toimuvad?

Alates 2017. aasta novembrist on võimalik ID-kaartide, elamisloa ja digi-ID elektroonilist osa kauguuendada ning uutele taotlejatele väljastatakse uuendatud kaarte. 

Millised on muudatused lõppkasutaja sertifikaatides?

Uuendatud ID-kaardi sertifikaatide puhul võetakse kasutusse elliptkõverate krüptograafia NIST P-384 (seni kasutusel RSA algoritm). Sertifikaadiahel ei muutu ehk sertifikaate väljastatakse endiselt ESTEID-SK 2015 ahelast.

Uue profiiliga autentimissertifikaadis kaovad ära võtme kasutusalad (KeyUsage) "Key Encipherment" ja "Data Encipherment", mis asendatakse "Key Agreement" võtmekasutusega. Võtme kasutusalad muutuvad, kuna standard RFC5480 neid ECC võtmete puhul kasutada ei luba.

Allkirjastamissertifikaadis võtmekasutuse väärtused ei muutu (kasutuses endiselt "Non-Repudiation"). 

Mida peab tegema ID-kaardiga autentimist võimaldava infosüsteemi administraator?

Uuemad veebiserverite versioonid toetavad elliptkõverate krüptograafiat. Vajadusel uuendage oma veebiserver. Testimiseks on teil juba täna võimalik kasutada testkaarte. 

Vaata siit näiteid enamlevinud rakenduskihtidele.

Mida peab tegema DigiDoc teekide kasutaja?

Kahjuks ei ole võimalik anda ühtset juhist, palun testige oma rakendusi ja veenduge nende toimivuses uuendatud ID-kaardiga 

DigiDoc4j teek toetab elliptkõverate krüptograafiat alates 1.0.4 versioonist, tugi on olemas ka viimases avalikus jdigidoc teegis. Kui on kasutusel uuemad versioonid, siis teadaolevalt ei ole nende teekide kasutajatel muudatusi vaja teha.

CPP teegi kasutajal on vajalik uuendatud ID-kaardiga allkirjastamiseks teegi uuendamine. CPP teegist versioon on kättesaadav https://github.com/open-eid/libdigidocpp/releases/tag/v3.13.2

NB! Uuendamine on vajalik ainult teegi abil ECC kaartidega allkirjastamiseks. Juhul kui teeki kasutatakse ainult valideerimiseks või kui allkirjastamine tehakse pluginaga (st teek paneb ainult konteinerit kokku), siis uuendamine hädavajalik pole.

Mida peab teadama openSC rakenduste kasutaja?

Ametlik openSC 0.17.0 ei toeta elliptilisi kõveraid. Kui on vaja openSC vahendeid, siis tuleks kasutada RIA poolt komplieeritud versioone.

32bit https://ci.appveyor.com/project/metsma/opensc/build/0.17.0.13/job/oei98j2mvl9xi0nv/artifacts
64bit https://ci.appveyor.com/project/metsma/opensc/build/0.17.0.13/job/s9oceuglmkbaxf8o/artifacts

Vaajdusel saab ka komplieerida ise RIA pull requestist https://github.com/OpenSC/OpenSC/pull/1158

Lõppkasutajale mõeldud eID tarkavra sisaldab juba õiget versiooni.

Mida peab tegema DigiDocService veebiteenuse kasutaja?

DigiDocService veebiteenuse kasutaja ei pea üldjuhul oma infosüsteemis mingeid muudatusi tegema.

Mida peab tegema teenus või rakendus, kus ID-kaart on kasutusel kliendikaardina?

Teadaolevalt ei ole muutunud käsud, millega kaardi poole pöördutakse. Kaardirakenduse spetsifikatsiooni BETA versioon on kättesaadav, kui saadate kirja support at sk dot ee.

Kaardi ATR ja AID ei ole muutunud, muutunud on VID. Testimiseks on teil juba täna võimalik kasutada testkaarte. 

Mida peab tegema teenus või asutus, kes kasutab krüpteerimist?

Uuendatud ID-kaardi sertifikaadile ei ole võimalik krüpteerida. Vastav tugi arendatakse hiljem. Esiagse plaani kohaselt avaldatakse lõppkasutajatele mõeldud DigiDoc3 Krüpto 2018. aasta jaanuaris. 

Selle käigus uuendatakse ka CDOC formaat. Uue CDOCi spetsifikatsioon avaldatakse esimesel võimalusel.

Milline on muudatuse mõju tavakasutajale?

Uuendatud ID-kaardi kasutamiseks autentimiseks ja allkirjastamiseks on vajalik uuendada ID-tarkvara. Windows’i kasutajad saavad uuendada ID-tarkvara aadressilt installer.id.ee. Mac OSX kasutajatel tuleb laadida alla ID-kaardi haldusvahendi ja DigiDoc3 klient programmi viimane versioon Apple App Store-st.

ID-kaartide kauguuendamine toimib sarnaselt kõikide operatsioonisüsteemidega ID-kaardi haldusvahendis.

Tavakasutajaid teavitatakse ning varustatakse juhistega, kui uuendatud versioon on kättesaadav. 

Maci kasutajatel tekib kahjuks pärast kauguuendamist probleem ID-kaardiga e-teenuste kasutamisega, sest Safari ja Google Chrome ei toeta uut kasutuselevõetavat krüptoalgoritmi (EC – elliptkõverad). Pärast ID-kaardi uuendamist saab ID-kaarti kasutada Firefox veebilehitsejaga. Uus lahendus Maci kasutajate jaoks on loomisel, kuid ootab Google´i ja Apple´i poolt tehnilise võimekuse loomist.

Maci kasutajad saavad kõiki e-teenuseid kasutada Mobiil-ID abil, seega soovitame Maci kasutajatel võtta endale Mobiil-ID. Dokumente saavad Maci kasutajad digiallkirjastada ka pärast kauguuendamist (allkirjastamistarkvara DigiDoc3 klient).


KÜSI ABI

Kui sa ei leidnud oma küsimusele vastust, kirjuta meie meeskonnale.



  • Vaata juhendit
  • Hinda oma arvutikasutusoskust, et saaksime anda paremaid juhiseid

         

  • Kontroll ebaõnnestus

Kuidas saame artiklit parandada, et sellest rohkem abi oleks?
Saada Sulge