Krüpteerimislahenduste arendamine

ID-kaardi maailmas mõeldakse krüpteerimise all seda, et ühest või enamast salastamist vajavast failist koostatakse üks .cdoc laiendiga fail, mis on avatav ainult konkreetsete adressaatide ID-kaardi (või muu digitaalse dokumendi) autentimissertifikaadiga seotud salajase võtme abil. 

Krüpteerimisprotsess toimub kasutajate jaoks väga lihtsalt: 

Failide omanik lisab DigiDoc4 KRÜPTO valikus konfidentsiaalseks edastamiseks mõeldud failid dokumendiümbrikusse, lisab neile adressaadid (vajalik on adressaatide isikukoodide teadmine, juriidilistel isikutel registrinumber) ning krüpteerib dokumendiümbriku. Krüpteeritud ümbrik tuleb seejärel adressaatidele edasi saata, näiteks e-posti teel. Pärast krüpteerimist saavad dokumendiümbriku avada ainult määratud adressaadid, kasutades selleks krüpteerimisel määratud dokumendi sertifikaate (näiteks ID-kaart, digi-ID vms).  

Krüpteerimiseks ja dekrüpteerimiseks saab kasutada ID-kaardi baastarkvara.  

Krüpteerimine ei sobi failide pikaaegseks säilitamiseks!  

Kuna krüpteeritud dokumendiümbriku sisu on avatav ainult konkreetsete adressaatide poolt neile krüpteerimise hetkel kehtinud sertifikaatidega, tuleks krüpteeritud fail esimesel võimalusel lahti teha ning dekrüpteeritud kujul turvalisse kohta salvestada.  

Teada tasub, et: 

  • Dokumentide dekrüpteerimiseks vajad täpselt sama dokumenti (samade sertifikaatidega), millele fail krüpteeriti. Näiteks saad faile dekrüpteerida ka aegunud sertifikaatidega dokumendiga isegi juhul, kui sulle on uus dokument juba väljastatud.  
  • Uuendatud sertifikaatidega ja/või uue dokumendiga ei ole võimalik lahti teha faile, mis on krüpteeritud sinu varasemale/aegunud dokumendile!  

Lisaks on oluline meeles pidada, et kui sina oled dokumentide krüpteerijaks ja soovid neid hiljem ise ka avada, tuleks sul adressaatide hulka lisada ka iseennast!  

Krüpteerimisrakenduste loomine: 

Krüpteerimise funktsionaalsusega rakenduste loomiseks soovitame kasutada DigiDoc teeke

  • CDOC formaadis failide funktsionaalsuse (krüpteerimine ja dekrüpteerimine) täielik tugi on olemas cdoc4j teegis, samuti CDigiDoc  ja JDigiDoc (Java) teegis.  

DigiDoc teekide kasutajatel on soovitatud võimalikult palju eelistada „otse“ krüpteerimise lahendust, kus krüpteerimisel faile ei paigutada vahekonteinerisse. Kõikides CDOC formaati toetavates DigiDoc tarkvarateekides on „otse“ krüpteerimise ja dekrüpteerimise tugi olemas.  

Teiste tarkvararakendustega ühildumise tagamiseks tuleks krüpteerimisel tähelepanu pöörata CDOC dokumendi XML parameetrite õigele seadistusele, et erinevaid krüpteerimisviise oleks hiljem võimalik eristada. 

Nö “otse” krüpteerimisel tuleb CDOC konteineris määrata järgmised parameetrid: 

  • elemendi „Mimetype“ atribuudi väärtuseks määrata krüpteeritava sisendfaili MIME-tüüp. Võib ka kasutada vaikimisi väärtusena „application/octet-stream“ väärtust. 

Inglise keeles lisainfo: Encrypted DigiDoc Format Specification

https://www.ria.ee/sites/default/files/content-editors/EID/cdoc.pdf

NB! Parim praktika! 

Täpselt nagu Digidoc4 klient rakenduse puhul võiks ka uute krüpteerimisrakenduste loomisel arvestada, et tänapäeval kasutavad paljud paralleelselt nii ID-kaarti kui digi-IDd. Seega oleks mõistlik luua lahendus nii, et fail krüpteeritaks adressaadi kõikidele kehtivatele sertifikaatidele (ID-kaardi autentimissertifikaadile lisaks ka digi-ID autentimissertifikaadile). See vähendab riski, et kasutaja sertifikaatide aegumise, peatamise või uuendamise tõttu muutub krüpteeritud dokumendiümbriku sisu kättesaamatuks!  

Rohkem informatsiooni on võimalik leida CDOC failiformaadi dokumentatsioonist: Encrypted DigiDoc Format Specification –  https://www.ria.ee/sites/default/files/content-editors/EID/cdoc.pdf 

Krüpteerimissertifikaadi info SK veebis: https://www.skidsolutions.eu/teenused/kruptosertifikaat/