Teenuste testimine: üldinfo

Teenuste testimiseks tasub tellida test-ID-kaart – neid väljastab SK ID Solutions AS. 

Sõltuvalt sellest, milline on organisatsiooni kasutajate profiil, tuleks mõelda ka erinevate põlvkondade kaartide tellimisele.  

Kindlasti tuleks enne testkaartide kasutamist tutvuda  

Testkaartide tellimine 

Üldine info testkaartide kohta: 

Üldinfo testkaartide kohta:  

https://www.skidsolutions.eu/teenused/testkaardid/  

SK poolt väljastatavad testkaardid: 

  • test ID-kaart (2018); 
  • test ID-kaart (ECC sertifikaadid, 2017. a uuendus); 
  • test e-residendi digi-ID  (2018); 

SK-poolt väljastatav krüptopulgal e-Tempel 

NB! Kindlasti tuleb meeles pidada, et: 

  • Test ID-kaarti saab kasutada vaid testkeskkonnas.  
  • Test ID-kaardi sertifikaate ei saa uuendada

Kuidas teenuseid testida? 

Teenuste testimisel tuleks meeles pidada, et tänapäeval on Eestis kasutusel mitme erineva tootja ID-kaardid: n.ö. „vana“ kaart, mis on välja antud enne 2018 aasta lõppu, ning „uus“ ID-kaart, mida hakati välja andma 2018 aasta lõpust. Seega peaksid kõik süsteemid töötama mõlema tootja kaartidega ühtemoodi ja paralleelselt! 

Lisainfo ID-kaardi muudatuste kohta:  

Seoses 2018 kasutusele võetud uut tüüpi ID-kaardile muutusid ka ID-kaardi testimisele kehtivad nõuded ja ootused.  

Järgnevad soovitused ongi mõeldud EID ökosüsteemis enimkasutatavate teenuse tüüpide testimiseks „uue“ ehk tänapäevase ID-kaardi kontekstis.  

  • ID-kaardi testimine: autentimine veebiteenustes

    Vaata Peida

    Autentimine veebiteenustes on lahendatud peamiselt kasutaja veebilehitseja ning veebiteenuse pakkuja veebiserveri vahel SSL/TLS/HTTPS ühenduse loomisega (ID-kaardi autentimise sertifikaadi põhjal).  

    Kasutaja sertifikaadi kehtivuse kontrolliks on võimalik kasutada OCSP kehtivuskinnituse teenust või CRL nimekirju. 

    Millised testid ID-kaardiga teha tuleks? 

    Veebis autentimise testimiseks tuleks hankida test-ID-kaart ning testkaarti toetav EID tarkvara komplekt ja teha läbi vähemalt järgnevad testid: 

    1. Edukas autentimine varasema tootja ehk „vana“ ID-kaardi ning uue EID tarkvara komplektiga. 
    2. Edukas autentimine „uue“ tootja ID-kaardiga ning uue EID tarkvara komplektiga. 
    3. Autentimine eelmise tootja tühistatud või peatatud sertifikaatidega „vana“ kaardiga.* 
    4. Autentimine uue tootja tühistatud või peatatud sertifikaatidega „uue“ kaardiga.* 

    Soovituslik on eduka autentimise testid läbida kõigi EID tarkvaras toetatud veebilehitsejatega vähemalt ühel Windowsi, macOSi ning Ubuntu operatsioonisüsteemiga arvutil. 

    Kehtivuskinnituse teenus (SK ID Solutions AS): 

    Teenuse kasutamise eeldus on vastava lepingu olemasolu SKga ja teenus toimib nii uute kui vanade sertifikaatide jaoks. 

    Sertifikaatide kehtivusinfot kontrollides ligipääsupiiranguga SK Kehtivuskinnitusteenusest tuleb arvestada, et ESTEID2018 alt väljastatud sertifikaatide puhul kinnitab ocsp.sk.ee teenuses vastused SK OCSP RESPONDER 2011 sertifikaadiga. SK OCSP RESPONDER 2011 on juba täna kasutuses kõikide teiste sertifikaatide puhul.  

    Kehtivuskinnitusteenuse info: 

    Ligipääsupiiranguga OCSP: 

    OCSP test-aadress: 

    Muud muudatused seoses „uue“ ID-kaardiga: 

    Apache veebiserveri seadistusjuhend ID-kaardiga autentimiseks on saadaval: 

    Uue ID-kaardi lisandumisega mõjutavad veebis autentimise teenust järgmised muutused: 

    • Kaardi draiverid kõikidel platvormidel. Lisanduvad uue kaardi draiverid. 
      • See muudatus on kaetud RIA-poolse tarkvara toega ning EID ökosüsteemi testimise kontekstis võib selle muudatusega seotud riskid lugeda maandatuks. 

    Uutes ESTEID2018 sertifikaatides ei ole CRL aadressi kirjas. Vajadusel leiab CRLi aadressi SK ID Solutions AS tühistusnimekirjast: 
    https://www.skidsolutions.eu/repositoorium/CRL/  

    Sertifikaadi SN (SerialNumber) välja formaat muutub (lisandub prefix „PNOEE-„) 

    See võib mõjutada infosüsteeme ning teenuseid, mis kasutavad autentimisel isikukoodi tuvastamiseks sertifikaadi SN (SerialNumber) väljal olevat infot.  

    Muudatus tuleneb standardist: TS 119 412-1 p.5.1.3: http://www.etsi.org/deliver/etsi_ts/119400_119499/11941201/  

    Lisaks: 

    • Lõppkasutajate arvutitesse lisanduvad uue ID-kaardi draiverid kõigil platvormidel.  
    • Lisandus täiendav ligipääsupiiranguta AIA-OCSP teenus sertifikaatide kehtivuse kontrolliks. 
    Peida
  • ID-kaardi testimine: autentimine Windows domeenides ja üksikutesse masinatesse

    Vaata Peida

    Paljudes asutustes on keskselt hallatavad arvutivõrgud, kus on toimib kasutajate autentimine ID-kaardi abi. Enamlevinud on Windowsi domeeni logimine või autentimine serverisse üle RDP. Mõlemal puhul kasutatakse kasutaja tuvastamiseks ning kontoga sidumiseks kasutaja autentimise sertifikaati (kaitstud PIN1ga). 

    Millised testid ID-kaardiga teha tuleks? 

    Eeldatavasti on „uue“ ID-kaardi lisandumisega tekkinud muudatustega tänaseks juba arvestatud, ent testimise mõttes tuleks püüda: 

    • Süsteemi lisada nii „uue“ kui „vana“ ID-kaardiga kasutaja. 
    • Proovida kasutaja üleminekut/üle toomist „vana“ kaardi pealt „uuele“. 
    • Edukas login/autentimine „vana“ kaardiga. 
    • Edukas login/autentimine „uue“ kaardiga. 
    • Autentimise katse „uue“ kaardi tühistatud või peatatud sertifikaatidega. 
    • Autentimise katse „vana“ kaardi tühistatud või peatatud sertifikaatidega. 

    Muudatused seoses „uue“ ID-kaardiga: 

    • Seoses 2018 lisandunud „uue“ ID-kaardiga peaks olema kontrollitud LDAPi teenuse aadressi ja vastuse struktuuri võimalikud muutused. 
      • Sertifikaadi kehtivuse kontrolliks tuleks kasutada LDAP teenuse asemel AIA-OCSP teenust. 
    • OCSP ja AIA-OCSP (vt „AIA-OCSP URL“). 
    • Sertifikaatide kehtivusinfot CRLi kaudu kontrollides peab arvestama, et uue CA ESTEID2018 korral ei ole enam CRL url kirjas sertifikaadis. Uue CA CRLi urli leiad Tühistusnimekirjast:  
      https://www.sk.ee/repositoorium/CRL/). 
    • Sertifikaadi SN (SerialNumber) välja formaat muutub (lisandub prefix „PNOEE-„). 
    Peida
  • AIA-OCSP URL

    Vaata Peida

    Ligipääsupiiranguta AIA-OCSP URLi leiab üldjuhul sertifikaadist. Iga CA haru jaoks on oma URL ja sertifikaat, millega allkirjastatakse OCSP-vastuseid.  

    Alates 2019 kehtib uus asutuse sertifikaatide OCSP vastuse profiil, mis rakendub ka CA sertifikaatidele. Värskes OCSP vastuses võeti kasutusele Archive Cutoff  ja Extended Revoked Definition laiendused. Lisainfo SK ID Solutions AS veebilehelt.  

    NB! vanematel sertifikaatidel võib see URL sertifikaadis puududa, sellisel juhul tuleks URL leida järgnevast loetelust: 

    Live-ahela teenuse URLTest-ahela teenuse URL
    http://aia.sk.ee/esteid2018 http://aia.demo.sk.ee/esteid2018 
    http://aia.sk.ee/esteid2011 http://aia.demo.sk.ee/esteid2011 
    http://aia.sk.ee/eid2011 http://aia.demo.sk.ee/eid2011 
    http://aia.sk.ee/klass3-2010 http://aia.demo.sk.ee/klass3-2010 
    http://aia.sk.ee/esteid2015 http://aia.demo.sk.ee/esteid2015 
    http://aia.sk.ee/eid2016 http://aia.demo.sk.ee/eid2016 
    http://aia.sk.ee/nq2016 http://aia.demo.sk.ee/nq2016 
    http://aia.sk.ee/klass3-2016 http://aia.demo.sk.ee/klass3-2016 

    Ligipääsupiiranguta AIA-OCSPs ei tohiks kasutada nonce väljas BDOC-TM (TimeMark) allkirja jaoks kokkulepitud infot. 

    NB! Ligipääsupiiranguta AIA-OCSP vastuste signeerimiseks kasutatavate sertifikaatide kehtivus on lühiajaline. 

    Peida
  • ID-kaardi testimine: krüpteerimislahendused

    Vaata Peida

    Eesti ID-kaardi autentimise sertifikaat toetab selle kasutamist ka andmete krüpteerimiseks ning dekrüpteerimiseks. Arvestades ID-kaardi sertifikaatide piiratud kehtivusaega (5 aastat) ei ole krüpteerimine kindlasti sobiv viis dokumentide pikaaegseks säilitamiseks! 

     Krüpteerimine on mõeldud ainult andmete konfidentsiaalsuse tagamiseks nende vahendamise/edastamise ajal ning dekrüpteeritud formaadis dokument tuleks esimesel võimalusel lahtikrüpteerituna mõnda teise turvalisse säilituslahendusse salvestada.  

    Andmete krüpteerimine ID-kaardi sertifikaadile on kasutatav mitmeti:  

    • dokumentide krüpteerimine EID töölauarakendust kasutades,  
    • infosüsteemist isikule edastatava informatsiooni krüpteerimine,  
    • e-kirjavahetuse krüpteerimine meilikliendis. 

    EID töölauarakendus(t)e krüpteerimine/dekrüpteerimine on kaetud RIA-poolse tarkvara toega ning EID ökosüsteemi testimise kontekstis võib selle muudatusega seotud riskid lugeda maandatuks.  

    Oluline on tähelepanu pöörata infosüsteemidele, mis kasutavad turvalisemaks infovahetuseks ID-kaardi omanikega andmete krüpteerimist ID-kaardi sertifikaadile. 

    Samuti on oluline pidada silmas ID-kaardi omanikke, kes kasutavad kirjavahetuse krüpteerimist ning dekrüpteerimist otse meilikliendis. 

    Millised testid ID-kaardiga teha tuleks? 

    Paigaldada arvutisse värskeim ID-tarkvara versioon ning testida:  

    • Andmete krüpteerimist ja dekrüpteerimist nii „uue“ kui „vana“ tüüpi (väljastatud enne 2018) ID-kaardiga 
    • Andmete krüpteerimist nii „uue“ kui „vana“ kaardiga adressaadile  
    • Kui infosüsteemis on kasutusel ka meilikliendipõhine krüpteerimine, siis andmete edastamist nii „vana“ kui „uue“ kaardiga adressaadile krüpteeritud e-kirjana ning e-kirja krüpteerimist e-posti kliendiga  

    Kirjavahetuse krüpteerimisel ID-kaardi sertifikaadiga tuleb tähelepanu pöörata asjaolule, et uue ID-kaardi puhul muutus sertifikaadis sisalduva meiliaadressi kuju: isiku nimi vahetatakse välja isikukoodi vastu! Meilikliendis krüpteerimise/dekrüpteerimise toimima jäämiseks tuleb kirjad lähetada isikukoodi sisaldavale meiliaadressile. 

    Soovituslik on testid läbida kõigi ID-kaardile krüpteeritud e-kirjade dekrüpteerimist toetavate meiliklientidega vähemalt ühel Windowsi, macOSi ning Ubuntu operatsioonisüsteemiga arvutil. 

    Muudatused seoses „uue“ ID-kaardiga: 

    • LDAPi aadress muutub ja vastuse struktuuri võimalikud muutused. LDAPi osas on muudatus LDAP serveri aadressis. Uueks aadressiks hakkab olema ldaps://esteid.ldap.sk.ee  
      Kataloogi serveeritakse üle senisest turvalisema LDAPS (Lightweight Directory Access Protocol (LDAP) over Secure Sockets Layer (SSL) / Transport Layer Security (TLS)) protokolli. 
       
    • Sertifikaadi SN (SerialNumber) välja formaat muutub (lisandub prefix „PNOEE-„). 
       
    • Sertifikaadis oleva meiliaadressi formaat muutub. Uus kuju on „12345678901@eesti.ee“. 
    Peida
  • ID-kaardi testimine: allkirjastamine ja allkirjade kehtivuse kontroll

    Vaata Peida

    Eestis kasutatakse digiallkirjastamist ID-kaardi või mobiil-IDga nii kinniseks ehk organisatsioonisiseseks tarbimiseks kui ka avatuks ehk avalikus eID ökosüsteemis kasutamiseks. Oluline on, et avalikku ringlusesse kaasatud süsteemides oleks tagatud ühilduvus teiste eID ökosüsteemi osade ja varem loodud konteineriformaatidega.  

    Millised testid ID-kaardiga teha tuleks? 

    • BDOC konteineri loomine ja allkirjastamine „vana“ ja „uue“ ID-kaardiga ja: 
      • Loodud konteinerite valideerimine eID lõppkasutaja tarkvaraga. 
      • Loodud konteinerite valideerimine eID SIVA teenusega. 
    • ASiC-E konteineri loomine ja allkirjastamine „uue“ ja „vana“ ID-kaardiga. 
      • Loodud konteinerite valideerimine eID lõppkasutaja tarkvaraga. 
      • Loodud konteineri tevalideerimine eID SIVA teenusega. 
    • Soovitame kontrollida nii varem kasutatud BDOCe, kus kasutusel ainult TM allkirjad, kui ka BDOCe, milles kasutusel TS allkiri. 

    Testimise käigus tuleb jälgida, et testkaartidega testides oleksid süsteemid konfitud testsertifikaate tunnistama. Testsertifikaatidega testides tuleks SIVA korral kasutada SIVA testaadressi: https://siva-arendus.eesti.ee/V2test/ 

    Kui infosüsteem on üles ehitatud selliselt, et eID tarkvara alusteek suhtleb kasutaja masinas ID-kaardiga otse läbi draiveri (mitte ei kasuta allkirjastamist läbi veebilehitseja plugina), siis on soovitatav testid läbida kõigil süsteemi poolt toetatud operatsioonisüsteemidel. 

    Veendumaks, et arvutisse paigaldatud tarkvara töötab uue ID-kaardiga, on võimalik brauseris allkirjastamist testida GitHubi hwcrypto lehel 

    Muudatused seoses „uue“ ID-kaardi lisandumisega 2018: 

    • eID baastarkvaras muutus vaikimisi failiformaadiks .ASICe ja hakati looma ainult ajatempliga (TS) allkirju. See tähendab, et paralleelselt võib ringluses olla mitmes erinevas formaadis faile (näiteks TS allkirjadega .BDOC failid). Vanaenud JDIGIDOC teeki kasutavatel infosüsteemidel võib esineda raskusi .ASICe ümbrike töötlemisel!
    • OCSP – OCSP kohta sertifikaatide kehtivuse kontrollist loe „AIA-OCSP“ alt. Allkirju tehes tuleb aga jälgida lisaks ka tingimust, et ligipääsupiiranguta AIA-OCSP teenust tohib kasutada ainult timestamp (TS) allkirjade tegemiseks.  
      Timemark (TM) allkirjade tegemine selle teenusega ei ole lubatud.
    • Sertifikaadi SN (SerialNumber) välja formaat muutub (lisandub prefix „PNOEE-„). 
      • Võib mõjutada infosüsteeme, mis kasutavad isikukoodi infot ning loevad selle välja sertifikaadi “serial no” väljalt. 
    • eID tarkvaras vASICE formaadile üleminek – mõjutatud on infosüsteemid, mis kasutavad vanemat Java teeki (Jdigidoc), millel puudub vastava formaadi tugi.  
      eID baastarkvaras muutus vaikimisi failiformaadiks .ASICe ja hakati looma ainult ajatempliga (TS) allkirju. See tähendab, et paralleelselt võib ringluses olla mitmes erinevas formaadis faile (näiteks TS allkirjadega .BDOC failid). Vanaenud JDIGIDOC teeki kasutavatel infosüsteemidel võib esineda raskusi .ASICe ümbrike töötlemisel!
    Peida
  • ID-kaardi testimine: kliendikaardilahendused

    Vaata Peida

    Infosüsteemid, mis kasutavad ID-kaarti vaid isikuandmete (isikukood) hankimiseks ning kus kasutaja ei pea ennast tuvastama PIN1 koodi kasutades, võib kokku võtta kliendikaardisüsteemidena. Siia alla kuuluvad nii kaubandusettevõtted, läbipääsusüsteemid kui ka piletisüsteemid. 

    Isikukoodi hankimiseks ID-kaardilt on mitu moodust: info lugemine isikuandmete failist või vajaliku info lugemine sertifikaadist.  

    Millised testid ID-kaardiga teha tuleks? 

    Kuna uue tootja kaardid ei vahetanud olemasolevaid kaarte välja, vaid lisandusid neile, on testimisel oluline pöörata tähelepanu sellele, et nii uue kui vana tootja kaardid toimiksid samaaegselt korrektsena ning süsteemid oskaksid vastavalt kaardile valida õige meetodi isikuandmete küsimiseks (sertifikaat või isikuandmete fail) 

    Detailsemaid testilugusid on keeruline defineerida, sest süsteemid on väga erinevad. Kindlasti tuleks läbida nii „uue“ kui ka „vana“ tootja kaartidega peamised positiivsed kasutusjuhud ning enimesinevad võimalikud veaolukorrad. 

    Muudatused seoses „uue“ ID-kaardiga: 

    2018 aastal uuendatud ID-kaart toob võrreldes varasemaga kaasa veidi muudatusi andmete käsitlemise osas.  

    • Muutus isikuandmete struktuur ja käsud kaardilt isikuandmete pärimiseks. 
      • Mõjutatud on süsteemid, mis kasutavad info hankimiseks ID-kaardil olevat isikuandmete faili. 
    • Sertifikaadi SN (SerialNumber) välja formaat muutus (lisandub prefix „PNOEE-„). 
      • Mõjutatud võivad olla süsteemid, mis kasutavad isikukoodi hankimiseks sertifikaadi väljal “serial no” olevat isikukoodi infot. 
    • Sertifikaadis oleva meiliaadressi formaat muutubs Uus kuju on „​12345678901@eesti.ee​“. 
      • Mõjutatud võivad olla süsteemid, mis loevad täiendavalt sisse ka meiliaadressi.
    Peida