2017. aasta novembris toimuvate ID-kaardi muudatuste mõju e-teenuste pakkujatele

Allolev info on oluline ennekõike ID-kaardiga kasutatavate e-teenuste ja infosüsteemide omanikele, selleks, et teie teenused oleksid kasutatavad uuendatud ID-kaardiga. Palun testige oma teenuseid testkaardiga ja vajadusel tehke muudatused.

NB! Artiklis info uueneb jooksvalt!  Uuendatud  20.10.2017

Miks muudatused toimuvad?

30. augustil informeeris rahvusvaheline teadlaste grupp Riigi Infosüsteemi Ametit (RIA), et nad avastasid turvariski, mis mõjutab Eestis alates 2014. aasta oktoobrist välja antud ID-kaarte. Vaata lisainfot siit: https://www.ria.ee/ee/id-kaardi-kiibis-avastati-turvarisk.html

RIA eestvedamisel on välja töötatud tarkvara, mille abil saab turvariskiga ID-kaartide, elamisloa ja digi-ID elektroonilist osa kauguuendada alates 2017. aasta novembrist.

Kuidas teada saada milline sertifikaat võib olla mõjutatud?

https://github.com/crocs-muni/roca on saadaval kood, mis võimaldab kontrollida, kas esitatud sertifikaat võib olla mõjutatud.

Millised muudatused toimuvad?

Uuendatakse ID-kaartide, elamisloa ja digi-ID elektroonilist osa. 

Uuendatud ID-kaardi sertifikaatide puhul võetakse kasutusse elliptkõverate krüptograafia (seni on olnud kasutusel RSA algoritm), mille kohta saab lugeda Krüptoalgoritmide uuringust, mis on kättesaadav siit: https://www.ria.ee/public/RIA/Kruptograafiliste_algoritmide_uuring_2015.pdf

Milline on muudatuse mõju?

Dokumentide elektroonilise osa uuendamine võib puudutada infosüsteeme ja rakendusi, kus on võimalik ID-kaarti (sh digi-ID, elamisloakaart, e-residendi digi-ID) kasutades autentida ja/või digitaalallkirjastada ja/või krüpteerida – dekrüpteerida. 

Mobiil-ID puhul on elliptkõverate krüptograafia olnud kasutuses juba 2015. aasta algusest. Infosüsteemid, kus on võimalik kontrollida digitaalallkirjade kehtivust teadaolevalt mõjutatud ei ole. 

NB! Olulisemad piirangud!

  • Uuendatud ID-kaardiga ei ole võimalik allkirjastada DDOC formaadis faile. Infosüsteemid, kus on veel võimalik DDOC allkirjastamine, peaksid üle minema ASICE formaadile.
  • Uuendatud ID-kaardi sertifikaadile ei ole võimalik krüpteerida. Vastav tugi arendatakse hiljem. Selle käigus uuendatakse ka CDOC formaat.
  • Uuendatud ID-kaarti saab kasutada ainult uue ID-tarkvara versiooniga, mis avaldatakse oktoobri lõpus.

Millal muudatused toimuvad?

Alates 2017. aasta novembrist on võimalik ID-kaartide, elamisloa ja digi-ID elektroonilist osa kauguuendada ning uutele taotlejatele väljastatakse uuendatud kaarte. 

Millised on muudatused lõppkasutaja sertifikaatides?

Uuendatud ID-kaardi sertifikaatide puhul võetakse kasutusse elliptkõverate krüptograafia NIST P-384 (seni kasutusel RSA algoritm). Sertifikaadiahel ei muutu ehk sertifikaate väljastatakse endiselt ESTEID-SK 2015 ahelast.

Uue profiiliga autentimissertifikaadis kaovad ära võtme kasutusalad (KeyUsage) "Key Encipherment" ja "Data Encipherment", mis asendatakse "Key Agreement" võtmekasutusega. Võtme kasutusalad muutuvad, kuna standard RFC5480 neid ECC võtmete puhul kasutada ei luba.

Allkirjastamissertifikaadis võtmekasutuse väärtused ei muutu (kasutuses endiselt "Non-Repudiation"). 

Mida peab tegema ID-kaardiga autentimist võimaldava infosüsteemi administraator?

Uuemad veebiserverite versioonid toetavad elliptkõverate krüptograafiat. Vajadusel uuendage oma veebiserver. Testimiseks on teil juba täna võimalik kasutada testkaarte. 

Vaata siit näiteid enamlevinud rakenduskihtidele.

Mida peab tegema DigiDoc teekide kasutaja?

Kahjuks ei ole võimalik anda ühtset juhist, palun testige oma rakendusi ja veenduge nende toimivuses uuendatud ID-kaardiga 

DigiDoc4j teek toetab elliptkõverate krüptograafiat alates 1.0.4 versioonist, tugi on olemas ka viimases avalikus jdigidoc teegis. Kui on kasutusel uuemad versioonid, siis teadaolevalt ei ole nende teekide kasutajatel muudatusi vaja teha.

CPP teegi kasutajal on vajalik uuendatud ID-kaardiga allkirjastamiseks teegi uuendamine. CPP teegist BETA versioon on kättesaadav https://github.com/open-eid/libdigidocpp/releases/tag/v3.13.2-BETA

Mida peab tegema DigiDocService veebiteenuse kasutaja?

DigiDocService veebiteenuse kasutaja ei pea üldjuhul oma infosüsteemis mingeid muudatusi tegema.

Mida peab tegema teenus või rakendus, kus ID-kaart on kasutusel kliendikaardina?

Teadaolevalt ei ole muutunud käsud, millega kaardi poole pöördutakse. Kaardirakenduse spetsifikatsiooni BETA versioon on kättesaadav, kui saadate kirja support at sk dot ee.

Kaardi ATR ja AID ei ole muutunud, muutunud on VID. Testimiseks on teil juba täna võimalik kasutada testkaarte. 

Mida peab tegema teenus või asutus, kes kasutab krüpteerimist?

Uuendatud ID-kaardi sertifikaadile ei ole võimalik krüpteerida. Vastav tugi arendatakse hiljem. Esiagse plaani kohaselt avaldatakse lõppkasutajatele mõeldud DigiDoc3 Krüpto 2018. aasta jaanuaris. 

Selle käigus uuendatakse ka CDOC formaat. Uue CDOCi spetsifikatsioon avaldatakse esimesel võimalusel.

Kuidas saab test ID-kaarte?

Selleks, et saaksite testida ID-kaardi uuenduse mõju oma rakendustele ja süsteemidele on võimalik SK-st tellida test ID-kaarte. Testkaarte saab tellida SK kodulehel oleva vormi kaudu. https://www.sk.ee/teenused/testkaardid/?service/test_cards

Testkaardi sertifikaadid põhinevad elliptkõverate krüptograafia ja on väljastatud TEST of ESTEID-SK 2015 sertifitseerimisahelast. Sertifitseerimisahel ei ole muutunud.

Kuidas saab testida?

Testkaarti saab kasutada vaid ID-tarkvara BETA versioonis, mis toetab elliptkõverate krüptograafiat. BETA tarkvara ei tööta live ID-kaartidega.

Tarkvara Windowsile on kättesaadav:

64bit: https://installer.id.ee/media/beta2/Open-EID-17.10.0.5471.BETA2.exe 

32bit: https://installer.id.ee/media/beta2/Open-EID-17.10.0.5471.BETA2_x86.exe

Juhul, kui on soov komponente eraldi installida, siis kõik failid on leitavad siit: https://installer.id.ee/media/beta2/

BETA versioonis DigiDoc3 klient tuvastab vaid testallkirjasid ja allkirjastab ainult testkaardiga.

Testkaardiga toimetamiseks tuleb üles laadida testkaardi sertifikaadid veebilehelt https://demo.sk.ee/upload_cert/ .

Kui testimisel esineb tõrkeid, siis on vaja tühjendada %appdata%\digidocpp\tsl kataloogi või siis Digidoc kleint -> Info -> Kontrolli uuendusi. Midagi nähtavat ei juhtu, aga tõmmatakse alla uus test-config ja test-TSL.

Kui testimised on lõpetatud, siis peaks BETAkindlasti ka eemaldama. Kuna versiooninumbrid on suuremad kui LIVE versioonil, siis LIVE peale uuendamine ei toimi.

Teadaolevad iseärasused:

  • Kui paned pinpadiga esimene kord vale parooli, siis küsitakse parooli uuesti. Isegi kui sisestada õige parool, saab ootamise aken timeouti
  • Win2008 R2 serveris ei tööta IE-ga signeerimine
  • Krüpteerimine ja dekrüpteerimine ei ole toetatud
  • PIN koodi vahetamisel võib olla vajalik kaart korraks välja võtta ja tagasi panna - kui pärast PIN-koodi vahetamist enam ei tööta autentimine/signeerimine
  • Tagasiside ja küsimuste korral palun saata e-kiri eid at ria dot ee

Saadaval on ka LIVE tarkvara eelvaate versioon (RC), mis toetab elliptkõverate krüptograafiat.

Tarkvara saab kasutada LIVE ID-kaartidega ning ei toeta testkaarte!

Tarkvara Windowsile on kättesaadav:

64bit: https://installer.id.ee/media/rc/Open-EID-17.10.0.1748.RC2.exe

32bit: https://installer.id.ee/media/rc/Open-EID-17.10.0.1748.RC2_x86.exe

Milline on muudatuse mõju tavakasutajale?

Uuendatud ID-kaardi kasutamiseks autentimiseks ja allkirjastamiseks on vajalik uuendada ID-tarkvara. Windows’i kasutajad saavad uuendada ID-tarkvara aadressilt installer.id.ee. Mac OSX kasutajatel tuleb laadida alla ID-kaardi haldusvahendi ja DigiDoc3 klient programmi viimane versioon Apple App Store-st.

Kauguuendamine toimib sarnaselt kõikide operatsioonisüsteemidega.

Maci kasutajatel tekib kahjuks pärast kauguuendamist probleem ID-kaardiga e-teenuste kasutamisega, sest Safari ja Google Chrome ei toeta uut kasutuselevõetavat krüptoalgoritmi (EC – elliptkõverad). Pärast ID-kaardi uuendamist saab kaarti kasutada Firefox veebilehitsejaga. Uus lahendus Maci kasutajate jaoks on loomisel, kuid ootab Google´i ja Apple´i poolt tehnilise võimekuse loomist.

Maci kasutajad saavad kõiki e-teenuseid kasutada mobiil-ID abil, seega soovitame Maci kasutajatel võtta endale mobiil-ID. Dokumente saavad Maci kasutajad digiallkirjastada ka pärast kauguuendamist (allkirjastamistarkvara DigiDoc3 klient).

Tavakasutajaid teavitatakse ning varustatakse juhistega, kui uuendatud versioon on kättesaadav. 


KÜSI ABI

Kui sa ei leidnud oma küsimusele vastust, kirjuta meie meeskonnale.



  • Vaata juhendit
  • Hinda oma arvutikasutusoskust, et saaksime anda paremaid juhiseid

         

  • Kontroll ebaõnnestus

Kuidas saame artiklit parandada, et sellest rohkem abi oleks?
Saada Sulge