Juhend uue ID-kaardi testimiseks

 

Eesti eID 2018 kiibi spetsifikatsioon

Uue ID-kaardi muudatused

Testkaartide tellimine ja beta tarkvara

Apache veebiserveri seadistusjuhend ID-kaardiga autentimiseks

Proovi autentimist siin

Proovi allkirjastamist siin

Sissejuhatus

Juhend on mõeldud ID-kaardi kasutamist toetavate infosüsteemide omanikele või haldajatele uue ID-kaardi kasutuselevõtuks valmistumiseks. Uue tootja ID-kaartide lisandumisega seotud muudatused ning muudatustest tulenev võimalik mõju infosüsteemidele on detailsemalt kirjeldatud siin.     

Juhendi sihtgrupp on inimesed, kes reaalselt tegelevad infosüsteemide haldamise ning seadistamisega.

Alljärgnevalt on ära toodud EID ökosüsteemis enimkasutatavate teenuse tüüpidest ning uue ID-kaardi lisandumisega kaasnevatest muudatustest lähtuvalt soovituslikud testimistegevused, võimalikud testijuhud ning vajalikud vahendid testimise läbiviimiseks.

 

Autentimine veebiteenustes

Autentimine veebiteenustes on lahendatud peamiselt kasutaja veebilehitseja ning veebiteenuse pakkuja veebiserveri vahel SSL/TLS/HTTPS ühenduse loomisega ID-kaardi autentimise sertifikaadi põhjal. Kasutaja sertifikaadi kehtivuse kontrolliks on võimalik kasutada OCSP teenust või CRL nimekirju.

Uue ID-kaardi lisandumisega mõjutavad veebis autentimise teenust järgmised muudatused:

  • Lõppkasutajate arvutitesse lisanduvad uue ID-kaardi draiverid kõigil platvormidel. See muudatus on kaetud RIA-poolse tarkvara toega ning infosüsteemide haldajatele peaks olema risk minimaalne ning maandatud.
  • Ligipääsupiiranguga OCSP (aadressil: http://ocsp.sk.ee/, testaadress: http://demo.sk.ee/ocsp)
    • Teenus jääb toimima vanadel tingimustel. Kasutamise eeldus on vastava lepingu olemasolu SKga. Teenus toimib nii uute kui vanade sertifikaatide jaoks.
  • Lisandub täiendav ligipääsupiiranguta AIA-OCSP teenus sertifikaatide kehtivuse kontrolliks. Ligipääsupiiranguta AIA-OCSP urli leiab üldjuhul sertifikaadist. Iga CA haru jaoks on oma url ja sertifikaat, millega allkirjastatakse OCSP vastuseid. NB! vanematel sertifikaatidel võib see url sertifikaadis puududa, sellisel juhul tuleb url leida järgnevast loetelust:

Live ahela teenuse url

Test ahela teenuse url

http://aia.sk.ee/esteid2018

http://aia.demo.sk.ee/esteid2018

http://aia.sk.ee/esteid2011

http://aia.demo.sk.ee/esteid2011

http://aia.sk.ee/eid2011

http://aia.demo.sk.ee/eid2011

http://aia.sk.ee/klass3-2010

http://aia.demo.sk.ee/klass3-2010

http://aia.sk.ee/esteid2015

http://aia.demo.sk.ee/esteid2015

http://aia.sk.ee/eid2016

http://aia.demo.sk.ee/eid2016

http://aia.sk.ee/nq2016

http://aia.demo.sk.ee/nq2016

http://aia.sk.ee/klass3-2016

http://aia.demo.sk.ee/klass3-2016

Ligipääsupiiranguta AIA-OCSPs ei tohiks kasutada nonce väljas BDOC-TM (TimeMark) allkirja jaoks kokkulepitud infot.

NB! Ligipääsupiiranguta AIA-OCSP vastuste signeerimiseks kasutatavate sertifikaatide kehtivus on lühiajaline.

  • Uutes ESTEID2018 sertifikaatides ei ole CRL aadressi kirjas. Vajadusel leiab CRLi aadressi siit.
  • Sertifikaadi SN (SerialNumber) välja formaat muutub (lisandub prefix „PNOEE-„).
    • võib mõjutada infosüsteeme ning teenuseid, mis kasutavad autentimisel isikukoodi tuvastamiseks sertifikaadi “Serial no” väljal olevat informatsiooni.
  • Võib muutuda allkirjastamine läbi PKCS11 liidese.
  • võib mõjutada infosüsteeme, mis kasutavad veebis autentimise lahendusena rakenduskihis allkirjastamist nagu on viidatud siin ja teostatud ​siin.

Veebis autentimise teenust kasutavate infosüsteemide arendajatele/haldajatele soovituslikud tegevused muudatustega seotud riskide maandamiseks:

  • Konfigureerida (test)veebiteenuses uue tootja (test)kaardi toetamiseks vajalik sertifikaadi(test)ahel.
  • Teha vajalikud muudatused, et tuvastada kasutaja sertifikaadist korrektselt isikukoodi info.
  • Teha vajalikud muudatused sertifikaadi kehtivuse kontrollimises. Vastavalt kas ligipääsupiiranguga OCSP või ligipääsupiiranguta AIA-OCSP või CRL.

Veebis autentimise toimivuse testimiseks on teenusehalduril või arendajal vajalik hankida uue tootja testkaart ning testkaarti toetav EID tarkvara komplekt ja teha läbi vähemalt järgnevad testid:

  • Edukas autentimine olemasoleva tootja kaardiga ning uue EID tarkvara komplektiga.
  • Edukas autentimine uue tootja kaardiga ning uue EID tarkvara komplektiga.
  • Edukas autentimine olemasoleva tootja kaardiga ning olemasoleva EID tarkvara komplektiga (tagasiühilduvus).
  • Autentimine olemasoleva tootja tühistatud või peatatud sertifikaatidega kaardiga.*
  • Autentimine uue tootja tühistatud või peatatud sertifikaatidega kaardiga.*

Soovituslik on eduka autentimise testid läbida kõigi EID tarkvaras toetatud veebilehitsejatega vähemalt ühel Windowsi, macOSi ning Ubuntu operatsioonisüsteemiga arvutil.

Veendumaks, et arvutisse paigaldatud tarkvara töötab uue ID-kaardiga, on võimalik autentimist testida siin.

* ​Kaardi sertifikaadi peatamiseks või tühistamiseks saab kasutada ​https://demo.sk.ee/upload_cert/ testkeskkonda​.

 

ID-kaardiga autentimine Windowsi domeenides või üksikutesse masinatesse

Väga paljudes ettevõtetes ning asutustes on kasutusel keskselt hallatud arvutivõrgud, kus on realiseeritud kasutajate autentimine ID-kaardi abi. Enamlevinud on Windowsi domeeni logimine või autentimine serverisse üle RDP. Mõlemal puhul kasutatakse kasutaja tuvastamiseks ning kontoga sidumiseks kasutaja autentimise sertifikaati (kaitstud PIN1ga).

Uue ID-kaardi lisandumisega seotud muudatustest mõjutavad kasutaja tuvastamist arvutivõrkudes tõenäoliselt järgmised muutused:

  • LDAPi teenuse aadressi ja vastuse struktuuri võimalikud muutused.
    • Võib mõjutada süsteeme, kus kasutatakse kasutajate sertifikaatide hankimiseks ning info ajakohastamiseks programselt avalikku LDAP teenust. Võimalusel tuleks kasutada LDAP teenuse asemel AIA-OCSP teenust.
  • OCSP ja AIA-OCSP – vt eelmine peatükk.
  • CRL URL eemaldamine sertifikaadist. Vajadusel leiab CRLi aadressi siit.
  • Sertifikaadi „serial no.“ välja formaat muutub (lisandub prefix „PNOEE-„).
    • Võib mõjutada süsteeme, mis kasutavad programselt sertifikaadis “Serial no” väljal olevat isikukoodi infot.

Kasutajate ID-kaardiga autentimist kasutavate arvutivõrkude haldajate soovituslikud tegevused uue tootja kaartide kasutuselevõtuga kaasnevate ökosüsteemi muudatustega toimetulekuks võiksid olla järgnevad:

  • Konfigureerida (test)süsteemi uue tootja kaardi toetamiseks vajalik sertifikaadi(test)ahel. Vajalikud sertifikaadid saab siit.
  • Teha vajalikud muudatused kasutaja isikukoodi järgi korrektse sertifikaadi leidmiseks (kui kasutatakse isikukoodi väärtust sertifikaadi väljalt “Serial no”).
  • Teha vajalikud muudatused/täiendused sertifikaadi kehtivuse kontrollimises (vastavalt kas ligipääsupiiranguga või ligipääsupiiranguta AIA-OCSP või CRL).

ID-kaardiga kasutaja võrku/arvutisse logimise toimivuse testimiseks on süsteemi haldajal vaja hankida uue tootja testkaart RIA-lt ning testkaarti toetav EID tarkvara komplekt ja soovituslikult läbida vähemalt järgnevad testid

  • Uue tootja ID-kaarti kasutava kasutaja lisamine süsteemi.
  • Olemasoleva tootja kaardiga kasutaja lisamine süsteemi.
  • Kasutaja üleminek olemasoleva tootja kaardilt uue tootja kaardile.*
  • Edukas login/autentimine olemasoleva tootja kaardiga.
  • Edukas login/autentimine uue tootja kaardiga.
  • Autentimise katse olemasoleva tootja tühistatud või peatatud sertifikaatidega kaardiga.
  • Autentimise katse uue tootja tühistatud või peatatud sertifikaatidega kaardiga.
 

Krüpteerimislahendused

Eesti ID-kaardi autentimise sertifikaat toetab ka selle kasutamist andmete krüpteerimiseks ning dekrüpteerimiseks. Kuna ID-kaardil olevad sertifikaadid on lühikese kehtivusajaga (5 aastat), siis võib olla sertifikaadi kasutus takistatud ID-kaardi füüsiliste probleemide (riknemine, kadumine) tõttu. Seetõttu ei sobi selline andmete krüpteerimise viis pikaajaliseks andmete säilitamiseks. ID-kaardiga krüpteerimise võimaluse peamine kasutusala on andmete konfidentsiaalsuse tagamine nende transpordi ajal (kirjavahetus). Andmete krüpteerimine ID-kaardi sertifikaadile on kasutatav mitmeti: dokumentide krüpteerimine EID töölauarakendust kasutades, infosüsteemist isikule edastatava informatsiooni krüpteerimine, e-kirjavahetuse krüpteerimine meilikliendis.

EID töölauarakendus(t)e krüpteerimine/dekrüpteerimine on kaetud RIA-poolse tarkvara toega ning EID ökosüsteemi testimise kontekstis võib selle muudatusega seotud riskid lugeda maandatuks. 

Oluline on tähelepanu pöörata infosüsteemidele, mis kasutavad turvalisemaks infovahetuseks ID-kaardi omanikega andmete krüpteerimist ID-kaardi sertifikaadile.

Samuti on oluline pidada silmas ID-kaardi omanikke, kes kasutavad kirjavahetuse krüpteerimist ning dekrüpteerimist meilikliendis.

Uue ID-kaardi lisandumisega seotud muudatustest mõjutavad ID-kaardile krüpteerimist tõenäoliselt järgmised muutused:

  • LDAPi teenuse aadressi ja vastuse struktuuri muutused. LDAPi puhul muutub LDAP serveri aadress. Uueks aadressiks hakkab olema ldaps://esteid.ldap.sk.ee. Kataloogi serveeritakse üle senisest turvalisema LDAPS (Lightweight Directory Access Protocol (LDAP) over Secure Sockets Layer (SSL) / Transport Layer Security (TLS)) protokolli.
  • Sertifikaadi „serial no.“ välja formaat muutub (lisandub prefix „PNOEE-„).
  • Meiliaadressi formaat muutub sertifikaadis. Uus kuju on „12345678901@eesti.ee“.

Infosüsteemides, mis kasutavad krüpteerimist ID-kaardi sertifikaadile, on oluline silmas pidada võimalikke muudatusvajadusi seoses LDAPist sertifikaatide pärimisega ning sertifikaadi “Serial no” välja info sisu formaadi muutumisega. Kui kasutatakse infosüsteemist ka info automaatset edastamist e-kirjaga ID-kaardile krüpteeritud kujul, siis võib olla oluline ka meiliaadressi formaadi muudatus.

Selliste süsteemide haldajad peaksid hankima RIA-lt uue tootja testkaardi ning testkaarti toetava EID tarkvara komplekti ning soovituslikult läbima vähemalt järgnevad testid:

  • Andmete krüpteerimine olemasoleva tootja ID-kaardi omanikule ning andmete dekrüpteerimine ID-kaardiga.
  • Andmete krüpteerimine uue tootja ID-kaardi omanikule ning andmete dekrüpteerimine ID-kaardiga.
  • Andmete edastamine olemasoleva tootja ID-kaardi omanikule ID-kaardile krüpteeritud e-kirjana ning kirja dekrüpteerimine meilikliendiga (kui on infosüsteemis kasutusel).
  • Andmete edastamine uue tootja ID-kaardi omanikule ID-kaardile krüpteeritud e-kirjana ning kirja dekrüpteerimine meilikliendiga (kui on infosüsteemis kasutusel).

Kirjavahetuse krüpteerimisel ID-kaardi sertifikaadiga tuleb tähelepanu pöörata asjaolule, et muutub sertifikaadis sisalduva meiliaadressi kuju: isiku nimi vahetatakse välja isikukoodi vastu. Meilikliendis krüpteerimise/dekrüpteerimise toimima jäämiseks tuleb edaspidi kirjad lähetada isikukoodi sisaldavale meiliaadressile.

ID-kaardile krüpteeritud kirjade meilikliendis krüpteerimise/dekrüpteerimise testimisel tuleks läbida järgnevad testid:

  • ID-kaardile krüpteeritud e-kirja edastamine olemasoleva tootja ID-kaardi omanikule ning kirja dekrüpteerimine meilikliendiga.
  • ID-kaardile krüpteeritud e-kirja edastamine uue tootja ID-kaardi omanikule ning kirja dekrüpteerimine meilikliendiga.

Soovituslik on testid läbida kõigi ID-kaardile krüpteeritud e-kirjade dekrüpteerimist toetavate meiliklientidega vähemalt ühel Windowsi, macOSi ning Ubuntu operatsioonisüsteemiga arvutil.

 

Allkirjastamine ning allkirjade kehtivuse kontroll

Eestis on asutustes ja organisatsioonides kasutusel lokaalsed dokumendihalduse süsteemid, mis toetavad ka digiallkirjastamist ID-kaardi või mobiil-IDga. Osad süsteemid toodavad allkirjastatud dokumente vaid organisatsioonisiseseks tarbimiseks ning need dokumendid ei liigu edasi avalikku eID ökosüsteemi. Teised süsteemid on osa avalikust eID ökosüsteemist: tekitavad ise dokumente, mis lähevad ringlusse teistesse ökosüsteemi kuuluvatesse süsteemidesse ning samas kasutavad sisendina mujal loodud ja allkirjastatud dokumente.

Sellistes avatud süsteemides on oluline tagada ühilduvus teiste eID ökosüsteemi osadega ning varem loodud konteineritega.

Uue tootja ID-kaardi lisandumisel eID ökosüsteemi tuleb digiallkirjastamist kasutavate infosüsteemi haldajatel/arendajatel arvestada järgnevate muudatustega:

  • AIA-OCSP ja OCSP – vt ptk „Autentimine veebiteenustes“. AIA-OCSPd ei tohi kasutada TM allkirjade tegemiseks.
  • Sertifikaadi „serial no.“ välja formaat muutub (lisandub prefix „PNOEE-„).
    • Võib mõjutada infosüsteeme, mis kasutavad isikukoodi infot ning loevad selle välja sertifikaadi “serial no” väljalt.
  • Võib muutuda allkirjastamine läbi PKCS11 liidese.
    • Mõjutatud võib olla allkirjastamise funktsionaalsus infosüsteemides, mis suhtlevad ID-kaardiga otse läbi draiveri kasutaja arvutis.
  • eID baastarkvaras saab vaikimisi failiformaadiks .ASICe ja hakatakse looma ainult ajatempliga (TS) allkirju. See aga tähendab, et edaspidi võib olla ka TS allkirjadega .BDOC faile. Vanaenud JDIGIDOC teeki kasutavatel infosüsteemidel võib tekkida raskusi .ASICe ümbrike töötlemisel.

Dokumentide allkirjastamisvõimekuse pakkumisel on suur roll RIA hallatavatel eID tarkvara komplekti kuuluvatel tarkvara teekidel ning kaardidraiveritel. Need on RIA poolt ka testitud (vt siit). Küll aga ei saa RIA vastutada selle eest, kuidas infosüsteemides pakutavaid komponente kasutatakse ning kuidas ja milliste eID ökosüsteemi taustateenustega süsteeme liidestatakse. Seetõttu on süsteemi haldajal/arendajal soovitav läbida vähemalt järgmised allkirjastamisega seotud testid:

  • BDOC konteineri loomine ja allkirjastamine olemasoleva tootja ID-kaardiga.
  • Loodud konteineri valideerimine eID lõppkasutaja tarkvaraga.
  • Loodud konteineri valideerimine eID SIVA teenusega.
  • BDOC konteineri loomine ja allkirjastamine uue tootja ID-kaardiga.
  • Loodud konteineri valideerimine eID lõppkasutaja tarkvaraga.
  • Loodud konteineri valideerimine eID SIVA teenusega.
  • ASiC-E konteineri loomine ja allkirjastamine olemasoleva tootja ID-kaardiga.
  • Loodud konteineri valideerimine eID lõppkasutaja tarkvaraga.
  • Loodud konteineri valideerimine eID SIVA teenusega.
  • ASiC-E konteineri loomine ja allkirjastamine uue tootja ID-kaardiga.
  • Loodud konteineri valideerimine eID lõppkasutaja tarkvaraga.
  • Loodud konteineri valideerimine eID SIVA teenusega.
  • Soovitame kontrollida nii “vanu” BDOCe, kus kasutusel ainult TM allkirjad, kui ka BDOCe, milles kasutusel TS allkiri.

Testimise käigus tuleb jälgida, et testkaartidega testides oleksid süsteemid konfitud testsertifikaate tunnistama.

Testsertifikaatidega testides tuleks SIVA korral kasutada SIVA testaadressi: https://siva-arendus.eesti.ee/V2test/

Ülalmainitud testide läbimiseks peaks infosüsteemi haldaja/arendaja hankima RIA-lt uue tootja testkaardi ning testkaarti toetava eID tarkvarakomplekti.

Kui infosüsteem on üles ehitatud selliselt, et eID tarkvara alusteek suhtleb kasutaja masinas ID-kaardiga otse läbi draiveri (mitte ei kasuta allkirjastamist läbi veebilehitseja plugina), siis on soovitatav testid läbida kõigil süsteemi poolt toetatud operatsioonisüsteemidel.

Veendumaks, et arvutisse paigaldatud tarkvara töötab uue ID-kaardiga, on võimalik brauseris allkirjastamist testida siin.

 

Kliendikaardilahendused

Infosüsteemid, mis kasutavad ID-kaarti vaid isikuandmete (isikukood) hankimiseks ning kus kasutaja ei pea ennast tuvastama PIN1 koodi kasutades, võib kokku võtta kliendikaardisüsteemidena. Siia alla kuuluvad nii kaubandusettevõtted, läbipääsusüsteemid kui ka piletisüsteemid.

Isikukoodi hankimiseks ID-kaardilt on mitu moodust: info lugemine isikuandmete failist või vajaliku info lugemine sertifikaadist. 

Kirjeldatud muudatustest mõjutavad ID-kaardi kliendikaardina kasutamist tõenäoliselt järgmised muutused:

  • Isikuandmete struktuur ja käsud kaardilt isikuandmete pärimiseks.
    • Mõjutatud on süsteemid, mis kasutavad info hankimiseks ID-kaardil olevat isikuandmete faili.
  • Sertifikaadi „serial no.“ välja formaat muutub (lisandub prefix „PNOEE-„).
    • Mõjutatud võivad olla süsteemid, mis kasutavad isikukoodi hankimiseks sertifikaadi väljal “serial no” olevat isikukoodi infot.
  • Meiliaadressi formaat muutub. Uus kuju on „12345678901@eesti.ee“​.
    • Mõjutatud võivad olla süsteemid, mis loevad isiku kontaktandmete jaoks täiendavalt sisse ka ametliku meiliaadressi.

Kliendikaardilahenduste testimise eeltingimus on uue tootja testkaardi hankimine RIA-lt ning süsteemides vajalike muudatuste tegemine sõltuvalt andmete hankimise allikast (isikuandmete fail, sertifikaat).

Kuna uue tootja kaardid ei vaheta olemasolevaid kaarte välja, vaid lisanduvad neile, siis on testimisel oluline pöörata tähelepanu sellele, et mõlema tootja kaardid toimiksid korrektselt samaaegselt ning süsteemid oskaksid vastavalt kaardile valida õige meetodi isikuandmete küsimiseks.

Detailsemaid testilugusid on keeruline defineerida, sest süsteemid on väga erinevad. Kindlasti tuleks läbida nii uue kui olemasoleva tootja kaartidega peamised positiivsed kasutusjuhud ning enimesinevad võimalikud veaolukorrad.


KÜSI ABI

Kui sa ei leidnud oma küsimusele vastust, kirjuta meie meeskonnale.



  • Vaata juhendit
  • Hinda oma arvutikasutusoskust, et saaksime anda paremaid juhiseid

         

  • Kontroll ebaõnnestus

Kuidas saame artiklit parandada, et sellest rohkem abi oleks?
Saada Sulge