Miks muudatused toimuvad?

2018. aasta lõpus vahetub ID-kaartide tootja. Senise tootja Gemalto asemel saab Politsei- ja Piirivalveamet partneriks IDEMIA. Sellega seoses toimub hulk muudatusi nii tarnitavas kaardis kui ka sellega kaasnevas tarkvaras ja teenustes. Tootja vahetuse käigus minnakse üle uuenenud standarditele.

Oluline on seejuures meeles pidada, et uue partneri tulekuga lisanduvad ID-kaardi ökosüsteemi uued kaardid, mis tulevad paralleelselt kasutusele juba olemasolevatega ning algab 5-aastane üleminekuperiood, mil on kasutusel nii senise kui uue tootja ID-kaardid.

 

Uue ID-kaardi lisandumisega kaasnevad muudatused

  • Uuel kaardil asuvas sertifikaadis on SN (SerialNumber) väljal isikukood senise 1234567890 kuju asemel kujul PNOEE-1234567890. Kui infosüsteem loeb isikukoodi SN väljalt (ja mitte CN (CommonName) väljalt või PersonalData failist) ja eeldab isikukoodi kindlas formaadis, siis võivad tekkida sellise kaardi kasutamisel tõrked nii teenustesse sisenemisel kui ka teenuste kasutamisel. Lähemalt SIIT.
  • Muutunud on PersonalData faili struktuur ja nende poole pöördumise käsud, mistõttu ei saa uusi kaarte kasutada näiteks osades kliendikaardisüsteemides. Lähemalt SIIT.
  • Sertifikaatide kehtivuskinnitusteenused AIA-OCSP ja OCSP – lähemalt loe ptk „Kaardi kehtivuskontroll läbi OCSP“.
  • ASICE formaat muutub tarkvaras DigiDoc4 klient vaikimisi formaadiks. ​Vananenud JDIGIDOC teek ei toeta ASICE ümbrikke, vt lähemalt siit.
  • Dokumendi tüübi kirjelduste muudatused sertifikaadis (OID). Sertifikaadi profiili kirjeldus on kinnitamisel.
  • LDAPi aadress ja struktuur muutub. Eritüübilised dokumendid (Digi-ID, ID-kaart jt) on LDAPis lihtsamini eristatavad. Süsteemides, mis kasutavad LDAP teenust (näiteks krüpteeritud dokumentide loomisel), on vaja kontrollida LDAP teenuse pöörduspunkti asukohta konfis ja testida, kas LDAPi otsing töötab (spetsifikatsioon on kinnitamisel). LDAPi aadress muutub, uueks aadressiks hakkab olema ldaps://esteid.ldap.sk.ee
  • CRL URL kaob sertifikaatidest ära – peamiselt võib mõjutada neid süsteeme, mis autentimisel kasutavad sertifikaadi kehtivuse kontrolliks tühistusnimekirjasid (CRLe).
 

Milliseid teenuseid muudatused mõjutavad?

Mõjutatud on kõik infosüsteemid, mis toetavad Eestis väljastatavate ID-kaartide elektroonilise osa kasutamist. Peamised funktsionaalsused, mis on muutustest mõjutatud:

  • Kasutajate tuvastamine infosüsteemi sisenemisel (autentimine).
  • Kasutajate tuvastamine Windowsi (domeeni) logimisel.
  • Dokumentide allkirjastamine.
  • Allkirjastatud dokumentide käsitlemine (vaikimisi formaat on asice).
  • Dokumentide krüpteerimine ID-kaardile.
  • ID-kaardi kasutamine kliendikaardina.
 

Milline võib olla muudatuste mõju?

Lähtuvalt konkreetse infosüsteemi pakutavast funktsionaalsusest ning kasutatavatest lahendustest tuleks arvestada võimalike allpool loetletud mõjudega.

Autentimine veebiteenustes

Apache veebiserveri seadistusjuhend ID-kaardiga autentimiseks on saadaval siin.

Autentimine veebiteenustes on lahendatud peamiselt kasutaja veebilehitseja ning veebiteenuse pakkuja veebiserveri vahel SSL/TLS/HTTPS ühenduse loomisega ID-kaardi autentimise sertifikaadi põhjal. Kasutaja sertifikaadi kehtivuse kontrolliks on võimalik kasutada OCSP teenust või CRL nimekirju.

Uue ID-kaardi lisandumisega mõjutavad veebis autentimise teenust järgmised muutused:

  • Kaardi draiverid kõikidel platvormidel. Lisanduvad uue kaardi draiverid.
    • See muudatus on kaetud RIA-poolse tarkvara toega ning EID ökosüsteemi testimise kontekstis võib selle muudatusega seotud riskid lugeda maandatuks.
  • Sertifikaatide kehtivusinfot CRLi kaudu kontrollides pead arvestama, et uue CA ESTEID2018 korral ei ole enam CRL url sertifikaadis kirjas. Uue CA CRLi urli leiad siit.
  • Sertifikaatide kehtivusinfot kontrollides ligipääsupiiranguga SK Kehtivuskinnitusteenusest tuleb arvestada, et ESTEID2018 alt väljastatud sertifikaatide puhul kinnitab ocsp.sk.ee teenuses vastused SK OCSP RESPONDER 2011 sertifikaadiga. SK OCSP RESPONDER 2011 on juba täna kasutuses kõikide teiste sertifikaatide puhul. Täpsem info ligipääsupiiranguga kehtivuskinnitusteenuste kohta on saadaval SK ID Solutions ASi kodulehel.
  • Sertifikaatide kehtivusinfot kontrollides ligipääsupiiranguta AIA-OCSP teenuse kaudu, tuleb kasutada sertifikaadis kirjas olevat AIA-OCSP teenuse urli. Uute kaartide korral on selleks http://aia.sk.ee/esteid2018. Täpsema info sertifikaatide, CRLi ja OCSP profiili ning AIA-OCSP tingimuste kohta leiab SK ID Solutions ASi kodulehelt.
  • Sertifikaatide kehtivuse kontrollist loe ka ptk „Kaardi kehtivuskontroll läbi OCSP“
  • Sertifikaadi SN (SerialNumber) välja formaat muutub (lisandub prefix „PNOEE-„)
    • Võib mõjutada infosüsteeme ning teenuseid, mis kasutavad autentimisel isikukoodi tuvastamiseks sertifikaadi SN (SerialNumber) väljal olevat infot. Muudatus tuleneb standardist: TS 119 412-1 p.5.1.3 http://www.etsi.org/deliver/etsi_ts/119400_119499/11941201/ 

ID-kaardiga autentimine Windowsi domeenides või üksikutesse masinatesse

Väga paljudes ettevõtetes ning asutustes on kasutusel keskselt hallatud arvutivõrgud, kus on realiseeritud kasutajate autentimine ID-kaardi abil. Enamlevinud on Windowsi domeeni logimine või autentimine serverisse üle RDP. Mõlemal puhul kasutatakse kasutaja tuvastamiseks ning kontoga sidumiseks kasutaja autentimise sertifikaati (kaitstud PIN1-ga).

Uue ID-kaardi lisandumisega kaasnevatest muudatustest mõjutavad kasutaja tuvastamist arvutivõrkudes tõenäoliselt järgmised muutused:

  • LDAPi vastuse struktuuri võimalikud muutused.
    • Võib mõjutada süsteeme, kus kasutatakse kasutajate sertifikaatide hankimiseks ning info ajakohastamiseks programselt avalikku LDAP teenust.
  • Sertifikaatide kehtivusinfot CRLi kaudu kontrollides, pead arvestama, et uue CA ESTEID2018 korral ei ole enam CRL url kirjas sertifikaadis. Uue CA CRLi urli leiad siit.
  • Sertifikaadi kehtivuskontroll – vt eelmises punktis ja ptk „Kaardi kehtivuskontroll läbi OCSP“ kirjeldatud sertifikaadi kehtivuskinnituse kontrollimist.
  • Sertifikaadi SN (SerialNumber) välja formaat muutub (lisandub prefix „PNOEE-„).
    • Võib mõjutada süsteeme, mis kasutavad programselt sertifikaadi “Serial no” väljal olevat infot. Muudatus tuleneb standardist: TS 119 412-1 p.5.1.3 http://www.etsi.org/deliver/etsi_ts/119400_119499/11941201/

Krüpteerimislahendused

Eesti ID-kaardi autentimise sertifikaat toetab ka selle kasutamist andmete krüpteerimiseks ning dekrüpteerimiseks. Kuna ID-kaardil olevad sertifikaadid on suhteliselt lühikese kehtivusajaga (5 aastat), siis sertifikaadi kasutus võib olla takistatud ID-kaardi füüsiliste probleemide (riknemine, kadumine) tõttu, seetõttu ei sobi selline andmete krüpteerimise viis pikaajaliseks andmete säilitamiseks. ID-kaardiga krüpteerimise võimaluse peamine kasutusala on andmete konfidentsiaalsuse tagamine nende transpordi ajal (kirjavahetus). Andmete krüpteerimine ID-kaardi sertifikaadile on kasutatav mitmeti – dokumentide krüpteerimine EID töölauarakendust kasutades, infosüsteemist isikule edastatava informatsiooni krüpteerimine, e-kirjavahetuse krüpteerimine meilikliendis.

EID töölauarakendus(t)e krüpteerimise/dekrüpteerimise funktsionaalsuse testimine on kaetud RIA poolt EID komponentide testimise tegevustega ning ei ole käesoleva testimise skoobis.

Oluline on tähelepanu pöörata infosüsteemidele, mis kasutavad turvalisemaks infovahetuseks ID-kaardi omanikega andmete krüpteerimist ID-kaardi sertifikaadile.

Uue ID-kaardi lisandumisega kaasnevatest muudatustest mõjutavad ID-kaardile krüpteerimist tõenäoliselt järgmised:

  • LDAPi aadress muutub ja vastuse struktuuri võimalikud muutused. LDAPi osas on muudatus LDAP serveri aadressis. Uueks aadressiks hakkab olema ldaps://esteid.ldap.sk.ee. Kataloogi serveeritakse üle senisest turvalisema LDAPS (Lightweight Directory Access Protocol (LDAP) over Secure Sockets Layer (SSL) / Transport Layer Security (TLS)) protokolli.
  • Sertifikaadi SN (SerialNumber) välja formaat muutub (lisandub prefix „PNOEE-„).
  • Sertifikaadis oleva meiliaadressi formaat muutub. Uus kuju on „12345678901@eesti.ee“.

Allkirjastamine ning allkirjade kehtivuse kontroll

Eestis on erinevates asutustes ja organisatsioonides kasutusel lokaalsed dokumendihalduse süsteemid, mis toetavad ka digiallkirjastamist ID-kaardi või mobiil-IDga. Osad süsteemid toodavad allkirjastatud dokumente vaid organisatsioonisiseseks tarbimiseks ning need dokumendid ei liigu edasi avalikku eID ökosüsteemi. Teised süsteemid on osa avalikust eID ökosüsteemist: tekitavad ise dokumente, mis lähevad ringlusse teistesse ökosüsteemi kuuluvatesse süsteemidesse ning samas kasutavad sisendina mujal loodud ja allkirjastatud dokumente.

Sellistes avatud süsteemides on oluline tagada ühilduvus teiste eID ökosüsteemi osadega ning varem loodud konteineritega.

Uue tootja ID-kaardi lisandumisel eID ökosüsteemi tuleb digiallkirjastamist kasutavate infosüsteemi haldajatel/arendajatel arvestada järgnevate kaasnevate muudatustega:

  • OCSP – OCSP kohta sertifikaatide kehtivuse kontrollist loe ka ptk „Kaardi kehtivuskontroll läbi OCSP“. Allkirju tehes tuleb aga jälgida lisaks ka tingimust, et ligipääsupiiranguta AIA-OCSP teenust tohib kasutada ainult timestamp (TS) allkirjade tegemiseks. Timemark (TM) allkirjade tegemine selle teenusega ei ole lubatud.
  • Sertifikaadi SN (SerialNumber) välja formaat muutub (lisandub prefix „PNOEE-„).
    • Võib mõjutada infosüsteeme, mis kasutavad isikukoodi infot ning loevad selle välja sertifikaadi “serial no” väljalt.
  • eID tarkvaras vaikimisi ASICE formaadile üleminek - mõjutatud on infosüsteemid, mis kasutavad vanemat Java teeki (Jdigidoc), millel puudub vastava formaadi tugi. 

Kliendikaardilahendused

Infosüsteemid, mis kasutavad ID-kaarti vaid isikuandmete (isikukood) hankimiseks ning kasutaja ei pea ennast tuvastama PIN1 koodi kasutades, võib kokku võtta kliendikaardisüsteemidena. Siia alla kuuluvad nii kaubandusettevõtted, läbipääsusüsteemid kui ka piletisüsteemid.

Isikukoodi hankimiseks ID-kaardilt on mitu moodust: info lugemine isikuandmete failist või vajaliku info lugemine sertifikaadist. 

Uue ID-kaardi lisandumisega kaasnevatest muudatustest mõjutavad ID-kaardi kliendikaardina kasutamist tõenäoliselt järgmised muutused:

  • Muutuvad isikuandmete struktuur ja käsud kaardilt isikuandmete pärimiseks.
    • Mõjutatud on süsteemid, mis kasutavad info hankimiseks ID-kaardil olevat isikuandmete faili.
  • Sertifikaadi SN (SerialNumber) välja formaat muutub (lisandub prefix „PNOEE-„).
    • Mõjutatud võivad olla süsteemid, mis kasutavad isikukoodi hankimiseks sertifikaadi väljal “serial no” olevat isikukoodi infot.
  • Sertifikaadis oleva meiliaadressi formaat muutub. Uus kuju on „​12345678901@eesti.ee​“.
    • Mõjutatud võivad olla süsteemid, mis loevad täiendavalt sisse ka meiliaadressi. 
 

Kuidas saada teada, kas minu süsteem on muudatustest mõjutatud?

Kõige kiirem ja lihtsam on kui:

  • Taotlete uue ID-kaardi testkaardi RIAst, vt siit.
  • Loete läbi testimise juhendmaterjali, mis asub siin.
  • Testimisel tuleb arvestada, et kasutataks testsüsteemi, milles on toetatud testahelad.
  • Loo DigiDoc4 beta tarkvaraga ASICE formaadis testallkirjadega fail ja proovi see üles laadida oma süsteemi sarnaselt muude digitaalselt signeeritud failidega. (Erinevate ümbrikute formaatide kohta on kirjutatud siin).
  • Lisaks soovitame proovida ka mitme allkirjaga BDOC allkirjastamist ja sellise faili allkirjade kehtivuse kontrolli. Fail peaks olema loodud selliselt, et selles oleks nii BDOC-TM (TimeMark) kui ka BDOC-TS (TimeStamp) allkirju.
  • Tutvute muutuste kirjeldusega selles juhendis. 
 

Millal muudatused toimuvad?

Juuni 30.06.2018:​ eID infopäev ja testkaartide jagamisega alustamine.

September:​ Arendajatele suunatud tehniline koolitus.

Oktoobri teine pool: ​eID baastarkvara uue versiooni ja uue kaarditootja draiverite levitamise algus. DD4j teegi reliis.

2018 aasta lõpp:​ Hakatakse väljastama uusi eIDsid.

Jaanuar 2019:​ eID baastarkvara hakkab loodava digitaalselt signeeritud ümbriku formaadina vaikimisi kasutama ASICEd.

 

Füüsilise kaardi muudatused

Olulisemad muutused kaardil (kiip ja kiibile paigaldatud aplikatsioonid):

  • Uus kiip: NXP secure microcontroller SmartMX2 CPU – P60D145. Mälu ROM (kB) 512/586. Rohkem tehnilisi andmeid saab kätte tootja kodulehelt.
  • Kiibil paikneb ID-One™ Cosmo v8.1 platvorm, sertifitseeritud CC EAL5+ tasemel
  • Cosmo vastab uusimatele rahvusvahelistele standarditele:
    • JavaCard™ 3.0.4 Classic Edition
    • Global Platform v2.2.1 (ID Configuration v1.0)
    • ISO/IEC 7816 parts 1, 2, 3, 4, 5, 6, 8 and 9
    • ISO/IEC 14443 Type A
  • ISD (​Issuer Security Domain​) paiknevad IAS-ECC standarditele vastavad autentimise ja allkirjastamise aplikatsioonid. Aplikatsioonid vastavad IAS-ECC standarditele
    • ​CEN/TS 15480-1:2012 Identification card systems - European Citizen Card - Part 1: Physical, electrical and transport protocol characteristics
    • CEN/TS 15480-2:2012 Identification card systems - European Citizen Card - Part 2: Logical data structures and security services
    • ​CEN/TS 15480-3:2014 Identification card systems - European Citizen Card - Part 3: European Citizen Card Interoperability using an application interface
    • CEN/TS 15480-4:2012 Identification card systems - European Citizen Card - Part 4: Recommendations for European Citizen Card issuance, operation and use
    • CEN/TS 15480-5:2013 Identification card systems - European Citizen Card - Part 5: General Introduction
  • Isikuandmete failist andmete välja lugemisega seotud käsud (application protocol data unit - APDU) ja tagastatava info formaat.

Rohkem infot kiibi, aplikatsioonide, APDU näidiste ja kaardile kantud andmete formaadi kohta saab teada siit.

 

RIA rakenduste ja teekide arendused

Tarkvara reliisid on plaanis järgneva kava kohaselt. Plaan on esialgne ja võib muutuda vastavalt vajadustele.

Baastarkvara muutused:

  • Baastarkvara hakkab signeerimist ja dekrüpteerimist tegema üle draiveri.
  • ASICE muutub signeeritud ümbriku loomisel vaikevorminguks.

Veebilehitsejate pistikprogrammid (extensionid):

  • Lisatakse extensionisse uue kaardi ATR tunnus, mille põhjal süsteem oskab pöörduda õige draiveri poole.

Baastarkvara, oktoobri 2018 teine pool:

  • Uue kaardi draiverid
    • Windowsi versioonid: minidriver uue kaardi toega.
    • Ubuntu Linuxi versioonid IDEMIA PKCS11
  • Veebilehitsejate extensionite uuendused
    • IE extension ei muutu
    • Edge – extension ei muutu.
    • Firefox – muutub Linuxi keskkonnas. (Windowsis kasutab minidriverit)
  • Tarkvara komponentide täiendused vastavalt uue eID testijate tagasisidele

Baastarkvara, detsember 2018:

  • Draiverid:
    • OSX: IDEMIA TokenD (Chrome'is ja Safaris autentimine) ja Idemia PKCS11 driver
    • Ubuntu PKCS11 driver.
  • OSX keskkonnas Safari ja Firefoxi tugi.
  • Tarkvara komponentide täiendused vastavalt uue eID kasutajate ja infosüsteemide arendajate tagasisidele.

Teegid, Java teek DD4J, oktoobri teine pool:

  • Jdigidoci restruktureerimine DDOC4J – kaob allkirjastamise funktsionaalsus, parandatakse DDOCi valideerimisega seotud vigu. Valideerimise funktsionaalsus jääb alles. Liides ei muutu.
  • ID-1st tulenevad täiendused (kui peaks vajalik olema).
 

Uue ID-kaardi tunnistamiseks autentimisel veebiserverites

Uue ID-kaardi tunnistamiseks veebiserverites tuleb lisada uue kaardi CA root ja intermediate sert.

  • https://sk.ee/en/repository/certs/
  • https://sk.ee/Repositoorium/SK-sertifikaadid/sertifikaadid-testimiseks

ID-kaardi kasutamine Windowsi domeeni logimisel

Uue ID-kaardi mõjud Windowsi domeeni autentimisele on hetkel veel testimisel.

 

Kaardi kehtivuskontroll läbi OCSP

Ligipääsupiiranguga SK pakutavas kehtivuskinnituse teenuses muudatusi ei ole plaanitud.

Kasutajatele (e-teenuse omanikele) tekib juurde ligipääsupiiranguta AIA-OCSP kasutamise võimalus kehtivuskinnituste saamiseks ehk edaspidi peab kasutaja ise otsustama, kas konkreetse teenuse raames kasutada autentimisel või allkirjastamisel ligipääsupiiranguta AIA-OCSPd või ligipääsupiiranguga OCSP teenust.

AIA-OCSP kasutusele võtmisel tuleb aga arvestada järgmiste muutustega:

  • AIA-OCSPs ei tohiks kasutada nonce väljas BDOC-TM (TimeMark) allkirja jaoks kokkulepitud infot.
  • Teenuse kasutamiseks vajalikud urlid tuleb välja lugeda sertifikaadist.
  • Igal CA ahelal on oma url. Ristkasutus ei ole soovitav (see küll toimib hetkel, kuid ei pruugi nii jääda).

NB! osadel vanadel sertifikaatidel see puudub, sellisel juhul tuleb järgida järgmist listi:

Live ahela teenuse url

Test ahela teenuse url

http://aia.sk.ee/esteid2018

http://aia.demo.sk.ee/esteid2018

http://aia.sk.ee/esteid2011

http://aia.demo.sk.ee/esteid2011

http://aia.sk.ee/eid2011

http://aia.demo.sk.ee/eid2011

http://aia.sk.ee/klass3-2010

http://aia.demo.sk.ee/klass3-2010

http://aia.sk.ee/esteid2015

http://aia.demo.sk.ee/esteid2015

http://aia.sk.ee/eid2016

http://aia.demo.sk.ee/eid2016

http://aia.sk.ee/nq2016

http://aia.demo.sk.ee/nq2016

http://aia.sk.ee/klass3-2016

http://aia.demo.sk.ee/klass3-2016

Ligipääsupiiranguta AIA-OCSP päringu allkirjastamisel kasutatavad sertifikaadid on lühiajalised (1 kuu).


KÜSI ABI

Kui sa ei leidnud oma küsimusele vastust, kirjuta meie meeskonnale.



  • Vaata juhendit
  • Hinda oma arvutikasutusoskust, et saaksime anda paremaid juhiseid

         

  • Kontroll ebaõnnestus

Kuidas saame artiklit parandada, et sellest rohkem abi oleks?
Saada Sulge