"Kuidas töötab ID kaart ja kuidas turvatakse temaga Internetis tehtavaid operatsioone."

Sihtrühm

Kõige kasulikum on see teema veebiarendajatele, kes tahavad oma tooteid ja teenuseid kõrgemale tasemele viia. Samas sobib see teema lugemiseks ka lihtsalt tehnoloogiahuvilistele inimestele. Kas või puhtalt uudishimu tõttu, et kuidas turvatakse näiteks igapäevastel pangatehingutel isiku- ja finantsandmeid.

Probleem

ID-kaart kui kohustuslik dokument ei võta rahakoti vahel palju ruumi. Samas pakub see innovaatiline kiipkaart üllatavalt palju kasulikke teenuseid ja võimalusi. Hetke seisuga on umbes 40 avalikkusele kättesaadavat veebiteenust. [1] Peamine probleem on see, et inimesed kas ei julge või ei taha ID-kaarti pruukida, sest aktiivseid kasutajad on eelmise aasta seisuga ainult 11%. [2]

Sisu

Mis on ja kuidas töötab ID kaart?

Mis on ID kaart?

ID kaart on Eestis igale kodanikule kohustuslik [3] krediitkaardi mõõtmetega isikut tõendav dokument. Kaardid valmistatakse Šveitsi firmas Trüb AG, kuid isikuandmed trükitakse kaardile Eestis. Kaart on varustatud erinevate turvaelementidega [4]. Lisaks pakub ta hulgaliselt igapäevatoiminguid lihtsustavaid teenuseid.

Kuidas ta töötab?

Kaarti saab kasutada peamiselt kahel erineval viisil: visuaalne ja digitaalne isikutuvastus. Viimase jaoks on kaardis sisalduv informatsioon salvestatud selle kiipi. Erinevate toimingute sooritamiseks on vajalik kaardilugeja olemasolu ning vabalt allalaetav tarkvara [5], mille kaudu andmeid erinevatele rakendustele edastada saab. Et vältida väärkasutamist, kui kaart on omanikult võõrandatud, käib iga kaardiga kaasas kaks PIN-koodi ja PUK-kood, mis on vajalikud, enese tuvastamiseks kui kaardiomanik. Turvaümbrikus koodid väljastatakse pangakontorist. Enamasti on veebilehtedel ID kaardi kasutamine võimalikult lihtsaks tehtud ning peaks olema jõukohane ka algajatele arvutikasutajatele.

Funktsionaalsus

ID-kaardil on kolm peamist kasutusvaldkonda: isikute autentimine, dokumentide digiallkirjastamine ja nende krüpteerimine. Kuna antud referaadi teema puudutab veebiteenuste turvamist, siis pööraks tähelepanu autentimisele. Lisaks saab oma ID-kaardiga siduda mobiil-ID, mis teeb enda tuvastamise veelgi lihtsamaks ja kasutajasõbralikumaks.

Kuidas turvatakse netitehinguid?

ID-kaart

Frontend

Enamasti on ID-kaardiga isiku tuvastamine lõppkasutajale võimalikult lihtsaks tehtud. Piisab ainult vajaliku tarkvara installeerimisest, ja kaardilugejast. Muidugi oleks vaja ka ID-kaarti ennast ja selle PIN koode.

Üljoontes näeb protsess välja järgmine:

  1. Kasutaja sisestab kaardi lugejasse ja
  2. klikib nupul "Logi sisse ID-kaardiga".
  3. Sisestades korrektse PIN koodi
  4. on ta mõne hetke pärast sisse logitud.

Alates nüüdsest saab kasutaja toimetada süsteemis.

Backend

Backend ehk teenuse taga peituv tehniline lahendus on see-eest natuke keerulisem kui see, mis välja paistab. Teenuste kasutamiseks on vaja selleks spetsiaalselt konfigureeritud veebiserverit. Hetkel on tugi olemas kahele enimlevinud serveritarkvarale: Apache ja IIS [6]. Kuna ID kaardi kasutamise juurutamine on ka riigi huvides, leiab internetist teenuste tööle saamiseks ammendavalt materjali [7]. Kõik toimingud, käivad üle HTTPS protokolli. See on elementaarne teenuse turvalisuse saavutamiseks. See on loomu poolest tavaline HTTP (HyperText Transport Protocol) protokoll, kuid see toimub üle SSLi (Secure Socket Layer). See väljundub selles, et sõnumi sisu on krüpteeritud vastava sessiooni transpordivõtmega.

Üldine toimingute jada on järgnev:

  1. Ettevalmistus sessiooni loomiseks. Klient ja server vahetavad hulk sõnumeid, leppides kokku kasutatavas protokollis, variandis, transpodivõtmes ja teistes tehnilistes parameetrites. seda etappi nimetatakse ka SSL handshake'iks
  2. Järgnevalt saadab server kliendile oma sertifikaadi, et enda kohta info avaldada ja selle õigsust kinnitada. Eesmärgiks on kasutajale tada anda, mis serveriga järgnevalt ühendust võetakse.
  3. Kasutaja on valiku ees, kas usaldada antud sertifikaati. Aksepteerides saab side liikuda järgmise etapi juurde, keeldudes lõpetatakse sessioon.
  4. Server võib omakorda küsida kasutajalt sertifikaati (ehk siis ID-kaardilt andmeid), et kontrollida kliendi kuulumist mingisse organisatsiooni jms.
  5. Seejärel pakub server kliendile mitmeid erinevaid krüptoalgoritmi versioone. Kuigi nad erinevad, on kõigil ühiseks omaduseks asümmeetrilise (näiteks RSA, DEA jt.) ning sümmeetrilise (näiteks RC4, IDEA jt.) algoritmi olemasolu.
  6. Versioon valitud, vahetatakse asümmeetrilise algoritmi abil omavahel genereeritud sümmeetrilise algoritmi transpordivõti, mida kasutatakse andmevahetuse krüpimiseks.
  7. Seejärel kontrollitakse serveris sertifikaatide tühistusnimekirja. Kui kliendi sertifikaat veel kehtib, ja räside genereerimine õnnestus, võib isiku tuvastatuks lugeda.

Sellega on Sertifikaatide info vahetatud ja inimene tuvastatud. Edasine sõltub juba konkreetse tarkvara seadistustest ja sessioonihaldusest.

Andmevahetust selgitav skeem:

Backend illustratsioon
ID-kaardi autentimise backend



mobiil-ID

Mobiil-ID tuvastamine erineb tavalisest ID-kaardi autentimisest. See on mugav asendus tavalisele lahendusele, kuna sellega ei kaasne kaardilugeja arvuti külge ühendamist. Kui oma mobiil-ID siduda isikusertifikaadiga mõnes AIP arvutis, et pea ka mingit tarkvara enda arvutisse installima. Järgnevalt on tehniline ülevaade, kuidas mobiil-ID autentimine lahendatud on.

  1. Kasutaja sisestab süsteemi, kuhu soovib siseneda (teenuse pakkuja), enda telefoninumbri või kasutajatunnuse. Teenuse pakkuja edastab DigiDocService-le autenditava isiku isikukoodi (juhul kui kasutaja sisestas kasutajatunnuse) ja/või telefoni numbri.
  2. DigiDocService kontrollib OCSP kehtivuskinnituse teenust kasutades, kas autenditava isiku Mobiil-ID isikutuvastuse sertifikaat kehtib.
  3. DigiDocService saab kehtivuskinnituse teenuselt sertifikaadi kehtivuse info.
    1. Juhul kui kasutaja sertifikaat kehtib, tagastab DigiDocService teenusepakkujale kontrollkoodi ja kasutaja info (nimi, isikukood), vastasel korral veakoodi ja isikutuvastuse protsess katkeb. NB! Kasutaja info saamise järgselt ei ole isik veel tuvastatud, isiku tuvastamiseks tuleb teha täiendav autentimise staatuse päring.
    2. DigiDocService saadab mobiiloperaatorile isikutuvastuse päringu.
    1. Teenusepakkuja kuvab kasutajale autentimispäringu kontrollkoodi.
    2. Mobiiloperaator edastab isikutuvastuse päringu.
    1. Teenusepakkuja küsib DigiDocServicelt autentimispäringu staatust. Staatuse küsimisel on võimalik määrata, et teenus ei annaks vastust enne kui telefonilt on saabunud teenusesse saabunud tekkinud signatuur (ülaltoodud joonisel kasutatakse just seda varianti). Kui mingi põhjusel ei ole võimalik pikalt vastust ootavate autenimispäringute kasutamine, võib staatusepäringule monentaalselt vastamist nõuda ja hiljem päringut korrata.
    2. Kasutaja näeb telefonil teadet, et teenusepakkujalt on tulnud isikutuvastuse päring. Kontrollib, et kuvatav kontrollkood oleks sama, mis teenusepakkuja talle (veebi) rakenduses kuvab ja nõustub sisenemisega.
  4. Kasutaja sisestab Mobiil-ID PIN1 ja mobiiloperaatorile saadetakse tekkinud signatuur
  5. Mobiiloperaator edastab telefonilt saabunud signatuuri DigiDocServicele
  6. DigiDocService vastab sammus 6.1 saabunud autentimispäringule teatades, et isik on tuvastatud. [8]



mobiil-ID loogika
mobiil-ID autentimise algoritm




Kasutatud kirjandus

  1. ID.ee
  2. Äripäev
  3. Kodakondsus- ja migratsiooniamet
  4. Pass.ee
  5. ID.ee
  6. ID.ee
  7. Google
  8. ID.ee

Soovitatav kirjandus

edit