[Tanel]

Riigi Infosüsteemi Amet (RIA) annab teada, et sel suvel leiavad internetisirvikute valdkonnas järjestikku aset kaks teineteisest sõltumatut tehnoloogiauuendust, millel on oluline mõju Eesti e-teenuste kättesaadavusele.

Üksteise järel teevad oma toodetes olulisi muudatusi Microsoft ja Google. Microsoft toob turule täiesti uue operatsioonisüsteemi Windows 10, mille põhisirvikul Edge puudub seni Eesti ID-kaardi tugi. Google lõpetab järgmise versiooniuuendusega ülemineku sirvikupluginate järgmisele põlvkonnale, mis aga võib paljudes e-teenustes katki teha ID kaardiga allkirjastamise.

Allpool on esitatud eelinfo, mis võimaldab teie asutusel end varakult kurssi viia aset leidvate oluliste muudatustega, planeerida suvel aset leidvatele muutustele asjakohast tuge ning õigesti hallata oma teenuseriske.

Lisaks käsitleme turvaküsimusi seoses krüptograafilise primitiivi SHA-1 käibelt väljaviimisega.

* * *


Windows 10 vaikebrauser Edge ei toeta ID-kaarti

Eeldatavalt 29. juulil teeb Microsoft avalikuks oma uusima operatsioonisüsteemi - Windows 10. Eesti elanike vanaldase riistvara tõttu ennustame sellele tootele väga suurt populaarsust, kuivõrd Windows 7/8 pealt saab Windows 10 peale uuenduda tasuta (isikuandmete loovutamise ja MS Insaideriks registreerumise hinnaga).

Ühtlasi paketeeritakse Windows 10 vaikimisi brauseriks mitte enam Internet Explorer, vaid uus väljatöötlus nimega Edge (vana nimega Spartan).

Probleem
Windows põhibrauser Edge on sedavõrd uus, et kiipkaardi tuge talle alles arendatakse. Lääneriikides tarvitavad kiipkaarti põhiliselt sõjaväelased ja riigiasutused. Olukord, kus igal kodanikul on taskus kiipkaart, on väljaspool Eestit tundmatu. Windows 10 praegune siht on just nimelt kodukasutajad, seega suures plaanis on kõik õige ja korras.

Ajaks, mil Windows 10 saab sedavõrd küpseks, et ka asutused ja firmad teda pruukima hakkavad (reeglina 6 kuud kuni aasta hiljem), teeb Microsoft kindlasti valmis ka kiipkaardi toe.

Konkreetselt, Windows 10 beetaversioonis build 10130, mis üllitati 2015-05-29, ei toeta sirvik Edge ei (ID-kaardiga) autentimist ega allkirjastamist. Ühtlasi ka hea uudis: DigiDoc klient jääb kenasti tööle.

Eesti olukorras tähendab see aga järgmist:

1) End kiirelt Win 10 peale uuendanud entusiastid on kurvad, et ID-kaart koos Edge-sirvikuga ei tööta;
2) Kuigi IE sirvik on kusagil menüüde sügavustes alles ja täiesti töökõlbulik, ei pruugi kasutajad seda arvutist üles leida.

Lahendus

Teenusepakkujatel asutustel ja firmadel tuleb valmis olla HelpDeski kontaktide mitmekordseks kasvuks perioodil, kui enamik kodukasutajaid uuendavad oma Windows 7/8 uuele operatsioonisüsteemile. Tuleb valmis olla kahe üksteisest erineva olukorra toetamiseks:

a) selgitada arvukatele hädalistele, et tegemist polegi kellegi vea või pahatahtlikkusega. Tegu on Eesti väiksusest ja e-eesrindlikkusest paratamatult tuleneva ajutise murega - selle maailma vägevatel ei lasu kohustust ühe erilise väikeriigiga arvestada;

b) selgitada kasutajatele, et IE on endiselt töövõimeline ning anda detailseid juhtnööre, kust menüüst teda leida.

RIA ja SK on astunud mitmeid samme, kiirendamaks Edge sirviku integreerimist meie tavapärasesse e-keskkonda.


* * *



Muudatused Chrome sirvikus sunnivad muutma serverite tarkvara

Eeldatavalt 15. augustil uuendab Google oma Chrome internetisirviku (brauseri) versioonile 45. Chrome uuendus toob Eestis kaasa vajaduse uuendada ka digiallkirjastamiseks kasutatavat tarkvara (kuuekohaline kasutajahulk) ning teha muudatusi allkirjastamist pakkuvates e-teenustes (kümneid või isegi sadu teenuseid).

Klienditarkvara uuendamise eest hoolitsevad RIA ning SK, kuid serveri poolel tuleb muudatus teha/tellida igal e-teenuse omanikul iseseisvalt.

Kas Sinu asutuse/firma poolt pakutav e-teenus pruugib ID kaardiga allkirjastamist? (NB! jutt käib nii väljapoole pakutavatest kui sisekasutuseks mõeldud teenustest!)

Kui JAH, siis on päramine aeg uuendada serveris vahekihti (teeki), mille abil e-teenus Chrome brauseritega suhtleb. Vastasel juhul, alates 15. augustist ei suuda Chrome brauser enam e-teenusega korrektselt suhelda (ID-kaardiga allkirjastamine läheb katki). Chrome brauseri turuosa Eestis on hetkel umbes 50%.

RIA on e-teenuse osutajatele ette valmistanud uue vabavaralise teegi, mille nimi on hwcrypto.js. Mistahes vana teeki ka kasutati (standardset või kodukootut), siis nüüd tuleb see asendada.

Teek on saadaval siit: https://github.com/open-eid/hwcrypto.js/

Juhul kui teie server kasutab allkirjastamiseks mõnda kodukootud lahendust, siis ei pruugi lihtne asendus sobida - olukorda tuleb lähemalt uurida ning ette valmistada rätsepalahendus. Igal juhul tähendab serveri poolel tehtav uuendus planeerimist ning mõningast kulu.

Ühtlasi tuleb valmistuda olukorraks, kus 15. augusti järel HelpDeski koormus järsult tõuseb (näiteks kahe-kolmekordseks) ning planeerida ressurss Chrome sirvikuga hädas olevate klientide abistamiseks. Tuleks kaaluda kliendile asjaliku veateate väljastamist olukorras, kus emb-kumb (kas teenus või sirvik) ei ole ajakohane, samuti soovituste andmist alternatiivseks tegutsemiseks (IE, Safari, m-ID).


Viited:

1. Mis üldse toimub: RIA blogi: https://blog.ria.ee/chromeis-id-kaardiga-allkirjastamine-laheb-korraks-katki/
2. Eestikeelsed õppematerjalid: https://www.ria.ee/digitaalallkirjastamise-muudatused-veebilehitsejas-chrome/?op=training_detailview
3. muldvana (1995) NP-API: http://en.wikipedia.org/wiki/NPAPI
4. Mis on Native Messaging: http://www.eweek.com/developer/google-chrome-browser-adds-new-native-messaging-api-for-developers.html
5. Teek allalaadimiseks: https://github.com/open-eid/hwcrypto.js/
6. Abivahend teenuse testimiseks sirvikust: https://open-eid.github.io/hwcrypto.js/sign.html


* * *

Lisainfo - SHA-1 käibelt väljaviimine

NB! Kas teie asutus on juba käibelt kõrvaldanud SHA-1 kui ebaturvalise krüptograafilise primitiivi? Kui ei, siis alates Chrome versioon 42'st väljastab kasutajale kurje teateid, et teie suurepärane e-teenus on kahtlane ning ebaturvaline ning tegelikult võib aset leida hoopis e-kuritegevus. Mainekao vältimiseks soovitame oma e-teenusele tellida ja paigalda uued, turvalised sertifikaadid.

7. Miks SHA-1 on ebaturvaline: https://www.ria.ee/public/PKI/kruptograafiliste_algoritmide_elutsukli_uuring_II.pdf , lk 21

[Laizk]

kas pisipehme EDGE ei toeta mobiil-id
lahendustes pole seda välja pakutud vaid Chrome kasutajatele on eraldi väljatoodud see võimalus ...

[mikk36]

Laizk, Mobiil-ID toetamiseks ei ole mingit erilist tuge vaja, see töötab praktiliselt iga brauseriga.

[Tanel]

Hakkab jälle pihta

[UB]

Sults, Kohe kui tood mulle näite, et digiallkirja saab võltsida, ma usun ka Sind! Praegu meenutad sa oma hämamisega ühte Sultsi Keskerakonnast ning nende jutt on poliitiline ning ilma tõestuseta liigitan ma Sinu jutu ka sinna!

[WäntWõll]

[kalvis]

[Tanel]

kalvis, paluks konkreetseid linke.
See jutt krüpto nõrkuse kohta võis käia vanemate, 1024-bit võtmetega ID-kaartide kohta, mida RIA soovitabki välja vahetada.
Praegu käibel olevad 2048-bit võtmetega ID-kaardid on OK.

https://foorum.hinnavaatlus.ee/viewtopic.php?t=646881

[pacho]

Tanel, millal HinnaVaatlusele HTTPS tuleb?

Ma eriti ID kaarti ei kasuta. Ma ei kahtlusta turvalisuse puudust, lihtsalt pole mida sellega teha. Paljud potentsiaalselt kasulikud funktsioonid on liigselt keerulised või ebapraktilised. Näiteks e-posti E2EE.

[Tanel]

[Sults]

[pacho]

Spoiler

[Tanel]

Ja ID kaardi 2048-bit krüpto sellega seotud?

[pacho]

[Sults]

Minul pole midagi ID-kaardi vastu. Mina nurisen selle pärast, et kasutajaid ei informeerita adekvaatselt võimalikest ohtudest, samas seda kaarti kohustuslikus korras peale surudes ka neile, kes seda reaalselt ei vaja ega oska seda kasutada ega selle kaardi olemasoluga seotud riske ette näha. Riigipoolne ID-kaardiga avalikkusele suunatud info on olnud vaid seda kaarti massidesse suruv propaganda. Riskidest rääkivad harvad artiklid on kusagil nurgatagustes kohtades, kust vaid spetsialistid oskavad otsida või tavameedias vaid läbi lillede ohte mainides. Põhiline turvainfo, mis massidele on suunatud, on piirdunud sellega, et ärge kirjutage pin koode kaardile. Käisin kunagi pulli pärast ka Vaata Maailma arvutikoolitusel ja ka seal ei mainitud kohale tulnud pensionäridele ohtudest mitte midagi, ainult roosat üliturvalisuse juttu aeti.

[DoS]

[pacho]

[DoS]

[pacho]

[DoS]

[pacho]

See spetsifikatsioon näeb valja nagu oleks kommitee kirjutatud.

Colin Percival andis 2009 soovitused süsteemide turvamiseks. Juba siis soovitas ta kasutada SHA256'te, RSASSA-PSS'i ja 2048 bitist võtit. Ja selleks hetkeks oli sellest juba aastaid räägitud. Tema loengutega sai teema natuke suuremat kõlapinda.

EDIT:
See mis me siin turvalisuse kohta ráákisime on tegelikult móttetu.
Ma láksin eile prúgi ára viskama ja prúgikastis vedeles kóvaketas. Millegipárast tuli siinne teema meelde ja haarasin kaasa. Kes see inimene ikka tóókorras ketta avalikku kohta játab. Vóib-olla huvitav andmete taastamise projekt.
Ketas tóótas ja seal vaatas vastu Windows XP paigaldus, rakendustarkvara ja isiklikud failid.
Kiire otsingu tulemusel selgus, et ketta peal on lisaks isiklikule kraamile ka váikefirma raamatupidamine. Omaniku kiituseks, kettal puudusid tekstiotsinguga leitavad salasónad.
Kúll on olemas brauseri salvestatud ja loomulikult Windowsi omad.
Windowsi oma kattus omaniku eesnimega ja suure osa brauseri salvestatutega. Tóókorda ei hakka proovima. Mulle vangla atmosfáár eriti ei istuks.

Spoiler

Spoiler

Saatsin ka omanikule kirja.
Mis on siis loo moraal. Kui kasutaja ei hooli elementaarsest turvalisusest, siis on kóik muu akadeemiline arutelu.

Selle postiga láks kauem aega kui salasónade káttesaamisega

[indrpo]

Ok, turvalisus turvalisuseks.
Eile oli naabrimees hädas, ei saanud ühegi brauseriga oma ettevõtte aasta aruannet kinnitatud.
Vaatamata sellele, et olin talle arvutisse paigaldanud uusima ID kaardi tarkvara, IE, Firefoxi ja Chrome, ei toiminud ühegagi dokumenidi allkirjastamine. Õigemini toimis Firefoxiga kuid millegi pärast oli sellega jällegi lehele sisselogimine võimatu.

Ehk siis aitas ainult:
IEga sisse logida:
http://www.rik.ee/et/ettevotjaportaal/majandusaasta-aruanne
kuni sinnamaani kus on aastaaruande allkirjastamine, siis copy paste kogu link Firefoxi ja allkirjasta.

Ise imestasin kuidas see üldse võimalik on, et ühe brauseriga login sisse ja võtan teise brauseriga üle ja allkirjastan, kuid vaid nii see toimis tol hetkel.