[Tanel]

link :: ETV24


Seoses AS Sertifitseerimiskeskuse (SK) plaaniliste hooldustöödega esineb ööl vastu pühapäeva katkestusi SK teenustes. 16. detsembril kell 00:00 - 06:00 võib olla häiritud ID-kaartide ja Mobiil-ID kasutamine e-teenustesse sisenemisel ja digitaalallkirjastamisel ning ID-kaartide sertifikaatide uuendamine, teatas SK. Ühtlasi ei pruugi antud ajavahemikul olla võimalik ID-piletite ostmine elektroonilistest kanalitest. Hooldustööd on vajalikud seoses ID-kaardi elektroonilise kasutatavuse suurenemisega.

[Sults]

[Tanel]

Sults, milleks selline mürgisus?
Tänasel CERT teabepäeval käisid? Vist mitte.

Elektrooniliselt kasutab ID-kaarti ca 1/10, ehk miljonist ca 100 000.
Aasta 2009 lõpuks on "Vaata Maailma" sihiks tõsta ID-kaardiga autentijate arvu 400 000-ni, arusaadav ju, et süsteemid (serverid või tarkvara) vajavad ka uuendust. Reklaamikampaaniatega alustatakse järgmise aasta alguses.
Ellu viiakse ka üks hea idee (ka minu mõttes oli see juba mitu kuud), et "Vaata Maailma" poolt finantseeritakse arvutispetsialisti külastust tädi Maali juurde, vajadusel, et ID-kaardi installeerimisel või kasutamisel on abi tarvis .
Ühtlasi õpetatakse turvalist arvuti kasutamist jne.

[Sults]

[Tanel]

[xda]

ID kaart EI OLE turvaline. Turvalisuse tasemed on ka väga erinevad, kuid ikkagi ID kaardi kasutamine pole turvaline. Kõike mida me oma arvutiklaviatuuril toksime on võimalk ka salvestada. Tulevikus on kindlasti kohtukeisse kus ID kaardi omanik väidab, et tema ei ole kuhugi oma digiallkirja andnud. See, et siiamaani pole miskit sellesarnast asja juhtunud on see, et asi on vähe levinud. Me võime teha super-hüper turva värgi, kuid inimese ja klaviatuuri vahele jääb ikkagi kõige nõrgem lüli.

[Chino]

[xda]

Mis mõttes? Vahet pole kuhu ID kaart jääb. Oluline on see, et pahalane saab klaviatuurisisestusi salvestada. Sellest piisab, et saada teada sinu allkirjaõiguse salasõna. Hehe, tundub, et inimestele on tekkinud mulje nagu ID kaardiga allkirja andmine oleks võltsimiskindel Tegelikult see aga nii pole. Turvalisust on täpselt niipalju kuipalju on turvalised klahvivajutused.

[Chino]

Salasõnast on vähe, kaarti ennast on ka ikka kurjamil vaja, ja seda kopeerida on juba üsna keerukas.

[xda]

Jah, täpselt! Esimest korda ID kaardiga allkirja andes ilmselt ei juhtu midagi. Aga järgnevatel kordadel pole see siiski 100% turvaline. Võltsitakse kodulehti (DNS nimeserveriteni välja), suunatakse näiliselt turvaliselt sertifitseeritud kodulehtedele jne.

[Chino]

ooda mismõttes? ma nüüd täpselt teooriat ei mäleta, ots kindlasti rääkis, aga meil on olemas eraldi koodikeskus, kes enne ikka sadatuhat korda veendub, et kaart on autentne ja seejärel edastab selle info müüjale. Sellesmõttes, et see kodeering/dekodeering mis seal kaarti seel toimub on ikka väga unikaalne, võimalus et kodeerimis keskus sama koodi kaks korda küsib on põhimst olematu. See on umbes samahea et su paberallkiri pole ka 100% turvaline, keegi võib ju sind püstoliga ähvardada ja sellega sundida. Ainus võimalus võltsida on kui keegi varastab su kaarti ja saab pini, aga no seda küll enam tuvalisuse peale ei saa ajada, see on juba oma keiss.

[HA]

xda, on sul mõni parem lahendus välja pakkuda?...ID-kaart on ikkagi oluliselt turvalisem kui lihtsalt mingi parool

[xda]

Jah, sertfitseerimiskeskus veendub ID kaardi õigsuses. Täpselt nii. Pettus saabki toimuda nii, et kaardilugejas on ikkagi õige ID kaart, kuid see millele allkirja antakse, see ei pruugi enam õige olla Ehk siis jäädakse ootama kunas kasutaja järgmist allkirjastamistoimingut teeb.
To: HA... No elektoonilisest seisukohast pole paremat välja pakkuda jah:(

[Chino]

no sama hästi võid sa paberi viimasel hetkel ära vahetada, see et tõesti DNS nimekirjad oleks täpsed, selle eest vastutavad ka teatud organisatsioonid, sest ega sertifitseerimis keskus läbi sinu ei edasta oma andmeid vaid ikka otse. Siis peavad nii sina, kui keskus sama vale dokumendi/saidi otsa komistama.

[xda]

[Chino]

Ma arvan ka et sertifitseerimiskeskusel on omad nimekirjad ja et seal muuta seda peab ma arvan päris kõva kadalipu läbima.
EDIT: Küsi Taneli käest - HinnaVaatlus vahetas just teenuse pakkujat, seega ka IP vast muutus, et kas ja kuidas sertifitseerimiskeskusele sellest teada anti.

[xda]

No elame-näeme. Usun et näeme selliseid situatsioone, kus elektroonilise allkirjaõigusega isik väidab et tema pole allkirja andnud.
Pakun, et Tanel ei andnud miskit sertifitseerimiskeskusele teada

[Sults]

[DigeBeni]

... kui kõigesse uude pidevalt nii negatiivselt suhtuda, siis ilmselt liiguks maailm asjad üsna vähe edasi. Olenemata riskidest on siiski ID kaart märksa turvalisem, kui varasem koodikaardisüsteem ehk edasiminek on märgatav. Igasuguseid süsteeme annab kuritarvitada, kui olemas motivatsioon, piisavalt raha ja aega käes, seega tuleb turvasüsteemides toetuda just sellistele lahendustele, mis on kõige vähem tõenäolisemalt kuritarvitatavad. ID kaardi kuritarvitamine nö. otsemurdmise teel on tehtud piisavalt keeruliseks, et selleks peab olema ikka VÄGA mõjuv põhjus, et seda üldsa kaaluda. Reeglina ei murtagi neid võtmed, paroole ja muid turvametmeid otse vaid otsitakse nõrku kohti, mis ei ole tavaliselt üldse otseselt selle uudse turvalisusega seotud. Olgem ausad, nõrgim koht on ikka nende turvameetmete kasutaja ehk inimene ise, kes lihtsalt ei pea kinni elementaarse turvalisuse reeglitest ja võimaldavad seega kurikaeltel oma identiteedi varguse. Pahatihti kasutatakse üliturvalisi vahendeid ära väga algelisel moel n. pildiga dokumenti esitab vale inimene ja seda asjaolu kontrolliv inimene ei suuda seda märgata. Seega, eks see ole igaühe vaba valik, kuidas endale maailma turvalisus mudelit ette kujutada meeldib, kuid IMHO pidev vastu voolu ujumine kah mingit tulu ei too ja mõnel juhul ilmselt kahjustab inimese ühiskondlikku toimetuleku taset rohkem, kui võimalik identiteedi kuritarvitamine ...

[Sults]

[Tanel]

[DigeBeni]

Sults, ja kuidas sa kujutad ette uute lahenduste populariseerimist vabatahtlikuse printsiibil ? Inimene ongi ju oma loomuselt laisk ja kui ta on saanud pikka aega mingil viisil hakkama ja teda ei sunnita oma harjumusi muutma, siis laseb ta reeglina samas vaimus edasi. ID kaardi massidesse surumise ja turvalisuse languse vahel näen ma vaid nii palju paralleeli, et mida rohkem seda kasutab, seda suurem võimalus, et leidub mõni loll, kes laseb endale koti pähe tõmmata. Muus osa ei näe ma midagi negatiivset, mis oleks just spetsiifiliselt ID kaardiga kaasnev probleem. Pigem on ID kaardi kasutusele võtust kasu igasugu bürokraatia vähendamisel. Mida aega edasi, seda rohkem saavad inimesed teha igasugu tehinguid, toiminguid vms. kodust lahkumata, paberit ja kellegi tööaega kulutamata ehk väga palju ressurssi hoitakse tänu ID kaardile kokku ja see pole sugugi asjaolu, mida võiks kahesilma vahele jätta !

... see, kuidas ID kaart ilmavalgust nägi on tüüpiline riigiasjade käik, paljudes valdkondades susserdab riik ikka päris mehemoodi, kuid see iseenesest ei muuda ID kaardi olemust ja sellest tulenevat kasutegurit olematuks ...

[Sults]

[Tanel]

[Tanel]

Sults, eilne CERT teabepäev oleks sulle üldiselt ära kulunud.

Mis puudutab autentimist koodikaartidega, siis ühes kohas juba mainisin, et seda ebaturvalist autentimisviisi üritatakse kärpida järgmisel aastal veelgi, vähendades ülekande limiiti. Turvalisemad käepärased ja odavad autentimisviisid on ID-kaart ja PIN kalkulaator.