[Tanel]

link :: ETV24


Seoses AS Sertifitseerimiskeskuse (SK) plaaniliste hooldustöödega esineb ööl vastu pühapäeva katkestusi SK teenustes. 16. detsembril kell 00:00 - 06:00 võib olla häiritud ID-kaartide ja Mobiil-ID kasutamine e-teenustesse sisenemisel ja digitaalallkirjastamisel ning ID-kaartide sertifikaatide uuendamine, teatas SK. Ühtlasi ei pruugi antud ajavahemikul olla võimalik ID-piletite ostmine elektroonilistest kanalitest. Hooldustööd on vajalikud seoses ID-kaardi elektroonilise kasutatavuse suurenemisega.

[Sults]

[Tanel]

Sults, milleks selline mürgisus?
Tänasel CERT teabepäeval käisid? Vist mitte.

Elektrooniliselt kasutab ID-kaarti ca 1/10, ehk miljonist ca 100 000.
Aasta 2009 lõpuks on "Vaata Maailma" sihiks tõsta ID-kaardiga autentijate arvu 400 000-ni, arusaadav ju, et süsteemid (serverid või tarkvara) vajavad ka uuendust. Reklaamikampaaniatega alustatakse järgmise aasta alguses.
Ellu viiakse ka üks hea idee (ka minu mõttes oli see juba mitu kuud), et "Vaata Maailma" poolt finantseeritakse arvutispetsialisti külastust tädi Maali juurde, vajadusel, et ID-kaardi installeerimisel või kasutamisel on abi tarvis .
Ühtlasi õpetatakse turvalist arvuti kasutamist jne.

[Sults]

[Tanel]

[xda]

ID kaart EI OLE turvaline. Turvalisuse tasemed on ka väga erinevad, kuid ikkagi ID kaardi kasutamine pole turvaline. Kõike mida me oma arvutiklaviatuuril toksime on võimalk ka salvestada. Tulevikus on kindlasti kohtukeisse kus ID kaardi omanik väidab, et tema ei ole kuhugi oma digiallkirja andnud. See, et siiamaani pole miskit sellesarnast asja juhtunud on see, et asi on vähe levinud. Me võime teha super-hüper turva värgi, kuid inimese ja klaviatuuri vahele jääb ikkagi kõige nõrgem lüli.

[Chino]

[xda]

Mis mõttes? Vahet pole kuhu ID kaart jääb. Oluline on see, et pahalane saab klaviatuurisisestusi salvestada. Sellest piisab, et saada teada sinu allkirjaõiguse salasõna. Hehe, tundub, et inimestele on tekkinud mulje nagu ID kaardiga allkirja andmine oleks võltsimiskindel Tegelikult see aga nii pole. Turvalisust on täpselt niipalju kuipalju on turvalised klahvivajutused.

[Chino]

Salasõnast on vähe, kaarti ennast on ka ikka kurjamil vaja, ja seda kopeerida on juba üsna keerukas.

[xda]

Jah, täpselt! Esimest korda ID kaardiga allkirja andes ilmselt ei juhtu midagi. Aga järgnevatel kordadel pole see siiski 100% turvaline. Võltsitakse kodulehti (DNS nimeserveriteni välja), suunatakse näiliselt turvaliselt sertifitseeritud kodulehtedele jne.

[Chino]

ooda mismõttes? ma nüüd täpselt teooriat ei mäleta, ots kindlasti rääkis, aga meil on olemas eraldi koodikeskus, kes enne ikka sadatuhat korda veendub, et kaart on autentne ja seejärel edastab selle info müüjale. Sellesmõttes, et see kodeering/dekodeering mis seal kaarti seel toimub on ikka väga unikaalne, võimalus et kodeerimis keskus sama koodi kaks korda küsib on põhimst olematu. See on umbes samahea et su paberallkiri pole ka 100% turvaline, keegi võib ju sind püstoliga ähvardada ja sellega sundida. Ainus võimalus võltsida on kui keegi varastab su kaarti ja saab pini, aga no seda küll enam tuvalisuse peale ei saa ajada, see on juba oma keiss.

[HA]

xda, on sul mõni parem lahendus välja pakkuda?...ID-kaart on ikkagi oluliselt turvalisem kui lihtsalt mingi parool

[xda]

Jah, sertfitseerimiskeskus veendub ID kaardi õigsuses. Täpselt nii. Pettus saabki toimuda nii, et kaardilugejas on ikkagi õige ID kaart, kuid see millele allkirja antakse, see ei pruugi enam õige olla Ehk siis jäädakse ootama kunas kasutaja järgmist allkirjastamistoimingut teeb.
To: HA... No elektoonilisest seisukohast pole paremat välja pakkuda jah:(

[Chino]

no sama hästi võid sa paberi viimasel hetkel ära vahetada, see et tõesti DNS nimekirjad oleks täpsed, selle eest vastutavad ka teatud organisatsioonid, sest ega sertifitseerimis keskus läbi sinu ei edasta oma andmeid vaid ikka otse. Siis peavad nii sina, kui keskus sama vale dokumendi/saidi otsa komistama.

[xda]

[Chino]

Ma arvan ka et sertifitseerimiskeskusel on omad nimekirjad ja et seal muuta seda peab ma arvan päris kõva kadalipu läbima.
EDIT: Küsi Taneli käest - HinnaVaatlus vahetas just teenuse pakkujat, seega ka IP vast muutus, et kas ja kuidas sertifitseerimiskeskusele sellest teada anti.

[xda]

No elame-näeme. Usun et näeme selliseid situatsioone, kus elektroonilise allkirjaõigusega isik väidab et tema pole allkirja andnud.
Pakun, et Tanel ei andnud miskit sertifitseerimiskeskusele teada

[Sults]

[DigeBeni]

... kui kõigesse uude pidevalt nii negatiivselt suhtuda, siis ilmselt liiguks maailm asjad üsna vähe edasi. Olenemata riskidest on siiski ID kaart märksa turvalisem, kui varasem koodikaardisüsteem ehk edasiminek on märgatav. Igasuguseid süsteeme annab kuritarvitada, kui olemas motivatsioon, piisavalt raha ja aega käes, seega tuleb turvasüsteemides toetuda just sellistele lahendustele, mis on kõige vähem tõenäolisemalt kuritarvitatavad. ID kaardi kuritarvitamine nö. otsemurdmise teel on tehtud piisavalt keeruliseks, et selleks peab olema ikka VÄGA mõjuv põhjus, et seda üldsa kaaluda. Reeglina ei murtagi neid võtmed, paroole ja muid turvametmeid otse vaid otsitakse nõrku kohti, mis ei ole tavaliselt üldse otseselt selle uudse turvalisusega seotud. Olgem ausad, nõrgim koht on ikka nende turvameetmete kasutaja ehk inimene ise, kes lihtsalt ei pea kinni elementaarse turvalisuse reeglitest ja võimaldavad seega kurikaeltel oma identiteedi varguse. Pahatihti kasutatakse üliturvalisi vahendeid ära väga algelisel moel n. pildiga dokumenti esitab vale inimene ja seda asjaolu kontrolliv inimene ei suuda seda märgata. Seega, eks see ole igaühe vaba valik, kuidas endale maailma turvalisus mudelit ette kujutada meeldib, kuid IMHO pidev vastu voolu ujumine kah mingit tulu ei too ja mõnel juhul ilmselt kahjustab inimese ühiskondlikku toimetuleku taset rohkem, kui võimalik identiteedi kuritarvitamine ...

[Sults]

[Tanel]

[DigeBeni]

Sults, ja kuidas sa kujutad ette uute lahenduste populariseerimist vabatahtlikuse printsiibil ? Inimene ongi ju oma loomuselt laisk ja kui ta on saanud pikka aega mingil viisil hakkama ja teda ei sunnita oma harjumusi muutma, siis laseb ta reeglina samas vaimus edasi. ID kaardi massidesse surumise ja turvalisuse languse vahel näen ma vaid nii palju paralleeli, et mida rohkem seda kasutab, seda suurem võimalus, et leidub mõni loll, kes laseb endale koti pähe tõmmata. Muus osa ei näe ma midagi negatiivset, mis oleks just spetsiifiliselt ID kaardiga kaasnev probleem. Pigem on ID kaardi kasutusele võtust kasu igasugu bürokraatia vähendamisel. Mida aega edasi, seda rohkem saavad inimesed teha igasugu tehinguid, toiminguid vms. kodust lahkumata, paberit ja kellegi tööaega kulutamata ehk väga palju ressurssi hoitakse tänu ID kaardile kokku ja see pole sugugi asjaolu, mida võiks kahesilma vahele jätta !

... see, kuidas ID kaart ilmavalgust nägi on tüüpiline riigiasjade käik, paljudes valdkondades susserdab riik ikka päris mehemoodi, kuid see iseenesest ei muuda ID kaardi olemust ja sellest tulenevat kasutegurit olematuks ...

[Sults]

[Tanel]

[Tanel]

Sults, eilne CERT teabepäev oleks sulle üldiselt ära kulunud.

Mis puudutab autentimist koodikaartidega, siis ühes kohas juba mainisin, et seda ebaturvalist autentimisviisi üritatakse kärpida järgmisel aastal veelgi, vähendades ülekande limiiti. Turvalisemad käepärased ja odavad autentimisviisid on ID-kaart ja PIN kalkulaator.

[Sults]

[taavi]

ka mina kaldun arvama, et id-kaardi elektrooniline osa on suhteliselt ebaõnnestunud üritus. just sellepärast, et kasutajad ei saa aru mis asi see tegelikult on. nad teavad, et sellega saab internetipanka sisse logida ja teavad midagi mingist allkirjast, kuid samas pole neil õrnematki aimu mispoolest need erinevad ja mida nende kasutamine neile kaasa toob. tehnoloogiliselt võib id-kaart igati osav leiutis olla, kasutajate teavitus aga on olnud nõrk. igasugused konverentsid, kus id-kaardiga seotud tegelased sõna võtavad, on vale koht otsustamiseks. täpselt samamoodi nagu inimestel on internetipanga paroolikaardid monitori serva küljes, on neil kollase märkmepaberiga pin koodid id-kaardi tagaküljele kleebitud.

arvutikaitse. ee tasuta arvuti jagamise kampaania on minu meelest kõige hullem asi üldse. inimesi harjutatakse mõttega, et tasuta nänni saamiseks tuleb id-kaart lugejasse pista.

id-kaardi lugejate arv on suht suvaline number, mul on ka sülearvutis id-kaardi lugeja, ma pole seda kordagi kasutanud. lugejate arvu kohta käivad uudised tunduvad pigem olevat mingite pr inimeste kirjutatud asjad. et on saadud kuskilt raha mingi projekti läbiviimiseks ja nüüd tuleb näidata, et on kõvasti tööd tehtud raha kulutamiseks.

[DigeBeni]

taavi, erm, sinu jutt vaid kinnitab inimeste küündimatust, mitte ID kaardi kasuteguri puudumist, see on suuresti ühiskondliku suundumise asi, palju väärtust ID kaardiga seostatakse ehk kui elektroonikaajastu tahes-tahtmata peale surub, oleks nagu eriti tagurlikult põikpäine, sellest johtuvaid hüvesid mitte ära kasutada ...

[Sults]

Tanel, mälu ei petnudki mind: https://www.pilet.ee/pages.php/0402 pakub lahkesti autentimist.

[Tanel]

Sults, ehh, see on muidugi keskkonda sisenemine ja enda autentimine , mis sellel viga siis on?
Sinu jutust oli alguses aru saada, et pidasid autentimiseks piletikontrolli ühistranspordis.

[Sults]

[Tanel]

[Tanel]

[incx]

[Tanel]

Riik riigis? Toetame ju ka äärealasid solidaarsusest...

[incx]

Omavalitsus ongi riik riigis Las ta toetab oma äärealasid ja riik omasid. Nagu näha, ega raha siis liiga palju ka üle ole - vaja munitsipaalpinda õnnetutele sundüürnikutest ametnikele ehitada, digitelevisiooni arengut Eestis edendada jne.

[tahanteada]

Tanel: Aga need, kelle jaoks on ID-Kaart väheturvaline, võivad ju võtta Biomeetria toega Kiibiga EL-Passi

[Tanel]

[tahanteada]

Tanel: Igatahes millalgi näitasid KMA juhid sellist passi teleris ja väitsid, et väga turvaline pidi olema.

Ja mis on pangal selle vastu, kui ma selle passiga nende kontorit külastan - teenivad ju kõvasti rohkem, võrreldes ID-kaardi kasutusega... 8)

[Tanel]

[mikk36]

[Sults]

[tahanteada]

Tanel: Väike, aga oluline täpsustus, kui tohib 8)

Biomeetrilise Kiibi korral ei vaadata mitte näkku, vaid masinat, mis võrdleb Sinu sõrmejälge või peopesa mustrit või silmapõhja rastrit 8) Ja kokkusobivuse korral ütleb masin tellerile - Kõik on Ok - sellele mehele võid miljoni letti laduda...

Oht on muidugi olemas - nii nagu asi käib Väga Bäd Filmides...

[Sults]

Tegelikult on see rumal lootus, et korralik ID-kaardi kasutusstatistika avaldatakse. Põhjus lihtne - siis paistaks silma, et paljukiidetud e-riigi teenuseid kasutab vaid käputäis kodanikke ja kui nendest veel ellimineerida riigiametnikud, selgub, et sadade miljonite eest arendatud teenused on sisuliselt tühi õhk.

[tahanteada]

Sults: Aga ID.Kaardi esialgne idee oligi ju isikutuvastus - kui politsei tahab teada, kes sa selline oled.

Kõik muu - sõidupiletite ja panga-miljonite saamise jms. ideed lisandusid ju oluliselt hiljem...

[Sults]

[tahanteada]

Sults: No aga mõtle, mis siis juhtunud oleks, kui rahvale oleks hommikust õhtuni räägitud, et: "Võta ID-Kaart, muidu ei saa kasutada summat üle 10 000 krooni"
Tulemus: Terve suur hulk rahvast poleks mingit ID-Kaarti ostma tormanud, kuna - kas pangas pole üldse niipalju raha, pole üldse pangaarvet. Või kui ongi pangaarve, siis sellelt ei tehta tehinguid, kuna puudub riistapuu, mida nimetatakse arvutiks. Või siis puudub riistapuu, mida nimetatakse ID-Kaardilugejaks.

Sel juhul ei räägiks me praegu 900 000-st tuhandest ID-Kaardist, vaid a 50-100000 tuhandest aktiivsest, IT-maailma orienteeritud kodanikust.

Mul ka pole näiteks ID-Kaardilugejat - seesama põhjus, et ma ei tegele selliste suuremahuliste pangaülekannete mängudega. Mul tuttav töötab üsna suures riigifirmas, kus on palju arvuteid, kuid mitte ühelgi pole küljes ID-Kaardilugejat. Ja põhjusel, et inimesed peavad oma igapäevatööga tegelema ja see tegevus pole seotud ei pangatehingutega ega digitaaldokumetide või -allkirjadega.

[incx]

[Sults]

[Tanel]

Sults, mis sa e-valimistest arvad?