18. november 2002 kell 22:00

Kuidas ID-kaardist tulu saada

Täna on ID-kaardi reaalsed kasutusvõimalused järgmised:

kasutate kaarti isikut tõendava dokumendina. ID-kaart on väiksem kui pass ja juhiluba. Viimast ei pruugi enamasti ilma autota ringi liikuv inimene kaasas kanda. Ja juhiluba ei kehti isikutunnistusena igal pool (nt autoregistrikeskuses);kasutate kaarti digitaalsete sertifikaatide kandjana ? oma isiku tuvastamiseks pankadesse sisselogimisel (kus ID-kaart asendab koodikaarti), kodakondsus- ja migratsiooniametisse, riiklikesse registritesse, e-maksuametisse ja lähiajal veel mitmetesse kohtadesse interneti kaudu sisenemisel.

Tulevikus saate ID-kaardi abil end logida ka näiteks oma arvutisse. Kõige selle jaoks on vaja kaardilugejat, ID-kaarti ja PIN-koodi allkirjastatud ja krüptitud e-posti saatmiseks ning teile saadetud e-posti avamiseks. Lisaks on vaja, et arvuti oleks seadistatud ? nn isiklikud serdid (sertifikaadid) installeeritud, Outlook või Outlook Express häälestatud ja ka sertifitseerimiskeskuse (SK) serdid installeeritud.

MS Office?i ja PDF-dokumentide allkirjastamiseks digiallkirja andmine digitaalallkirja seaduse mõistes eeldab lisatarkvara või portaali kasutamist (digidocbeta.sk.ee).

Näide reaalsest elust: kui teie seadistamata arvuti võtab vastu digitaalselt allkirjastatud e-posti, siis ärge ehmatage, kui Outlook sõnumi avamisel selle kohta pahasti ütleb, sest Outlook ei tea Eesti sertifikaatidest midagi, kuni neid pole eraldi häälestatud. Eestikeelne Outlook väidab allkirja ?lubamatuks? ja ?kehtetuks? ja ütleb: ?Süsteem ei saa valideerida selle allkirja loomiseks kasutatud serti, kuna väljaandja sert pole saadaval või on lubamatu. Süsteem ei saa määratleda, kas selle allkirja loomiseks kasutatud sert on usaldusväärne või mitte.?

Asi paraneb kohe, kui igasse arvutisse (ja kui arvutil on mitu kasutajat, siis igale kasutajale eraldi) installeerida kaks Eesti sertifitseerimiskeskuse sertifikaati, millel baseeruvad kõigi ID-kaartide praegused ja tulevased serdid. Seda saab teha aadressidel www.sk.ee/certs/JUUR-SK.crt ja www.sk.ee/certs/ESTEID-SK.crt. Valige mõlemal lehel: Install Certificate, Next, Next, Finish.

Vastuvõetud digiallkirjastatud e-posti allkirja kontrolliks ei ole vaja ID-kaarti ega kaardilugejat. Aga sertifitseerimiskeskuse serdid peavad olema installeeritud. Kuna sertifikaatide lubatuks/lubamatuks tunnistamine sõltub sellest, kuidas arvuti on häälestatud, siis rahvusvahelises digitaalses suhtlemises on meie ID-kaardid ja nende serdid üsna kasutud. Tuleb ilmselt palju vaeva näha, et Eestigi arvutikasutajad õpiks neid aktsepteerima.

Saabunud e-posti digiallkiri kinnitab, et see kiri on saadetud, kasutades kindlat ID-kaarti ning seda kirja ei ole pärast allkirjastamist muudetud. Outlook kontrollib kirja avamisel sertifitseerimiskeskuse serverist, ega sertifikaati ei ole tühistatud. Puudu jääb aga tõestamine, millal allkiri tegelikult anti ning kas sel hetkel ei olnud sert mitte tühistatud või peatatud.

Mida veel saab teha ilma ID-kaardi seadmeta? Seadistatud masinast, kuhu on häälestatud teie isiklikud serdid, saate saata krüpteeritud e-posti. Seejuures peab nii saatjal kui adressaadil olema ID-kaart. Valite ID-kaardi omanike aadressraamatust aadressi ning tema avaliku võtmega krüpteeritakse kiri. Saatjale jääv koopia krüpteeritakse saatja avaliku võtmega.

Kumbki pool vajab oma eksemplari ? krüpeeritud e-posti ? avamiseks veidi seadistatud arvutit, ID-kaardi lugejat, oma ID-kaarti ja PIN1 koodi. Oluline on seegi, et ID-kaardi kadumisel antakse välja uus, aga uue serdiga, seega vanu krüpteeringuid see enam ei ava. Allkirjastatud e-posti saatmiseks vajate seadistatud arvutit, ID-kaarti ja PIN1 koodi.

ID-kaardiga on kaasas kolm koodi: PIN1 küsitakse autentimissertifikaadi kasutamisel. Seda kasutatakse teie identifitseerimisel ? näiteks internetis, e-posti allkirjastamisel ja krüptimisel. Ära tunnete selle kirjast serdi sees: Proves your identity to a remote computer, Protects e-mail messages.

PIN2 küsitakse signeerimissertifikaadi kasutamisel, mõeldud on see digiallkirja andmiseks, seda maksab kasutada tõesti vaid seaduse mõistes allkirja andmisel ja väga harvadel juhtudel. Ära tunnete selle kirja järgi: All application policies.

PUK on ununenud või valesisestusel lukustunud PIN-koodide muutmiseks.

Esmalt hankige ID-kaart ja ID-kaardi lugeja, mille hinnad jäävad 350 ja 2000 krooni vahele. Nimekirja sobivatest lugejatest leiate aadressilt www.pass.ee/51.html.

Edasi ühendage kaardilugeja arvutiga ja installeerige vajadusel tema draiverid (operatsioonisüsteemil WinXP on üldjuhul draiverid ja ta tunneb need ise ära). Tõmmake ja installeerige Eesti ID-kaardi haldusutiliit aadressilt www.it.ee/files/IDKaardidraiverid1_2.exe, see installeerib ise ka sertifitseerimiskeskuse sertifikaadid.

Käivitage ID-kaardi utiliit ? sisestage oma ID-kaart, vaadake seal olevaid avalikke andmeid ja registreerige oma sertifikaadid. Hea on muuta ka PIN-koode. Vaadake autentimisserdi seest ära oma nn riiklik e-posti aadress, mi on kujul [email protected] Edasi häälestage Outlook või Outlook Express ? juhendeid leiate aadressidelt www.pass.ee/149.html ja www.pass.ee/159.html.

Häälestage ka Outlook kasutama kõigi ID-kaardi omanike aadressiraamatut. Selleks valige (eestikeelse tarkvara näitel) Tööriistad, Meilikontod, Add a new Directory or address book, Intrenet Directory Service (LDAP), Next, pange Server name ldap.sk.ee ja valige More Settings, Search, pange Search base väärtuseks c=EE, siis vajutage OK, Next, Finish.

Saatke oma digiallkirjaga e-post aadressile [email protected] ja paluge suunata oma aadressile [email protected] tulevad kirjad edasi [email protected] vms aadressile nagu ise soovite. Muidu te neid ei näegi. Kui aadressile [email protected] saata tavaline, ilma allkirja või krüpteeringuta e-kiri, siis sealne server väidab, et sellist kasutajat polegi. Tegelikult kuni edasisuunamine ei toimi, lähevad kõik kirjad kaduma.

Nüüd saate selle konto kaudu, kus teie aadressiks on [email protected], saata allkirjastatud e-posti kellele tahes ja krüptitud e-posti ainult neile, kelle aadress on kujul [email protected] Siis võite e-kirja CC-reale panna mis tahes e-aadressi, kuid oma ID-kaardiga saab seda vaadata ainult aadressi [email protected] omanik.

Digitaalne allkiri näitab e-kirja vastuvõtjale, et selle on saatnud sertifikaadi valdaja (ID-kaardi ja PIN1 abil) ja seda ei ole hiljem muudetud. Samuti näitab see ka allkirjastamise aega, kuid see pärineb saatva PC kellast. Krüptitud kirja saab avada vaid adressaat, sest kiri on üle käidud adressaadi avaliku võtmega ja vaid ID-kaardi sees olev adressaadi salajane võti võimaldab selle kirja jälle taastada. Saate ka otsida teiste ID-kaardi omanike riiklikke e-posti aadresse, samuti kontrollida nende sünniaega või kogu isikukoodi.

Kuidas saata eesti.ee adressaadile e-kirja?

Vastus (näide eestikeelsest Outlookist): Avage menüüs Tööriistad, Aadressraamat, siis valige Show Names from the juurest ldap.sk.ee. Edasi valige Tools-menüüst Find ja kirjutage otsitava ees- ning perenimi vastavatesse lahtritesse. Iga isiku kohta on seal kaks kirjet, aga vaid üks on e-posti aadressiga ? kasutage seda. Võite saata neile krüptitud kirju.

Sel eelneval on mõte eeskätt siis, kui kirja adressaadid on oma eesti.ee-lõpulise e-posti kuhugi suunanud ? muidu nad ei saa teadagi, et te neile kirja saatsite. Samas, kui CC-reale kirjutate teile teadaoleva e-posti aadressi, siis nad vähemalt saavad sellest eesti.ee aadressile läinud kirjast teada.

Kas Outlook kontrollib e-kirja saatmise ajal, et mul on kehtiv sert allkirjastamiseks?

Teadaolevatel andmetel ei kontrolli Outlook e-kirja saatmise hetkel serdi kehtivust.

Kas e-kirja vastuvõtul kontrollitakse, et saatja sert kehtib kirja vastuvõtu ja avamise ajal?

Kontrollitakse, kui määrata Outlooki registrist Only when Online. Paraku ei kontrollita, kas sert kehtis ka allakirjutamise ja saatmise ajal.

Outlook näitab aega, mil allkiri anti. Kust see aeg võeti, kas arvuti kellast, mis tähendab, et see on saatja poolt määratav/võltsitav?

Just nii.

Kas saan e-kirja digiallkirja kontrollida viie aasta pärast, saatja sert ju siis ei kehti?

Tagantjärele kontrollida ei saa ? see ongi pigem saatja identifikaator. Seepärast kasutatakse ka esimest, autentimise serti, mitte teist, signeerimise oma.

Kas Outlookist ldap-serverit vaadates peab alati leppima kahe veateatega?

Veateated tulevad vaid Outlook XPga, millele on paigaldamata Service Pack 1 ja 2.

Kas digiallkirjaga e-kirja saab teistele koos originaalallkirjaga edasi saata või peab seda vaatama masinas, kuhu ta algselt sattus?

Outlook tahab edasisaatmiseks sinna hoopis saatja allkirja panna. Siiski saab kirja edasi saata nii, et teete uue kirja ja lohistate vana kirja sinna sisse, kus see muutub lisandiks. Käib ka krüptitud kirjade kohta.

Autor: Jako Bergson

Hetkel kuum