User:Relepp

From ICO wiki
Jump to navigationJump to search

Erialatutvustuse aine arvestustöö

Autor: Reimo Lepp
Esitamise kuupäev:

Essee



ID-kaart ja sellega autentimine

  Tänu tehnika kiirele arengule viimastel aastakümnetel on isikuandmete turvalisuse tagamine muutunud üha olulisemaks. Vältimaks isikuandmete kuritarvitamist tuleb pidevalt välja töötada uuenduslikke turvameetmeid. Ülemaailmselt on populaarseks saanud isiku tuvastamine kiipkaarti kasutades. Paljud riigid on katsetanud kiipkaarti kui isikut tõendavat dokumenti kasutusele võtta, kuid siiski on see osutunud keerukaks. Eesti on ID-kaardi arendamisel ja sellele rakenduste loomisel olnud aktiivne ja üsnagi edukas.

ID-kaardi ajalugu

Eestis hakati kiipkaardiga isikutuvastamist juurutama 1998. aastal kui Eesti Vabariigi siseminister moodustas oma käskkirjaga "identifitseerimiskaardi ja selle tehnilise spetsifikatsiooni väljatöötamise ning väljastamise ettevalmistamise komisjoni".  Kulus kolm aastat ennem kui AS Sertifitseerimiskeskusega sõlmiti leping teenuste ostmiseks ning jaanuar 2002 väljastati Eestis esimene ID-kaart. ID-kaardi levikut kiirendas 2001. aastal vastu võetud isikut tõendavate dokumentide seadus ja digitaalallkirja seadus, mille alusel on pass ja ID-kaart võrdväärsed isikut tõendavad dokumendid ja digitaalallkiri võrdsustati tavalise allkirjaga. Sellist viisi isikutuvastamist kasutati küll palju, kuid 2009. aastal pangaülekannetele pandud ülempiir 3000kr, sundis ka neid, kes senimaani ID-kaarti pelgasid, seda kasutama.

ID-kaart

ID-kaart on võrdlemisi tavaline kiipkaart, mis on kiibi poolest väga sarnane pangakaardile või telefoni SIM-kaardile. Eesti ID-kaardi kiibiks on ORGA Micardo public 2.1. Sellele on loodud võimalus talletada isiku kohta käiv info (isikuandmed, foto, allkiri- sama, mis on kaardile trükitud).  Lisaks on kiibil digitaalse allkirja andmiseks vajalikud salajased võtmed, neile vastavad avalikud võtmed koos sertifikaatidega ja nende kaitseks vajalikud süsteemid, nagu näiteks pinkoodi küsimine. Põhimõtteliselt võiks ID-kaardil olla ruumi sõrmejälje või haigusajaloo talletamiseks, kuid arvestades mälu hinda, ei tasu see investeering hetkel ennast ära. Igale kiipkaardile saab luua oma rakenduse vastavalt kliendi soovidele. Eesti ID-kaarti eristab muudest kiipkaartidest vaid funktsioonid, mis kaardile on antud.

ID-kaardi kasutusvaldkonnad

ID-kaardile on Eesti Vabariigis loodud väga palju erinevaid kasutusvaldkondi. Kõige lihtsamaks on isikutuvastamine kaardi visuaalse vaatluse põhjal ja keerulisemaks näiteks andmete krüpteerimine ID-kaardi sertifikaadi alusel. Mõned levinumad ID-kaardi kasutusvõimalused: ·         ID-Pilet (nt ühistransport) ·         ID-kaart kliendikaardina (nt poekettide kliendikaardina) ·         Elektrooniline isikutuvastus (nt sisselogimine) ·         Digitaalallkiri (nt Pin2 pangaülekannete allkirjastamine) ·         Krüpteerimine (nt andmete krüpteerimine) ·         Valimised (nt E-valimised)

Kuidas tagatakse ID-kaardi turvalisus

ID-kaardi elektroonilisel kiibil hoitakse väga pikka ja raskesti murtavat parooli, mis koosneb kahest osast ehk võtmest. Selle võtmepaari avalikku poolt hoitakse koos kaardiomaniku elektrooniliste isikuandmetega ID-kaardi avalikus osas ja sealt loevad veebiteenuste ja muude ID-kaardil põhinevate rakenduste kasutajad avaliku võtme. Lisaks on avalikku võtit ja selle omaniku isikuandmeid sisaldav elektrooniline tõend ehk sertifikaat kõigile kättesaadav läbi Public Key Infrastructure’i (PKI). Võtmepaari salajase võtme ainueksemplar on salvestatud kaardi mälusse, millele pääseb ligi ainult PIN-koodide abil.

Minu tööalased kogemused ID-kaardiga

Minu tööks on süsteemide administreerimine ja lühidalt kogu töö mõte on kasutaja elu lihtsamaks ja turvalisemaks tegemine. Kasutaja ei taha ega pea teadma, kuidas süsteem toimib, tema jaoks on tähtis vaid see, et see töötaks. Minu tööl on suureks probleemiks kõrvaliste isikute ligipääs arvutitele. On tulnud ette olukordi, kus kasutaja oli enda parooli jätnud lohakile või trükkis seda liiga avalikult ja kõrvalised isikud pääsesid pahatahtlikult ligi kasutaja andmetele. Sellest tingituna võtsime kasutusele ID-kaardiga autentimise süsteemi ja seda oleme kasutanud viimased kaks aastat. Haldan Windowsi Servereid ja tööjaamu ühe võrdlemisi suure kliendi tarbeks. Koostöös Jaja Arendusega lõime keskkonna, kus domeeni kasutaja autendib ennast ID-kaardiga. Kasutaja ei pea meeles hoidma, mis tema kasutajanimi või parool on ega märkmepaberiga parooli monitori külge kleepima. Kasutaja peab vaid enda ID-kaardi kaasa võtma ja meeles hoidma Pin1-te.

Mida on vaja Domeenis ID-kaardiga autentimiseks

Selle tarbeks, et domeenis saaks kasutajat ID-kaardiga ennast tuvastada peab olema loodud PKI sertifikaadi rakendus ja Active Direcotry andmebaas. Jaja Arendus on loonud rakenduse nimega IDLogin, millega saab domeeni kasutajale luua sertifikaadi, mis omakorda talletatakse kasutaja sertifikaatide hoidlasse (ingl Published Certificates). Sisuliselt autentimine käib endiselt Kerberos Ticket’i  alusel, kuid isiku tuvastamisel ei pea kasutaja oma kasutajanime sisestama, sest see info küsitakse domeeni kontrollerilt isikukoodi alusel ja parooli asemel tuleb sisestada Pin1, mis kontrollib, kas kasutajal on õigus selle ID-kaardiga ennast autentida. Pärast Kerberos Ticket’i saamist toimib ülejäänud Windowsi õiguste tuvastamine täpselt samamoodi kui kasutaja oleks tuvastanud ennast kasutajanime ja parooliga. Töötajate jaoks teine tähtis rakendus on e-post. Mailiserverina kasutan Microsoft Exchange 2010 rakendust. Tööl olles kasutavad enamik töötajaid Office Outlook’i, kus saadakse Exchange’i teenust kasutades ligipääs oma kontole domeeni kontrollerilt. Väljaspool tööaega enda e-posti nägemiseks tuli kohandada Outlook Web Application’i (OWA) nii, et sinna saaks vaid ID-kaardiga. Selleks tuli lubada OWA-le ligipääs vaid läbi SSLi  ja seejärel nõuda tuvastamiseks sertifikaati. Microsoft Exchange’i tuli seadistada nii, et kasutaja sertifikaati kontrollitaks avaliku sertifikaadi keskuse PKI suhtes. Selleks tuli aga iga kasutaja kontole lisada Name Mappingu alla Sertifikaadi Keskuselt saadud kasutaja sertifikaat, mida tuleb käsitsi uuendada kui kasutaja muudab enda ID-kaardi sertifikaati ehk vahetab ID-kaarti.

Head ja vead

ID-kaardiga kasutaja tuvastamisel minu töökeskkonnas on olnud nii positiivseid kui negatiivseid külgi. Positiivsetena tooks välja suurema turvalisuse, kuid seda varjutab olukord, kus kasutaja unustab enda ID-kaardi kaardilugejasse ja lahkub töökohalt, või kui kasutaja jättis ID-kaardi koju ja ei pääse arvutisse. Ennem IDLogin’i kasutusele võttu oli tihti probleeme kasutaja parooli vahetamistega, sest kasutaja pidi enda parooli vahetama iga 90 päeva tagant. Paljud kasutajad, kas ei suutnud või ei tahtnud enda parooli õigeaegselt vahetada ja lukustasid selle tulemusena enda kontod. Pärast pikka ja lõõgastavad suvepuhkust ei olnud kasutajatel tihti meeles enda kasutajanimi või parool. ID-kaardiga selliseid hetki ei ole tekkinud.

Keerulisemad probleemid

Kahjuks on tekkinud ka probleeme, mida ei ole olnud nii lihtne lahendada. Ma pean haldama nii 32bitiseid kui 64bitiseid Windows Xp ja Windows 7 tööjaamu. Kasutaja ei tea, mis arvutis on XP ja millises Windows 7. Sellest tulenevalt kasutajate koolitamine on keeruline, sest XP ja 7 all ID-kaardiga sisselogimine on erinev. Kasutaja arvab, et kui ta ID-kaardiga on juba arvutisse sisse loginud, ei pea ta enam ID-kaardi tarkvaraga enda sertifikaati lokaalsesse arvutisse registreerima, sest ta just kasutas ID-kaarti ja kõik töötas. Lisaks olen avastanud, et OWA ei tööta Internet Explorer 9-ga korrektselt kui üritada kasutajat sertifikaadi põhiselt autentida. Mõne ettevõtte jaoks võib veel probleemiks kujuneda Jaja Arendusele makstav summa ID-kaardi sisselogimise teenuse juurutamise eest, kuid see muutub üsna pea, sest Microsoft Eesti omab nüüdseks tasuta lahendust.

Uued lahendused

Microsoft Eesti ja Sertifikaadi Keskus on välja töötamas uudset lahendust ID-kaardiga domeenis arvutisse logimiseks, mis on tasuta. Selleks peavad olema uusimad Windowsi tarkvarad, Server 2008 või uuem ning tööjaamas Windows 7 või uuem. Põhimõte on lihtne-  peab olema toimiv domeen ja PKI sertifikaadi teenus. Kõikidele kasutajatele peab olema Name Mapping’u all tema sertifikaat ja kliendi arvutis peab olema Windows Minidriver (ID-kaardi tarkvara versioon 3.5, mis peaks 2011. aasta oktoobris välja tulema sisaldab Minidriver’it). Lähiajal on ID-kaardiga domeenis isikutuvastamise tarkvara tasuta ja seda on võrdlemisi lihtne seadistada.

Lõpp hea kõik hea

ID-kaart võib olla kõigest tavaline kiipkaart, kuid minu arvates on see väga multifunktsionaalne. Ühel kaardil on nii palju võimalusi ja kindlasti neid võimalusi tuleb ainult juurde. Paraku käib ID-kaardiga kaasas üks probleem ja selleks on kasutajate teadmatus. Seni kuni ID-kaardi kasutaja ei tea, millised on ta võimalused ei hakka ta neid ka kunagi kasutama.


Õpingukorralduse küsimused

Küsimus: B

1. Kukkusid arvestusel läbi. Kuidas edasi?
2. Kaua on võimalik arvestust teha?
3. Kellega kokkuleppida, et arvestust teha?
4. Kuidas toimub järelarvestusele registreerimine?
5. Mis on tähtajad? Palju maksab, kui oled riigieelarvelisel (RE) kohal?
6. Palju maksab, kui oled riigieelarvevälisel (REV) kohal?

Vastused:

1. Edasi tuleb rääkida õppejõuga, registreeruda järelarvestusele ja REV õppekoha puhul maksta nõutav tasu.
2. Õigus kordusarvestusteks kehtib kuni ülejärgmise semestri punase joone päevani, kuid reeglina eeldab kordusarvestus õppuripoolset täiendavat ettevalmistust, mille tagamiseks on õppejõul õigus anda õppurile piiratud mahuga täiendavaid iseseisva töö ülesandeid.
3. Arvestuse tegemiseks tuleb kokku leppida õppejõuga arvestuse sooritamise tingimustes, ning registreeruda õppeosakonnas ja tasuda (REV õppekoha puhul) rektori käskkirjaga kehtestatud tasu hiljemalt üleeelmise tööpäeva lõpuks arvestatuna eksami toimumise päevast.
4. Kordusarvestuste tähtajad määrab ainet õpetav õppejõud kooskõlas õppeosakonnas koostatud soovitusliku ajakavaga.
5. RE õppekohal on kordussooritused tasuta.
6. REV õppekohal õppijale kehtestatakse tasu suurus rektori käskkirjaga.

Küsimus: 2

1. Juhtusid kaotama uksekaardi. Mis on tegevused ja teatamised?
2. Juhtusid kaotama kapi võtme. Mis on tegevused ja teatamised?

Vastused:

1. Kaardi kaotamise korral juhindun Üliõpilaskaardi tellimise juhendi punktist: Asenduskaardi tellimine, Asenduskaart tellitakse kui kehtiv kaart on rikutud, hävinud, kaotatud, varastatud.
Uue kaardi tellimiseks tuleb tudengil siseneda www.minukool.ee keskkonda, “kaardi tellimine” aknasse ja kliki “telli asenduskaart” .
Asenduskaardi tellimisel kaotab automaatselt kehtivuse varasemalt väljastatud kehtiv kaart ja tellimisprotsess on sarnane uue kaardi tellimisega. (vali “tavakaart” või “pangakaart” ning tasu asenduskaardi väljastamise eest vastavalt Eesti Üliõpilasliidu kehtestatud hinnakirjale 6,5 € ).
2. Kapi võtme kaotamise korral pöördun õppeosakonda. Garderoobikapi võtme tagatisraha 13 € tagatisraha kapi jagamisel 9,5 € võtme kohta. Garderoobikapi võtmeid väljastab õppetehnik.