EID2011-12-09
From RISO Wiki
eIdentiteedi töörühma 9.12.2011 nõupidamine
Koht: Harju 11, MKM, Aatrium
Aeg: kell 13.00 – 16.00
Osalejad
1. Viljar Peep, Andmekaitse Inspektsioon
2. Henry Sarapuu, TJA
3. Erika Adams, TJA
4. Kalev Pihl, Sertifitseerimiskeskus
5. Tarvi Martens, Sertifitseerimiskeskus
6. Kaido Raiend, SEB Pank
7. Jürgen Niinre, EMT
8. Agu Kivimägi, SMIT
9. Tiit Roosik, PPA
10. Helar Laasik, PPA
11. Ott Sarv
12. Hannes Kiivet, RIA
13. Mark Erlich, RIA
14. Ivar Jung, SMIT
15. Raul Vahisalu, Guardtime
16. Ahto Truu, Guardtime
17. Karet Rikko, RIA
18. Hando Riisikamp, SilberAuto
19. Uuno Vallner, RISO
20. Taavi Valdlo, RISO
Protokollis: Taavi Valdlo
Päevakava
1. Õigusaktide muutmine
2. Piiriülese eID ja ID-kaardi baastarkvara 2012. a. arengukavad
3. GuardTime ajatempli teenuse rakendamise ettepanekud
4. EstEID turvakiibi ja liidese ning turvakiibi rakenduse spetsifikatsioonide ajakohastamine
1. Õigusaktide muutmine
Digitaalallkirja seaduse muutmise seaduse eelnõu ja seletuskiri esitatakse veel käesoleval aastal eelnõude esitamise infosüsteemi, kooskõlastamine ministeeriumidega ja järgnevad protseduurid kuni vastuvõtmiseni Riigikogus jäävad järgmisse aastasse. DAS muutmise eelnõu seletuskirja lisana on esitatud alljärgnevad alamaktide eelnõud:
• Vabariigi Valitsuse määrus „ Sertifitseerimisteenuse osutaja poolt väljaantud sertifikaatide kvaliteedi hindamise alused ja kord“
• Vabariigi Valitsuse määrus „Digitaalsete usaldusteenuste registri põhimäärus“
• Majandus- ja kommunikatsiooniministri määruse „Digitaalse usaldusteenuse osutajate infosüsteemide auditeerimise kord“ muutmine.
Majandus- ja kommunikatsiooniministrile antud volitusnorm teenuse osutamise lõpetamisel teenuse osutamisega seotud dokumentatsiooni ja andmekogude üleandmise ning andmete säilitamise ja kättesaadavuse korra kohta vajab sisustamist.
Kehtivusteenuse sisu ja kehtivusteenuse osutaja määratluse osas täpsustati veelkord, et kehtivusteenuse osutaja peab kinnitama oma kehtivusinfo ja säilitama alusmaterjali. Teenuseosutaja vastutab, tegemist ei ole üksnes tehnilise vahendamisega. Eelnõu ja alamaktide osas sisulisi muudatusi eelnõu ja seletuskirja teksti ei tehtud. Auditeerimise korra määruse osas oli normitehnilisi ja sõnastuslikke tähelepanekuid. Alamaktide menetlemisel tuleb materjal põhjalikult läbi töötada. Samas on oodatud ettepanekud DAS muutmise uuele ringile minekuks, neid on juba laekunud.
Sertifikaatide kvaliteedi hindamise määruse eelnõus esitatud sertifikaadi hinnangus peaks olema ikkagi isikutuvastamise protsessi ja kasutatavate meetmete kvaliteeti näitav parameeter. Paberimaailmas on isikutuvastuse protsesside informatsiooni vahetus riikide ametiasutuste vahel, protsesse on võimalik tundma õppida. Taustal peab olema vastastikuse huvi ja koostöö ametlik struktuur, järelevalveasutused peavad tegema koostööd. Riigid on täiendava info andmisel tõrksad, Läti näitel pole TJA ja RIA saanud asjakohast infot. Probleeme on ka Hispaania ja Itaaliaga. Viidatakse sertifikaatide samale õigusruumile ja EL direktiivile, peame dokumente vastastikku tunnustama. Hindamise aluseid saab täpsustada konkreetse määruse eelnõu menetlemisel.
Elektronallkirja direktiivi artikli 3 lõige 7 alusel võivad liikmesriigid avalikus halduses seada lisanõudeid elektrooniliste allkirjade kasutamisele avalikus sektoris. Sellised nõuded on erapooletud, läbipaistvad, proportsionaalsed ja mittediskrimineerivad, need on seotud üksnes asjakohase rakenduse iseärasustega ega tohiks takistada teenuste piiriülest osutamist kodanikele. Üldise korra kohaselt on liikmesriikidel kohustus teavitada Komisjoni ettevõtluse peadirektoraati kõigist siseriiklike õigusaktide eelnõudest, mis sisaldavad tehnilist normi või nõuet infoühiskonna teenusele. Näiteks kohtule dokumentide esitamise kord aastast 2008 on selline dokument, MKM pole Komisjoni teavitanud, kuna tegemist on vähest mõju omava tehnilise nõudega, mis otseselt ligipääsu infoühiskonna teenusele ei piira. Küll aga tuleb Komisjoni teavitada sertifitseerimisteenuse osutaja poolt väljaantud sertifikaatide kvaliteedi hindamise aluste ja korra määruse eelnõust.
EL direktiiv elektroonilisi allkirju käsitleva ühenduse raamistiku kohta on ümbertegemisel. Tänavu kevadel toimusid avalikud konsultatsioonid, kus ka eesti aktiivselt osales. Tulemuste koond http://ec.europa.eu/information_society/policy/esignature/docs/pub_cons/consultation_summary.pdf Diskussioonid jätkuvad, direktiivi muutmise eelnõu koostamiseni pole seni jõutud.
2. Piiriülese eID ja ID-kaardi baastarkvara 2012. a. arengukavad
Piiriülese eID ja ID-kaardi baastarkvara 2012. a. arengukavadest esitas põhjaliku ülevaate M.Erlich. Baastarkvara arendusprojekti raames on käimas arutelu 2012. aasta ajakava ja aluskomponentide toe kohta. Probleemiks on Linuxite tugi, kus meie tarkvara on ajaliselt maas Linuxite reliisidest. Näiteks Ubuntu puhul oleme oma toega ühe põlvkonna võrra maas. Ettepanekuks on toetada üksnes Ubuntu distributsiooni kui enimlevinut ja ülejäänute Linuxite jaoks valmistada lähtekoodi pakid koos kompileerimisjuhendiga. Senine arendushange on keskendunud peamiselt lõppkasutaja toele. Lisaks sellele vajab lahendamist korporatiivlahenduste tugi, tugi serverlahendustele ja .net platvormi tugi. Toe pakkumiseks vajab RIA täiendavaid vahendeid. Koostamisel on statistika, et saada paremat ülevaadet platvormidest. Kaardistatakse Windows serverite ja .net platvormil baseeruvate lahenduste vajadus. Serverikeskkonna tellimisel ja platvormi valiku peab teadma, millisele on võimalik ID-kaardi tugi ehitada.
2012 aasta jooksul tuleb ette valmistada uus hange ID-kaardi baastarkvara toeks ja edasiarendamiseks, käesolev leping lõppeb 2013. aasta kevadel. Välja on käidud idee luua sihtasutus, kes tegeleks baastarkvara arenduste ja hoolduse korraldamisega. Paljudel erasektori osapooltel on huvi aidata kaasa arendusele ja saada tuge oma infosüsteemidele kaasfinantseerides arendust. RIA-l pole otseselt võimalik võtta erasektorilt raha baastarkvara arenduseks. Näiteks firma monIT valmistas baastarkvara klientrakenduse mobiilsetele platvormidele, kus kasutatakse mobiil-ID-d. monIT soov on saada antud toode ID-kaardi bastarkvara perre. RIA näeb siin turvariske, kuna puudub kogemus ja põhjalikud teadmised mobiilsetest platvormidest. Enne otsuse langetamist soovib RIA tellida kontseptioonile turvaanalüüsi. Baastarkvara edasise arengu teema vajab täiendavat arutelu.
Piiriülese eID projekti pikendati juuni lõpuni, kuni DAS muutmine pole vastu võetud, ei saa töökeskkonda avada. Testkeskkonnas on arendajal ja RIA-l rakendus üleval, dokumentatsioon ja RIHAs registreerimine valmistatakse ette. Sissetöötamise ajaks jääb teenus esialgu RIAsse, tulevikus on kavas teenus väljast sisse osta.
U. Vallner saatis digilisti ülevaate elektroonse identiteedi teema osalistest ja tööjaotusest. Materjalis kirjeldatakse Eesti teenuseid ja rahvusvahelist tegevust ning meie eID arengukavu. Eri ametkonnad suhtlevad teiste riikidega ja Euroopa Komisjoniga, nad peavad Eesti positsioonist ja olukorrast teadlikud olema. Eesmärgiks on jätkuvalt, et Eesti peaks olema kõige turvalisem riik maailmas. Infoühiskonna arengukava 2020 on koostamisel, selle alusel eraldatakse vahendeid vastavalt tegevusprogrammile. MKM ootab tagasisidet ja ettepanekuid, millesse riik eID osas peaks panustama.
3. GuardTime ajatempli teenuse rakendamise ettepanekud
Majandus- ja kommunikatsiooniministeerium ning ajatempliteenust pakkuv ettevõte Guardtime allkirjastasid koostöömemorandumi, mille kohaselt hakatakse välja töötama võimalusi ajatemplite kasutuselevõtuks avaliku sektori infosüsteemides. R.Vahisalu tutvustas Guardtime tegevust ja ajalugu ning kasutatvat tehnoloogiat, ettekande materjalid lisatud. Guardtime pakub matemaatilistel alustel põhinevat ajatempliteenust, millega on võimalik tõendada dokumentide ja andmete autentsust. Ajatemplit kasutavad nii Eesti kui ka välisriikide ettevõtted, näiteks SEB Pank. Nimetatud ajatempli tehnoloogia kasutuselevõttu on ette valmistamas Rahvusarhiiv. Pikaajalise säilitamise juures on autentsuse tagamine üks olulisemaid küsimusi. Juhiti tähelepanu, et pressiteate viited senisest lihtsamale ja turvalisemale dokumentide allkirjastamisele ei ole asjakohased, kuid pressiteate sõnastus pole nii eksitav, et selle korrigeerimine tagantjärgi oleks vajalik.
4. EstEID turvakiibi ja liidese ning turvakiibi rakenduse spetsifikatsioonide ajakohastamine
Trüb AG tegi ettepanekud EstEID spetsifikatsiooni värskendamiseks ja hooldamiseks ning turvakiibi rakenduse ajakohastamiseks. Uus spetsifikatsioon on koostamisel. Ettepanekud on suunatud kasutajatele, EstEID terminalide ja veebirakenduste arendajatele ja asjaomastele Eesti ametiasutustele, eelkõige PPA KMO. Peamine lähtekoht on uus EstEID jaanuarist 2011. Lisaks ORGA Micardo Public 2.1 spetsifikatsioonile tuleb materjali täiendada Digi ID (MultOS) ja 2011 aasta EstEID Java kaardiplatvormiga. EstEID on vaja häälestada installeeritud tarkvara tööks mitmete kaardidraiveritega ID-kaartide ja muude PKI kaartide tarvis. Arvestada tuleb standardit üldkasutatavate PCSC kaardilugejatele. Ka PIN sõrmistikuga lugejate tugi ning sidumine baastarkvaraga on olulised. Mitmesuguste portaalide ja pääsusüsteemide ümberhäälestamiseks vajavad arendajad juhendeid. Eesmärgiks on ühilduvus kõikide kasutuselolevate Eesti ID-kaardi põlvkondadega. Kõnealuse teema peamised materjalid on seni vormistatud ka Eesti standarditena ja tõlgitud inglise keelde. Küllaltki spetsiifilisi firmapõhiseid spetsifikatsioone ei ole edaspidi tarvidust Eesti standardina vormistada. Muudest juhendmaterjalidest saab kasutada tänavu valminud krüptograafiliste algoritmide kasutusvaldkondade ja elutsükli uuringu soovitusi http://www.riso.ee/et/files/kryptoalgoritmide_elutsykli_uuring.pdf, Tellitud on e-ID rakendusjuhend tarkvara arendajatele. Juhend on suunatud IT-arhitektidele ja tarkvara arendajatele ning annab ülevaate e-ID rakendusvõimalustest, samuti annab vajalikud tehnilised baasteadmised e-ID toega rakenduste loomiseks. Kaetakse ka tehnoloogiad e-ID rakenduste integreerimiseks infosüsteemidega.
Siseministeerium ja PPA asutasid vastava töörühma, eID töörühma informeeritakse arengutest. Trübiga peaks tuleval aastal ka eID töörühma tasemel kokku saama ja väljasõiduistungi korraldama.
