1 / 17

ID-toe implementeerimise karid ja kuidas neid vältida

ID-toe implementeerimise karid ja kuidas neid vältida. Ahto Jaago, Sertifitseerimiskeskus ahto@sk.ee. Ülevaade: ID-tugi rakendustes – mis see on?. ID-kaardiga seotud toimingud Isikutuvastus ja allkirjastamine – veebi- ja desktop-rakendustes Krüpteerimine Isikuandmete faili lugemine

princess
Download Presentation

ID-toe implementeerimise karid ja kuidas neid vältida

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. ID-toe implementeerimise karid ja kuidas neid vältida Ahto Jaago, Sertifitseerimiskeskus ahto@sk.ee

  2. Ülevaade: ID-tugi rakendustes – mis see on? • ID-kaardiga seotud toimingud • Isikutuvastus ja allkirjastamine – veebi- ja desktop-rakendustes • Krüpteerimine • Isikuandmete faili lugemine • Autoklaasi kraapimine jääst, või määrimine leivale • Mobiil-ID’ga seotud toimingud • Isikutuvastus • Allkirjastamine Ahto Jaago

  3. Ülevaade: vahendid ID-toega rakenduste kasutamiseks (1) • Kasutaja arvuti • ID-kaardi korral ID-kaardi tarkvara (installer.id.ee), kaardilugeja, brauser, internetiühendus • Mobiil-ID korral brauser, internetiühendus, telefon • Sertifitseerimiskeskuse ... • ... tooted: • ID-kaardi tarkvara lõppkasutaja arvuti jaoks • DigiDoc teegid allkirjastamiseks • ... teenused: • OCSP – sertifikaadi kehtivusinfo küsimiseks • DigiDocService – ID-kaardiga allkirjastamiseks, Mobiil-ID’ga autentimiseks ja allkirjastamiseks, allkirjastatud failide kontrollimiseks • LDAP – kehtivate sertifikaatide kataloog • CRL – sertifikaatide tühistusnimekiri Ahto Jaago

  4. Ülevaade: vahendid ID-toega rakenduste kasutamiseks (2) • Veebiserverid • Konfiguratsioon (SSL tugi, kasutajate sertifikaatide nõudmine/aktsepteerimine) – ID-kaardiga autentimisel • Allkirjastamise komponendid (ActiveX (IE), Mozilla plug-in, Java Applet) Ahto Jaago

  5. ID-kaardiga autentimine veebis (1) • Protsess • Kasutaja navigeerib lehele, kus autenditakse ID-kaardiga (https://) • SSL sessiooni loomine: • Veebiserver pakub kasutajale enda sertifikaati – kasutaja (brauser) usaldab või mitte • Veebiserver küsib kasutaja sertifikaati – ID-kaardi sertifikaadi valikul küsitakse kasutajalt PIN1-te, mille peale allkirjastatakse (isikutuvastussertifikaadi salajase võtmega!) kliendi pool infojupp ja saadetakse koos kliendi sertifikaadiga veebiserverile, et server saaks klienti usaldada. • Kliendi sertifikaadi kehtivuse pärimine • CRL – veebiserveri tasemel (Apache) • LDAP, OCSP – veebirakenduse tasemel Ahto Jaago

  6. ID-kaardiga autentimine veebis (2) • Eeldused • Kliendi arvuti • ID-kaardi lugeja, ID-kaart, interneti ühendus, paigaldatud ID-kaardi tarkvara (http://installer.id.ee) • Veebiserver • Konfigureeritud SSL-tugi ja kataloogide/failide tasemel kliendisertifikaadi nõudmine/aktsepteerimine • Juhendid, näidised • www.id.ee “Arendajale”  “Veebiserverid ja ID-kaardiga autentimine” • www.id.ee  “Arendajale”  “Uute rakenduste loomine”  “Sertifikaadi kehtivuse kontroll OCSP’ga” Ahto Jaago

  7. ID-kaardiga allkirjastamine veebis • Protsess • Veebirakendus saadab StartSession() meetodiga DDS’ile allkirjastatavad andmed. • Veebilehele laetud allkirjastamismooduli (ActiveX või Java Applet), abil loetakse ID-kaardilt allkirjastamissertifikaat. • Veebirakendus saadab DDS’le meetodiga PrepareSignature() allkirjastamissertifikaadi ja saab vastu allkirjastatava info räsi. • Veebilehele laetud allkirjastamismooduli abil signeeritakse ID-kaardiga DDS’ilt saadud räsi • Veebirakendus saadab signatuuri FinalizeSignature() meetodiga DDS’ile allkirjaga varustatud faili moodustamiseks • Allkirjastatud faili saab veebirakendus DDS’ilt kätte meetodiga GetSignedDoc() Ahto Jaago

  8. Mobiil-ID’ga autentimine veebis (1) • Protsess – rakenduse vaade • Autenditava kasutaja sisestatud isikukood ja/või telefoninumber saadetakse veebirakendusest meetodiga MobileAuthenticate() SK DigiDocService’ile • Kui MobileAuthenticate() tagastab rakendusele staatuseks OK, siis näidatakse veebilehel kasutajale kontrollkoodi ja küsitakse regulaarse intervalli tagant meetodiga GetMobileAuthenticateStatus(), mis seis kasutaja autentimisega on – on see pooleli, lõppenud edukalt või mingi veaga, sõltuvalt sellest kas kasutaja on telefonis PIN1 juba sisestanud või hoopis katkestanud, kas telefon on üldse levis jne. Kas tundub keeruline?  Ahto Jaago

  9. Mobiil-ID’ga autentimine veebis (2) Ahto Jaago

  10. Mobiil-ID’ga allkirjastamine veebis (1) • Protsess – rakenduse vaade • Rakendus saadab DigiDocService’ile StartSession() päringu, andes kaasa allkirjastatava faili ja saab vastu sessiooni ID, mida kasutatakse järgnevates päringutes • Rakendus saadab DDS’ile MobileSign() päringu, andes kaasa allkirjastaja isikukoodi, riigikoodi, teenusenime jms parameetrid. Vastu saab kontrollkoodi, mida näitab välja ka kasutajale. MobileSign() väljakutse peale algatatakse allkirjastamisprotsess, mille käigus kasutaja telefonile tuleb allkirjastamispäring, kontrollkood ja nõue sisestada Mobiil-ID PIN2 • Rakendus küsib peale MobileSign() päringu tegemist teatava intervalli järel meetodiga GetStatusInfo(), kaugele allkirjastamine jõudnud on, sõltuvalt sellest, kas päring jõudis kasutaja telefonile, kas kasutaja on PIN2 juba sisestanud või hoopis katkestanud jne. Ahto Jaago

  11. Mobiil-ID’ga allkirjastamine veebis (2) • Protsess – rakenduse vaade (jätk) • Kui GetStatusInfo() on lõpuks tagastanud staatuse SIGNATURE, siis allkirjastatud dokumendi saab küsida DDS’ilt meetodiga GetSignedDoc() • Viisakas on sessioon sulgeda CloseSession() meetodiga ;) Jällegi – kas polnud lihtne?  Ahto Jaago

  12. Dokumentatsioon, koodinäited, testkeskkond, foorum, tugi (1) • Dokumentatsioon, koodinäited • www.sk.ee, alajaotus “Tarkvara” • www.id.ee, alajaotus “Arendajale” • Testkeskkond www.openxades.org, alajaotus “Try it out” • Päris Mobiil-ID sertifikaatide registreerimine testkeskkonnas (test-DigiDocService’i vastu) kasutamiseks • Test-DigiDocService: https://www.openxades.org:8443 • Mobiil-ID test-numbrid rakenduste testimiseks erinevates kasutussituatsioonides • ID-kaardi allkirjastamissertide registreerimine test-OCSP teenusesse • Foorum • www.id.ee/foorum Ahto Jaago

  13. Dokumentatsioon, koodinäited, testkeskkond, foorum, tugi (2) Mobiil-ID sertifikaatide registreerimine • Tugi • support@sk.ee • abi@id.ee Ahto Jaago

  14. Plaanid, eesmärgid • Eesmärk • ID-kaardi ja Mobiil-ID toe lihtsam implementeeritavus • Plaanid • Parem (up-to-date) dokumentatsioon • Rohkem koodinäiteid • Arendajate vaheline tihedam suhtlus Ahto Jaago

  15. Kokkuvõte tagasisidest (1) • Rohkem on implementeeritud isikutuvastust veebis või on selle vastu huvi • Dokumentatsioon on enamasti OK, kohati vananenud, kohati raskestiloetav, rohkem võiks olla inglisekeelset dokumentatsiooni • Rohkem koodinäiteid ja nö valmis tükke erinevate platvormide jaoks • Teema, valdkond on võõras, raske alustada • Võiks olla arendajate FAQ, BugTracker • Teegid võiks olla avatud lähtekoodiga Ahto Jaago

  16. Kokkuvõte tagasisidest (2) • SK teenuste kvaliteet ja stabiilsus ning arendajate tugi on hea • Võiks lisada juhendeid ka teiste veebiserverite konfigureerimiseks (ID-kaardiga autentimise jaoks) • OpenXAdes’est testkeskkonnana eriti ei teata • Pigem eelistatakse head dokumentatsioon ja näidisprogramme kui tasulist tuge Ahto Jaago

  17. Kogemuste jagamise voor, küsimused • Karid?, Probleemid?, Küsimused? – et kes on midagi teinud, mis on probleemiks olnud, mille otsa põrgatud sai? Ahto Jaago

More Related