Isikutuvastamine internetis laen

Allkiri antakse digitaalallkirjastamise salajase võtmega, mitte isikutuvastamise omaga. Küll kasutatakse DigiDoc-rakenduste spetsiifilist lähenemist, kus failid lisatakse enne krüpteerimist DIGIDOC-XML konteinerisse, mis võib, kuid ei pea olema allkirjastatud. Mitte mingit täiendavat tarkvara peale siintoodud lähtekoodide näidetes vaja ei lähe. Veebirakendustes kasutaja isikuandmeid lugeda ei saa, kuna uus veebilehitseja plugin seda ei võimalda. Käesolev juhend käsitleb vaid Apache httpd ning Microsoft IIS servereid, kuigi see jutt võib rakenduda ka teistele. Järgnevalt seadistussammudest lähemalt. Selleks tarbeks on Sertifitseerimiskeskusel -teenus, mille abil leiab SK sertifitseerijate sertifikaadid ja kehtivad tühistusnimekirjad, kehtivad isikutunnistustele väljastatud sertifikaadid ning kõik väljastatud asutuse sertifikaadid.Teenus asub aadressil. Eraldi ühenduspunktid peaksid olema erinevate IP-aadresside peal või vähemalt kasutama erinevat porti. Seada https protokolli sätetes eelnevas loodud sertifikaadifailid ja soovi korral tühistusnimekirja kataloog. Konteineri kättesaamisel kasutab adressaat oma isikutuvastuse sertifikaadi salajast võtit, et saada kätte AES-võti, mille abil saab failid lahti krüpteerida. Sertifitseerimiskeskus pakub lisaks "tavalisele" OCSP teenusele ka autentimise OCSP teenust: see on mõeldud kasutamiseks süsteemidesse sisselogimisel. DigiDocService-teenust pole võimalik krüpteerimiseks kasutada, aga see poleks ka mõistlik, sest sel juhul tuleks salastatavad andmed enne saata SK-le. Sinu Apache võib juba olla selliselt seadistatud, siis ei ole vaja midagi muuta. Eesti eID kiipkaartide spetsiifika kohta saab lugeda EstEID-kaardi kasutusjuhendist. EID kontekstis toimub krüpteerimine vastavalt standardis XML Encryption Syntax and Processing esitatud põhimõtetele, et saata salastatud faile kindlatele adressaatidele. aastal tuvastati SSL/TLS protokollis viga, millega sai ühendustesse ründaja valitud teksti sisestada. Selle jaoks tuleb kasutada päringuid MobileCreateSignature ja GetMobileCreateSignatureStatus. Sertifikaatide pärimine LDAP-ist Selleks et transpordivõtit saaks krüpteerida saaja avalike võtmetega, on vaja viimased kusagilt hankida. Hea alternatiivne juhend siintoodule on see juhend. Kaardile antakse nonss, mille see allkirjastab, ning kaardilt loetakse tulemus, mis edastatakse süsteemile. Types are # none, optional, require and optional_no_ca. Mõnes kindlas olukorras võib piisata ka eidenv rakenduse kasutamisest võtmega. Serveri serfikaadifailide kokkupanek Sertifikaadifailide ise kokkupanekuks kasuta openssl rakendust Linuxis pluss standardseid Linuxi abi-utiliite nagu wget, cat jne. Ainus, mis saab juhtuda, on et uutel kaartidel muutub isikuandmete faili asukoht või et selles olevad andmed erinevad senistest kaartidest. Rakendus hakkab perioodiliselt käima DigiDocService'i käest isikutuvastuse olekut küsimas GetMobileAuthenticateStatus päringuga. Selliselt on võimalus tõsta teenuse kasutamiskogemust. Depth is a # number which specifies how deeply to verify the certificate # issuer chain before deciding the certificate is not valid. Üks võimalus kehtivuse kontrolliks on kasutada DigiDocService meetodit CheckCertificate, mis tagastab parameetriks antud sertifikaadi OCSP staatuse. Allkirja kontrollimist on demonstreeritud eraldiseisvas rakenduses, avalduste rakenduses ja avaldusi töötlevas teenuses. Seetõttu pole vanemad SSL/TLS kliendid ja ka veebilehitsejad suutelised taasläbirääkima täiendatud versiooni kasutava serveriga. Kui sul neid ei ole, saad Debianis vajalikud utiliidid installeerida käsuga apt-get install openssl wget Kõik järgnevad käsud leiad eID koodinäidete hoidlast failina serveriserdid.sh. Pärast allkirjastamist saab kasutaja kontrollida, millele tema allkiri anti, ehk tal on ligipääs DigiDoc-konteinerile koos esialgsete allkirjastatud andmete ja allkirjadega. Kasutaja sisestab oma telefoninumbri ja/või isikukoodi ning viimase välja andnud riigi koodi. Järgmine kord, kui rakendus tuleb teenuselt päringu olekut küsima, vastab teenus, et kasutaja on autenditud ning tagastab allkirja.Kasutamise näiteid näeb avalduste kasutusmallis ning SK näiterakenduse leiab siit. Kui sinu rakenduse jaoks on OK kasutada ka tühistatud kaarte, ei ole sul tühistusnimekirju vaja.

DigiDocService kontrollib OCSP-protokolli vahendusel, et kasutaja Mobiil-ID isikutuvastuse sertifikaat kehtib. Sellist krüpteerimist saab kasutada vaid lühiajaliselt, näiteks andmete transportimiseks. Kehtivuskinnituse kasutamisel on aga mõned lisatingimused, mida käsitlevad järgmised peatükid. Sellises olukorras tuleb ka OpenSC-d või muid teeke kasutav kood ümber kirjutada ning värskendada faili asukohta ning väljade tähendusi. See on hea olukorras, kus meil ei ole DigiDocService vaja muuks kui dokumendi allkirjastamiseks. Eraldi virtuaalhostidest ei piisa, kuna enne luuakse SSL/TLS seanss ning alles siis vaadatakse, millist virtuaalhosti kasutada. Teenusele saadetakse allkirjastatavad dokumendid või nende räsid ning Mobiil-ID allkirja küsitakse hoopis nende räsile, mitte väljakutsele. Võlgade refinantseerimine. Vaatame neid eraldi, alustades ID-kaardist. OCSP rakenduse tasemel Kuigi nii Apache-l kui ka IIS-il on sisseehitatud vahendid OCSP kehtivuskinnituse küsimiseks, soovivad need, et vastuses oleks kaasas ka OCSP responderi sertifikaat. Kui turvalisus on rakenduse jaoks oluline, siis võid soovida tõmmata ja regulaarselt uuendada ka tühistusnimekirjasid tühistatud ID-kaartidest. Veebis isiku tuvastamist tehakse näitekoodis veebivormil. Saadame DigiDocService-teenusele dokumendi, mispeale alustatakse uus seanss, kus luuakse ainult seda dokumenti sisaldav allkirjastatud konteiner, mis tagastatakse päringu esitajale. Krüpteerimisel kasutatud võti krüpteeritakse saajate isikutuvastus­sertifikaatide avalike võtmetega ning tulemused lisatakse CDOC-konteinerisse. Süsteem kontrollib, kas antud allkiri verifitseerub sertifikaadil oleva avaliku võtmega. Tühistusnimekirjad saad kasutusele võtta nii: Hangi tühistusnimekirjad. Tühistusnimekirjade kasutamise korral töötab kõik hästi ning veebiserverid on suutelised neid iseseisvalt kasutama. Pane tähele, et veebis kasutaja tuvastamine ID-kaardiga töötab väga erinevalt kasutaja tuvastamisest mobiil-ID-ga. Kui siiski on soov sellist olukorda võimaldada, tuleb luua kaks eraldiseisvat ühenduspunkti: esimene, mis teeb "puhast" SSL/TLSi, ja teine, mis küsib kasutaja sertifikaati. Iga veebiteenuse korral on vaja eraldi uurida nõudeid ning otsustada, kumb sobib paremini. Näidet isikuandmete lugemisest on võimalik näha avalduste rakenduses. # If both key and certificate are stored in the same file, only the # SSLCertificateFile directive is needed. See aga muudab konteineri jäädavalt suletuks. Siin on vaja kas ise veidi programmeerida või kasutada alltoodud näiteprogrammide juppe. aasta lõpuni oli kasutusel DDOC formaat. Teenus tagastab kõigest tuvastamisel oleva isiku sertifikaadi -- see ei tähenda veel, et kasutaja oleks autenditud! Rakendus kuvab kasutajale neljakohalise isikutuvastuspäringu kontrollkoodi. Siit on näha, millised teegid, milliseid formaate toetavad. Tähelepanu: luues tarkvara, mis tegeleb andmete lahti krüpteerimisega, tuleb kindlasti silmas pidada rünnet täidistusoraaklile. Alternatiiv pidevale failide uuendamisele on mitte seada SSLCARevocationPath muutujat, jättes ta välja kommenteerituks. Alternatiivina siintoodule võid vaadata ka Kui sinu Apache server juba ei vasta https-ga algava urli avamisele, on vaja https seadistada. Eraldi teema on SSL/TLS seansi alguses kliendi antud ID-kaardi või Digi-ID sertifikaadi kehtivuse kontrollimine, kuna selle peaks läbi viima veebiserver, mitte -rakendus. DigiDocService toetab nii BDOC kui DDOC vormingut. Kuna sõnumid sisaldavad endas juhuarve, siis on ka nende räsi juhuslik. Kui kasutaja suudab tõestada, et tal on ligipääs selle sertifikaadi salajasele võtmele, siis usume, et tegu on sertifikaadi omanikuga. Allkirjastame olemasolevas seansis loodud konteineri päringutega ja GetStatusInfo. AS Sertifitseerimiskeskuse tühistusnimekirjade kasutamine on tasuta. Viimast on vaja selleks, et saaks kontrollida vastusel olevat allkirja. Sellepärast on tegu võrdlemisi madala taseme operatsiooniga, mida peab iga arendaja käsitsi tegema. Vanemad veebilehitsejad seda aga uue protokolli kohaselt ei oska. Krüpteerimist demonstreeritakse avaldusi töötlevas teenuses ning dekrüpteerimist avalduste rakenduses. Tühistusnimekirjade kokkupanek Tühistusnimekirju on lihtsam ja odavam kasutada, kui kehtivuskinnitust. Protokolli põhjalik kirjeldus on kättesaadav Wikipediast, ent lühidalt kokkuvõetuna tehakse sama, mis eelnevalt kirjeldatud, kuid nonsi asemel antakse allkiri kõigi eelnevate sõnumite räsile. Nende variantide hea selgituse leiad Kuutõrvaja juhendist. Kiirlaenu taotlemiseks peab olema Eesti kodanik või Eestis elamisluba omav isik, kellel on vanust vähemalt 18 eluaastat. Laen Laenud Väikelaen Remondilaen Autolaen Järelmaks Järelmaks Hoius Hoius Investorile Investorile Börsiteated Aruanded Ärikliendile Inbankist Inbankist Meie meeskond Kontaktid Soovin saada kliendiks. Kuna metaandmeid saavad näha kõik huvilised ilma konteinerit dekrüpteerimata, on soovitatav kasutada ettevaatust ja veenduda, et metaandmetesse ei satuks tundlikku teavet. Seetõttu ei ole võimalik OCSP kehtivuskinnitust küsida vaikimisi vahenditega. Kõik järgnevad käsud leiad eID koodinäidete hoidlast failina tyhistusnimekirjad.sh. Kasutamise näiteid näeb avalduste kasutusmallis ning SK näiterakenduse leiab siit. Need andmed edastatakse teenusele DigiDocService MobileAuthenticate päringuga. Taaskäivitada Apache server ja katsetada kõigepealt, kas https töötab.Seadistamiseks pead logima sisse root kasutajana või kasutama sudo käsku: teisiti Apachet konfigureerida ei saa. Seadistuste fail koosneb reeglina põhiliselt suurest hulgast kommentaaridest. Mustri järgi otsimine on keelatud. Olekupäring on võimalik teha ka sünkroonselt, s.t DigiDocService hoiab ühendust avatuna ning ei tagasta midagi enne, kui mobiiltelefonilt on tulnud vastus. E-teenuste pakkujatel on soovitatav lisada allkirjastamise lisamooduli staatuse kontroll enne kui kasutaja alustab e-vormi täitmist. Selliselt tellitud sertifikaadifaili korral ei anna brauser enam mingeid hoiatusi. Kui aga siiski on vajadus isikuandmete faili lugeda, siis selle jaoks on vähe võimalusi. Alati on ka võimalik kasutada alternatiivseid vahendeid, mis suudavad suhelda Sertifitseerimiskeskuse OCSP-teenusega ning ei vaja selleks DigiDocService-i abi; neile tuleb aga responderi sertifikaat vastuse verifitseerimiseks käsitsi ette anda. Üldjuhul pead tutvuma juhenditega oma Linuxi distributsiooni jaoks. Samuti on hinnakiri teistsuguse ülesehitusega: tasuma peab erinevate sertifikaatide eest, mille olekut päritakse, mitte päringute hulga eest. Kui alguses saadeti teenusele vaid allkirjastatavate dokumentide räsid, siis lisasammuna peab konteineris asendama räsid dokumentide endiga. Samuti tuleb meeles pidada, et ID-kaardi jaoks krüpteeritud konteinerit ei saa avada sama isik oma Digi-ID-ga. Seda ei pea veebiserver usaldusväärseks sertifikaadiks ning nõuab kasutajalt erikinnitust, et ta on ikka nõus selle sertifikaadiga saidile minema. Sel juhul aktsepteerib Apache ka tühistatud ID-kaarte, mis ei pruugi aga paljude rakenduste jaoks olla suurem probleem. Muidugi, arenduse algetapis võid ka need esialgu realiseerimata jätta. Kui need failid aeguvad, ei ole Apache enam nõus kasutajat tuvastama. Enne seda tasub kindlasti tutvuda ka üldteabega arendajatele. Kui isikutuvastus või konvertimine ebaõnnestuvad, antakse teade "Authentication failed". Veateate näidis: Allkirjastamine ebaõnnestus! Kontrolli kas allkirjastamise plugin on lubatud. Isikuandmete faili kasutamine ID-kaardile talletatud isikuandmete faili ei oska ükski DigiDoc teekidest lugeda. Kõik järgnevad koodinäited leiad ka eID koodinäidete hoidlast. Tähelepanu: Tarkvaraarendajad on mõnikord kasutanud isikutuvastamise juures LDAP-teenust sertifikaatide kehtivuskontrolli vahendina. aastast luuakse digitaalseid allkirju BDOC vormingus. Luuakse tavaline SSL/TLS seanss ilma kliendisertifikaati küsimata. Esialgseks testimiseks seda kinnitust vaja ei ole. Selguse ja turvalisuse tagamiseks peab iga rakendus, kus on digiallkirjastamise funktsioon, vastama kahele nõudele: Enne allkirjastamist peab kasutaja saama mõistlikul moel andmetega tutvuda. Serveri konfigureerimiseks vaata näiteseadistust. Olemasolevatele seansihaldusvahenditele tuleb lisada tugi OCSP kehtivuskinnituse küsimiseks, et uue seansi alustades saaks veenduda, et kasutaja antud sertifikaat ikkagi kehtib. eID tarvitamine kasutaja tuvastamiseks.eID eeliseks muude viiside ees on eeskätt oluliselt suurem turvalisus ja kasutaja reaalse nime ning isikukoodi teadasaamine ilma administraatoripoolse vajaduseta aktiivselt kasutajate andmebaasi hallata. Isikutuvastamise näitekoodi näeb eraldiseisva rakendusena ning ka avalduste kasutusmalli koosseisus. Kui isikut tuvastav server on eraldiseisvas ühenduspunktis, siis sellega seanssi alustades küsitakse kasutajalt kohe isikutuvastuse sertifikaati ning hiljem taasläbirääkimisi pole vaja teha. Kuna sõnumite formaat on standardiseeritud, siis ei ole väga tõenäoline, et kirjutatud kood uuemate kaartidega enam ei toimiks. Kui kasutajat on vaja reaalselt tuvastada, siis kasutatakse Eestis eeskätt järgmisi meetodeid: Kasutajanime ja parooli küsimine. Samuti lisatakse sinna metaandmed krüpteeritud failide kohta, et kasutaja näeks, mis seal sees on. Isikutuvastamine internetis laen. Kasutaja tuvastamine veebis Mis puhul kasutaja tuvastamiseks eID-d kasutada Enamus veebilehti kas ei vaja üldse kasutaja tuvastamist või siis jätab kasutaja meelde cookie abil, tuvastamata seejuures tema nime või emaili. Facebooki või Google või mõne analoogilise sotsiaalvõrgustiku teenuste tarvitamine kasutaja tuvastamiseks. Samuti tuleb silmas pidada, et LDAP pole turvaline, mistõttu on võimalik ründajal sertifikaat välja vahetada enda omaga ning alati tuleb tagastatud sertifikaat üle kontrollida: kellele see on väljastatud, kelle poolt jne. Järgnev jutt kehtib vaid ID-kaardi ning Digi-ID puhul: Mobiil-ID sertifikaati kontrollib DigiDocService ning SSL/TLS seansis isikutuvastamine käib rakenduse tasemel. Viimasega on aga see probleem, et sellised teegid on enamasti vaid C jaoks ning nende kasutamine näiteks Javas või.NET-is on keerulisem kui kaardiga otse suhtlemine. Autentimise OCSP on piloteerimisfaasis tasuta, edaspidi tasuline ja IP-põhine ning eeldab lepingu sõlmimist SK-ga

Märkused