IDkaart: e-posti allkirjastamine

Muudetud 15.01.2002 11:50: pass.ee -> eesti.ee, isikukoodi 4 viimast kohta -> suvaline number

Nagu arvata võis tekitab IDkaardiga seoses kõige enam üldist elevust e-posti allkirjastamise teema ja seda tänu sellele, et e-posti programmides kasutusel olev S-MIME standard eeldab, et sinu e-posti aadress on kirjas kasutatavas sertifikaadis. Loomulikult võiks sertifikaati kirjutada mistahes aadressi vastavalt kaardisaaja soovile, aga … võimalikult lihtsalt sõnastades:

  • mis saab, kui see aadress on firma aadress ja sa töökohta vahetad?
  • kuidas saavad kaardi väljaandjad kontrollida, et aadress tehnokratt@hot.ee või tehnokratt@hotmail.com on ikka nimelt sinu ehk kaardisaaja kontrolli all?

Probleemi lahenduseks on seega vaid üks tee: varustada kõik kaardisaajad “riiklike” e-postiaadressidega, nende kujuks on hetkel valitud nimi.perenimi_0000@eesti.ee kus 0000 on arvuti poolt valitud suvaline number (eelnevalt oli plaan isikukoodi 4 viimast kohta, aga sellega ilmnesid siiski kattuvused; samuti oli alguses plaanis aadressid anda domeeni pass.ee alla — täna st 15 jaanuaril saadi kokkuleppele eesti.ee ehk kodanikuportaali domeeni kasutamise osas).

Mida selline postiaadress praktikas tähendab?

Loomulikult ei hakka eesti.ee postiserver konkureerima hot.ee, mail.ee, hotmail.com jne teenustega, olles pigem universaalne edastus- ehk forward-aadress — st sina loed oma lemmikut, nt tehnokratt-postkasti hot.ee all edasi, sest sinu nimi.perenimi_0000@eesti.ee peale tulevad kirjad saadetakse lihtsalt automaagiliselt sinna hot.ee alla edasi. Ja kui sa ühel päeval otsustad oma e-postkastiga mail.ee alla kolida või töökohta vahetada, siis tuleb see nimi.perenimi_0000@eesti.ee lihtsalt vastavalt ümber suunata.

Kuna e-posti toimimine on paljude jaoks raketiteadusest veidi keerulisem ala, siis tasuks asjatute küsimuste (mis saab, kui eesti.ee server seisma jääb korraks?) vältimiseks lahti seletada ka ühe allkirjastatud e-posti liikumine. Mängime selle läbi näiteks Outlook Express’iga, sest see peaks ka 28ndal täpselt nii toimima (vaata siia kõrvale ka suurte piltidega lugu draiverite installimisest, Outlook’i seadistamisest ja allkirjaga e-posti saatmisest-vastuvõtmisest.):

  • Seadistad Outlook Express’i nagu ikka — pop3/IMAP konto mida harilikult loed (nt tehnokratt@hot.ee), SMTP ehk posti saatmise server aga nagu ikka sõltuvalt kasutatavast netiühendusest (nt mail.neti.ee, mail.online.ee vms)
  • Seadistad postikonto, kus saatja aadressiks nimi.perenimi_0000@eesti.ee ja nimeks soovitavalt sinu nimi
  • Kirja kirjutades vajutad sisse nupu, et tahad allkirjastada
  • Saadad kirja mis iganes e-postiaadressil
  • Kirja saaja postiprogramm kontrollib, et saatja aadress ja sertifikaadis olev klapiksid, et sertifikaati ennast poleks kehtetuks tunnistatud ning et kiri on tõesti muutmata kujul kohale jõudnud

Seega saatmisel on ei kasutata eesti.ee serverit, aadress nimi.perenimi_0000@eesti.ee on vajalik vaid sinu allkirja autentsuse tuvastamisel kirja saaja poolt (ja ka tema ei vaja selleks mitte eesti.ee, vaid hoopis Sertifitseerimiskeskuse ehk sk.ee omasid). Ja loomulikult Outlook lihtsalt ei luba sul valida allkirjastamiseks sertifikaati, milles on kirjas mõni muu aadress.

Loomulikult on nüüd olemas tõenäosus, et kirja saaja vastab sulle sinu nimi.perenimi_0000@eesti.ee aadressil ja selleks on oluline, et sa seda aadressi loeksid — soovitavalt lihtsalt ümber suunates oma lemmik-postkasti.

Teistpidi on nimi.perenimi_0000@eesti.ee vajalik e-posti krüpteerimisel

Ehk alusetu on arvata, et tulevikus ainult seda ühte postiserverit peab posti lugemiseks kasutama hakkama või et see megavõimas peab olema — tõenäoliselt jääb enamus meie e-postist saabuma siiski meie lemmik-aadressile mis iganes see ka ei oleks. Ja vaata kindlasti ka asja kohta käivat suurte piltidega ja vähese tekstiga lugu.

  • Priit Roosimägi

    tänan, pets! :-)

  • indrek

    Kuulge kuulge… See on täielik jama!!

    Ma mõtlen see, et selles emaili aadressis on neli viimast numbrit samad, mis on kodaniku isikukoodis viimased…

    Sel juhul saab isikukood täielikult avalikuks. St. et kui praegu veel pole minu isikukoodi avalikult levitatud (teades minu sünniaega ning elukohta saab selle peaaegu et kokku panna), siis nüüd on hakkab see kõigile kätte saadav olema…

    Ma leian, et see on minu privaatsuse räme rikkumine… sest isikukoodist ja selle teadmisest sõltub praegu päris palju (igal pool lepingutes on seda vaja, samuti küsitakse seda vahest riigiastutustes jne.)… ning senini on see siiski mõnevõrra salajane olnud.

    Ehket, pole ime, et valede inimeste surnuks kuulutamine aina tihedamini toimub… ja toimub veel tihedamini, sest üks osa saladusest, mis mul enda kohta on, saab avalikuks.

  • Paulaner

    Mnjahh,
    kuid kas see ei ole mitte aadressi fakemine .. ja kui mailiserveris kasutatakse turvalisuse huvides m6ningaid kontrollimehhanisme (mx/ident/dns lookup) mis siis saab? Ntx sinu @pass.ee mailiaadress ei vasta v2lja saatmiseks kasutatava smtp serveri kirjele? IMHO see v6ib jamasid p6hjustada…

    rgrds
    Paulaner

  • Peeter Marvet

    Indrekule — ma kahtlustan, et pigem on täielik jama isikukoodi nelja viimase numbri pidamine eriti salajaseks asjaks. Siinkohal kodune ülesanne lahendamiseks kõigile, kes nelja viimast numbrit salajaseks peavad: pakkuge välja võimalikult lihtne ja odav võimalus saada teada Peeter Marveti isikukood (minu käest küsimine ei lähe arvesse). Esimene endale pähe tulev (praktikas kontrollimata) on selline: Pets seotud Tehnokratt MTÜga niikuinii, seega lähen http://www.eer.ee, tasuline päring 10kr peaks andma ka MTÜ tähtsate ninade isikukoodid (vähemalt B-kaardi peal on need kirjas).

    Paulanerile — see ei ole mingi aadressi feikimine, minul on näiteks viimased paar aastat masinas “minu postiaadressiks” pets@goodwin, väljaminev postiserver vahelduva eduga mail.neti.ee ja mail.online.ee (vahel veel ka muud) ja POP3’e tõmbasin hulka aega uniprint.ee aadressilt… Ehk nagu ma ülalpool ka kirjutasin on postiserverite toimimine enamuse jaoks meist must maagia ja IDkaardi kasutuselevõtuga tuleb sellest väga-väga-väga palju rääkida, et kaoks sinu kahtlus feikimise suhtes ja tekiks asemele oskus oma postikontot õieti konfida (kui issand Eesti Telefonile ja Tele2’le jaksu annab, siis nad vahest nad korraldavad asja nii, et hot.ee ja mail.ee veebiposti lugejate jaoks vähemalt asi ilma mingite lisakonfimisteta toimiks).

  • indrek

    okei, aga kui paljud inimesed on nn. “tähtsad ninad”?

    Ma mõtlesin oma kommentaaris esmalt seda, et avalikuks saavad nende inimeste isikukoodid, kes kusagil ei figureeri. Vaid on tavakodanikud (lihtad palgatöölised vms.). Nad ei pruugi teadagi, et nende nimel mingeid tehinguid tehakse (okei, ametlikult ei tohiks muidugi ainult isikukoodist piisata, et mingeid tehinguid teise inimese eest sooritada, kuid arvan, et praktikas tehakse sellistel puhkudel erandeid)

    Aga see uuem variant, et need neli numbrit genereeritakse, on parem. Minu arvates.

  • erkie

    Aga mis saab nendest nimedest, kus täpitähed sees on? Kasutavad jutukates levinud õ=6, ö=8, ä=2, ü=y jne asendamist või?

    Ja selle alakriipsu asemel seal lõpus võiksid nad sarnaselt nime eristamisele punkti kasutada: nimi.perenimi.0123@eesti.ee. Ja mis siis kui inimesel on rohkem kui üks eesnimi/prknimi, kas siis tulevad aadressid kujul: johan.kristjan.tamm-viirsalu.0123@eesti.ee? Naljakaks kisub juba…

    Muide mida üldse tähendab “varustada kõik kaardisaajad ‘riiklike’ e-postiaadressidega”. Kas igale kaardisaajale tehakse automaatselt @eesti.ee aadress?

  • Peeter Marvet

    Jah, iga IDkaardi saaja saab endale ka e-posti aadressi, sest kaardi peal olevas serdis peab see kirjas olema (ja kõik kaardid varustatakse sertidega).

    • Romet

      Ma leian, et isikukoodi salastamine ei anna ID-kaardi kasutajale mingeid miinuseid, edasine audentimine toimub ju ID-kaardiga (teoreetiliselt) – lähed lepingut tegama annad kaardi, sisestad PIN’i ja ongi kõik.

      Aga see on veits jama, et kaarti pean ootama 45 päeva (alates 01.03.02 30 päeva) – kui ma kaardi ära kaotan, siis olen id-ta 30 päeva. 7 päevagi oleks liiast.

  • Tarmo Vallist

    VeriSign pakub juba ilmatu ammu e-maili krüpteerimist ja Digital ID-d, hind on 14.95$ aastas.

    http://www.verisign.com/products/class1/index.html

    ja on integreeritud mingi smartkaardiga ka.

    http://www.verisign.com/client/litronic/index.html

    Ehk annab neilt šnitti võtta.

  • Peeter Marvet

    neid pakkujaid tegelt teisigi, mh saab ka tasuta, vt http://www.thawte.com

  • Viimane veerg

    Mina olen Peeter Marvet (pets@tehnokratt.net). Ei saa täielikult välistada, et see siin oli kunagi minu ajaveeb. Kirjapandu ei pruugi väljendada seisu- ega istmekohti. Seoses surutisega esilehe mahtu vähendatud 8%. Lisandub käibemaks, Tallinna elanikel ka müügi- ja paadimaks. Pakendatud gaasikeskkonda. Valmistatud arvutis milles võib leiduda väheses koguses piima- ja pähklitükke. Ei sisalda hüdrogeenitud (transarasvavabasid) taimseid rasvhappeid, sisaldab vahustatud lämmastikku.