IDkaart: e-posti allkirjastamine

Muudetud 15.01.2002 11:50: pass.ee -> eesti.ee, isikukoodi 4 viimast kohta -> suvaline number

Nagu arvata võis tekitab IDkaardiga seoses kõige enam üldist elevust e-posti allkirjastamise teema ja seda tänu sellele, et e-posti programmides kasutusel olev S-MIME standard eeldab, et sinu e-posti aadress on kirjas kasutatavas sertifikaadis. Loomulikult võiks sertifikaati kirjutada mistahes aadressi vastavalt kaardisaaja soovile, aga … võimalikult lihtsalt sõnastades:

  • mis saab, kui see aadress on firma aadress ja sa töökohta vahetad?
  • kuidas saavad kaardi väljaandjad kontrollida, et aadress [email protected] või [email protected] on ikka nimelt sinu ehk kaardisaaja kontrolli all?

Probleemi lahenduseks on seega vaid üks tee: varustada kõik kaardisaajad “riiklike” e-postiaadressidega, nende kujuks on hetkel valitud [email protected] kus 0000 on arvuti poolt valitud suvaline number (eelnevalt oli plaan isikukoodi 4 viimast kohta, aga sellega ilmnesid siiski kattuvused; samuti oli alguses plaanis aadressid anda domeeni pass.ee alla — täna st 15 jaanuaril saadi kokkuleppele eesti.ee ehk kodanikuportaali domeeni kasutamise osas).

Mida selline postiaadress praktikas tähendab?

Loomulikult ei hakka eesti.ee postiserver konkureerima hot.ee, mail.ee, hotmail.com jne teenustega, olles pigem universaalne edastus- ehk forward-aadress — st sina loed oma lemmikut, nt tehnokratt-postkasti hot.ee all edasi, sest sinu [email protected] peale tulevad kirjad saadetakse lihtsalt automaagiliselt sinna hot.ee alla edasi. Ja kui sa ühel päeval otsustad oma e-postkastiga mail.ee alla kolida või töökohta vahetada, siis tuleb see [email protected] lihtsalt vastavalt ümber suunata.

Kuna e-posti toimimine on paljude jaoks raketiteadusest veidi keerulisem ala, siis tasuks asjatute küsimuste (mis saab, kui eesti.ee server seisma jääb korraks?) vältimiseks lahti seletada ka ühe allkirjastatud e-posti liikumine. Mängime selle läbi näiteks Outlook Express’iga, sest see peaks ka 28ndal täpselt nii toimima (vaata siia kõrvale ka suurte piltidega lugu draiverite installimisest, Outlook’i seadistamisest ja allkirjaga e-posti saatmisest-vastuvõtmisest.):

  • Seadistad Outlook Express’i nagu ikka — pop3/IMAP konto mida harilikult loed (nt [email protected]), SMTP ehk posti saatmise server aga nagu ikka sõltuvalt kasutatavast netiühendusest (nt mail.neti.ee, mail.online.ee vms)
  • Seadistad postikonto, kus saatja aadressiks [email protected] ja nimeks soovitavalt sinu nimi
  • Kirja kirjutades vajutad sisse nupu, et tahad allkirjastada
  • Saadad kirja mis iganes e-postiaadressil
  • Kirja saaja postiprogramm kontrollib, et saatja aadress ja sertifikaadis olev klapiksid, et sertifikaati ennast poleks kehtetuks tunnistatud ning et kiri on tõesti muutmata kujul kohale jõudnud

Seega saatmisel on ei kasutata eesti.ee serverit, aadress [email protected] on vajalik vaid sinu allkirja autentsuse tuvastamisel kirja saaja poolt (ja ka tema ei vaja selleks mitte eesti.ee, vaid hoopis Sertifitseerimiskeskuse ehk sk.ee omasid). Ja loomulikult Outlook lihtsalt ei luba sul valida allkirjastamiseks sertifikaati, milles on kirjas mõni muu aadress.

Loomulikult on nüüd olemas tõenäosus, et kirja saaja vastab sulle sinu [email protected] aadressil ja selleks on oluline, et sa seda aadressi loeksid — soovitavalt lihtsalt ümber suunates oma lemmik-postkasti.

Teistpidi on [email protected] vajalik e-posti krüpteerimisel

Ehk alusetu on arvata, et tulevikus ainult seda ühte postiserverit peab posti lugemiseks kasutama hakkama või et see megavõimas peab olema — tõenäoliselt jääb enamus meie e-postist saabuma siiski meie lemmik-aadressile mis iganes see ka ei oleks. Ja vaata kindlasti ka asja kohta käivat suurte piltidega ja vähese tekstiga lugu.

10 Kommentaarid

  1. Priit Roosimägi
    Lisatud 14. jaan. 2002 kell 08:38 | Püsiviide

    tänan, pets! :-)

  2. indrek
    Lisatud 14. jaan. 2002 kell 15:41 | Püsiviide

    Kuulge kuulge… See on täielik jama!!

    Ma mõtlen see, et selles emaili aadressis on neli viimast numbrit samad, mis on kodaniku isikukoodis viimased…

    Sel juhul saab isikukood täielikult avalikuks. St. et kui praegu veel pole minu isikukoodi avalikult levitatud (teades minu sünniaega ning elukohta saab selle peaaegu et kokku panna), siis nüüd on hakkab see kõigile kätte saadav olema…

    Ma leian, et see on minu privaatsuse räme rikkumine… sest isikukoodist ja selle teadmisest sõltub praegu päris palju (igal pool lepingutes on seda vaja, samuti küsitakse seda vahest riigiastutustes jne.)… ning senini on see siiski mõnevõrra salajane olnud.

    Ehket, pole ime, et valede inimeste surnuks kuulutamine aina tihedamini toimub… ja toimub veel tihedamini, sest üks osa saladusest, mis mul enda kohta on, saab avalikuks.

  3. Paulaner
    Lisatud 14. jaan. 2002 kell 18:01 | Püsiviide

    Mnjahh,
    kuid kas see ei ole mitte aadressi fakemine .. ja kui mailiserveris kasutatakse turvalisuse huvides m6ningaid kontrollimehhanisme (mx/ident/dns lookup) mis siis saab? Ntx sinu @pass.ee mailiaadress ei vasta v2lja saatmiseks kasutatava smtp serveri kirjele? IMHO see v6ib jamasid p6hjustada…

    rgrds
    Paulaner

  4. Peeter Marvet
    Lisatud 14. jaan. 2002 kell 23:23 | Püsiviide

    Indrekule — ma kahtlustan, et pigem on täielik jama isikukoodi nelja viimase numbri pidamine eriti salajaseks asjaks. Siinkohal kodune ülesanne lahendamiseks kõigile, kes nelja viimast numbrit salajaseks peavad: pakkuge välja võimalikult lihtne ja odav võimalus saada teada Peeter Marveti isikukood (minu käest küsimine ei lähe arvesse). Esimene endale pähe tulev (praktikas kontrollimata) on selline: Pets seotud Tehnokratt MTÜga niikuinii, seega lähen http://www.eer.ee, tasuline päring 10kr peaks andma ka MTÜ tähtsate ninade isikukoodid (vähemalt B-kaardi peal on need kirjas).

    Paulanerile — see ei ole mingi aadressi feikimine, minul on näiteks viimased paar aastat masinas “minu postiaadressiks” pets@goodwin, väljaminev postiserver vahelduva eduga mail.neti.ee ja mail.online.ee (vahel veel ka muud) ja POP3’e tõmbasin hulka aega uniprint.ee aadressilt… Ehk nagu ma ülalpool ka kirjutasin on postiserverite toimimine enamuse jaoks meist must maagia ja IDkaardi kasutuselevõtuga tuleb sellest väga-väga-väga palju rääkida, et kaoks sinu kahtlus feikimise suhtes ja tekiks asemele oskus oma postikontot õieti konfida (kui issand Eesti Telefonile ja Tele2’le jaksu annab, siis nad vahest nad korraldavad asja nii, et hot.ee ja mail.ee veebiposti lugejate jaoks vähemalt asi ilma mingite lisakonfimisteta toimiks).

  5. indrek
    Lisatud 15. jaan. 2002 kell 13:55 | Püsiviide

    okei, aga kui paljud inimesed on nn. “tähtsad ninad”?

    Ma mõtlesin oma kommentaaris esmalt seda, et avalikuks saavad nende inimeste isikukoodid, kes kusagil ei figureeri. Vaid on tavakodanikud (lihtad palgatöölised vms.). Nad ei pruugi teadagi, et nende nimel mingeid tehinguid tehakse (okei, ametlikult ei tohiks muidugi ainult isikukoodist piisata, et mingeid tehinguid teise inimese eest sooritada, kuid arvan, et praktikas tehakse sellistel puhkudel erandeid)

    Aga see uuem variant, et need neli numbrit genereeritakse, on parem. Minu arvates.

  6. erkie
    Lisatud 20. jaan. 2002 kell 19:26 | Püsiviide

    Aga mis saab nendest nimedest, kus täpitähed sees on? Kasutavad jutukates levinud õ=6, ö=8, ä=2, ü=y jne asendamist või?

    Ja selle alakriipsu asemel seal lõpus võiksid nad sarnaselt nime eristamisele punkti kasutada: [email protected]. Ja mis siis kui inimesel on rohkem kui üks eesnimi/prknimi, kas siis tulevad aadressid kujul: [email protected]? Naljakaks kisub juba…

    Muide mida üldse tähendab “varustada kõik kaardisaajad ‘riiklike’ e-postiaadressidega”. Kas igale kaardisaajale tehakse automaatselt @eesti.ee aadress?

  7. Peeter Marvet
    Lisatud 20. jaan. 2002 kell 22:05 | Püsiviide

    Jah, iga IDkaardi saaja saab endale ka e-posti aadressi, sest kaardi peal olevas serdis peab see kirjas olema (ja kõik kaardid varustatakse sertidega).

    • Romet
      Lisatud 19. veebr. 2002 kell 11:28 | Püsiviide

      Ma leian, et isikukoodi salastamine ei anna ID-kaardi kasutajale mingeid miinuseid, edasine audentimine toimub ju ID-kaardiga (teoreetiliselt) – lähed lepingut tegama annad kaardi, sisestad PIN’i ja ongi kõik.

      Aga see on veits jama, et kaarti pean ootama 45 päeva (alates 01.03.02 30 päeva) – kui ma kaardi ära kaotan, siis olen id-ta 30 päeva. 7 päevagi oleks liiast.

  8. Tarmo Vallist
    Lisatud 21. veebr. 2002 kell 05:06 | Püsiviide

    VeriSign pakub juba ilmatu ammu e-maili krüpteerimist ja Digital ID-d, hind on 14.95$ aastas.

    http://www.verisign.com/products/class1/index.html

    ja on integreeritud mingi smartkaardiga ka.

    http://www.verisign.com/client/litronic/index.html

    Ehk annab neilt šnitti võtta.

  9. Peeter Marvet
    Lisatud 21. veebr. 2002 kell 08:07 | Püsiviide

    neid pakkujaid tegelt teisigi, mh saab ka tasuta, vt http://www.thawte.com