Töö juures läks nädala sees tuliseks teemaks minu ja Jaanuse vahel Nimelt uudise peale kus kirjutatakse, et pankadesse keelab EL sisse logimise koodikaartiga. Minu jaoks on hämmastav see, miks peaks mingi EL sellist asja nõudma? Mis kurat sellel süsteemil viga on, et see tuleb ÄRA KEELATA? Ma saan aru kui pank ise ei soovi sellist autentimist ja lõpetab ära, aga et see suisa EL direktiiviga nii tehakse??? Ainsa põhjusena oskasin ma välja tuua selle, et koodikaartiga panka logides ei näe riik kes millises pangas käib, et vajadusel inimese järele nii nuhkida oleks võimalik, et panka selle päringuga ei tülitataks. Ja siin siis sekkuski Jaanus, et ma olen liiga paranoiline ja vandenõu teemas kinni
Nimelt siis hakkas Jaanus väitma, et ID-kaardiga autentimisel sertifitseerimiskeskuses mingit jälge maha ei jää, et alles PIN2 korral ajatemplit määrates tehakse see päring keskusesse. Mina aga väitsin, et juba esmasel autentimisel (PIN1 korral) on sertifikaadi päring. Et aga Jaanus neis asjus tugevamate teadmistega on, ei saanud ta nõustuda ja mina tõmbasin joone alla, et uurin nende inimeste käest kes ID’ndusega vähe tõsisemalt kokku puutuvad.
Nii ma siis jõudsin Aixi juurde, programmeerija, kes on loonud ID-kaardi mooduli Joomla jaoks. Ja siis selgus, et ideeliselt on meil mõlemal õigus. Ma nüüd tõlgin selle teksti pisut maisemaks ja väga detailidesse ei lähe, aga asi on midagi sellist:
PIN koodid on laias laastus vajalikud selleks, et sinu ID-kaardi kiibilt saaks lugeda seal olevaid sertifikaate. Neid on kaks, üks avalik ja teine privaatne ning kummalegi juurdepääsemiseks on vaja PIN koodi. Oma ID-kaardilt andmete vaatamiseks pole netiühendust vaja. Läheme edasi teenustesse logimise juurde.
Teenustesse logimiseks ja autentimiseks on kaks viisi, sisuliselt üks siis Jaanuse pakutu ja teine minu pakutu Kui ID’ndus serveris on sätitud nii, et kõik juurserdid ja tühistusnimekirjad on lokaalselt salvestatud, siis sinu ID-kaardiga autentimisel valideeritakse sinu sert sealsega. Sellisel juhul sertfitseerimiskeskusesse päringut ei tehta. Kui nüüd aga sellises keskkonnas allkirjastatakse midagi, siis pöördutakse sertifitseerimiskeskuse poole ja märk ’riigi’ jaoks saab maha pandud.
Teine variant on see, et autentimiseks tehakse sertifitseerimiskeskusesse OCSP päring (kehtivuskinnituse päring) ja nii on kohe märk maas. Väljavõte Aixi jutust „OCSP puhul on autentimine kolmeetapiline: kasutaja saadab serdi autentimise serverisse, mis omakorda küsib üle OCSP sertifitseerimiskeskusest kas vastav sert on valiidne ja saab vastuse tagasi.” Mobiili-ID ja Smart-ID aga käivad alati kontrollimas, ehk nö märk saab maha: „skeem selline, et kasutaja teeb päringu autentimise serverisse kuhu logida soovib, seal tehakse päring sertifitseerimiskeskusesse ning näidatakse kasutajale kinnituskoodi, sertifitseerimiskeskus saadab kasutaja seadmesse teate kus kuvatakse sama koodi ja küsitakse PIN’i, õige PIN korral saadetakse autentimise serverile teade õnnestumise kohta.”
Niisiis võib selle jutu põhjal väita, et kaalukauss oli pigem minu poole, aga vahet pole Igatahes jääb minu jaoks arusaamatuks EL sekkumine selles, no kohe kiuste tekib tunne, et see on siiski välja mõeldud kindla nuhkimise tagamaaga
NB! Kui nüüd keegi targem leiab minu jutus tehnilisi vigu, siis palun kohe kommenteerida ja teen vajalikud parandused.