ID-toe implementeerimise karid ja kuidas neid v - PowerPoint PPT Presentation

1 / 17
About This Presentation
Title:

ID-toe implementeerimise karid ja kuidas neid v

Description:

Veebirakendus saadab DDS le meetodiga PrepareSignature() allkirjastamissertifikaadi ja saab vastu allkirjastatava info r si. – PowerPoint PPT presentation

Number of Views:94
Avg rating:3.0/5.0
Slides: 18
Provided by: AhtoJ
Category:

less

Transcript and Presenter's Notes

Title: ID-toe implementeerimise karid ja kuidas neid v


1
ID-toe implementeerimise karid ja kuidas neid
vältida
  • Ahto Jaago, Sertifitseerimiskeskus
  • ahto_at_sk.ee

2
Ülevaade ID-tugi rakendustes mis see on?
  • ID-kaardiga seotud toimingud
  • Isikutuvastus ja allkirjastamine veebi- ja
    desktop-rakendustes
  • Krüpteerimine
  • Isikuandmete faili lugemine
  • Autoklaasi kraapimine jääst, või määrimine
    leivale
  • Mobiil-IDga seotud toimingud
  • Isikutuvastus
  • Allkirjastamine

3
Ülevaade vahendid ID-toega rakenduste
kasutamiseks (1)
  • Kasutaja arvuti
  • ID-kaardi korral ID-kaardi tarkvara
    (installer.id.ee), kaardilugeja, brauser,
    internetiühendus
  • Mobiil-ID korral brauser, internetiühendus,
    telefon
  • Sertifitseerimiskeskuse ...
  • ... tooted
  • ID-kaardi tarkvara lõppkasutaja arvuti jaoks
  • DigiDoc teegid allkirjastamiseks
  • ... teenused
  • OCSP sertifikaadi kehtivusinfo küsimiseks
  • DigiDocService ID-kaardiga allkirjastamiseks,
    Mobiil-IDga autentimiseks ja allkirjastamiseks,
    allkirjastatud failide kontrollimiseks
  • LDAP kehtivate sertifikaatide kataloog
  • CRL sertifikaatide tühistusnimekiri

4
Ülevaade vahendid ID-toega rakenduste
kasutamiseks (2)
  • Veebiserverid
  • Konfiguratsioon (SSL tugi, kasutajate
    sertifikaatide nõudmine/aktsepteerimine)
    ID-kaardiga autentimisel
  • Allkirjastamise komponendid (ActiveX (IE),
    Mozilla plug-in, Java Applet)

5
ID-kaardiga autentimine veebis (1)
  • Protsess
  • Kasutaja navigeerib lehele, kus autenditakse
    ID-kaardiga (https//)
  • SSL sessiooni loomine
  • Veebiserver pakub kasutajale enda sertifikaati
    kasutaja (brauser) usaldab või mitte
  • Veebiserver küsib kasutaja sertifikaati
    ID-kaardi sertifikaadi valikul küsitakse
    kasutajalt PIN1-te, mille peale allkirjastatakse
    (isikutuvastussertifikaadi salajase võtmega!)
    kliendi pool infojupp ja saadetakse koos kliendi
    sertifikaadiga veebiserverile, et server saaks
    klienti usaldada.
  • Kliendi sertifikaadi kehtivuse pärimine
  • CRL veebiserveri tasemel (Apache)
  • LDAP, OCSP veebirakenduse tasemel

6
ID-kaardiga autentimine veebis (2)
  • Eeldused
  • Kliendi arvuti
  • ID-kaardi lugeja, ID-kaart, interneti ühendus,
    paigaldatud ID-kaardi tarkvara (http//installer.i
    d.ee)
  • Veebiserver
  • Konfigureeritud SSL-tugi ja kataloogide/failide
    tasemel kliendisertifikaadi nõudmine/aktsepteerimi
    ne
  • Juhendid, näidised
  • www.id.ee ? Arendajale ? Veebiserverid ja
    ID-kaardiga autentimine
  • www.id.ee ? Arendajale ? Uute rakenduste
    loomine ? Sertifikaadi kehtivuse kontroll
    OCSPga

7
ID-kaardiga allkirjastamine veebis
  • Protsess
  • Veebirakendus saadab StartSession() meetodiga
    DDSile allkirjastatavad andmed.
  • Veebilehele laetud allkirjastamismooduli (ActiveX
    või Java Applet), abil loetakse ID-kaardilt
    allkirjastamissertifikaat.
  • Veebirakendus saadab DDSle meetodiga
    PrepareSignature() allkirjastamissertifikaadi ja
    saab vastu allkirjastatava info räsi.
  • Veebilehele laetud allkirjastamismooduli abil
    signeeritakse ID-kaardiga DDSilt saadud räsi
  • Veebirakendus saadab signatuuri
    FinalizeSignature() meetodiga DDSile allkirjaga
    varustatud faili moodustamiseks
  • Allkirjastatud faili saab veebirakendus DDSilt
    kätte meetodiga GetSignedDoc()

8
Mobiil-IDga autentimine veebis (1)
  • Protsess rakenduse vaade
  • Autenditava kasutaja sisestatud isikukood ja/või
    telefoninumber saadetakse veebirakendusest
    meetodiga MobileAuthenticate() SK
    DigiDocServiceile
  • Kui MobileAuthenticate() tagastab rakendusele
    staatuseks OK, siis näidatakse veebilehel
    kasutajale kontrollkoodi ja küsitakse regulaarse
    intervalli tagant meetodiga GetMobileAuthenticateS
    tatus(), mis seis kasutaja autentimisega on on
    see pooleli, lõppenud edukalt või mingi veaga,
    sõltuvalt sellest kas kasutaja on telefonis PIN1
    juba sisestanud või hoopis katkestanud, kas
    telefon on üldse levis jne.
  • Kas tundub keeruline? ?

9
Mobiil-IDga autentimine veebis (2)
10
Mobiil-IDga allkirjastamine veebis (1)
  • Protsess rakenduse vaade
  • Rakendus saadab DigiDocServiceile StartSession()
    päringu, andes kaasa allkirjastatava faili ja
    saab vastu sessiooni ID, mida kasutatakse
    järgnevates päringutes
  • Rakendus saadab DDSile MobileSign() päringu,
    andes kaasa allkirjastaja isikukoodi, riigikoodi,
    teenusenime jms parameetrid. Vastu saab
    kontrollkoodi, mida näitab välja ka kasutajale.
    MobileSign() väljakutse peale algatatakse
    allkirjastamisprotsess, mille käigus kasutaja
    telefonile tuleb allkirjastamispäring,
    kontrollkood ja nõue sisestada Mobiil-ID PIN2
  • Rakendus küsib peale MobileSign() päringu
    tegemist teatava intervalli järel meetodiga
    GetStatusInfo(), kaugele allkirjastamine jõudnud
    on, sõltuvalt sellest, kas päring jõudis kasutaja
    telefonile, kas kasutaja on PIN2 juba sisestanud
    või hoopis katkestanud jne.

11
Mobiil-IDga allkirjastamine veebis (2)
  • Protsess rakenduse vaade (jätk)
  • Kui GetStatusInfo() on lõpuks tagastanud staatuse
    SIGNATURE, siis allkirjastatud dokumendi saab
    küsida DDSilt meetodiga GetSignedDoc()
  • Viisakas on sessioon sulgeda CloseSession()
    meetodiga )
  • Jällegi kas polnud lihtne? ?

12
Dokumentatsioon, koodinäited, testkeskkond,
foorum, tugi (1)
  • Dokumentatsioon, koodinäited
  • www.sk.ee, alajaotus Tarkvara
  • www.id.ee, alajaotus Arendajale
  • Testkeskkond www.openxades.org, alajaotus Try it
    out
  • Päris Mobiil-ID sertifikaatide registreerimine
    testkeskkonnas (test-DigiDocServicei vastu)
    kasutamiseks
  • Test-DigiDocService https//www.openxades.org844
    3
  • Mobiil-ID test-numbrid rakenduste testimiseks
    erinevates kasutussituatsioonides
  • ID-kaardi allkirjastamissertide registreerimine
    test-OCSP teenusesse
  • Foorum
  • www.id.ee/foorum

13
Mobiil-ID sertifikaatide registreerimine
Dokumentatsioon, koodinäited, testkeskkond,
foorum, tugi (2)
  • Tugi
  • support_at_sk.ee
  • abi_at_id.ee

14
Plaanid, eesmärgid
  • Eesmärk
  • ID-kaardi ja Mobiil-ID toe lihtsam
    implementeeritavus
  • Plaanid
  • Parem (up-to-date) dokumentatsioon
  • Rohkem koodinäiteid
  • Arendajate vaheline tihedam suhtlus

15
Kokkuvõte tagasisidest (1)
  • Rohkem on implementeeritud isikutuvastust veebis
    või on selle vastu huvi
  • Dokumentatsioon on enamasti OK, kohati vananenud,
    kohati raskestiloetav, rohkem võiks olla
    inglisekeelset dokumentatsiooni
  • Rohkem koodinäiteid ja nö valmis tükke erinevate
    platvormide jaoks
  • Teema, valdkond on võõras, raske alustada
  • Võiks olla arendajate FAQ, BugTracker
  • Teegid võiks olla avatud lähtekoodiga

16
Kokkuvõte tagasisidest (2)
  • SK teenuste kvaliteet ja stabiilsus ning
    arendajate tugi on hea
  • Võiks lisada juhendeid ka teiste veebiserverite
    konfigureerimiseks (ID-kaardiga autentimise
    jaoks)
  • OpenXAdesest testkeskkonnana eriti ei teata
  • Pigem eelistatakse head dokumentatsioon ja
    näidisprogramme kui tasulist tuge

17
Kogemuste jagamise voor, küsimused
  • Karid?, Probleemid?, Küsimused? et kes on
    midagi teinud, mis on probleemiks olnud, mille
    otsa põrgatud sai?
Write a Comment
User Comments (0)
About PowerShow.com