Smart-ID

Allikas: Vikipeedia
Jump to navigation Jump to search

Smart-ID on SK ID Solutions ASi loodud elektroonilise identiteedi lahendus, mis hõlbustab e-teenustesse sisselogimist ja e-allkirjade andmist. Smart-ID rakendus töötab iOS ja Android operatsioonisüsteemiga nutiseadmetel ega vaja töötamiseks SIM-kaarti.[1] Smart-ID vastab Euroopa Liidu eIDAS regulatsiooni nõuetele ja arvestab Euroopa Keskpanga nõudeid tugevale autentimisvahendile.

Sertifitseerimise tulemusel on Smart-ID tunnustatud QSCD tasemel, mis on kõrgeim võimalik tase Euroopa Liidus. Smart-ID kasutajatel on võimalik anda QES tasemel digitaalallkirju.[2]

Seisuga 5.11.2019 kasutavad Smart-ID-d 2 548 436 kasutajat kolmes riigis (Eesti, Läti, Leedu), kellest 451 576 on Eesti kasutajad.[3]

Ajalugu[muuda | muuda lähteteksti]

SK ID Solutions tutvustas Smart-ID lahendust 2016. aasta novembris.[4] Veebruaris 2017 võtsid Smart-ID autentimisvahendina kasutusele eKool, Starman ja Tallinna Kaubamaja Grupp.[5] 2017. aasta märtsist alates oli võimalik Smart-ID-ga siseneda SEB Panga ja Swedbanki e-kanalitesse.[6] Samast ajast alates oli võimalik Smart-IDga kasutada ka Läti ja Leedu SEB ja Swedbanki e-teenuseid. Aprillist 2017 tunnustas Smart-ID-d ka DigiDoci portaal.[7] 2019. novembriks oli Smart-ID-ga seotud teenuseid üle 100.[8]

8. novembril 2018 teatas SK ID Solutions oma iga-aastasel SK Aastakonverentsil, et Smart-ID saavutas põhjaliku sertifitseerimisprotsessi järel QSCD (Qualified Signature Creation Device)[9] tasemel tunnustuse, mis on kõrgeim võimalik tase Euroopa Liidus ning mille tagajärjel said alates samast kuupäevast Smart-ID-ga liitunud kasutajad hakata Smart-ID-ga andma QES (Qualified Electronic Signature) tasemel digitaalallkirju, mis on võrdväärsed käsitsi antud allkirjadega ning mida on kohustus aktsepteerida kõikides Euroopa Liidu liikmesriikides.[2][10][11][12]

2019. aasta septembris sõlmisid SK ID Solutions ja Riigi Infosüsteemi Amet lepingu, mille raames hakkas Riigi Infosüsteemi Amet pakkuma oma autentimisteenuses Smart-ID-ga autentimisvõimalust riiklikesse e-teenustesse sisselogimisel. Riigi Infosüsteemi Ameti poolt pakutavat autentimisteenust kasutavad enam kui 60 avaliku sektori asutust ning avalike ülesannete täitjat.[13][14][15][16]

Kasutamine[muuda | muuda lähteteksti]

Smart-ID kasutamiseks peab laadima Google Play poest või Apple App Store’ist nutiseadmesse Smart-ID rakenduse. Vanimad toetatud opsüsteemide versioonid on Android 4.1 ja iOS 8.[17]

Smart-ID kasutamiseks on vaja internetiühendust (Wi-Fi või mobiil-Internet).

Smart-ID kasutab kaheastmelise autentimise põhimõtet: autentimiseks on vaja nutiseadet (asi, mis kuulub kasutajale) ning PIN-koode (asi, mida kasutaja teab).

Seejärel peab kasutaja registreerima endale Smart-ID konto, milleks on vajalik tuvastada isik ID-kaardi või Mobiil-ID abil. Smart-ID kasutamiseks vaja PIN1 ja PIN2-koode, mille saavad kasutajad luua samas rakenduses: võimalik on valida automaatselt genereeritud PIN1- ja PIN2-koodid, või need ise luua. PIN1 peab koosnema vähemalt neljast numbrist ja PIN2 vähemalt viiest numbrist.[18] Smart-ID PIN-koodid on erinevad ID-kaardi PIN-koodidest.

E-teenustesse sisenemisel peab kasutaja sisestama teenuse veebilehel kasutajatunnuse ning valima autentimismeetodiks Smart-ID. Seejärel kuvatakse e-teenuse leheküljel kontrollkood, mis peab olema sama Smart-ID rakenduses kuvatava kontrollkoodiga. Teenusesse sisenemiseks on vaja Smart-ID PIN1-koodi ning tehingute kinnitamiseks ja digitaalallkirjade andmiseks Smart-ID PIN2-koodi.[19]

Pärast registreerumist on Smart-ID konto aktiivne kolm aastat. Kontot on võimalik uuendada, muuta, kustutada igal ajal tasuta.[20]

Smart-ID on lisaks eestikeelsele kasutajaliidesele saadaval ka läti, leedu, vene ja inglise keeles.

Turvalisus[muuda | muuda lähteteksti]

Smart-ID kasutab Cybernetica AS poolt välja töötatud SplitKey Authentication and Digital Signature Platform tehnoloogiat, mille osas on Cybernetica AS esitanud patenditaotluse. Antud tehnoloogia tugineb avaliku võtme krüptograafia, digitaalallkirja skeemide ning PKI põhimõtetel.[21] Smart-ID turvalisus on tagatud jagatud võtmehalduse tehnoloogiaga ja PIN-koodidega. Kasutaja genereeritud PIN-koode ei salvestata kasutaja seadmesse ning neid kasutatakse ainult rakenduses asuva privaatvõtme dekrüpteerimiseks. Kui kasutaja sisestab PIN-koodi, dekrüpteeritakse privaatvõti ning saadud vastus saadetakse Smart-ID serverisse, kus lisatakse rakendusest tulnud võtmeosale serveripoolne krüpteeritud võti.[22]

Kolme järjestikuse vale PIN-koodi sisestamisel blokib rakendus kasutamise kolmeks tunniks. Kui seejärel sisestatakse uuesti kolm korda järjest vale PIN-kood, blokitakse kasutamine 24 tunniks. Kui ka seejärel sisestatakse vale PIN-kood kolm korda järjest, lukustatakse konto igaveseks. Kord juba loodud PIN-koode ei ole võimalik muuta ega taastada, selle asemel tuleb luua uus konto.[23]

Smart-ID kasutab rakenduse teavitamiseks serveris ootava info kohta Google'i ja Apple'i sõnumiplatvorme, muu kommunikatsioon toimub turvalise HTTPS-ühenduse kaudu.[24]

2019 õngitsemispettus[muuda | muuda lähteteksti]

Riigi infosüsteemi ameti (RIA) aprillikuu 2019 raportis kirjutatakse, et kõige tõsisemad juhtumid, mille osas alustas politsei kriminaalmenetlust, said alguse veebruaris ning võimendusid aprillis, mil kurjategijad üritasid õngitsussõnumeid ja -lehti ära kasutades luua võõra inimese nimel uut Smart-ID kontot. Petuskeem seisnes selles, et inimestele saadeti mobiiltelefoni tuntud panga nimelt sõnum, mis suunas näiliselt panga sisselogimisleheküljele ja sealt edasi õngitsuslehele mobiil-ID-ga sisse logima. Kui ohver oli sisestanud oma kasutajatunnuse, isikukoodi ja PIN1 koodi, alustasid kurjategijad samal ajal uue Smart-ID konto loomist. Inimeste tähelepanematust kasutades suunati teda tegema järgmisi vajalikke samme, näiteks sisestama PIN2 koodi, et Smart-ID konto loomine taustal lõpetada. Niimoodi said kurjategijad luua uue Smart-ID konto ja logida ohvri andmetega ning tema teadmata sisse erinevatesse e-teenustesse, kus on kasutusel Smart-ID, sealhulgas internetipanka. RIA-le teadaolevalt on seeläbi rahalist kahju kannatanud mitu inimest.[25][26]

RIA hindas pärast rünnakuid siiski Smart-ID-d turvaliseks vaatamata sellele, et kurjategijatel õnnestus selle abil varastada paljude inimeste identiteet. Ka pangad jätkasid teenuse kasutamist klientide autentimiseks.[27]

Hiljem, 2019 septembris SK ID Solutionsi ja RIA vahel sõlmitud lepingu üheks sõlmimise eelduseks oli, et Smart-ID läbib hindamisprotsessi, mille käigus tehti selgeks autentimisvahendi usaldustase. RIA poolt hindamisprotsessi läbi viinud töögrupp hindas Smart-ID „kõrge“ tasemega identimisskeemiks. Lepingu allkirjastamise järel võeti Smart-ID muuhulgas kasutusele ka riigi keskportaalis eesti.ee.[28]

Viited[muuda | muuda lähteteksti]

  1. Swedbank ja SEB Pank võtsid kasutusele Smart-ID, Swedbank, 08.03.2017
  2. 2,0 2,1 Smart-IDd tunnustati kõrgeimal tasemel, IT uudised, 8. november 2018
  3. "Home > ID.ee". ID.ee. Vaadatud 05.11.2019.
  4. SK tutvustas uut e-identiteedi lahendust Smart-ID, SK ID Solutions AS, 04.11.2016
  5. E-teenustes võetakse kasutusele uus autentimisvahend Smart-ID, Sertifitseerimiskeskus, 02.02.2017
  6. Smart-ID abil saab nüüd sisse logida Swedbanki ja SEB panka, Geenius, 08.03.2017
  7. Kolme riigi peale on Smart-ID saanud juba 100 000 kasutajat, Delfi, 04.04.2017
  8. "Teenused - Smart-ID". Vaadatud 05.11.2019.
  9. "Compilation of: Member States' notifications on: Designated Bodies under Article 30(2) and 39(2) of Regulation 910/2014 and Certified Qualified Signature Creation Devices under Article 31(1)-(2), and Certified Qualified Seal Creation Devices under Article 39(3) of Regulation 910/2014, and information from Member States on: Secure Signature Creation Devices benefiting from the transitional measure set in article 51(1) of Regulation 910/2014". 13.09.2019. Vaadatud 06.11.2019. Inglise.
  10. "Smart-ID turvalisust tunnustati kõrgeimal võimalikul tasemel". 09.11.2018. Vaadatud 05.11.2019.
  11. "Smart-ID turvalisust tunnustati kõrgeimal võimalikul tasemel". ITuudised, 08.11.2018. Vaadatud 05.11.2019.
  12. Pau, Aivar. "Tänasest saab digiallkirja anda uut moodi". Postimees Tehnika, 08.11.2018. Vaadatud 05.11.2019.
  13. "RIA võtab riiklikes teenuses kasutusele Smart-ID". 13.09.2019. Vaadatud 05.11.2019.
  14. "Riiklikes teenustes saab hakata kasutama Smart-ID-d". ERR Online, 13.09.2019. Vaadatud 05.11.2019.
  15. Vasli, Karoliina. "RIA võtab riiklikes teenuses kasutusele Smart-ID". Delfi Forte, 13.09.2019. Vaadatud 05.11.2019.
  16. "RIA võtab riiklikes teenuses kasutusele Smart-ID". Riigi Infosüsteemi Amet, 13.09.2019. Vaadatud 05.11.2019.
  17. "Nõuded nutiseadmele Smart-ID rakenduse* paigaldamiseks - Laadi alla". Smart-ID.com, 2019. SK ID Solutions. Vaadatud 2019-02-27.
  18. "Smart-ID - Smart-ID". Vaadatud 05.11.2019.
  19. "PIN-koodid: millega tegu?". Vaadatud 05.11.2019.
  20. "Kui kaua saan ma Smart-ID kontot kasutada?". Vaadatud 05.11.2019.
  21. Cybernetica. "SplitKey®". Vaadatud 05.11.2019. Inglise.
  22. "Smart-ID tehniline ülevaade". Vaadatud 05.11.2019. Inglise.
  23. "Turvalisus - Smart-ID". Vaadatud 05.11.2019.
  24. "Smart-ID dokumentatsioon". Vaadatud 05.11.2019. Inglise.
  25. RIA aprillikuu raport: kurjategijad lõid inimeste teadmata Smart-ID kontod, RIA, 14. mai 2019
  26. Hullem kui ID-kaardi kriis: Smart-ID turvaauk ajab pangad ja eksperdid ärevile, Geenius, 17. mai 2019
  27. Riik hindab Smart-ID-d ka pettustelaine järel turvaliseks lahenduseks, ERR, 20. mai 2019
  28. Pau, Aivar. "Eesti võttis ametlikult kasutusele Smart-ID". Postimees Online, 13.09.2019. Vaadatud 06.11.2019.

Välislingid[muuda | muuda lähteteksti]