Smart-ID

Allikas: Vikipeedia
Jump to navigation Jump to search

Smart-ID on SK ID Solutions ASi loodud elektroonilise identiteedi lahendus, mis hõlbustab e-teenustesse sisselogimist ja e-allkirjade andmist. Smart-ID rakendus töötab iOS ja Android operatsioonisüsteemiga nutiseadmetel ega vaja töötamiseks SIM-kaarti.[1] Smart-ID vastab Euroopa Liidu eIDAS regulatsiooni nõuetele ja arvestab Euroopa Keskpanga nõudeid tugevale autentimisvahendile.

Sertifitseerimise tulemusel on Smart-ID tunnustatud QSCD (Qualified Signature Creation Device) tasemel, mis on kõrgeim võimalik tase Euroopa Liidus. Smart-ID kasutajatel on võimalik anda Qualified Electronic Signature (QES) tasemel digitaalallkirju, mis on võrdväärsed käsitsi antud allkirjadega ning mida on kohustus aktsepteerida kõikides Euroopa Liidu liikmesriikides.[2]

Ajalugu[muuda | muuda lähteteksti]

SK ID Solutions tutvustas Smart-ID lahendust 2016. aasta novembris.[3] Veebruaris 2017 võtsid Smart-ID autentimisvahendina kasutusele eKool, Starman ja Tallinna Kaubamaja Grupp.[4] 2017. aasta märtsist alates on võimalik Smart-ID-ga siseneda SEB Panga ja Swedbanki e-kanalitesse.[5] Samast ajast alates on võimalik Smart-IDga kasutada ka Läti ja Leedu SEB ja Swedbanki e-teenuseid. Aprillist 2017 tunnustab Smart-ID-d ka DigiDoci portaal.[6]

Kasutamine[muuda | muuda lähteteksti]

Smart-ID kasutamiseks peab laadima Google Play poest või Apple AppStore’ist nutiseadmesse Smart-ID rakenduse. Vanimad toetatud opsüsteemide versioonid on Android 4.1 ja iOS 8.[7]

Smart-ID kasutamiseks on vaja internetiühendust (Wi-Fi või mobiil-Internet).

Seejärel peab kasutaja registreerima endale Smart-ID konto, milleks on vajalik tuvastada isik ID-kaardi või Mobiil-ID abil. Smart-ID kasutamiseks vaja PIN1 ja PIN2-koode, mille saavad kasutajad luua samas rakenduses: võimalik on valida automaatselt genereeritud PIN1- ja PIN2-koodid, või need ise luua. Smart-ID PIN-koodid on erinevad ID-kaardi PIN-koodidest.

E-teenustesse sisenemisel peab kasutaja sisestama teenuse veebilehel kasutajatunnuse ning valima autentimismeetodiks Smart-ID. Seejärel kuvatakse e-teenuse leheküljel kontrollkood, mis peab olema sama Smart-ID rakenduses kuvatava kontrollkoodiga. Teenusesse sisenemiseks on vaja Smart-ID PIN1-koodi ning tehingute kinnitamiseks ja digitaalallkirjade andmiseks Smart-ID PIN2-koodi.

PIN1 peab koosnema vähemalt neljast numbrist ja PIN2 vähemalt viiest numbrist.

Pärast registreerumist on Smart-ID konto aktiivne kolm aastat. Kontot on võimalik uuendada, muuta, kustutada igal ajal tasuta. Smart-ID on lisaks eestikeelsele kasutajaliidesele saadaval ka läti, leedu, vene ja inglise keeles.

Turvalisus[muuda | muuda lähteteksti]

Smart-ID turvalisus on tagatud jagatud võtmehalduse tehnoloogiaga ja PIN-koodidega. Kasutaja genereeritud PIN-koode ei salvestata kasutaja seadmesse ning neid kasutatakse ainult rakenduses asuva privaatvõtme dekrüpteerimiseks. Kui kasutaja sisestab PIN-koodi, dekrüpteeritakse privaatvõti ning saadud vastus saadetakse Smart-ID serverisse, kus lisatakse rakendusest tulnud võtmeosale serveripoolne krüpteeritud võti. Kolme järjestikuse vale PIN-koodi sisestamisel blokib rakendus kasutamise kolmeks tunniks. Kui seejärel sisestatakse uuesti kolm korda järjest vale PIN-kood, blokitakse kasutamine 24 tunniks. Kui ka seejärel sisestatakse vale PIN-kood kolm korda järjest, lukustatakse konto igaveseks. Kord juba loodud PIN-koode ei ole võimalik muuta ega taastada, selle asemel tuleb luua uus konto.

Smart-ID kasutab rakenduse teavitamiseks serveris ootava info kohta Google'i ja Apple'i sõnumiplatvorme, muu kommunikatsioon toimub turvalise HTTPS-ühenduse kaudu.

Turvaauk[muuda | muuda lähteteksti]

Riigi infosüsteemi ameti (RIA) aprillikuu 2019 raportis kirjutatakse, et kõige tõsisemad juhtumid, mille osas alustas politsei kriminaalmenetlust, said alguse veebruaris ning võimendusid aprillis, mil kurjategijad üritasid õngitsussõnumeid ja -lehti ära kasutades luua võõra inimese nimel uut Smart-ID kontot. Petuskeem seisnes selles, et inimestele saadeti mobiiltelefoni tuntud panga nimelt sõnum, mis suunas näiliselt panga sisselogimisleheküljele ja sealt edasi õngitsuslehele mobiil-ID-ga sisse logima. Kui ohver oli sisestanud oma kasutajatunnuse, isikukoodi ja PIN 1, alustasid kurjategijad samal ajal uue Smart-ID konto loomist. Inimeste tähelepanematust kasutades suunati teda tegema järgmisi vajalikke samme, näiteks sisestama PIN 2, et Smart-ID konto loomine taustal lõpetada. Niimoodi said kurjategijad luua uue Smart-ID konto ja logida ohvri andmetega ning tema teadmata sisse erinevatesse e-teenustesse, kus on kasutusel Smart-ID, sealhulgas internetipanka. RIA-le teadaolevalt on seeläbi rahalist kahju kannatanud mitu inimest.[8][9]

RIA hindab Smart-ID-d turvaliseks vaatamata sellele, et kurjategijatel õnnestus selle abil varastada paljude inimeste identiteet. Ka pangad jätkavad teenuse kasutamist klientide autentimiseks.[10]

Viited[muuda | muuda lähteteksti]


Välislingid[muuda | muuda lähteteksti]