EENetis arutletakse elektroonilise tuvastamise turvalisuse üle

14. mai 2014

Aeg-ajalt kostub arvamusi, et Eesti on e-arengus seisma jäänud. Kui e-pangandusest, e-maksuametist, digiallkirjast ja ID-kaardist on saanud igapäevaelu mugav ja lahutamatu osa, siis võib tunduda küll, et arengut pole: oleme nende teenustega nii harjunud.

Mis loomulik meile, ei pruugi seda olla naabritele. Autentimise ja sertifikaatide keerulises maailmas tahab teadus eeskuju näidata: rahvusvahelise organisatsiooni EUGridPMA eesmärk on arendada ja koordineerida usaldust ning poliitikadokumente e-teaduse (e-Science) autentimiseks Euroopas. EUGridPMAsse kuulub ligi 50 sertifitseerimiskeskust üle maailma ning koostööd tehakse ka teiste taoliste ühendustega. Eestit esindab EUGridPMAs Eesti Hariduse ja Teaduse Andmesidevõrgu EENeti hallatav Baltic Gridi sertifitseerimiskeskus (Baltic Grid Certification Authority).

Miks ja millal vajab teadusmaailm elektroonilist isikutuvastust ja digitaalset sertifikaati? Siis, kui on vaja tegeleda suurte andmemahtude ja rohkelt ressursse nõudvate arvutustega. Teadusharuti tuleb seda ette eelkõige füüsikas, aga ka geenitehnoloogias või näiteks meteoroloogias. Kõige tuntum näide on kindlasti CERN – Euroopa Tuumauuringute Keskus (The European Organization for Nuclear Research). Teadlased üle maailma saavad kasutada sealseid andmeid ja ressursse, kuna saavad ennast tuvastada ehk autentida.

Baltic Gridi sertifitseerimiskeskuse sertifikaatidega saab ligi Eesti Teadusarvutuste Infrastruktuuri (ETAIS) projektiga seotud arvutusressurssidele Tartu Ülikoolis, Keemilise ja Bioloogilise Füüsika Instituudis, Tallinna Tehnikaülikoolis ja EENetis. Samuti kasutavad Baltic Gridi sertifikaate paljud nimetatud arvutuskeskuste masinad, et saaks toimida ristkasutus ning vahetada usaldusväärselt andmeid.

„Teadlastel endil ei ole mõtet endale hankida suuri arvutusressursse, mida pidevalt ära ei kasutata. Otstarbekas on kasutada Eesti teadlaste ühist ressurssi. See aga eeldab, et teadlastel on hea moodus enda tuvastamiseks,“ selgitas EENeti hajusarvutuste osakonna projektijuht Piiu Pilt.

Mille poolest autentimine ligipääsuks sellistele andmemahtudele erineb lihtsast autentimisest internetipanka? „Isikusertifikaat on isikule väljastatud autentimisvahend, mis sisaldab ka asutuse infot, millega ta seotud on. Sertifikaadil on avalik võti ja salajane võti. Salajane võti on krüpteeritud ja selle lahti krüpteerimiseks on vaja PIN-koodi,“ selgitas Piiu Pilt. „Sertifikaate väljastatakse ka seadmetele. Nii saavad näiteks serverid, mis omavahel andmeid vahetavad, üksteist tuvastada ja seega andmeid usaldada. Ka isik saab sedasi kindel olla, et tegemist ei ole mingi suvalise masinaga.“

Turvalisuse tagamiseks on väga ranged protseduurilised ja tehnilised nõudmised. See võimaldab sertifitseerimiskeskust usaldada. Lühidalt peab X ülikooli X teadur sertifikaadi saamiseks tegema järgmist: ta genereerib spetsiaalsete tööriistade (näiteks OpenSSL) abil sertifikaaditaotluse, mis koosneb taotlusest endast ja sertifikaadi salajasest osast, mida hiljem kasutatakse allkirjastamiseks. Seejärel kohtub ta sertifitseerimiskeskuse esindajaga (Registration Authority) oma asutuses või esitab digiallkirjastatud taotluse, esitab isikut tõendava dokumenti, tõestab oma seotust asutusega ja edastab kontaktandmed.  Sertifitseerimiskeskuse esindaja veendub andmete õigsuses ning edastab need oma kinnitusega sertifitseerimiskeskusele (Certificate Authority), kes allkirjastab sertifikaadi. Teadur saab endale sertifikaadifaili, mis kehtib kõikjal, kus faili allkirjastanud sertifitseerimiskeskust usaldatakse.

„Sertifikaatide allkirjastamiseks kasutatavatele masinatele kehtivad ranged turvanõuded - näiteks on füüsiline ligipääs neile võimaldatud vaid autoriseeritud töötajatele ning kõiki toiminguid logitakse paberil. Allkirjastamiseks vajalikke võtmeid hoitakse seifides. E-teaduse (e-Science) sertifikaadid kehtivad maksimaalselt kolmteist kuud,“ kinnitas Piiu Pilt rangeid turvanõudeid. Aga turvariskid? „Turvariskid seisnevad põhiliselt jagatava arvutusressursi ebasihipärases kasutamises (näiteks teaduse asemel teenitakse isiklikku tulu), kuid on ka olukordi, kus võistlevate teadusgruppide jaoks on tulemuste konfidentsiaalsus oluline.“

Kuidas see kõik mõjutab Euroopa e-arenguid, elektroonilist isikutuvastust, digiallkirja aktsepteerimist? „Selleks, et Eesti ID-kaardiga antud allkiri kehtiks mistahes eluvallas mistahes riigis, olgu või Šveitsi pangas, on vaja taolist organisatsiooni nagu EUGridPMA on teaduse jaoks. See organisatsioon jälgiks eri riikide elektrooniliste isikutuvastusvahendite väljaandmise korda ja tehnilisi lahendusi ning koordineeriks osapoolte vahelist tegevust. Kahjuks pole veel paljudes riikides riiklikku elektroonilist isikutuvastust korraldavat asutust, samuti pole ühtseid standardeid nagu seda on e-Science sertifikaadid,“ selgitas Piiu Pilt, miks elektrooniline autentimine pole mitte igal pool sama enesestmõistetav kui Eestis.  

E-teaduse autentimise arenguks Euroopas, usalduse ning poliitikadokumentide koordineerimiseks loodud organisatsiooni EUGridPMA kohtumised toimuvad kolm korda aastas. 14.-15. mail võtab külalisi vastu Eesti. Kohtumisel tulevad jutuks sertifitseerimiskeskuste tulevikusuunad, õpetatakse, kuidas ehitada online- sertifitseerimiskeskusi ning arutatakse ka hiljuti suurt kajastust leidnud serveritarkvara turvaaugu Heartbleed mõju. Uusi sertifitseerimiskeskusi, mis on EUGridPMAga liitumas, esitlevad seekord näiteks Gruusia ja Keenia haridus- ja teadusvõrgud.

“Selleks, et meie allkirjastatud sertifikaate usaldataks, on olulised ühised arusaamised turvalisusest ja standardite järgimine. Samuti peab sertifitseerimiskeskus  läbi viima eneseauditeerimise (self-audit) ning esitlema oma tehnoloogiliste ja poliitiliste meetodite turvalisust,“ ütles Piiu Pilt.

Autor: Madli Leikop

 

Lisa kommentaar

Email again: