Sertifitseerimiskeskus tegi valmis töötava näidise mobiil-ID-st, mis laseb inimesel end nutitelefoniga internetis turvaliselt tuvastada ja allkirjasta, kuid telefoni pole vaja panna spetsiaalset SIM-kaarti. See teeks mobiil-ID kogu maailma eksportimise oluliselt lihtsamaks ja ka lõppkasutaja võiks mugavalt kasutadanäiteks sõrmejäljelugejat.

Ülimugav, aga kõrge lävepakuga

Mobiil-ID on praegu ilmselt üks kõige mugavam viis üldse internetis täiesti turvaliselt tegutseda. Enda tuvastamiseks või seadusliku allkirja andmiseks on vaja ainult oma telefoni PIN-kood sisestada ja ongi kõik. Ent probleemiks on kõrge lävepakk: mobiil-ID kasutuselevõtmiseks tuleb minna oma mobiilioperaatori juurde, vahetada välja SIM-kaart, aktiveerida sertifikaadid jne. Kui ID-kaardi puhul on põhiline etteheide see, et näiteks telefonidel ja tahvlitel pole kaardilugejat, siis mobiil-ID hädaks ongi just SIM-kaardiga jändamine.

Seda mobiil-ID probleemi kinnitab ainuüksi statistika. Eesti inimesed, kes jubaon mobiil-ID kasutusele võtnud, tegutsevad sellega agaralt. Mobiil-ID-ga tehaksekeskmiselt 30 toimingut kuus ehk iga päev korra. ID-kaardi kasutajad teevad kuus poole vähem toiminguid.

Ent kokku on Eestis aktiivseid mobiil-ID kasutajaid ainult 69 000 –ID-kaarti kasutab internetis aktiivselt üle poole miljoni inimese.

Kui mobiil-ID kasutamine oleks lihtsam, saaks seda ka edukamalt eksportida ja teistes riikides ning turgudel kasutusele võtta.

Selle probleemiga maadlemiseks lükkas Sertifitseerimiskeskus (SK) – kes on Eestis riigi olulisim partner ID-kaardi ja mobiil-ID teenuste arendamisel – käima projekti EXMID. Koos Cybernetica krüptograafidega jaEASi (Eesti-Norra Green IT koostööprogrammi) finantseerimisel hakati lahendust otsima.

Väljakutse: kus on turvaline võtmeid hoida?

Eesti kasutab maailmas laialt levinud ja turvalist avalikku võtme infrastruktuuri (public key infrastructure ehk PKI), mis tähendab, et igaühel onavalik ja salajane võti. Mõlemaga koos saabki anda ja kontrollida digiallkirja või ennast internetis tuvastada. Kuna salajane võti peab olema kindlasti salajas, siis praktikas asub see mobiil-ID puhul SIM-kaardil krüpteerituna. Nii on see kaitstud varguse või kopeerimise eest.

“Kui meil ei taha kasutadaSIM-kaarti, kuhu siis oleks turvaline panna salajane võti?” selgitas uue põlvkonna mobiil-ID loomise põhiprobleemi Urmo Keskel. Ta on SK tootejuht, kes ekspordiprojektisosales.

Üks võimalus oleks see salvestada telefonis nt äpi sisse, aga oht on selles, et telefon on varastatav. Teine võimalus on telefonides olev riistvaraline turvamoodul (secure element), aga selle leiab ainult kallimatest telefonidest ja ei sobi seetõttu laiatarbeks. Sama lugu on mälukaardiga – paljudel telefonidel pole mälukaardilugejat. Hoiaks seda serveris, kust selle saab alla laadida? “Läti ja Norra teevad nii, aga meie Eestis ilmselt sellega ei lepiks,” viitas Keskel sellele, et Eestis on kõrgemad ootused turvalisusele ja privaatusele. Server võib osutuda “pahatahtlikuks” ja inimeste salajased võtmed varastada või osutuda häkkimise ohvriks.“Üks variant oleks õppida oma salajane võti pähe, aga see oleks ebareaalne,” lisas Keskel.

Mis siis üle jääb? “Paneme kaks asja kokku! Jaotame salajase võtme telefoni ja serveri vahel,” selgitas Keskel uue mobiil-ID lahendust.

Sõrmejäljega mobiil-ID

Lõppkasutaja jaoks tähendab see seda, et mobiil-ID kasutusele võtmiseks pole enam vaja operaatori juurest tuua spetsiaalset SIM-kaarti, kus salajane võti on. Telefonis on lihtsalt üks vastav äpp, millega saab end internetis tuvastada või allkirjastada. Selleks tuleb inimesel äpis sisestada oma PIN-kood, pool salajasest võtmest kombineeritakse serveris oleva teise poolega ja nii saabki digiallkirja anda või ennast autentida.

Server ei saaks poolikuid salajasi võtmeid kurjasti kasutada ja kui telefon kaob või äpp lahti häkitakse, poleks ka seal oleva pooliku võtmega midagi teha. Kui keegi asub äpi PIN-koodi kombinatsioone läbi proovima, peaks server Keskeli sõnul selle üle arvet ja liiga paljude valeproovide puhul läheb konto lukku.

Sellisel mobiil-ID-l, kus kõik toimub äpis, oleks inimese jaoks veelgi mugavamaid omadusi. Kui telefonil on turvaline sõrmejäljelugeja, saaks PIN-koodi asemel äpis hoopis sõrmejäljega ennast autentida või digiallkirja anda.

Uue põlvkonnamobiil-ID proovitehnoloogia ehkproof of concepttehtigi äsja valmis. "Lõppraporti saime alles teisipäeval kätte, nii et see on väga värske," kommenteeris Keskel. Mis kõige tähtsam, uue süsteemiga allkirjastatibdoc-failehk antidigiallkiri, mis ühildus täielikultEestis kehtiva digiallkirjasüsteemiga.

Lähemas tulevikus ei maksa aga loota, et saame SIM-id asendada äppidega.Keskeli sõnul on turuvalmis teenuse eelvaja lahendada mitu probleemi, et see saaks näiteks Euroopas aktsepteeritudturvalise teenuse sertifikaadi.EXMID projekt on näidistehnoloogia järel läbi ja edasi peab SK kaaluma äriplaani, kas ja kuidas see teenuseks teha.

Ent põhimõtteliselt on loodud samm tõesti lihtsalt kogu maailma eksporditavamobiil-ID loomiseks. “Jah, me saame teha uue mobiil-ID, mis on palju lihtsamini juurutatav,” kinnitasKeskel.