Manuprāt, lielākā daļa piekritīs, ka e-paraksta ideja – iespēja elektroniski parakstīt dokumentus, iesniegt tos dažādām iestādēm nosūtot e-pastu , un parakstus pārbaudīt elektroniski – ir ļoti laba. Vairs nekāda dirnēšana garās rindās, nav jāmaksā notāram par paraksta apstiprināšanu, kā arī dokumentus var iesniegt no jebkuras vietas, kur pieejams interneta pieslēgums.
Izklausās ļoti labi. Gandrīz pārāk labi.
Šobrīd reāli Latvijā darbojas 3 dažādi e-paraksti, no kuriem tikai 2 varētu būt gana droši, un tikai vienu var iegūt komplektā nesaņemot to nedrošo, turklāt tas nav pieejams kuram katram.
E-paraksta veidi
- Latvijas pasta e-paraksts uzņēmumiem – EME (viedkarte)
- ID kartes, kuras var lietot pases vietā, ceļojot pa ES – eID (viedkarte)
- Virtuālais e-parasts (nāk komplektā ar eID, turklāt no tā nav iespējams atteikties)
EME
Sākumā tika ieviests EME. Šķiet, ka tas neguva pietiekoši lielu atsaucību, un pēc eID iznākšanas pie EME var pieteikties tikai uzņēmumi.
Neskatoties uz to, ka EME var pieteikt tikai caur uzņēmumu, tas vizuāli izskatās ļoti nenopietni.
eID
ID kartes, kuras izsniedz PMLP, ir Latvijā oficiāli atzīts dokuments. To var lietot ceļošanai pa ES, un, ja nemaldos, to var izmantot kā atgriešanās atļauju, ja tiek pazaudēta pase (ārpus ES).
Tajās ir RFID čips (tāds pats kāds jaunajās pasēs), kā arī e-paraksta viedkarte.
Virtuālais e-paraksts
Izstrādāts ķeksīša pēc?
Virtuālais e-paraksts ļauj parakstīt dokumentus portālā eparaksts.lv un ir drošs tikai tāpēc, ka tā ir ierakstīts likumā. 🙂 Realitātē tas ir pakļauts MITM uzbrukuma riskiem un tieši šī iemesla dēļ ar virtuālo e-parakstu parakstītus dokumentus nepieņem praktiski neviena nopietnāka iestāde.
Varētu vaicāt – kāpēc tad tika izveidots virtuālais e-paraksts?
Es varu tikai minēt, ka tas tika izveidots tāpēc, ka eID un EME lietošana ir gana sarežģīta, un lietošanas instrukcijas ir tik ļoti nepilnīgas, ka gadījumā, ja nebūtu izveidots virtuālais e-paraksts, tiktu sacelta liela jezga par kārtējo, ne līdz galam novesto e-paraksta risinājumu.
Potenciālās un reālās problēmas
Informācija par e-paraksta lietošanu
Sākumā šķiet, ka eparaksts.lv mājas lapa ir ļoti pārskatāma un labi strukturēta, bet brīdī, kad mēģini sameklēt sev nepieciešamo informāciju, rodas sajūta, ka pie sistēmas strādājuši pirmklasnieki. Informācija daudzās lapās dublējas, bet dažas lietas vienkārši nav iespējams sameklēt. Daļu tehniskās informācijas man bija vieglāk sameklēt Igaunijas e-paraksta mājas lapā, jo tā ir labāk strukturēta un informācija ir pilnīgāka.
OSX un Linux lietotājiem
Ja OSX (Apple) lietotājiem ir pieejama vismaz kaut kāda nepilnīga un greiza informācija par e-paraksta viedkaršu lietošanu, tad Linux lietotājiem pasaka, ka eparaksts.lv neatbalsta Linux operētājsistēmu, un kaut arī ražotājs (kas gan nekur nav norādīts) apgalvo, ka Linux ir atbalstīts, viņi par to neko nezin un nevēlas zināt.
Vairāk informāciju izdevās sameklēt pēc tam, kad vienā no PDF dokumentiem atradu karšu ražotāja nosaukumu, un tālāk jau palīdzēja Google.
Eparaksts.lv foruma administratori
E-paraksta mājas lapā ir arī forums, kurā ikviens var uzdot jautājumus.
Vecākos foruma ierakstos var novērot, ka foruma administratori uz sev nepatīkamiem jautājumiem cenšas atbildēt ar: “mēs par to neesam atbildīgi, ejiet pie PMLP”. Turklāt, palasot šīs tēmas, var secināt, ka pievienotās saites uz PMLP lapu vairākas reizes palikušas nederīgas. (Kāda velna pēc PMLP lapai tik bieži maina linku struktūru?) [1, 2, 3]
Ja sākumā eparaksts.lv foruma administrācija centās novelt vainu uz PMLP, tad ar jauno e-parakstu, kas būtībā ir identisks vecajam (+ virtuālais e-paraksts), tiek piekopta vilcināšanās stratēģija. [1]
Jaunākos ierakstos foruma administratori tēmās, kas saistītas ar OSX un Linux instalācijām, paprasa, kuru no e-paraksta veidiem jautājuma uzdevējs ir domājis, tādejādi vilcinot laiku, droši vien cerībā, ka jautājuma uzdevējs vairs neatgriezīsies. (Neviens lietotājs nepiesauktu operētājsistēmu, ja mēģinātu lietot virtuālo e-parakstu. Un pat ja piesauktu, priekš kam lieki tērēt cilvēku laiku? Uzreiz būtu uzrakstījuši, ka no Linux un OSX “ne bū, ne bē”, un lieta darīta.)
Mistiskie Latvija.lv paziņojumi
Mēģinot ar EME ielogoties portālā latvija.lv, parādās paziņojums, ka ar Firefox un Opera pārlūkiem nav iespējams ielogoties. [1] Kas tās par muļķībām?
Es vēlāk atšifrēju, ka tas paziņojums visdrīzāk ir domāts Windows lietotājiem, kuriem IE un Chrome pārlūki lieto Windows iebūvēto sertifikātu sistēmu, bet Firefox un Opera ir savas sistēmas, kas oficiāli netiek atbalstītas.
Tās tiešām izrādījās muļķības, jo beigu beigās man sanāca ielogoties no Firefox un Chrome gan uz Linux, gan uz OSX.
Es noteikti kādā no nākamajiem rakstiem pievienošu pamācību kā lietot e-parakstu OSX un Linux vidē.
E-paraksta standarts
E-paraksta dokumentiem ir savs standarts. Atvērts standarts. Atvērts standarts, kura dokumentācija hostējās Microsoft mājas lapā, bet saites uz tiem ir nomirušas.
…pag, tad ir open source, vai nav?
Izmeklējoties pa Google, pie dokumentiem var tikt caur lietuviešu adresēm, jo izskatās, ka Latvija mēģina Lietuvai piedāvāt tādu pašu standartu.
E-paraksta programmatūra
Šobrīd pieejamā e-paraksta programmatūra ir rakstīta programmēšanas valodā Java.
Labi, Java nav tā ātrākā, vai drošākā, bet vismaz būtu jādarbojas uz visām operētājsistēmām, vai ne?
Kind of…
Darbinot pārlūkprogrammu debug režīmā ievēroju, ka uz Linux eparaksta appleti meklē neeksistējošas bibliotēkas. Nezinu kāpēc tā, bet to izdevās atrisināt izveidojot symlinku uz ražotāja bibliotēku. Šķiet, ka tas tāpēc, ka PMLP piedāvātajās pakās bibliotēkām ir citi nosaukumi. Diez kāpēc tā? Vai tur ir kādi papildus pārsteigumi? 😀
Lejupielādei ir pieejama arī offline lietošanai paredzēta e-paraksta aplikācija (joprojām Java).
Tajā atverot jaunu dokumentu izlec dažādas izstrādātāja reklāmas. Es ceru, ka par to izstrādātājs valstij iedeva nelielu atlaidi. 🙂
Fun fact: Ideja par vēlēšanām internetā
Manuprāt, ja šobrīd vēlēšanas notiktu internetā, tad vai nu tajās caur internetu nobalsotu labi ja 0.1% vēlētāju (ja viedkaršu lietošana būtu obligāta), vai arī ļoti ticams, ka vēlēšanu rezultāti būtu sagrozīti (virtuālā e-paraksta potenciālo ievainojamību dēļ).
Fun fact: E-paraksta time stamp serveri darbina IIS
Man nav nekādu iebildumu pret Microsoft (ir gan) un kompilētu kodu, bet pārāk bieži ir redzētas problēmas ar caurumainu, nepārskatāmu bināru blāķi, ko beigās nav iespējams izlabot, jo ražotājs, protams, nav iedevis izejas kodu. Protams, tā nav problēma, ja Tev ļoti patīk darboties asemblerī. 🙂
Es ļoti, ļoti ceru, ka tuvākajā laikā netiks atrasta kāda Windows vai IIS ievainojamība, kas ļautu bojāt time stamp servera darbību.
Fun fact: Caurums e-paraksta forumā?
Apskatot foruma arhīvu, pēdējā lapā atradu ko interesantu.
Vai esmu vienīgais, kurš to pamanījis? Un ja ir šāds caurums, cik liela iespējamība, ka pārējā sistēma ir droša? 🙂
Problēmu risinājumi un pozitīvais
Es ieteiktu LVRTC darbiniekiem pakonsultēties ar zinošākiem Linux un OSX lietotājiem/administratoriem, lai izveidotu jaunu, derīgu pamācību, kā uz Linux uzinstalēt nepieciešamās bibliotēkas un draiverus, kā arī nomainīt kļūdu paziņojumus, lai lietotāji netiktu maldināti. Tas nav tik sarežģīti, vai neiespējami.
Pozitīvais
Eparaksts.lv foruma lietotāji
Ar e-paraksta foruma lietotājiem nav tik traki kā ar administratoriem. Vairāki lietotāji ir ierakstījuši tīri labas pamācības. Ja vēl strādātu programmatūras lejupielādes saites, un tiktu norādīts, ka pastāv arī programmatūra, kas domāta 64 bitu sistēmām, būtu pavisam labi. 🙂
Offtopic: Viedkaršu lasītāju SCR3310 no ebay var pasūtīt pa ~10 latiem.
Kad tomēr izdodas uzstādīt nepieciešamo programmatūru, lietot e-parakstu ir diezgan vienkārši un ērti.
Tiem, kuri nevēlas gaidīt, kamēr uzrakstu pamācību – jaunākie draiveri Windows, Linux, OSX sistēmām pieejami https://www.luxtrust.lu/en/simple/225
@Janamaja viens jautājums – kuras ir tās nopietnās iestādes, kas nepieņem ar virt eparakstu parakstītus dokumentus?
@janisz, piemēram uzņēmumu reģistrs – http://t.co/dIzTNa5V8z
@Janamaja neredzu, kur rakstīts “nepieņem”. Nevar latvija.lv ar virtuālo parakstīt.
@Janamaja Lielisks raksts! Par IIS lietošanu gan es teiktu, ka tā ir vienkārši paranoja. Nopačots & prātīgi konfigurēts IIS7 = viss ok.
@naivists, var jau būt, ka ir OK, bet ej nu uzmini kas tur ir. Nezinu vai LV tiek pie sources, bet RUS, USA un citi noteikti tiek.
@naivists, un paļauties uz to, ka tur nav explotiojami bugi vai backdoori – nevar. It sevišķi, ja sāks runāt par e-vēlēšanām.
@naivists, tad jau būtu par vēlu mainīt kārtējo e-paraksta sistēmu.
@Janamaja Es ticu,ka problēma ar laika zīmogu serveri būtu nevis caurumi IIS,bet līka konfigurācija un nespēja tikt galā ar pieprasījumiem:)
@naivists, nu jā, tā protams būtu cita problēma, kas izpaustos kā bremzēšana. Bet, manuprāt, viltotas balsis būtu lielāka problēma. 😉
@naivists, starpcitu, tajā forumā jau šobrīd kāds ir atklājis caurumu, kas tikai mazina uzticēšanos viņu spējām radīt ko drošu. 🙂
Gaidu lietošanas pamācību linuxīgajiem!
@Janamaja par konkrētā servera SSL konfigurāciju es arī priecājos: https://t.co/tRjuYQCwkS
@naivists, heh. 🙂
Daži mani santīmi:
1) Mazliet piesiešos pie šī: “Šobrīd reāli Latvijā darbojas 3 dažādi e-paraksti”. Saskaņā ar Elektronisko dokumentu likumu elektroniskais paraksts ir “elektroniski dati, kas pievienoti elektroniskajam dokumentam vai loģiski saistīti ar šo dokumentu, nodrošina elektroniskā dokumenta autentiskumu un apstiprina parakstītāja identitāti”. Es gan saprotu, ka pat LVRTC par e-parakstu sauc savu parakstīšanas risinājumu.
Tas par ko runā drīzāk būtu saucams par 3 LVRTC nodrošinātajiem parakstīšanas ar drošu e-parkastu veidiem. Pirmkārt, bez LVRTC nodrošinātajiem Latvijā tiek izmantoti ar citi e-parakstīšans veidi: piem., dažādi PGP rīki, citu valstu SPS (piem, igauņu AS Sertifitseerimiskeskus) izsniegtie sertifikāti, arī internetbankās izmantotās parakstīšanas sistēmas. Otrkārt, būtiski atšķirīgais LVRTC produktos ir tas, kur tiek uzglabāti sertifikāti – EME viedkartē, personas apliecībā vai pie LVRTC. Sertifikāti paši par sevi būtiski neatšķiras un vidusmēra lietotājs tik vienkārši neatšķirs ar ko ir parakstīts dokuments.
2) Peikritīšu, ka LVRTC par maz ir domājis par lietotāju. Lietojamība ir milzīga problēma. Pat uz Windows uzstādīšana nav vienkārša ikdienas lietotājam (aizņem krietni vairāk par vienu diviem klikšķiem), nemaz nerunājo par praktiska atbalsta neesamību OSX un Linux lietotājiem. Man gan pirms gadiem 2 sanāca uzlikt viņu uz Linux. Parakstīšana bija bez īpašām problēm, bet pie autentifikācijas gan visādi brīnumi mēdza izlīst.
Taču nepiekritīšu, ka virtuālais eParaksts ir izstrādāts ķeksīša pēc. No lietotāja viedokļa (vismaz idejiski) tas pat ir ļoti ērts – nevajag nekādas kartes (izņemot autentifikācijai), var lietot “on the go“. Ja vēl būtu atbalsts mobilajām ierīcēm.. Savukārt, kas attiecas uz drošību – tad gan tur vismaz teorētiski ir problēmas. Un drošs viņš ir tāpēc, ka uzraugs (DVI) to ir akreditējis – par atbilstību likumam domas dalās.
3) par i-vēlēšanām. Tas, ka sākotnēji būtu maz lietotāju, nav arguments, lai nedomātu par attīstību. Ar virtuālo e-parasktu nevarētu piedalīties vēlēšanās, jo tas nesatur autentifikācijas sertifikātu, t.i., ar to nevarētu autentificēties vēlēšanu sistēmā. Tur ir virkne citu drošības apsvērumu, kas liek piebremzēt ar i-vēlēšanu ieviešanu (grūti savienot aizklātību ar spēju pārliecināties, ka rezultāti nav sagrozīti).
Pievienoju pamācību Linux lietotājiem: http://www.janhouse.lv/blog/linux/e-paraksta-programmaturas-uzstadisana-uz-linux/
Tas ir tas ko man atbildēja no pmlp.gov.lv
________________________________________________
2013. gada 31. maijs 10:52 Inguss Treiguts rakstīja:
Vienīgais, kas nāk prātā ir virtualizācija. Pašreizējās eID starpprogrammatūras versijas Linuxam ir kompilētas uz 32 bitiem.
_________________________________
Inguss Treiguts
Personu apliecinošu dokumentu departamenta direktors
On 2013.05.31. 10:48, Edgars wrote:
> Man interesē Linux mint (Ubuntu), varbūt ir kāds apkārtceļa risinājums ko pagaidu varētu izmantot?
>
> 2013. gada 31. maijs 10:41 Inguss Treiguts rakstīja:
>
> Labdien,
>
> 64 bit Linux atbalsts ir ielikts sarakstā ar vēlamajām izmaiņām nākamajai starpprogrammatūras versijai.
> Kāds konkrēti distributīvs interesē?
>
> _________________________________
> Inguss Treiguts
> Personu apliecinošu dokumentu departamenta direktors
>
>
> On 2013.05.31. 9:53, Edgars wrote:
>
> Labdien.
>
> Man ir jautājums kā varētu darbināt eId karti ar 64bit linux sistēmu. Kad mēģināju uzstādīt starpprogrammu, bet instalācija nevar izpildīt atkarības – openssl:i386. Līdz ar to netiek atpazīta karte. 32bit sistēmā problēmu nav un vis darbojas. Vai ir iespējams kāds risinājums.
>
> Edgars
Nevajag ticēt visam, ko raksta tehniskā atbalsta cilvēki. 🙂
LOL. 🙂 Inguss Treiguts nav tehniskā atbalsta cilvēks, bet gan departamenta direktors. 😉