X-tee: usaldusteenused ning nende pakkujad

Usaldusteenused

X-tee kontekstis mõistetakse usaldusteenuste all:

• e-templi sertifikaati (sign sertifikaat)

• autentimissertifikaati (auth sertifikaat)

• sertifikaatide kehtivuskinnituse (OCSP – Online Certificate Status Protocol) teenust

• ajatempliteenust

E-templi sertifikaat väljastatakse seda taotlenud asutusele ning selle sertifikaadiga allkirjastatakse asutuse nimel tehtud päringuid. Nii tagatakse, et päringu on esitanud ikka seda teinud asutus.

Autentimissertifikaat väljastatakse konkreetsele turvaserverile ning seda sertifikaati kasutatakse teiste turvaserveritega suhtlemiseks. Kui turvaserver pöördub teise turvaserveri poole, siis mõlemad turvaserverid tõestavad ühendust luues just autentimissertifikaadiga, et tegu on õige turvaserveriga.

Sertifikaatide kehtivuskinnitus tõestab, et kontrollitav sertifikaat on sertifitseerimiskeskuse poolt tunnistatud kehtivaks. Vaikimisi uuendatakse kehtivuskinnitust iga 48 minuti tagant ning kehtivuskinnitust kontrollitakse kui kasutatakse kas e-templi või autentimissertifikaati.

Ajatempliteenus tembeldab turvaserveri sõnumid ajatempliga, et oleks võimalik hiljem vaadata milliseid sõnumeid mingi hetk saadeti. Ajatembeldatakse iga 48 minuti tagant.

Teadmiseks

X-tee turvaserverisse peab olema lisatud vähemalt 1 e-templi sertifikaat ja vähemalt 1 autentimissertifikaat. Kui turvaserver majutab ka teisi asutusi, siis peab sinna olema lisatud ka iga majutatud asutuse sign sertifikaat. Majutamisel on hea tava e-templi sertifikaate hoida eraldi allkirjastamisseadmel.

X-tee iseteeninduskeskkonnas saab sertifikaate tellida turvaserveris loodud CSR'i (Certificate Signature Request) alusel.

Turvaserveris CSR'ide loomist kirjeldavad järgmised juhendid:

• E-templi sertifikaadi CSR'i ja võtme loomine

• Autentimissertifikaadi CSR'i ja võtme loomine

Usaldusteenuste pakkujad

X-teel pakuvad usaldusteenuseid nii SK ID Solutions AS kui ka Riigi Infosüsteemi Amet . Et aidata nende vahel valida, oleme esile toonud paar olulisemat erinevust. 

NB! RIA poolt pakutav e-templi (SIGN) sertifikaadid on mõeldud ainult eraõiguslikele asutustele.

Olulisemad erinevused lahtiseletatult:

• Allkirjastamisseadme nõue: HSM (Hardware Secure Module) ehk allkirjastamisseade on vajalik asutuse identiteedi (e-templi sertifikaadi privaatvõtme) hoidmiseks, mille abil allkirjastatakse asutuse nimel turvaserveri poolt vahendatavad X-tee päringud.
  RIA ei nõua allkirjastamisseadme kasutamist, kuid tungivalt soovitame toodangu X-teel kasutada asutuse e-templi hoidmiseks füüsilist HSM seadet.

• Kvalifitseeritud sertifikaadid vs kvalifitseerimata sertifikaadid: Kvalifitseeritud sertifikaatide kasutamine on oluline tõendusväärtuse seisukohast. Need aitavad tagada, et kasutatavad sertifikaadid on seotud õigete osapooltega (autentsus). Riigi Infosüsteemi Amet ei ole eIDAS määruse raames kvalifitseeritud usaldusteenuse pakkuja.

• Riigi Infosüsteemi Ameti poolt väljastatav e-tempel on mõeldud eeskätt nendele erasektori X-tee liikmetele, kelle vahetatav andmete maht ei ole märkimisväärne ja kes ei vaheta üle X-tee tundlikku informatsiooni. Sobiva e-templi valimise otsuse langetab X-tee liige ise hinnates igakülgselt andmevahetuse eripärasid ning võimalikke riske andmete ja andmevahetuse turvalisusele.

Millal kasutada eIDAS määruse kvalifitseeritud sertifikaati?

Kvalifitseeritud sertifikaat on kui garantii, et sertifikaadi väljastamisel tuvastati füüsilise isiku identiteet ning kvalifitseeritud allkirja andmise vahend (HSM)  on kui garantii, et allkirja loomiseks kasutatavad andmed (privaatvõti) on kindlalt allkirjastaja ainukontrolli all. Kõik see on oluline kui tekib vajadus tagada päringute allkirjade tõendusväärtus. Kvalifitseeritud sertifikaate soovitame kasutada kui pakute andmeteenuseid, mis peavad mõnele turvastandardile (näiteks ISKE kõrge) vastama või kui vahendavate andmete puhul on tõendusväärtuse tagamine oluline.