Eneseabi

Hea TARA-ga liidestuja! Siit leiad valiku küsimusi, mis teistel on tekkinud - ja vastused.

Millist kaitset pakub TARA IT-kuritegude vastu?

PIN1 äraarvamisrünne. Ründaja võib üritada ära arvata PIN1-te. Kaitse äraarvamisründe vastu on sisse ehitatud ID-kaarti ja mobiil-ID-sse. Mõlemas autentimismeetodis peab kasutaja sisestama PIN-i. Kolme valestisisestamise korral kiibil olev sert lukustub. Märgime, et ründaja peab enne olema saanud oma valdusse ohvri ID-kaardi või nutiseadme. TARA siin täiendavat kaitsekihti ei paku.

mobiil-ID kelmusrünne. Ründaja võib alustada mobiil-ID autentimist, sisestades ohvri mobiilinumbri ja isikukoodi. Kui ründaja ei tea ohvri mobiilinumbrit või isikukoodi, siis ta võib üritada neid ära arvata proovimise teel. Ohvri mobiiltelefonil avaneb PIN1 küsimise dialoog. Kui ohver nüüd ei saa aru, mis toimub, tähelepanematusest või arusaamatusest sisestab PIN1, on ründaja ohvrina klientrakenduses autenditud. Kaitsemeetmeks on eelkõige inimese enda tähelepanelikkus: kui nutiseadmele ilmub PIN1 küsimise dialoog, siis peab alati kontrollima nii PIN1 küsijat (TARA puhul “RIA”) kui ka kontrollkoodi.

Tülitamisrünne. Ründaja võib alustada mobiil-ID autentimist, sisestades ohvri mobiilinumbri ja isikukoodi - või seda ära arvates - ka lihtsalt ohvri tülitamise eesmärgil. Teoreetilise kaitsemeetmena võib mõelda arvepidamist ühelt IP-lt võetud autentimisürituste kohta, kas TARA või klientrakenduse tasandil, ja teenuse piiramist ürituste piirarvu saavutamisel. See oleks tehniliselt keerukas ja võiks hakata takistama legaalseid autentimisi. Seepärast seda tehtud ei ole.

Teenusetakistusrünne. Ründaja võib, võimalik, et üritusi automeerides, algatada suurel arvul autentimisi, eesmärgiga klientrakenduse ja/või TARA ülekoormamise teel takistada teenuse osutamist. Osaliseks kaitsemeetmeks oleks robotiluku (Captcha) kasutamine. Poolt ja vastu argumente kaaludes TARAs robotilukku siiski praegu ei kasutata.

Need on ainult mõned võimalikest rünnetest. Kaitsemeetmeid on TARA-sse sisse ehitatud nii protokolli (vt Tehniline kirjeldus) kui ka selle teostuse tasandil. TARA käitamisel rakendatakse mitmesuguseid tehnilisi ja organisatsioonilisi kaitsemeetmeid isikuandmete kaitseks (vt Andmekaitsetingimused) TARA tarkvara on läbinud turvatestimise. Turvaolukorda jälgitakse pidevalt. Kokkuvõttes võib öelda, et TARA on turvaline.

Kui saate /oidc/token otspunktile tehtud päringu (identsustõendi küsimine) vastuseks veateate 401 unauthorized.

Kontrollige:

Vajadusel uue parooli saamiseks pöörduge teenusehalduri poole.

Kas on võimalik kasutada ühes klientrakenduses mitut redirect-URL-i?

Ei ole. Kasutatava platvormi tehnilise piirangu tõttu TARA praegu ei toeta mitut tagasipöördumisaadressi.

Kas TARA toetab single sign-on (SSO) lahendust?

Hetkel me ei paku SSO funktsionaalsust. Kui see peaks muutuma siis teavitame sellest kindlasti oma kliente.

Kas TARA-l on olemas health endpoint millega saaks monitoorida klientrakendust?

Hetkel health otspunkti väljapoole ei paku. SK teenuste tervise detailsem monitoorimine on küll kavas ja esimesel võimalusel teavitame sellest klientidele.

Miks on autentimispäringus üldse vaja redirect-URL-i näidata?

Tagasipöördumisaadress (redirect-URL) määratakse klientrakenduse registreerimisel. TARA põhineb OpenID Connect protokollil, mis näeb ette võimalust, et klientrakendusega seotakse mitu tagasipöördumisaadressi. Autentimispäringus peab klientrakendus TARA-le teatama, millisele registreeritud aadressidest soovib, et autenditud kasutaja tagasi suunatakse. Märgime, et kasutatava platvormi tehnilise piirangu tõttu TARA praegu ei toeta mitut tagasipöördumisaadressi. Klientrakendusega seome ühe tagasipöördumisaadressi ja see tuleb ka autentimispäringus näidata. Tagasipöördumisaadressi registreerimine aga on vajalik rünnete vältimiseks.

Lihtsamas keeles: Redirect-URL on selleks, et ise ka ikka meeles peaksite, mis URL-i te registreerimisel meile andsite. Muidu suuname teie kasutaja veel ei tea kuhu!

Kas autentimist saab teisele rakendusele edasi anda?

Vt siit.

Teatud juhtudel saab võõra ID-kaardiga sisse logida. See ei ole soovitav käitumine.

ID-kaardiga autentimisel küsitakse kasutajalt alati PIN1 koodi.

Kasutajamugavuse suurendamiseks sirvikud puhverdavad PIN1 koodi. See tähendab, et kasutajalt küsitakse PIN1-te üks korda, edaspidi töö käigus aga enam ei küsita (kasutajale mugav). Oht on aga selles, et kui kasutaja lahkub ilma sirvikut sulgemata ja arvutile pääseb ligi teine kasutaja, siis uus kasutaja võib ilma PIN1-te teadmata- puhverdamise tõttu seda temalt ei küsita - eelmise kasutaja nime all e-teenusesse sisse.

See on tõsine oht. PIN1 küsimine toimub kasutaja arvutis. TARA poolelt ei saa sirviku käitumist täielikult juhtida. Ohu vältimiseks peab kasutaja turvaliselt tegutsema:

“Veebilehitsejad võivad puhverdada (ajutiselt salvestada) aktiivse ID-kaardi sessiooni käigus sisestatud PIN1 ehk isikutuvastamise koodi. Selle tulemusel võib õnnestuda erinevatesse e-teenustesse sisselogimine ilma PIN1-koodi korduvalt sisestamata. PIN1-koodi „puhverdamist“ saab vältida, kui järgida järgmist kolme põhimõtet:

Allikas: www.id.ee, “Olulised turvanõuded ID-kaardi kasutamiseks”.

Täiendava meetmena on hea võõrast inimest oma isiklikku arvutisse üldse mitte lubada.

Samuti pakuvad sirvikud privaatsirvimise võimalust (private browsing). ID-kaardi kasutamisel sirviku privaatsirvimisaknas on suurem kindlus, et puhvrid ja kasutusajalugu tühjendatakse.

Millised on nõuded clientid-le?

clientid on autentimisteenust TARA kasutava rakenduse avalik identifikaator. Internetis on küll soovitusi valida clientid juhuslikult - siis on seda raskem ära arvata ja ründeid konstrueerida. Avalikus e-teenuses ei ole clientid peitmine siiski võimalik. Seetõttu soovitame clientid valida sisukana, s.t clientid peaks andma aimu rakendusest ja asutusest, samuti kas kasutatakse test- või toodangukeskkonda. Teenuse kasutajale on clientid nähtamatu. Kuna clientid edastatakse autentimispäringus, URL-i koosseisus, siis on lihtsam piirduda ladina tähtedega. Täpitähed on lubatud, kuid arvestada, et autentimispäringu URL-is edastatakse need URL encoded kujul. Miinus, punkt ja allkriips on lubatud. Kaldkriipsu korral arvestada, et URL encoded kujul on see %2F. clientid on tõstutundlik.

Autentimisdialoog avaneb, teen autentimise läbi, aga siis tuleb veateade Teenusele ligipääs suletud.

Kontrolli, et klientrakendus kasutab TARA poole pöördumisel õiget clientid-d ja tagasuunamis-URL-i (redirecturi). clientid tuleb anda autentimispäringus. Tagasisuunamis-URL tuleb anda nii autentimis- kui ka identsustõendi küsimise päringus. Need väärtused peavad täpselt vastama RIA-s registreeritutele. Kas oled neid väärtusi muutnud? Kas sul on mitu klientrakendust? Võib-olla nende väärtused on segamini läinud? Ülekontrollimiseks, milline clientid ja redirecturi on registreeritud, võib pöörduda RIA teenusehalduri poole.

OAuth2 teek üritab jwks otspunktist võtme võtmeidentifikaatori abil kätte saada, kuid see ei õnnestu.

Teenuse avaliku allkirjastamisvõtme otspunkt (https://tara.ria.ee/oidc/jwks) pakub praegu ühtainust võtit. See tuleb võtta ja kasutada. TARA edasiarendamisel (2018 lõpp - 2019 algus) lisame dünaamilise võtmevahetuse (key rollover). Siis saab võtit pärida võtmeidentifikaatoriga.

TARA ütleb, et Required+scope+<openid>+not+provided.

Põhjus - nagu ka teiste päringuparameetrite probleemide puhul - võib olla URL-kodeerimises. Skoobi eidasonly kasutamisel tuleb see saata koos skoobiga openid. Skoobid tuleb eraldada tühikuga (URL-encoded kujul: openid%20eidasonly). Saatmisel jälgida, et tühik URL-kodeeritakse, aga mitte rohkem, kui üks kord.

Mul ei ole tagasipöördumis-URL-is nõutud domeeni? Kas on lihtsam viis TARA testimiseks?

Testkeskkonnas võib tagasipöördumis-URL-ks valida ka localhost-i sisaldava URL-i. Sellisel juhul suunab TARA kasutaja pärast autentimist tagasi kasutaja masinas töötavale rakendusele. Toodangus localhost-i kasutada ei tohi.

Kas kõik spetsifikatsioonis nõutu tuleb teostada?

Jah, tegu on turvaprotokolliga, millest mittevajalik on juba eemaldatud. Kõik nõuded tuleb täita, sh testimisse puutuv. Mittekohustuslikud asjad, nt nonce kasutamine on, on selgelt markeeritud.

Kas veebilehitsejas küpsiste (cookies) salvestamine peab olema lubatud?

Jah, TARA kasutamiseks peab olema küpsiste salvestamine lubatud. Vastasel juhul võib tekkida veateade “Teie sessiooni ei leitud! Sessioon aegus või on küpsiste kasutamine Teie brauseris piiratud”.

Mida tähendab sõna “TARA”?

Vt: Joh. V. Veski, Sõna “tara” tähenduse asjus, “Uus Eesti”, 1936 (Rahvusarhiivi Digar-kogu)

 

Kui küsimustest ei saanud abi, siis pöördu kasutajatoe poole: help@ria.ee.

Riigi Infosüsteemi Amet · 2017-2019 · https://github.com/e-gov/TARA-Doku