Testējam e-me

No 4. oktobra mums beidzot ir pieejams ilgi gaidītais e-paraksts, jeb precīzāk izsakoties pakalpojumus ir sācis sniegt vienīgais Latvijā akreditētais uzticams sertifikācijas pakalpojumu sniedzējs (USPS) Latvijas Pasts.

Tā kā PKI lietas mani jau sen ir interesējušas, tad noteikti tuvākajā laikā arī iegādāšos savu e-paraksta digitālo sertifikātu, bet kamēr nāksies pagaidīt solītas pāris nedēļas līdz sertifikātu kartes saņemšanai, tikmēr iepazinos, kas ir pieejams pakalpojumu sniegšanas mājas lapā www.e-me.lv.

Tā kā termiņi bija degoši, tad saprotams un piedodami, ka sākotnējā web lapā bija daudzas nepilnības – lapās ir vairāki nestrādājoši linki, lapas ir tikai latviešu valodā (kaut gan augšā ir arī nestrādājoša izvēle pāriet uz angļu vai krievu valodu), ir tukšas informācijas sadaļas ar nosaukumiem “Atbalstītie lasītāji”, “Izstrādātājiem”, “Programmatūra”.

Bet bez šiem nepilnībām ir arī dažas būtiskākas, kuras akreditētam sertifikācijas pakalpojumu sniedzējam nedrīkstētu būt:

  • Sadaļā USPS politikas un noteikumi šie politikas dokumenti ir tikai angliski. Manuprāt, Latvijā akreditētam USPS ir jānodrošina šie dokumenti valsts valodā.
  • USPS politikās ir norādītas nestrādājošas saites http://www.e-me.lv/repository (kur būtu jābūt pieejamām visām politikām un USPS sertifikātiem) un http://www.e-me.lv/download (kur jābūt pieejamai brīvi piejamai programmatūrai)
  • Web lapās nevar nekur atrast TSA (time stamping authority) sertifikātu – tas rada aizdomas, ka laika zīmoga serviss vēl joprojām nav publiski pieejams

Tālāk papētīju iespējas, kā iespējams sameklēt izsniegtos sertifikātus. Viena iespēja ir izmantot sertifikātu meklēšanas web formu. Tajā ir iestrādāti kritēriji, ka lai sameklētu kādas personas sertifikātu jānorāda gan vārds, gan uzvārds, gan personas kods vai sertifikāta numurs – doma šādiem obligātajiem kritērijiem laikam bija tāda, lai kurš katrs nevarētu pēc personas vārda vai uzvārda noskaidrot personas kodu (kas ir iekļauts digitālajā sertifikātā).

Bet tajā pašā laikā pieeja pie sertifikātu meklēšanas ir arī caur publisku LDAP servisu ldap://e-me.lv un kā pārliecinājos, tur nav nekādi ierobežojumi pēc meklēšanas kritērijiem (ir vienīgi ierobežojums, ka tiek atgriezti tikai pieci pirmie rezultāti). Daži URLu piemēri, kurus varat izmēģināt ierakstot savā browserī:

  • ldap://e-me.lv/c=LV??sub?(cn=Aigars%20*tis)
    Atradīs personas, kuriem vārds ir “Aigars” un uzvārds beidzas ar “tis”
  • ldap://e-me.lv/c=LV??sub?(serialNumber=2706*)
    Atradīs personas, kurām dzimšanas diena ir 27. jūnijā
  • ldap://e-me.lv/c=LV??sub?(mail=*@mk.gov.lv)
    Atradīs personas, kurām e-pasts ir ar norādīto domēnu.

Piesakoties uz e-paraksta sertifikātiem pieteikšanās anektā skaidri ir ierakstīts, ka “Dodu savu atļauju manu personas datu iekļaušanai kvalificētā sertifikātā, kā izmantošanas gadījumā dati kļūs pieejami trešajām personām”, kā arī ir checkbox par to, ka piekrīt, ka sertifikāts tiek publicēts. Bet droši vien ne visi apzinās, ka līdz ar to viņi jebkuram interesentam internetā padara pieejamu savu vārdu, uzvārdu, personas kodu (no kā var noskaidrot dzimšanas datumu un vecumu) un norādīto e-pasta adresi.
Ja piepildīsies LP prognozes par to, ka drīzumā e-paraksta sertifikātu kartes iegādāsies daudzi desmiti vai pat simti iedzīvotāji, tad viņu LDAP serviss varētu būt ideāla datubāze e-pasta spameriem. Ņemot vērā, ka izsniegto sertifikātu numuri iet secīgi uz priekšu, tad būtu ļoti viegli uztaisīt programmiņu, kas iegūst visu sertifikātu īpašnieku vārdus, uzvārdus, dzimšanas datus un e-pasta adreses. Un tas viss par brīvu velti :)

Patreizējā brīdī mana pirmā rekomendācija būtu nenorādīt e-paraksta iesniegumā savu e-pasta adresi, ja jūs nevēlaties nokļūt kādā jaunā spama datubāzē. Savukārt LP būtu ierosinājums padomāt par iespējām samazināt LDAP direktorijā publicējamās informācijas apojomu un arī tur ieviest stingrākus kritērijus uz informācijas meklēšanu.

Nobeigumā gribēju vēl piebilst, ka atradu arī vecāko e-paraksta sertifikātu ieguvēju – ldap://e-me.lv/c=LV??sub?(serialNumber=111111-11111) – pilsoni SuperUser SuperUser, ar personas kodu 111111-11111 (tātad dzimis 1911. gadā) un kurš vēl joprojām strādā LP Sertifikācijas pakalpojumu dienestā. Tā kā šis sertifikāts tiek atzīts par derīgu arī e-me sertifikātu pārbaudes lapā, tad laikam tas tiešām nozīmē, ka nemirstīgais Supermens ir pārcēlies dzīvot pie mums :)

About these ads

2 Responses to Testējam e-me

  1. [...] Interesentus aicinu izlasīt arī Raimonda secinājumus par patreizējiem datu aizsardzības trūkumiem elektroniskā paraksta mājaslapā un Kaspara viedokli par elektroniskā paraksta cenu. [...]

  2. [...] Šis teiciens man ienāca prātā, kad pamanīju, ka e-me ir ieviesusi kaut kādus LDAP direktorijas pārlūkošanas ierobežojumus, bet savā web lapā nepublicēja, kādi tieši ir šie ierobežojumi. Savā iepriekšējā rakstā par šo tēmu jau rakstīju, ka sākotnējā versijā ar LDAP pārlūkprogrammām iekš ldap://e-me.lv varēja brīvi skatīties publicēto e-paraksta sertifikātu saņēmēju vārdus, viņu personas kodus un e-pasta adreses. Tas laikam neizskatījās pārāk labi, un tāpēc e-me ieviesa šos jaunos ierobežojumus, kā rezultātā vairs nevarēja šādā veidā skatīt visu LDAP saturu. [...]

Atstāj atbildi

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Mainīt )

Twitter picture

You are commenting using your Twitter account. Log Out / Mainīt )

Facebook photo

You are commenting using your Facebook account. Log Out / Mainīt )

Google+ photo

You are commenting using your Google+ account. Log Out / Mainīt )

Connecting to %s

Follow

Get every new post delivered to your Inbox.

%d bloggers like this: