Kirjutisi seinal

Täna ilmunud Debian bookworm'is on id-kaardi tarkvara paigaldamine või varasemast versioonist uuendamine lihtne. Seekord on Ubuntu ja Debiani arendusjärgud open-eid suhtes nii ilusti sünkroonis, et ühtegi lisakohendust pole vaja teha.

1) uuendamine eelmisest Debian versioonist
Kui uuendad varasemast Debian versioonist ja sul RIA avalik võti oli lisatud vanal meetodil (näed, et saad vea "Key is stored in legacy trusted.gpg keyring"), siis nüüd käib see teisiti ja tee ühte alljärgnevast (kui juba oli sel meetodil lisatud, siis ära muuda midagi):

kui arvuti on seadistatud sudo't kasutama:

wget -qO- https://installer.id.ee/media/install-scripts/C6C83D68.pub | sudo tee /etc/apt/keyrings/open-eid.asc

kui arvuti pole seadistatud sudo't kasutama:

wget -qO- https://installer.id.ee/media/install-scripts/C6C83D68.pub | tee /etc/apt/keyrings/open-eid.asc

Ning lisa /etc/apt/sources.list faili read:

# dist-urgrade focal->jammy aaaa-kk-pp
deb [signed-by=/etc/apt/keyrings/open-eid.asc] https://installer.id.ee/media/ubuntu/ jammy main

Ja tee tavaline uuendus:

apt update && apt upgrade

2) puhta Debian bookworm'i puhul on paigaldus selline (kõik tegevused juurkasutajana):

wget -qO- https://installer.id.ee/media/install-scripts/C6C83D68.pub | tee /etc/apt/keyrings/open-eid.asc
echo '# open-eid ehk id-kaardi tarkvara' >> /etc/apt/sources.list
echo 'deb [signed-by=/etc/apt/keyrings/open-eid.asc] https://installer.id.ee/media/ubuntu/ jammy main' >> /etc/apt/sources.list
apt update
apt install open-eid web-eid-firefox
(või Chromiumi eelistamise puhul)
apt install open-eid web-eid-chrome
(või nii Firefoxi kui Chromiumi kasutamise puhul)
apt install open-eid web-eid-firefox web-eid-chrome

Varasemad artiklid id-kaardi tarkvara paigaldusest:

• Debian 11 aka bullseye
  
• Debian 10 aka buster
  
• Debian 9 aka stretch
  
• Debian 8 aka jessie
  

Natuke vähem kui kaheaastase arendustöö järel ilmus eile Debiani uus stabiilne versioon koodnimega bookworm ning järjenumbriga 12. Väga kardinaalseid süsteemiuuendusi pole, aga väiksematena võib et wayland on laiemalt saadavalt, senine ntp on asendunud ntpsec'iga, kuid põhiline ajteenuse pakkuja on nüüd systemd-timesyncd. Mittevabad firmware pakid on koondatud uude reposse non-free-firmware. Bookworm on saadaval kokku üheksale arhitektuurile (sh loomulikult amd64, i386, arm64, armel, jne) ja leiduvad tõmmised levinud pilveteenuste jaoks.

Bookworm'is leiduvad kõik olulisemad graafilised liidesed:

• Gnome 43,
  
• KDE Plasma 5.27,
  
• LXDE 11,
  
• LXQt 1.2.0 (kogu liides on nüüd olemas ka eesti keeles),
  
• MATE 1.26,
  
• Xfce 4.18 (kogu liides on nüüd olemas ka eesti keeles),
  
• Budgie 10.7.1,
  
• Cinnamon 5.6.8.
  

Kokku on Bookworm'is 64419 (Bullseye's on 59551) erinevat tarkvarapakki ning neist olulisemad on:

• Apache 2.4.57
  
• BIND DNS Server 9.18
  
• Calligra 3.2.1
  
• Cryptsetup 2.6
  
• Emacs 28.2
  
• Exim 4.96
  
• GIMP 2.10.34
  
• GNU Compiler Collection 12.2
  
• GnuPG 2.2.40
  
• The GNU C Library 2.36
  
• Inkscape 1.2.2
  
• lighthttpd 1.4.69
  
• LibreOffice 7.4.5
  
• Linux kernel 6.1 series
  
• LLVM/Clang toolchain 13.0.1, 14.0 (vaikimisi), and 15.0.6
  
• MariaDB 10.11
  
• Nginx 1.22
  
• OpenJDK 17
  
• OpenLDAP 2.5.13
  
• OpenSSH 9.2p1
  
• OpenSSL 3.0.9
  
• Perl 5.36
  
• PHP 8.2
  
• Postfix 3.7
  
• PostgreSQL 15
  
• Python 3, 3.11.2
  
• Rustc 1.63
  
• Samba 4.17
  
• systemd 252
  
• Vim 9.0
  

Järgmise Debiani versiooni (13) nimi on teada ja selleks on trixie ning ilmub ta jälle umbes kahe aasta pärast.

Hiljuti kirjutasin, et ID-kaardi tarkvara qdigidoc4 jookseb kokku Debian Bullseyes. Tegemist oli veaga mis on dokumenteeritud siin Segfault with OpenSSL 1.1.1n and newer #1090 ning on parandatud Open EID versioonis 22.6.0.1926 siin Upgrade openssl 1.1.1m and fix crash with new openssl version #453.

Seega tehke oma Debianis uuendused nagu tavaliselt teete ning Digidoc'i kokkujooksmist enam ei teki. Kui panite ss'i pakkide uuendamise ootele ja tegite downgrade'i, siis ärge unustage see nüüd maha võtta:
aptitude unhold libssl1.1 openssl
apt update && apt upgrade

Kui teil ssl'i versioon on juba 1.1.1n-0+deb11u3, siis seda muret pole.

ID-kaardi tarkvara qdigidoc4 jookseb kevadel 2022 kokku Debian Bullseye's. Olen testinud vaid amd64 puhul ja teisi arhitektuure antud osas kommenteerida ei oska. Visuaalselt näeb see viga välja nii:

• uue allkirjastatud faili saad näiteks failihalduri kontekstimenüüst luua ja seejärel qdigidoc4 lõpetab töö, kuid allkirjadega fail üldjuhul on olemas
  
• allkirjafaili avamisel kuvab qdigidoc4 teadet "Laadin TSL-nimekirja" ja siis jookseb kokku
  
• niisama ilma failita käivitamisel qdigidoc4 toimib
  
• mõlemal kokkujooksmise juhul on syslog'is "qdigidoc4[$123456]: segfault at 1 ip $midagi sp $sedagi error 4 in libc-2.31.so[$veelmidagi]"
  
• muus osas open-eid tarkvara toimib (näiteks autentimine ja allkirjastamine brauseris)
  
• juhtub nii open-eid versiooni 21.6 kui 22.1 puhul

Põhjuseks pole aga libc ise, vaid viimane openssl'i versioon. Hetkel on ainus toimiv lahendus ssl teegi downgrade versioonini 1.1.1k-1+deb11u2. Kui sa turvakaalutlustel seda teha ei taha, siis Debianis hetkel head lahendust pole.

Downgrade'i jaoks leiad kaks vajalikud kaks pakki siit:

• https://snapshot.debian.org/binary/libssl1.1/
  
• https://snapshot.debian.org/binary/openssl/
  

Ja paigaldad nad käsurealt näiteks nii (olles juurkasutaja õigustes):

• dpkg -i openssl_1.1.1k-1+deb11u2_amd64.deb
  
• dpkg -i libssl1.1_1.1.1k-1+deb11u2_amd64.deb
  
• aptitude hold libssl1.1 openssl (et järgmise uuendusega nad ei läheks vahetamisele)
  

Eilse tormi järel linnas kõndides oli näha olukordi, kus tuul oli mõne Tuule külili lükanud. Kes veel ei teadnud, siis Tuul on eestlaste arendatud ja toodetud e-tõukeratas.

Kas Eesti on andmesuveräänne? Meil tõesti on oma PKI, X-tee ja selle otsas paar tuhat rakendust ning kriitilised andmed on turvalises riigis andmesaatkonnas. Selles mõttes justkui oleks kontroll oma andmete üle olemas.

Samas aga peaminister avaldab valitsuse plaane esmalt Facebookis ning alles hiljem ametlikus veebisaidis ja ajakirjanikud on harjunud neid sealt lugema. Riigikogu põhiseaduskomisjon korraldab oma koosolekuid Teams'is. Mõni maksumaksja poolt rahastatud amet või muu organisatsioon kasutab ühistöörakendusena Jira't, mõni aga Slack'i. Erinevatel valitsusasutustel on plaan oma tegevus viia Azure pilve. Huvitav, kui mitme riigiametniku telefoni on paigaldatud Yandex Taxi või Tiktoki äpp? Kui paljude Eesti ametite e-postiteenused asuvad reaalses Eesti serveris, mitte kusagil kauges pilves?

Kas peaministriproua ikka teab, et Facebook on Tiktoki järel üks privaatsusinvasiivsemaid andmekogusid ning profileerib sinu ja sinu ümbruskonna ülidetailselt. Kas see, missugune on parasjagu peaministri tervis, ikka on Facebooki asi?

Kas riigiametnikud ikka teavad, et Facebooki suhtluses ja Teams'is puudub läbiv krüptimine? Kõik info, mis seal liigub, on teenusepakkujal 100% loetav. Kõik andmed aga on kusagil pilves jumal teab mis füüsilises asukohas (ja see tõenäoliselt ei asu Eestis).

Kui mõne kriisi korral Eesti välisühendused ei toimi, siis kas ametnikud jäävad tummalt ekraani põrnitsema ja mõtlema, miks suhelda ei saa ja ajakirjanikud ootama olulisi sõnumeid Facebookist? Et valitsusel on veebisait olemas, see võib-olla on paljudel juba ununenud. Osa kasutajaid üldse ei saagi aru, et Facebook ei võrdu internet.

Kas riigiametitel on olemas sissetöötatud lahendus suhtlemiseks ja ühistööks olukorras, kus meie riigi välisühendused ei tööta? Veel parem, kas ta on ka selline, mis kriisi ajal suudab kasutada võrdõigusvõrku ega eelda tavapärase andmeside toimimist?

Kui paljud ametnikud ikka saavad aru, et nende telefonides leiduv Tiktok on Hiina luure üks suurepärasemaid infokogumisoperatsioone ning Yandex Taxi koos oma sõsarrakendustega sama asi Vene poolel?

Aga mis on lahendus? Väga lihtne, valime teenused, rakendused ja lahendused:
- mille eest sa ei maksa iseendast kauba tegemisega;
- kus on kasutusel läbiv krüptimine (E2EE - end to end encryption);
- mida sa saad ise Eestis majutada (kas kohalikus pilves või puhtal raual)
- mis on hajutatud ega sõltu sellest kuidas sinu üks teenusepakkuja oskab teenust üleval hoida;
- mis suudavad teiste sarnastega suhelda;
- mis põhinevad vabal ja avatud lähtekoodiga tarkvaral;
- mis on sisuliselt ja vormiliselt auditeeritavad.

Mis need siis oleks? Näiteks:
- Nextcloud ühistöö, failide, kontaktide jne jaoks
- Matrix sõnumite, ühistöö ja VoIP'i ja videokoosolekute jaoks (näiteks serveriks Synapse ja kliendiks Element)
- Jitsi Meet videokoosolekute jaoks

Kõiges selles osas Eesti täna ei ole andmesuverääne. Aga paljud Euroopa riigid on. Näiteks:
- Saksamaa Föderaalne infotehnoloogiakeskus (ITZBund) on kolinud märgatava koguse ministeeriume NextCloudi kasutama
- järgmisi Nextcloudi paigaldusi Saksamaal ei jõua enam kokku lugeda
- paar kuud tagasi otsustas GAIA-X (Euroopa födereeritud andmepilve projekt), et NextCloud saab alusplatvormiks
- Prantsusmaa 5 miljonit riigiametnikku toimetavad Matrix'i võrgus
- Bundeswehr on kõik oma igapäevase organisatsiooni sisemise ja väliste hankijatega suhtluse kolinud Matrixi võrku (kõik, mis on 4. riigisaladse lipuga, kangema kraami jaoks on jätkuvalt muud lahendused)
- meie TEHIK'u vaste Saksamaal kolib kõigi 80 miljoni sakslase patsiendiportaali suhtluse Matrix'i võrku
- Schleswig-Holstein'i liidumaa kolib kõik oma ametiasutuste töö mitte ainult oma rakendustesse, vaid ainult avatud lähtekoodiga tarkvaral põhinevatesse rakendustesse (märksõnad on jälle Nextcloud, Matrix ja muud sõbrad)
- paarkümmend saksa ülikooli on Matrixi võtnud kasutusele sõnumite ja ühistöö jaoks
- Matrix on kasutusel nii Austria, kui Suurbritannia valitsusasutustes

Kui valikut pole, siis see pole valimine, vaid lihtsalt ametissemääramine. Täna ja viis aastat tagasi juhtunu on risti vastu sellele mõttele, mida me demokraatlikult riigilt eeldame.

Tänane presidendivalimiste süsteem on ennast täielikult ammendanud. Kuna põhiseadus näeb ette selge võimujaotuse Riigikogu, Valitsuse ja Presidendi vahel, siis viimase otsevalimine on ainuke mõistlik lahendus. Poliitikud, kes üritavad leida põhjendusi, miks see nii olla ei saa, lihtsalt kardavad, et nende „pirukas jääb väiksemaks“ ja „võimu vähemaks“. Pole muret... ei jää.

Kuna presidendi otsevalimised eeldavad põhiseaduse muutmist ja see protsess on pikk, siis sobilik aeg sellega alustamiseks on nüüd.

Natuke enam kui kaheaastase arendustöö järel ilmus eile Debiani uus stabiilne versioon koodnimega bullseye ning järjenumbriga 11. Väga kardinaalseid süsteemiuuendusi pole, aga väiksematena võib mainida systemd journali kasutamist põhilise logijana, on lisandunud exFAT'i kernelipõhine implementatsioon ja draiverivaba printeri ja skänneri kasutamise võimalus.

Bullseye's leiduvad kõik olulisemad graafilised liidesed:

Gnome 3.38,
KDE Plasma 5.20,
LXDE 11,
LXQt 0.16,
MATE 1.24,
Xfce 4.16,
Budgie 10.5.2,
Cinnamon 4.8.6.

Kokku on Bullseye's 59551 erinevat tarkvarapakki ning neist olulisemad on :

Apache 2.4.48
BIND DNS Server 9.16
Calligra 3.2
Cryptsetup 2.3
Emacs 27.1
GIMP 2.10.22
GNU Compiler Collection 10.2
GnuPG 2.2.20
Inkscape 1.0.2
LibreOffice 7.0.4
Linux kernel 5.10 series
MariaDB 10.5
OpenSSH 8.4p1
Perl 5.32
PHP 7.4
PostgreSQL 13
Python 3, 3.9.1
Rustc 1.48
Samba 4.13
Vim 8.2

Järgmise Debiani versiooni (12) nimi on teada ja selleks on bookworm ning ilmub ta jälle umbes kahe aasta pärast.

Suurim Matrixi protokolli, serverite ja klientide arendaja Element kaasas viimase aktsiaemissiooniga 30 miljonit USD ja investorite hulgas on Metaplanet ehk Jaan Tallinna investeerimisfirma.

Saame näha, kas Matrixi kasutus ka Eestis edenema hakkab.

Eilsest on saadaval Covid19 immuniseerimistõendid. Logisin patsiendiportaali ja salvestasin enda oma ja vaatasin sisse.

Loodud on ta ilmselgelt riigipiiride ületamiseks ja seal tõendis leiduvad isikuandmed on piiride ületamisel niikuinii vajalikud ja peavad niikuinii olema muudes dokumentides kirjas.

Siseriiklik kasutamine on teine asi. Tegelikult ei ole restorani või kontserdile minnes sinu nimi ja sünniaeg üldjuhul oluline (siis muidugi tekib küsimus kuidas tuvastada et QR-koodi näitaja on sama isik, aga olemuselt tekib see ka kogu paberi näitamisel). Kui see peaks nõutavaks kujunema, siis eralda pdf failist qr-kood kas mõne sellekohase tarvikuga (näiteks: pdfimages covid-certificate.pdf covid-cert-qr-kood) või ekraanitõmmise meetodil ja salvesta vaid QR-koodi fail telefoni.

QR-koodis on selline url (YKSUUID, TEINETUNNUS, SINUISIKUKOOD asemel on tegelikud andmed):
https://vg.digilugu.ee/?url=https%3A%2F%2Fvg.digilugu.ee%2Fapi%2Fcertificates%3Fuuid%3DYKSUUID&s=TEINETUNNUS&i=person+identifier_SINUISIKUKOOD

Kui selle avad, siis näed niisugust pilti (konkreetsed väärtused on kustutatud).


Piiride ületamisel on selline detailsus võib-olla vajalik, aga siseriiklikult tegelikult mitte. Piisaks Jah/Ei tüüpi vastusest.

Tegelikult eriti ei oska immuniseerimistõendi sisu ja teostust väga kommenteerida. Hoopis jäid silma veebiserveri vg.digilugu.ee seadistused. Ja seda kahe nurga alt:

(1) SSL'i seadistused (neid saad mõõta testssl skripti või SSLLabs'i veebirakendusega), millest jäävad silma sellised vead:
- TLS 1.3 on puudu (sellise tasemega rakendusel seda eeldaks)
- TLS 1.2 pakub välja 21 šifrikomplekti, millest 17 on CBC-põhised ja neid pigem ei loeta mõistlikuks (eriti sellist tüüpi rakendusel)
- DNS CAA on puudu (sellise tasemega rakendusel seda eeldaks)
- sertifikaadiahela teostus pole ka kõige parem

(2) Serveri turvaseadistused (hinnatuna Securityheaders veebirakendusega)



Kui eelmises näites on asjaolud, mille üle saaks ehk natuke vaieldagi, siis siin on puhas plats:
- olemas on vaid HSTS
- puudu on CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy ja neid kõiki eeldaks sellise taseme rakendustest

Aga tegemist pole ükskikjuhtumiga, vaid laiema süsteemitusega. Kui vaatame samade töövahenditega (SSLTest/Securityheaders tänase päeva seisuga) president.ee (A+/C), valitsus.ee (A+/A), vm.ee (A/D), ria.ee (A+/A), kapo.ee (A+/C), eesti.ee (A+/C) ja teisi Eesti riigi saite, siis tulemused on väga ebaühtlased ning sarnaseid vigu leidub neist nii mõnelgi. Ja need SSLTesti A+ ja A-tulemused sisaldavad samamoodi nõrku šifrikomplekte, TLS 1.3 mittekasutamist ja puuduvat DNS CAA'd.

Läbipaistvuse osas mainin ka, et olen osalenud nii mõnelgi riigihankel, kus tingimuste osaks on olnud siinräägitud teemadest nö "maksimumnõuded". Oleks ju tore, kui riigi omad veebirakendused siis ka vastaks samadele tingimustele. Ja need tingimused oleks täidetud ühtlaselt.

vg.digilugu.ee saidi puhul tasub aga lisaks mainida kolme olulist asjaolu:
(1) Minu brauser annab märku katsest kanva andmete alusel arvutit profileerida - miks peaks selline tegevus vajalik olema ning missugustes kasutustingimustes see kirjas on?
(2) Kus on saidi privaatsustingimused? Kontrollvaates on kirjas valmistaja kaubamärk, aga eeldaks ka viidet selle saidi privaatsustingimustele. Mis andmeid vg.digilugu.ee saidi puhul logitakse, kaua logisid hoitakse ja kes ning kuidas neid töötleb? Kuna päringutes on isikukood olemas ja päringuid tegevaid kliente profileeritakse ning saab vähemalt ip-aadressi täpsusega tuvastada, siis annab mõlema poole andmeid huvitaval viisil kokku panna. Näiteks väliskasutuse kontekstis saaks sellisest andmekogust teada, mis riikides konkreetse isikukoodi kasutaja reisib ja kes kipuvad koos reisima, sisekasutuses aga joonistuks välja profiil sellest mis asutusi keegi külastab.
(3) Samast tehakse lisaks alampäring Guardtime saiti vaccine.gtuslabs.com. Kus on kirjas see teave mida sinna edastatakse? Ja siis tulevad selle otsa kõik eelmise punkti küsimused.