Skip to content

Eestile määrati president… jälle!

Kui valikut pole, siis see pole valimine, vaid lihtsalt ametissemääramine. Täna ja viis aastat tagasi juhtunu on risti vastu sellele mõttele, mida me demokraatlikult riigilt eeldame.

Tänane presidendivalimiste süsteem on ennast täielikult ammendanud. Kuna põhiseadus näeb ette selge võimujaotuse Riigikogu, Valitsuse ja Presidendi vahel, siis viimase otsevalimine on ainuke mõistlik lahendus. Poliitikud, kes üritavad leida põhjendusi, miks see nii olla ei saa, lihtsalt kardavad, et nende „pirukas jääb väiksemaks“ ja „võimu vähemaks“. Pole muret... ei jää.

Kuna presidendi otsevalimised eeldavad põhiseaduse muutmist ja see protsess on pikk, siis sobilik aeg sellega alustamiseks on nüüd.

Bullseye ehk Debian 11 on ilmunud

Natuke enam kui kaheaastase arendustöö järel ilmus eile Debiani uus stabiilne versioon koodnimega bullseye ning järjenumbriga 11. Väga kardinaalseid süsteemiuuendusi pole, aga väiksematena võib mainida systemd journali kasutamist põhilise logijana, on lisandunud exFAT'i kernelipõhine implementatsioon ja draiverivaba printeri ja skänneri kasutamise võimalus.

Bullseye's leiduvad kõik olulisemad graafilised liidesed:

Gnome 3.38,
KDE Plasma 5.20,
LXDE 11,
LXQt 0.16,
MATE 1.24,
Xfce 4.16,
Budgie 10.5.2,
Cinnamon 4.8.6.

Kokku on Bullseye's 59551 erinevat tarkvarapakki ning neist olulisemad on :

Apache 2.4.48
BIND DNS Server 9.16
Calligra 3.2
Cryptsetup 2.3
Emacs 27.1
GIMP 2.10.22
GNU Compiler Collection 10.2
GnuPG 2.2.20
Inkscape 1.0.2
LibreOffice 7.0.4
Linux kernel 5.10 series
MariaDB 10.5
OpenSSH 8.4p1
Perl 5.32
PHP 7.4
PostgreSQL 13
Python 3, 3.9.1
Rustc 1.48
Samba 4.13
Vim 8.2

Järgmise Debiani versiooni (12) nimi on teada ja selleks on bookworm ning ilmub ta jälle umbes kahe aasta pärast.

Matrixi arendus saab hoogu juurde - Element tõstab $30M

Suurim Matrixi protokolli, serverite ja klientide arendaja Element kaasas viimase aktsiaemissiooniga 30 miljonit USD ja investorite hulgas on Metaplanet ehk Jaan Tallinna investeerimisfirma.

Saame näha, kas Matrixi kasutus ka Eestis edenema hakkab.

Kiirvaade immuniseerimistõendile ning riigi veebirakenduste seadistamine

Eilsest on saadaval Covid19 immuniseerimistõendid. Logisin patsiendiportaali ja salvestasin enda oma ja vaatasin sisse.

Loodud on ta ilmselgelt riigipiiride ületamiseks ja seal tõendis leiduvad isikuandmed on piiride ületamisel niikuinii vajalikud ja peavad niikuinii olema muudes dokumentides kirjas.

Siseriiklik kasutamine on teine asi. Tegelikult ei ole restorani või kontserdile minnes sinu nimi ja sünniaeg üldjuhul oluline (siis muidugi tekib küsimus kuidas tuvastada et QR-koodi näitaja on sama isik, aga olemuselt tekib see ka kogu paberi näitamisel). Kui see peaks nõutavaks kujunema, siis eralda pdf failist qr-kood kas mõne sellekohase tarvikuga (näiteks: pdfimages covid-certificate.pdf covid-cert-qr-kood) või ekraanitõmmise meetodil ja salvesta vaid QR-koodi fail telefoni.

QR-koodis on selline url (YKSUUID, TEINETUNNUS, SINUISIKUKOOD asemel on tegelikud andmed):
https://vg.digilugu.ee/?url=https%3A%2F%2Fvg.digilugu.ee%2Fapi%2Fcertificates%3Fuuid%3DYKSUUID&s=TEINETUNNUS&i=person+identifier_SINUISIKUKOOD

Kui selle avad, siis näed niisugust pilti (konkreetsed väärtused on kustutatud).
Immuniseerimistõend kontrollvaade

Piiride ületamisel on selline detailsus võib-olla vajalik, aga siseriiklikult tegelikult mitte. Piisaks Jah/Ei tüüpi vastusest.

Tegelikult eriti ei oska immuniseerimistõendi sisu ja teostust väga kommenteerida. Hoopis jäid silma veebiserveri vg.digilugu.ee seadistused. Ja seda kahe nurga alt:

(1) SSL'i seadistused (neid saad mõõta testssl skripti või SSLLabs'i veebirakendusega), millest jäävad silma sellised vead:
- TLS 1.3 on puudu (sellise tasemega rakendusel seda eeldaks)
- TLS 1.2 pakub välja 21 šifrikomplekti, millest 17 on CBC-põhised ja neid pigem ei loeta mõistlikuks (eriti sellist tüüpi rakendusel)
- DNS CAA on puudu (sellise tasemega rakendusel seda eeldaks)
- sertifikaadiahela teostus pole ka kõige parem

(2) Serveri turvaseadistused (hinnatuna Securityheaders veebirakendusega)

Immuniseerimistõend kontrollvaade

Kui eelmises näites on asjaolud, mille üle saaks ehk natuke vaieldagi, siis siin on puhas plats:
- olemas on vaid HSTS
- puudu on CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy ja neid kõiki eeldaks sellise taseme rakendustest

Aga tegemist pole ükskikjuhtumiga, vaid laiema süsteemitusega. Kui vaatame samade töövahenditega (SSLTest/Securityheaders tänase päeva seisuga) president.ee (A+/C), valitsus.ee (A+/A), vm.ee (A/D), ria.ee (A+/A), kapo.ee (A+/C), eesti.ee (A+/C) ja teisi Eesti riigi saite, siis tulemused on väga ebaühtlased ning sarnaseid vigu leidub neist nii mõnelgi. Ja need SSLTesti A+ ja A-tulemused sisaldavad samamoodi nõrku šifrikomplekte, TLS 1.3 mittekasutamist ja puuduvat DNS CAA'd.

Läbipaistvuse osas mainin ka, et olen osalenud nii mõnelgi riigihankel, kus tingimuste osaks on olnud siinräägitud teemadest nö "maksimumnõuded". Oleks ju tore, kui riigi omad veebirakendused siis ka vastaks samadele tingimustele. Ja need tingimused oleks täidetud ühtlaselt.

vg.digilugu.ee saidi puhul tasub aga lisaks mainida kolme olulist asjaolu:
(1) Minu brauser annab märku katsest kanva andmete alusel arvutit profileerida - miks peaks selline tegevus vajalik olema ning missugustes kasutustingimustes see kirjas on?
(2) Kus on saidi privaatsustingimused? Kontrollvaates on kirjas valmistaja kaubamärk, aga eeldaks ka viidet selle saidi privaatsustingimustele. Mis andmeid vg.digilugu.ee saidi puhul logitakse, kaua logisid hoitakse ja kes ning kuidas neid töötleb? Kuna päringutes on isikukood olemas ja päringuid tegevaid kliente profileeritakse ning saab vähemalt ip-aadressi täpsusega tuvastada, siis annab mõlema poole andmeid huvitaval viisil kokku panna. Näiteks väliskasutuse kontekstis saaks sellisest andmekogust teada, mis riikides konkreetse isikukoodi kasutaja reisib ja kes kipuvad koos reisima, sisekasutuses aga joonistuks välja profiil sellest mis asutusi keegi külastab.
(3) Samast tehakse lisaks alampäring Guardtime saiti vaccine.gtuslabs.com. Kus on kirjas see teave mida sinna edastatakse? Ja siis tulevad selle otsa kõik eelmise punkti küsimused.

Eesti ID-kaardi tarkvara ehk open-eid v. 21.02 kasutamine Debian Bullseyes

Debian 11 ehk Bullseye külmutamisprotsess on piisavalt kaugel ning suuri muutusi enam ei tule ning ilmselt saavad ID-kaardi huvilised kasutada järgmist loogikat tarkvara paigaldamiseks.

Debianis teatavasti on võimalik kasutada Ubuntu jaoks mõeldud ID-kaardi tarkvara. Kuna nende kahe distro arendusprotsess on natuke nihkes, siis alati üks-ühele paigaldamine ei õnnestu. Nii on länud ka seekord - vajalik libxalan-c111 ei ole Bullseye's saadaval. Üldjoontes on kaks võimalust:

1) sul on kasutusel endine Buster, millele oled teinud distro-upgrade ning orphaner'iga pole seda üle käinud, siis on ta sul olemas, aga igaks juhuks vaata üle:

dpkg -l libxalan-c111 | grep libxalan-c111
ii libxalan-c111:amd64 1.11-9 amd64 XSLT processor library for C++

2) sul on puhas Bullseye või testing'u paigaldus, siis pead ta lisama näiteks Buster'ist

cd /tmp
wget http://ftp.ee.debian.org/debian/pool/main/x/xalan/libxalan-c111_1.11-9_amd64.deb
dpkg -i libxalan-c111_1.11-9_amd64.deb

Aga open-eid paigaldamine on olemuselt sama kui eelmisel korral:

wget -O /tmp/ria-public-2016.key https://installer.id.ee/media/install-scripts/C6C83D68.pub
apt-key add /tmp/ria-public-2016.key
echo '# open-eid ehk id-kaardi tarkvara' >> /etc/apt/sources.list
echo 'deb https://installer.id.ee/media/ubuntu/ focal main' >> /etc/apt/sources.list
apt update
apt install open-eid

Kuna apt-key kasutamine senines vormis lõppeb alates Debian 12'st, siis tekib võtme lisamisel hoiatus, kuid lisamine ise toimib.

Busterist üle kolides lihtsalt muuda repositoorium bionic'ust focal'iks ning tee:

apt update && apt upgrade

Varasemad artiklid id-kaardi tarkvara paigaldusest:

Suhtlus- ja koostöövõrk Matrix 2021. aasta alguses

Matrix teatavasti on avatud protokollil ning vabal tarkvaral põhinev suhtlus- ja koostöövõrgustik, kus kasutajad ise määravad, kus ja kuidas nende andmeid hoitakse ning teenuseid hallatakse.

Väga tehnilises mõttes on tegemist hajutatud ja replikeeritud andmebaasiga (andmeid ja metateavet sünkroniseeritakse kõikide osapoolte vahel nii, et kõik osapooled jagavad sama olekut), mille levinuim kasutus on hetkel sõnumite saatmine, kuid see, mida teha saad, piirdub vaid sinu fantaasiaga. Praktikas on sõnumitele lisatud tava- ja videokõnesid, failide jagamist, vidinate kasutamist (vidin on olemuselt jututuppa lõimitud veebileht) ja eri sorti roboteid.

Serverid:

  • igaüks saab paigaldada oma Matrixi serveri ning kas seda teed oma serveriruumis oma raudvaral või kasutad VPS'i on eelistuste ja valikute küsimus
  • kui ise serverit hallata ei taha, siis võid oma konto(de) jaoks kasutada tasuta (näiteks app.element.io või chat.privacytools.io) või tasulist teenust (näiteks ems.element.io või matrix.zerocarbon.shop)
  • kui kasutad oma serverit, siis see on avatud suhtluseks muude Matrixi serveritega üle maailma (mingis mõttes sarnaselt e-postile), aga kui soovid, siis loomulikult saad välissuhtluse sulgeda ning kasutada vaid teda oma organisatsiooni või sõpruskonna jaoks
  • kui lisad oma Matrixi serveri kõrvale oma Jitsi serveri, siis saad kergesti teha oma privaatse sõnumi-, koostöö ja videokõnelahenduse
  • levinumal serveril (synapse) olemas on LDAP-i integratsioon (ei pea eri süsteemides haldama erinevaid kasutajate andmekogusid)
Kliendid:

  • levinuim ja parima funktsionaalsusega klient on Element - saadaval töölauarakendusena Windowsi, OS X ja Linuxi jaoks, mobiilirakendusena Androidi (Google Play ja F-Droid rakendusepoest) ja iOS jaoks ning veebirakendusena (brauseripõhisena)
  • ka Nheko ja FluffyChat on üsna täieliku funktsionaalsusega
  • lisaks Quaternion, NeoChat ja Fractal on aktiivselt arendamisel
  • erinevad kliendid on kasutajaliidese loomisel läinud erinevat teed ning tasub võrrelda, mis tundub sulle sobivaim
  • tervikuna on eesti keelde tõlgitud Element, Nheko ja FluffyChat
Sõnumisillad:

  • Matrix on algusest peale kavandatud avatud lahendusena ning olemas on sõnumisillad muude suhtlussüsteemidega
  • Element (endine New Vector) ehk firma, kes enamus Matrixi arendustöid on teinud, on valmistanud sõnumisillad IRC, Slack'i, Gitteri ja Rocket Chat'i jaoks
  • laiem arendajate kogukond on teinud lahendused Signal'i, Telegram'i, WhatsApp'i, XMPP, Mattermost'i, Discord'i, Facebook Messenger'i, SMS'i, e-kirjade ja paljude muude süsteemide liidestamiseks
Kasutus:

  • Matrixit on arendatud kuus aastat ning alates 2019. aastast võib öelda, et lahendus on produktsioonikindel
  • eelmine aasta nägi Matrixi kasutuselevõtmist mitmetes Euroopa riigisüsteemides (enamus Prantsusmaa riigiasutusi toimib nüüdseks ühtses Matrixi võrgus, Bundeswehr kolis kõik igapäevase 4/NR suhtluse Matrixisse) ja paarikümnes ülikoolis (Saksamaal, Rootsis, Hollandis) ning suurtes vaba tarkvara projektides (KDE ja Mozilla on üle kolinud ja Fedora, SUSE ning Gnome parasjagu testivad seda võimalust)
  • artikli kasutamise ajal on Matrixi võrgus 60000 serverit 27 miljoni kasutajaga
Turvalisus ja privaatsus:

  • Matrixi krüptograafia aluseks on Double Ratchet-protokoll, mille põhjal on tehtud libolm teek ning selle laiendus megolm
  • sama krüptoprotokolli kasutavad ka Signal, Whatsapp, Wire, kuid me ei saa eeldada, et kõikjal on sama teostus
  • Double Ratchet on põhjalikult auditeeritud ning loetakse turvaliseks
  • lisaks elementaarsele ühenduse krüptimisele võimaldab Matrixi spetsifikatsioon kasutada läbivat krüptimist (E2EE ehk end-to-end encryption) ja see tähendab, et ka serveri haldaja ei saa lugeda seda mis teavet osapooled vahetavad (näiteks Element'is loodud uued kahe osapoole vestlused kasutavad alati läbivat krüptimist ning rühmavestluste puhul saab seda alati sisse lülitada)
  • kui läbiv krüptimine on vestluse puhul kasutusele võetud, siis sellest loobuda enam ei saa
  • korra suletud kasutajakontot ei saa enam kasutusele võtta ega samasse serverisse uut sama kasutajat luua
  • lisaks krüptimisele võimaldavad Matrixi kliendid (Element, Nheko, FlyffyChat) ka osapooli verifitseerida - see tähendab, et kasutaja tuvastab kõik oma seadmed ja märgib nad usaldusväärseks (selleks on kasutusel mitu eri meetodit, kuid kõige lihtsam on ikoonikomplekti võrdlemine kahes eri seadmes), samamoodi kaks osapoolt saavad välises kanalis kokku, tuvastavad üksteist ning märgivad üksteist tunnustatuks (samaga tunnustades ka üksteise seadmeid)
  • kliendid kuvavad krüptimata ja verifitseerimata ühendusi selgelt eristatava ikooniga
  • Matrix+Jitsi kombinatsiooni kasutamisel videokõnedeks ei ole hetkel läbiv krüptimine kasutusel (puhtalt Jitsi kõnede puhul on see juba võimalik)
  • sinu Matrixi koduserverisse on võimalik konto juurde salvestada sinu e-posti aadressi ning see võimaldab vajadusel taastada ligipääsu kontole, kuid seda ei pea tegema (aga siis taga, et sul salasõna, salafraas ja salavõti kindlasti alles on)
  • Matrixi võrgus on võimalik kasutada isikutuvastusserverit - sisestades oma kasutajakonto juurde e-posti aadressi ja telefoninumbri saavad teised kasutajad sind nende alusel leida (kuid see ei ole kohustuslik) ning kui sa seda ka teed, siis hoitakse andmeid isikutuvastusserveris räsitud kujul ning otsingutes võrreldakse räsisid
  • sinu Matrixi koduserver logib metateavet ning osa metateavet on salvestatud ka andmebaasis - kui sa kasutad välist teenusepakkujat, siis pead arvestama nende kasutustingimustega, kuid oma serveri puhul saad ise määrata logide säilitamise aja
Muud olulised asjaolud:

  • esineda võid päris nime või aliase all, lisada võid tunnuspildi või avatari, telefoninumbri ja e-posti aadressi kasutamine pole kohustuslik
  • vestlused võivad olle kahevahelised või rühmavestlused ehk jututoad
  • jututubadest saab moodustada kogukondi
  • sõnumeid saab muuta ja kustutada (kustutamine on nagu e-kirjade puhul - propageerumine üle serverite pole garanteeritud, kuid üldiselt see toimib)
  • serverist saab seadistada sõnumite automaatset kustutamist
  • toimivad lugemisteatised ja kirjutamisteatised
  • olemas on tavapärane vestlusrakenduste tudi-mudi, nagu reageerimised, kleepsupakid ja vilkuvad gif'id
  • enamus kliente võimaldavad kontakte ja jututubasid sildistada ja grupeerida
  • osa kliente toetavad serveripoolset otsingut ja urlide eelvaadet (näiteks Element)
Õiguslikud seosed:

  • Matrixi juured ulatuvad Iisraeli-USA taustaga firmasse Amdocs, kuid alates 2017. aastast tegutstakse eraldi organisatsioonina Euroopa jurisdiktsioonis ning seosed Amdocsiga puuduvad
  • alates 2018. aastast vastutab standardi haldamise ja arendamise eest The Matrix.org Foundation
  • kõik Matrix.org ja suur enamus Element Ltd loodud teekidest, serveri- ja klienditarkvarast ning sildadest on avaldatud vaba tarkvara litsentside all
  • tänaseks päevaks on Matrix muutumas oluliseks kiviks Euroopa riikide digitaalse suveräänsuse vundamendis
Lähitulevik:

  • lisandub SSO ehk autentimine süsteemide-ülese konto alusel (näiteks võid üsna varsti oma Google-kontoga logida mõnda Matrixi serverisse, kus see on lubatud)
  • selle aasta FOSDEM toimub Matrix+Jitsi platvormil virtuaalse üritusena 8500'le ḱasutajale
  • seni demotud serverivaba ehk P2P Matrix saab produktsioonisobilikuks
Hetkel on Matrixi klientides puudu:

  • võimalus ühes pruukida ühes kliendis mitut kasutajakontot (Nheko ja Mirage oskavad seda mingis mõttes)
  • kasutaja poolt määrata sõnumite kustutamise aega (spetsifikatsioonis on see võimalus olemas)
  • luua ja saata salvestatud helisõnumeid
  • sõnumilogi salvestamine failina (nagu IRC võimaldab)

Parim Matrixi klient Riot on nüüd Element

Matrixi põhiarendajate seltskond otsustas senise firmanime New Vector, põhitoote Riot (Riot.im) ning majutusteenuse Modular asemele kasutusele võtta uue nime Element. Pikem selgitus on nende ajaveebis. Uued rakendused ja paigalduspakid ilmuvad ilmselt lähipäevil.

Võrgu ja protokolli nimeks jääb ikka Matrix ning asja olemust see ei muuda - tegemist on parima läbivalt krüptitud, hajutatud ja födereeritud vabal tarkvaral põhineva suhtlusvõrguga. Teiste klientide nimed sellest ei muutu (Fractal, Spectral, Quaternion, Nheko, Nio, Ditto, FluffyChat jne) ning kõikidel kasutajatel peaks kõik töötama nagu seni.

Upgrading Riot Web to Riot Desktop in Debian, Ubuntu, Mint and other deb-based distos

New Riot.im app was released yesterday and it's name has changed.

When running standard upgrade from command-line you see:
$ apt update && apt upgrade
The following packages have been kept back:
riot-web

When you see what is upgradable you'll notice:
$ apt list --upgradable
riot-web/stable,stable 1.6.0 amd64 [upgradable from: 1.5.15]

The solution to get upgrade done is simple:
$ apt install riot-desktop
The following packages will be REMOVED:
riot-web
The following NEW packages will be installed:
libsqlcipher0 riot-desktop

Latest release of Riot is feature-heavy and among others makes verification a lot more simple and end-to-end encryption enabled by default for all new non-public conversations.

Riot is a good client for Matrix - an open network for secure, decentralized communication.

Eesti ID-kaardi tarkvara ehk open-eid v. 20.01 kasutamine Debianis

Kui just eelmisel aastal middleware kaasamisest tekkinud ajutine kaos välja arvata, siis hetkel on Debian 10 (aka buster) id-kaardi tarkvara paigaldus uus paigaldus lihtne. Pole vaja ei kombineerida ega midagi.

wget -O /tmp/ria-public-2016.key https://installer.id.ee/media/install-scripts/C6C83D68.pub
apt-key add /tmp/ria-public-2016.key
echo '# open-eid ehk id-kaardi tarkvara' >> /etc/apt/sources.list
echo 'deb https://installer.id.ee/media/ubuntu/ bionic main' >> /etc/apt/sources.list
apt update
apt install open-eid

Stretchist üle kolides lihtsalt muuda repositoorium xenial'ist bionic'uks ning tee

apt update && apt upgrade

Varasemad artiklid id-kaardi tarkvara paigaldusest:

Paar olulist asjaolu mida tavameedia ei rõhuta Ukraine International Airlines'i PS752 lennuõnnetuse kontekstis

Enamusel lennundust tundvatel inimestel tekkis Ukraine International Airlines'i lennu 752 (PS752) allakukkumise osas kiiresti hinnang, et tegemist oli ilmselt välise mõjuga ning peale kahepäevast rahvusvahelist survet on Iraan ka üles tunnistanud, et tema lastud õhutõrjeraketid selle katastroofi põhjustasid.

Tegelikult oli Iraani juhtkonnal loetud minutid peale PS752 lennukatastroofi teada, et nende õhutõrje on süüdi. Õhutõrjeraketid pole arbuusid, kus pole teada, kas kuhjas on neid tuhat või tuhat kaks tükki. Kõik õhutõrjeraketid on arvel ning nende kasutamine selgelt fikseeritud. Esialgne soov lugu kinni mätsida tehnilise vea süüks ajades, lõppes avalikkusesse jõudnud faktide tulvas kiiresti.

Iraan kasutab nii omatoodetud, kui Venemaalt imporditud õhutõrjerelvastust. OSINT analüütikud väidavad, et tegemist oli Venemaalt pärit oleva TOR-mudeliperekonda kuuluva raketisüsteemiga. Teatavasti sellist sorti tehnikaga kaasnevad ka Vene tehnilised ja sõjalised nõunikud ning laiemal üldsusel oleks ilmselt oluline teada nende osaluse või mitteosaluse kohta selles katastroofis.

PS752 lennukatastroof näitab veel kord, missugune inseneritöö on tänapäeva lennukiehituse aluseks. Seda ilmestab asjaolu, et kahe õhutõrjeraketi kartetšipilvega pihta saanud lennuk püsib õhus ja on suuteline tegema U-pööret, et lennujaama tagasi lennata (kuni häving muutub liiga suureks).

Ukraine International Airlines kasutas Tehereni lendudel tugevdatud meeskondi (linn ja lennujaam asuvad mägedevahelises orus). See tähendab, et kokpitis on tavapärase kahe asemel kolm liiget. Sellel lennul neist kolmest kaks kuulusid üle 10000-lennutunni klubisse (sh ka üle 10000 tunni antud konkreetsel Boeing B737 lennukitüübil) - see tähendab lennunduse mõistes väga suurt kogemust. Meeskond tegi sisuliselt võimatut, kui suutis kahest kartetšipilvest läbistatud lennukit, mis oli ilmselt kaotanud enamuse elektrisüsteemidest, hoida juhitavana ning sundida tagasi pöörama lennujaama suunas seni, kuni lennuki struktuur lõplikult järele andis. See tagasipöörde märge on pärit mitmete OSINT-uurijate käest. Uurimine näitab, kas see ikka nii juhtus ja kuidas see kõik täpselt juhtus. Viimaste faktide valguses võime loota, et see uurimine saab olema põhjalik.