Skip to content

Eesti ID-kaardi tarkvara ehk open-eid v. 23.3 kasutamine Debian bookworm'is

Täna ilmunud Debian bookworm'is on id-kaardi tarkvara paigaldamine või varasemast versioonist uuendamine lihtne. Seekord on Ubuntu ja Debiani arendusjärgud open-eid suhtes nii ilusti sünkroonis, et ühtegi lisakohendust pole vaja teha.

1) uuendamine eelmisest Debian versioonist
Kui uuendad varasemast Debian versioonist ja sul RIA avalik võti oli lisatud vanal meetodil (näed, et saad vea "Key is stored in legacy trusted.gpg keyring"), siis nüüd käib see teisiti ja tee ühte alljärgnevast (kui juba oli sel meetodil lisatud, siis ära muuda midagi):

kui arvuti on seadistatud sudo't kasutama:

wget -qO- https://installer.id.ee/media/install-scripts/C6C83D68.pub | sudo tee /etc/apt/keyrings/open-eid.asc

kui arvuti pole seadistatud sudo't kasutama:

wget -qO- https://installer.id.ee/media/install-scripts/C6C83D68.pub | tee /etc/apt/keyrings/open-eid.asc

Ning lisa /etc/apt/sources.list faili read:

# dist-urgrade focal->jammy aaaa-kk-pp
deb [signed-by=/etc/apt/keyrings/open-eid.asc] https://installer.id.ee/media/ubuntu/ jammy main

Ja tee tavaline uuendus:

apt update && apt upgrade

2) puhta Debian bookworm'i puhul on paigaldus selline (kõik tegevused juurkasutajana):

wget -qO- https://installer.id.ee/media/install-scripts/C6C83D68.pub | tee /etc/apt/keyrings/open-eid.asc
echo '# open-eid ehk id-kaardi tarkvara' >> /etc/apt/sources.list
echo 'deb [signed-by=/etc/apt/keyrings/open-eid.asc] https://installer.id.ee/media/ubuntu/ jammy main' >> /etc/apt/sources.list
apt update
apt install open-eid web-eid-firefox
(või Chromiumi eelistamise puhul)
apt install open-eid web-eid-chrome
(või nii Firefoxi kui Chromiumi kasutamise puhul)
apt install open-eid web-eid-firefox web-eid-chrome

Varasemad artiklid id-kaardi tarkvara paigaldusest:

Bookworm ehk Debian 12 on ilmunud

Natuke vähem kui kaheaastase arendustöö järel ilmus eile Debiani uus stabiilne versioon koodnimega bookworm ning järjenumbriga 12. Väga kardinaalseid süsteemiuuendusi pole, aga väiksematena võib et wayland on laiemalt saadavalt, senine ntp on asendunud ntpsec'iga, kuid põhiline ajteenuse pakkuja on nüüd systemd-timesyncd. Mittevabad firmware pakid on koondatud uude reposse non-free-firmware. Bookworm on saadaval kokku üheksale arhitektuurile (sh loomulikult amd64, i386, arm64, armel, jne) ja leiduvad tõmmised levinud pilveteenuste jaoks.

Bookworm'is leiduvad kõik olulisemad graafilised liidesed:

  • Gnome 43,
  • KDE Plasma 5.27,
  • LXDE 11,
  • LXQt 1.2.0 (kogu liides on nüüd olemas ka eesti keeles),
  • MATE 1.26,
  • Xfce 4.18 (kogu liides on nüüd olemas ka eesti keeles),
  • Budgie 10.7.1,
  • Cinnamon 5.6.8.
Kokku on Bookworm'is 64419 (Bullseye's on 59551) erinevat tarkvarapakki ning neist olulisemad on:

  • Apache 2.4.57
  • BIND DNS Server 9.18
  • Calligra 3.2.1
  • Cryptsetup 2.6
  • Emacs 28.2
  • Exim 4.96
  • GIMP 2.10.34
  • GNU Compiler Collection 12.2
  • GnuPG 2.2.40
  • The GNU C Library 2.36
  • Inkscape 1.2.2
  • lighthttpd 1.4.69
  • LibreOffice 7.4.5
  • Linux kernel 6.1 series
  • LLVM/Clang toolchain 13.0.1, 14.0 (vaikimisi), and 15.0.6
  • MariaDB 10.11
  • Nginx 1.22
  • OpenJDK 17
  • OpenLDAP 2.5.13
  • OpenSSH 9.2p1
  • OpenSSL 3.0.9
  • Perl 5.36
  • PHP 8.2
  • Postfix 3.7
  • PostgreSQL 15
  • Python 3, 3.11.2
  • Rustc 1.63
  • Samba 4.17
  • systemd 252
  • Vim 9.0
Järgmise Debiani versiooni (13) nimi on teada ja selleks on trixie ning ilmub ta jälle umbes kahe aasta pärast.

ID-kaardi tarkvara qdigidoc4 kokkujooksmine Debianis on nüüd korras

Hiljuti kirjutasin, et ID-kaardi tarkvara qdigidoc4 jookseb kokku Debian Bullseyes. Tegemist oli veaga mis on dokumenteeritud siin Segfault with OpenSSL 1.1.1n and newer #1090 ning on parandatud Open EID versioonis 22.6.0.1926 siin Upgrade openssl 1.1.1m and fix crash with new openssl version #453.

Seega tehke oma Debianis uuendused nagu tavaliselt teete ning Digidoc'i kokkujooksmist enam ei teki. Kui panite ss'i pakkide uuendamise ootele ja tegite downgrade'i, siis ärge unustage see nüüd maha võtta:
aptitude unhold libssl1.1 openssl
apt update && apt upgrade


Kui teil ssl'i versioon on juba 1.1.1n-0+deb11u3, siis seda muret pole.

ID-kaardi tarkvara qdigidoc4 jookseb kokku Debian Bullseyes

ID-kaardi tarkvara qdigidoc4 jookseb kevadel 2022 kokku Debian Bullseye's. Olen testinud vaid amd64 puhul ja teisi arhitektuure antud osas kommenteerida ei oska. Visuaalselt näeb see viga välja nii:
  • uue allkirjastatud faili saad näiteks failihalduri kontekstimenüüst luua ja seejärel qdigidoc4 lõpetab töö, kuid allkirjadega fail üldjuhul on olemas
  • allkirjafaili avamisel kuvab qdigidoc4 teadet "Laadin TSL-nimekirja" ja siis jookseb kokku
  • niisama ilma failita käivitamisel qdigidoc4 toimib
  • mõlemal kokkujooksmise juhul on syslog'is "qdigidoc4[$123456]: segfault at 1 ip $midagi sp $sedagi error 4 in libc-2.31.so[$veelmidagi]"
  • muus osas open-eid tarkvara toimib (näiteks autentimine ja allkirjastamine brauseris)
  • juhtub nii open-eid versiooni 21.6 kui 22.1 puhul

Põhjuseks pole aga libc ise, vaid viimane openssl'i versioon. Hetkel on ainus toimiv lahendus ssl teegi downgrade versioonini 1.1.1k-1+deb11u2. Kui sa turvakaalutlustel seda teha ei taha, siis Debianis hetkel head lahendust pole.

Downgrade'i jaoks leiad kaks vajalikud kaks pakki siit:

Ja paigaldad nad käsurealt näiteks nii (olles juurkasutaja õigustes):
  • dpkg -i openssl_1.1.1k-1+deb11u2_amd64.deb
  • dpkg -i libssl1.1_1.1.1k-1+deb11u2_amd64.deb
  • aptitude hold libssl1.1 openssl (et järgmise uuendusega nad ei läheks vahetamisele)

Eesti ja andmesuveräänsus

Kas Eesti on andmesuveräänne? Meil tõesti on oma PKI, X-tee ja selle otsas paar tuhat rakendust ning kriitilised andmed on turvalises riigis andmesaatkonnas. Selles mõttes justkui oleks kontroll oma andmete üle olemas.

Samas aga peaminister avaldab valitsuse plaane esmalt Facebookis ning alles hiljem ametlikus veebisaidis ja ajakirjanikud on harjunud neid sealt lugema. Riigikogu põhiseaduskomisjon korraldab oma koosolekuid Teams'is. Mõni maksumaksja poolt rahastatud amet või muu organisatsioon kasutab ühistöörakendusena Jira't, mõni aga Slack'i. Erinevatel valitsusasutustel on plaan oma tegevus viia Azure pilve. Huvitav, kui mitme riigiametniku telefoni on paigaldatud Yandex Taxi või Tiktoki äpp? Kui paljude Eesti ametite e-postiteenused asuvad reaalses Eesti serveris, mitte kusagil kauges pilves?

Kas peaministriproua ikka teab, et Facebook on Tiktoki järel üks privaatsusinvasiivsemaid andmekogusid ning profileerib sinu ja sinu ümbruskonna ülidetailselt. Kas see, missugune on parasjagu peaministri tervis, ikka on Facebooki asi?

Kas riigiametnikud ikka teavad, et Facebooki suhtluses ja Teams'is puudub läbiv krüptimine? Kõik info, mis seal liigub, on teenusepakkujal 100% loetav. Kõik andmed aga on kusagil pilves jumal teab mis füüsilises asukohas (ja see tõenäoliselt ei asu Eestis).

Kui mõne kriisi korral Eesti välisühendused ei toimi, siis kas ametnikud jäävad tummalt ekraani põrnitsema ja mõtlema, miks suhelda ei saa ja ajakirjanikud ootama olulisi sõnumeid Facebookist? Et valitsusel on veebisait olemas, see võib-olla on paljudel juba ununenud. Osa kasutajaid üldse ei saagi aru, et Facebook ei võrdu internet.

Kas riigiametitel on olemas sissetöötatud lahendus suhtlemiseks ja ühistööks olukorras, kus meie riigi välisühendused ei tööta? Veel parem, kas ta on ka selline, mis kriisi ajal suudab kasutada võrdõigusvõrku ega eelda tavapärase andmeside toimimist?

Kui paljud ametnikud ikka saavad aru, et nende telefonides leiduv Tiktok on Hiina luure üks suurepärasemaid infokogumisoperatsioone ning Yandex Taxi koos oma sõsarrakendustega sama asi Vene poolel?

Aga mis on lahendus? Väga lihtne, valime teenused, rakendused ja lahendused:
- mille eest sa ei maksa iseendast kauba tegemisega;
- kus on kasutusel läbiv krüptimine (E2EE - end to end encryption);
- mida sa saad ise Eestis majutada (kas kohalikus pilves või puhtal raual)
- mis on hajutatud ega sõltu sellest kuidas sinu üks teenusepakkuja oskab teenust üleval hoida;
- mis suudavad teiste sarnastega suhelda;
- mis põhinevad vabal ja avatud lähtekoodiga tarkvaral;
- mis on sisuliselt ja vormiliselt auditeeritavad.

Mis need siis oleks? Näiteks:
- Nextcloud ühistöö, failide, kontaktide jne jaoks
- Matrix sõnumite, ühistöö ja VoIP'i ja videokoosolekute jaoks (näiteks serveriks Synapse ja kliendiks Element)
- Jitsi Meet videokoosolekute jaoks

Kõiges selles osas Eesti täna ei ole andmesuverääne. Aga paljud Euroopa riigid on. Näiteks:
- Saksamaa Föderaalne infotehnoloogiakeskus (ITZBund) on kolinud märgatava koguse ministeeriume NextCloudi kasutama
- järgmisi Nextcloudi paigaldusi Saksamaal ei jõua enam kokku lugeda
- paar kuud tagasi otsustas GAIA-X (Euroopa födereeritud andmepilve projekt), et NextCloud saab alusplatvormiks
- Prantsusmaa 5 miljonit riigiametnikku toimetavad Matrix'i võrgus
- Bundeswehr on kõik oma igapäevase organisatsiooni sisemise ja väliste hankijatega suhtluse kolinud Matrixi võrku (kõik, mis on 4. riigisaladse lipuga, kangema kraami jaoks on jätkuvalt muud lahendused)
- meie TEHIK'u vaste Saksamaal kolib kõigi 80 miljoni sakslase patsiendiportaali suhtluse Matrix'i võrku
- Schleswig-Holstein'i liidumaa kolib kõik oma ametiasutuste töö mitte ainult oma rakendustesse, vaid ainult avatud lähtekoodiga tarkvaral põhinevatesse rakendustesse (märksõnad on jälle Nextcloud, Matrix ja muud sõbrad)
- paarkümmend saksa ülikooli on Matrixi võtnud kasutusele sõnumite ja ühistöö jaoks
- Matrix on kasutusel nii Austria, kui Suurbritannia valitsusasutustes

Bullseye ehk Debian 11 on ilmunud

Natuke enam kui kaheaastase arendustöö järel ilmus eile Debiani uus stabiilne versioon koodnimega bullseye ning järjenumbriga 11. Väga kardinaalseid süsteemiuuendusi pole, aga väiksematena võib mainida systemd journali kasutamist põhilise logijana, on lisandunud exFAT'i kernelipõhine implementatsioon ja draiverivaba printeri ja skänneri kasutamise võimalus.

Bullseye's leiduvad kõik olulisemad graafilised liidesed:

Gnome 3.38,
KDE Plasma 5.20,
LXDE 11,
LXQt 0.16,
MATE 1.24,
Xfce 4.16,
Budgie 10.5.2,
Cinnamon 4.8.6.

Kokku on Bullseye's 59551 erinevat tarkvarapakki ning neist olulisemad on :

Apache 2.4.48
BIND DNS Server 9.16
Calligra 3.2
Cryptsetup 2.3
Emacs 27.1
GIMP 2.10.22
GNU Compiler Collection 10.2
GnuPG 2.2.20
Inkscape 1.0.2
LibreOffice 7.0.4
Linux kernel 5.10 series
MariaDB 10.5
OpenSSH 8.4p1
Perl 5.32
PHP 7.4
PostgreSQL 13
Python 3, 3.9.1
Rustc 1.48
Samba 4.13
Vim 8.2

Järgmise Debiani versiooni (12) nimi on teada ja selleks on bookworm ning ilmub ta jälle umbes kahe aasta pärast.

Matrixi arendus saab hoogu juurde - Element tõstab $30M

Suurim Matrixi protokolli, serverite ja klientide arendaja Element kaasas viimase aktsiaemissiooniga 30 miljonit USD ja investorite hulgas on Metaplanet ehk Jaan Tallinna investeerimisfirma.

Saame näha, kas Matrixi kasutus ka Eestis edenema hakkab.

Kiirvaade immuniseerimistõendile ning riigi veebirakenduste seadistamine

Eilsest on saadaval Covid19 immuniseerimistõendid. Logisin patsiendiportaali ja salvestasin enda oma ja vaatasin sisse.

Loodud on ta ilmselgelt riigipiiride ületamiseks ja seal tõendis leiduvad isikuandmed on piiride ületamisel niikuinii vajalikud ja peavad niikuinii olema muudes dokumentides kirjas.

Siseriiklik kasutamine on teine asi. Tegelikult ei ole restorani või kontserdile minnes sinu nimi ja sünniaeg üldjuhul oluline (siis muidugi tekib küsimus kuidas tuvastada et QR-koodi näitaja on sama isik, aga olemuselt tekib see ka kogu paberi näitamisel). Kui see peaks nõutavaks kujunema, siis eralda pdf failist qr-kood kas mõne sellekohase tarvikuga (näiteks: pdfimages covid-certificate.pdf covid-cert-qr-kood) või ekraanitõmmise meetodil ja salvesta vaid QR-koodi fail telefoni.

QR-koodis on selline url (YKSUUID, TEINETUNNUS, SINUISIKUKOOD asemel on tegelikud andmed):
https://vg.digilugu.ee/?url=https%3A%2F%2Fvg.digilugu.ee%2Fapi%2Fcertificates%3Fuuid%3DYKSUUID&s=TEINETUNNUS&i=person+identifier_SINUISIKUKOOD

Kui selle avad, siis näed niisugust pilti (konkreetsed väärtused on kustutatud).
Immuniseerimistõend kontrollvaade

Piiride ületamisel on selline detailsus võib-olla vajalik, aga siseriiklikult tegelikult mitte. Piisaks Jah/Ei tüüpi vastusest.

Tegelikult eriti ei oska immuniseerimistõendi sisu ja teostust väga kommenteerida. Hoopis jäid silma veebiserveri vg.digilugu.ee seadistused. Ja seda kahe nurga alt:

(1) SSL'i seadistused (neid saad mõõta testssl skripti või SSLLabs'i veebirakendusega), millest jäävad silma sellised vead:
- TLS 1.3 on puudu (sellise tasemega rakendusel seda eeldaks)
- TLS 1.2 pakub välja 21 šifrikomplekti, millest 17 on CBC-põhised ja neid pigem ei loeta mõistlikuks (eriti sellist tüüpi rakendusel)
- DNS CAA on puudu (sellise tasemega rakendusel seda eeldaks)
- sertifikaadiahela teostus pole ka kõige parem

(2) Serveri turvaseadistused (hinnatuna Securityheaders veebirakendusega)

Immuniseerimistõend kontrollvaade

Kui eelmises näites on asjaolud, mille üle saaks ehk natuke vaieldagi, siis siin on puhas plats:
- olemas on vaid HSTS
- puudu on CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy ja neid kõiki eeldaks sellise taseme rakendustest

Aga tegemist pole ükskikjuhtumiga, vaid laiema süsteemitusega. Kui vaatame samade töövahenditega (SSLTest/Securityheaders tänase päeva seisuga) president.ee (A+/C), valitsus.ee (A+/A), vm.ee (A/D), ria.ee (A+/A), kapo.ee (A+/C), eesti.ee (A+/C) ja teisi Eesti riigi saite, siis tulemused on väga ebaühtlased ning sarnaseid vigu leidub neist nii mõnelgi. Ja need SSLTesti A+ ja A-tulemused sisaldavad samamoodi nõrku šifrikomplekte, TLS 1.3 mittekasutamist ja puuduvat DNS CAA'd.

Läbipaistvuse osas mainin ka, et olen osalenud nii mõnelgi riigihankel, kus tingimuste osaks on olnud siinräägitud teemadest nö "maksimumnõuded". Oleks ju tore, kui riigi omad veebirakendused siis ka vastaks samadele tingimustele. Ja need tingimused oleks täidetud ühtlaselt.

vg.digilugu.ee saidi puhul tasub aga lisaks mainida kolme olulist asjaolu:
(1) Minu brauser annab märku katsest kanva andmete alusel arvutit profileerida - miks peaks selline tegevus vajalik olema ning missugustes kasutustingimustes see kirjas on?
(2) Kus on saidi privaatsustingimused? Kontrollvaates on kirjas valmistaja kaubamärk, aga eeldaks ka viidet selle saidi privaatsustingimustele. Mis andmeid vg.digilugu.ee saidi puhul logitakse, kaua logisid hoitakse ja kes ning kuidas neid töötleb? Kuna päringutes on isikukood olemas ja päringuid tegevaid kliente profileeritakse ning saab vähemalt ip-aadressi täpsusega tuvastada, siis annab mõlema poole andmeid huvitaval viisil kokku panna. Näiteks väliskasutuse kontekstis saaks sellisest andmekogust teada, mis riikides konkreetse isikukoodi kasutaja reisib ja kes kipuvad koos reisima, sisekasutuses aga joonistuks välja profiil sellest mis asutusi keegi külastab.
(3) Samast tehakse lisaks alampäring Guardtime saiti vaccine.gtuslabs.com. Kus on kirjas see teave mida sinna edastatakse? Ja siis tulevad selle otsa kõik eelmise punkti küsimused.

Eesti ID-kaardi tarkvara ehk open-eid v. 21.02 kasutamine Debian Bullseyes

Debian 11 ehk Bullseye külmutamisprotsess on piisavalt kaugel ning suuri muutusi enam ei tule ning ilmselt saavad ID-kaardi huvilised kasutada järgmist loogikat tarkvara paigaldamiseks.

Debianis teatavasti on võimalik kasutada Ubuntu jaoks mõeldud ID-kaardi tarkvara. Kuna nende kahe distro arendusprotsess on natuke nihkes, siis alati üks-ühele paigaldamine ei õnnestu. Nii on länud ka seekord - vajalik libxalan-c111 ei ole Bullseye's saadaval. Üldjoontes on kaks võimalust:

1) sul on kasutusel endine Buster, millele oled teinud distro-upgrade ning orphaner'iga pole seda üle käinud, siis on ta sul olemas, aga igaks juhuks vaata üle:

dpkg -l libxalan-c111 | grep libxalan-c111
ii libxalan-c111:amd64 1.11-9 amd64 XSLT processor library for C++

2) sul on puhas Bullseye või testing'u paigaldus, siis pead ta lisama näiteks Buster'ist

cd /tmp
wget http://ftp.ee.debian.org/debian/pool/main/x/xalan/libxalan-c111_1.11-9_amd64.deb
dpkg -i libxalan-c111_1.11-9_amd64.deb

Aga open-eid paigaldamine on olemuselt sama kui eelmisel korral:

wget -O /tmp/ria-public-2016.key https://installer.id.ee/media/install-scripts/C6C83D68.pub
apt-key add /tmp/ria-public-2016.key
echo '# open-eid ehk id-kaardi tarkvara' >> /etc/apt/sources.list
echo 'deb https://installer.id.ee/media/ubuntu/ focal main' >> /etc/apt/sources.list
apt update
apt install open-eid

Kuna apt-key kasutamine senines vormis lõppeb alates Debian 12'st, siis tekib võtme lisamisel hoiatus, kuid lisamine ise toimib.

Busterist üle kolides lihtsalt muuda repositoorium bionic'ust focal'iks ning tee:

apt update && apt upgrade

Varasemad artiklid id-kaardi tarkvara paigaldusest:

Suhtlus- ja koostöövõrk Matrix 2021. aasta alguses

Matrix teatavasti on avatud protokollil ning vabal tarkvaral põhinev suhtlus- ja koostöövõrgustik, kus kasutajad ise määravad, kus ja kuidas nende andmeid hoitakse ning teenuseid hallatakse.

Väga tehnilises mõttes on tegemist hajutatud ja replikeeritud andmebaasiga (andmeid ja metateavet sünkroniseeritakse kõikide osapoolte vahel nii, et kõik osapooled jagavad sama olekut), mille levinuim kasutus on hetkel sõnumite saatmine, kuid see, mida teha saad, piirdub vaid sinu fantaasiaga. Praktikas on sõnumitele lisatud tava- ja videokõnesid, failide jagamist, vidinate kasutamist (vidin on olemuselt jututuppa lõimitud veebileht) ja eri sorti roboteid.

Serverid:

  • igaüks saab paigaldada oma Matrixi serveri ning kas seda teed oma serveriruumis oma raudvaral või kasutad VPS'i on eelistuste ja valikute küsimus
  • kui ise serverit hallata ei taha, siis võid oma konto(de) jaoks kasutada tasuta (näiteks app.element.io või chat.privacytools.io) või tasulist teenust (näiteks ems.element.io või matrix.zerocarbon.shop)
  • kui kasutad oma serverit, siis see on avatud suhtluseks muude Matrixi serveritega üle maailma (mingis mõttes sarnaselt e-postile), aga kui soovid, siis loomulikult saad välissuhtluse sulgeda ning kasutada vaid teda oma organisatsiooni või sõpruskonna jaoks
  • kui lisad oma Matrixi serveri kõrvale oma Jitsi serveri, siis saad kergesti teha oma privaatse sõnumi-, koostöö ja videokõnelahenduse
  • levinumal serveril (synapse) olemas on LDAP-i integratsioon (ei pea eri süsteemides haldama erinevaid kasutajate andmekogusid)
Kliendid:

  • levinuim ja parima funktsionaalsusega klient on Element - saadaval töölauarakendusena Windowsi, OS X ja Linuxi jaoks, mobiilirakendusena Androidi (Google Play ja F-Droid rakendusepoest) ja iOS jaoks ning veebirakendusena (brauseripõhisena)
  • ka Nheko ja FluffyChat on üsna täieliku funktsionaalsusega
  • lisaks Quaternion, NeoChat ja Fractal on aktiivselt arendamisel
  • erinevad kliendid on kasutajaliidese loomisel läinud erinevat teed ning tasub võrrelda, mis tundub sulle sobivaim
  • tervikuna on eesti keelde tõlgitud Element, Nheko ja FluffyChat
Sõnumisillad:

  • Matrix on algusest peale kavandatud avatud lahendusena ning olemas on sõnumisillad muude suhtlussüsteemidega
  • Element (endine New Vector) ehk firma, kes enamus Matrixi arendustöid on teinud, on valmistanud sõnumisillad IRC, Slack'i, Gitteri ja Rocket Chat'i jaoks
  • laiem arendajate kogukond on teinud lahendused Signal'i, Telegram'i, WhatsApp'i, XMPP, Mattermost'i, Discord'i, Facebook Messenger'i, SMS'i, e-kirjade ja paljude muude süsteemide liidestamiseks
Kasutus:

  • Matrixit on arendatud kuus aastat ning alates 2019. aastast võib öelda, et lahendus on produktsioonikindel
  • eelmine aasta nägi Matrixi kasutuselevõtmist mitmetes Euroopa riigisüsteemides (enamus Prantsusmaa riigiasutusi toimib nüüdseks ühtses Matrixi võrgus, Bundeswehr kolis kõik igapäevase 4/NR suhtluse Matrixisse) ja paarikümnes ülikoolis (Saksamaal, Rootsis, Hollandis) ning suurtes vaba tarkvara projektides (KDE ja Mozilla on üle kolinud ja Fedora, SUSE ning Gnome parasjagu testivad seda võimalust)
  • artikli kasutamise ajal on Matrixi võrgus 60000 serverit 27 miljoni kasutajaga
Turvalisus ja privaatsus:

  • Matrixi krüptograafia aluseks on Double Ratchet-protokoll, mille põhjal on tehtud libolm teek ning selle laiendus megolm
  • sama krüptoprotokolli kasutavad ka Signal, Whatsapp, Wire, kuid me ei saa eeldada, et kõikjal on sama teostus
  • Double Ratchet on põhjalikult auditeeritud ning loetakse turvaliseks
  • lisaks elementaarsele ühenduse krüptimisele võimaldab Matrixi spetsifikatsioon kasutada läbivat krüptimist (E2EE ehk end-to-end encryption) ja see tähendab, et ka serveri haldaja ei saa lugeda seda mis teavet osapooled vahetavad (näiteks Element'is loodud uued kahe osapoole vestlused kasutavad alati läbivat krüptimist ning rühmavestluste puhul saab seda alati sisse lülitada)
  • kui läbiv krüptimine on vestluse puhul kasutusele võetud, siis sellest loobuda enam ei saa
  • korra suletud kasutajakontot ei saa enam kasutusele võtta ega samasse serverisse uut sama kasutajat luua
  • lisaks krüptimisele võimaldavad Matrixi kliendid (Element, Nheko, FlyffyChat) ka osapooli verifitseerida - see tähendab, et kasutaja tuvastab kõik oma seadmed ja märgib nad usaldusväärseks (selleks on kasutusel mitu eri meetodit, kuid kõige lihtsam on ikoonikomplekti võrdlemine kahes eri seadmes), samamoodi kaks osapoolt saavad välises kanalis kokku, tuvastavad üksteist ning märgivad üksteist tunnustatuks (samaga tunnustades ka üksteise seadmeid)
  • kliendid kuvavad krüptimata ja verifitseerimata ühendusi selgelt eristatava ikooniga
  • Matrix+Jitsi kombinatsiooni kasutamisel videokõnedeks ei ole hetkel läbiv krüptimine kasutusel (puhtalt Jitsi kõnede puhul on see juba võimalik)
  • sinu Matrixi koduserverisse on võimalik konto juurde salvestada sinu e-posti aadressi ning see võimaldab vajadusel taastada ligipääsu kontole, kuid seda ei pea tegema (aga siis taga, et sul salasõna, salafraas ja salavõti kindlasti alles on)
  • Matrixi võrgus on võimalik kasutada isikutuvastusserverit - sisestades oma kasutajakonto juurde e-posti aadressi ja telefoninumbri saavad teised kasutajad sind nende alusel leida (kuid see ei ole kohustuslik) ning kui sa seda ka teed, siis hoitakse andmeid isikutuvastusserveris räsitud kujul ning otsingutes võrreldakse räsisid
  • sinu Matrixi koduserver logib metateavet ning osa metateavet on salvestatud ka andmebaasis - kui sa kasutad välist teenusepakkujat, siis pead arvestama nende kasutustingimustega, kuid oma serveri puhul saad ise määrata logide säilitamise aja
Muud olulised asjaolud:

  • esineda võid päris nime või aliase all, lisada võid tunnuspildi või avatari, telefoninumbri ja e-posti aadressi kasutamine pole kohustuslik
  • vestlused võivad olle kahevahelised või rühmavestlused ehk jututoad
  • jututubadest saab moodustada kogukondi
  • sõnumeid saab muuta ja kustutada (kustutamine on nagu e-kirjade puhul - propageerumine üle serverite pole garanteeritud, kuid üldiselt see toimib)
  • serverist saab seadistada sõnumite automaatset kustutamist
  • toimivad lugemisteatised ja kirjutamisteatised
  • olemas on tavapärane vestlusrakenduste tudi-mudi, nagu reageerimised, kleepsupakid ja vilkuvad gif'id
  • enamus kliente võimaldavad kontakte ja jututubasid sildistada ja grupeerida
  • osa kliente toetavad serveripoolset otsingut ja urlide eelvaadet (näiteks Element)
Õiguslikud seosed:

  • Matrixi juured ulatuvad Iisraeli-USA taustaga firmasse Amdocs, kuid alates 2017. aastast tegutstakse eraldi organisatsioonina Euroopa jurisdiktsioonis ning seosed Amdocsiga puuduvad
  • alates 2018. aastast vastutab standardi haldamise ja arendamise eest The Matrix.org Foundation
  • kõik Matrix.org ja suur enamus Element Ltd loodud teekidest, serveri- ja klienditarkvarast ning sildadest on avaldatud vaba tarkvara litsentside all
  • tänaseks päevaks on Matrix muutumas oluliseks kiviks Euroopa riikide digitaalse suveräänsuse vundamendis
Lähitulevik:

  • lisandub SSO ehk autentimine süsteemide-ülese konto alusel (näiteks võid üsna varsti oma Google-kontoga logida mõnda Matrixi serverisse, kus see on lubatud)
  • selle aasta FOSDEM toimub Matrix+Jitsi platvormil virtuaalse üritusena 8500'le ḱasutajale
  • seni demotud serverivaba ehk P2P Matrix saab produktsioonisobilikuks
Hetkel on Matrixi klientides puudu:

  • võimalus ühes pruukida ühes kliendis mitut kasutajakontot (Nheko ja Mirage oskavad seda mingis mõttes)
  • kasutaja poolt määrata sõnumite kustutamise aega (spetsifikatsioonis on see võimalus olemas)
  • luua ja saata salvestatud helisõnumeid
  • sõnumilogi salvestamine failina (nagu IRC võimaldab)