4.2. Toetatud tehnoloogiate kaardistus

Peatükk käsitleb nii tänaste kui võimalike lähituleviku elektroonilise identiteedi kandjate kasutamise võimalikkust Android, iOS ning Windows Phone platvormidel. Peatükis vaadeldakse m-ID-d, USB ja Bluetooth kiipkaartide lugereid ning võimalikku tuleviku tehnoloogiat (NFC) kontaktivabade kaartide lugemiseks/kirjutamiseks17. Täna eksisteerivad eID autentimise/allkirjastamise sertifikaadid kontaktiga kiipkaardil ning teadaolevalt puuduvad nutiseadmed, millel oleks sisse-ehitatud kiipkaartide lugemise võimekus. Seega tuleb see võimekus saavutada läbi lisaseadmete – sellest ka alljärgnevalt toodud valdkonna kaardistuse motivatsioon.

Alljärgnevalt on toodud eID lisaseadmete tehnoloogiate omavaheline ülevaade ja võrdlus nutiseadmete perspektiivis.

	USB, USB OTG	Bluetooth, BLE	NFC
Üldine kirjeldus	Standardiseeritud (IEC) 1996, tänaseks jõutud versioonini 3.1. 2001. aastal lisati USB 2.0 standardisse OTG (on-the-go) spetsiifika – valdavalt mobiilsete seadmete tarbeks. Lisaks sisaldab USB standard ka Wireless USB võimekus (lisati 2010. aastal, versioon 1.1, sisaldab NFC tuge). USB seadmete spekter väga lai ja mitmekülgne. Ühendusviis valdavalt kaabliga (va siis Wireless USB)	Leiutatud 1994 (Ericsson), tänaseks jõutud versioonini 4.2 (Bluetooth SIG, varasemalt IEEE). 2006. aastal tutvustas Nokia Wibree tehnoloogiat, mis 2010. aastal integreeriti Bluetooth 4.0 standardiga (BLE – bluetooth low energy, Bluetooth Smart). Peamiseks erisuseks energia-tarbimise oluline vähendamine. Ühendusviis raadiolainetega (2.4GHz). Kasutusel laialdaselt, kuid seadmete spekter lähtub andmeedastuse kiiruse piirangutest.	Standardiseeritud (ISO, ECMA, ETSI) 2004.. Ühendusviis raadiolainetega (13.56MHz). Kasutusel valdavalt mobiilsete seadmetes (kaubandus, piletiteenused, autoriseerimine ja pääsusüsteemid jmt). NFC loetakse suhteliselt kalliks tehnoloogiaks, kus ärilise kasuteguri mõõtmine on keerukas. See tuleneb asjaolus, et tehnoloogia on veel stabiliseerumise faasis.
Tehnoloogilised piirangud	Andmeedastus kuni 10Gbit/s (USB OTG kuni 480 Mbit/s). Hinnanguliselt distants 6-10m (praktikas USB OTG ühendus-kaablid alla 1m). Ühe seadmega võimalik ühendada mitu USB seadet.	Andmeedastus 1-3 Mbit/s (BLE kuni 1Mbit/s). Teoreetiline distants kuni 100m (praktikas 5 – 30 m). Ühe seadmega on võimalik ühendada mitu Bluetooth seadet.	Andmeedastus kuni 420kbit/s. Distants alla 10 cm. Korraga võimalik NFC toega seadmega ühendada ainult ühte lisaseadet. Võrreldes Bluetoothiga on ühenduse loomine kiirem.
Tehnoloogia stabiilsus	Tehnoloogia on stabiilne, kuid valdavalt kasutuses mitte-nutiseadmetes. Nutiseadmetes OTG versioon valdavalt kasutuses. Pea kõik seadmed sisaldavad ka USB OTG sisendit/väljundit.	Tehnoloogia on pikka aega kasutusel ning stabiilne. Pea kõik nutiseadmed sisaldavad BT võimekust. BLE on stabiliseerumas (hinnanguliselt 2018. aastaks rohkem kui 90% seadmed sisaldab ka BLE tehnoloogiat)	Tehnoloogia on kõige lühema ajalooga, kuid hinnanguliselt stabiliseerumas. Hetkel ca 20% nutiseadmetest sisaldab, hinnatakse lineaarset kasvu 65%-ni 2018. Tõestanud ennast praktikas valdavalt kaubandusvaldkonnas.
Turvalisus	Seadmete vaheline ühendus toimub kaabliga, mis tõstab turvalisust. Turbe aspektid valdavalt rakenduse kihis.	Toimub andmevahetuse krüpteerimine (128bit AES koos CCM) koos täiendava rakenduse kihi turvalisusega. Turvalisust tõstab ka praktikas seadme lähedusfaktor ning seadme sidumine (pairing)/PIN. Sidumiseks PIN lukustumine teadaolevalt puudub. Täiendavad meetmed turbe tõstmiseks puuduvad.	Lähedusfaktor tõstab turvalisust (man-in-the-middle attack), kuid kanal ise on ebaturvaline [URL]. Osades NFC kontrollerites on sisse ehitatud Secure Element. Rakenduse kihis krüpteerimine (nt SSL/TLS vms). Täiendavalt vajab analüüsi, millises osas telefoni OS-l on võimalik sekkuda kaardiga suhtlusesse.
Kasutatavus	Valdav enamus seadmed plug-n-play tüüpi, kuid võib-olla vajadus täiendavate häälestuste ja/või konfiguratsioonide järele.	Vajadus seadme sidumine defineerida. Intuitiivsus ja kasutusmugavus on väiksem kui NFC-l.	Väga lihtne, seadmete sidumise vajadus puudub. Kasutamine väga intuitiivne ja mugav.
Arendatavus	Tehnoloogia laialdase kasutuse tõttu arendatavus lihtsam. Lai spekter lisaseadmeid koos arendus vahenditega (draiverid, SDK jt).	Tehnoloogia laialdase kasutuse tõttu arendatavus lihtsam. Lai spekter lisaseadmeid koos arendusvahenditega (draiverid, SDK jt).	Tehnoloogia uudsusest arendatavus keerukam, arendusvahendid kõigile platvormidele puuduvad (SDK, draiverid).
eID lisaseadmed (vt ka Lisa 10)	Seadmete hinnaskaala jääb ca 30 – 50€ piiresse. USB OTG kasutusel kontakt-kiibi andmete lugemiseks-kirjutamiseks (töökoha-arvutite maailmas ka kontaktivaba kiibi toega seadmed, USB ühendusviis). Toetatud Android ja WM nutiseadmed. iOS puhul on analoogiks MFi litsentseeritud seadmed/tooted.	Seadmete hinnaskaala jääb 150 – 200€ kanti. Kasutusel kontakt-kiibi andmete lugemiseks ja/või kirjutamiseks. Toetatud on Android, iOS ja WM seadmed (BLE: Android 4.3+, iOS5+ ja WM 8.1 platvormil nutiseadmed).	Valdavalt lähenemiseks NFC moodul integreerimine seadmesse. On olemas ka mõningaid lisaseadmeid (50€ - 100€ lähedal). Kasutusel kontaktivaba kiibi andmete lugemiseks/kirjutamiseks. Toetatud Android 2.3.3 ja WM 8+ nutiseadmed. Apple NFC arendamiseks vahendid puuduvad (iOS8).

Tabel 5. Toetatud tehnoloogiate võrdlus

Järgnevalt on platvormide lõikes toodud tehnoloogia rakendamise võimalikkus, st kas ja mis tingimustel on võimalus erinevatel platvormidel tehnoloogiat toetada (kas on olemas vastavad liidesed, et eID draiver luua).

Tehnoloogia	Android	iOS	Windows Phone	Märkused, selgitused
m-ID (STK / DigiDocService kombinatsioon)	Toetatud (eelduseks DigiDoc Service toetamine teenuse pakkuja poolt)	Toetatud (eelduseks DigiDoc Service toetamine teenuse pakkuja poolt)	Toetatud (eelduseks DigiDoc Service toetamine teenuse pakkuja poolt)	m-ID omapärast johtuvalt on seda võimalik kasutada kõigil mainitud platvormidel (millel on mobiilside võimekus ja eeldades töötavat interneti). Interneti vajadus tuleneb Eesti m-ID puhul autentimise/allkirjastamise protsessi alustamisel nutiseadmes (kui protsessi alustatakse internetiühendusega lauarvutiga, siis ei ole nutiseadmes interneti-ühenduse olemasolu vajalik). Autentida ning allkirjastada on võimalik nii veebis kui ka kohtrakendustes kasutades selleks DigiDocService-it samuti nagu töökoha-arvutite lahendustes
USB (USB OTG)	Toetatud (tootja-põhine suletud tarkvara)	Toetatud (ainult spetsiaalse lugejaga, suletud tarkvara)	Ei ole toetatud (API puudu)	Android platvormil on USB host mode (kasutades USB OTG kaablit) võimalik alates versioonist 3.1 kuid riistvara tugi ning vajalike madala host mode draiverite olemasolu varieerub eri mudelite ning tootjate vahel. ID-kaardiga suhtlemiseks kasutatava PKCS#11 lahenduste kasutamine ega lihtsakoeline kohandamine ei ole võimalik tänu süsteemse PC/SC toe puudumisele. Tulenedes faktist, et Androidi USB host mode APId paiknevad kõik Java kihis on tarvilik arendada vastavad draiverid Javas. Kaardilugejate tootjat pakuvad suletud lähtekoodiga JAVA teeke. Standardsete CCID kaardilugejate toetamiseks on alternatiiviks universaalsed avatud lähtekoodiga CCID draiverid Androidi jaoks [URL]. iOS platvormil peavad kõik ühilduvad USB protokollil ning Apple spetsiifilisel otsikul baseeruvad seadmed kasutama Apple MFi programmi standardeid ning läbima sertifitseerimise. Klassikalisi USB seadmeid kasutada võimalik ei ole. Windows Phone platvormil puuduvad arendajatel võimalused kasutada USB host mode-i, võimalik on kasutada vaid standardseid andmetalletus seadmeid.
Bluetooth Classic	Toetatud (suletud tarkvara)	Toetatud (ainult spetsiaalse lugejaga, suletud tarkvara)	Ei ole toetatud (API puudu)	Kuigi pea kõik platvormid toetavad Bluetoothi, on väljaspool operatsioonisüsteemi sisse-ehitatud teenusprofiilide lisamine platvormiti erinev. Androidis on võimalik suhelda kõigi Bluetooth seadmetega tänu madalatasemelisele APIle. iOSis on võimalik suhelda ainult Apple MFi programmi kaudu sertifitseeritud ning Apple programmeerimisliideseid kasutavaid seadmeid. Windows Phone platvormil ei ole võimalik kasutada mitte standardsete teenuse profiilidega seadmeid.
Bluetooth Low Energy (BLE)	Toetatud (suletud tarkvara)	Toetatud (avatud)	Toetatud (puudu tarkvara)	Alates versioonidest Android 4.3, iOS 6.0 ning Windows Phone 8.1 on võimalik suhelda kõigi BLE seadmetega. APId on kõigil platvormidel kõrgetasemelised, st vastavalt Java, Objective-C ning .NET. Seega on standardsete PKCS#11 komponentide portimine komplitseeritud, kuid võimalik.
NFC	Toetatud (suletud tarkvara)	Ei ole toetatud (API puudu)	Toetatud, (puudu tarkvara)	Android platvormil on teadaolevalt olemas suletud kaardi tootjate poolt toodetud tarkvara. Valdav enamus API-st põhineb NDEF (NFC Data Exchange Format) standardil. iOS platvormil on NFC ligipääs vaid Apple Pay makselahendusel, arendajatel puudub iOS 8.1 seisuga täielikult liigipääs NFC riistvarale. Windows Phone puhul ei ole võimalik infot säärase lahenduse kohta tuvastada.

Tabel 6 . Toetatud tehnoloogiate võrdlus platvormiti

Praktiliselt kõik enammüüdud nutitelefonides ja tahvelarvutites on Bluetooth 4.0+ (BLE tugi). NFC tugi on olemas enamlevinud nutitelefonides (Android, WM). Viimases iPhone 6/6Plus NFC tugi on olemas, kuid arendamiseks ei ole avatud. Tahvelarvutites integreeritud NFC tugi on pigem erandlik ja saadaval üksikutes seadmetes (vt Lisa 3). Sellisel puhul osutub asjakohaseks vastava lisaseadme olemasolu. Lisas 10 on toodud valim turul olevatest USB, Bluetooth ja NFC lisaseadmetest nutiseadmetele.

Eeltoodud kirjeldatud tehnoloogiatel on kõigil eelised ja puudused, kuid kõik tehnoloogiad on täna piisavalt stabiilsed ning leidnud oma positsiooni. Omavahelises võrdluses turvalisuse ja lisaseadmete odavuse seisukohalt on eelis USB põhistel lahendustel. Arendatavuse lihtsuse kasuks räägib BLE, ka kasutatavuse poole pealt on eelis BLE ning eriti NFC tehnoloogial (puudub vajadus täiendavate kaablite ja ühendus-lisade järgi).

	Eelised	Puudused
m-ID	Kasutaja ei vaja täiendavaid lisaseadmed (puuduvad täiendavad kulutused, suurem kasutusmugavus). Kasutaja ei vaja täiendavat tarkvara (veebilehitseja, draiver)	Ei ole võimalik kasutada eID kontaktiga või kontaktivabasid kaarte (kandjaks on mobiilioperaatori SIM). Ei tööta tahvelarvutites, millel puudub GSM moodul (ja SIM pesa). Mitme seadme (sh mõnede autosse sisse ehitatud SIM-ga telefonide/hands-free) kasutamine äärmiselt ebamugav. Seadme ülevõtmisel kaardi väljavõtmine keerukas ning sellega kaasnevad turvariskid (2nd channel võimaluse puudumine). Eraldi integratsioon DigiDocService-iga. Ei ole võimalik teha kahepoolselt autenditud TLS kanalit (kasutaja tuvastamine ja sessiooni hoidmine tuleb teha rakenduse kihis).
USB (OTG)	Võimalik kasutada eID kontaktkaarte nutiseadmes. Nutiseadme ülevõtmisel lihtne lisaseade eemaldada. Seadmed on odavaimad võrrelduna BT/BLE või NFC lisaseadmetega	WM tugi puudub, iOS tugi vaid sertifitseeritud ning spetsiaalse ühendusega seadmetel. Seadmepõhised draiverid – suureneb süsteemi keerukus vastavalt toetatud lisaseadmete hulgale.
BT	Võimalik kasutada eID kontaktkaarte nutiseadmes. Nutiseadme ülevõtmisel lihtne lisaseade eemaldada. Laiapõhjaline tugi kõigis nutiseadmetes.	Nutiseadme aku kasutus intensiivne. Piiratud võimalus tarkvara loomiseks iOS ning WM platvormidel. Seadmepõhised draiverid – suureneb süsteemi keerukus vastavalt toetatud lisaseadmete hulgale. Seadmed on kallimad võrrelduna USB lisaseadmetega.
BLE	Võimalik kasutada eID kontaktkaarte nutiseadmes. Valdavas enamuses kaasaegseid nutiseadmeid (nutitelefonid, tahvelarvutid) on BLE toega (vt Lisa 3) Nutiseadme ülevõtmisel lihtne lisaseade eemaldada. Hea tugi kõigi kolme platvormi laialtlevinud ja tuleviku seadmetel.	Ei tööta vanade nutiseadmetega (Android < 4.3, iOS < 6.0). Seadmepõhised draiverid – suureneb süsteemi keerukus vastavalt toetatud lisaseadmete hulgale. Seadmed on kallimad võrrelduna USB lisaseadmetega.
NFC	Võimalik tulevikus kasutada eID kontaktivabasid kandjaid nutiseadmes. Puudub vajadus täiendavate lisaseadmete järele (üldjuhul nutitelefonides integreeritud seadmesse, vt Lisa 3). Puudub vajadus kaardilugeja põhiste draiverite järgi, lihtsam arendada eID veebilehitseja täiesti uue lahendusena või siis mõne olemas veebilehitseja edasiarendusena. Teenusepakkuja jaoks ei ole vahet, kas kiipkaart on arvuti küljes või NFC-ga nutiseadme küljes (seadmes peab olema lubatud NFC kasutamine). Kasutusmugav tehniline lahenduse kaardilt lugemiseks ja kirjutamiseks.	Arendamine iOS platvormile ei ole analüüsi koostamise hetkel võimalik (SDK suletud). Tahvelarvutite puhul vajadus täiendavate NFC lisaseadmete järele, kuna vähestel on tugi sisse ehitatud.

Tabel 7 . Toetatud tehnoloogiate puudused ja eelised

Tehnoloogiliselt on võimalik erinevaid lisaseadmeid üldjuhtumil toetada (mõningaste eranditega).

Eeltoodust lähtuvalt leiame, et riikliku eID kontekstis Bluetooth Classic ja USB tehnoloogiate rakendamise võimalik lisaväärtus ei pruugi üles kaaluda toe arendamisega ning edasise jätkusuutliku toetamisega seonduvaid kulusid. Tegemist oleks mõneti kunstliku töökoha-arvutite maailma ülekandmisega mobiilivaldkonda. Leiame, et võimalik lahend mobiilivaldkonnas on jätkata mobiil-ID tehnoloogiaga ning täiendavalt lisada eID raamistikku BLE/NFC võimekus kindlustades süsteemi toimimine kontakti- ja kontaktivabade kaartide funktsionaalsuste kasutamiseks.

Eeltoodud ülevaade ja soovitused on koostatud eeldusel, et lisaks olemasolevale m-ID-le toetada nutiseadmetes ISO7816 formaadis kontakti- ja/või kontaktivabade kiipkaartidega suhtlust autentimiseks/allkirjastamiseks. Kui riiklikult otsustatakse SIM-kaardi suuruse (SIM-sized) digi-ID lahenduse lisamine eID infrastruktuuri, siis see on praktikas üheks arvestatavaks eelistatud alternatiiviks ja lisaväärtust loovaks tehnoloogia rakendamise juhuks nutiseadmetes. Seeläbi muutuks nutiseadmetes väliste digi-ID-de kasutamine kasutajasõbralikumaks. Antud suuna valimisel tuleb saavutada:

SIM-kaardi suuruse digi-ID kaartide väljaarendamise, isikustamise ja tootmise võimekus (kuigi ka täna on võimalik kasutajatel ise digi-ID lõigata õigesse formaati);
mobiilsete seadmetega ühendatavate SIM-kaardi suuruste digi-ID kaardilugejate olemasolu ja saadavus. Turul on töökohaarvutite maailmast tuttavaid analoogseid USB/BLE ühendusega lahendusi (vt Lisa 10), sh juba eksisteeriva Androidi platvormi toega.

Eraldi analüüsi vajab FIDO18 (Fast IDentity Online) spetsifikatsiooni rakendamise vajalikkus ja võimalikkus eID raamistiku kontekstis. FIDO on algusest peale orienteeritud platvormide ülese standardina. FIDO näol on tegemist alternatiivse lahendussuunaga, mida teoreetilisel tuleviku perspektiivis kaaluda, kas:

liikuda eID tehnoloogia arendamisel FIDO sarnase lähenemise suunas;
luua eID tehnoloogia lahendusena ühilduvus olemasoleva FIDO tehnoloogiaga.

Tehnoloogia on suhteliselt uus ja turgu ei domineeri. Samas panustavad antud ökosüsteemi väga paljud mõjukad ettevõtted (mh PayPal, Google, Lenovo, MasterCard, Microsoft, RSA, Samsung jpt) ning lahendussuund on uudne ja innovaatiline. Viimase paari aasta tulemusena on lisaks spetsifikatsioonide valmimisele turul saadaval FIDO Ready sertifitseeritud rakendusi (nt Google Chrome19) ja seadmeid (nt Samsung Galaxy S520).

[17] Omaette initsiatiiv on nn Virtual Smart Card, kuid mille arhitektuuri ja tehnilisi lahendusi tehnoloogiliseks standardiks nimetada ei saa. Pigem on tegemist hacking initiative tüüpi lahendusega, mis riikliku identiteedi ja turbepoliitikatega ei pruugi haakuda.

[18] 2013. aasta alguses moodustatud FIDO Alliance on väljastanud kaks spetsifikatsiooni U2F (Second Factor UX, kahetasemeline autentimine) ja UAF (Passwordless UX, salasõnavaba autentimine), mille eesmärgis on kirjeldada lihtsalt kasutatav ja turvaline online-autentiminese uusi võimalusi [URL].

[19] FIDO Ready products at the 2015 International Consumer Electronics Show. (18.12.2014, Yahoo!) [URL]

[20] MFAC solution for the Samsung Galaxy S5. (NokNok Labs, 2014) [URL]