Eestlastele hästi tuttavat ja omaseks saanud Mobiil-ID tehnoloogiat võiksime uhkusega eksportida ka välisriikidesse. Kuidas seda täpsemalt teha ning milliste takistustega välisturgudele sisenedes arvestama peab, uurisid ühise projekti raames AS Sertifitseerimiskeskus ja Cybernetica AS.
Kuigi Mobiil-ID (MID) on Eestis laialt kasutusel, on seda siiani olnud keeruline eksportida. Peamine takistus välisturgudele sisenemisel on olnud telekommunikatsioonifirmade puudulik koostöö – Eesti mobiilioperaatorid teevad küll omavahel tõhusat koostööd ning riik toetab MIDd, kuid välisriikides on laiapõhjaline operaatorite koostöö keeruline või lausa võimatu.
Seda arvestades oli EX-mID projekti põhieesmärk Mobiil-ID ekspordivõimaluste lihtsustamine. Projekti raames uuriti ka Mobiil-ID tulevikuperspektiive ning võimalikke alternatiivseid tulevikulahendusi täna Eestis kasutusel olevale SIM-kaardil põhinevale MID lahendusele.
SK teostas projektijuhtimisega seotud ülesandeid ning Cybernetica pakkus välja tehnilisi lahendusi. Projekti rahastas EAS koos Norway Grantsiga ning selle tulemusel valmis esmane prototüüp, mille baasil on nüüdseks käivitunud uue toote arendus.
Raskused eksportimisel
Elektroonilise isikutunnistuse kasutusala on Eestis viimastel aastatel tublisti laienenud. Kui kümmekonna aasta eest oli ID-kaart valdavalt plastikust isikutunnistus, siis nüüdseks on sadade kasulike e-teenuste toel laienenud aktiivne kasutamine massidesse. Vähem oluline pole ka Mobiil-ID ja Digi-ID võidukäik, tänu millele on tärganud paljude teiste riikide huvi Eesti e-lahenduste vastu.
Mobiil-ID edukas viimine välisturgudele oleks kahtlemata suur tunnustus kogu Eestile ja pälviks positiivset tähelepanu kõikjal maailmas. Paraku ei ole meile omase tehnoloogia eksportimine nii lihtne kui arvata võiks, sest MID praegusel kujul on otseselt seotud mobiilioperaatoritega – see tehnoloogia põhineb ju teadupärast SIM-kaardil.
Eestis kasutusel oleva Mobiil-ID puhul toimub andmevahetuse e-teenuse pakkuja ja kasutaja mobiili vahel lühisõnumite kaudu. Meil ja ka näiteks Leedus on operaatorid suutnud teha suurepärast koostööd, kuid seda ei saa sugugi igas riigis pidada iseenesestmõistetavaks.
Isegi kui sihtturul õnnestub ühe operaatoriga kokkulepe saavutada, ei tähenda see veel, et teisedki operaatorid liituksid. Mida vähem operaatoreid MIDi toetab, seda vähem atraktiivne on see e-teenuste pakkujatele, kuna potentsiaalsete lõppkasutajate hulk on väiksem.
Lisaks on Eesti puhul oluline rõhutada riikliku toe olemasolu, mis on absoluutselt erandlik ning mille tõttu on meil raske oma mudelit välisriikidesse kopeerida. Arenguhüpe oleks lihtsalt liiga äkiline.
Uute lahenduste peale mõeldes analüüsisime olemasolevaid suundumusi ja võtsime arvesse võimalust, et SIM-kaart sellisel kujul, nagu me seda praegu tunneme, kaob tulevikus üldse kasutusest. Seega otsisime asendust SIM-kaardile, kuhu on praegu paigutatud MIDga autentimiseks ja allkirjastamiseks vajalik salajane võti.
Tulevikku silmas pidades tuleb arvestada, et SMS-liiklus jääb oma aegluse tõttu ajale jalgu ja MIDi järgmise versiooni puhul tuleks hakkama saada ilma selleta. SIM-kaardist ja GSM-võrgust sõltuvuse vähendamine võimaldab lahendust kasutusele võtta ka näiteks tahvelarvutites, millel puudub mobiilse andmeside võimekus.
Kallimates telefonides on juba praegu olemas riistvaralised turvamoodulid, mida saaks privaatvõtme hoidmiseks kasutada, kuid kõrge hinnataseme tõttu ei sobi lahendus laiemale turule.
Otsides alternatiivi, mis sobiks iga hinnaklassi telefonile, jõudsimegi ideeni, kus osa autentimiseks ja allkirjastamiseks vajalikust privaatvõtmest paigutatakse turvalisse serverisse ning teine osa jääb kasutaja telefoni. Sellise lahenduse puhul ei kao turvalisus ka siis, kui telefon varastatakse, kuna võtme kasutamine on analoogiliselt Mobiil-IDga kaitstud PIN-koodidega.
Küll aga lihtsustub MIDi taotlemine, sest kasutaja ei peaks enam SIM-kaardi vahetamiseks isiklikult telefonioperaatori esindusse kohale minema. EX-mIDi projekti raames realiseeriti selle lahenduse esmane prototüüp, mille baasil on nüüdseks käivitunud uue toote arendus.
Rahvusvaheliste standardite kasutuselevõtt
Kui EX-mIDi projekti esimese osa moodustas Mobiil-IDd puudutava dokumentatsiooni väljatöötamine ning teise osa Mobiil-ID alternatiivide edasiarendusega seonduv, siis kolmas osa hõlmas e-teenustega liidestuse standardsemaks muutmist.
Kui Eestis tegutsev e-teenuse pakkuja soovib täna autentida oma kliente Mobiil-IDga, kasutab ta selleks Sertifitseerimiskeskuse teenust. Selle teenuse liidestamine e-teenusega toimub praegu Eestis välja töötatud protokolli järgi.
Kuigi antud liidestus on meil kasutusel olnud umbes kümme aastat ja töötab laitmatult, võib see välisturgudel takistuseks saada ning on võimalik, et meil tuleb teha mõningaid järeleandmisi. Olgugi et Eesti puhul on meil hea näide nii Nutikaitse projektist kui ka operaatorite suurepärasest koostööst, ei saa sellele välisturgudele laienedes lootma jääda.
See on ka põhjus, miks on vajalik mõelda meid seni suurepäraselt teeninud liidestuse uuendamisele. Kuniks seda uuendatud pole, oleme otsustanud populaarse OpenID Connect standardi kasuks.
Nimetatud standardit, mis on oluline eeldus Eesti Mobiil-ID eksportimisel, kasutavad juba mitmed suured e-teenused nagu Google, Amazon, PayPal, eBay ja Microsoft enda pilveteenustes.
Perspektiivis võidavad antud lahendusest ka Eesti e-teenuste pakkujad, sest liidestustöid saab teha rahvusvahelise levinud standardi järgi. Uue standardi kasutuselevõtt võimaldab tulevikus sama liidese kaudu kasutada erinevaid isikutuvastusvahendeid (ID-kaart, Mobiil-ID) ning seeläbi muutub eID integreerimine uutesse teenustesse lihtsamaks ja ka odavamaks.