Dokobiti blogi

Digiallkirjastatud dokumentide säilivus: kas allkirjad kehtivad igavesti?

Digitaalselt allkirjastatud dokumendid, nagu paberil dokumendidki vajavad õigetes tingimustes hoidmist. Kuigi metoodikad erinevad, on digiallkirjastatud dokumentide puhul kõige olulisem allkirjade kehtivusaeg.

Loe, mis on kõige olulisem kindlustamaks, et sinu digiallkirjastatud dokumendid säilitaksid oma kehtivuse pikaks ajaks.

Miks on allkirja pikaajaline kehtivus oluline?

Kuidas tagada digitaalselt allkirjastatud dokumentide pikaajaline kehtivus? Kas allkiri muutub kehtetuks, kui allkirja sertifikaat aegub? Sellised küsimused tekivad, kuna tavaliselt on allkirjastamise sertifikaadi kehtivusaeg lühem kui allkirjastatud dokumentide kehtivuse ja säilitamise vajaduse aeg. Seetõttu on oluline kindlustada allkirja kehtivus ka pärast allkirjastamise sertifikaadi kehtivuse lõppu.

Oletame, et olete allkirjastanud konfidentsiaalsus- ja vaikimiskokkuleppe ning peate seda säilitama oma ettevõtte dokumentidega 10 aastat. Antud digiallkirja sertifikaat kehtib aga vaid 3 aastat, mistõttu kolme aasta möödudes võib sellele dokumendile lisatud allkirjade valideerimine olla mõnevõrra keeruline. Vaieldamatu ehk ümberlükkamatu fakt on, et allkiri kehtis eelneval ajal, kuid kuidas seda tõestada? Siin on olulised kaks elementi: ajatempel ja allkirja sertifikaadi tühistamise andmed.

Ajatempleid kasutatakse allkirja loomise aja määramiseks, tagades seeläbi, et allkirja ja allkirjastatud dokumenti ei ole pärast seda ajahetke muudetud. Ehkki ajatempli lisamine on oluline, pole see ometigi piisav dokumendi ja sellele lisatud allkirja valideerimiseks tulevikus. Pikemas perspektiivis peab allkiri kehtivuse tagamiseks sisaldama allkirja sertifikaadi tühistamise andmeid, mis tagab, et allkirjastamise ajal oli allkirja sertifikaat kehtiv.

Allkirja turbetasemed ja nende tähendus

Mõistmaks, kuidas allkirja kehtivus töötab, peame süvenema formaatidesse ja allkirjade tasemetesse. Digitaalseid allkirju on erinevates formaatides: XAdES, PAdES ja CAdES. Need omakorda on jagatud kolme dokumendi formaadil põhinevasse gruppi.

Digiallkiri võib olla erinevates formaatides ning kas rahvusvaheline või riigisiseseks kasutamiseks. Näiteks Eestis on kasutusel siseriiklik konteinerformaat BDoc, Lätis EDoc, Leedus ADoc, standardina üle kogu Euroopa on kasutusel ASiC ja PDF. Igal dokumendiformaadil on vastav allkirja formaat: ASiC, ADoc, BDoc ja EDoc kasutavad XAdES allkirju, PDF kasutab PAdES allkirju.

Lisaks jagatakse allkirjad turvalisuse klassidesse. Selgituseks jagame need kolmeks.

  • Aste 3 (XAdES-B ja PAdES-B): baastaseme e-allkiri. Kõige lihtsam version e-allkirjast, mil puudub igasugune lisatud turvamõõde. Aste 3 allkirjad on kehtivad allkirja sertifikaadi kehtivuse ajal või kuni sertifikaat tunnistatakse mingil põhjusel enne kehtivusaja lõppu kehtetuks. Sertifikaat võib kaotada kehtivuse, kui vahetate oma eID vahendit (näiteks kui teie perekonnanimi muutub), kui kaotate oma eID ja taotlete uue, turvakaalutlustel, jne.
  • Aste 2 (XAdES-T ja PAdES-T): ajatempliga e-allkiri. Allkirjastamise ajaga ajatempel lisatakse dokumendile tõendamaks, et seda pole pärast allkirjastamist muudetud. Aste 2 taseme allkirjad on kehtivad kuni allkirja sertifikaadi kehtivuse lõpuni ning sertifikaadi varasem tühistamine ei oma mõju antud allkirjale.
  • Aste 1 (XAdES-LT/XL ja PAdES-LT): pikaajaliste andmetega allkiri. Sertifikaadid ja nende tühistamisandmed on lisatud allkirjale viisil, mis võimaldab kehtivuse kinnituse saamist ka siis, kui sertifikaadi algne allikas pole saadaval. Aste 1 taseme allkirjad on kehtivad kuni nende räsifunktsioonide algoritm on turvaline.

Selle info monitooringu ja edastamise eest vastutab Euroopa Liidu Küberturvalisuse Amet (ENISA). Mida aga tähendab algoritmi nõrgenemine? Allkirja loomisel kasutatud räsifunktsioonis nõrkuste ilmnemine on allkirja turvalisuse osas oluline. Nõrkused räsifunktsioonis võimaldavad võltsida kas allkirja ennast või muuta allkirjastatud dokumenti.

Kas teadsid, et praeguseni on teada kaks algoritmi, mida nüüd käsitletakse ebaturvalistena? Räsifunktsioon MD5 sai selle staatuse 2012.aastal ja SHA-1 aastal 2017.

  • Aste 1.1 (XAdES-LTA/A ja PAdES-LTA): pikaajaliste andmetega ja arhiveerimise ajatempliga allkiri. Perioodiliselt oma digiallkirjastatud dokumente ületembeldades kaitstakse dokumente algoritmi nõrgenemise ohu eest. Seega on astme 1.1 allkirjad peaaegu samad, mis astmel 1, kuid väga pikas ajaperioodis, mil iga algoritm paratamatult nõrgeneb, uuendatakse allkirja kehtivust kuni järgmise korrani, mil teatatakse kasutatud räsifunktsiooni nõrgenemisest.

Turvalisus Dokobitiga

Olenevalt dokumendiformaadist, kasutab Dokobit vaikimisi erineva turvatasemega allkirju. Järgnevalt vaatame lähemalt meil enam kasutusel olevaid formaate PDF, ASiC ja BDoc.

Allkirjastades PDF, ASiC, BDoc ja EDoc formaadis dokumente: dokumendiformaatide PDF, ASiC ja BDoc puhul on Dokobiti lahendustes turvalisuse aste 1.

Dokumendi allkirjastamise hetkel on allkirja turvalisuse aste 3, Dokobit tõstab selle automaatselt astmele 1 lisades nii ajatempli kui ka allkirja kehtivuskinnituse. See tähendab, et teie dokumentidel olevad allkirjad on kehtivad kuni ametlikult kinnitatakse, et allkirja räsifunktsioon ei ole enam turvaline. Ei ole kunagi täpselt teada, millal see juhtuda võib, seetõttu jälgib Dokobit olukorda ning annab oma klientidele teada, kui muudatused on vajalikud.

Kui see juhtub, mida peaksite tegema?

  • Kui kasutate Dokobiti dokumentide allkirjastamise portaali ja olete liitunud tasulise paketiga, ei pea te midagi tegema. Kui teavitatakse nõrkustega räsifunktsioonist, mis pole enam turvaline, hoolitseme selle eest, et teie allkirjastatud ja portaali salvestatud dokumendid oleksid varustatud astmega 1.1.
  • Kui kasutate Dokobiti integreeritavaid allkirjastamise lahendusi, peate allkirjade turvalisuse astme tõstmise ise korraldama. Kui peate dokumenti pikka aega säilitama, saate seadistada pikaajaliseks säilitamiseks ettevalmistamise funktsionaalsuse ning kasutada seda enne, kui räsifunktsioonis nõrkus ilmneb.

On oluline märkida, et Dokobiti integreeritavate API lahenduste vastustes on lisatud info selle kohta, millist algoritmi allkirjas kasutati – kui selle teabe enda süsteemi salvestate, saate hõlpsalt leida vajadusel dokumente, mille kehtivust tuleb pikendada. See võimaldab teil endal jälgida krüptograafilisi riske või tugineda tegutsemisel meie poolt saadetud teavitusele.

Kokkuvõtvalt – allkirjade pikaajalist säilitamist on vaja, et saaksime allkirjastatud dokumentide allkirjade kehtivust kontrollida ka peale allkirjastajale väljastatud sertifikaatide kehtivusaja lõppu.

Mis on DigiPRO ja kes seda teevad? Loe siit

Populaarsed lood mujal Geeniuses

Telli Geeniuse kõige hinnalisemad lood oma postkasti

Saadame sulle igal argipäeval ülevaate DigiPRO ja Ärigeeniuse olulisematest lugudest.