Väldi äpardusi dokumentidega: mida pead teadma digiallkirjadest ja nende kehtivusest?

Iga digiallkirja element võib olla kehtetu, mistõttu on mõistlik kõik digitaalselt allkirjastatud dokumentide allkirjad alati ka valideerida. Foto: Shutterstock

Allkiri on sellest alates, kui seda joonistati kirjutusvahendiga paberile, olnud alati seotud allkirjastaja ees- ja perekonnanimega. Sellist allkirja saab viia digitaalsele kujule, kuid see ei ole kunagi kvalifitseeritud digiallkiri. Kvalifitseeritud digiallkiri koosneb lisaks eelnevale ka komplektist digitaalsetest lisaandmetest.

E-allkirjal on mitu taset 

Elektroonilisi allkirju reguleerib Euroopa Liidus eIDAS määrus. See defineerib e-allkirjade tasemed. Esimese taseme allkirjad on lihtsalt digitaalsel kujul allkirja kujutisega pildid, kuid tegemist on siiski elektroonilisel kujul allkirjaga. 

Järgmine tase on täiustatud e-allkirjad. Selliste allkirjade puhul on allkiri unikaalsel viisil seotud allkirjastajaga ning allkirja andnud isikut on võimalik identifitseerida, kuid kasutusel ei ole kvalifitseeritud allkirja andmise vahendit ja seetõttu ei saa seda allkirja lugeda võrdväärseks kvalifitseeritud digiallkirjaga. Siiski võib allkirja kasutada ametlikes protseduurides. 

Kõrgeim tase on kvalifitseeritud digiallkiri, mida on võimalik Eesti kodanikel anda ID-kaardiga, Mobiil-ID-ga ning alates novembrist 2018 ka Smart-ID-ga (Smart-ID kontod, mis on loodud enne 2018. aasta novembrit, omasid täiustatud e-allkirja taset). 

ID-kaardiga, Mobiil-ID-ga ning Smart-ID-ga antud allkirjad on võrdväärsed kvalifitseeritud digiallkirjad ning nende kehtivuses ei saa kahelda. 

Sertifikaat, algoritm ja ajatempel

Iga kõrgeima taseme digiallkiri sisaldab unikaalset andmekogu kasutaja identiteedi kohta ja lisainfot – sertifikaati ja krüpteeritud algoritmi. 

Digiallkirjade sertifikaate väljastavad kvalifitseeritud usaldusteenuste pakkujad, kes on saanud Euroopa Liidu tunnustuse. See tunnustus on olemas ka Eestis kasutusel olevate digiidentiteetide nagu ID-kaart, Mobiil-ID ja Smart-ID sertifikaate väljastaval SK ID Solutions AS-il. 

Krüptograafiline algoritm tagab, et digitaalsed allkirjad dokumendil on kehtivad, kuni nende allkirjastamiseks kasutatud digitaalse identiteedi kasutatav algoritm muutub nõrgaks. 

Algoritmi nõrgenemine on põhjustatud enamasti arvutite arvutusjõudluse kasvust ning seda monitoorib Euroopa Liidu Küberturvalisuse Amet (ENISA). Ei ole võimalik ette ennustada, millal algoritm nõrgaks muutub ning kui see juhtub, ei tähenda see, et allkiri muutub koheselt kehtetuks. Algoritmi uuendamine võtab enamasti aga aega.

Üldjuhul kasutab usaldusteenuse pakkuja alati allkirjastamisel ka ajatempliteenust. Siiski pole tegemist kohustusliku osaga elektroonilisest allkirjast. Ajatempliteenuse abil lisatakse allkirjale andmete hulk, mis viitab allkirjastamise hetkel olemas olnud andmetele ning on ainus viis tõendada, et allkiri loodi hetkel, mil allkirja andja sertifikaat oli kehtiv. Tegemist on ka ühe vajaliku elemendiga, mis annab antud allkirjale pikaajalise kehtivuse. 

Ajatempel lisab allkirjale kuupäeva ja aja, mil allkiri loodi ning garanteerib, et dokumenti ega allkirjastamise aega ei ole hiljem muudetud. 

Oluline on märkida, et allkirjastamise aeg, mis on kas arvuti või keskkonna aeg, kus allkirjastamine aset leidis, ei pruugi olla sama, mis ajatemplil olev aeg, seetõttu tuleb alati pöörata tähelepanu sellele, kas allkiri tõepoolest sisaldab ka ajatemplit. Esineb olukordi, kus allkirjastamise aeg aetakse segamini ajatempli ajaga. 

Allkirjastatud dokumentide valideerimine on vajalik

Kvalifitseeritud digiallkiri on turvaline kaugtöövahend. Siiski võib iga ülalmainitud digiallkirja element olla kehtetu, mistõttu on mõistlik kõik digitaalselt allkirjastatud dokumentide allkirjad alati ka valideerida. 

Digiallkirjad ja -templid võivad olla kehtetud või kehtivuse ajas kaotanud mitmetel põhjustel. Näiteks võis kvalifitseeritud sertifikaat olla tühistatud allkirjastamise või tembeldamise hetkel või kehtetu aegumise tõttu; allkiri või tempel võis olla väljastatud kvalifitseerimata sertifikaadiga; allkirjale võib olla lisatud kvalifitseerimata ajatempel; krüptograafia võib olla ebatäpne või nõrk; dokumenti võib olla pärast allkirjastamist või tembeldamist muudetud; allkiri või tempel ei vasta pikaajalise säilitamise nõuetele ja kvalifitseeritud sertifikaat on tühistatud, vms. 

Allkirjade ja templite valideerimine on eraldiseisev teenus. Valideerimistulemus näitab, kas digiallkiri on olnud selle loomise hetkest kuni valideerimise hetkeni kehtiv. 

Kvalifitseeritud valideerimisteenuse pakkujad on leitavad Euroopa Komisjoni poolt hallatavast usaldusnimekirjast (EU Trust Services Dashboard ). Ainult kvalifitseeritud valideerimisteenuse pakkuja vastutab esitatud valideerimistulemuste eest. Võimalik on valideerida ka juba varasemalt digiallkirjastatud dokumente. 

Kvalifitseeritud usaldusteenuse pakkujaid auditeerivad regulaarselt akrediteeritud audiitorid ning nad on kantud Euroopa Komisjoni usaldusteenuste nimistusse. Kvalifitseeritud valideerimisteenuse pakkujad on kohustatud tagama, et krüptograafiline allkiri ja tempel valideeritakse edukalt, et allkirjal ega templil ei ole piiranguid, identifitseerima allkirjastajad ning tagama, et valideerimine põhineb eIDAS määruses ja ETSI standardis seatud tingimustele. 

Kvalifitseeritud teenusepakkuja valideerimistulemust saab kasutada kohtus asitõendina, sest sel on tõendusväärtus. Samadel eelpoolloetletud põhjustel ei tohiks pimesi usaldada kvalifitseerimata teenuse tulemusi.  

Eduka valideerimisprotsessi tulemuseks on valideerimisraport – dokument, kus on esitatud teostatud valideerimise tulemused. Seda saab kasutada tõendina, et allkirjad ja templid olid kehtivad allkirjastamise hetkest kuni valideerimisraporti koostamiseni. Valideerimisteenuse kasutamine annab kõigile protsessis osalejatele turva- ja kindlustunde. 

Baltikumi esimene ja seni ainus kvalifitseeritud valideerimisteenuse pakkuja kvalifitseeritud digiallkirjade ja kvalifitseeritud digitemplite valideerimiseks on Dokobit UAB. Kvalifitseeritud valideerimisteenust saab kasutada Dokobit portaalis

Mis on DigiPRO ja kes seda teevad? Loe siit

Populaarsed lood mujal Geeniuses

Kolm korda nädalas

Telli DigiPRO uudiskiri

Kolm korda nädalas spetsiaalne DigiPRO liikmetele tehtud uudiskiri, et sa midagi olulist maha ei magaks.