LeverID tootehalduse juht Sergei Zamsharski uuris oma viimases artiklis, kuidas sertifikaadipõhine autentimine on turvalisem kui muud identiteedi autentimise meetodid.
Selles artiklis uurime põhjalikumalt, miks see nii on ja sukeldume digitaalse identiteedi kontekstis kvalifitseeritud usaldusteenuse pakkujate maailma ning vastame küsimusele, mis on teie jaoks olulisem: usaldus, turvalisus või tõendus.
Regulatsioon, eIDAS ja digi-ID
2014. aastal hakkas kehtima uus eIDAS määrus. See reguleerib elektroonilisi suhteid ettevõtjate, kodanike ja riigi vahel, muutes sellised suhted kõigi jaoks turvalisemaks ja tõhusamaks.
Selleks ajaks olid paljud Euroopa Liidu liikmesriigid juba kasutusele võtnud oma tasemed, standardid ja meetodid elektroonilise suhtluse terviklikkuse tagamiseks.
Siiski pakub eIDAS nüüd kõigile 27-le ELi liikmesriigile raamistikku, mis põhineb turvakriteeriumide alusel mõõtmisel ja mille raames saab hinnata nende elektroonilisi identifitseerimis- ja usaldusteenuseid. See aitab vähendada bürokraatiat ja paberimajandust, võimaldades ettevõtetel marginaliseerida kulusid ja kiirendada protsesse, pakkudes riikide- ning sektoritevahelist ja hõlpsasti kasutatavat usaldusväärsete tarnijate võrgustikku.
(Pärast Brexitit võttis Ühendkuningriik seadusesse ISO tingimused, millel eIDAS põhineb, kuid EL-is tegutsevad Ühendkuningriigi elektroonilise digitaalse identiteedi teenuste pakkujad peaksid siiski järgima eIDAS-t, kuid automaatset vastastikust kokkulepet pole. See võib olla neile väljakutse!)
Elektroonilise identifitseerimise, allkirja kontrollimise ja ajatempli teenuste puhul on olemas erinevad kindlustasemed ja nende nõuded, mille alusel hinnatakse pakkujaid ja nende tooteid. Siin näete näiteks neid, mis kehtivad tuvastamisel ja pakkujad saavad valida, millist taset nad soovivad – eeldusel, et nad läbivad loomulikult hindamiskriteeriumid!
Üldiselt kõlab see geniaalselt lihtsalt, kas pole? Uurime, kuidas see toimib, ja mõistame, mis on kvalifitseeritud usaldusteenuse pakkuja.
Kes on kvalifitseeritud usaldusteenuse pakkujad (QTSP)?
Seega on üks asi olla digitaalse identiteediteenuste (SP) kvalifitseerimata pakkuja ja teine asi olla usaldusväärne (TSP) – ja eIDAS ei tee neil kahel vahet. Kuid eIDAS-e nimekirja lisamiseks peate olema kvalifitseeritud inimene – ja seda ainult siis, kui olete täitnud eIDAS-e kvalifitseerimiskriteeriumid ja teid on auditeerinud vastavushindamisasutus.
Praktikas on QTSP staatuse saamine eIDAS-e kvalifitseerumiskriteeriumide järgi pikk ja kulukas protsess, mis tuleneb asjaolust, et pakkuja peab järgima kõrget turvalisuse taset ja nende otsus luua kodanikele sertifikaate peab olema hästi kaitstud (lahendustest räägime allpool).
Ettevõtetel, kes olid oma riigis juba enne eIDAS-e TSP olnud, oli lihtsam oma teenuseid kvalifitseerida, sest tehnoloogia ja õiguslik alus oli juba välja ehitatud.
Mis teenuseid QTSP-d pakuvad?
eIDAS-e raamistikus on 6 teenust:
- isikusertifikaatide väljastamine ja elutsükli haldus
- e-allkirjade loomine, kontrollimine, säilitamine
- ajatempliteenuse osutamine
- eTempel
- veebiserverite sertifikaatide väljastamine
- e-andmevahetusteenus
Tänapäeval on igal ELi 27 liikmesriigil 2–10 QTSP-d. Sõltuvalt nende spetsiifikast kvalifitseerusid ettevõtted ainult nende teenuste kaudu, mida nad pakuvad. Lisaks avanes paljudel ettevõtetel võimalus pakkuda oma teenust kogu Euroopas, kuid mitte kõik neist ei kasutanud seda ära.
Siis astus mängu järgmise taseme mängija – vahendaja, tuntud ka kui edasimüüja või koondaja.
Edasimüüjad või koondajad kasutavad algse QTSP API-d (rakenduse programmeerimisliidest), et müüa edasi selle pakutavaid teenuseid, olgu selleks siis sisselogimine, dokumentide allkirjastamine või muu. Kuid lihtsalt teenuse edasimüümine ei tähenda võluväel, et edasimüüjast saab QTSP!
Selliseid teenuseid on viimasel ajal ilmunud suur hulk, sest nende taga pole tehnoloogilist revolutsiooni ega oskusteavet. Internet on nüüd täis teenuseid, mis kasutavad teiste tehnoloogiat ja see on tänapäeva digitaalse identiteedi turu normaalsus.
Milles probleem seisneb?
Arvan, et igaüks meist kasutab seda või teist lahendust teades, et algne teenusepakkuja on teine ettevõte, kuid teatud eelistuste tõttu, nagu kasutuskiirus, sõbralik liides või lihtsalt harjumused, jääme senise lahenduse kasutamise juurde.
Kui arvestada QTSP kasutamist ühes olekus, siis ilmselt sellist probleemi pole. Kvalifitseeritud teenuseid pakkuv ettevõte saab jätkata pakkumist samas vormingus või nendes tööriistades, nagu ta tegi enne eIDAS-e.
eIDAS ju ei taga ühtset lihtsustatud standardit, pigem oli tegu TSP-de ja QTSP-de kasutatavate elektrooniliste identifitseerimis- ja allkirjavahendite hindamiseks loodud struktuuriga.
Kuid süsteemide erinevuse tõttu puudub sellel endiselt võimalus teha siseriiklikke tehinguid teatud riikides ja riikidevahelisi tehinguid ELi riikide vahel.
Ja see tähendab, et meil ei ole endiselt ühtset süsteemi, mis vähendaks täielikult bürokraatlikke kulusid ja hõlbustaks elektroonilist suhtlust tuvastamise ja allkirjastamise kontekstis.
Miks saab QTSP-d usaldada?
Enamasti kasutavad QTSP-d oma lahendustes PKI ehk avaliku võtme taristu struktuurid, kasutades erinevat tüüpi krüptograafiat, enamasti RSA-d, meetodit, mis töötati välja 1970. aastatel ja mida kasutab vähemalt 80% pakkujatest ka praegu. HSM-i ehk riistvaralise turvamooduli kasutamine on muutunud “must be” teguriks. Seega kasutatakse kasutajatele sertifikaatide loomisel meetodeid, mida algselt peeti häkkimise eest “võimalikult ohutuks”.
Näib, et kõik on lihtne ja selliseid skeeme on juba mitu korda kasutatud. Kuid nagu me nüüd hästi teame, on “turvaline” väga subjektiivne ja krüptograafia täiustamiseks on vaja uuendusi!
Seetõttu valisime LeverID-s teistsuguse tee, kasutades kaasaegseid krüptotehnikaid nagu EdDSA ja patenteeritud võtme genereerimise skeemi (DualKey™), oleme viinud turvalisuse, kiiruse ja mastaapsuse veelgi kõrgemale tasemele ning jah, kasutame oma lahenduses ka HSM-i.
Lisaks kasutame oma Leversigni süsteemis ühe faili standardit, mis toetab dokumentide pakettallkirjastamist (BatchSig™), kus ühe korraga saab allkirjastada palju dokumente eraldi failides. Rohkem mugavust ja mastaapsust teie nõutud lahenduse jaoks – säästate kõiki olulisi ressursse.
Kuhu edasi?
Arvestades, et eIDAS oli esimene omataoline, on see nüüd kvaliteedistandard, mida teised ELi-välised riigid püüavad saavutada. Seega avaneb eIDAS standarditel põhinevatele usaldusväärseid teenuseid pakkuvatele ettevõtetele võimalus pakkuda oma teenuseid üle maailma.
LeverID näeb seda ning seetõttu arendame oma tooteid tulevaste turgude potentsiaalist lähtuvalt koos innovatsiooniga, et tagada, et oleme tulevikuks valmis, pakkudes teenust, mis ulatub ülemaailmsele tasemele.
Ja jah, oleme eIDAS-e kvalifikatsiooni vastavustasemetega sügaval – tegelikult kõige kõrgemal. Niipea kui see selgub, võite olla kindel, et me anname sellest teada!
Sest kui rääkida usalduse, turvalisuse ja tõestuste kontseptsioonidest (ja nendega seotud muredest), siis LeverID vastab kõigile kolmele. Täpselt nii, nagu me selle kavandasime.