Digitaalallkiri

(Ümber suunatud leheküljelt Digitaalne allkirjastamine)

Digitaalallkiri ehk digitaalne allkiri ehk digiallkiri (või ka elektrooniline allkiri ehk e-allkiri) on tavalise allkirja analoog digitaalsel kujul oleva info allkirjastamiseks.[1] Digitaalallkirja abil on tuvastatav seos dokumendi ja allkirjastaja vahel. Digitaalallkiri koos ajatempliga moodustab dokumendiga ühise andmekogumi, mille koostisosi ei ole hiljem võimalik eraldi muuta.

 Legaaldefinitsioon: E-allkiri ehk elektrooniline allkiri on elektroonilised andmed, mis on lisatud muudele elektroonilistele andmetele või on nendega loogiliselt seotud ja mida allkirja andja kasutab allkirja andmiseks.[2][3]

Digitaalallkirja seadus defineerib mõiste järgnevalt: Digitaalallkiri on tehniliste ja organisatsiooniliste vahendite süsteemi abil moodustatud andmete kogum, mida allkirja andja kasutab, märkimaks oma seost dokumendiga.[4][5] Digitaalallkirja seadus muutus kehtetuks 26. oktoobril 2016 ja selle asemel võeti vastu E-identimise ja e-tehingute usaldusteenuste seadus.[6]

Digitaalallkirja loetakse vastavaks eIDASe artikli 3 punktis 12 sätestatud kvalifitseeritud e-allkirja nõuetele.[7]

Digiallkiri on tavalise allkirja asendaja, mis aitab tagada elektrooniliste dokumentide (e-kirjad, tekstifailid jne) turvalisust. Turvalisuse tagamine digiallkirjaga tähendab, et dokumendi signeerija on teada ning dokumenti pole muutnud kolmandad isikud. Digitaalallkirjal on samad õiguslikud tagajärjed nagu omakäelisel allkirjal.

Digitaalallkirja on võimalik lisada arvutis olevatele failidele ID-kaardi ning vastava riist- ja tarkvara abil. Digitaalselt allkirjastatud dokumente on võimalik salvestada andmekandjale, edastada arvutivõrgu kaudu jne.

Digitaalselt allkirjastatud dokumentide avamiseks ja lugemiseks vajalik tarkvara on kättesaadav üldkasutatava arvutivõrgu kaudu.

eIDAS-määrus jaotab allkirjad nelja kategooriasse, lähtuvalt nende tugevusest:

  1. Lihtsalt allkirjad
  2. AdES (Advanced Electronic Signature)
  3. AdES/QC – Täiustatud allkiri kvalifitseeritud sertifikaadiga (QualifiedCertificate)
  4. QES (Qualified Electronic Signature)[8]

Ajalugu

muuda

1976. aastal kirjeldasid Whitfield Diffie ja Martin Hellman esimest korda digitaalse allkirjastamise võimalust. Sellest ajast peale on arendatud mitmeid avaliku võtme krüpteerimissüsteeme. Avaliku võtme algoritmid põhinevad numbrite teoorial ehk uute algoritmide loomisel, milleks on vaja leida uusi matemaatilisi võrrandeid erinevate toimingute jaoks. Tänapäeval kasutatakse enamasti kolme avaliku võtme süsteemi: Diffie-Hellmani võtmevahetus, DSA/DSS, RSA.

Diffie-Hellmani võtmevahetus põhineb krüptograafiliste võtmete jagamisel osapoolte vahel. Metoodika ei põhine otseselt krüpteerimisel, kuid see loob võimaluse arendada ning vahetada salastatud võtit avaliku kanali kaudu. Süsteemi toimimiseks peavad mõlemad osapooled kokku leppima kindlates numbrikombinatsioonides ning seejärel valmistatakse enda salastatud võti. Võtmete valmimisel vahetatakse numbrikombinatsioone ja arvutatakse välja kolmas toimiv võti, millega kaitsta jagatud informatsiooni võimalike ründajate eest.

Digiallkirja standardi ehk DSSi (Digital Signature Standard) lõi Ameerika Rahvusliku Kaitse Organisatsioon (U.S. National Security Agency)[lisa viide]. DSS põhineb digiallkirja algoritmil ehk DSA-l (Digital Signature Algorithm). DSS-i saab kasutada ainult digiallkirjade puhul, kuid DSA-d saab rakendada ka krüpteerimisel.

RSA on 1977. aastast pärit avaliku võtme krüptograafia süsteem, mille lõid kolm professorit: Ronald Rivest, Adi Shamir ja Leonard Adleman. RSA algoritm on digiallkirja süsteemi ning informatsiooni krüpteerimise aluseks.

Need leiutised panid küll aluse digiallkirja tekkele, kuid elektrooniliste allkirjade levik algas tänu masinale – faksile. 1980. aastatel hakati paberdokumentide kiireks edastamiseks kasutama faksiaparaati. Tänaseks on faksist saanud mujal maailmas ärimaailma lahutamatu osa, Eestis mindi kiirelt faksilt palju kiiremale ja turvalisemale digitaalallkirjasüsteemile.

Esimese lepingu allkirjastamine ja faksimine algatas arutelu allkirja tõelevastavusest. See oli esimene kord ajaloos kui allkirjastatud dokument edastati masina ja sideliini abil vastuvõtjale, kes sai dokumendi digitaalse koopia koos kopeeritud allkirjaga. Allkirja teekond läbi ülekandevõrgu ei olnud kontrollitav, mistõttu oli allkirja kehtivust raske uskuda. Faksimise ning elektroonilise allkirja tähendused olid kõigile mõistetavad, kuid puudus kindlus, et saadetavat allkirja pole kolmandate isikute poolt muudetud. Segaduse lahendamiseks määrasid kohtud faksitud allkirjale samasuguse tähtsuse nagu viibiksid dokumendi mõlemad osapooled samaaegselt ühes ruumis. Pärast seda määrust muutus faksimine standardprotseduuriks üle kogu maailma.

Digitaalallkirjastamise eelised ja puudused

muuda

Eelised

muuda

Digitaalallkirjastamine on lihtne, kiire ja mugav ning kaotab paljud paberil allkirjastamisega kaasnevad riskid. Allkirjastamise eest vastutab füüsiline isik.

Allkirjastatud dokumendi puhul on võimalik kontrollida, et seda ei ole pärast kolmandate isikute poolt redigeeritud (selle võimaluse kõrvaldavad matemaatilised seosed), samuti on võimalik kontrollida allkirjastamise kuupäeva, sest ajatempel on üks digitaalallkirjastamise osa.

Puudused

muuda

Digitaalallkirja vorming peab olema piiratud, sest on võimalik, et erinevad keskkonnad võivad dokumenti näidata erineval moel. Kõige olulisem ja tõsisem risk digiallkirja kasutamise juures on see, et allkirja andmise õigused on varastatavad koos privaatvõtmega- sertifikaadi omaja peab hoolikalt jälgima, et sertifikaadiga seotud privaatvõti ei väljuks selle omaniku ainuvaldusest. Tänapäeval on välja mõeldud erimeetodeid selle vastu võitlemiseks ning risk on kahanemas.

Digitaalallkirjastamine Eestis

muuda
  Pikemalt artiklis Digitaalallkiri Eestis

Digitaalallkirja seadus (DAS) jõustus Eestis 15. detsembril aastal 2000. Digitaalallkiri on võrdsustatud tavaallkirjaga ning seda võib tänapäeval kasutada põhimõtteliselt kõikjal. Eesti avalikud asutused on kohustatud vastu võtma digitaalselt allkirjastatud dokumente.

ID-kaardi väljastamisel antakse inimesele kaks sertifikaati. Üks on isiku tuvastamiseks ja teine digiallkirjastamiseks. Tähtis on see, et vastavad sertifikaadid ei oleks aegunud, muidu ei ole võimalik digitaalselt dokumente allkirjastada kuni sertifikaadid on uuendatud.

Teistes riikides

muuda

1999. aastal töötati välja UETA projekt, mille kohaselt USA igale osariigile saab esitatud õigusliku baasi elektrooniliste allkirjade kasutamiseks. UETA oli vastu võetud 48 osariikide, Columbia ringkonna ja USA Virginia saarte poolt.[9]

1. oktoobril 2000. aastal jõustus Ameerika Ühendriikides föderaalseadus ESIGN (elektroonilised allkirjad rahvusvahelistes ja riigisisestes kaubandussuhetes). ESIGN määratleb "elektroonilise allkirja" kui "elektrooniline heli, sümbol või protsess, mis on lisatud või loogiliselt seotud lepinguga või muu elektrooniliselt loodud, saadetud, edastatud, vastuvõetud või salvestatud dokumendiga". Samal ajal ESIGN-i kohaselt: "ei saa keelata õiguslikku mõju, kehtivust ega täitmisele pööramist ainuüksi seetõttu, et see on elektroonilisel kujul."[10]

ESIGN on koordineeriv õigusakt, kuna selle vastuvõtmise ajaks olid asjakohased regulatiivõigusaktid enamikus osariikides juba olemas.[11]

Kanada

muuda

PIPEDA on Kanada föderaalne seadus, mis kaitseb isikuandmeid ja elektroonilisi dokumente. Seadus määratleb üldise elektroonilise allkirja kui "allkiri, mis koosneb ühest või mitmest digitaalsest tähest, märgist, numbrist või muust digitaalsest tähemärgist, mis sisaldub sellele lisatud või sellega seotud elektrooniline dokument" ja turvalise elektroonilise allkirja kui "elektrooniline allkiri, mis on reeglitega ette nähtud tehnoloogia või protsessi rakendamise tulemus".[12]

Québec on ainus provints, millel on oma elektroonilise allkirja seadused. Praktikas käsitletakse Kanadas käsitsi kirjutatud ja elektroonilisi allkirju samal tasemel ühe lisanõudega.[viide?] Mõlemad allkirjastamisel osalevad pooled peavad allkirja õiguslikult siduvaks muutmiseks nõustuma elektrooniliste allkirjade seaduslikkusega.[13]

Läti

muuda

31.10.2002 võttis Läti vastu elektrooniliste dokumentide seaduse (EDS), mis jõustus 01.01.2003. Vastavalt elektrooniliste dokumentide seadusele on digitaalallkiri tarkvarapaketid, riistvara ja elektronallkirja moodustamiseks vajalikud andmed, mis vastavad järgmistele nõuetele:

  • elektronallkirja moodustamiseks vajalikke andmeid luuakse ainult üks kord ja nende saladus on tagatud;
  • elektronallkirja moodustamiseks vajalikke andmeid ei saa tuletada ja tehnoloogiate kasutamisel on elektrooniline allkiri tagatud võltsimise eest;
  • elektronallkirja moodustamiseks vajalikud andmed on kindlalt kaitstud ebaseadusliku kasutamise eest kolmandate isikute poolt;
  • turvalised elektrooniliste allkirjade loomise turvalised seadmed ei muuda allkirjastatavat elektroonilist dokumenti ega takista sellise dokumendiga tutvumist enne selle allkirjastamist.[14]

Ettevõtjad saavad kasutada e-allkirja enda ja/või klientide vahel vastastikusel kokkuleppel ning kõik riigi ja kohaliku omavalitsuse asutused on kohustatud vastu võtma elektroonilisi dokumente füüsilistelt ja juriidilistelt isikutelt.[15]

Leedu

muuda

Leedu Vabariigi elektroonilise identimise ja elektrooniliste tehingute jaoks vajalike usaldusteenuste seadus näeb ette, et määruses sätestatud kvalifitseeritud elektroonilise allkirja nõuetele mittevastava elektroonilise allkirja õiguslik toime on samaväärne käsitsi kirjutatud allkirja kehtivusega, kui sellise elektroonilise allkirja kasutajad on eelnevalt kirjalikult kokku leppinud ja kui on võimalik leping usaldusväärsele andmekandjale salvestada.[16]

Digitaalse allkirja kontrollimine

muuda

Eesti standardprogramm digiallkirja koostamisel ning kontrollimisel on DigiDoc Client, mis on ID-kaardi tarkavara osa. Lisaks digiallkirjastamise funktsionaalsusele võimaldab programm andmeid salastada ja salastatud andmeid muuta kõigile loetavale kujule. See võimaldab lisada ka olemasolevatele allkirjadele uusi allkirju. Allkirjade kehtivuse kontroll teostatakse automaatselt DigiDoc faili avamisel. Sertifikaadi kehtivuse kontrolliks peab Windowsi sertifikaadihoidlasse olema paigaldatud allkirjastaja sertifikaadi väljaandja sertifikaat (Eestis AS Sertifitseerimiskeskus) ja kehtivuskinnituse teenuse sertifikaat (sertifikaadid, mis olid kasutusel allkirjastamisel hetkel).

Digiallkirja kontroll

muuda

Digiallkirjade õigsuse kontroll toimub krüptograafiliselt. Digiallkirja puhul on olulised õigsus, et allkirja andja on selle päriselt andnud, ja terviklikkus, et allkiri on antud täpselt nendele andmetele.

Digitaalallkirjade andmiseks avaliku võtme krüptograafiat ja sellega seotud infrastruktuuri. Avaliku võtme krüptograafia alustalaks on avaliku võtme ja privaatvõtme kombinatsioon. Privaatvõti on teada ainult omanikule, aga avalikku võtit jagatakse igale arvutile, mis soovib turvaliselt privaatvõtme omanikule andmeid edastada.

Tulevik

muuda

Kuigi praegu on Eestis laialtkasutatav Digidoc, leidub maailmas ka teisi.

Juba praegu saab digitaalallkirja elektrooniliselt ja paberivabalt edastada ning kooskõlastada ka inseneridokumentatsiooni ja ruumiinfot, sealhulgas CAD-jooniseid (computer-aided design) MicroStationi programmi Bentley V8 platvormiga.

MicroStation kasutab digiallkirjastamisel rahvusvaheliseks standardiks kujunenud tehnoloogiat, kasutada saab ka Eesti ID-kaarti ja sellega kaasnevat sertifikaati. Microstationi failile lisatud digiallkiri vastab Eesti Vabariigi digitaalallkirja seaduse (DAS) nõuetele. Eraldi seadistamist ei ole vaja MicroStationi puhul teha.

Bentley tarkvara võimaldab lisada digitaalallkirja nii joonisefaili kui terviku suhtes, aga ka faili üksikute osade (Models) või üksikute elementide (cell'ide) allkirjastamiseks. See on vaid näide võimalustest, mis meid tulevikus ees ootavad ja täpselt ei oska keegi spekuleerida, mis tulla võiks.

Vaata ka

muuda

Viited

muuda
  1. "Digiallkirjastamine". Originaali arhiivikoopia seisuga 7. märts 2010. Vaadatud 15. märtsil 2010.
  2. EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS (EL) nr 910/2014, Euroopa Liidu Teataja, 23. juuli 2014
  3. E-allkiri, Esterm, vaadatud 11.04.2018
  4. Digitaalallkirjaseadus. § 2. Digitaalallkiri, Riigi Teataja, Avaldamismärge: RT I, 14.03.2014, 12
  5. Digitaalallkirja seadus (kehtetu), Riigi Teataja, Avaldamismärge: RT I, 25.10.2016, 2
  6. E-identimise ja e-tehingute usaldusteenuste seadus (lühend – EUTS), Riigi Teataja, Vastu võetud 12.10.2016
  7. E-identimise ja e-tehingute usaldusteenuste seadus §24, Riigi Teataja, Vastu võetud 12.10.2016
  8. Kiri Aleixolt, RIA blogi, 14. juuni 2016
  9. "Electronic Transactions Act". Uniform Law Comission. Vaadatud 19.11.2020.
  10. "Electronic Signatures in Global and National Commerce Act" (PDF). Federal Deposit Insurance Corporation. Vaadatud 19.11.2020.
  11. "E-Sign versus State Electronic Signature Laws: The Electronic Statutory Battleground". North Carolina Banking Institute. Vaadatud 19.11.2020.
  12. "Principles Set Out in the National Standard of Canada Entitled Model Code for the Protection of Personal Information". Government of Canada. Originaali arhiivikoopia seisuga 12.11.2020. Vaadatud 19.11.2020.
  13. "PIPEDA interpretation bulletins". Office of the Privacy Commissioner of Canada. Vaadatud 19.11.2020.
  14. "Elektronisko dokumentu likums". Likumi. Vaadatud 19.11.2020.
  15. "Dokumentu parakstīšana ar drošu elektronisko parakstu". Latvija. Vaadatud 19.11.2020.
  16. "Lietuvos respublikos elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų įstatymas". TEISĖS AKTŲ REGISTRAS. Vaadatud 19.11.2020.

Välislingid

muuda
  1. http://www.isaacbowman.com/the-history-of-electronic-signature-laws
  2. http://www.rmp.ee/eraisik/digiallkiri/2058
  3. http://www.sk.ee/pages.php/020207010501,978
  4. http://computer.howstuffworks.com/digital-signature.htm
  5. http://www.id.ee/10536
  6. http://www.cadsys.ee/digiallkiri/
  7. http://www.slideshare.net/daniellabo/digiallkiri-praktikas-digiasjaajamine-valdo-praust
  8. http://docstore.mik.ua/orelly/other/puis3rd/0596003234_puis3-chp-7-sect-3.html