Mida peate teadma digiallkirjadest?

Sellist allkirja saab digitaalsele kujule viia, kuid see ei ole kunagi kvalifitseeritud digiallkiri. Kvalifitseeritud digiallkiri koosneb lisaks eelnevale ka komplektist digitaalsetest lisaandmetest. 

Elektroonilisi allkirju reguleerib Euroopa Liidus eIDAS määrus. See defineerib e-allkirjade tasemed. Esimese taseme allkirjad on lihtsalt digitaalsel kujul allkirja kujutisega pildid, kuid tegemist on siiski elektroonilisel kujul allkirjaga. 

Järgmine tase on täiustatud e-allkirjad. Selliste allkirjade puhul on allkiri unikaalsel viisil seotud allkirjastajaga ning allkirja andnud isikut on võimalik identifitseerida, kuid kasutusel ei ole kvalifitseeritud allkirja andmise vahendit ja seetõttu ei saa seda allkirja lugeda võrdväärseks kvalifitseeritud digiallkirjaga. Siiski võib allkirja kasutada ametlikes protseduurides. 

Kõrgeim tase on kvalifitseeritud digiallkiri, mida on võimalik Eesti kodanikel anda ID-kaardiga, Mobiil-ID-ga ning alates novembrist 2018. aastast ka Smart-ID-ga (Smart-ID kontod, mis on loodud enne novembrit 2018.aastal, omasid täiustatud e-allkirja taset). ID-kaardiga, Mobiil-ID-ga ning Smart-ID-ga antud allkirjad on võrdväärsed kvalifitseeritud digiallkirjad ning nende kehtivuses ei saa kahelda. 

Iga kõrgeima taseme digiallkiri sisaldab unikaalset andmekogu kasutaja identiteedi kohta ja lisainfot – sertifikaati ja krüpteeritud algoritmi. Digiallkirjade sertifikaadid väljastatakse kvalifitseeritud usaldusteenuste pakkujate poolt, kes on vastavalt tunnustatud Euroopa Liidu poolt. Eestis kasutusel olevate digiidentiteetide nagu ID-kaart, Mobiil-ID ja Smart-ID sertifikaate väljastav asutus SK ID Solutions AS omab nimetatud tunnustust. Krüptograafiline algoritm tagab, et digitaalsed allkirjad dokumendil on kehtivad, kuni nende allkirjastamiseks kasutatud digitaalse identiteedi poolt kasutatav algoritm muutub nõrgaks. Algoritmi nõrgenemine on põhjustatud enamasti arvutite arvutusjõudluse kasvust ning seda monitoorib Euroopa Liidu Küberturvalisuse Amet (ENISA). Ei ole võimalik ette ennustada, millal algoritm nõrgaks muutub ning kui see juhtub, ei tähenda see, et  allkiri muutub koheselt kehtetuks. Algoritmi uuendamine võtab enamasti aga aega. 

Üldjuhul kasutab usaldusteenuse pakkuja alati allkirjastamisel ka ajatempliteenust. Siiski pole tegemist kohustusliku osaga elektroonilisest allkirjast. Ajatempliteenuse abil lisatakse allkirjale andmete hulk, mis viitab allkirjastamise hetkel olemas olnud andmetele ning on ainus viis tõendada, et allkiri loodi hetkel, mil allkirja andja sertifikaat oli kehtiv. Tegemist on ka ühe vajaliku elemendiga, mis annab antud allkirjale pikaajalise kehtivuse. Ajatempel lisab allkirjale kuupäeva ja aja, mil allkiri loodi ning garanteerib, et dokumenti ega allkirjastamise aega ei ole hiljem muudetud. Oluline on märkida, et allkirjastamise aeg, mis on kas arvuti või keskkonna aeg, kus allkirjastamine aset leidis, ei pruugi olla sama, mis ajatemplil olev aeg, seetõttu tuleb alati pöörata tähelepanu sellele, kas allkiri tõepoolest sisaldab ka ajatemplit. Esineb olukordi, kus allkirjastamise aeg aetakse segamini ajatempli ajaga. 

Kvalifitseeritud digiallkiri on turvaline kaugtöövahend. Siiski võib iga ülalmainitud digiallkirja element olla mittekehtiv, mistõttu on mõistlik kõik digitaalselt allkirjastatud dokumentide allkirjad alati ka valideerida. 

Digiallkirjad ja -templid võivad olla kehtetud või kehtivuse ajas kaotanud mitmetel põhjustel. Näiteks võis kvalifitseeritud sertifikaat olla tühistatud allkirjastamise või tembeldamise hetkel või kehtetu aegumise tõttu; allkiri või tempel võis olla väljastatud kvalifitseerimata sertifikaadiga; allkirjale võib olla lisatud kvalifitseerimata ajatempel; krüptograafia võib olla ebatäpne või nõrk; dokumenti võib olla pärast allkirjastamist või tembeldamist muudetud; allkiri või tempel ei vasta
pikaajalise säilitamise nõuetele ja kvalifitseeritud sertifikaat on tühistatud, vms. 

Allkirjade ja templite valideerimine on eraldiseisev teenus. Valideerimistulemus näitab, kas digiallkiri on olnud selle loomise hetkest kuni valideerimise hetkeni kehtiv. Kvalifitseeritud valideerimisteenuse pakkujad on leitavad Euroopa Komisjoni poolt hallatavast usaldusnimekirjast (https://webgate.ec.europa.eu/tl-browser/#/). Ainult kvalifitseeritud valideerimisteenuse pakkuja vastutab esitatud valideerimistulemuste eest. Võimalik on valideerida ka juba varasemalt digiallkirjastatud dokumente. 

Kvalifitseeritud usaldusteenuse pakkujaid auditeeritakse regulaarselt akrediteeritud audiitorite poolt ning nad on kantud Euroopa Komisjoni usaldusteenuste
nimistusse. Kvalifitseeritud valideerimisteenuse pakkujad on kohustatud tagama, et krüptograafiline allkiri ja tempel valideeritakse edukalt, et allkirjal ega templil ei ole piiranguid, identifitseerima allkirjastajad ning tagama, et valideerimine põhineb eIDAS määruses ja ETSI standardis seatud tingimustele. Kvalifitseeritud teenusepakkuja valideerimistulemust saab kasutada kohtus asitõendina, sest sel on tõendusväärtus. Samadel eelpoolloetletud põhjustel ei tohiks pimesi usaldada kvalifitseerimata teenuse tulemusi. 

Eduka valideerimisprotsessi tulemuseks on valideerimisraport – dokument, kus on esitatud teostatud valideerimise
tulemused. Seda saab kasutada tõendina, et allkirjad ja templid olid kehtivad allkirjastamise hetkest kuni valideerimisraporti koostamiseni. Valideerimisteenuse kasutamine annab kõigile protsessis osalejatele turva- ja kindlustunde.