Uudis

RIA: siiani ei ole teada ühtegi juhtumit, kus oleks digiallkirja ajatemplit kuritarvitatud

Riigi infosüsteemi ameti elektroonilise identiteedi osakonna juhataja Margus Arm.Foto: Hans Lõugas

Täna tuli teatavaks Tartu Ülikooli teadlaste teadusartikkel, mis tõendab, et Eesti digiallkirjade allkirjastamisaega saab muuta. Selle tõendamiseks muutsid teadlased president Kersti Kaljulaidi antud digiallkirja kuupäeva.

Teadlased tõid artiklis välja viis ettepanekut muudatusteks, mis lahendaksid probleemi. Ühena neist näevad nad, et mõistlik oleks loobuda allkirjastamise aja tuvastamise nõudest.

Riigi infosüsteemi amet (RIA) peab aga digiallkirja ajatemplit usaldusväärseks lahenduseks, mis on ennast viimased 17 aastast õigustanud.

Teadlased: tuleb välistada olukord, kus kehtetu sertifikaat muutub uuesti kehtivaks

Geenius avaldab teadlaste ettepanekud koos RIA elektroonilise identiteedi osakonna juhataja Margus Armi kommentaaridega.

Teadlaste ettepanekul oleks mõistlik loobuda allkirjastamise aja tuvastamise nõudest
 
Ajatemplil on kõige suurem roll allkirjastamise ajal, sest see seob andmete terviklikkuse antud ajaga. Hilisem pahatahtlik ajatempli muutmine ei muuda esialgse digiallkirja kehtivust ega dokumendi sisu. Eestis on tänaseks antud rohkem kui 500 miljonit digiallkirja ning pole teada juhtumeid, kus allkirjastamise aega oleks muudetud. Seega peame ajatemplit usaldusväärseks lahenduseks, mis on ennast viimased 17 aastast õigustanud.
 
Teadlaste ettepanekul tuleks muuta sertifikaatide eluiga viisil, kus sertifikaat väljastatakse omanikule alles pärast ID-kaardi väljastamist ning sertifikaat kehtiks kuni selle aegumise või tühistamiseni
 
Seda riski on hinnatud ID-kaardi väljastusprotsesside puhul, see on dokumenteeritud ja auditeeritud ning vastavuses kehtestatud nõuetega. ID-kaardi väljastab PPA töötaja ning riski realiseerumine eeldaks pahatahtlikku PPA töötajat.
 
Teadlaste ettepanekul tuleks välistada olukord, kus kehtetu sertifikaat muutub uuesti kehtivaks, mis tähendab tuleks loobuda ka sertifikaadi kehtivuse peatamise võimalusest
 
Kas seda on hinnatud piisavalt turvaliseks protsessiks. Väärkasutuseks on vaja teada kaardiomaniku PIN-koode. Aga kui PIN-koodid on väljunud kaardivaldaja kontrolli alt, siis on probleem igal juhul.
 
Esmajärjekorras tuleks aga täiustada DigiDoci tarkvara, mis näitab praegu ajatemplis justkui allkirjastamise aega, kuigi tegelikult on seal aeg, mil kontrolliti sertifikaadi kehtivust
 
RIA tegeleb DigiDoci tarkvara arendamisega igapäevaselt ja võtab teadustöös väljatoodud tähelepanekuid edaspidises töös arvesse. Siiani ei ole teada ühtegi juhtumit, kus oleks ajatemplit kuritarvitatud.
 
Teadlaste seisukoht on, et ainult kohus saab digiallkirja tühistada. Kohtud aga pole seni olnud teadlikud DigiDoci tarkvara valideerimise taga olevast algoritmist, mis võimaldab ajatemplit muuta. Osapool, kes nõuaks kohtult digiallkirja tühistamist peaks suutma kohust veenda ka selles, et digiallkiri ei vasta juriidilistele nõudmistele. Teadaolevalt ei ole selliseid juhtumeid praegu esinenud.
 
Allkiri tähendab eelkõige isiku tahteavalduse kinnitust ja enne kui hakata allkirja tühistama, tuleb veenduda isiku tahteavalduses. Digiallkiri on kehtiv ka siis, kui ajatemplit on muudetud. eiDAS-e määruse kohaselt ei muutu automaatselt tühiseks ükski antud allkiri hoolimata sellest, kas tehnilises lahenduses ebakõlasid tuvastatakse või mitte. Tehingu tegemise puhul on kesksel kohal tehing ise, mitte tahteavalduse esitamise tingimused. Uue ajatempli saanud dokument on kehtiv, kuni pole tõestatud, et allkirjastamisel puudus isiku tahteavaldus.

Telli Geeniuse uudiskiri

Saadame sulle igal argipäeval ülevaate tehnoloogia-, auto- ja rahaportaali olulisematest lugudest.