Tartu ülikooli teadlased leidsid digiallkirjastamises nõrga koha
Tartu ülikooli teadurid jõudsid uurimistöö käigus jälile digiallkirjade andmise, valideerimise ja kehtivusega seotud probleemile. Riigi Infosüsteemi Ametit (RIA) sõnul ei näita see siiski ID-kaardi nõrkust.
Nimelt selgus, et digitaalsel allkirjastamisel saavad kolmandad isikud uuendada allkirja ajatemplit ehk täpset kellaaega ja kuupäeva, millal sertifikaadi kehtivust kontrollitakse. See tähendab, et dokumendi tegelik allkirjastamine võis toimuda tunduvalt varem, kui see ametlikult välja paistab.
See aga tekitab õigusliku probleemi, sest sest pole võimalik kindlaks määrata, kas dokumendi allkirjastanud isiku sertifikaadid allkirjastamise hetkel kehtisid.
Uurimuse läbi viinud Tartu ülikooli teadlased, õigusteaduskonna IT-õiguse külalislektor, vandeadvokaat Tõnu Mets ning arvutiteaduse instituudi infoturbe töörühma juht Arnis Paršovs, teavitasid probleemile jälile saades sellest ka RIA-t ning majandus- ja kommunikatsiooniministeeriumi.
Teadlased esitasid riigile ettepanekud digitaalse allkirjastamise ajatempli ja allkirja kehtivuse probleemi lahendamiseks: mõistlik oleks loobuda allkirjastamise aja tuvastamise nõudest ning muuta sertifikaatide eluiga viisil, kus sertifikaat väljastatakse omanikule alles pärast ID-kaardi väljastamist ning sertifikaat kehtiks kuni selle aegumise või tühistamiseni.
Teadlased lisasid sedagi, et tuleks loobuda sertifikaadi kehtivuse peatamise võimalusest. Esmajärjekorras tuleks aga nende hinnangul täiustada DigiDoci tarkvara, mis näitab praegu ajatemplis justkui allkirjastamise aega, kuigi tegelikult on seal aeg, mil kontrolliti sertifikaadi kehtivust.
RIA: see ei ole ID-kaardi nõrkus
RIA elektroonilise identiteedi osakonna juhataja Margus Armi sõnul kehtib digiallkiri ka siis, kui selle aeg on hilisemaks muudetud. "Allkirja puhul on kõige tähtsam inimese tahteavaldus ning artikkel seda kahtluse alla ei saa. Samuti pole tegemist ID-kaardi nõrkusega või probleemiga. Allkirjastatud dokumendi sisu pole võimalik mingil moel muuta,“ rõhutas ta.
Uue ajatempli küsimine on sarnane sellele, kui tehakse koopia füüsiliselt dokumendist, mille ainsaks erinevuseks on hiljutisem allkirjastamise kuupäev, selgitas Arm ning lisas, et neid kahte dokumenti võrreldes saab välja selgitada, kumb dokument on originaal. "Hilisem pahatahtlik ajatempli muutmine ei muuda esialgse digiallkirja kehtivust ega dokumendi sisu," rõhutas ta.
Allkirjastamise aja muutmine ei ole iseenesest süütegu, kuid samas oli Arm seisukohal, et allkirjastatud dokumendi kuupäeva hilisemaks muutmine ei ole aktsepteeritav tegevus.
Euroopa Liidus pole kokku lepitud, kas allkirjastamise on PIN-koodi sisestamise aeg, sertifikaadi kehtivuse kontrollimise aeg, ajatempli kinnitatud aeg või kui valmib kogu konteiner ehk uus dokument koos allkirjaga. „Seda võib võrrelda paberi allkirjastamisega: kas allkirjastamise aeg on hetk, kui haarati kätte pastakas, võetakse ära pastakakork, kui pastakas puudutab paberit või aeg kui inimene on oma signatuuri ära kirjutanud ja lisanud kuupäeva," rääkis Arm.
Eestis praktikas nimetatakse digiallkirjastamise ajaks hetke, kui kõik kolm komponenti (ajatempel, sertifikaadi kehtivuse kontrolli aeg ja PIN kood on sisestatud) on olemas.
Siiani ei ole teada ühtegi juhtumit, kus oleks ajatemplit kuritarvitatud.