Tartu ülikooli teadlased leidsid digiallkirjastamise nõrga koha

Digiallkiri.

FOTO: Mihkel Maripuu

Tartu ülikooli teadlased, õigusteaduskonna IT-õiguse külalislektor ja vandeadvokaat Tõnu Mets ning arvutiteaduse instituudi infoturbe töörühma juht Arnis Paršovs jõudsid uurimistöö käigus jälile digiallkirjade andmise, valideerimise ja kehtivusega seotud probleemile. 

Nimelt selgus, et digitaalsel allkirjastamisel saavad kolmandad isikud uuendada allkirja ajatemplit ehk täpset kellaaega ja kuupäeva, millal sertifikaadi kehtivust kontrollitakse. Seega võis dokumendi tegelik allkirjastamine toimuda tunduvalt varem, kui see ametlikult välja paistab. Sellest tuleneb ka õiguslik probleem, sest pole võimalik kindlaks määrata, kas dokumendi allkirjastanud isiku sertifikaadid allkirjastamise hetkel kehtisid. 

Kuna digiallkirjastamise usaldusväärsus on digiühiskonna jaoks hädavajalik, siis on selle küsimuse tõstatamine ja põhjalik käsitlemine väga oluline. Ajatempli veale kiire lahenduse leidmine on vajalik selleks, et tugevdada meie digitaalse ühiskonna põhialuseid ning tagada jätkuvalt suur usaldus digiallkirjastamise suhtes. 

Seetõttu teavitasid Tõnu Mets ja Arnis Paršovs probleemile jälile jõudes ka Riigi infosüsteemi ametit ning majandus- ja kommunikatsiooniministeeriumi. Teadlased esitasid riigile ettepanekud digitaalse allkirjastamise ajatempli ja allkirja kehtivuse probleemi lahendamiseks. 

Näiteks oleks Tõnu Metsa ja Arnis Paršovsi arvates mõistlik loobuda allkirjastamise aja tuvastamise nõudest ning muuta sertifikaatide eluiga viisil, kus sertifikaat väljastatakse omanikule alles pärast ID-kaardi väljastamist ning sertifikaat kehtiks kuni selle aegumise või tühistamiseni. Välistada tuleb olukord, kus kehtetu sertifikaat muutub uuesti kehtivaks, s.t tuleks loobuda ka sertifikaadi kehtivuse peatamise võimalusest. Esmajärjekorras tuleks aga täiustada DigiDoci tarkvara, mis näitab praegu ajatemplis justkui allkirjastamise aega, kuigi tegelikult on seal aeg, mil kontrolliti sertifikaadi kehtivust.

Mets ja Paršovs kirjeldasid oma uurimistöö tulemusi teadusartiklis «Time of signing in the Estonian digital signature scheme», mis avaldati rahvusvahelises eelretsenseeritavas teadusajakirjas Digital Evidence and Electronic Signature Law Review.

Arvutiteaduse instituudi juhataja Jaak Vilo sõnul on Tartu ülikooli kui teadusasutuse üks olulisematest rollidest toetada teadustöö abil Eesti ühiskonna head käekäiku. «See hõlmab ülesannet selgitada keerulisi ühiskondlikke probleeme ning pakkuda lahendusi, kuidas õigusruumi ja olemasolevaid tehnoloogiaid täiustada. Digiallkirjastamisega seotud probleemi avastamine ja käsitlemine ongi hea näide õigusteadlaste ja arvutiteadlaste ning riigi koostööst,» selgitas Vilo.

Tagasi üles