Digitaalselt allkirjastatud dokumendid, nagu paberil dokumendidki, vajavad õigetes tingimustes hoidmist. Kuigi metoodikad on erinevad, on digiallkirjastatud dokumentide puhul kõige olulisem nende kehtivusaeg. Siit leiate kõik olulisemad detailid, et teie dokumendid jääksid kehtivaks pikaks ajaks.
Miks on allkirja pikaajaline kehtivus oluline?
Kuidas tagada digitaalselt allkirjastatud dokumentide pikaajaline kehtivus? Kas allkiri muutub kehtetuks, kui allkirja sertifikaat aegub? Sellised küsimused tekivad, kuna tavaliselt on allkirja sertifikaatide kehtivusaeg lühem kui allkirjastatud dokumentide kehtivuse ja säilitamise vajaduse aeg. Seetõttu on oluline kindlustada allkirja kehtivus ka pärast allkirja sertifikaadi kehtivuse lõppu.
Praktiline näide
Oletame, et allkirjastate konfidentsiaalsus- ja vaikimiskokkuleppe, mida tuleb ettevõttes säilitada 10 aastat. Digiallkirja sertifikaat kehtib tavaliselt 3 aastat. Seega teoreetiliselt võib allkirja kehtivuse kontrollimine pärast neid 3 aastat olla keeruline, hoolimata faktist, et allkiri varem kehtis. Kuidas seda tõestada?
Kaks põhilist elementi
Allkirja pikaajalist kehtivust tagavad kaks elementi:
- Ajatempel
- Allkirja sertifikaadi tühistamise andmed
Ajatempel
Ajatempleid kasutatakse täpse aja määramiseks, millal digitaalallkiri loodi, tagades sellega, et allkirja ega allkirjastatud dokumenti ei saa pärast fikseeritud aega muuta. Loe ajatempli kohta rohkem siit.
Sertifikaadi tühistamise andmed
Kuigi ajatempli lisamine on hea esimene samm, ei ole see piisav allkirja kehtivuse kontrollimiseks tulevikus. Selleks, et allkiri kehtiks pikka aega, on vaja ka allkirja sertifikaadi tühistamise andmeid, mis aitavad tagada, et allkirjastamise ajal oli allkirja sertifikaat tõepoolest kehtiv.
Lühidalt: nn allkirjade tõstmine pikaajaliseks säilitamiseks on vajalik, et kontrollida allkirja kehtivust isegi pärast sertifikaadi kehtivusaja lõppu.
Allkirja turbetasemed ja nende tähendus
Et mõista, kuidas allkirja kehtivus töötab, on oluline arutada ka allkirjade formaate ja nende turbetasemeid.
Digitaalallkirjade formaadid
Digitaalallkirju on erinevates formaatides: „XAdES”, „PAdES” ja „CAdES”. Need kolm gruppi on jagatud elektrooniliste dokumentide formaatide põhjal, mis võivad olla kas rahvusvahelised või kasutatavad ainult teatud riikides.
Dokumentide formaadid:
- Riigispetsiifilised konteinerformaadid: „ADoc” (Leedu), „EDoc” (Läti), „BDoc” (Eesti)
- Standarditud kogu ELis: „ASiC” ja „PDF”
Allkirjaformaadid dokumendi järgi:
- „ASiC”, „ADoc”, „BDoc”, „EDoc” dokumentides → „XAdES” allkirjad
- „PDF” dokumentides → „PAdES” allkirjad
Allkirja turbetasemed
Sõltuvalt formaadist erinevad ka allkirjade turbetasemed. Selguse huvides määratleme allkirjade turbetasemed numbritega:
Aste 3 („XAdES-BASELINE-B” ja „PAdES-BASELINE-B”)
Baastaseme digiallkiri
See on madalaim ja lihtsaim allkirja versioon ilma täiendavate turvameetmeteta.
Kehtivus:
- Kuni allkirja sertifikaadi kehtivusaja lõpuni
- Kuni sertifikaadi tühistamiseni (võib juhtuda isegi varem)
Millal sertifikaate tühistatakse:
- Vahetatakse eID vahendit (näiteks perekonnanime muutumisel)
- Vahend läheb kaotsi
- Turvakaalutlustel
- Jne
Aste 2 („XAdES-BASELINE-T” ja „PAdES-BASELINE-T”)
Ajatempliga allkiri
Sel juhul lisatakse ajatempel, mis näitab, millal allkiri loodi.
Kehtivus:
- Kuni allkirja sertifikaadi kehtivusaja lõpuni
- Sertifikaadi tühistamisel pole enam tähtsust
Aste 1 („XAdES-BASELINE-LT/XL” ja „PAdES-BASELINE-LT”)
Pikaajaliste andmetega allkiri
Siin lisatakse sertifikaadi tühistamise andmed, mis võimaldavad allkirja kehtivust kontrollida isegi siis, kui algne allikas pole enam kättesaadav.
Kehtivus:
- Kuni allkirjastamise räsifunktsioonide algoritm muutub nõrgaks
Mis on nõrgenenud algoritm?
Tugev räsifunktsiooni algoritm on kriitiline turvaline element. Nõrgenenud algoritmid võivad viia olukorrani, kus juba allkirjastatud dokumente saab muuta või võltsida.
Huvitav fakt: Praeguseni on teada 2 nõrgenenud algoritmi, mida peetakse ebaturvalisteks:
- „MD5″ – kuulutati nõrgenevaks 2012. aastal
- „SHA-1″ – kuulutati nõrgenevaks 2017. aastal
Vastutav institutsioon: Euroopa Liidu Küberturvalisuse Amet (ENISA) vastutab selle teabe avaldamise eest.
Aste 1.1 („XAdES-BASELINE-LTA/A” ja „PAdES-BASELINE-LTA”)
Pikaajaliste andmetega ja arhiveerimise ajatempliga allkiri
Perioodilisi ajatempleid kasutades tagatakse, et allkirjad jäävad kehtivaks isegi siis, kui varasemad allkirjade algoritmid nõrgenevad.
Kehtivus:
- Astme 1.1 allkirjad on põhimõtteliselt samad kui astme 1 allkirjad
- Iga kord, kui algoritm nõrgeneb, uuendatakse nende kehtivust arhiveerimise ajatempli lisamise teel
- Allkirjad kehtivad kuni järgmise algoritmi nõrgenemiseni
Turvalisus Dokobitiga
Sõltuvalt dokumendi formaadist erinevad esialgne allkirjade turbetasemed Dokobiti lahendustes.
„PDF”, „ASiC”, „BDoc”, „EDoc” dokumentide allkirjastamine
Tagatud turbetase
Enamiku dokumentide formaatide puhul – „PDF”, „ASiC”, „BDoc” ja „EDoc” – tagavad Dokobiti lahendused astme 1 turvalisuse.
Kuidas see töötab:
- Kohe pärast dokumendi allkirjastamist on esialgne allkirja turbetase 3
- Ajatempli ja allkirja sertifikaadi tühistamise andmete lisamisel tõstame automaatselt astmele 1
Mida see tähendab?
See tähendab, et allkirjad kehtivad seni, kuni allkirjastamise räsifunktsiooni algoritm nõrgeneb. Kuigi pole selge, millal see juhtuda võib, jälgime me pidevalt olukorda ja teavitame oma kliente muutustest.
Mida teha sellise olukorra tekkimisel?
Kui kasutate dokumentide allkirjastamise portaali tasulist plaani:
- Teie dokumentidele on tagatud astme 1 turvalisus
- Kui on vaja dokumentide kehtivust pikendada ja tõsta see tasemele 1.1, soovitame pöörduda kvalifitseeritud pikaajalist säilitamist pakkuva teenusepakkuja poole
- Kõigi selliste teenusepakkujate nimekiri on kättesaadav siin
Kui kasutate integreeritavaid teenuseid:
- Allkirjade turbetaseme tõstmisega saate hakkama ise
- Kui on vaja dokumente pikka aega säilitada, saab allkirjade tõstmise pikaajaliseks säilitamiseks seadistada lahenduse integratsiooni ajal või igal ajal enne algoritmi nõrgenemist
Oluline teada:
Meie integreeritavate API vastustes lisame teavet selle kohta, millist algoritmi konkreetse allkirjastamise ajal kasutati. Selle teabe salvestamisega on hiljem lihtne leida dokumente, mille kehtivust tuleb pikendada.
See tähendab, et saate krüptograafilisi riske jälgida ise või usaldada selle töö meile ja oodata meie teatist.
„ADoc” dokumentide allkirjastamine
„ADoc” dokumentide allkirjastamisel on olukord mõnevõrra erinev.
Dokumentide allkirjastamise portaali tasuline plaan
Tagatud turbetase: kohe aste 2, hiljem automaatselt tõstetud astmele 1.
Kuidas see töötab:
- Kohe pärast dokumendi allkirjastamist → allkirja turbetase on 3
- Ajatempli lisamisel → tõstame automaatselt astmele 2
- Pärast ~24 tundi → tõstmine astmele 1
Miks 24 tundi?
24 tundi on ooteperiood, mille jooksul sertifikaati saab veel tühistada. Kui seda ei juhtu, tähendab see, et allkiri kehtib ja siis saame lisada allkirja sertifikaadi tühistamise andmed, tõstes seeläbi automaatselt allkirja turbetaseme astmele 1.
Kehtivus:
- Selline allkiri kehtib kuni ajatempli sertifikaadi lõpuni, mis tavaliselt kehtib 4–5 aastat
- Vajatakse veel üks taseme tõstmine mõni kuu enne ajatempli sertifikaadi kehtivusaja lõppu või algoritmi nõrgenemist
Mida teha edasi?
Soovitame pöörduda kvalifitseeritud pikaajalist säilitamist pakkuva teenusepakkuja poole. Kõigi selliste teenusepakkujate nimekiri on kättesaadav siin.
Integreeritavad teenused
Kui kasutate integreeritavaid teenuseid:
- Allkirjade turbetaseme tõstmisega saate hakkama ise
- Kui on vaja dokumente pikka aega säilitada, saab allkirjade tõstmise pikaajaliseks säilitamiseks seadistada lahenduse integratsiooni ajal või igal ajal enne algoritmi nõrgenemist
Oluline teada:
Meie integreeritavate API vastustes lisame teavet selle kohta, millist algoritmi konkreetse allkirjastamise ajal kasutati. Selle teabe salvestamisega on hiljem lihtne leida dokumente, mille kehtivust tuleb pikendada.
See tähendab, et saate krüptograafilisi riske jälgida ise või usaldada selle töö meile ja oodata meie teatist.
Võrdlus – kõik ühes kohas
Siin esitame täieliku võrdluse ühes kohas:
antraštėmis. Iš viso 5 kolonos. Štai teisingai:
| Turvalisuse aste | Kehtivus | Dokumentide allkirjastamise portaal | Integreeritavad allkirjastamise lahendused | |
| PDF, ASiC, BDoc, EDoc formaadis dokumendid | ||||
| Äsja allkirjastatud | Aste 1 (XAdES-BASELINE-LT / PAdES-BASELINE-LT) | Kuni algoritm muutub nõrgaks | Toimub automaatselt | Toimub automaatselt |
| Kui algoritm muutub nõrgaks | Aste 1.1 (XAdES-BASELINE-LTA / PAdES-BASELINE-LTA) | Kuni algoritm muutub nõrgaks | Toimub automaatselt | Vajalik on allkirja arhiveerimise lõpp-punkt |
| ADoc formaadis dokumendid | ||||
| Äsja allkirjastatud | Aste 2 (XAdES-BASELINE-T) | Kuni allkirja sertifikaadi kehtivuse lõpuni | – | – |
| 24 tundi pärast allkirjastamist | Aste 1 (XAdES-BASELINE-LT/XL) | Kuni ajatempli sertifikaadi kehtivuse lõpuni või kuni algoritm muutub nõrgaks | Toimub automaatselt | Saab automatiseerida või teostada päringuaga arhiveerimise lõpp-punktile |
| Kui ajatempli sertifikaadi kehtivus lõppeb või kuni algoritm muutub nõrgaks | Aste 1.1 (XAdES-BASELINE-LTA/A) | Kuni ajatempli sertifikaadi kehtivuse lõpuni või kuni algoritm muutub nõrgaks | Toimub automaatselt | Vajalik on allkirja arhiveerimise lõpp-punkt |