Vaatamata sellele, et Euroopa Liidus kehtib eIDAS määrus, on igas riigis kasutusel erinevad elektroonilised identiteedid (eID). Mõnda neist kasutatakse vaid autentimiseks, mõnda aga nii autentimiseks kui täiustatud või kvalifitseeritud e-allkirja andmiseks.
Seetõttu toob uutele turgudele laienemine paratamatult kaasa uued allkirjade loomise poliitikad. Sellest tulenevalt võimaldab Dokobit nüüd Norras, Rootsis, Soomes ja Taanis luua autentimisel põhinevaid allkirju. Allpool teeme selgeks, mis seda tüüpi allkirjad on ja kas neid saab usaldada.
Mis on autentimisel põhinev allkiri?
Autentimisel põhinev allkiri tähendab Dokobiti portaalis täiustatud e-allkirja (AdES), mille nõuded on määratletud eIDAS regulatsiooniga ja mis seotakse unikaalsel viisil allkirja andnud isikuga. Allkirjale lisatakse vajalikud tõendid kinnitamaks, et allkirja on tõepoolest andnud väidetav isik. Sellist Dokobiti portaalis antud allkirja saab kohtus pidada tugevaks asitõendiks.
Dokobiti portaalis luuakse autentimisel põhinev allkiri kogudes tõendeid selle kohta, et isik on andnud nõusoleku dokument valitud eID vahendiga allkirjastada. Nõusoleku kinnitamiseks lisatakse dokumendile digitempel. Lisaks on tagatud, et isik on dokumendiga kursis ja on vabatahtlikult nõustunud seda valitud eID vahendiga allkirjastama. Nimetame seda toimingut allkirjastamisprotsessiks.
Kuidas me seda teeme? Esmalt tuvastab kasutaja end valitud eID vahendiga. Seejärel kogume selliseid tõendeid nagu ees- ja perekonnanimi, sünniaeg, isikukood, IP-aadress, brauseri andmed, dokumenditoimingute logi jne. Nimetame neid tõenditeks, mis lisatakse PDF-dokumendile täiendavate metaandmetena.
Kogutud tõendid võimaldavad eeldada, et dokumendile on alla kirjutanud just väidetav isik. Samuti lisatakse kogutud tõendite fail PDF-ile, millele omakorda lisatakse digitempel. Vastavalt eIDAS määrusele luuakse sel viisil täiustatud e-allkiri (AdES) – andmed seotakse dokumendi allkirjastanud isikuga ning tagatakse terviklikkus. Allkirjastamisprotsess viiakse läbi nii, et tagantjärele on selge, et dokumendile alla kirjutanud isik tegi seda vabatahtlikult.
Dokobiti peamine erinevus võrreldes teiste allkirjastamisplatvormidega seisneb selles, et allkirja kujutist ei joonistata ekraanile, vaid dokumendile antakse allkiri kindla eID vahendiga. Samuti võtab Dokobit rahalise vastutuse allkirjastamisprotsessi eest. Meie vastutus on määratletud autentimisel põhinevate allkirjade poliitikas. Vaata lähemalt siit.
Kuidas erineb autentimisel põhinev allkiri kvalifitseeritud e-allkirjast?
Kvalifitseeritud elektroonilised allkirjad (QES) on samaväärsed käsitsi kirjutatud allkirjadega ja neid aktsepteeritakse kogu ELis. Kvalifitseeritud sertifikaadiga allkirjade puhul vastutavad eID vahendite toimimise ja turvalisuse eest usaldusteenuse pakkujad (TSP).
Kõik eID vahendid ei ole aga mõeldud allkirjastamiseks – mõnd kasutatakse vaid autentimiseks. Kui tegemist on ilma kvalifitseeritud sertifikaadita täiustatud e-allkirjaga, siis tõenäoliselt pole ei usaldusteenuse pakkujal ega allkirja andmist võimaldaval platvormil täpselt määratletud protseduuri allkirja loomiseks. See tähendab, et allkirjastamisplatvormid saavad selleks ise luua oma protsessi. Kuna protsess ei ole reguleeritud, ei pea nad selle eest aga tingimata vastutust võtma. Lahendused, mis võimaldavad allkirja ekraanile joonistada või anda allkiri eID vahendiga, millel puudub kvalifitseeritud sertifikaat, tavaliselt protsessi eest vastutust ei võta. Pärast allkirja andmist pole ühtegi kindlat tõendit selle kohta, et dokumendi allkirjastasid ja kinnitasid just sina.
Dokobiti autentimisel põhinevaid allkirju võib aga pidada tugevate tõenditega täiustatud e-allkirjadeks. Dokobit võtab allkirjade loomise eest täieliku vastutuse.
Järeldus: kas autentimisel põhinevad allkirjad on usaldusväärsed?
Kas seda tüüpi allkirju saab usaldada? eID vahendi pakkuja vastutab isikusamasuse tuvastamise eest ning Dokobit kohustub tagama, et konkreetne isik on andnud nõusoleku dokumendi allkirjastamiseks.
Kuigi teoreetiliselt on täiustatud e-allkirja võimalik kohtus vaidlustada, esitab Dokobit konkreetsed ja kokkuvõtlikud tõendid, mis kinnitavad allkirjastaja isikut ja nõusolekut dokumendile allkiri anda. See tähendab, et sellist allkirja on kohtus raske vaidlustada ja ümber lükata. Lisaks võtab Dokobit vastutuse portaalis loodud allkirjade eest. Kõige eeltoodu põhjal saab järeldada, et Dokobiti autentimisel põhinevad allkirjad on usaldusväärsed.
Lisaks on Rootsi BankID ja Taani NemID lisatud ELi liikmesriikide teatatud e-identimise süsteemide nimekirja, mis tähendab, et neid tunnustatakse kehtivate ja usaldusväärsete elektroonilise identiteedi vahenditena kogu Euroopa Liidus. Norra BankID on läbinud eelülevaatuse, mis tähendab, et ollakse nimekirja lisamise protsessi läbimas. Kuigi Taani MitID ja Soome Finnish Trust Network (FTN) ei ole lisatud ELi liikmesriikide teatatud e-identimise vahendite nimekirja, on need sealsete elanike seas usaldatud ja enamkasutatavad e-identimise vahendid.