Tartu Ülikooli teadlased: digiallkirja andmise aega saab võltsida

Keskmise eestlase ID-kaart. Foto TOOMAS HUIK/SCANPIX

04.11.2019

Tartu ülikooli teadlased avastasid digiallkirjade andmise, valideerimise ja kehtivusega seotud probleemi, millest tulenevalt pole võimalik kindlaks määrata, kas dokumendi allkirjastanud isiku sertifikaadid allkirjastamise hetkel kehtisid.

Teadlased, õigusteaduskonna IT-õiguse külalislektor ja vandeadvokaat Tõnu Mets ning arvutiteaduse instituudi infoturbe töörühma juht Arnis Paršovs selgitasid välja, et digitaalsel allkirjastamisel saavad kolmandad isikud uuendada allkirja ajatemplit ehk täpset kellaaega ja kuupäeva, millal sertifikaadi kehtivust kontrollitakse, teatasid Tartu ülikool ja riigi infosüsteemi amet (RIA).

Seega võis dokumendi tegelik allkirjastamine toimuda tunduvalt varem, kui see ametlikult välja paistab. Sellest tuleneb ka õiguslik probleem, sest pole võimalik kindlaks määrata, kas dokumendi allkirjastanud isiku sertifikaadid allkirjastamise hetkel kehtisid.

Ülikooli teatel on digiallkirjastamise usaldusväärsus digiühiskonna jaoks hädavajalik, mistõttu on selle küsimuse tõstatamine ja põhjalik käsitlemine väga oluline. Ajatempli veale lahenduse leidmine on vajalik selleks, et tugevdada digiühiskonna põhialuseid ning tagada digiallkirjastamise suhtes jätkuvalt suur usaldus.

RIA elektroonilise identiteedi osakonna juhataja Margus Armi sõnul peaks aja määratlemine olema üle Euroopa täpsemalt paigas, vastasel juhul on seda võimalik mitmeti tõlgendada ning sellest võivad sündida juriidilised vaidlused.

Samas leiab RIA, et digiallkiri kehtib ka siis, kui selle aega on hilisemaks muudetud. “Allkirja puhul on kõige tähtsam inimese tahteavaldus ning artikkel seda kahtluse alla ei saa. Samuti pole tegemist ID-kaardi nõrkusega või probleemiga. Allkirjastatud dokumendi sisu pole võimalik mingil moel muuta,” selgitas Arm.

Tõnu Metsa ja Arnis Pašovsi arvates oleks mõistlik allkirjastamise aja tuvastamise nõudest loobuda ning muuta sertifikaatide eluiga viisil, kus sertifikaat väljastatakse omanikule alles pärast ID-kaardi väljastamist. Sertifikaat kehtiks kuni selle aegumise või tühistamiseni.

Uurimistöö autorite arvates tuleks välistada ka olukord, kus kehtetu sertifikaat muutub uuesti kehtivaks ehk tuleks loobuda ka sertifikaadi kehtivuse peatamise võimalusest. Esmajärjekorras tuleks aga täiustada DigiDoc tarkvara, mis näitab praegu ajatemplis justkui allkirjastamise aega, kuigi tegelikult on seal aeg, mil kontrolliti sertifikaadi kehtivust.

RIA teatel on uue ajatempli küsimine sarnane sellele, kui tehakse koopia füüsilisest dokumendist, mille ainsaks erinevuseks on hiljutisem allkirjastamise kuupäev. “Neid kahte dokumenti võrreldes saab välja selgitada, kumb dokument on originaal. Nagu öeldud, siis kopeerimine ei sea originaaldokumendi sisu kahtluse alla,” ütles RIA elektroonilise identideeti osakonna juhataja Margus Arm.

Ta lisas, et allkirjastamise aja muutmine ei ole iseenesest süütegu ning selleks peab esinema ka tagajärg, kuid see pole ka aktsepteeritav tegevus.

“Allkirjastamise aja defineerimise osas käivad vaidlused erinevates rahvusvahelistest töögruppides, kus osalevad ka Eesti esindajad. Teadustöö on meile kindlasti abiks nendes töögruppides oma seisukohtade kaitsmisel,” märkis Arm.

BNS

2 kommentaari
  1. Mis 5 aastat ago
    Reply

    tähtsust on sel, millal keegi maha löödi. Tähtis on, et löödi. Aga meil hakatakse sekundi üle vaidlema ja kaitsja saabki mõrvari vabaks petta.

  2. uskmatu-toomas 5 aastat ago
    Reply

    Kõik mida inimesed on leiutanud saab kasutada ka inimeste vastu.Kõik on lahti muugitav,asendatav,võltsitav jne. ainult mõne asja jäoks läheb rohkem aega ja paljud suurpettused salatakse lihtsalt maha !

Kommenteeri

Sinu meiliaadressi ei avaldata.