Vai elektroniskie paraksti un zīmogi var būt nederīgi? Jā! Lai gan regulējumā par drošu elektronisko parakstu un e-zīmogu izveidi noteiktas stingras tehnoloģiskās prasības, tomēr var būt situācijas, kad elektroniskie paraksti un zīmogi ir nederīgi. Kas padara tos nederīgus, un kā derīgumu pārbaudīt? Lai atbildētu uz šo jautājumu, ir jāiedziļinās to izveides procesā.

E-parakstu trīs drošības līmeņi

Saskaņā ar regulu par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū jeb eIDAS regulu, ar kuru visā Eiropas Savienībā (ES) nosaka vienotus elektronisko parakstu izsniegšanas un lietošanas noteikumus. Elektroniskajiem parakstiem ir trīs drošības līmeņi: vienkāršs elektroniskais paraksts, kas ir jebkura elektroniska parakstīšanās, arī vārds un uzvārds e-pasta beigās, un divi sarežģītāki elektroniskie paraksti – uzlabots un kvalificēts –, kas ir unikālā veidā saistīti ar parakstītāju.

Validācijas pakalpojums pieejams tikai uzlabotajiem un kvalificētajiem elektroniskajiem parakstiem. Visi trīs Latvijā populārākie e-parakstīšanās rīki (personas apliecība jeb eID karte, "eParaksts mobile" un "Smart-ID") veido kvalificētu jeb drošu elektronisko parakstu, kas ir augstākā drošības līmeņa elektroniskais paraksts.

Kvalificētu elektronisko parakstu izveido ar kvalificētu elektroniskā paraksta radīšanas ierīci, pamatojoties uz kvalificētu elektroniskā paraksta sertifikātu. Izveides mehānisma pamatā ir jaucējalgoritms – ļoti spēcīgs algoritms, kura kriptogrāfija pasargā parakstītu dokumentu no iespējas viegli veikt izmaiņas. Lai paraksts būtu derīgs, svarīgi, ka parakstīšanas brīdī tiek pievienots arī laika zīmogs un sertifikāta atsaukšanas dati.

__________________________________________________________________________

Validācijas pakalpojums pieejams tikai uzlabotajiem un kvalificētajiem elektroniskajiem parakstiem

__________________________________________________________________________

Kāpēc validēt?

Kvalificēta validācijas pakalpojuma izmantošana ir drošība visām parakstītājām pusēm, īpaši nozīmīgos finanšu darījumos. Kvalificēts validācijas pakalpojums ļauj pārliecināties, vai dokumentā iekļautie visu pušu elektroniskie paraksti bijuši patiesi derīgi no to izveides līdz validēšanas brīdim jeb, citiem vārdiem sakot, vai tie atbilst eIDAS regulas prasībām. Runājot līdzībās, var teikt, ka dokumenta validācijas laikā nosaka, vai elektroniskais paraksts ir "pagatavots", stingri ievērojot paredzēto recepti, un vai kāds nav gatavajam pīrāgam kaut ko nogriezis vai pievienojis pēc izņemšanas no krāsns.

Elektroniskie paraksti var būt nederīgi jau izveides brīdī vai arī zaudēt derīgumu laika gaitā. Lielākā daļa iemeslu saistīti ar kādām nepilnībām elektroniskā paraksta izveides procedūrā, piemēram, kvalificētais sertifikāts parakstīšanas brīdī ir atsaukts, tam beidzies derīguma termiņš, paraksts ir izsniegts ar nekvalificētu sertifikātu, pievienots nekvalificēts laika zīmogs, ir neatbilstoša vai vāja kriptogrāfija. Tāpat elektroniskais paraksts "salūst" brīdī, ja dokumentā pēc parakstīšanas tiek veiktas izmaiņas. Jāpiemin gan, ka kvalificēti elektroniskie paraksti ir veidoti tā, lai būtu ļoti sarežģīti izmainīt jau parakstītu dokumentu un lai jebkuras veiktās izmaiņas būtu atklājamas. 

Veiksmīgas validācijas rezultāts ir validācijas ziņojums – kvalificēta validācijas pakalpojumu sniedzēja izsniegts un elektroniski apzīmogots dokuments. Validācijas ziņojumu nepieciešamības gadījumā var arī lejupielādēt un saglabāt savā datu nesējā.

Vai var validēt arī e-zīmogu?

Ja elektroniskais paraksts ir piesaistīts fiziskai personai, tad elektroniskais zīmogs ir kā juridiskas personas elektroniskais paraksts, kuru var lietot kā ierastā fiziskā zīmoga aizstājēju, lai apliecinātu uzņēmuma sagatavotu dokumentu, piemēram, rēķinu, cenu piedāvājumu u.c. integritāti. Tāpat kā elektroniskā paraksta, arī e-zīmoga izveidi nosaka eIDAS regula. Tehniski runājot, e-zīmoga izveide balstās uz tiem pašiem mehānismiem kā elektroniskajam parakstam, taču e-zīmogu neizmanto, lai uzņemtos saistības attiecībā uz dokumenta saturu, bet tikai lai apliecinātu dokumenta datu autentiskumu un integritāti. E-zīmogu iespējams validēt tieši tāpat kā elektronisko parakstu.

Kvalificēta vai nekvalificēta validācija – kāda ir atšķirība?

Dažkārt validācijas rīki uzrāda atšķirīgus rezultātus, piemēram, viens rīks uzrāda parakstu kā derīgu, bet cits to pašu parakstu kā nederīgu. Šādi rezultāti mēdz raisīt jautājumus par pakalpojumu sniedzēju un rezultātu uzticamību. Pirms izvēlēties pakalpojumu sniedzēju, vērtīgi ir pārbaudīt, vai tas atrodams Eiropas Komisijas uzticamības pakalpojumu sniedzēju reģistrā un par kādiem pakalpojumiem tas ir saņēmis kvalifikāciju.

__________________________________________________________________________

Pirms izvēlēties pakalpojumu sniedzēju, vērtīgi ir pārbaudīt, vai tas atrodams Eiropas Komisijas uzticamības pakalpojumu sniedzēju reģistrā

__________________________________________________________________________

Visi ES kvalificētie validācijas pakalpojumu sniedzēji ir iekļauti minētajā reģistrā, un tos regulāri pārbauda akreditēti auditori. Šādiem pakalpojumu sniedzējiem sarakstā ir atzīme "QVal for ESig/ESeal" jeb Qualified validation service for qualified electronic signature/seal (kvalificēts validācijas pakalpojums kvalificētam elektroniskajam parakstam/zīmogam). Sarakstā pakalpojumu sniedzēji ir grupēti pēc reģistrācijas valsts, bet ES pilsoņi var brīvi izvēlēties jebkuru šajā sarakstā iekļauto validācijas pakalpojumu sniedzēju.

Kvalificēta validācijas pakalpojumu sniedzēja rezultāti ir uzticami, jo šādam pakalpojumu sniedzējam:

  • ir pienākums pārbaudīt visu reģistra sarakstā iekļauto pakalpojumu sniedzēju sertifikātus (tātad visus ES reģistrētos kvalificētos elektroniskos parakstus);
  • informēt par piemēroto validācijas politiku;
  • nodrošināt veiksmīgas kriptogrāfiskās paraksta pārbaudes;
  • veikt validāciju atbilstoši eIDAS regulas prasībām un Eiropas Telekomunikācijas standartu institūta (ETSI) standartam;
  • uzņemties juridisku un finansiālu atbildību par validācijas rezultātiem.

Kvalificēta pakalpojumu sniedzēja validācijas ziņojums ir juridiski saistošs un var tikt iesniegts kā pierādījums tiesā.

Tirgū ir pieejami arī nekvalificēti validācijas pakalpojumi, kuru sniedzējs nav veicis oficiālo akreditācijas procedūru, kas apliecina atbilstību eIDAS regulas prasībām. Var būt situācija, kad nekvalificēts pakalpojumu sniedzējs validācijā kā nederīgus uzrāda noteiktus ES izsniegtus elektroniskos parakstus, jo šādam pakalpojumu sniedzējam nav pienākuma validēt pilnīgi visus reģistrā iekļauto pakalpojumu sniedzēju sertifikātus.

Citiem vārdiem sakot, nekvalificēta pakalpojumu sniedzēja pakalpojumus var izmantot, bet to rezultātiem nevajadzētu akli uzticēties. Situācijā, kad tiesā ir strīds un kā pierādījums ir iesniegts nekvalificēta pakalpojumu sniedzēja validācijas ziņojums, tas tiktu apšaubīts un lēmums pilnībā atstāts tiesneša ziņā.