Digitālā identitāte, kvalificēts elektroniskais paraksts, paraksta juridiskais spēks – šie jēdzieni ir kļuvuši par mūsu ikdienu. Šoreiz izskatīsim, kāpēc svarīgi izvēlēties kvalificētu elektronisko parakstu, analizējot “Smart-ID” rīku.

Digitālā parakstīšana

Eiropas Savienībā (ES), pateicoties regulai 910/2014 par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū, kurā noteikta kārtība, kā ES dalībvalstis var sertificēties kā uzticamības pakalpojumu sniedzēji (eIDAS regula), ir iespējams regulētā un savstarpēji atzītā veidā elektroniski parakstīt dokumentus. Turklāt, ja tiek izmantots kvalificēts paraksta radīšanas rīks, tad šādi parakstīta dokumenta parakstu un tā līmeņa esamību var pārbaudīt ES un tās dalībvalstu dokumentu pārbaudes vietnēs un tas ir jāpieņem otrai pusei jebkurā no ES dalībvalstīm.

Viens no populārākajiem un visvairāk izmantotajiem kvalificēta elektroniskā paraksta rīkiem ir “Smart-ID”. Tāpat šis ir viens no retajiem pārrobežu rīkiem, proti, “Smart-ID”, kas ir izsniegts vienā no Baltijas valstīm, var izmantot pārējās Baltijas valstīs. Kopumā Baltijā ir vairāk nekā 3,5 milj. lietotāju, no kuriem Latvijā ir vairāk nekā 1 milj. lietotāju, – vairāk nekā puse Latvijas iedzīvotāju ikdienā izmanto “Smart-ID” attālinātai darījumu veikšanai, mēnesī veicot ap 20 milj. transakciju. Praktiski teju ikviens parakstījies ar “Smart-ID”, jo, piemēram, maksājuma apstiprināšana ar PIN2 internetbankā ir elektroniska dokumenta parakstīšana.

Kopš 2018.gada novembra ”Smart-ID” ir atzīts par kvalificētu elektroniskā paraksta izveides ierīci. Tas nozīmē, ka ar “Smart-ID” veiktajiem parakstiem ir tāds pats juridisks spēks kā pašrocīgi veiktiem parakstiem.

“Smart-ID” kā droša autentifikācijas un elektroniskā paraksta rīka pieejamība ir svarīga lietotājiem ne tikai ikdienas darbu veikšanā (piemēram, piekļuve internetbankai, e-pakalpojumu saņemšana, sūtījumu atmuitošana), bet arī jau minēto elektronisko dokumentu parakstīšanā, darījumu noslēgšanā un citās situācijās.

Pastāv vairāki parakstu līmeņi – pamata, uzlabotais un kvalificētais. Kāpēc svarīgi izmantot tieši kvalificētu elektronisko parakstu? Tas izslēdz riskus, ka var nākties vērsties tiesā un pierādīt parakstītāja identitāti, jo tieši identitātes apšaubīšanas un krāpniecības riski biedē cilvēkus. Proti, netiek apstrīdēts, ka dokuments ir parakstīts, bet tiek apstrīdēts tas, ka cilvēks, kurš it kā ir parakstījis dokumentu, nav tas, kurš patiesībā ir parakstījis dokumentu. Tāpēc jo augstāks risks darījumam, jo svarīgāk ir izmantot tieši kvalificētu elektronisko parakstu risinājumus. Ar kvalificēto elektronisko parakstu parakstīti dokumenti ir jāpieņem ikvienā ES institūcijā, organizācijā, tiesā, bez ierunām.

Papildu drošība

Papildus kvalificētam kvalificētu elektroniskajam parakstam, ir vēl divi būtiski aspekti, kas ir svarīgi tieši kvalificēta līmeņa esamībai – sertifikāta derīguma apstiprinājums un laika zīmogs.

________________________________________________________________________

Jo augstāks risks darījumam, jo svarīgāk ir izmantot tieši kvalificētu elektronisko parakstu risinājumus

________________________________________________________________________

Sertifikāta derīguma apstiprinājums (Online Certificate Status Protocol (OCSP)) ir nepieciešams, lai pārbaudītu parakstīšanās sertifikāta derīgumu. Citiem vārdiem sakot, lai pārliecinātos, ka cilvēks, kurš parakstās, uzņemas arī juridiskas saistības par savu parakstu. Šis serveris pārbauda gan sertifikāta derīgumu (vai nederīgumu), gan apstiprinājuma laiku un atsūta atpakaļ elektroniski parakstītu atbildi, kur norādīts, vai pieprasījumam pievienotais sertifikāts ir “derīgs”, “atsaukts” vai “nezināms”. Ja nav iespējams apstrādāt pieprasījumu, tad var tikt parādīts kļūdas paziņojums.

Savukārt laika zīmogs ir nepieciešams, lai apliecinātu noteiktu datu eksistenci noteiktā laikā. Neviens nevar mainīt datus, ja tie ir saglabāti un apstiprināti ar laika zīmogu, tāpēc laika zīmoga pakalpojums tiek plaši izmantots, elektroniski parakstoties un arhivējot dokumentus.

Runājot par piekļuves datu nozagšanas riskiem, būtu jālauž šis maldīgais priekšstats. “Smart-ID” ir balstīts uz zināmiem un pārbaudītiem publiskās atslēgas kriptogrāfijas principiem. Rīks atbilst eIDAS regulas un direktīvas 2015/2366 par maksājumu pakalpojumiem iekšējā tirgū noteikumiem un ir iekļauts Eiropas uzticamo pakalpojumu sarakstā. Risinājums izmanto advancētas kriptogrāfijas metodes, lai aizsargātu lietotāja privāto atslēgu.

Galalietotājiem tie ir slepenie PIN kodi, kas nekur netiek uzglabāti – nedz personas telefonā, nedz kādos serveros. Praktiski tas nozīmē, ka, tā kā PIN kodi netiek uzglabāti, noziedznieki tos nevar nozagt. Jautājums ir par cilvēku uzmanību un rīkošanos ar vēsu prātu – jācenšas nesteigties un domāt līdzi darbībām, nav vēlams tās sasteigt un darīt vairākus uzdevumus paralēli, kā arī, protams, atklāt datus vieglprātīgi. Tie, kas nodarbojas ar sociālo inženieriju un mūs vedina uz dažādām aktivitātēm, ar kurām mēs paši sev pēc tam nodarām pāri un pat zaudējam daudz naudas līdzekļu, zina, ka kļūdas tiek pieļautas, jo cilvēks grib visu paveikt ātrāk un vairāk.