Video: teadlased tõestasid, et Eesti digiallkirja andmise aega saab võltsida

Digiallkiri andmine mobiil-IDga.

FOTO: Mihkel Maripuu

Tartu Ülikooli külalislektor Tõnu Mets ja teadlane Arnis Paršovs avastasid, et Eesti digiallkirja andmise aeg on tagantjärele muudetav, mistõttu ei ole see hea vahend juriidiliselt tõendamaks, millal dokument tegelikult allkirjastati.

Teadustöö «Allkirjastamise aeg Eesti digiallkirjades» hinnangul ei pruugi allkirjastatud failile antud allkirjastamisaeg näidata tegelikku allkirjastamise aega, sest seda on võimalik erilise tarkvara abil pahatahtlikult muuta.

Nimelt selgus, et digitaalsel allkirjastamisel saavad kolmandad isikud uuendada allkirja ajatemplit ehk täpset kellaaega ja kuupäeva, millal sertifikaadi kehtivust kontrollitakse. Seega võis dokumendi tegelik allkirjastamine toimuda tunduvalt varem, kui see ametlikult välja paistab. Sellest tuleneb ka õiguslik probleem, sest pole võimalik kindlaks määrata, kas dokumendi allkirjastanud isiku sertifikaadid allkirjastamise hetkel kehtisid.

Teadlased demonstreerisid oma avastust president Kersti Kaljulaidilt küberturvalisuse seaduse väljakuulutamisele antud digiallkirja peal:

Tõnu Mets ja Arnis Paršovs informeerisid probleemile jälile jõudes ka Riigi Infosüsteemi Ametit ning majandus- ja kommunikatsiooniministeeriumi ning tegid ettepanekud digitaalse allkirjastamise ajatempli ja allkirja kehtivuse probleemi lahendamiseks.

Näiteks oleks Metsa ja Paršovsi arvates mõistlik loobuda allkirjastamise aja tuvastamise nõudest ning muuta sertifikaatide eluiga viisil, kus sertifikaat antakse omanikule alles pärast ID-kaardi väljastamist ning see kehtiks kuni aegumise või tühistamiseni. Välistada tuleb nende hinnangul olukord, kus kehtetu sertifikaat muutub uuesti kehtivaks, st tuleks loobuda ka sertifikaadi kehtivuse peatamise võimalusest.

Esmajärjekorras tuleks aga täiustada DigiDoci tarkvara, mis näitab praegu ajatemplis justkui allkirjastamise aega, kuigi tegelikult on seal aeg, mil kontrolliti sertifikaadi kehtivust.

Riigi Infosüsteemi Ameti elektroonilise identiteedi osakonna juhataja Margus Arm märkis, et digiallkiri kehtib ka siis, kui selle aeg on hilisemaks muudetud. «Allkirja puhul on kõige tähtsam inimese tahteavaldus ning artikkel seda kahtluse alla ei saa. Samuti pole tegemist ID-kaardi nõrkusega või probleemiga. Allkirjastatud dokumendi sisu pole võimalik mingil moel muuta,» rõhutas Arm.

Samuti pole tema sõnul võimalik allkirjastamise ajaks märkida kuupäeva minevikust ega tulevikust.

Tõnu Mets on Tartu Ülikooli õigusteaduskonna IT-õiguse külalislektor ja vandeadvokaat ning Arnis Paršovs töötab arvutiteaduse instituudi infoturbe töörühma juhina.

RIIK KOMMENTEERIB

Riigi Infosüsteemi Ameti elektroonilise identiteedi osakonna juhataja Margus Armi kommentaarid TÜ tähelepanekutele.

Teadlaste ettepanekul oleks mõistlik loobuda allkirjastamise aja tuvastamise nõudest.

Ajatemplil on kõige suurem roll allkirjastamise ajal, sest see seob andmete terviklikkuse antud ajaga. Hilisem pahatahtlik ajatempli muutmine ei muuda esialgse digiallkirja kehtivust ega dokumendi sisu. Eestis on tänaseks antud rohkem kui 500 miljonit digiallkirja ning pole teada juhtumeid, kus allkirjastamise aega oleks muudetud. Seega peame ajatemplit usaldusväärseks lahenduseks, mis on ennast viimased 17 aastast õigustanud.

Teadlaste ettepanekul tuleks muuta sertifikaatide eluiga viisil, kus sertifikaat väljastatakse omanikule alles pärast ID-kaardi väljastamist ning sertifikaat kehtiks kuni selle aegumise või tühistamiseni.

Seda riski on hinnatud ID-kaardi väljastusprotsesside puhul, see on dokumenteeritud ja auditeeritud ning vastavuses kehtestatud nõuetega. ID-kaardi väljastab PPA töötaja ning riski realiseerumine eeldaks pahatahtlikku PPA töötajat.

Teadlaste ettepanekul tuleks välistada olukord, kus kehtetu sertifikaat muutub uuesti kehtivaks, mis tähendab, et tuleks loobuda ka sertifikaadi kehtivuse peatamise võimalusest.

Kas seda on hinnatud piisavalt turvaliseks protsessiks. Väärkasutuseks on vaja teada kaardiomaniku PIN-koode. Aga kui PIN-koodid on väljunud kaardivaldaja kontrolli alt, siis on probleem igal juhul.

Esmajärjekorras tuleks aga täiustada DigiDoci tarkvara, mis näitab praegu ajatemplis justkui allkirjastamise aega, kuigi tegelikult on seal aeg, mil kontrolliti sertifikaadi kehtivust.

RIA tegeleb DigiDoci tarkvara arendamisega pidevalt ja võtab teadustöös väljatoodud tähelepanekuid edaspidises töös arvesse. Siiani ei ole teada ühtegi juhtumit, kus oleks ajatemplit kuritarvitatud.

Teadlaste seisukoht on, et ainult kohus saab digiallkirja tühistada. Kohtud aga pole seni olnud teadlikud DigiDoci tarkvara valideerimise taga olevast algoritmist, mis võimaldab ajatemplit muuta. Osapool, kes nõuaks kohtult digiallkirja tühistamist, peaks suutma kohust veenda ka selles, et digiallkiri ei vasta juriidilistele nõudmistele. Teadaolevalt ei ole selliseid juhtumeid praegu esinenud.

Allkiri tähendab eelkõige isiku tahteavalduse kinnitust ja enne kui hakata allkirja tühistama, tuleb veenduda isiku tahteavalduses. Digiallkiri on kehtiv ka siis, kui ajatemplit on muudetud. eiDAS-e määruse kohaselt ei muutu automaatselt tühiseks ükski antud allkiri, hoolimata sellest, kas tehnilises lahenduses ebakõlasid tuvastatakse või mitte. Tehingu tegemise puhul on kesksel kohal tehing ise, mitte tahteavalduse esitamise tingimused. Uue ajatempli saanud dokument on kehtiv, kuni pole tõestatud, et allkirjastamisel puudus isiku tahteavaldus.

Tagasi üles