Monthly Archives: July 2016

Eurodigiajastu mõisteselgitusi

Anto Veldre, RIA analüütik

Ühes eelmises blogiartiklis tutvustasime, kuidas meil Eestis 1. juulil 2016 otsekohaldus üks ELi seadusakt ja mismoodi digiallkirja kasutamine ja tõlgendamine sellest muutub. Täna räägime eIDAS-määrusest just muudatuste seisukohast: mis muutub, millega peab arvestama, millega on suurim oht alt lennata?!

Olulisim muudatus – me ei pea siin Eestis enam kõiki pisiasju ise leiutama. ELi standardite toel hakkavad kogu Euroopa e-allkirjad rääkima ühes keeles, edaspidi kõlbavad meie antud digiallkirjad kenasti kõigis ELi riikides (mäherdune aja kokkuhoid asjaajamisel!). Riigiülene digiallkiri toetab tublisti ka e-residentide programmi algeesmärke. Tegelikult olekski Eesti kodanikel aeg digiallkirjastatud dokumentidega euroasutustele tormi joosta.

eIDAS: eTime-Stamp, eIdentification (eID), Website authentication, eDelivery, eSignature, eSeal

Sinine tabalukk on ELi usaldusmärk

Ajalugu

Heasoovijad märkisidki juba RIA Facebook’i lehel, et Euroopa Liidu jaoks ulatub digitaalsete usaldusteenuste ajalugu aastasse 1999. Nimelt siis kehtestati direktiiv 1999/93/EÜ. Põhjusel või teisel edenes digiasi Eestis jõudsalt, Euroliidus aga mitte veel niivõrd. Euroliit uuris, miks riikidevaheline digiallkirjandus käima ei lähe ja põhjusi leiti mitu – küll tehniline ühtesobimatus, küll riikide kultuurilised erinevused.

Tehnilisest probleemist ülesaamiseks valmistas vastav instituut (ETSI) ette ühtsed tehnilised standardid. Sealtmaalt alates ei saanud keegi enam öelda, et vormingud ei ühildu. Suhtumisest ülesaamiseks ja ühtse digituru võimaldamiseks taotleti aga enamat. Välistamaks võimalust, et mõni riik digireaalsust jätkuvalt eirab, kehtestati aastal 2014 oluliselt jõulisemad meetmed eIDAS määrusena. Et motiveerida riike kiiremini arenema, pandi meetmed sundkorras otsekohalduma, teisisõnu – saavutati üleolek kohalikest seadustest. Tähtaeg 1. juuli 2016 pärineb eIDAS määruse rakenduskavast. Alates sellest päevast ei tohi liikmesriigi e-allkirjana näivat asjandust enam ukselt tagasi saata.

Digiallkiri

Esimese olulise erinevusena märkame, et meile harjumuspärast sõna digiallkiri eIDAS-määruse tekstist ei leia. Euroopa säädused räägivad e-allkirjadest. Kuivõrd meil on digiallkirjastamine ammu levinud ja inimesed seostavad sellega täiesti kindlat asja, siis osutus tarvilikuks päästeoperatsioon: Euroopa õigusest leiti e-allkirja üks teatav alamliik, mis kõige rohkem sarnanes meie senise digiallkirjaga ning nimetati see ümber digiallkirjaks.

Paraku on ümbernimetamine seni jäänud pidama seaduseelnõu tasemele ning Riigikogu läks puhkusele seda teemat lõpetamata. Seaduseelnõu SE237 seletuskiri ütleb (lk 17, eelviimane lõik):

Termin digiallkiri on olnud kasutuses sellise e-allkirja kohta, mis eIDAS määruses vastab kvalifitseeritud e-allkirja nõuetele. Vältimaks segadust ning tagades õigusselgust käibel olevate terminite osas, on lõikes 1 sätestatud, et eIDAS määruses sätestatud kvalifitseeritud e-allkiri on siseriiklikult käsitletav digitaalallkirjana. Kuna Eesti seadustes ning avalikkuses kasutatakse mõistet 'digitaalallkiri', on mõistlik jätkata selle termini kasutamist. eIDAS määruses kasutatud termin 'kvalifitseeritud e-allkiri' omab samasugust õiguslikku tähendust nagu 'digitaalallkiri'.

Loodetavasti tuleb Riigikogu septembris kenasti puhanuna taas tööle ning vormistab toreda sõnamängu ka seaduseks ära. Seniks jätkame sõna digiallkiri kasutamist heas usus.

Usaldusväärsuse tasemed

E-allkirju (ehk elektroonseid allkirju) on erineva usaldustasemega. eIDAse põhjal on tasemeid tervenisti neli. Kuivõrd eelmises blogipostituses selgitasime tasemete omadusi põhjalikult, siis siinkohal piirdume vaid ülevaatliku joonisega.

e-allkirjade tasemed. Autor: Anto Veldre

e-allkirjade tasemed. Autor: Anto Veldre

Eestit kummitav mure – kuivõrd meie endi digiallkiri kuulub kõige kõrgemasse kategooriasse, siis meil tekib õigus ja kiusatus ignoreerida kõike, mis paikneb meie tasemest allpool. eIDAS-määrus annab selleks kenasti ka võimaluse, öeldes, et iga riik peab aktsepteerima teiste riikide samaväärseid ja kõrgema taseme allkirju.

Probleem tekib seal, kus on vaja rahvusvahelist koostööd. Kui eestlasest kooskõlastaja on nimestikus kolmas, siis võib DigiDoc3 eelnevate allkirjade verifitseerimisel tõesti nuriseda, et eelnevad allkirjad on kehtetud. Ning ongi, Eesti territooriumil ja seaduste järgi. DigiDoc3 allkirjarakendus ju mõtteid ei loe, ta ei tea, mida dokumendiga edasi kavatsetakse teha. Kui nüüd eestlane oma käpajälje kolmanda allkirjana lisab, siis järgmisse riiki liikudes on kõik kolm allkirja seal kenasti taas kehtivad.

Paradoks? Just seetõttu peavad e-allkirjadega töötavad inimesed väga täpselt aru saama, missugune allkiri on kus kehtiv ja kus kehtetu. Asjaolu, et mingi allkiri on Eestis kehtetu oma taseme poolest, ei muuda seda automaatselt kehtetuks mõnes teises riigis.

Täna ei saa me veel väita, et DigiDoc3 programm juba tunnebki ära kõigi liikmesriikide kõikvõimalikes vormingutes antud allkirjad. On riike, mille vorminguid tuntakse paremini, on riike, mille omi alles õpitakse tundma. 7. juulil avaldati taas kord järgmine versioon ID-kaardi tarkvarast (3.12.4) ning selle koosseisu kuuluv Digidoc3 tunneb ära senisest enamate riikide digiallkirjad.

Täna ei ole tegemist teab mis suure probleemiga – teadaolevalt saabub välismaiseid digiallkirju riigisektorisse töötlemiseks mahus kuni 100 allkirja aastas. Niipea kui mõne riigi allkirjad populaarsemaks muutuvad, püüab RIA neile pakkuda ka Digidoc3 tuge.

Vast kõige keerulisem saabki olema usaldusväärsuse tasemete käsitlemine – täna ei ole allkirja liigitamine taseme järgi lõpuni algoritmiseeritav – puudub kõigi riikide kõigi allkirjatüüpide koondtabel. Loodetavasti tulevikus olukord paraneb ning tekib võimalus allkirja taseme määratlemiseks – kas siis DigiDoc3 programmi või mõne portaali abil.

Aktsepteerimine, tunnustamine jms tegevused

Eurodirektiivide ümberpanek eesti keelde on keeruline, sest mõningate sõnade tähendusväljad on soome-ugri keeltes täiesti teistsugused. eIDAS pruugib näiteks sõna “aktsepteerimine”. Ehk siis kõik riigid peavad nüüd aktsepteerima teiste liikmesriikide digiallkirju. Kuid missuguseid tegevusi see „aktsepteerimine“ täpselt hõlmab?

Siitmaalt paraku lähevad asjad keerukaks. Mõned põhipunktid:

Kust üldse saame aru, et tegemist on e-allkirjaga (mitte aga Kindle lugerile mõeldud PDFiga)? Nagu eelmises blogiloos vihjatud, PDF-vorming digiallkirja kandjana on eestlase jaoks päris üllatav. Kust me saame aru, et tegemist on ETSI standardi kohaselt vormistatud digiallkirjaga? Eks tuleb vastavast programmist läbi lasta ehk töödelda.

Töödelda aga ei saa asju, mis on saadud teab kust. Töödelda on mõtet vaid asju, mis on eelnevalt vastu võetud ning ka nõuetekohaselt registreeritud. Lõpuks, alles siis kui eelnevad tegevused on sooritatud, saab allkirja pista masinasse, mis ütleb, et ongi tegu mõne ELi poolt aktsepteeritud allkirjavorminguga. Ning alles päris viimase asjana saab püstitada allkirja juriidilise kehtivuse küsimuse.

E-allkirja lakmusküsimus on: kas konkreetne e-allkiri kuulub kõrgeimaile tasemele (QES a.k.a. digiallkiri), sest vaid sel juhul peame seda aktsepteerima Eesti õigusruumis.

Kõigi mainitud protseduuride nüansid tuleb alles välja töötada ning ettearvatult tekib sekretäridel ja arhivaaridel palju lisaküsimusi. Meie parimat hetkearusaamist illustreerigu see joonis:

Allkirjana esitatav artefakt. Kas võtame vastu? Ei või Jah? Ei ehk digiallkirja tagasilükkamine pole 1. juulist 2016 enam lubatud. Jah > Registreerimine dokumendihalduses > Töötlemine > Kas allkiri kehtib Eesti õigusruumis? Jah - õnnelik lõpp- Ei - õnnetu lõpp (allkiri ei sobinud).

Toimingud e-allkirjaga, autor: Anto Veldre

Ühtlasi tuleb aru saada, et ka sõna valideerimine on koormatud ülearuste tähendustega. Mõnes teises valdkonnas, näiteks sertifikaadi kehtivuse kontrollimisel, võib valideerimine tähendada hoopis midagi muud.

Sisselogimisest

Praegu on eIDAS teinud kohustuslikuks e-allkirjade aktsepteerimise (sel on pistmist meie ID-kaardil paikneva allkirjastamissertifikaadiga). Kuid juba septembris 2018 tekib riikidel sarnane kohustus ka sisselogimise osas. Riigid võtavad kasutusele ristautentimise lahenduse ja riigiasutuste portaalidesse tuleb sealtmaalt lubada ka kõik võõraste autentimisvahenditega saabujad liikmesriikidest.

Või kas ikka tuleb, sest ka sisselogimise puhul kehtib maagiline määratlus „sama või kõrgema tasemega“. Võõraste ligilaskmine meie süsteemidele saab olema keeruline (lk 9), kuivõrd tulijatel ei pruugi olla isegi meie mõistes isikukoodi. Mõnes järgmises blogijutus ehk kirjeldame skisoidset õudust, kuidas Heinz Saksamaalt siseneb meie portaalidesse ja pruugib vaheldumisi mitmelt liidumaalt saadud allkirjastamissertifikaate ja sekka Saksa eID kaarti – puudub vähimgi võimalus tema osaisikuid omavahel seostada, sest Saksa traditsioon ja sealne põhiseadus keelavad inimeste nummerdamise.

Halloo, serveriomanikud, Kartaago ootab hävitamist!

Senaator Cato Vanas-Roomas manitses iga kõne lõpus: „muide, Kartaago tuleb hävitada!“. Eestis ja täna võiksid asutused, kelle infosüsteemid eurokõlbmatuid digiallkirju vorbivad, oma süsteemid lõpuks ometi Euroopa-kõlbulikuks muuta. Vana ja aegunud Jdigidoc teeki (mille eluiga ja tugi on ammu lõppenud) pruugitakse täna 98% digiallkirjade loomiseks. Uus, euroühtesobiv DD4J teek (rahvakeeli libraar) on seni kasutusel vaid 0,05% digiallkirjade loomisel.

Armsad arendajad, austatud juhid ja rahakotiraudu avavad finantsistid! Nüüd on tõesti tagumine aeg viia oma asutuse infosüsteem üle DigiDoc4J teegi (ehk lühidalt DD4J) kasutamisele või muidu… Juba septembrist 2014 oleme teavitanud, et ilma DigiDoc4J teegita eurokõlblikku (ASiC-E formaadis) allkirja anda ei saa.

Lisamaterjalid: