Digiallkiri
Sissejuhatus
editMa valisin enda referaadi teemaks digiallkirja, sest see on praeguses digiajastus üsna igapäevaseks võimaluseks muutunud allkirjastada erinevaid tähtsaid dokumente. Digiallkiri võimaldab kaitsta autori töid, kinnitada tähtsate dokumentide päritolu ja saatmiskuupäeva ning vältida võimalikke petuskeeme.
Oma referaadis uurin ma, mis on digiallkiri, kuidas digiallkiri tekkis, milleks digiallkirja üldse kasutatakse, mis eelised ja puudused hõlmavad digiallkirja, kuidas on võimalik digiallkirja kontrollida ja kaitsta ning, millised võimalused ootavad meid tulevikus.
Mis on digiallkiri?
editDigiallkiri on tavaallkirja asendaja, mis aitab tagada elektrooniliste dokumentide (e-mailid, tekstifailid jne) turvalisuse. Turvalisuse tagamine digiallkirjaga tähendab seda, et dokumendi autor on teada ning dokumenti pole muudetud kolmandate isikute poolt saatmise ja vastuvõtmise vahemikus.
Kuidas tekkis digiallkiri?
editÜle saja aasta tagasi kasutasid inimesed Morse koodi ning telegraafi elektrooniliste lepingute vahendamiseks. Esimene elektroonilise allkirja kinnitamine toimus 1869. aastal New Hampshire’i Ülemkohtus.
1975. aastal avaldasid Whitfield Diffie ja Martin Hellman esimese avaliku „võtme“. Stanfordi Ülikooli teadlased kirjutasid uurimustöö võimalikust krüpteerimistehnikast, mille peidetud võtmes asuvat infot saab avaldada dekrüpteerimisvõtmega, mis on salastatud ega pole seotud dokumendiga ja selle autoriga.
Sellest ajast peale on arendatud mitmeid avaliku võtme krüpteerimissüsteeme. Avaliku võtme algoritmid baseeruvad numbrite teoorial ehk uute algoritmide loomisel, milleks on vaja leida uusi matemaatilisi võrrandeid erinevate toimingute jaoks. Tänapäeval kasutatakse enamasti kolme avaliku võtme süsteemi: Diffie-Hellmani võtmete vahetus, DSA/DSS, RSA.
Diffie-Hellmani võtmete vahetuse süsteem põhineb krüptograafiliste võtmete jagamisel osapoolte vahel. Metoodika ei põhine otseselt krüpteerimisel, kuid see loob võimaluse arendada ning vahetada salastatud võtit avaliku kanali kaudu. Süsteemi toimimiseks peavad mõlemad osapooled kokku leppima kindlates numbrikombinatsioonides ning seejärel valmistatakse enda salastatud võti. Võtmete valmimisel vahetatakse numbrikombinatsioone ja arvutatakse välja kolmas toimiv võti, millega kaitsta jagatud informatsiooni võimalike ründajate eest.
Digiallkirja standard ehk DSS (Digital Signature Standard) loodi Ameerika Rahvusliku Kaitse Organisatsiooni (U.S. National Security Agency) poolt. DSS põhineb digiallkirja algoritmil ehk DSA-l ( Digital Signature Algorithm). DSS-i saab kasutada ainult digiallkirjade puhul, kuid DSA-d saab rakendada ka krüpteerimisel.
RSA on 1977.aastast pärit avaliku võtme krüptograafia süsteem, mille lõid kolm professorit: Ronald Rivest, Adi Shamir, ja Leonard Adleman. RSA algoritm on digiallkirja süsteemi ning informatsiooni krüpteerimise aluseks.
Need erinevad leiutised panid küll aluse digiallkirja tekkele, kuid elektrooniliste allkirjade levik algas tänu masinale- faksile. 1980. aastatel hakkasid mitmed firmad ja edukamad inimesed kasutama faksimasinat oma tähtsate paberdokumentide kiireks edastamiseks. Tänaseks päevaks on faksist saanud ärimaailma lahutamatu osa.
Esimese lepingu allkirjastamine ning faksimine algatas diskussiooni allkirja tõelevastavusest. See oli siiski esimene kord ajaloos kui keegi allkirjastas dokumendi, pani selle masinasse ning saatis telefoni liini kaudu vastuvõtjale, kes sai kätte saatja lepingu digitaalselt kopeeritud allkirjaga. Allkirja miilide pikkune teekond juhtmetes ei olnud kontrollitav, mistõttu oli raske uskuda, et allkiri võiks olla kehtiv. Faksimise ning elektroonilise allkirja tähendused olid kõigile mõistetavad, kuid firmad tahtsid saada kindlustust, et allkiri, mille nad aktsepteerivad, pole kolmandate isikute poolt muudetud. Segaduse lahendamiseks määrasid kohtud faksitud allkirjale samasuguse tähtsuse nagu viibiksid dokumendi mõlemad osapooled samaaegselt ühes ruumis. Pärast seda määrust muutus faksimine standardprotseduuriks üle kogu maailma.
Mis eesmärkidel kasutatakse ?
editDigitaalne andmekogum on arvutis bitijada, mis ei ole ühegi konkreetse andmekandjaga seotud. Nii dokumendi sisu kui ka allkirja saab muuta, mis tähendab seda, et digiteabel ei saa kasutada käsitsi kirjutatud allkirja,sest puudub teabekandja ning allkirja võltsimatust pole võimalik tagada. Lahenduseks ongi digiallkiri, mis on seotud matemaatiliste seoste abil teabe ehk bittidega, mitte teabe kandjaga. Digiallkirja loomisel seotakse dokument, kui bitijada, loojaga matemaatiliste meetodite kaudu.
Digiallkirja andjal on kaks üksteisega seotud andmekogumit: privaatvõti, mis on füüsiline ese allkirja andmiseks ja asub ainult allkirja andja valduses ning avalik võti, mis on allkirja kontrollimise vahend ning peab olemas olema allkirja verifitseerijal. Digiallkirja andmine ja kontrollimine on teatud omadustega matemaatilised operatsioonid, mis tagavad selle, et privaatvõtmega antud allkirja saab kontrollida, aga ei saa muuta avaliku võtmega.
Digiallkirja toimimiseks peab olemas olema: sertifitseerimiskeskus, mis seob püsivalt avaliku võtme omaja tema isikuandmetega; ajatempliteenuse osutaja, keda on vaja juhuks kui privaatvõti kaob allkirja andja valdusest; kehtivuskinnituse teenus, mis tõestab, et digiaallkirja aluseks olev võtmepaar oli allkirja andmise hetkel kehtiv ja korras.
Mis on digiallkirja eelised ja puudused?
editÜhiskonnas leviv müüt on, et digiallkiri on ebaturvalisem kui käsitsi kirjutatud allkiri, kuid tegelikkus on vastupidine. Digiallkiri loob mõned uut tüüpi ohud, kuid need kaaluvad üle paberallkirja ebaturvalisuse.
Digiallkirja eelised:
Digiallkirja puhul võib alati kindel olla, et allkirja andjale vastab füüsiline isik, kellel on olemas riigis kehtiv indetiteet, sest see on kontrollitud sertifitseerimisteenuse osutaja poolt. Paberallkirja puhul ei saa aga kindel olla, et allkiri on originaalisiku poolt antud ja, et selline füüsiline isik üldse eksisteerib- selle kontrollimine vajab eriuuringuid ning täiendavat teavet.
Digidokument on allkirjastatud selle isiku poolt, kelle nimi seisab allkirjas, sest seesama nimi leidub ka kehtivas ning kontrollitud sertifikaadis. Erandjuhtum on siis, kui kehtiv sertifikaat on omaniku valdusest ärandatud. Paberallkirja on aga pika harjutamise peale kerge järgi teha võimalikult täpselt, isegi nii, et käekirjaeksperdil on seda raske tuvastada.
Digidokumendi puhul saab alati kindlalt väita, et allkirjastatud dokumenti pole hiljem kolmandate isikute poolt muudetud, sest selle tagavad digiallkirja aluseks olevad matemaatilised seosed. Paberdokumentidel kasutatakse ka erinevaid turvavõtteid, kuid tihtipeale on võimalik allkirjastatud dokumendile midagi juurde lisada, eriti blankettide puhul.
Digidokumendi puhul on võimalik alati kontrollida, millal dokumendile on allkiri antud, sest ajatempel on digitaalallkirja lahutamatu osa. Paberdokumentide puhul on võimalik allkirja kõrvale kirjutada suvaline kuupäev kui tunnistajaid pole juures.
Digiallkirja puudused:
Kõige olulisem ja tõsisem risk digiallkirja kasutamise juures on see, et allkirja andmise õigused on varastatavad koos privaatvõtmega- sertifikaadi omaja peab hoolikalt jälgima, et privaatvõti ei väljuks allkirja andja ainuvaldusest. Tänapäeval on välja mõeldud erimeetodeid selle vastu võitlemiseks ning risk on kahanemas.
Digidokumendi vorming peab olema piiratud, sest erinevad keskkonnad võivad dokumenti näidata erinevalt ehk ei ole üheselt selge, millisele dokumendile on allkiri antud. Kasutada tuleks tuntud ja avaliku kirjeldusega failivorminguid, mis välistavad sellised arusaamatused.
Digiallkirja eripäraks ja võib-olla nö puuduseks on see, et digiallkirjastatud dokument peab jääma elutsükli lõpuni digitaalseks. Dokumenti ei saa välja printida koos allkirjaga nii, et tõestusväärtuse omadus alles jääks, kuid praeguses digimaailmas jääb niikuinii aina vähemaks põhjuseid kasutada paberit- see on lisaks turvalisusele ka loodussäästlikum.
Kuidas kasutada digiallkirja Eestis?
editDigitaalallkirja seadus (DAS) jõustus Eestis 15. detsembril aastal 2000. Eesti digiallkirja sertifikaat kaasneb ID-kaardi omandamisega. Digitaalallkiri on seaduslikult võrdsustatud tavaallkirjaga ning seda saab kasutada riigi, firmade, eraisikute ning organisatsioonide vahel. Tänaseks on kõik Eesti avalikud asutused kohustatud võtma vastu digiallkirjastatud dokumente ja loodud on hulk avalikke teenuseid, mille kasutamiseks saab ennast ID kaardiga tuvastada (nt. paberivaba ARK) ning paljud eraõiguslikud ettevõtted juurutavad oma infotöös digiallkirja kasutamist.
ID-kaardil on salajane allkirjastamisvõti, mida saab kasutada PIN-koodi abil. Selle võtmega märgistatakse dokument unikaalsel ja võltsimatul viisil, mis võimaldab hiljem tõestada, et allkiri on ID-kaardi omaniku poolt antud. Dokumendi digiallkirjastamiseks on vaja ID-kaarti, internetiühendusega arvutit, ID-kaardilugejat ning digiallkirjastamiseks mõeldud ID-kaardi PIN-koodi. Digiallkirju saab anda sertifikaadi kehtimise ajal ning kontrollimisel tuleb jälgida, kas allkirjaga on seotud kehtivuskinnitus.
ID-kaartide väljastamisel antakse igale kasutajale kaks sertifikaati, millest üks on isikutuvastamiseks ja teine on digiallkirjastamiseks. Sertifikaati võib võrrelda allkirjanäidisega- see on avalik ning selle abil saavad kõik kontrollida, kas antud allkiri on ehtne. Kui sertifikaat ja allkiri omavahel matemaatiliselt klapivad, siis võib olla kindel, et allkirja on andnud sertifikaadi omanik. Sertifikaadis on kirjas ka isikuandmed- nimi ja isikukood.
Vastavalt „Digitaalallkirja seadusele“ ei kehti aegunud või peatatud sertifikaadiga antud allkiri. Peale allkirja andmist tuleb kontrollida, kas sertifikaat kehtib ning, kas allkirjastajal on õigus sel hetkel allkirja anda. Selle kontrollimiseks võtab allkirja andmise programm ühendust Sertifitseerimiskeskuse serveriga ning kontrollib sertifikaadi kehtivust. Kui sertifikaat on kehtiv, siis Sertifitseerimiskeskuse server väljastab programmile spetsiaalse tõendi, mis lisatakse allkirjale. Allkirjastamisel on võimalik juurde lisada DigiDoc Client programmiga järgmised parameetrid: allkirjastamise koht- riik, linn, maakond ja postiindeks ning roll või resolutsioon- lisatekst, mis seotakse allkirjaga.
Kuidas kontrollida digiallkirja?
editEesti standardprogrammiks allkirja koostamisel ning kontrollimisel on DigiDoc Client, mille saab automaatselt kaasa ID-kaardi tarkavara tõmbamisega. DigiDoc Client on Windowsi rakendus, mis võimaldab anda digitaalallkirju, kontrollida allkirjade kehtivust ning avada ja salvestada DigiDoc failis sisalduvaid andmefaile. Lisaks digiallkirjastamise funktsionaalsusele võimaldab programm andmeid salastada ja salastatud andmeid muuta kõigile loetavale kujule. See võimaldab lisada ka olemasolevale allkirjale teise allkirja. Programm toetab allkirjastamist ainult kiipkaartidega ja võimaldab anda allkirja misiganes kiipkaardiga, millel on Windows draiver (CSP- Communicating Sequential Processes- osa matemaatilistest operatsioonidest).
Digitaalallkirjastatud dokumendi tunneb ära failiformaadi laiendi DDOC järgi. Digitaalselt allkirjastatud dokumendi avamiseks ning allkirja kehtivuse kontrollimiseks ei ole vaja ID-kaarti- seda saab kontrollida ka DigiDoci kontrolliportaalis tarkvara arvutisse lisamata.
Allkirjade kehtivuse kontroll teostatakse automaatselt DigiDoc faili avamisel. Kui allkirja real kuvatakse „kehtiv“, siis on allkiri kehtiv ning kui olek on „ei kehti“, siis allkiri on kehtetu. Juhul, kui allkirja kehtivust ei ole võimalik kontrollida, nt. kuna mõni vajalikest sertifikaatidest puudub, siis kuvatakse olekuks “teadmata”. Sertifikaadi kehtivuse kontrolliks peab Windowsi sertifikaadihoidlasse olema paigaldatud allkirjastaja sertifikaadi väljaandja sertifikaat (Eestis AS Sertifitseerimiskeskus) ja kehtivuskinnituse teenuse sertifikaat (sertifikaadid, mis olid kasutusel allkirjastamisel hetkel). Kehtivuskinnitus on koos failiga nähtav ning ka väljaprinditav. Selleks, et olla kindel digitaalallkirja kehtimises, piisab enamasti allkirja oleku („kehtiv“ / „ei kehti“) vaatamisest.
Kuidas kaitsta digiallkirja?
editDigiallkirjade autentimine tugineb teatud tüüpi krüpteerimistel. Krüpteerimine on protsess, mille jooksul kodeeritakse kogu saadetav info sellisesse vormingusse, et ainult teine arvuti suudab seda lahti kodeerida. Autentimise protsess kinnitab informatsiooni turvalisust. Need kaks protsessi toimivad digiallkirja puhul koos.
Arvutis on mitmeid võimalusi autentimaks inimest või informatsiooni:
Parool- kasutajanime ja parooli kasutamine on kõige tavalisem viis autentida isikut. Käskluse andmiseks tuleb sisestada parool ning kasutajanimi. Arvuti kontrollib andmeid salastatud failis ning kui üks osa sisestatud andmetest ei sobi, siis on edasine tegevus keelatud.
Kontrollsumma- on edastusühiku bittide koguarv ja see on üks kõige vanematest andmete kontrollimissüsteemidest, mille üks vorming pakub ka autentimise kontrollimist. Kogusumma arvutatakse välja saatepoolel ning lisatakse andmeühikule. Vastuvõtupoolel arvutatakse kontrollsumma uuesti ning võrreldakse seda koos andmeühikuga saabunud kontrollsummaga. Kui kontrollsummad ei lange kokku, siis see näitab, et andmeühiku edastamisel on tehtud muudatusi.
byte 1 | byte 2 | byte 3 | byte 4 | byte 5 | byte 6 | byte 7 | byte 8 | total | checksum |
---|---|---|---|---|---|---|---|---|---|
212 | 232 | 54 | 135 | 244 | 15 | 179 | 80 | 1151 | 127 |
CRC (Cyclic Redundancy Check- tsükkelkoodkontroll) - tsükkelkoodkontrolli kontseptsioon on sarnane kogusummaga. Saatepoolel rakendatakse edastamisele kuuluvale andmeplokile 16- või 32-bitist polünoomi, mille tulemusena saadav kood lisatakse plokile. Vastuvõtupoolel rakendatakse andmeplokile sama polünoomi ja kui tulemused kokku langevad, loetakse andmeedastus õnnestunuks. Vastasel korral palutakse andmeploki saatmist korrata. CRC on väga täpne, aga nii kogusumma kui ka tsükkelkoodkontroll pakuvad vähe kaitset tahtliku andmeründamise eest.
Privaatvõtme krüpteerimine- privaatvõti tähendab seda, et igal arvutil on oma salastatud kood, millega krüpteeritakse informatsiooni enne kui see läheb interneti teel edastamisele. Privaatvõtme kasutamine eeldab seda, et mõlemad osapooled teavad, kelle ja mis arvuti teel nad suhtlevad ning mõlemad omavad privaatvõtme koodi. Privaatvõtme kood on põhimõtteliselt sama nagu väikeste laste väljamõeldud salakeel, mille avamiseks peavad mõlemad arvutid koodi iseärasusi tundma.
Avaliku võtme krüpteerimine- avaliku võtme krüpteerimine kasutab avaliku võtme ja privaatvõtme kombinatsiooni. Privaatvõti on teada ainult omajale, aga avalik võti jaotatakse igale arvutile, mis soovib turvaliselt privaatvõtme arvutiga andmeid edastada. Krüpteeritud dokumendi avamiseks on arvutil vaja avalikku võtit saatja arvutist ning enda privaatvõtit. Võti põhineb räsiväärtusel ehk räsil, mis on vastava algoritmi ehk räsifunktsiooni (hash function) abil tekstistringist genereeritud ning fikseeritud pikkusega arv. Räsi on oluliselt väiksem kui tekst ise ja sobiva algoritmi kasutamine tagab selle, et mingist teisest stringist sama räsiväärtuse saamine on äärmiselt väikese tõenäosusega.
input number | hashing algorithm | hash value |
---|---|---|
10667 | input # x 143 | 1525381 |
Digitaalsed sertifikaadid- turvalises veebiserveris avaliku võtme krüpteerimise rakendamine vajab teisi meetodeid. Digitaalne sertifikaat on põhimõtteliselt informatsiooni bitt, mis kindlustab seda, et veebiserver on turvatud sertifitseerimisasjatundja poolt. Sertifitseerimisasjatundja kinnitab, et mõlemad osapooled on autentsed ning vahendab avalikke võtmeid arvutite vahel.
Mida toob tulevik?
editPraeguses digiajastus areneb kõik väga kiiresti ning praegu standartne DigiDoc on küll laialdaselt kasutusel Eestis, kuid maailmas on erinevaid programme digiallkirja jaoks väga palju. Konstantselt peab arvestama pidevalt muutuvate standarditega ning mõtlema tuleviku peale.
Juba praegu saab digitaalallkirja elektrooniliselt ja paberivabalt edastada ning kooskõlastada ka inseneridokumentatsiooni ja ruumiinfot, sealhulgas CAD-jooniseid (computer-aided design) MicroStation programmi Bentley V8 platvormiga. Oluline on, et rakendusprogramm ja failiformaat seda võimaldaksid. Bentley uus V8 platvorm ja .dgn failiformaat toetavad digiallkirja tehnoloogiliselt standardselt ning rakenduslikust vaatepunktist paindlikult. Digiallkirja andmiseks ei pea omama MicroStation-paketti vaid kasutamiseks sobib ükskõik, milline Bentley platvormtoode (nt. Redline). MicroStation kasutab digiallkirjastamisel rahvusvaheliseks standardiks kujunenud tehnoloogiat, mis tähendab, et kasutada saab ka Eesti ID-kaarti ja sellega kaasnevat sertifikaati. Microstationi failile lisatud digiallkiri vastab Eesti Vabariigi Digitaalallkirja Seaduse (DAS) nõuetele. Digiallkirja kasutamise praktiliseks eelduseks MicroStationis on ID-kaardi, kaardilugeja ning vastavate draiverite olemasolu arvutis. Eraldi seadistamist ei ole vaja MicroStationi puhul teha.
Bentley tarkvara võimaldab lisada digitaalallkirja nii joonisefaili kui terviku suhtes aga ka faili üksikute osade (Models) või üksikute elementide (cell’ide) allkirjastamiseks. Tasuta pakett, Bentley View, allkirja andmist ei võimalda, kuid aitab olemasolevate allkirjade kehtivust kontrollida. Võimalik on allkirjastada ka failis sisalduvaid osi- digiallkirja kehtivuse saab siduda failile lisatud tausta- ehk referentsfailidega. Sealhulgas ka näiteks dwg-failidega, millele senini otseselt digiallkirja toetust ei pakutud.
Kokkuvõte
editDigiallkiri on tänases maailmas tähtsal kohal. See on igapäevane kõigile kättesaadav võimalus kinnitada enda loodud töid ning edastada turvaliselt kinnitatud tähtsaid dokumente. Digiallkiri sai alguse juba Morse koodi ning telegraafiga ja levis laialdaselt tänu faksimasinale. Tänapäevaks on võimalik igal inimesel allkirjastada elektroonilisi dokumente kinnitades enda autoriõigusi ja edastada oma töid turvaliselt mitmel eriviisil. Samuti saavad kõik inimesed kontrollida neile saadetud digiallkirjaga dokumentide tõelevastavust. Paberimajandus väheneb, töökoormus kergeneb ning inimesed on loodussäästlikumad isegi kui nad ei ole sellest teadlikud. Tulevik näib helge, sest inimeste tööd kergendavad uued ja lihtsamad progammid kontrollimaks digiallkirjade kehtivust, stressitase võib teoorias langeda tööhulga vähenemise tõttu ning ka kuritegevuse võimalused kahanevad. Digiajastu võib kaasa aidata senistele ühiskonna kõige raskematele probleemidele.
Kasutatud kirjandus:
edit- http://www.isaacbowman.com/the-history-of-electronic-signature-laws
- http://www.rmp.ee/eraisik/digiallkiri/2058
- http://www.sk.ee/pages.php/020207010501,978
- http://computer.howstuffworks.com/digital-signature.htm
- http://www.id.ee/10536
- http://www.cadsys.ee/digiallkiri/
- http://www.slideshare.net/daniellabo/digiallkiri-praktikas-digiasjaajamine-valdo-praust
- http://vallaste.ee/
- http://docstore.mik.ua/orelly/other/puis3rd/0596003234_puis3-chp-7-sect-3.html