Elektroninis parašas: kas tai, kaip veikia ir teisės aktai
Elektroninis parašas: sužinokite, kaip veikia, kokie teisės aktai (eIDAS, NIST, ZertES) ir kaip užtikrinti saugumą — aiškus, praktinis vadovas verslui ir vartotojams.
Elektroninis parašas - tai elektroninis susitarimo įrašas.
Sutartys nuo seno naudojamos siekiant parodyti, kad dvi šalys dėl ko nors susitarė. Dažnai šios šalys surašo dokumentą, kurį abi pasirašo, kad parodytų šį susitarimą. Interneto laikais daugelis šių dokumentų perduodami skaitmenine forma, tačiau vis tiek reikia parodyti susitarimą. Štai kur yra elektroninis parašas.
Pati elektroninės signatūros sąvoka nėra nauja. Bendrosios teisės jurisdikcijose telegrafiniai parašai pripažįstami dar XIX a. viduryje, o faksimiliniai parašai - nuo XX a. aštuntojo dešimtmečio. Elektroninis parašas tęsia šią idėją skaitmeninėje erdvėje.
Kas tai reiškia technine prasme?
Elektroniniai parašai gali būti įvairių formų ir lygių. Paprastai jų tikslas yra parodyti, kad asmuo sutiko su dokumento turiniu, tačiau skiriasi saugumo ir teisinių garantijų lygiai. Daugelis saugesnių elektroninių parašų remiasi viešojo rakto kriptografijos principais: naudojami skaitmeniniai parašai, skaitmeninio sertifikatai ir hash (santraukų) kodai, kad būtų užtikrintas duomenų integralumas ir autentiškumas.
Techniniai komponentai:
- Raktų pora (privatus ir viešas raktas) – privatus raktas naudojamas pasirašymui, viešasis raktas leidžia tikrinti parašo autentiškumą.
- Sertifikatai ir patikimos institucijos (CA arba paslaugų teikėjai), kurie patvirtina ryšį tarp asmens tapatybės ir viešo rakto.
- Hash funkcijos, kurios apskaičiuoja dokumento santrauką; pasirašomas ne visas didelis dokumentas, o jo santrauka.
- Laiko žyma (timestamp), rodanti, kada parašas buvo sudarytas, kas svarbu įrodant parašo galiojimą per laiką.
Teisinė reikšmė
Nors dažnai naudojama kriptografija, elektroninio parašo terminas turi teisinę reikšmę. Jis skiriasi nuo kriptografijoje vartojamo techninio termino skaitmeninis parašas. Daugelyje šalių priimtos taisyklės, pagal kurias tam tikri elektroniniai parašai laikomi lygiaverčiais ranka rašytam parašui arba turi įrodymų vertę teismuose.
Europoje veikia aiškus reguliavimas pagal eIDAS, todėl elektroninių parašų teisines kategorijas galima apibrėžti ir palyginti. Tokiais teisės aktais taip pat nustatomos paslaugų teikėjų atsakomybės ir reikalavimai sertifikatams.
Tipai pagal eIDAS ir kitus standartus
- Paprastas elektroninis parašas (SES) – bet koks elektroninis duomenų ryšys, susietas su parašiusiu asmeniu (pvz., el. pašto parašas, pažymėjimų varnelė).
- Patobulintas elektroninis parašas (AdES) – atitinka tam tikrus techninius reikalavimus: susietas su pasirašiusiu asmeniu, leidžia nustatyti parašo pakeitimus ir yra sukurtas naudojant laikomą kontrolei priemonę.
- Kvalifikuotas elektroninis parašas (QES) – sukurtas naudojant kvalifikuotą pasirašymo įrenginį ir kvalifikuotą sertifikatą; pagal eIDAS QES teisiškai prilyginamas ranka rašytam parašui.
Tarptautiniai ir nacionaliniai standartai bei reglamentai, kuriuos dažnai taiko institucijos ir verslas, yra eIDAS Europos Sąjungoje, NIST-DSS Jungtinėse Amerikos Valstijose arba ZertES Šveicarijoje. Šie dokumentai nustato techninius ir procedūrinius reikalavimus, kad parašai būtų patikimi ir teisiškai pripažinti.
Kaip vyksta pasirašymas ir kur tai naudojama
Elektroninį parašą galima pasirašyti įvairiais būdais: naudojant programinę įrangą, mobiliąsias programas, smart korteles, USB raktus arba debesų (cloud) paslaugas. Kai kurios organizacijos naudoja kvalifikuotus paslaugų teikėjus, kurie išduoda sertifikatus ir teikia pasirašymo įrankius.
Dažniausi naudojimo atvejai:
- Elektroninės sutartys, tiekimo ir paslaugų sutarčių pasirašymas.
- Valstybės institucijų dokumentų ir leidimų pateikimas (pvz., mokesčių deklaracijos, teisiniai dokumentai).
- Bankinių ir finansinių operacijų patvirtinimas.
- Personalo dokumentai, vidaus įmonės procesai.
Geros praktikos ir saugumas
- Saugokite privatų raktą — jei jis nutekės, parašai gali būti padirbti.
- Tikrinti parašo sertifikatą ir jo galiojimą prieš priimant dokumentą.
- Naudoti laiko žymas ir ilgo galiojimo patvirtinimo (LTV) sprendimus, kad parašai išliktų patikimi net pasikeitus kriptografiniams standartams.
- Pasirinkti patikimus paslaugų teikėjus ir įsitikinti, kad jie atitinka taikomus teisės aktus ir standartus.
Apibendrinant: elektroninis parašas leidžia patikimai ir patogiai patvirtinti sutartis ir kitus dokumentus skaitmeninėje erdvėje. Priklausomai nuo techninio sprendimo ir teisinių reikalavimų, elektroninis parašas gali suteikti tiek paprastą patvirtinimą, tiek aukščiausią teisinę galią, prilygstančią ranka rašytam parašui.
Įvairios elektroninių parašų rūšys
| Elektroninis parašas | Išplėstinis elektroninis parašas | Kvalifikuotas elektroninis parašas | |
| Saugumo lygis | mažas | didelis | labai didelis |
| Pavyzdys | Elektroninis paštas, nurodant laišką parašiusio asmens vardą ir pavardę | Elektroninis paštas su skaitmeniniu parašu | elektroninis paštas su sertifikatu, kuriam reikia patikrinti tapatybę. Sertifikatas paprastai saugomas lustinėje kortelėje, o norint perskaityti laišką, reikia lustinės kortelės. Be to, išmaniojoje kortelėje esantys duomenys yra apsaugoti, pavyzdžiui, slaptažodžiu arba biometriniais duomenimis. |
| galima nustatyti pranešimo pasikeitimą. | ne | taip | taip |
| pasirašiusįjį galima teisiškai identifikuoti. | ne | ne | taip |
| teisiškai lygiavertis ranka rašytam parašui. | ne | kai kuriais atvejais | taip |
Dokumento pasirašymas ir skaitmeninio parašo tikrinimas
Išplėstinis elektroninis parašas
Kad elektroninis parašas būtų laikomas pažangiu, jis turi atitikti šiuos reikalavimus:
- Pasirašytoją galima unikaliai identifikuoti ir susieti su parašu.
- Pasirašytojas turi turėti išskirtinę parašo kūrimo duomenų (paprastai privataus rakto), kurie buvo naudojami elektroniniam parašui sukurti, kontrolę.
- Pagal parašą turi būti galima nustatyti, ar prie jo pridedami duomenys buvo pakeisti po to, kai pranešimas buvo pasirašytas.
- Jei pridedami duomenys buvo pakeisti, parašas turi būti pripažintas negaliojančiu.
Kvalifikuotas elektroninis parašas
Kvalifikuotas elektroninis parašas - tai elektroninis parašas, atitinkantis ES reglamentą Nr. 910/2014 (eIDAS reglamentas) dėl elektroninių sandorių Europos vidaus rinkoje. Juo galima patikrinti deklaracijos autorystę keičiantis elektroniniais duomenimis ilgą laiką. Kvalifikuoti elektroniniai parašai gali būti laikomi skaitmeniniu parašų, parašytų ranka, atitikmeniu.
Kvalifikuotiems elektroniniams parašams naudojami skaitmeniniai sertifikatai, kuriuos išduoda akredituotos sertifikavimo įstaigos. Sertifikatas ir raktas saugiai saugomi, paprastai lustinėje kortelėje. Norėdamas gauti prieigą prie išmaniojoje kortelėje esančių duomenų, naudotojas turi autentifikuotis, paprastai naudodamas slaptažodį arba biometrinius duomenis. Sertifikavimo institucija taip pat patikrina, ar naudotojas yra tas, kuo prisistato, paprastai atlikdama kryžminį patikrinimą pagal oficialų, valstybės išduotą dokumentą.
Be punktų, išvardytų skiltyje "patobulintas elektroninis parašas", kvalifikuotas elektroninis parašas taip pat teisiškai identifikuoja pasirašiusį asmenį valdžios institucijose.
Klausimai ir atsakymai
K: Kas yra elektroninis parašas?
A: Elektroninis parašas - tai elektroninis dviejų šalių susitarimo įrašas, naudojamas parodyti, kad abi šalys dėl ko nors susitarė.
K: Kiek laiko egzistuoja elektroniniai parašai?
A.: Elektroniniai parašai pripažįstami nuo XIX a. vidurio bendrosios teisės jurisdikcijose, o faksu pasirašyti parašai - nuo XX a. devintojo dešimtmečio.
K: Kokiais būdais galima pasirašyti elektroniniu parašu?
A: Elektroniniam parašui galima naudoti skaitmeninius parašus, sertifikatus ir viešojo rakto kriptografijos hash kodus duomenims apsaugoti arba teisiškai identifikuoti sutikusį asmenį. Jame taip pat dažnai būna laiko žyma, rodanti, kada jis buvo sukurtas.
Klausimas: Ar yra konkretus formatas, kuris turi būti naudojamas elektroniniu parašu pasirašytiems duomenims?
Atsakymas: Ne, nėra reikalavimo, kad pasirašomi duomenys būtų konkretaus formato - jis gali būti naudojamas bet kokiems duomenims.
K: Ką teisiškai reiškia "elektroninis parašas"?
A: Teisiniu požiūriu "elektroninis parašas" turi kitokią reikšmę nei kriptografijoje vartojamas techninis terminas "skaitmeninis parašas". Daugelyje šalių tam tikros elektroninių parašų rūšys teisiniais tikslais laikomos lygiavertėmis ranka rašytiems parašams.
K: Ar yra standartų, kaip turėtų atrodyti elektroninis parašas?
A: Taip, daugelyje šalių yra nustatyti standartai, kaip toks parašas turi atrodyti, pavyzdžiui, eIDAS Europos Sąjungoje, NIST-DSS Jungtinėse Amerikos Valstijose arba ZertES Šveicarijoje.
Ieškoti