Eesti

Digiallkirjastamine Smart-IDga

8. novembril 2018 uuendati Smart-ID süsteem QSCD tasemele (Qualified Signature Creation Device ehk kvalifitseeritud allkirjastamisvahend). See annab Smart-IDga antud elektroonilistele allkirjadele omakäelise allkirjaga võrdsustatud digiallkirja ehk QES-taseme.

Vastavalt e-identimise ja e-tehingute usaldusväärsuse seadusele loetakse digiallkirjaks ainult need elektroonilised allkirjad, mis vastavad eIDASega sätestatud kvalifitseeritud e-allkirja nõuetele. Eestis on Smart-IDle lisaks sellisteks allkirjastamisvahenditeks näiteks ID-kaart ja mobiil-ID.

Uuendus puudutab Smart-ID kasutajaid, kes on loonud oma konto või uuendanud seda pärast 8. novembrit 2018 (ja kelle allkirjastamissertifikaat sisaldab nüüd QCP-n-qscd poliisi).

eIDASe järgi on elektroonilised allkirjad jaotatud nelja erineva tasemega gruppi:

Elektrooniliste allkirjade tasemed

Muud elektroonilised allkirjad ehk kõik digitaalsete vahenditega antud e-allkirjad, mille vastavus kehtivatele standarditele on kontrollimata või tuvastamatu.

AdES (täiustatud e-allkiri ehk Advanced Electronic Signature). Allkiri vastab tehnilistele nõuetele, ent allkirjastaja ja/või sertifikaadi väljastaja taust võib olla teadmata.

Smart-ID Basic

AdES/QS (kvalifitseeritud sertifikaadiga täiustatud e-allkiri ehk Advanced Electronic Signature with a Qualified Certificate). Nii allkirjastaja kui sertifikaadi väljastaja taust on kontrollitud, ent puudub kontrollitav info allkirjastamisvahendi vastavuse kohta.

QES (Qualified Electronic Signature ehk kvalifitseeritud digiallkiri).
Elektrooniliste allkirjade kõige kõrgem, omakäelise allkirjaga võrdsustatud tase. See tähendab, et kontrollitud on nii allkirjastaja kui sertifikaadi väljastaja taust ning digiallkirja andmiseks on kasutatud kvalifitseeritud allkirjastamisvahendit.

Smart-ID

Sertifitseerimisnõuded QSCD taseme saavutamiseks

Elektroonilise allkirjastamise standardid on paika pandud Euroopa Parlamendi ja Euroopa Nõukogu määrusega (electronic IDentification, Authentication and trust Services), mida lühidalt eIDASeks nimetatakse.

QSCD taseme saavutamine eeldab, et usaldusteenuse pakkuja vastab organisatsioonina kõikidele eIDASes seatud eeltingimustele. Samuti peab toode ise, see tähendab allkirjastamisvahend, vastama eIDASega sätestatud nõuetele ehk olema tunnustatud kui remote QSCD süsteem.

Smart-IDd haldav SK ID Solutions (SK) sertifitseeriti TÜV Informationstechnik GmbH (TÜViT) poolt eIDASega defineeritud QSCD operaatoritele kehtivatele nõuetele vastavana 31. oktoobril 2018. Sertifitseerimisraportis leiad Smart-ID EID-SK usaldusteenuste juurest.

Smart-ID kui allkirjastamisvahendi tunnustamine

Üheks osaks EID-SK sertifitseerimisskoobist oli ka Smart-ID kui toote tunnustamine QSCD tasemel allkirjastamisvahendina. Sertifitseerimise viis läbi TÜViT ning 31. oktoobril 2018 tunnistatigi Smart-ID kui QSCD süsteem igakülgselt vastavaks eIDASe nõuetele (“Common Criteria for Information Technology Security Evaluation”, Version 3.1 Revision 5).

Tasub tähele panna, et EID-SK usaldusteenuse sertifitseerimise ajal oli Smart-ID kui toote tunnustamine remote QSCD vahendina võimalik tänu revisjoni positiivsele eelhinnangule, lõplik hindamisraport oli aga alles koostamisel. See tekitas olukorra, kus seaduslikult oleks saanud Smart-ID süsteemi QSCD tasemele uuendada juba 31. oktoobril 2018. Reaalne tehniline süsteemiuuendus viidi läbi aga 8. novembril 2018.

QSCD hindamisraportid ja sertifikaadid

Lõplikud hindamisraportid Smart-ID süsteemile ja selle komponentidele avaldati TÜViTi poolt.

Sertifikaadid ja raportid on ingliskeelsena kättesaadavad:

Samuti on Smart-ID lisatud EL liikmesriikide SSCDde (tembeldusvahendid) ja QSCDde (allkirjastamisvahendid) nimekirja. Nimekirja haldab Euroopa Komisjon: “Compilation of Member States notification on SSCDs and QSCDs” .