Kuidas elektrooniline allkiri 2026. aastal toimib

Sissejuhatus

Elektrooniline allkiri on tänapäeval ettevõtete digitaalse muutumise keskel: 2025. aastal on üle 70% suurtest Euroopa organisatsioonidest integreerinud selle vähemalt ühte lepingulisse protsessi (allikas: Gartner, Digital Process Automation Survey 2025). Sellegipoolest on harva otsustajaid, kes täpselt mõistavad mehhanisme, mis muudavad selle juriidiliselt kehtivaks ja tehniliselt võltsimisekindlaks. Elektroonilise allkirja tehnilise toimimise mõistmine — krüptograafia, PKI, sertifikaadid — võimaldab valida õige lahenduse, vähendada juriidilisi riske ja kiirendada sisemist omaksvõttu. See artikkel juhendab teid samm-sammult elektroonilise allkirja arhitektuuri ja 2026. aastal kehtivate standardite kaudu.

---

Elektroonilise allkirja krüptograafilised alused

Elektrooniline allkiri tugineb tõestatud krüptograafilistele primitiividele. Mehhanismide mõistmine tähendab kõige pealt seda, miks see on usaldusväärsem kui digitaliseeritud käsikiri.

Asümmeetriline šiffer: avalik ja privaatne võti

Fundamentaalse põhimõtte moodustab asümmeetriline krüptograafia, mis leiutati 1970. aastatel ja standardiseeriti algoritmide nagu RSA (Rivest–Shamir–Adleman) või elliptiliste kõverate (ECDSA) abil. Igal allkirjastajal on kaks matemaatiliselt seotud võtit:

• Privaatne võti: salajalt allkirjastaja poolt hoitud turvalisel seadmel (chipkaar, token HSM või kaitstud tarkvara moodul). Seda kasutatakse allkirja loomiseks.
• Avalik võti: vabalt jagatav, kaasatud digitaalsesse sertifikaati. Seda kasutatakse allkirja kontrollimiseks.

Turvasüsteem tugineb arvutuslikule asümmeetrial: matemaatiliselt on triviaalne allkirja kontroll avalik võtmega, kuid praktikas võimatu privaatse võtme rekonstrueerimine avalik võtmest (diskreetne logaritmi probleem või suurte täisarvude faktoriseerimine).

Räsifunktsioonid: dokumendi digitaalse jalajälje

Enne allkirjastamist arvutab süsteem krüptograafilise jalajälje dokumendist räsifunktsiooni abil (SHA-256 või SHA-3 2026. aastal). Seda jalajälge, mida nimetatakse hashiks või kokkuvõtteks, tähistab fikseeritud suurusega märkide jada (256 biti SHA-256 jaoks), mis esindab dokumenti sisust unikaalsel viisil.

Oluline omadus: ühe märgi muutmine dokumendis toob kaasa radikaalselt erineva hashi. See garanteerib allkirjastatud dokumendi terviklikkust: iga muudatus pärast allkirjastamist on koheselt avastatav.

Elektrooniline allkiri on seega selle hashi šifreerimine allkirjastaja privaatse võtmega. Kontrolli ajal saaja:

1. Dešifreerrib allkirja avalik võtmega, et leida originaalne hash;
2. Arvutab ise uuesti saadud dokumendi hashi;
3. Võrdleb kahte: kui identsed, on allkiri kehtiv.

---

Avaliku Võtme Taristu (PKI): usaldusketi

Krüptograafia üksi ei piisa: tuleb ka tõestada, et avalik võti kuulub tõesti isikule, kes seda väidab kasutavat. See on PKI (Public Key Infrastructure) ehk Avaliku Võtme Taristu roll.

Sertifitseerimiskeskused (CA)

Sertifitseerimiskeskus (CA) on akrediteeritud usalduskeskus, kes väljastab digitaalseid sertifikaate. Digitaalne sertifikaat on standardiseeritud fail (X.509 formaat), mis sisaldab:

• Sertifikaadi hoidja identiteeti (nimi, organisatsioon, e-post);
• Tema avalikku võtit;
• Kehtivusperioodi;
• CA enda digitaalse allkirja.

Euroopas on kvalifitseeritud CA-d loetletud Usaldusväärsete Loetelude poolt, mille avaldavad iga ELi liikmesriigi, vastavalt eIDAS määrusele. Prantsusmaal avaldab ja hooldab seda ANSSI. Kvalifitseeritud usalduseteenuste pakkujad (QTSP) — näiteks CertSign, Certigna või Universign — alluvad regulaarsetele audiitidele vastavalt standardile ETSI EN 319 401.

Sertifikaadi ahel ja tühistamine

PKI töötab hierarhilise mudeli alusel:

• Juurkeskus (Root CA) iseendale allkirjastatud, hoitud offlain-režiimis maksimaalse füüsilise turvalisusega;
• Vahesed CA-d, kes väljastamist lõppkasutajate sertifikaate.

Tühistamine sertifikaatidele on kriitilise tähtsusega mehhanism: kui privaatne võti on kompromiteeritud, avaldab CA selle invalideerimise CRL-i (Certificate Revocation List) kaudu või OCSP (Online Certificate Status Protocol) protokolli abil, mis võimaldab reaalajas kontrollimist.

EIDAS määruse kohaselt kvalifitseeritud elektroonilise allkirja jaoks peab privaatne võti olema genereeritud ja hoitud QSCD-s (Qualified Signature Creation Device) — sertifitseeritud riistvara CC EAL4+ või kõrgemal, näiteks chipkaar või HSM (Hardware Security Module).

---

Kolm allkirja taset vastavalt eIDAS määrusele

Euroopa määrus eIDAS nr 910/2014 (ja selle kaasaegne eIDAS 2.0 juurutamine) määratleb kolm allkirja taset, kumbki tugineb kasvavale tehnilisele tagatisele. Selle regulatiivse raamistiku paremaks mõistmiseks vaadake meie terviklikku juhist eIDAS määruse kohta.

Lihtne elektrooniline allkiri (SES)

Lihtne allkiri on tehniliselt kõige vähem piirav vormi. See võib olla nii elementaarne kui märkeruut, OTP-kood (One-Time Password), mis saadetud SMS-iga, või käsikirjalikku allkirja pilt. See ei nõua tingimata kvalifitseeritud sertifikaati.

Tüüpiline kasutamine: hinnapakkumiste kinnitamine, turunduskonsentid, madala riskiga lepingud.

Risk: tõenduslik väärtus on piiratud kohtuasja puhul. Tõendamise koorem lasub sellel, kes allkirja sissetoomist vaidlustab.

Täiustatud elektrooniline allkiri (AdES)

Täiustatud allkiri vastab neljale täpsele tehnilisele nõudele (eIDAS artikkel 26):

1. See on seotud allkirjastajaga ainulaadsel viisil;
2. See võimaldab allkirjastajat tuvastada;
3. See on loodud andmetest, mis on allkirjastaja eksklusiivselt kontrolli all;
4. See võimaldab avastada iga hilisemat dokumendi muudatust.

Praktikas tähendab see isikliku digitaalse sertifikaadi ja usaldusväärse autentimismehhanismi kasutamist. Standard formaadid on määratletud ETSI poolt: PAdES (PDF jaoks), XAdES (XML), CAdES (binaardata) ja JAdES (JSON), kõik standardiseeritud ETSI EN 319 100 seerias.

Kvalifitseeritud elektrooniline allkiri (QES)

Kvalifitseeritud allkiri on kõrgeim tase. See nõuab:

• Kvalifitseeritud sertifikaati, väljastatud eIDAS akrediteeritud QTSP-ga;
• QSCD-d allkirja loomiseks.

See nautsib õiguslikku eeldust usaldusväärsuse kohta ja juriidilise samaväärsuse kogu Euroopa Liidus käsitsi allkirjaga (eIDAS artikkel 25). See on tase, mis on nõutav elektrooniliste autentsete aktide, teatud notariliste aktide või tundlike avalike hangetute jaoks.

Meie elektrooniliste allkirja lahenduste võrdlus analüüsib nende tasemete praktilisi erinevusi, et aidata teil valida.

---

Elektroonilise allkirja täielik protsess samm-sammult

Siin on, kuidas Certyneo sellisel SaaS platvormil käib elektrooniline allkiri:

1. samm: dokumendi ettevalmistus ja saatmine

Allkirjastamise algataja laadib dokumendi (leping, lisa, ostuorder) platvormile üles. Süsteem genereerib kohe algse faili SHA-256 hash, ajatemplitega ja märkimatuks salvestatud. See jalajälg kasutatakse viitena kõigile tulevastele kontrollidele.

2. samm: allkirjastaja autentimine

Valitud allkirja tasemest sõltuvalt varieerub autentimine:

• SES: e-post + allkirja link;
• AdES: tugev autentimine (OTP SMS, FIDO2 mobiilirakendus);
• QES: eelne identiteedi kontroll (silmast silma või video IDV), kvalifitseeritud sertifikaadi väljastamine ühekordseks või püsivaks kasutuseks.

3. samm: krüptograafilise allkirja loomine

Allkirjastaja käivitab allkirjastamise akti. Platvorm (või QSCD):

1. Arvutab dokumendi hashi;
2. Šifreerrib selle hashi allkirjastaja privaatse võtmega;
3. Integreerib allkirja ja sertifikaadi dokumenti (PAdES-LTV formaadis allkirjastatud PDF pikaajalise säilitamise jaoks).

4. samm: kvalifitseeritud ajatemplitamine

Kvalifitseeritud ajatemplit teenuse (TSA) kooskõla RFC 3161-ga paigutab krüptograafilise ajamärgi, tõestades, et allkiri oli konkreetsel ajahetkel olemas. See kaitseb kuupäeva võltsimise eest ja garanteerib tõenduslikku väärtust ajas — isegi kui allkirjastaja sertifikaat hiljem aegub.

5. samm: tõendusliku arhiivimise

Allkirjastatud dokument arhiivitakse täieliku auditi jäljega: allkirjastaja identiteet, IP-aadress, ajatemplits, dokumenti hash, kasutatud sertifikaadid. See tõendite pakett (audit trail) on oluline kohtuasja puhul. eIDAS-iga kooskõlalised lahendused säilitavad neid tõendeid PAdES-LTV (Long-Term Validation) formaadis, mis sisaldab valideerimisandmeid, et võimaldada allkirja kontrollimist aastakaupa.

Mõistmaks, kuidas integreerida see protsess teie HR-voogudesse, avastage meie elektroonilise allkirja lahendus HR-le ja meie lepingu mallid alla laadimiseks.

Elektroonilisele allkirjale kohaldatav õiguslik raamistik

Elektrooniline allkiri on mitmetasandiline õiguslikul raamistikul, mis ühendab rahvuslikku tsiviilõigust ja Euroopa ühtlustatud õigust.

Prantsusmaa Tsiviilkoodeks

Tsiviilkoodeksi artikkel 1366 määrab põhimõttelise põhimõtte: „Elektroonilisel kujul dokumendil on sama tõenduslik jõud kui paberil, tingimusel et saab korralikult tuvastada isiku, kellelt see pärineb, ja dokument on loodud ning säilitatud nii, et garanteeritakse selle terviklikkus." Artikkel 1367 täpustab, et elektrooniline allkiri „seisneb usaldusväärse identifitseerimismeetodi kasutamises, mis garanteerib selle seotuse aktiga, millele ta on kinnitatud".

Dekreet nr 2017-1416 (28. september 2017) määratleb eelda sobilikust kvalifitseeritud ja täiustatud allkirjade jaoks, mis on eIDAS-iga kooskõlas.

eIDAS määrus nr 910/2014

Euroopa digitaalse usalduse õiguse nurk, eIDAS (electronic IDentification, Authentication and trust Services) määrus loob ühtlustatud õigusliku raamistiku elektroonikaliseks allkirjadeks, elektroonikaliseks pitseriteks, kvalifitseeritud ajatemplitaimiseks, sertifitseeritud saatmisteenusteks ja veebisaidi autentimise sertifikaatideks. Selle artikkel 25, punkt 2 andab kvalifitseeritud allkirjale õigusliku eelduse samaväärsust käsitsi allkirjaga kogu ELis.

eIDAS 2.0 määrus (juurutamine alates 2026. aasta 1. kvartalist) tugevdab neid sätted Euroopa digitaalse identiteedi rahakoti (EUDIW) ja laiendab kohustusi finantsteenuste ja tervishoiu teenuste turuks.

ETSI standardid

Allkirja formaadid on standardiseeritud ETSI poolt:

• ETSI EN 319 132 (XAdES), EN 319 122 (CAdES), EN 319 102 (PAdES) määratlevad täiustatud ja kvalifitseeritud allkirjade tehnilistele profiilid;
• ETSI EN 319 421 juhendab kvalifitseeritud ajateenuste poliitikad.

GDPR ja andmekaitse

Identiteeditoimingute töötlemine elektroonilise allkirja kontekstis (nimi, e-post, biomeetrilised andmed identiteedi kontrollimiseks) kuulub GDPR nr 2016/679 reguleerimisalale. Andmete haldajad peavad: omama õiguslikku alust (legitiimne huvi või lepingu täitmine), rakendama andmete minimeerimise põhimõtet ja tagama turvalisuse sobivate tehniliste abinõudega (šifreerimine, pseudonüümisus).

NIS2 direktiiv

NIS2 direktiiv (2022/2555/EL), mis on transponeeritud Prantsusmaa õigusesse alates oktoobrist 2024, seab oluliste teenuste operaatoritele ja digitaalse teenuse pakkujatele (sealhulgas elektroonilise allkirja pakkujatele) suurendatud kohustused küberjulgeoleku, riskide haldustuse ja juhtumite teatamise osas 24 tunni jooksul. Mittenõuetekohasus võib tuua trahvid kuni 10 miljoni euro või 2% maailmaweitse käibest.

Elektroonilise allkirja praktilised kasutusolukorrad

Olukord 1: äriliste advokaatide kabinet automatiseerib volituste allkirjastamist

Äriliste advokaatidega kabinet, kus töötab umbes kaksteist kaastöötajat, töötas keskmiselt 120 esindamise mandaati kuus. Paberipõhine protseduur nõudis trükkimist, postiga saatmist või käega andmist, seejärel tagastatud dokumentide digitaliseerimist — tekitades keskmise viivituse 4,5 tööpäeva kohta dossiee ja dokumentide kadumise määra umbes 8%.

Täiustatud (AdES) elektroonilise allkirja juurutamine OTP-autentimisega aitas kabinet vähendada allkirja viivitust alla 4 tunni keskmiselt, vähendada dokumenti anomaaliate määra alle 1%-ni ja säästa ligikaudu 2200 € aastas postikulu ja trükkimiskuludes. Automaatselt genereeritud auditi jälg lihtsustas ka kahte mandaadi vaidluse protseduuri, pakkudes ajatemplitatud vastupidavat tõestust. Avastage meie lahendus õigusbüroodele.

Olukord 2: VKE industriaalettevõte digitaliseerib müüja lepingud

VKE industriaalettevõte, juhib ligikaudu 200 müüja lepingut aastas (üldmüügi tingimused, tarifaalised lisa, NDA), oli silmitsi allkirjastamise viivitustega kuni kolme nädalat vahetatestransfrontaalsete lepingute jaoks partneritega Saksamaal ja Hispaanias. Erinevad õigussüsteemid ja vastastikune kohustus aeglustasid läbirääkimisi.

QTSP akrediteeritud kvalifitseeritud (QES) allkirja omaksvõtt, mida tunnustatakse kogu ELis, aitas VKE-d saada automaatset õigusliku tunnustuse kolmes riigis ilma täiendava legaliseerimiseta. Transfrontaalse allkirja keskmine viivitus langes 18 päevalt 2,5 päevani. Elektrooniline allkiri ettevõttes detailseid seesuguseid kasu ostutiimide jaoks.

Olukord 3: haiglate grupp turvab patsiendi informeeritud nõusoleku

Umbes 800 voodiga haiglate grupp pidi koguma patsiendilt informeeritud nõusolekut kliiniliste uurimuste protokollide jaoks. Paberipõhine haldamine tekitas GDPR-i vastavuse riske (halvasti arhiivitud dokumendid, jäljendamata kuupäevad) ja mobiliseeris meditsiini personali haldustöödele.

Lihtsa (SES) elektroonilise allkirja integreerimine koodiidentifikaatoriga SMS-i kaudu — piisav aktidele, mis ei nõua kvalifitseeritud taset — automatiseeris nõusolekute kogumise, arhiivimise ja jälgimise. Patsiendi hall aeg langes 12 minutilt alla 2 minuti, vabastades ligikaudu 800 meditsiini tundi aastas. Kõik dokumendid on arhiivitud kvalifitseeritud ajatemplitiga, rahuldades täielikult CNIL nõudeid. Avastage meie lahendus tervishoiule.

Kokkuvõte

Elektroonilise allkirja tehnilise toimimise mõistmine — asümmeetrilisest krüptograafiast PKI-ni, kvalifitseeritud sertifikaatidest tõendusliku ajatemplitamiseni — on hädavajalik eIDAS määrusest tulenevate otsuste tegemiseks. Kolm taseme (lihtne, täiustatud, kvalifitseeritud) vastavad erinevatele vajadusele ja valik peab alati olema juhitud õiguslikku riski ja oodatavat tõendusliku väärtuse analüüsi.

Certyneo aitab teid selles üleminekus eIDAS-iga kooskõlalise SaaS platvormi, akrediteeritud QTSP-de ja lihtsustatud integratsiooni abil teie olemasolevates protsessides. Hinnake oma organisatsiooni potentsiaalse kasuliku tulu meie ROI kalkulaatori elektroonilise allkirja abil, või alustage kohe meie pakkumiste ja hinnakirja konsulteerimisega. Vastavus ja jõudlus pole enam kompromiss.