PKI: avaliku võtme infrastruktuuri selgitus

Sissejuhatus: miks PKI on digitaalse usaldusväärsuse südamikus

Maailmas, kus miljoneid lepinguid allkirjastatakse iga päev veebis, tekib põhiküsimus: kuidas olla kindel, et allkirjastaja on see, kellena ta end esitab, ja et dokumenti ei ole pärast allkirjastamist muudetud? Vastus on kolmes tähes: PKI (Public Key Infrastructure ehk avaliku võtme infrastruktuuur). See krüptograafiline seade on iga eIDAS määrusega kooskõlas oleva kvalifitseeritud elektroonilise allkirja tehnilise aluse aluseks. Selles artiklis selgitame üksikasjalikult PKI-d, selle olulisi komponente — sealhulgas X.509 sertifikaate — ja seda, kuidas see tagab teie digitaalsete juriidiliste dokumentide autentsuse, terviklikkuse ja mitteeitamise.

---

Mis on PKI? Määratlus ja põhiprintsiibid

PKI (Public Key Infrastructure) tähistab poliitika, protseduuride, riistvara, tarkvara ja inimeste kogumit, mis on vajalik digitaalsete sertifikaatide loomiseks, haldamiseks, jagamiseks, kasutamiseks, salvestamiseks ja tühistamiseks. See põhineb asümmeetrilisel krüptograafial, st matemaatiliselt seotud võtmepaaride kasutamisel: privaatne võti (salajane) ja avalik võti (vabalt jagamistatav).

Asümmeetriliste võtmepaari põhimõte

Kui allkirjastaja kinnitab elektroonilise allkirja dokumendile, kasutab ta oma privaatset võtit, et luua faili kordumatu krüptograafiline jälg (räsi). See räsi, mis on krüpteeritud privaatse võtmega, moodustab digitaalse allkirja. Iga kolmas osapool saab seejärel kontrollida selle allkirja autentsust, kasutades allkirjastaja vastavat avalikku võtit. Kui kontroll õnnestub, kehtestakse kaks garantiid:

• Autentsus: ainult privaatse võtme omanik saab luua selle allkirja.
• Terviklikkus: dokumenti ei ole muudetud pärast allkirjastamist.

RSA (Rivest-Shamir-Adleman) algoritm jääb kõige levinumaks, millel on 2048 või 4096 bitti. Elliptiliste kõverate algoritmid (ECDSA) leiavad kasutust parema jõudluse tõttu samaväärsete turvatasemete juures.

Usaldusprobleem ja PKI lahendus

Asümmeetriline krüptograafia lahendab terviklikkuse probleemi, kuid tõstatab kohe teise küsimuse: kuidas teada, et avalik võti kuulub tõeliselt isikule, keda ta esindab? Täpselt siin tulevad mängu PKI. See tutvustab usaldusväärset kolmandat osapoolt — Sertifitseerimisasutust (CA) —, kes kontrollib avaliku võtme omaniku identiteeti ja väljastab digitaalse sertifikaadi, mis garanteerib selle seose.

---

PKI olulised komponendid

Operatiivne avaliku võtme infrastruktuur koosneb mitmetest omavahel seotud komponentidest. Nende vastava rolli mõistmine on oluline igasuguse elektroonilise allkirja lahenduse tugevuse hindamiseks.

Sertifitseerimisasutus (CA)

Sertifitseerimisasutus on PKI keskseks organisatsiooniks. See allkirjastab numbriliselt väljastatud sertifikaadid, ühendades seega kontrollitud identiteedi avaliku võtmega. Euroopas kuuluvad kvalifitseeritud CA-d riiklike usalduse nimekirjade hulka, mis avaldatakse kooskõlas eIDAS määruse artikli 22-ga. Prantsusmaal haldab seda nimekirja ANSSI. Pakkujad nagu CertEurope, Certinomis või Certigna figureerivad nimekirjas.

Sertifitseerimise hierarhia moodustab usaldusmärguse ahelad: juurCA (Root CA) allkirjastab vahepealsed CA-d, mis omakorda allkirjastavad lõppkasutajate sertifikaadid. See arhitektuur võimaldab piirata juurvõtme avalikustamist (mida hoitakse võrguvälisel HSM-is) ja hallata tühistamisi granulaarsel tasemel.

Registreerimisteenistus (RA)

Registreerimisteenistus vastutab taotlejate identiteedi kontrollimise eest, enne kui CA väljastab sertifikaadi. See kontroll võib olla:

• Silmast silma (nõutud ETSI EN 319 401-le vastavate kvalifitseeritud sertifikaatide jaoks).
• Kaugviisil videointervjuu kaudu vastavalt ETSI EN 319 401 standarditele.
• eKYC protsessi kaudu (elektroonilisest identiteedi kontrollimisest) vahepealste usalduse tasemete jaoks.

X.509 digitaalsed sertifikaadid

X.509 vorming on rahvusvaheline standard, mis määratleb PKI-s digitaalsete sertifikaatide struktuuri. IUT-T poolt määratletud ja IETF poolt RFC 5280 kaudu omaksvõetud, X.509 sertifikaat sisaldab nende hulgas:

• Sertifikaadi omaniku identiteedi (nimi, organisatsioon, e-post).
• Sertifikaadi omaniku avalikku võtit.
• Väljastaja CA-d ja allkirja.
• Sertifikaadi kehtivusperioodi.
• Unikaalse seerianumbri.
• Laiendused: lubatud kasutamisviisid (koodi allkirjastamine, autentimine, dokumentide allkirjastamine), CRL jaotuspunktid, OCSP URL.

eIDAS-e kvalifitseeritud elektroonilise allkirja kontekstis peab X.509 kvalifitseeritud sertifikaatide väljastamine toimuma kvalifitseeritud allkirja loomise seadmele (QSCD), tüüpiliselt nutikaarti või HSM-ile (Hardware Security Module).

Tühistamismehhanismid: CRL ja OCSP

Sertifikaat võib muutuda kehtetuks enne selle aegumist: privaatse võtme kaotus, ohustatus, omaniku staatuse muutumine. Kaks mehhanismi võimaldavad reaalajas kehtivust kontrollida:

• CRL (Certificate Revocation List): CA-d perioodiliselt avaldatav nimekiri, mis loetleb tühistatud sertifikaadid.
• OCSP (Online Certificate Status Protocol, RFC 6960): protokoll, mis võimaldab sertifikaadi staatuse kohest kontrollimist. Eelistatud kõrge tehingu sagedusega keskkondades.

Tõsised elektroonilise allkirja lahendused, nagu meie elektroonilise allkirja lahenduste võrdluses kirjeldatud, integreerivad need kontrollid süstemaatiliselt oma allkirja töövoogu.

---

Kuidas PKI praktikas elektroonilise allkirja turvab

Elektroonilise allkirja praktilise tee mõistmine, mida toetab PKI, võimaldab hinnata pakutava garantii taset.

Allkirjastamise samm-sammult protsess

1. Dokumentide räsimine: räsi algoritm (SHA-256 või SHA-3 vastavalt ANSSI 2026 soovitustele) loob dokumenti kordumatu digitaalse jälje.
2. Räsi krüpteerimine: allkirjastaja krüpteerib selle räsi oma privaatse võtmega (salvestatud tema QSCD-s). See operatsioon ei lahku kunagi turvalisest seadmest.
3. Allkirja paketi loomine: krüpteeritud allkiri seotakse dokumentiga, koos allkirjastaja X.509 sertifikaadi ja kvalifitseeritud ajamärgiga.
4. Kontrollimine vastuvõtja poolel: saaja (või tema tarkvaralahendus) dekrüpteerib räsi allkirjastaja avaliku võtmega, arvutab vastuvõetud dokumendi räsi ümber ja võrdleb. Kui kaks räsi on identsed, on allkiri kehtiv.

Kolm eIDAS allkirja taset ja nende seos PKI-ga

EIDAs määrus eristab kolme elektroonilise allkirja taset, igaüks, mis hõlmab rohkem või vähem PKI-le tuginemist:

• Lihtne elektroonilne allkiri (SES): ei ole tingimata PKI-s kinnitatud. Piiratud tõendusväärtu.
• Täiustatud elektroonilne allkiri (AdES): tugineb kohustuslikult võtmepaarile ja allkirjastajaga seotud sertifikaadile. Normaliseeritud ETSI tehnilised vormingud: XAdES, PAdES, CAdES.
• Kvalifitseeritud elektroonilne allkiri (QES): kõrgeim tase, juriidiliselt samaväärne käsitsi kirjutatud allkirjaga kogu ELs. Nõuab usaldusväärse CA-d väljastatud kvalifitseeritud sertifikaati, mis on registreeritud Usalduse nimekirjas, ja QSCD-d. See on kvalifitseeritud PKI täielikul kasutusel.

Ettevõtetele, kes soovivad juurutada kvalifitseeritud allkirja suurel skaalal, meie juhend ettevõtte elektroonilisest allkirjast detailiseerib operatiivse juurutamise etappe.

Kvalifitseeritud ajamärk: PKI ajaline dimensioon

PKI ei piirdu identiteediga: see tagab ka dokumentide ajalist dimensiooni kvalifitseeritud ajamärgistamise kaudu (RFC 3161). Usaldusväärne ajamärgiservir (TSA) väljastab krüptograafilise märgi, mis kinnitab, et dokument oli olemas selle praegusel kujul kindlal ajal. See on oluline pikaajaliseks tõendusväärtuse säilitamiseks ja juriidiliste dokumendi säilitamisnõuete täitmiseks (art. L.110-4 Äriseadustik: 5 aastat kaubandusaktide jaoks; art. 2224 Tsiviilseadustik: 5 aastat lepingute kohustuste jaoks).

---

PKI ja pikaajaline usaldusväärsus: dokumenttõendite säilitamise väljakutse

Täna kehtiv allkiri võib saada 10 aasta pärast verifitseerimataks, kui kasutatavad krüptograafilised algoritmid on vananenud või sertifikaadid aegunud. PKI arvestab selle väljakutsega pikaajalise tõendusväärtu allkirjavormingute kaudu.

Pikaajalised AdES vormingud

ETSI määratleb laiendatud allkirja profiile — XAdES-LTA, PAdES-LTA, CAdES-LTA —, mis sisaldavad allkirjastatud failis tuleviku verifikatsiooniks vajalikud tõendid: täielikud sertifikaadi ahelad, arhiveeritud OCSP vastused, mitmed ajamärgid. Need vormingud vastavad standardile ETSI EN 319 132 (XAdES) ja ETSI EN 319 122 (CAdES).

Krüptograafiline migratsioon kvantarvutuse silmapaistvuse

Kvantarvutuse tekkimine kujutab keskmist ohtu RSA ja ECDSA algoritmidele. USA NIST lõpetas 2024. aastal oma esimesed post-kvant-krüptograafias standardid (CRYSTALS-Dilithium allkirjadele). ANSSI ja ENISA töötavad migratsioonikavasid, mis peaksid tegelikkuseks saama eIDAS määruse revisioonides 2028-2030. Hästi hallatud PKI-le tuginevad ettevõtted on selle üleminekuks paremini positsioneeritud, sest sertifitseerimisasutuste uuendamine on lihtsam kui adhoc-krüptograafiliste süsteemide täielik ümberplaneerimine.

Neile, kes hindavad oma praegust lahendust, Certyneo ROI kalkulaator elektroonilise allkirja jaoks võimaldab objektiivistada tõusu industrialiseeritud PKI infrastruktuurist.

PKI ja elektroonilise allkirjaga seotud õiguslik raamistik

Avaliku võtme infrastruktuur ei ole ainult tehniline seade: see on osa tihedast euroopa ja rahvuslikust õiguslikust raamistikust, mille valdamine on oluline iga organisatsiooni jaoks, kes soovib tugineda elektroonilisele allkirjale oma juriidilistes dokumentides.

eIDAS määrus nr 910/2014 ja selle areng

Vastu võetud 23. juulil 2014 ja jõustunud 1. juulil 2016, määrus (EL) nr 910/2014 (eIDAS) on Euroopa digitaalse usaldusväärsuse alusdokument. See määratleb nõuded kvalifitseeritud usaldusteenus pakkujatele (PSCQ), kvalifitseeritud sertifikaatidele ja QSCD seadmetele. Selle artikkel 26 määrab täiustatud allkirja tingimused; artikkel 28 määratleb kvalifitseeritud sertifikaadid elektroonilisele allkirjale; lisa I detailiseerib nende sertifikaatide nõudeid — otseselt tuletatud X.509 vormingust.

eIDAS 2.0 määrus (määrus (EL) nr 1183/2024, avaldatud ELT 30. aprillil 2024) tugevdab seda raamistikku nõudes liikmesriikidelt tunnustada Euroopa digitaalse identiteedi rahakotti (EUDIW) ja laiendades tunnustamise kohustusi era teenuste pakkujatele määratud sektorites.

Prantsusmaa tsiviilseadustik: elektroonilise allkirja tõendusväärtu

Prantsusmaa õiguses annavad tsiviilseadustiku 1366. ja 1367. artiklid (pärit määrusest nr 2016-131, 10. veebruarist 2016) elektroonilisele allkirjale sama väärtuse kui käsitsi kirjutatud allkirjale, tingimusel, et see vastab allkirjastaja identifikatsioonile ja dokumentide terviklikkusele nõutavaid nõudeid. Usaldusväärsuse eeldus kehtib, kui allkiri on loodud eIDAS määruse mõttes kvalifitseeritud protseduuri kaudu — st tuginedes kvalifitseeritud PKI-le.

Artikkel 1368 näeb ette, et selle usaldusväärsuse kehtestamise viisid määratakse dekreediga Riigis Nõukogu, nimelt dekrööp nr 2017-1416, 28. septembrist 2017, elektroonilise allkirja kohta.

PKI-le kohaldatavad ETSI standardid

• ETSI EN 319 401: üldised nõuded usaldusteenus pakkujatele.
• ETSI EN 319 411-1 ja -2: nõuded CA-dele, kes väljastasid kvalifitseeritud sertifikaate.
• ETSI EN 319 132: XAdES spetsifikatsioonid täiustatud XML-allkirjade jaoks.
• ETSI EN 319 122: CAdES spetsifikatsioonid.
• ETSI EN 319 162: säilitamis- ja ajamärgistamisteenused.

GDPR ja isikuandmed PKI-s

X.509 sertifikaadid sisaldavad isikuandmeid (nimi, perekonnanimi, e-post, vahel rahvusrehistri numbrit). Nende töötlemine on kehtiv määrus (EL) nr 2016/679 (GDPR). CA-d peavad eelkõige määrama vastavuse säilitamise kestuse, informeerima sertifikaadi omanikke ja garanteerima nende õiguste kasutamise võimalust. Sertifikaadi tühistamine omaniku taotluse alusel on praktiliseks viisiks õigusele äramärkimisele (kustutamise õigusele) tuginemiseks jälgitavate piirangutega.

Vastutus ja juriidilised riskid

Halvasti haldatud PKI seab ettevõtte tõsisele riskile: allkirjade tõendusväärtu kestustamine aegunud või tühistatud sertifikaatide tõttu, pikaajaline allkirja verifimatuse võimatus LTA-vormingute puudumisest ja võimalik tsiviilkohustus privaatse võtme ohustuse korral. eIDAS artikkel 13 täpsustab, et PSCQ-d vastutavad kuni vastupidise tõendini nende kohustuste mittetäitmise eest.

Kasutusjuhud: PKI tegevuses ettevõtetes

Juhtum 1 — 25-liikmeline äriõiguse kabinet

Spetsialiseerunud ühinemis-ja omandamiste kabinetis hallatakse keskmiselt 150 struktureeritud operatsiooni aastas, igaüks nõudmas mitme kümne dokumendi allkirjastamist (protokollid, aktsionäride kokkulepped, garantii lepingud). Varem pidasid füüsiliste allkirjade kogumise viivitused suletuse perioodi pikendada 5-8 tööpäevaga.

Juurutades kvalifitseeritud allkirja lahendust, mis toetub kvalifitseeritud PKI-le, määrab kabinet igale võimusoleva associatsioonile ja koostöölisele X.509 kvalifitseeritud sertifikaadi QSCD-s. Igat allkirja kontrollitakse automaatselt (OCSP), märgitakse ajaga ja arhiivitakse PAdES-LTA vormingus. Tulemus: suletuse allkirjaetapp jääb alla 24 tunni, ja maksimaalne tõendusväärtu tagatud ilma lisatoiminguta. Seda suurusega õiguskabinettid teatavad keskmiselt 70% vähendamist administratiivsetele allkirjadega seotud ajakulusse vastavalt tööstuse võrdlusandmetele (Riiklik õigusbüroo föderatsioon, 2025).

Juhtum 2 — PMI tööstusettevõte, kes hallab 300 tarnija lepingut aastas

Üks suurettevõte (umbes 250 töötajat) sõlmib raamepaktid, muudatused ja ostutellimused, mis on siduv sajale euroopa tarnijale. Geograafiline dispersioon ja keelebarjäärid muutsid dokumentide haldustööd eriti raskeks.

Integreeritud elektrooniline allkirja töövoog (AdES) API kaudu, mis on ühendatud oma ERP-ile, haldab PKI automaatselt tarnija allkirjastajate sertifikaatide kontrollimist (iga liikmesriigi eIDAS Usalduse nimekirjade kaudu), ajamärgistamist ja tõendusabide koostaamist. Õigusteenistus märkab 60% vähendamist allkirja kogumise jälgimisele ja vähemat lepinguliste vaidlusi tühjenduse erinevustest. Maksumus allkirja kohta langeb 12 € juurest (trükk, saatmine, füüsiline arhiivimine) vähem kui 1,50 € numbrilises voolus, vastavalt Markess by Exaegise panoraamale dokumentide halduse kohta 2025.

Juhtum 3 — Avalik haiglarühm umbes 1200 vooditega

Tervishoiusektoris peavad administratiivsed aktid ja hanked vastama avaliku hanke seadustikule ja ANSSI soovitustele tundliku IT-süsteemi turvalisuse kohta. Mitme asutuse juhtimisel oleval haiglarühmal peab igal aastal allkirjastama sadade hanketega, muudatusi ja töölepinguid.

Sisemise PKI kasutuselevõtt (agentidele pühendatud CA, CPS kaardide sertifikaadid meditsiini personalile) koos administratiivsete dokumentide allkirja SaaS-lahendusega võimaldab täita NIS2 direktiivi nõudeid (transponeeritud Prantsusmaa õigusse seadusega nr 2024-449, 21. mai 2024), mis kohustab küberturvalisuse riskide juhtimistavasid. Digitaalsete allkirjade täielik jälgitavus, sertifikaatide reaalajas kontroll ja dokumentide LTA säilitamine väldivad administratiivsete aktide ohjeid ja hõlbustavad piirkondlike arvendustega auditeid. Sektori asutused juhivad tavaliselt 40–50% paberimahu vähendamist HR-s üksi vastavalt ANAP andmetele (avaliku tulemuslikkuse agentuuri aruanne, 2024).

Kokkuvõte

PKI — avalike võtmete infrastruktuur — on palju enamat kui lihtsalt tehniline seade: see on teie digitaalse suhtlemise krüptograafiline ja õiguslik garantii. Selle komponendid (CA, X.509 sertifikaadid, OCSP, kvalifitseeritud ajamärk) moodustavad sidusa ökosüsteemi, mis tagab teie elektrooniliste allkirjade autentsust, terviklust ja keeldumist, täielikult kooskõlas eIDAS määruse ja Prantsusmaa tsiviilseadustikuga. Olgu te PMI, õiguskabinet või avalik asutus, PKI aluste valdamine võimaldab teil valida oma tegelike väljakutsetega kohandatud allkirja lahenduse — ja kaitsta selle tõendusväärtu vastuolude korral.

Certyneo tugineb eIDAS-ga vastavale kvalifitseeritud PKI-le, et pakkuda ettevõtetele täiustatud ja kvalifitseeritud elektronilisi allkirju. Looge tasuta konto või avastage meie hinnad, et alustada oma dokumentide muutumist täna.