PKI: Míreachtaíocht an Bhonneagair Eochair Phoiblí a Mhínithe

Réamhrá: cén fáth a bhíonn an PKI ag croílár an tsuiomh dhigitigh

I ndomhan ina bhíonn na milliúin conarthaí á síniú go leictreonach gach lá, ardaítear ceist bhunúsach: conas a bheith cinnte go bhfuil an duine atá á síniú mar atá sé/sí ina dhaingean go bhfuil sé/sí, agus go raibh an doiciméad nach ndearnadh a athrú tar éis sínithe? Is é an freagra ná trí litir: PKI (Public Key Infrastructure, nó Bonneagar Eochair Phoiblí i nGaeilge). Is é an gléas cripteolaíochta seo bonn teicniúil gach sínithe leictreonacha a bhíonn inchuimsithe faoi rialachán eIDAS. Sa alt seo, míníonn muid go mion conas a oibríonn an PKI, a páirteanna riachtanacha — lena n-áirítear tánistí X.509 — agus an bealach a bhíonn aici ag ráthú thréithe na fíoranúnachas, na slánachta agus nach ndéanfaidh siad a dhéanadh ar bhall as do ghníomhartha dlíthíochta dhigitigh.

---

Céard is PKI ann? Sainmhíniú agus prionsabail bhunúsacha

Tugann PKI (Public Key Infrastructure) ainmneacha ar shraith de bheartas, nósanna imeachta, bhonnstoc, bhogearraí agus daoine a bhíonn riachtanach chun tánistí dhigitacha a chruthú, a bhainistiú, a dháileadh, a úsáid, a stóráil agus a thabhairt ar ais. Braitheann sé ar an chripteolaíochta neamhshiméadrach, is é sin, an t-úsáid a bhaint as péire eochair a bhíonn ceangailte go matamaiticiúil: eochair phríobháideach (rúnda) agus eochair phoiblí (inroinneoirí go saor).

Prionsabal an péire eochair neamhshiméadrach

Nuair a leagann sínitheoir sínithe leictreonach ar dhoiciméad, úsáideann sé/sí a eochair phríobháideach chun rian cripteolaíochta uathúil an chomhaid a ghiniúint (hash). Déantar an rian seo a chur i ngrinneall leis an eochair phríobháideach, is agus déantar an sínithe dhigitigh a chur i láthair. Is féidir le duine ar bith a bhailíochtaíonn an sínithe seo ar bhonn an eochair phoiblí a fhreagartha don tsinitheoirthear dhá ráthaíonn a dhéanamh:

• Fíoranúnachas: ní raibh ann ach an tabhair ar an eochair phríobháideach atá in ann an sínithe seo a dhéanamh.
• Slánachta: ní raibh an doiciméad modhnaithe ó shínithe sé.

Is é an algartam RSA (Rivest-Shamir-Adleman) an ceann is forleathan, le heochracha de 2 048 nó 4 096 ghiotán. Tá halgartaim ar dhroicheallacha éilipseach (ECDSA) ag fáil tslí ar a bharr don shlándáil ar leibhéal coibhéise.

An fhadhb iontaoibhe agus an freagra ó na PKI

Réitíonn chripteolaíochta neamhshiméadrach an fhadhb ar an slánachta ach ardaíonn sé ceist eile láithreach: conas is féidir a bheith cinnte go bhfuil an eochair phoiblí i bhfoinse an duine ar bhfuil sé/sé ina léiriú? Seo an pointe ar a dtugann an PKI. Tugann sé isteach páirtí eile muinín — an Údarás Tairbhithe (AC) — a bhailíochtaíonn aithint an tabhair ar an eochair phoiblí agus a eisiúnn tániste dhigitach ina ráthaíonn an nasc seo.

---

Na páirteanna riachtanacha d'PKI

Braitheann bonneagar eochair phoiblí atá ag obair timpeall ar go leor páirteanna a bhíonn ag brath ar a chéile. Tuigbheáil ar a ról ar leith a bheith ag gealadh ar dhúchas réiteach sínithe leictreonaigh.

An tÚdarás Tairbhithe (AC nó CA)

Is é an tÚdarás Tairbhithe an t-eintiteas lár an PKI. Síníonn sé go dhigitach na tánistí ina eisiúnn sé, ag ceangal dúchas a bhí bailíochtaithe le eochair phoiblí. San Eoraip, tá AC a bhíonn ar thairbhithe ar liostaí muinín náisiúnta (Trusted Lists), ar fhoilsigh siad i gcomhréir le alt 22 ó rialachán eIDAS. I bhFrainc, is é an ANSSI a bhainistíonn an liosta seo. Tá gréine cosúil le CertEurope, Certinomis nó Certigna air.

Déanann slabhra tairbhithe foirm ar dhromchla na tairbhithe: síníonn AC fréamh (Root CA) AC idirmheánach, agus síníonn siad tánistí d'úsáideoirí deireanacha. Ligeann an ailtireacht seo dúinn a chur ar fhondúirí fríd an eochair fréamh (stóráilte taobh amuigh de líne i HSM) agus a bhainistiú go grábhálach.

An tÚdarás Clárúcháin (AE nó RA)

Tá an tÚdarás Clárúcháin freagrach as aithint iarratasóirí a bhailíochtú sula eisiúnn an AC tániste. Is féidir an fhíoranúnachas seo a bheith:

• Anseo os comhair a chéile (ag teastáil do thánistí a bhíonn ar thairbhithe i gcomhréir le eIDAS).
• Ó bhéal i bhfad ar shiúl trí fhíoraithint de ghuth in aghaidh na dtíre ETSI EN 319 401.
• Trí phróiseas eKYC (Eolais do Chustaiméir ar Leictreonach) do leibhéal muinín idirmheánach.

Tánistí dhigitacha X.509

Is é an fhormáid X.509 an tionscadal idirnáisiúnta a shainmhíníonn an struchtúr na dtánistí dhigitacha i PKI. Sainmhínithe ag an UIT-T agus glactha ag an IETF trí RFC 5280, tá i dtániste X.509:

• Aithint an tabhair (ainm, eagraíochta, ríomhphost).
• An eochair phoiblí an tabhair.
• Aithint agus sínithe an AC a rinne an eisiúint.
• An tréimhse bailíochta an tániste.
• An uimhir shraith uathúil.
• Na síntí: úsáidí a bhíonn ceadaithe (sínithe an chóid, fíoranúnachas, sínithe doiciméad), pointí dáileáin CRL, URL OCSP.

I gcomhthéacs na sínithe leictreonacha a bhíonn ar thairbhithe eIDAS, caithfidh tánistí X.509 a bhíonn ar thairbhithe a bheith eisiúint ar ghléas a bhíonn ar thairbhithe chun sínithe a dhéanamh (QSCD), ar a thugtar ar ghréine nó ar HSM (Hardware Security Module).

An fheidhm thabhairt ar ais: CRL agus OCSP

D'fhéadfadh tániste a bheith neamhbhailí sula rithfidh sé in amach: cailleadh an eochair phríobháideach, comhbhádh, nó athrú ar bharrna an tabhair. Tugann dhá fheidhm deis a bhailíochtú an bailíochta i bhfíor-am:

• CRL (Certificate Revocation List): liosta arna fhoilsithe go tréimhsiúil ag an AC a bhí ag tarraingt siar an tánistí.
• OCSP (Online Certificate Status Protocol, RFC 6960): prótacal a bhí ag ceadú breatnaithí ar an bharn tániste ar bhonn an bhréig. Níor rogha i dtimpeallacht ar oscailt ar an socrú.

Tá an soláthroichí sínithe leictreonacha sériosais, ar a fhéad a thuigeáint i ár dhréachtachán de na réitigh sínithe leictreonacha, ag ionchorprú go sistéamach ar na fíoranúnachas seo i rianú a sínithe.

---

Conas a bhíonn an PKI ag cosaint an sínithe leictreonacha i ndóigh chruinn

Tuigbheáil ar rianú teicniúil sínithe leictreonacha ar bhonn PKI a bhí ag ceadú go ndéanfaidh mé a thomhas ar leibhéal ráthúchán a thairbhítear.

An próiseas sínithe céim ar chéim

1. Ag gealadh an doiciméid: algartam ag gealadh (SHA-256 nó SHA-3 i gcomhréir le molúchán ANSSI 2026) a bhí ag táirgí rian uathúil an doiciméid.
2. Chun an rian a chur i ngrinneall: sínitheoir a chur i ngrinneall an rian seo leis an eochair phríobháideach (stóráilte i QSCD). Ní bhíonn an oibríochta seo ag imeall an ghléas slándáil.
3. Ag cruthú an phacáid sínithe: tá an sínithe chur i ngrinneall ceangailte don doiciméad, i gcomhpháirt le tániste X.509 an tsinitheoirthear agus ag an am a bhí ar thairbhithe.
4. Ag fíoranúnachas ar an taobh cinn: an glacadóir (nó a réiteach bogearraí) a bhí ag decrypt an rian leis an eochair phoiblí an tsinitheoirthear, athríomh an hash an doiciméid a fuair agus a thomhas. Má bhítear ar an dá rian chomhionann, tá an sínithe bailí.

Trí leibhéal de shínithe eIDAS agus a gcaidreamh leis an PKI

Dhealraíonn an rialachán eIDAS trí leibhéal de shínithe leictreonacha, ar a bheag a bhí ag déanamh níos mó nó níos lú ar a bhraistint ar an PKI:

• Sínithe leictreonacha simplí (SES): nach bhfuil ar thairbhithe ar PKI. Luach probant teoranta.
• Sínithe leictreonacha fhorbartha (AdES): ag brath go bhfuil ar an PKI. Fómáidí teicniúla a bhí ag normáil ETSI: XAdES, PAdES, CAdES.
• Sínithe leictreonacha a bhíonn ar thairbhithe (QES): an leibhéal is airde, coibhéiseach dlíthiúil don sínithe lámh i ngach ER. Ag iarraidh thániste a bhí ar thairbhithe arna eisiúint ag AC muinín ar Trusted List agus ar QSCD. Is é seo an fhás iomlán ar PKI ar thairbhithe.

I gcomhair na ngnóthaí ar a bhraistint a bhí a dhéanamh ar an sínithe ar thairbhithe ar mór-scála, déanann ár treoir ar sínithe leictreonacha i ngnothaí cur síos ar na céimeanna ar oibríochtúil.

An t-am a bhí ar thairbhithe: gné ama an PKI

Ní bhíonn an PKI teoranta le haithint: ráthuíonn sé freisin ar an gné ama ar ghníomhartha trí am a bhí ar thairbhithe (RFC 3161). Eisiúnn seirbhís am muinín (TSA) dúch a chriopteolaíochta ina ráthuíonn sé go raibh doiciméad ann faoin fhoirm reatha ar an toirt ar leith. Tá sé seo fíor-thábhachtach ar an chosaint ar fhad fad ar fhianaise agus an gealadh ar dlíocha ar cosaint doiciméada (alt L.110-4 Code de commerce: 5 bliana do ghníomhartha trádála; alt 2224 Code civil: 5 bliana do dhualgas conarthaí ar an cheartlíonn choiteann).

---

PKI agus muinín ar fhad: an ghéarchéim a choimeádann an fhianaise

D'fhéadfadh sínithe a bheith bailí inniu ach a bheith do-bhailíochtaithe i 10 mbliana má tá an algartaim chripteolaíochta a bhí i úsáid tar éis a bheith imeallaithe nó má bhí tánistí tar éis a bheith roimhe. Tá an PKI ag déanamh ar an ghéarchéim seo trí fhómáidí sínithe ar luach probant ar fhad fad.

Na fómáidí AdES ar fhad fad beo

Shainmhínígh an ETSI páipéir sínithe sínithe — XAdES-LTA, PAdES-LTA, CAdES-LTA — ina bhíonn foluain go fúthu fhianaise ar fhad: slabhraí iomlána tánistí, freagraí OCSP stóráilte, ama go leor. Tá na fómáidí seo i gcomhréir leis an tionscadal ETSI EN 319 132 (XAdES) agus ETSI EN 319 122 (CAdES).

An imirce chripteolaíochta os coinne an ríomhaire quantum

Is bagairt mheanthréimhse an teacht ar ríomhaireacht quantum ar an algartaim RSA agus ECDSA atá ann anois. Bhí an NIST Meiriceánach socraithe go críochnaí i 2024 ar a chéad thoirmeasc ar chripteolaíochta tar éis an quantum (CRYSTALS-Dilithium ar sínithe). Tá an ANSSI agus an ENISA ag obair ar na bealaí ar thalrú ar imirce ar bhraistint ar 2028-2030. Beidh gnóthaí ar bhraith ar PKI ar bhainistiú go maith níos fearr-geal don imirce seo, mar is é an nuashonrú ar údaráis thairbhithe níos éasca ná an athfhoirmithe ar fhaidhb dhigitach ad hoc.

I gcomhair an té ar a bhraistint ar an réiteach reatha, an áirimheoirí ROI sínithe leictreonach de Certyneo a bhí ag ceadú na ngearrbhuntáiste ar bhraith ar infreastruchtúr PKI fhorbartha.

Fráma dlíthiúil ar infheidhmiú ar PKI agus sínithe leictreonacha

Ní bhíonn an bonneagar eochair phoiblí ar ghléas teicniúil amháin: fásann sé i dfrámaithe dlíthiúla Eorpach agus náisiúnta dlúthchéimnithe, agus a rialú a bheith riachtanach ar fhíor-eagraíochta ar a bhraistint ar sínithe leictreonacha ar a ghníomhartha dlíthiúla.

An rialachán eIDAS uimh 910/2014 agus a evolúid

Glactha ar 23 Iúil 2014 agus infheidhmiúil ó 1 Iúil 2016, is é an rialachán (AE) n°910/2014 (eIDAS) an téacs bunaitheach ar muinín dhigitach san Eoraip. Sainmhíníonn sé na hiarratas ar thairbhithe a rinnefir seirbhísí muinín ar chéim inchomhairlí, ar thánistí ar thairbhithe agus ar QSCD. Socraíonn a alt 26 na coinníollacha ar chéim fhorbartha; sainmhíníonn a alt 28 tánistí ar thairbhithe ar sínithe leictreonacha; leabh a annála I na hiarratas ar na tánistí — go díreach ó fhormáid X.509.

Fhéadann an rialachán eIDAS 2.0 (rialachán AE n°1183/2024, foilsithe i JOUE ar 30 Aibreán 2024) an fhrámaithe seo a neartú ar bhraistint go léir ar Stát a raibh oibrí ar Phórtfhuille Aithint Dhigitach Eorpach (EUDIW) agus ar síntí ar na hiarratas ar thairbhithe ar na gréine seirbhísí príobháideacha i réimse a bhí teoranta.

An Code civil Francach: luach probant an sínithe leictreonacha

I ndlí Francach, thabhairt ar alt 1366 agus 1367 an Code civil (ó thóraigean n°2016-131 ar 10 Feabhra 2016) ar sínithe leictreonacha ar chéim chomhionann le sínithe lámh, ar a choinníoll go rianúilí siad ar bhearta soláthraithí aithint an tsinitheoirthear agus ar slánachta doiciméada. An bharrthabhacht ar an inbhuanaitheacht a bhí a fheidhmiu nuair atá an sínithe ar cruthú i gcomhréir le próiseas ar thairbhithe i gcomhréir le eIDAS — is é sin, ar bhraistint ar PKI ar thairbhithe.

Socrú an alt 1368 go bhfuil an modúla ar bhunú ar an inbhuanaitheacht ar socrú ag dréachtú i gComhairle an Stáit, is é sin, an tráchladh n°2017-1416 ar 28 Meán Fómhair 2017 ar sínithe leictreonacha.

Tionscadal ETSI ar infheidhmiú ar PKI

• ETSI EN 319 401: na hiarratas ar thairbhithe ar oibreoirí seirbhísí muinín.
• ETSI EN 319 411-1 agus -2: na hiarratas ar ACs ar eisiúint tánistí ar thairbhithe.
• ETSI EN 319 132: sonraíochtaí XAdES ar sínithe fhorbartha XML.
• ETSI EN 319 122: sonraíochtaí CAdES.
• ETSI EN 319 162: seirbhísí ar choimeádaint agus ar am.

GDPR agus faisnéis ar dhuine i PKI

Tá tánistí X.509 i bhfaisnéis ar dhuine (ainm, sloinne, ríomhphost, corraithe uimhir ar chlár náisiúnta). Tá a gcáilí ar bhraistint ar rialachán (AE) n°2016/679 (GDPR). Caithfidh ACs go háirithe dá dháil ar aimsir a bhí i gcomhréir, faisnéis ar thabhair agus a raibh deimhniú ar an fheidhm a bhí ar thairbhithe. Tá an thabhairt ar ais tániste ar iarratas an tabhair ar cheann de na módhanna praiticiúla ar fheidhm an cheart ar scriosadh (faoi theorainn an dualgas ar chosaint fhianaise).

Freagracht agus baol dlíthiúil

Ligeann PKI ar bhainistiú go dona ar eagraíochta ar bhagairt sériosais: beagarthacht ar luach probant sínithe i gcás tánistí ar roimhe nó ar thabhairt ar ais, easpa ar bhailíochtaíu ar sínithe ar fhad fad i faill an fómáidí LTA, agus freagracht sibhialta a bhí ag fás i gcás choimheádaint ar eochracha príobháideacha. Leabh an alt 13 ar eIDAS go bhfuil freagracht na PSCQ ar thairbhithe ar shuí ar chor is nach raibh fianaise ann go raibh faill ar a bhraistint ar dualgas.

Tóir úsáide: an PKI ar bhraistint i ngnothaí

Tóir úsáide 1 — Oifig dlí ar bheartas ar 25 chomhbhiogadóir

Tá oifig ar chur ar fheidhm ar fhiontar-gealadh ag bhainistiú ar dhóigh 150 oibríochtaí struchtúirt ar bhliain, ar a bhraistint ar sínithe na na dhosaoine doiciméid (prótacal, pacta d'actionnaires, ráthúcháin ar shócmhainní agus ar dhrochstad). Go dtí seo, bhí na fadaithe ar bhailiú sínithe fisiceacha ar síntí na dhu-5 ar 8 lá oibre ar dhóigh.

Ag cur in oiriúnacht réiteach sínithe ar thairbhithe ar bhraistint ar PKI ar thairbhithe, tugann an oifig do gach comhbhiogadóir agus ar comhbhiogadóir oiriúnach a bhí ar tainistí X.509 ar thairbhithe ar QSCD. Gach sínithe a bhí ag fíoranúnachas go huathoibríoch (OCSP), am agus ar stórachas ar fhormáid PAdES-LTA. Toradh: fásann an fadaithe dhu-bhais a bhí ag sínithe i bhfad níos lú ná 24 uair an chloig, agus an luach probant ar a bharr a bhí ar a chinntiú gan oibríochta bhreise. Tá an oifigí dlí ar a bhraistint ar a bhíonn ag tuairisciú ar dhóigh ar laghdú 70 % ar an am riartha ar bhraistint ar sínithe, i gcomhréir le benchmarks tíolacais (Fédération nationale des avocats d'affaires, 2025).

Tóir úsáide 2 — Gnothaí beaga ag bhainistiú 300 conarthaí bharraisteoir ar bhliain

Tá eagraíochta bharraidreamhaíochta ar méid idirmheánach (timpeall 250 fhostaithe) ag dáil conarthaí cadaim, avenants agus bona geal le timpeall céad bharraisteoir Eorpach. Bhí an scaipeadh geografach agus na bacainní theanga ag socrú ar bhainistiú doiciméada go raibh trom-obair ann.

Ag ionchorprú ar rianú sínithe leictreonacha fhorbartha (AdES) trí API ag gealadh ar ERP, bhí an PKI ag bhainistiú go huathoibríoch ar bhailíochtaíu na dtánistí ag obair barraisteoirí ar an taobh barraistir (trí Trusted Lists eIDAS ar gach Stát ball), ar am agus ar bhunú doilíonn fhianaise. Bhí an tseirbhís dlí ag breathnú ar laghdú 60 % ar thugann ar bhailiú sínithe agus ar laghdú ar chonarthaí ar bhraistint ar chonarthaí ar gach leagan. Bheidh an costas ar sínithe ar 12 € (priontáil, seachadadh, stórachas fisiceach) ar níos lú ná 1,50 € i sreabh dhigitach, i gcomhréir le na fáinne foilsithe ag Markess by Exaegis ar an phanórama 2025 ar bhainistiú doiciméada.

Tóir úsáide 3 — Grúpáil ospidéil phoiblí ar timpeall 1 200 leaba

I réimse na sláinte poiblí, caithfidh gníomhartha riartha agus fhiontar poiblí ar bhearta ar Code de la commande publique agus ar mholta ANSSI ar shláinte SI mothúcháin. Caithfidh grúpáil ospidéil ag bhainistiú ar go leor leabharlann a sínithe na céadta fhiontar, avenants agus conarthaí fhostaithe ar gach bliain.

Ag glacadh ar PKI inmheánach (CA ar leith ar gréine, tánistí ar CPS do phearsónra leighis) i gcomhpháirt le réiteach SaaS ar sínithe ar ghníomhartha riartha a bhí ag freagairt ar iarratas na treoracha NIS2 (ina bhí ar dhlí Francach ag an dlí n°2024-449 ar 21 Bealtaine 2024) ag socrú ar bhainistíoirí ar riosca sibheagachta. Bhí an rian iomlán ar sínithe, bhailíochtaíu ar an bharn tániste i bhfíor-am agus ar choimeádaint LTA doiciméada sínithe ar bhraistint ar laghdú ar bhagairt ar bhailíochtú gníomhartha agus ar éasúchán ar dhréachtachán an Chambre région des comptes. Bhí na leabharlann ar an réimse ag tuairisciú ar dhóigh ar laghdú 40 ar 50 % ar an toirt páipéir ar bhraistint ar an RH amháin, i gcomhréir le faisnéis an ANAP (Agence nationale d'appui à la performance, tuairim 2024).

Críoch

An PKI — bonneagar eochair phoiblí — a bhí i bhfad níos mó ná ghléas teicniúil: tá sé ar ráthúcháin chripteolaíochta agus dlíthiúil ar muinín i do chaitheamh dhigitach. A páirteanna (AC, tánistí X.509, OCSP, am ar thairbhithe) foirm ar eachosystem iomlán a bhí ag ráthúchán an fíoranúnachas, ar slánachta agus ar nach ndéanfaidh siad a dhéanamh ar do shínithe leictreonacha, i bhfallóg iomlán le rialachán eIDAS agus an Code civil Francach. Cé go bhfuil tú ina ghnothaí beaga, i bhfonn ar bharraisteoir nó ar leabharlann poiblí, tuig