Kaip veikia elektroninis parašas 2026 metais

Įvadas

Elektroninis parašas šiandien yra pagrindinės įmonių skaitmeninės transformacijos esmė: 2025 metais daugiau nei 70% didelių Europos organizacijų jį integravimas į bent vieną sutarties procesą (šaltinis: Gartner, Digital Process Automation Survey 2025). Tačiau mažai yra sprendimus priimančiųjų, kurie tiksliai suprastų mechanizmus, dėl kurių jis yra juridiškai galiojantis ir techniškai nepranašingas. Suprasti kaip techniškai veikia elektroninis parašas — kriptografija, PKI, sertifikatai — leidžia pasirinkti tinkamą sprendimą, sumažinti teisinius rizikus ir pagreitinti vidinį diegimą. Šis straipsnis jus vadovauja, žingsnis po žingsnio, per techninę architektūrą ir standartus, kurie reguliuoja elektroninį parašą 2026 metais.

---

Elektroninio parašo kriptografiniai pagrindai

Elektroninis parašas remiasi patikrintomis kriptografinėmis primityvomis. Supratus mechanizmus, galima suprasti, kodėl jis yra patikimesnis nei skanituota rašytinis parašas.

Asimetrinis šifravimas: viešoji ir privati raktas

Pagrindinį principą sudaro asimetrinė kriptografija, išvesta 1970-aisiais ir standartizuota algoritmais, tokiais kaip RSA (Rivest–Shamir–Adleman) arba elipsinės kreivės (ECDSA). Kiekvienas pasirašantysis turi du matematiniu ryšiu susijusias raktas:

• Privati raktas: saugiai saugoma pasirašantojo, saugiame įrenginyje (išmanioji kortelė, token HSM ar apsaugotas programinis modulis). Jis naudojamas parašui sukurti.
• Viešoji raktas: laisvai platinama, įtraukta į skaitmeninį sertifikatą. Jis naudojamas parašui patikrinti.

Saugumo principas remiasi skaičiavimo asimetrija: yra matematiškai paprasta patikrinti parašą viešąja raktu, bet praktiškai neįmanoma atkurti privatės rakto iš viešosios rakto (diskretinio logaritmo arba didelių sveikųjų skaičių faktorizacijos problema).

Maišos funkcijos: dokumento skaitmeninis atspaudas

Prieš pasirašant, sistema apskaičiuoja dokumento kriptografinį atspaudą naudodama maišos funkciją (SHA-256 arba SHA-3 2026 metais). Šis atspaudas, vadinamas hash arba kondensatu, yra fiksuoto dydžio simbolių eilutė (256 bitai SHA-256), kuri unikaliai reprezentuoja dokumento turinį.

Esminė savybė: pakeitus net vieną simbolį dokumente, susidaro radikaliai skirtingas heš. Tai garantuoja pasirašyto dokumento vientisumą: bet koks pakeitimas po pasirašymo yra iš karto aptinkamas.

Pats elektroninis parašas yra todėl šio hešo šifravimas su pasirašantojo privačia raktu. Tikrinant, gavėjas:

1. Iššifruoja parašą viešąja raktu, kad atkurti originalų hešą;
2. Pats peršaičiuoja gauto dokumento hešą;
3. Lygina šiuos du: jei identiški, parašas galiojantis.

---

Viešoji rakto infrastruktūra (PKI): pasitikėjimo grandinė

Vien kriptografija nepakanka: taip pat reikia įrodyti, kad viešoji raktas iš tikrųjų priklauso asmeniui, kuris teigia jį naudojaminiu. Tai yra PKI (Public Key Infrastructure) – Viešosios rakto infrastruktūra – vaidmuo.

Sertifikavimo institucijos (CA)

Sertifikavimo institucija (CA) yra akredituota pasitikėjimo tretieji asmenys, kurie išduo skaitmeniniai sertifikatai. Skaitmeninis sertifikat yra standartizuotas failas (X.509 formatas) su:

• Titularo tapatybė (vardas, organizacija, el. paštas);
• Jo viešoji raktas;
• Galiojimo laikas;
• Pačios CA skaitmeninis parašas.

Europoje kvalifikuotos CA yra išvardintos Patikimų sąrašuose, kuriuos skelbia kiekviena ES valstybė narė pagal eIDAS reglamentą. Prancūzijoje šį sąrašą skelbia ir prižiūri ANSSI. Kvalifikuoti pasitikėjimo paslaugų teikėjai (QTSP) — kaip CertSign, Certigna arba Universign — yra per reguliarūs auditus pagal standartą ETSI EN 319 401.

Sertifikavimo grandinė ir panaikinimas

PKI veikia pagal hierarchinį modelį:

• Šaknies CA (Root CA), kuri yra savasta pasirašyta, saugoma neprisijungioje sistemoje su maksimaliomis fizinės saugumo sąlygomis;
• Tarpinės CA, kurios išduo paslaugų naudotojų sertifikatai.

Sertifikatų panaikinimas yra kritiniu mechanizmu: jei privati raktas yra kompromituota, CA paskelbti jos negaliojamumą per CRL (Certificate Revocation List) arba per OCSP (Online Certificate Status Protocol) protokolą, leidžiantį realiuoju laiku patikrinti.

Dėl eIDAS reglamento sąlygų bei kvalifikuoto elektroninio parašo, privati raktas turi būti generuota ir saugoma QSCD (Qualified Signature Creation Device) – sertifikuotame įrenginyje CC EAL4+ arba aukščiau, tokiame kaip išmani kortelė arba HSM (Hardware Security Module).

---

Trys parašų lygiai pagal eIDAS

Europos reglamentas eIDAS nuo 2014 m. (ir jo tolesnis eIDAS 2.0 einant) apibrėžia tris parašų lygius, kiekvienas remiasi mažėjančiais techniniais garantijomis. Norėdami geriau suprasti šią nuostatinę sistemą, žiūrėkite mūsų išsamaus vadovo apie eIDAS reglamentą.

Paprastas elektroninis parašas (SES)

Paprastas parašas yra mažiausiai su reikalavimais remtas techniškai. Jis gali būti tokia paprasta kaip žyminimo langelis, OTP kodas (One-Time Password) siunčiamas SMS, arba rašytinio parašo vaizdas. Jis nebūtinai reikalinga kvalifikuoto sertifikato.

Tipinis naudojimas: pasiūlymų patvirtinimas, marketing sutikimai, mažos rizikos sutartys.

Rizika: ribota įrodymo vertė ginant. Pareiga įrodyti to, kuris naudojasi parašu.

Išplėstinis elektroninis parašas (AdES)

Išplėstinis parašas atitinka keturis tiksliai apibrėžtus techninius reikalavimus (26 straipsnis eIDAS):

1. Jis yra unikaliai susietas su pasirašytoju;
2. Jis leidžia identifikuoti pasirašytojų;
3. Jis yra kuriamas naudojant duomenis, kurie yra tik pasirašytojo kontroliavimo;
4. Jis leidžia aptikti bet kokius pasikeitimus po dokumentu.

Praktikoje tai reikalinga asmeninio skaitmeninio sertifikato ir tvirtų autentifikavimo mechanizmo. Standartiniai formatai yra apibrėžti ETSI: PAdES (PDF), XAdES (XML), CAdES (dviejis duomenimis) ir JAdES (JSON), visi standartizuoti ETSI EN 319 100 serijoje.

Kvalifikuotas elektroninis parašas (QES)

Kvalifikuotas parašas yra aukščiausias lygis. Jis reikalinga:

• Kvalifikuotą sertifikatą, išduotą akredituoto QTSP eIDAS pagalba;
• QSCD parašo kūrimui.

Jis naudojasi teisine gali aukšto standarto patikimumą ir juridinę ekvivalentiją su rašytiniu parašu visoje Europos Sąjungoje (25 straipsnis eIDAS). Tai yra būtinas lygis autentikaliosios elektroninės aktos, kai kuriems notariniai aktos arba jautrūs viešiuose pirkimuose.

Mūsų elektroninio parašo sprendimų palyginimas analizuoja praktines skirtumus tarp šių lygių, kad jums padėtume pasirinkti.

---

Pilnas elektroninio parašo procesas žingsnis po žingsnio

Štai kaip iš tiesų vyksta elektroninio parašo operacija SaaS platformoje, tokioje kaip Certyneo:

1 žingsnis: dokumento paruošimas ir siuntimas

Parašo iniciatorius nusiunčia dokumentą (sutartis, papildymas, užsakymo forma) į platformą. Sistema iš karto sugeneruoja dokumento originalaus failo SHA-256 hešą, kuris yra laiko ženklu pažymėtas ir išsaugomas neublogimai. Šis atspaudas bus naudojamas bet kokiam ateities patikrinimui.

2 žingsnis: pasirašytojo autentifikacija

Pagal pasirinktą parašo lygį, autentifikacija skiriasi:

• SES: el. paštas + parašo nuoroda;
• AdES: stipri autentifikacija (OTP SMS, mobilioji FIDO2 programa);
• QES: pirmesnė tapatybės patikra (asmeniškai arba vaizdo IDV), kvalifikuoto sertifikato išdavimas vienalaikiam arba pastoviam naudojimui.

3 žingsnis: kriptografinės parašo kūrimas

Pasirašantysis suaktyvina parašo veiksmą. Platforma (arba QSCD):

1. Apskaičiuoja dokumento hešą;
2. Šifruoja šį hešą su pasirašytojo privačia raktu;
3. Integruoja parašą ir sertifikatą į dokumentą (PDF parašytas PAdES-LTV formatu ilgalaikiam saugojimui).

4 žingsnis: kvalifikuotas laiko ženklas

Kvalifikuota laiko ženklo paslauga (TSA) atitinkanti RFC 3161 standartą prideda kriptografinį timestamp, įrodantį, kad parašas egzistavo konkrečiu metu. Tai apsaugo nuo datos falsifikavimo ir garantuoja įrodomąją vertę laikui — net jei pasirašytojo sertifikas vėliau baigia galioti.

5 žingsnis: įrodomasis archyvavimas

Pasirašytas dokumentas archyvuojamas su visate audito bėgiu: pasirašytojo tapatybę, IP adresą, laiko žymenį, dokumento hešą, naudotus sertifikatus. Šis įrodymo failas (audit trail) yra esminis teisinio ginčo atveju. eIDAS atitinkamos sprendimai išsaugo šias žinias PAdES-LTV (Long-Term Validation) formate, kuris integruoja patvirtinimo duomenis, leidžiančius patikrinti parašą metų po pasirašymo.

Kad suprastumėte, kaip integruoti šį procesą į savo HR srautus, atskleiskite mūsų HR elektrinės parašo sprendimas ir mūsų parsiuntinamus sutarties šablonai.

Elektroniniam parašui taikomas teisinis reguliavimas

Elektroninis parašas patenka į daugiasluoksnės norminės sistemos sritį, harmonizuojančią nacionalinę teisinę sistemą ir Europos harmonizuotą teisę.

Prancūzijos civilinis kodeksas

Straipsnis 1366 Civilinio kodekso nustato pagrindinį principą: "Elektroninis raštas turi tą pačią įrodymo galią kaip raštas popierinėje formoje, su sąlyga, kad galima būtų tinkamai identifikuoti asmenį, iš kurio jis išplaukia, ir jis buvo sukurtas bei saugomas tokiomis sąlygomis, kurios garantuoja jo vientisumą." Straipsnis 1367 paaiškina, kad elektroninis parašas "susideda iš patikimo identifikavimo procesą naudojimo, garantuojančio jo ryšį su akta, prie kurio jis pridedamas".

Dekretas nr. 2017-1416 nuo 2017 m. rugsėjo 28 d. apibrėžia patikimumą eIDAS atitinkanti sertifikuotų parašu.

eIDAS reguliacija nr. 910/2014

eIDAS (electronic IDentification, Authentication and trust Services) – yra pagrindinė Europos skaitmeninės pasitikėjimo teisės akmuo, nustatanti vieningą elektroninio parašo, elektroninio antspaudų, kvalifikuoto laiko žymėjiimo, rekomenduojamų paslaugų ir tinklalapio autentifikavimo sertifikatų teisini rėmį. Jo 25 straipsnis, 2 dalis, suteikia elektroniniam parašui teisini hipotezę apie ekvivalentiją su rašytiniu parašu visoje ES.

Reguliacija eIDAS 2.0 (kurios transpozicija vyksta 2026 m. pirmu ketvirčiu) sustiprina šias nuostatas europine skaitmeninės tapatybės portfeliu (EUDIW) ir išplečia reikalavimus finansų paslaugų ir sveikatos rinkoms.

ETSI standartai

Parašu formatai yra standartizuoti ETSI:

• ETSI EN 319 132 (XAdES), EN 319 122 (CAdES), EN 319 102 (PAdES) apibrėžia iš išplėstini parašu profilus;
• ETSI EN 319 421 reguliuoja kvalifikuotu laiko žymėjimo paslaugų politikas.

GDPR ir duomenų apsauga

Asmeninio identifikaavimo duomenų (vardas, el. paštas, biometrija tapatybės patvirtinimui) apdirbimas elektroninio parašo kontekste yra taikoma GDPR nuo 2016/679. Duomenų valdytojai turi: turėti teisinį pagrindą (teisėti interesai arba sutarties vykdymas), taikyti duomenų minimumo principą ir garantuoti saugumą tinkamomis techninėmis priemonėmis (šifravimas, pseudonimizacija).

NIS2 direktyva

NIS2 direktyva (2022/2555/UE), kurią į Prancūzijos teisę transponavo nuo 2024 m. spalio mėn., nustato esminių paslaugų operatoriams ir skaitmeninio paslaugų teikėjams (įskaitant elektroninio parašo teikėjus) sustiprintas kibernetinio saugumo, rizikos valdymo ir incidento skelbimo per 24 valandas pareigas. Neatitiktis gali nulemti baudas iki 10 milijonų eurų arba 2% pasaulio apyvartos.

Konkretūs elektroninio parašo naudojimo scenarijai

Scenarijus 1: verslo advokačių kontora automatizuoja mandato parašus

Advokačių kontora, turinti apie dvylika bendradarbių, vidutiniškai apdorojo 120 atstovo mandatų per mėnesį. Popierinę procedūrą reikėjo spaudinti, siųsti paštu ar perduoti asmeniškai, o tada skaityti grąžintus dokumentus — sukeliant vidutinį 4,5 darbo dienos delsa per bylą ir maždaug 8% dokumentų praradimo rodiklį.

Diegdami išplėstinį elektroninį parašą (AdES) su OTP autentifikacija, kontora sumažino parašo delsa iki mažiau nei 4 valandų vidutiniškai, sumažino dokumentų anomalijų rodiklį iki mažiau nei 1% ir sutaupė apytiksliai 2 200 eurų per metus pašto ir spausdinimo išlaidas. Automatiškai sugeneruota audito bėgis taip pat paaiškėjo dvi mandato ginčo bylas, pateikiant nesutartiną laiko žymėjimo įrodymą. Atskleiskite mūsų sprendimą juridinėms įstaigoms.

Scenarijus 2: mažoji pramės įmonė digitalizuoja savo tiekėjo sutartis

Pramės mažoji verslas, tvarkyti apie 200 tiekėjo sutartis per metus (bendrų pirkimo sąlygos, tarifų pakeitimai, NDA) patyrė parašo delsa gali viršyti tris savaites tarptautinio bendradarbiavimo su partneriais Vokietijoje ir Ispanijoje. Teisinių sistemų skirtumai ir abipusio negrąžinimo nebuvimas atidėlė derybas.

Priėmę kvalifikuotą elektroninį parašą (QES), išduotą akredituoto QTSP eIDAS pagalba, pripažinto visoje ES, mažoji verslas naudojosi automatinio teisinio įgyvendinimo trimis šalimis be papildomos legalizacijos. Vidutinė tarptautinio parašo delsa sumažėjo nuo 18 dienų iki 2,5 dienos. Apie elektroninį parašą versle išsamiai supažindinkite šias naudas pirkimų komandos.

Scenarijus 3: ligoninės grupė apsaugo pacientų informuotą sutikimą

Apie 800 lovų ligoninės grupė turėjo gauti pacientų informuotą sutikimą klinikinės tyrybos protokolams. Popierinė valdyma kūrė GDPR atitikties rizikas (blogai archyvuoti dokumentai, netracebi datos) ir mobilizavo sveikatos darbuotojus administraciniam darbui.

Integruodami paprastą elektroninį parašą su SMS kodo identifikacija — pakankamą ne aukščiausiai reikalavimams – grupė automatizavo sutikimo rinkimą, archyvavimą ir traceabilumą. Administracinis laikas vienam pacientui sumažėjo nuo 12 minučių iki mažiau nei 2 minučių, atlaisvinant apytiksliai 800 sveikatos valandų per metus. Visi dokumentai archyvuoti su kvalifikuotu laiko žymiu, visapusiškai atitinkančią CNIL reikalavimus. Apie mūsų sprendimą sveikatos sektoriui sužinokite.

Apibendrinimas

Suprasti, kaip techniškai veikia elektroninis parašas — nuo asimetrinės kriptografijos iki PKI, nuo kvalifikuotų sertifikatų iki įrodymo laiko žymėjimo — yra būtina tinkamiems sprendimams dėl atitikties ir operacinės efektyvumo. Trys eIDAS lygiai (paprastas, išplėstinis, kvalifikuotas) atitinka skirtingus poreikius, ir pasirinkimas visada turėtų būti vadovaujamas teisinio riziko analize ir tikėtinos įrodymo vertės.

Certyneo jus lydi šiame perėjime su SaaS platforma, atitinkančia eIDAS, akredituotais QTSP ir supaprastinta integracija jūsų esamuose procesuose. Įvertinkite galimą grąžą jūsų organizacijai naudodami mūsų ROI skaičiuoklę elektroniniam parašui, arba pradėkite tiesiog konsultuodami mūsų pasiūlymus ir kainas. Atitiktis ir našumas nebe kompromisai.