PKI: Publiskās atslēgas infrastruktūra skaidrota

Ievads: kāpēc PKI ir digitālās uzticības pamatā

Pasaulē, kur katru dienu tūkstošiem līgumu tiek parakstīti tiešsaistē, rodas fundamentāls jautājums: kā pārliecināties, ka personas, kas paraksta, ir tieši tā, kuru viņa apgalvo, un ka dokuments pēc parakstīšanas nav mainīts? Atbilde ir trīs burti: PKI (Public Key Infrastructure, jeb publiskās atslēgas infrastruktūra latviski). Šis kriptografiskais mehānisms ir tehniskais pamats jebkuram elektroniskajam parakstam, kas atbilst eIDAS regulējumam. Šajā rakstā mēs detalizēti paskaidrojam PKI darbību, tās būtiskos komponentus — tostarp X.509 sertifikātus — un to, kā tā garantē jūsu digitālo juridisko aktu autentiskumu, integritāti un nenoliedzamību.

---

Kas ir PKI? Definīcija un fundamentālie principi

PKI (Public Key Infrastructure) apzīmē politiku, procedūru, aparatūras, programmatūras un personu kopumu, kas nepieciešams digitālo sertifikātu veidošanai, pārvaldīšanai, izplatīšanai, izmantošanai, glabāšanai un atcelšanai. Tas balstās uz asimetrisko kriptografiju, tas ir, matemātiski saistītu atslēgu pāra izmantošanu: privāto atslēgu (slepeņu) un publisko atslēgu (brīvi kopējamu).

Asimetrisku atslēgu pāra princips

Kad parakstītājs pievieno savu elektronisko parakstu dokumentam, viņš izmanto savu privāto atslēgu, lai ģenerētu faila unikālu kriptografisko nospiedumu (hash). Šis nospiedums, šifrēts ar privāto atslēgu, veido ciparu parakstu. Jebkura trešā puse var pēc tam pārbaudīt šī paraksta autentiskumu, izmantojot parakstītāja atbilstošo publisko atslēgu. Ja pārbaude izdevās, tiek izveidotas divas garantijas:

• Autentiskums: tikai privātās atslēgas turētājs varētu radīt šo parakstu.
• Integritāte: dokuments nav mainīts kopš parakstīšanas.

RSA algoritms (Rivest-Shamir-Adleman) paliek visizplatītākais, ar 2048 vai 4096 bitu atslēgām. Eliptisko līkņu algoritmi (ECDSA) iegūst ievērību savu veiktspējas dēļ ar līdzīgu drošības līmeni.

Uzticības problēma un PKI atbilde

Asimetriskā kriptografija atrisina integritātes problēmu, bet uzreiz rada citu jautājumu: kā zināt, ka publiskā atslēga patiešām pieder personai, kuru viņa apgalvo pārstāvēt? Tieši šeit ienāk PKI. Tā ievieso uzticams trešo pusi — Sertifikātu iestādi (AC) — kas pārbauda publiskās atslēgas turētāja identitāti un izsniedz ciparu sertifikātu, garantējot šo saikni.

---

PKI būtiskie komponenti

Darbotā publiskās atslēgas infrastruktūra izkārtojas ap vairākos savstarpēji atkarīgos komponentiem. Viņu atsevišķa loma ir svarīga, lai novērtētu elektroniskās parakstīšanas risinājuma robustumu.

Sertifikātu iestāde (AC vai CA)

Sertifikātu iestāde ir PKI centrālā struktūra. Viņa ciparu paraksta izsniedtos sertifikātus, piesaistoši pārbaudītu identitāti publiskajai atslēgai. Eiropā kvalificētās AC parādās uz nacionālajiem uzticības sarakstiem (Trusted Lists), publicētiem saskaņā ar eIDAS regulējuma 22. pantu. Francijā to vada ANSSI. Pakalpojumu sniedzēji, piemēram, CertEurope, Certinomis vai Certigna, tur figurē.

Sertifikācijas hierarhija veido uzticības ķēdi: saknes AC (Root CA) paraksta starpposma AC, kas paraksta gala lietotāju sertifikātus. Šī arhitektūra ļauj ierobežot saknes atslēgas izkliedēšanu (glabāta bezsaites režīmā HSM) un granulāri pārvaldīt atcelšanas.

Reģistrācijas iestāde (AE vai RA)

Reģistrācijas iestāde pārbauda prasītāju identitāti pirms AC izsniedz sertifikātu. Šī pārbaude var būt:

• Tiešumā (nepieciešama eIDAS kvalificētajiem sertifikātiem).
• Attālumā caur video-identifikāciju, kas atbilst ETSI EN 319 401 normām.
• Caur eKYC procesu (elektronisks jūsu pazīšanas process) starpposma uzticības līmeņiem.

Ciparu sertifikāti X.509

X.509 formāts ir starptautisks standarts, kas nosaka ciparu sertifikātu struktūru PKI. Noteikts ar UIT-T un pieņemts ar IETF caur RFC 5280, X.509 sertifikāts ietver, jo sevišķi:

• Turētāja identitāti (vārdu, organizāciju, e-pastu).
• Turētāja publisko atslēgu.
• Izdevējac AC identitāti un parakstu.
• Sertifikāta derīguma periodu.
• Unikālo sērijas numuru.
• Paplašinājumus: atļautus izmantojumus (koda parakstīšana, autentifikācija, dokumentu parakstīšana), CRL izplatīšanas punktus, OCSP URL.

Elektroniskā paraksta jomā, kas kvalificēta ar eIDAS, kvalificēti X.509 sertifikāti jāizsniedz uz kvalificēta paraksta izveides ierīces (QSCD), parasti smarckarte vai HSM (Hardware Security Module).

Atcelšanas mehānismi: CRL un OCSP

Sertifikāts var kļūt spēkā nepamatots pirms iestāšanās: privātās atslēgas zaudēšana, kompromitēšana, turētāja statusa izmaiņa. Divi mehānismi ļauj pārbaudīt derīgumu reālajā laikā:

• CRL (Certificate Revocation List): periodiskajā veidā publicēts saraksts, kurā uzskaitīti atcelto sertifikātu AC.
• OCSP (Online Certificate Status Protocol, RFC 6960): protokols, kas ļauj nekavējoši pārbaudīt sertifikāta stāvokli. Ieteicams vidē ar augstiem darījuma apjomiem.

Nopietnas elektroniskās parakstīšanas risinājumi, kā aprakstīts mūsu elektroniskās parakstīšanas risinājumu salīdzinājumā, vienmēr iekļauj šīs pārbaudes savā parakstīšanas plūsmā.

---

Kā PKI konkrēti pasargā elektronisko parakstīšanu

Elektroniskā paraksta pilnā priekšstata, kas atbalstīts ar PKI, ļauj izmērīt piedāvātās garantijas līmeni.

Parakstīšanas process soli pa solim

1. Dokumenta jaucēšana: jaucēšanas algoritms (SHA-256 vai SHA-3 saskaņā ar ANSSI 2026 ieteikumiem) rada dokumenta unikālu ciparu nospiedumu.
2. Nospieduma šifrēšana: parakstītājs šifrē šo nospiedumu ar savu privāto atslēgu (glabāta QSCD). Šī darbība nekad neatstāj drošo ierīci.
3. Paraksta paketes izveide: šifrētais paraksts tiek saistīts ar dokumentu, kopā ar parakstītāja X.509 sertifikātu un kvalificētu laika zīmi.
4. Pārbaude saņemtāja pusē: saņemtājs (vai viņa programmatūra) atšifrē nospiedumu ar parakstītāja publisko atslēgu, pārrēķina dokumenta heš un salīdzina. Ja abi nospiedumi ir identisks, paraksts ir derīgs.

Trīs eIDAS parakstu līmeņi un viņu saikne ar PKI

eIDAS regulējums noraida trīs elektroniskā paraksta līmeņus, katrs par prasību vienmērīgi vai arvien dziļāk iesaistīt PKI:

• Vienkāršs elektroniskais paraksts (SES): ne vienmēr atbalstīts uz PKI. Ierobežota pierādījuma vērtība.
• Paplašināts elektroniskais paraksts (AdES): obligāti balstīts uz atslēgu pāri un parakstītājam saistītu sertifikātu. ETSI standartizēti tehniskie formāti: XAdES, PAdES, CAdES.
• Kvalificēts elektroniskais paraksts (QES): augstākais līmenis, juridisks ekvivalents roku parakstam visā ES. Prasa kvalificētu sertifikātu, ko izsniedz AC no uzticības saraksta, un QSCD. Tā ir pilnā kvalificētas PKI ieviešana.

Uzņēmumiem, kas vēlas visos apjomos ieviešt kvalificētu parakstu, mūsu vadlīnijas par elektronisko parakstīšanu uzņēmumā detalizē operacionālo ieviešanas soļus.

Kvalificēta laika zīme: PKI laika dimensija

PKI neierobeţojās tikai identitātei: tā garantē arī aktu laika dimensiju caur kvalificētu laika zīmi (RFC 3161). Uzticama laika zīmes pakalpojuma (TSA) iestāde izsniedz kriptografisku pilnvaru, sertificējot, ka dokuments pastāvēja savā tagadējā formā precīzā laika momentā. Tas ir svarīgs ilgtermiņa pierādījuma glabāšanai un dokumentu glabāšanas juridisko pienākumu atbilstību (Code de commerce 110-4. pants: 5 gadi komercaktiem; Code civil 2224. pants: 5 gadi parasto līgumobligāciju sapņiem).

---

PKI un ilgtermiņa uzticības: pierādījuma saglabāšanas jautājums

Šodien derīgs paraksts var kļūt nepiemērojams 10 gadus vēlāk, ja izmantotie kriptografiskie algoritmi ir kļuvuši novecojuši vai sertifikāti ir beiguši derīgumu. PKI uzskata šo jautājumu caur ilgtermiņa pierādījumu paraksta formātiem.

Ilgtermiņa AdES formāti

ETSI noteica pagarinātus paraksta profilus — XAdES-LTA, PAdES-LTA, CAdES-LTA — kas sertifikātā iekapsulē visus nepieciešamos pierādījumus nākotnei: pilnīgas sertifikātu ķēdes, arhivētās OCSP atbildes, daudzkārtējas laika zīmes. Šie formāti atbilst ETSI EN 319 132 (XAdES) un ETSI EN 319 122 (CAdES) normām.

Kriptografiskā migrācija, pretstatā kvantu skaitļošanai

Kvantu datorika parādīšanās vidējā termiņā rada draudus pašreizējiem RSA un ECDSA algoritmiem. NIST amerikāņu 2024. gadā pabeigusi pirmos post-kvantu kriptografijas standartus (CRYSTALS-Dilithium parakstiem). ANSSI un ENISA strādā ar migrācijas plānu kartēm, kas varētu konkretizēties eIDAS normas revīzijās 2028.–2030. gada periodā. Uzņēmumi, kas paļaujas uz labi pārvaldītu PKI, būs labāk pozicionēti šīs pārejas laikā, jo sertifikātu iestāžu atjaunošana ir vieglāka nekā individuālu kriptografisko sistēmu pārbūve.

Tiem, kas novērtē savu pašreizējo risinājumu, Certyneo elektroniskā paraksta ROI kalkulators ļauj objektificēt ieguvumus no industrializētās PKI infrastruktūras.

Pieņemamais juridiskais rāmis PKI un elektroniskajam parakstam

Publiskās atslēgas infrastruktūra nav tikai tehniskais mehānisms: tā atrodas Eiropas un nacionālajā noteikumos, kuru apzināšana ir obligāta jebkurai organizācijai, kas vēlas paļauties uz elektronisko parakstu savu juridisko aktu ietvaros.

eIDAS Regulējums №910/2014 un tā attīstība

Pieņemts 2014. gada 23. jūlijā un spēkā stājies 2016. gada 1. jūlijā, regulējums (ES) №910/2014 (eIDAS) ir pamatteksts digitālai uzticībai Eiropā. Tas nosaka uzņemšanas prasības kvalificētiem uzticības pakalpojuma sniedzējiem (PSCQ), kvalificētiem sertifikātiem un QSCD ierīcēm. Viņa 26. pants nosaka prasības paplašinātajiem parakstiem; viņa 28. pants nosaka elektronisku parakstu sertifikātus; viņa pielikums I detalizē šo sertifikātu prasības — tieši atvasinātas no X.509 formāta.

eIDAS 2.0 Regulējums (Regulējums ES №1183/2024, publicēts JOUE 30. aprīlī 2024) nostiprina šo rāmjnormatīvu, jo sevišķi, prasot valstīm pamatot Eiropas ciparu identitātes maku (EUDIW) un paplašinot atzīšanas pienākumus privāto pakalpojumu sniedzējiem noteiktajos sektoros.

Franču Code civil: elektroniskā paraksta pierādījuma vērtība

Francijas tiesībās Code civil 1366. un 1367. pants (no 2016. gada 10. februāra ordonnance №2016-131) dod elektroniskajam parakstam tādu pašu vērtību kā roku parakstam, ar nosacījumu, ka tas atbilst parakstītāja identifikācijas un dokumenta integritātes prasībām. Uzticamības pieņēmums attiecas, ja paraksts ir veidots saskaņā ar eIDAS — tas ir, balstīts uz kvalificētu PKI.

1368. pants nosaka, ka šo uzticamības noteikšanas modalitātes ir noteiktas ar dekrētu, tas ir, dekrēts №2017-1416 no 2017. gada 28. septembra par elektronisko parakstu.

ETSI normas, kas piemērojamas PKI

• ETSI EN 319 401: vispārīgās prasības uzticības pakalpojuma sniedzējiem.
• ETSI EN 319 411-1 un -2: prasības AC, kas izsniedz kvalificētus sertifikātus.
• ETSI EN 319 132: XAdES specifikācijas paplašinātajiem XML parakstiem.
• ETSI EN 319 122: CAdES specifikācijas.
• ETSI EN 319 162: saglabāšanas un laika zīmes pakalpojumi.

GDPR un personīgie dati PKI ietvaros

X.509 sertifikāti satur personīgos datus (vārds, uzvārds, e-pasts, dažkārt nacionālais reģistrs). Viņu apstrāde pakļauta Regulējumam (ES) №2016/679 (GDPR). AC, jo sevišķi, jānosaka glabāšanas laiki atbilstoši, jāinformē turētāji un jāgarantē viņu tiesības. Sertifikāta atcelšana uz turētāja pieprasījumu ir praktiski veids viņa tiesību uz izdzēšanu īstenošanai (glabāšanas pienākumu ietvaros).

Atbildība un juridiskie riski

Nepareizi pārvaldīta PKI pakļauj uzņēmumu nopietnam riskam: parakstu pierādījuma vērtības apšaubīšana beigtie sertifikāti vai atcelti, neiespēja nākotnē pārbaudīt parakstu trūkstošo LTA formātu un potenciālā civiltiesiskā atbildība privāto atslēgu kompromitēšanas gadījumā. eIDAS 13. pants paredz, ka PSCQ atbildība ir saistīta, izņemot pretējus pierādījumus, par pienākumu pārkāpumiem.

Gadījumi praktiski: PKI darbības uzņēmumos

Gadījums 1 — Korporatīvs juridiskais birojs ar 25 darbinieku

Biroja, kas specializējies ar apvienošanām un pārņemšanām, vidējā gadā var vadīt 150 strukturētas operācijas, katra kurām obligāti parakstīt desmitiem dokumentu (protokoli, akcionāru nolīgumi, aktīva un pasīva garantijas). Agrāk, fizisko parakstu savākšanas aizkavēšana pagarināja closing par 5 līdz 8 darba dienām vidēji.

Izvietojot kvalificētas parakstīšanas risinājumu, kas atbalstīts ar kvalificētu PKI, biroj katra partija un autorizēts darbinieks saņem X.509 kvalificētu sertifikātu uz QSCD. Katrs paraksts tiek automātiski verificēts (OCSP), ar laika zīmi un saglabāts PAdES-LTA formātā. Rezultāts: closing parakstīšanas fāze nokrīt mazāk par 24 stundām, un maksimālā pierādījuma vērtība ir nodrošināta bez papildu pasākumiem. Šāda izmēra juridiskas biroji pārskatos norāda vidēji 70% administratīvā laika samazinājumu parakstam, saskaņā ar nozares etalonu (Federālā advokātu apvienība, 2025).

Gadījums 2 — MVU rūpnieciskais uzņēmums vadības 300 piegādātāju līgumus gadā

Ražošanas vidējā uzņēmuma aptuveni 250 darbinieki noslēdz kadra līgumus, grozījumus un pasūtījumus ar aptuveni simtu eiropas piegādātāju. Ģeogrāfiskā izkliedēšana un valodu šķēršļi padara dokumentu pārvaldību īpaši smaganu.

Integrējot elektroniskās parakstīšanas paplašinātu vadības sistēmu (AdES) caur API, kas savienota ar ERP, PKI automātiski pārbauda piegādātāja parakstītāju sertifikātus (caur eIDAS nacionāles uzticības saraksti), laika zīmi un pierādījumu mapes izveidi. Juridiskais dienests novēro 60% relances samazinājumu parakstu savākšanai un iespējamo līgumu domstarpību samazinājumu dokumenta versijas dēļ. Cena par parakstu nokrīt no 12 € (drukāšana, nosūtīšana, fiziskā saglabāšana) uz mazāk par 1,50 € ciparu plūsmā, atskaņoti Markess by Exaegis piedāvājumā dokumentu pārvaldības panorāmai 2025.

Gadījums 3 — Slimnīcu grupu publiski ar apmēram 1200 gultņiem

Veselības nozarē pārvaldības akti un iepirkumi jāīsteno atbilstoši Publiskas iepirkuma kodeksam un ANSSI ieteikumiem jutīgo IT sistēmu drošībai. Slimnīcu grupa ar vairākiem objektiem gadā paraksta simtus iepirkumu, grozījumu un darba līgumu.

Iekšējā PKI pieņemšana (AC aģenti, sertifikāti CPS kartēs medicīniskam personālam) apvienota ar pārvaldības aktu SaaS risinājumu elektroniskajai parakstīšanai atbilst NIS2 direktīvas prasībām (pārnesta francijas likumā 2024-449 no 21. maija). Pilnīga parakstu izsekošana, reāllaika sertifikātu pārbaude un LTA dokumentu saglabāšana samazina pārvaldības aktu apšaubīšanas risku un atvieglo Reģionālo aprēķinu palātas auditēšanu. Nozares objekti parasti novēro 40 līdz 50% papīra apjoma samazinājumu tikai HR, saskaņā ar ANAP datiem (Nacionālā veiktspējas atbalsta iestāde, pārskats 2024).

Secinājums

PKI — publiskās atslēgas infrastruktūra — ir daudz vairāk nekā tehnisks mehānisms: tā ir kriptografiskā un juridiskā garantija jūsu ciparu apmaiņas uzticībai. Viņas komponenti (AC, X.509 sertifikāti, OCSP, kvalificēta laika zīme) veido koherenti ekosistēmu, kas nodrošina jūsu elektronisko parakstu autentiskumu, integritāti un nenoliedzamību, pilnīgi atbilstoši eIDAS regulējumam un Code civil Francijai. Vai esat MVU, juridiska biroja vai publisks objekts, PKI pamatu apzināšana ļauj izvēlēties parakstīšanas risinājumu jūsu reālajām problēmām — un aizstāvēt tā pierādījuma vērtību tiesā, ja nepieciešams.

Certyneo balstās uz kvalificētu PKI, kas atbilst eIDAS, lai sniedztu paplašinātus un kvalificētus elektroniskus parakstus uzņēmumiem. Izveidojiet savu bezmaksas kontu vai uzziniet mūsu cenas, lai sāktu savu dokumentu transformāciju šodien.