E-allkirjal on mitmeid riske

Kui kaks inimest räägivad telefoniga, kus toimub nende vestlus? Ilmselt mitte ühe ega teise inimese toas või telefonis, vaid nende vahel, neid ühendavail liinidel. Selle juba üle 100 aasta vanuse ettekujutusliku koha suhtes on võetud kasutusele tabav termin küberruum.

Praeguseks on sellesse ruumi tekkinud algul analoog-, siis digitaalsalvestused, tekstifailid, pildid, videod, 3D-rakendused ja palju muud. Nagu näeme, seostuvad selle paigaga järjest unenäolisemad olukorrad, mille areng ei pruugi toimuda tavaelus harjunud mallide järgi, vaid nii, nagu keegi kusagil ette on kirjutanud.

Kuigi on mugav kitsas linnakorteris lapsed küberruumi mängima saata, võib arusaadavaks pidada kõhklusi siduvate, dokumendi väärtusega andmete sinna viimise suhtes juba küberruumi eripära tõttu ? viimase omadused alluvad alati kellegi tahtele ja järelikult ei pruugi erapooletud olla.

E-allkiri on teatavasti kood, mis peaks vastavalt dokumendi sisule klappima nn avaliku võtmega, olles tuletatud teisest, keerukamast salajasest võtmest. Kui dokumendi sisu muudetakse, kaotab allkiri kehtivuse. Usutakse, et kui salajane võti säilitada suures andmefailis hästi peidetuna, ei võimalda isegi selle faili kopeerimine dokumente võltsida eeldades, et kasutaja vähemalt oma salasõna salajasena hoiab.

Praeguse seisuga on e-allkirjastamise juures üldkasutatav OpenPGP standard haavatav, kuna selles on leitud võimalus kuidas salajase võtme koodist mööda minna. Kui keegi saab kätte teie salajase võtme kodeeritud kujul (niisugusena hoitakse seda arvutis), võib ta hakata teie nimel dokumente allkirjastama. Ka keerulisema standardi kasutuselevõtmisel on rünnaku puhul digitaalallkirjale küsimus algoritmide tundmises ja arvutusvõimsuses, mitte põhimõttelises võimatuses.

Lisaks on tarkvaratootjail kombeks luureorganisatsioonide soovil oma tooteisse ?tagauksi? jätta. Neis asjus annab muidugi arutust aeg. Tarbijad leivad üles kogemata tehtud vead ning isegi hoolikalt peidetud salajastel vigadel on komme lekkida. Ometi, kui niisugused juhud peaksid võimalikuks muutma inimeste nimel dokumentide allkirjastamise, on see oluliselt halvem stsenaarium kui võõrastes jututubades kontrolli ülevõtmist harrastavad mürsikud.

Kodeerimisalgoritmid on mõttetud, kui kasutajad oma salajasi võtmeid ning paroole ei hoia. Kindlasti ei teadvusta paljud, millised võimalused annab viimaste kopeerimine digitaalallkirja kasutamisel ja inimlikku hooletust tulebki lugeda suurimaks digitaalidentiteedi riskiks.

Kui palju inimesed andmeturbest hoolivad, näeme me monitoridele kleebitud panga-salasõnadest, avalikus kohas lahti unustatud turvakanaliga ssl- või ssh-sessioonidest, mida kasutavad näiteks internetipangad, kõvaketaste väljajagamise seade pealeunustamisest koos kõigi seal leiduvate salasõnade ja juurdekuuluva laialijagamisega. Ajaloost võime me õppida, et turvasüsteemide rivist väljaviimiseks tehakse uskumatuid jõupingutusi, kulutatakse palju aega ning finantse lootuses, et saadav võim või raha tehtud väljaminekud korvab. Samas inimesed, kes püüavad ausal teel midagi uut luua, alahindavad kuritegeliku maailma võimet sihikindlaid pingutusi teha. Kuna elektrooniline andmeturve on paljuski läbiuurimata ala, tuleb väga tundliku info säilitamise suhtes ainult digitaalkujul vähemalt praegu eitav seisukoht võtta.