Ragnar Gunnar Þórhallsson, deildarstjóri á stjórnsýslusviði hjá tollstjóranum í Reykjavík

Í þessari grein er leitast við að kynna rafræn skilríki fyrir nýliðum á því sviði og sagt er frá tilraunaverkefni fjármálaráðuneytisins og nokkurra ríkisstofnana um lausnir, útgáfu og notkun rafrænna skilríkja. Skilríkin eru m.a. ætluð viðskiptavinum stofnana vegna samskipta við stofnanir í gegnum vefþjónustur og með tölvupósti.

Þegar þú kaupir fasteign er gerður kaupsamningur, sem inniheldur nákvæman texta, upplýsingar um eignina, verðmæti, greiðslutilhögun og aðra skilmála. Bæði kaupandi og seljandi undirrita kaupsamninginn á tilteknum degi og fá hvor sitt eintakið af skjalinu. Allt er þetta gert til að staðfesta þennan tiltekna mikilvæga gjörning umræddra aðila og þær mikilvægu upplýsingar sem skjalið hefur að geyma. Til að staðfesta gjörninginn enn frekar eru skjalinu þinglýst og eintak geymt hjá sýslumanni. Ef ágreiningur kemur upp hafa báðir eintak af skjalinu með undirskrift hins aðilans auk þess sem sýslumaður geymir eintak. Ef annar aðilinn breytir upplýsingum í sínu skjali er það kallað skjalafölsun, sem varðar við lög. Hinn aðilinn gæti þá, ef um ágreiningsmál væri að ræða, sótt málið í dómskerfinu.

En hvað er svona merkilegt við undirskriftina sjálfa? Er ekki nóg að prenta nöfn beggja aðila á kaupsamninginn? Þar kemur að hlutverki undirskriftar við að auðkenna einstaklinginn. Undirskrift þín á að vera alveg einstök fyrir þig eins og fingrafar. Rithandarsérfræðingar eiga að geta skorið úr um hvort undirskriftin sé fölsuð eða ekki. Undirskrift skjals hefur einnig oftast þann tilgang að tryggja ábyrgð þína á tilteknum gjörningi; undirskriftin felur í sér loforð og skuldbindingar.
 

Í þessari grein er fjallað um rafræn skilríki, sem byggja á PKI lausn (Public Key Infrastructure), þ.e. einka- og dreifilyklaskipulagi. Rafræn skilríki þín innihalda lyklapar. Í fyrsta lagi einkalykil, sem m.a. er notaður til að rafrænt undirrita gögn á tölvutæku formi og þannig staðfesta t.d. ábyrgð þína á gögnunum. Einkalykillinn í skilríkjunum er einnig notaður til að auðkenna þig sem handhafa skilríkjanna, t.d. vegna aðgangs að vefþjónustu. Í öðru lagi innihalda rafræn skilríki þín dreifilykil, sem allir mega fá afrit af og geta notað til að dulrita gögn á tölvutæku formi. Þau dulrituðu gögn getur enginn afkóðað nema þú með einkalyklinum í þínum skilríkjum. Dreifilykillinn er einnig notaður til að staðfesta hjá móttakanda gagna, sem þú hefur rafrænt undirritað, að einkalykillinn í skilríkjum þínum, og aðeins hann, hafi verið notaður til undirritunar gagnanna.

Ef þú hefur rafræn skilríki getur þú sent rafrænt undirritaðan tölvupóst og þá getur viðtakandinn skoðað upplýsingar úr skilríkjum þínum, sem fylgja tölvupóstinum, og fengið þannig staðfestingu á að pósturinn kemur frá þér og engum öðrum. Ennfremur fær viðtakandinn staðfestingu á því að allur texti í tölvupóstinum sé nákvæmlega eins og þú hafðir sent hann og hafi ekki verið breytt á leiðinni. Eins og Internetið og tæknilegt umhverfi þess er í dag þá er í raun tiltölulega auðvelt að senda tölvupóst í nafni annars. Einnig fer tölvupósturinn þinn oft langa leið og er vistaður í tölvubúnaði aðila, sem veita Internetþjónustu; þar geta starfsmenn þessara aðila haft aðgang að tölvupóstinum þó vissulega hafi þeir sínar reglur um öryggi og verndun upplýsinga. Hér er augljóst notagildi dulritunar. Enginn nema sendandi og viðtakandi geta lesið upplýsingarnar í dulrituðum tölvupósti.

Ábendingar varðandi umsýslu og notkun rafrænna skilríkja
Nær allar lausnir, sem framleiðendur rafrænna skilríkja bjóða, byggja á tímabundnum gildistíma skilríkja. Flestar lausnir byggja á árlegri endurnýjun skilríkjanna, en einnig eru til lausnir þar sem útgefin rafræn skilríki gilda í mörg ár. Þegar skilríki eru endurnýjuð verður til nýtt lyklapar. Einkalykill í lyklapari er hvergi til nema í skilríkjunum sjálfum. Hafi gögn verið dulrituð með tilteknum dreifilykli, þá er ekki unnt að afkóða þau gögn nema með einkalykli í viðkomandi rafrænum skilríkjum, sem verða þá að vera til staðar, en mega oftast vera útrunnin. Það má því ekki eyða eldri útrunnum rafrænum skilríkjum eða glata þeim á annan hátt ef forðast á framan greind vandræði. Rafræn skilríki má afrita til geymslu í öryggisskyni í þessu sambandi. Þetta er ólíkt því og flestir þekkja við að umgangast venjuleg persónuskilríki, t.d. bankakortin, sem ber að eyðileggja við endurnýjun.

Þegar rafrænt undirrituð gögn eru geymd í gagnagrunni og þar sem gerðar eru kröfur um að unnt sé að staðfesta rafrænt undirritaða skrá mörgum árum eftir vistun þá þarf að gæta þess að vistun dreifilykla úr lyklapörum þeirra skilríkja, sem notuð voru við undirritun gagnanna sé trygg og aðgengileg.

Snemma á árinu 2003 setti fjármálaráðuneytið í gang tilraunaverkefni í samstarfi við nokkrar ríkisstofnanir til að kanna og þróa notkun rafrænna skilríkja enn frekar og leita hagkvæmustu leiða til þess. Tilgangurinn er m.a. sá að handhafi rafrænna skilríkja geti notað sömu skilríkin fyrir aðgang og gjörninga í vefþjónustum margra ríkisstofnana. Tilraunaverkefnið felur m.a. í sér útgáfu á takmörkuðum fjölda rafrænna skilríkja fyrir starfsmenn fyrirtækja. Viðkomandi ríkisstofnanir munu velja fyrirtæki, sem vilja taka þátt í tilraunaverkefninu, nema fyrirtæki er stunda eða óska eftir leyfi til VEF-tollafgreiðslu, en þau fyrirtæki eiga öll rétt á rafrænum skilríkjum til þeirra nota, skv. tollalögum nr. 55/1987. Tilraunaverkefnið felur einnig í sér að móta stefnu til framtíðar litið, m.a. er varðar viðskiptalegt umhverfi rafrænna skilríkja, t.d. hvernig hagkvæmast og árangursríkast er að ná mikilli útbreiðslu skilríkjanna meðal almennings og fyrirtækja. Unnið er að svokallaðri vottunarstefnu ríkisins fyrir rafræn skilríki, sem m.a. er stefnumótandi í þessu sambandi. Markmiðið er að skapa möguleika á stóraukinni rafrænni stjórnsýslu. Rafræn skilríki tilraunaverkefnis byggja á lausn frá Skýrr hf og VeriSign.