Vai eID karte būs derīga bez elektroniskā paraksta sertifikāta?

Saeima šodien Valsts pārvaldes un pašvaldības komisijai nodeva grozījumus Personu apliecinošu dokumentu likumā, kas noteiks, ka elektroniskās identifikācijas sertifikāta apturēšanas gadījumā tiks saglabāts personas apliecības jeb elektroniskās identifikācijas (eID) kartes derīgums identitātes apliecināšanai klātienē.

Ja personas apliecībā iekļautais kvalificēts elektroniskā paraksta sertifikāts vai elektroniskās identifikācijas sertifikāts būs atsaukts, apturēts vai izbeigta tā darbība, personas apliecība būs derīga personas identitātes un tiesiskā statusa apliecināšanai klātienē, rosina noteikt Iekšlietu ministrija.

Paredzams, ka personas apliecības turētājam tiks saglabāta iespēja pieteikties alternatīviem elektroniskā paraksta līdzekļiem, tostarp izmantojot personas apliecību kā derīgu personu apliecinošu dokumentu arī tādā gadījumā, ja tajā iekļautie sertifikāti ir atsaukti, apturēti, kļuvuši nederīgi vai arī izbeigta to darbība, un ja personas apliecība nav kļuvusi nederīga citu iemeslu dēļ.

Izmaiņas tiek virzītas, jo pastāv risks, ka eID kartē iekļautais kvalificēts elektroniskā paraksta sertifikāts vai elektroniskās identifikācijas sertifikāts var tikt atsaukts, apturēts un kļūt nederīgs eID kartes derīguma termiņa laikā.

Latvijā eID kartes pārsvarā izsniedz ar desmit gadu derīguma termiņu, taču Eiropas Parlaments un Padome jau pirms diviem gadiem pieņēma regulu, ka kvalificētu elektroniskā paraksta radīšanas ierīču (QSCD) sertifikācijas derīgums nevar pārsniegt piecus gadus ar noteikumu, ka ievainojamības novērtējums tiek veikts reizi divos gados. Ja ievainojamības tiek konstatētas un netiek novērstas, QSCD sertifikāciju anulē. Tādējādi Latvijā eID karšu un ar tām saistītā e-paraksta derīguma termiņš ir garāks par šo Eiropas prasību.

Iekšlietu ministrija skaidro, ka iepriekš QSCD sertifikācijai starp Eiropas Savienības dalībvalstīm nebija vienots termiņa ierobežojums un valdīja pieņēmums, ka produktam jābūt sertificētam vismaz tā izsniegšanas brīdī, nevis visā tā dzīves cikla laikā.

Pašreizējās Pilsonības un migrācijas lietu pārvaldes (PMLP) nodrošinātajās eID kartēs izmantotajām mikroshēmām ar programmatūru, kuru QSCD sertifikāciju nodrošinājis personas apliecību piegādātājs un kuru ir sertificējusi Francijas sertifikācijas iestāde, pamatā QSCD sertifikācijai nosaka desmit gadu derīguma termiņu no sertifikācijas vai pārsertifikācijas brīža.

PMLP atzīst, ka pastāv vairāki potenciālie riski, ja personas apliecību mikroshēmām nav iespējama QSCD pārsertifikācija vai tiek konstatēta ievainojamība. Piemēram, personām izsniegto eID karšu vai PMLP noliktavā esošo personas apliecību sagatavju mikroshēmas var zaudēt QSCD statusu, var tikt apšaubīta ar šādām personas apliecībām QSCD radīto e-parakstu atbilstība un ar tiem apstiprināto darījumu spēkā esamība, konstatēto personas apliecību QSCD ievainojamību novēršana nav iespējama tikai ar mikroshēmas programmatūras labojumiem, un PMLP būtu jānodrošina jaunas personas apliecības ar mikroshēmu, kurai ir derīga QSCD sertifikācija, kas savukārt radītu lielu papildu slodzi klientu apkalpošanai un izmaksām.

Šādos apstākļos nolemts grozīt likumu, lai eID kartes vienmēr būtu izmantojamas vismaz kā dokuments identitātes apliecināšanai klātienē.