Þriðjudaginn 20. maí 2008 var vottunarrót fyrir dreifilyklaskipulag fyrir Ísland komið á fót með stofnun Íslandsrótar.

Íslandsrót er rótarskilríkið fyrir Ísland sem ætlað er að staðfesta önnur skilríki sem gefin eru út á Íslandi.

Vefnum er ætlað hlutverk í því verkefni að byggja upp traust á vottunarrót fyrir Ísland - Íslandsrót - með því að upplýsa hagsmunaaðila og þjónustuaðila um dreifilyklaskipulag fyrir einstaklinga, atvinnulíf og hið opinbera.

Forsenda þess að rafræn skilríki skili tilætluðum árangri hvað margvíslegt hagræði varðar og nái almennri útbreiðslu er traust. Þetta traust grundvallast á því sem kallast Íslandsrót. Íslandsrót er í eðli sínu skilríki sem eru gefin út af ríkinu, fyrir ríkið og í eigu þess. Íslandsrótin er notuð til að gefa út svokölluð milliskilríki. Í þeirri útgáfu felst vottun eiganda Íslandsrótar, það er ríkisins, á handhafa milliskilríkjanna.

Ein helsta forsenda fyrir útbreiðslu rafrænnar stjórnsýslu er sú að rafræn málsmeðferð njóti sama trausts og hin hefðbundna. Því verður að mega treysta að öryggi, trúnaður og festa við meðferð mála séu óháð því hvaða aðferð er notuð.

Rafrænar undirskriftir sem byggjast á dreifilyklaskipulagi eru þýðingarmikill þáttur í því að byggja upp slíkt traust. Með tilkomu laga um rafrænar undirskriftir, nr. 28/2001, laga um rafræn viðskipti og aðra rafræna þjónustu, nr. 30/2002, og laga nr. 51/2003 um breytingu á stjórnsýslulögum, nr. 37/1993 (rafræn stjórnsýsla), hefur verið lagður grundvöllur að rafrænni stjórnsýslu samhliða hefðbundnum aðferðum.

Í stefnu ríkisstjórnar Íslands um upplýsingasamfélagið 2004-2007, Auðlindir í allra þágu, er lögð rík áhersla á þróun rafrænnar stjórnssýslu og rafrænna viðskipta. Það er stefna ríkisstjórnarinnar að notkun rafrænna skilríkja verði almenn og útbreidd, og ennfremur að markaður með rafræn skilríki verði opinn en staðlaður.

Traust á rafrænni vottun byggir á svokallaðri rót. Það er markmið íslenska ríkisins að byggja upp vottunarrót fyrir Ísland – Íslandsrót – í þeim tilgangi að skapa sameiginlegt traust í dreifilyklaskipulagi fyrir íslenskt atvinnulíf og hið opinbera. Þetta dreifilyklaskipulag hefur fengið heitið PKI Ísland.

Lögð er áhersla á trausta rót sem uppfyllir kröfur um útgáfu rafrænna skilríkja fyrir íslenskt samfélag. Jafnframt er lögð áhersla á að útgáfa rafrænna skilríkja undir Íslandsrót hlíti kröfum í viðurkenndum stöðlum um rafræn skilríki í öðrum Evrópulöndum.

Íslandsrót þarf m.a. að styðja eftirfarandi markmið:

• Jafnræði sé á markaði í útgáfu skilríkja og þjónustu með skilríkjum.

• Almenningur og lögaðilar geti haft samskipti við stofnanir ríkisins með einum og sömu skilríkjum.

• Almenningur og lögaðilar geti haft samskipti við almenn fyrirtæki með sömu skilríkjum og notuð eru í samskiptum við stofnanir ríkisins.

• Fyrirtæki og stofnanir á Íslandi geti notað rafræn skilríki í samskiptum við stofnanir og fyrirtæki erlendis.

Uppbygging á trausti með dreifilyklaskipulagi er ekki hamlandi á samkeppni. Það er því lögð áhersla á að Íslandsrót útiloki ekki uppbyggingu annarra róta.

Dreifilyklaskipulagið PKI Ísland verður útfært sem stakt stigveldi trausts (e. single hierarchy) með Íslandsrót sem uppruna traustsins, þ.e. traustsakkeri fyrir Ísland í heild. Þetta einfaldar verndun trausts og stjórnun á dreifilyklaskipulaginu.

Traust á Íslandsrót íslenska ríkisins á að byggja á trausti til íslenska ríkisins. Íslandsrótin verður traustsakkeri fyrir rafræna þjónustu og rafræn samskipti um allt Ísland - og út fyrir lögsöguna. Íslenska ríkið þarf því að hafa fulla stjórn á rótinni; verndun hennar, notkun og endurnýjun hennar.

Brestur í trausti til Íslandsrótar mun hafa mjög alvarlegar afleiðingar, þar sem traust til allra skilríkja sem byggja á vottunarslóð til rótarinnar mun bresta. Traust til Íslandsrótar er mikilvægt ímyndarmál fyrir íslenska ríkið og íslenskt atvinnulíf í heild.

Rafræn skilríki sem gefin verða út undir Íslandsrótinni munu m.a. verða notuð til að dulrita skjöl og til að sannvotta undirritun skjala. Almenningur, fyrirtæki og stofnanir ríkis og sveitarfélaga munu nota rafræn skilríki til að vernda trúnað upplýsinga og til að varðveita mikilvæga samninga. Í sumum tilvikum verður um mikilvæg viðskipta- og ríkisleyndarmál að ræða þar sem miklir hagsmunir eru í húfi. Jafnvel mestu ríkishagsmunir munu njóta rafrænnar verndar með dulkóðun og rafrænni vottun með skilríkjum undir Íslandsrót. Traust á verndun rafrænna upplýsinga og rafrænum viðskiptaháttum í íslenskri stjórnsýslu og atvinnulífi mun því byggja á því trausti sem Íslandsrótin hefur.

Mikilvægt er að traust á Íslandsrót sé hafið yfir allan vafa. Efasemdir um traust Íslandsrótar, og efasemdir um varðveislu hennar, rýrir gildi hennar. Þeir aðilar sem varðveita Íslandsrót og þann búnað sem notaður er til að gefa út milliskilríki undir rótinni verða að vera traustir og tryggt að þeir séu ekki háðir öðrum hagsmunum en þeim sem falla að hagsmunum íslenska ríkisins og atvinnulífs.

Þekking, verklag og ferlar í rekstri Íslandsrótar mun verða forsenda fyrir sjálfstjórn Íslands í hinum rafræna heimi, ekki ósvipað og lögsaga í hafinu í kringum Ísland er forsenda sjálfstjórnar í sjávarútvegi. Stjórn á verndun og umsýslu Íslandsrótar og milliskilríkja í efsta þrepi trausts (beint undir Íslandsrót) er forsenda sveigjanleika til framtíðar og útvíkkunar á dreifilyklaumhverfi Íslands.

Það er grundvöllur trausts á Íslandsrót að halda ógnum í lágmarki, vinna á móti veikleikum og viðhafa eina stjórn á áhættuþáttum til að tryggja ásættanlegt öryggi. Útgáfa milliskilríkja í efsta þrepi trausts þarf því að fara fram innan öryggismæra fyrir rótina (innan öryggisrýma sem lúta sömu öryggisstjórn).

Umhverfi Íslandsrótar

Íslandsrót verður uppruni trausts. Íslandsrót er í eðli sínu skilríki sem eru gefin út af ríkinu, fyrir ríkið og í eigu þess. Íslandsrótin er notuð til að gefa út svokölluð milliskilríki. Í þeirri útgáfu felst vottun eiganda Íslandsrótar, það er ríkisins, á handhafa milliskilríkjanna. Milliskilríki eru síðan notuð til að gefa út endaskilríki sem notuð eru í rafrænum viðskiptum. Það er mögulegt að búa til mörg þrep í trausti með því að gefa út milliskilríki undir milliskilríkjum en það eru samskonar þættir sem skipta máli í hverju þrepi fyrir sig. Það eru því í raun einungis þrjár gerðir skilríkja sem skipta máli í traustkeðju; rót, milliskilríki og endaskilríki. Rót, eins og Íslandsrót, er ekki notuð til að votta skilríki til endanotenda.

Í þeirri viðleitni að skýra umhverfi Íslandsrótar er hægt að setja fram einfaldað dæmi. Á meðfylgjandi skýringarmynd er Íslandsrót búin til í búnaði hjá Fyrirtæki – I. Þegar þörf er á að beita Íslandsrót til að framleiða milliskilríki þá er það gert í búnaði hjá Fyrirtæki – I. Í öllum tilvikum er ríkið útgefandi milliskilríkja beint undir Íslandsrót, en það er misjafnt hver er vottaður sem handhafi milliskilríkjanna. Það getur verið ríkið sjálft eða annar aðili.

Þegar fyrirtæki óskar eftir tengslum við traust Íslandsrótar þá hefur það tvo megin valkosti. Annars vegar getur fyrirtækið fengið svokallaða gagnvottun. Þá er milliskilríki A, sem er skilríki ríkisins, notað til að undirrita utanaðkomandi milliskilríki. Þetta er tilfellið hjá Fyrirtæki – II á myndinni. Þannig myndast traustkeðja frá endaskilríkjum frá Fyrirtæki – II alla leið til Íslandsrótar.

Hins vegar getur fyrirtækið fengið útgefin sérstök milliskilríki, eins og milliskilríki B og C á myndinni. Ef fyrirtækið velur að fá milliskilríkin til sín þá getur það annast útgáfu á endaskilríkjum sjálft í sinni aðstöðu, eða afhent það til ytri þjónustuaðila sem gefur út endaskilríki fyrir þeirra hönd. Þetta er sýnt á myndinni sem Fyrirtæki - III með milliskilríki C. Þessi þjónustuaðili getur einnig verið Fyrirtæki – I, það er sama fyrirtæki og gaf út milliskilríkin. Þetta er sýnt á myndinni sem milliskilríki B.

Í samvinnu ríkis og SBV kemur framlag ríkisins til Fyrirtækis – I. Fyrirtæki – I veitir ríkinu rafræn skilríki og búnað til umsýslu Íslandsrótar og annarra milli- og endaskilríkja á vegum ríkisins. Þeir aðilar sem vilja sækja traust til Íslandsrótar hafa þannig þrjár fyrrnefndar leiðir til þess. Fyrirtæki – I annast útgáfu milliskilríkja beint undir rót, eða gagnvottun með trausti frá Íslandsrót, en aðilar geta síðan valið um frekari þjónustu þar eða hjá öðrum fyrirtækjum. Fyrirtæki sem veita vottunarþjónustu af einhverju tagi geta fengið milliskilríki til sín, eða fengið gagnvottun, sem gerir þeim mögulegt að gefa út endaskilríki sem tengjast Íslandsrót.