Sähköinen allekirjoitus
Sähköinen allekirjoituselidigitaalinen allekirjoituson sähköiseen viestiin tehtyjulkiseen avaimeen perustuvaallekirjoitus, joka varmentaa tietyn viestin sisällön ja allekirjoittajan henkilöllisyyden. Allekirjoitukset takaavat siis viestin eheyden sekä aitouden; mikäli viestiä muutetaan, allekirjoitus paljastaa väärennöksen.[1]
Jos viestiä on muutettu sen tallentamisen tai siirtämisen aikana tai joku yrittää esiintyä väärällä henkilöllisyydellä, matemaattinen allekirjoitus ei enää täsmää. Perinteisesti sähköistä allekirjoitusta on käytettysähköposteissalähettäjän todentamiseen. Sähköiset allekirjoitukset ovat laajassa käytössä Virossa[2],jossa vakiintuneeksi allekirjoitustavaksi on muodostunutDigiDoc-tiedostomuoto, jota käytetäänhenkilökortillajaDigiDoc4 Client-sovelluksella tai Web-palvelussa selaimen lisäosalla.[3]Sähköisen allekirjoittamisen ratkaisuja tarjoavat Suomessakin monet yritykset.
Sähköinen allekirjoitus on tietoverkoissa tapahtuvansähköisen asioinninperusvaatimus, sillä se takaa kirjoittajan allekirjoituksen aitouden. Allekirjoitukset ovat myöskiistämättömiä;viestin allekirjoittaja ei voi jälkeenpäin kiistää allekirjoittaneensa sitä.lähde?
Tekninen toteutus
[muokkaa|muokkaa wikitekstiä]Useatjulkisen avaimenmenetelmät soveltuvat myös sähköisten allekirjoitusten luomiseen.
Allekirjoitusjärjestelmät
[muokkaa|muokkaa wikitekstiä]Sähköisiä allekirjoituksia on useita eri tyyppisiä, koska niitä ovat eri tahot kehittäneet erilaisiin käyttötarpeisiin. Järjestelmät eivät ole keskenään yhteensopivia.
- PGP(pretty good privacy) on tietotekniikan alalla kehitetty, sähköposteissa ja tietotekniikassa laajalti käytetty tekniikka. Perustuuluottamusverkkoon.Ei sisällä luottohierarkiaa (certificate authority)selvennä,luottosuhteet perustuvat luottosuhteen luomiseen jokaisen osapuolen välillä erikseen.
- X.509on telealan standardointijärjestönITU-T:n kehittämä järjestelmä (PKI). Käytössä tietoliikenneyhteyksissä kuten sähköpostinTLS- jaHTTPS-yhteyksissä. Perustuu luotettuihin varmentajiin ja näiden myöntämiin varmenteisiin.
Sähköisen allekirjoituksen tehdessään allekirjoittaja laskee allekirjoitettavasta viestistä yksisuuntaisen funktion avulla tiivisteen, jonka hän salaa yksityisellä avaimellaan. Vastaanottaja laskee saamastaan viestistä myös tiivisteen ja vertaa sitä allekirjoittajan varmenteesta saadulla julkisella avaimella avaamaansa salattuun tiivisteeseen. Mikäli tiivisteet ovat samat, on viesti kulkenut ehyenä (muuttumattomana) ja sen on allekirjoittanut juuri se henkilö, joka varmenteessa mainitaan.lähde?
Yrityksen sähköisen allekirjoittamisen prosessi
[muokkaa|muokkaa wikitekstiä]Sähköinen allekirjoitusprosessi tarkoittaa, että yrityksen toimihenkilö lähettää asiakirjan allekirjoittajalle lisäämällä vastaanottajan nimen, sähköpostisoitteen sekä allekirjoitettavan PDF-tiedoston sähköisen allekirjoittamisen palveluun.[4]
Allekirjoittaja vastaanottaa sähköpostiinsa allekirjoituskutsun, josta hän siirtyy tunnistautumaan ja allekirjoittamaan asiakirjan.
Kun asiakirja on allekirjoitettu, yrityksen toimihenkilö saa tiedon uudesta allekirjoitetusta asiakirjasta sähköpostiinsa ja voi tallentaa allekirjoitetun asiakirjan palvelusta.
Oikeudellinen asema
[muokkaa|muokkaa wikitekstiä]Suomessa säädettiin vuonna 2003laki sähköisestä allekirjoituksesta,jonka mukaanEuroopan unioninlaatuvarmenteenkriteerit täyttävällä varmenteella tehty sähköinen allekirjoitus onvähintään yhtä pätevä kuin perinteinenkin.[5][6]
Keskeisimpiä vahvan tunnistamisen menetelmiä ovat pankkienverkkopankkitunnukset(pankkien yhteinen vahvan tunnistamisen palveluTUPAS), Väestörekisterikeskuksenkansalaisvarmenne,joka perustuu sirulliseenhenkilökorttiinja teleyritystenmobiilivarmenteet,jossa Väestörekisterikeskuksen kansalaisvarmenne on liitetty puhelimen SIM-korttiin.[7][8]
Laki sähköisestä asioinnista antaa oikeudellisen suojan asioida, käydä kauppaa ja tarjota palveluita Internetissä. Jos tapahtuman yksi osapuoli myöhemmin yrittää kiistää tehneensä osuutensa tapahtumaan, on kaikellaselvennänormaali lain suoja, joka on tarvittaessa ratkaistavissa tuomioistuimissa.
Kritiikki ja riskit
[muokkaa|muokkaa wikitekstiä]Sähköisen allekirjoitusjärjestelmän luotettavuutta epäillään laajasti. Osa kritiikistä on perusteltua ja sen riskit hallittavissa, osa on pelkkää tiedon puutetta ja perusteetonta epäluuloa. Järjestelmä vaatii toimiakseenluotettavan tietojärjestelmän,jonka tietoturvaa ei ole murrettu. Käyttäjän tietokoneella ei siis saa olla haittaohjelmaa, joka voisi salakuunnella käyttäjän salasanan tai PIN-koodin, kopioidasalausavaimetja jopa tehdä luvattomia allekirjoituksia henkilöllisyyden oikean omistajan nimissä.lähde?
Salausavainten kopiointion yleensä estetty tallentamalla ne fyysiselle, elektronisellesirukortille,jonka suora pääsy avaimiin on yleensä estetty, jopa kortin oikealta omistajalta. Sallittua on vain kortilla tehtävät allekirjoitustapahtumat sitä varten tehtyä rajapintaa käyttäen. Koska kopiointi on estetty, ainoa tapa saada salausavaimet haltuunsa on päästä niihin käsiksi fyysisesti, joka ei ole tietoverkossa mahdollista.
PIN-koodin salakuuntelu voidaan estääkäyttämällä älykorttia tai vastaavaa elektronista tallennusvälinettä ja syöttämällä koodi kortinlukijan tai laitteen omalla näppämistöllä. Tietokoneesta vastaanotetaan pelkkä allekirjoitettava tiiviste lukijalaitteeseen ja takaisin annetaan allekirjoitettu vastaus. Tällöin PIN-numero ei altistu missään vaiheessa haittaohjelmien luettavaksi ja laitteiston käyttäjä havaitsee ylimääräiset allekirjoituspyynnöt, koska ei ole itse aloittanut tapahtumia. Omalla näppäimistöllä varustettujen laitteiden elektroniikka ja ohjelmistot ovat niin rajoittuneita, että niihin ei voi tunkeutua haittaohjelmilla.
Haittaohjelmasta saastuneiden ohjelmientapauksessa käyttäjä harhautetaan allekirjoittamaan muuta mitä hänelle ruudulla esitetään ja tosiasiallisesti järjestelmässä allekirjoitetaan petos uhrin varmenteella. Käytännössä riski on minimoitu tapahtumakohtaisilla rajoituksilla, jolloin esimerkiksi väärän maksutapahtuman aiheuttama vahinko ei aiheuta isoa vahinkoa ja ympäristön saastuminen paljastuu sen käyttäjille.
Takaporttion järjestelmän eri osien valmistajien sisään rakentama heikkous, jolla yksi tai useampi heistä voi murtaa allekirjoituksen tietoturvan ja luoda halutessaan väärennettyjä tapahtumia. Koko PKI-järjestelmän turvallisuus perustuu sen osien valmistajien ja varmenteiden takaajien luotettavuuteen. Jos tätä luottosuhdetta ei ole, luotettavan järjestelmän kriteeri ei täyty, eikä sitä voi korjata.
Ylläolevat riskit ovat teoriassa mahdollisia ja niitä vastaan voi suojautua mainituilla tavoilla. Käytännössä sähköisen allekirjoituksen käyttöönotto on iso parannus nykyiseen, esimerkiksi pankkitunnuksilla (OTP, one time password) tapahtuviin tapahtumien varmentamiseen, missä ei nykyään käytetä mitään edellä mainittuja suojauksia vaan ne ovat käytännössä pelkkiä salasanoja. Kaikki mainitut riskit liittyvät myös niiden käyttöön. Pankkitunnusten kopioinnilla tehdyistä väärinkäytöksissä uhri ei ole yleensä ymmärtänyt joutuneensa petoksen kohteeksi. Useimmat pankkitunnuksilla tehdyt petokset olisivat jääneet tekemättä, jos olisi käytetty henkilökorttia.lähde?
Katso myös
[muokkaa|muokkaa wikitekstiä]- Sähköinen asiointi
- Sähköinen tunnistaminen
- eIDAS-asetus sähköisen asioinnin välineistä jaoikeustoimikelpoisuudesta
- DSA
- ECDSA
- Julkisen avaimen infrastruktuuri
Lähteet
[muokkaa|muokkaa wikitekstiä]- ↑Sähköinen allekirjoitusDigi- ja viestintävirasto.Viitattu 9.6.2024.
- ↑Virolaiset kopioivat suomalaisen henkilökortin eivätkä tarvitse verkkopankkitunnuksia – näillä neljällä erolla Viro hakkaa Suomen digiasioinnissaYle.2022. Viitattu 4.6.2024.
- ↑DigidocE-residency Estonia.Viitattu 4.6.2024.
- ↑Sähköinen allekirjoitus yrityksilleyrityksen-perustaminen.net.Viitattu 9.6.2024.
- ↑Sähköinen allekirjoitus Suomen lain näkökulmastaVisma Sign.14.2.2024. Viitattu 4.6.2024.
- ↑Laki sähköisistä allekirjoituksista (2003) 3. luku 1 pykälä( "Jos oikeustoimeen vaaditaan lain mukaan allekirjoitus, vaatimuksen täyttää ainakin sellainen kehittynyt sähköinen allekirjoitus, joka perustuu laatuvarmenteeseen ja on luotu turvallisella allekirjoituksen luomisvälineellä." )Finlex.Viitattu 4.6.2024.
- ↑Handroos, Sara:Työsopimuksen sähköinen allekirjoitus,s. 15. Saimaan ammattikorkeakoulu, 2017.Teoksen verkkoversio(viitattu 4.6.2024).
- ↑Sähköinen tunnistaminenTraficom.Viitattu 4.6.2024.