2. Sähköinen allekirjoitus vs. digitaalinen
allekirjoitus
• Sähköinen allekirjoitus = mikä tahansa sähköisesti toteutettu allekirjoitus (esim.
’ripellys’ lähettipalvelun mobiililaitteen kosketusnäytölle)
• Digitaalinen allekirjoitus = matemaattiseen menetelmään perustuva tapa
varmentaa digitaalisen viestin tai dokumentin autenttisuus
• Huom! Nämä eivät ole juridisia määritelmiä!
2
3. Julkisen avaimen salaus (PKI)
3
Kuvalähde: https://commons.wikimedia.org/wiki/File:Illustration_of_digital_signature.svg FlippyFlink / CC BY-SA (https://creativecommons.org/licenses/by-sa/4.0)
4. Laatuvarmenne
• Laatuvarmenne on Suomen sähköisen allekirjoituslain (kumottu) määritelmä PKI-
varmenteelle, joka täyttää tietyt muodolliset vaatimukset.
• Itse varmenteella sijaitsevien PKI-avainten tietoturvatasolle on määritetty
vahvuusvaatimuksia, mutta suurin osa säännöksistä koskee varmenteen
myöntäjää sekä varmenteen myöntämispolitiikkaa.
• Tärkeää on, että avain on suojatulla PKI-avainlaitteella kuten sirukortilla,
varmenteita saavien henkilöys todennetaan (kukaan ei saa väärällä nimellä
varmenteita), varastetut varmenteet lisätään nopeasti sulkulistalle ja järjestelmän
luotettavuudesta pidetään hyvää huolta.
• Laatuvarmenteella tehty digitaalinen allekirjoitus oli kumotun lain mukaan
vähintään yhtä pätevä kuin tavallinenkin
4
5. eIDAS-asetus (Electronic Identification
and Trust Services Regulation)
• Laki sähköisistä allekirjoituksista (14/2003) on kumottu ja korvattu lailla vahvasta
sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista.
• Tässä laissa sähköisellä allekirjoituksella, luottamuspalvelulla, kehittyneellä sähköisellä
allekirjoituksella, sähköisen tunnistamisen järjestelmällä sekä luottavalla osapuolella tarkoitetaan
samaa kuin sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 3
artiklassa
• eIDAS-asetuksessa tarkoitetaan:
• ’sähköisellä allekirjoituksella’ sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka
loogisesti liittyy muuhun sähköisessä muodossa olevaan tietoon ja jota allekirjoittaja käyttää
allekirjoittamiseen
• ’kehittyneellä sähköisellä allekirjoituksella’ sähköistä allekirjoitusta, joka täyttää 26 artiklassa
säädetyt vaatimukset
• ’hyväksytyllä sähköisellä allekirjoituksella’ kehittynyttä sähköistä allekirjoitusta, joka on luotu
hyväksytyllä sähköisen allekirjoituksen luontivälineellä ja joka perustuu sähköisten allekirjoitusten
hyväksyttyyn varmenteeseen
5
6. Kehittynyt sähköinen allekirjoitus
• Kehittyneellä sähköisellä allekirjoituksella sähköistä allekirjoitusta, joka täyttää
eIDAS-asetuksen 26 artiklassa säädetyt seuraavat vaatimukset:
a) se liittyy yksilöivästi allekirjoittajaansa;
b) sillä voidaan yksilöidä allekirjoittaja;
c) se on luotu käyttäen sähköisen allekirjoituksen luontitietoja, joita allekirjoittaja voi
korkealla varmuustasolla käyttää yksinomaisessa valvonnassaan; ja
d) se on liitetty sillä allekirjoitettuun tietoon siten, että tiedon mahdollinen myöhempi
muuttaminen voidaan havaita.
Sähköisen allekirjoituksen luontitiedot=yksilöivät tiedot, joita allekirjoittaja käyttää
sähköisen allekirjoituksen luomiseen
6
7. Erilaisia teknisiä ratkaisuja
• PDF-dokumenteista näyttää tulleen ’de facto’ –standardi dokumenttimuodoksi
sähköisesti allekirjoitettaviin dokumentteihin
• Tuki allekirjoituksille sisäänrakennettuna
• Hyvä arkistoitavuus (erityisesti PDF/A)
• Tarvitaan kuitenkin luetettu väline tai palveluntarjoaja, jos halutaan tehdä edistynyt
sähköinen allekirjoitus
• Dokumentti voidaan allekirjoittaa kansalaisvarmenteella (tai virka- tai
ammattivarmenteella)
• Dokumentti voidaan ladata verkossa toimivaan palveluun jossa allekirjoitus
tapahtuu
7
8. Allekirjoittaminen varmennekortilla
• Tarvitaan
• Varmenteen sisältävä sirukortti (esim. henkilö-, virka- tai ammattikortti)
• Kortinlukija
• mPollux DigiSign client (saa Digi- ja väestötietoviraston verkkosivuilta)
• Edut
• Ei vaadi mitään ulkopuolista palveluntarjoajaa
• Hyvä arkistoitavuus allekirjoitetuissa dokumenteissa
• Nopea käyttöönotto
• Haasteet
• Vaatii kaikilta allekirjoittajilta varmennekortin, kortinlukijan ja ohjelmiston
8
9. Allekirjoittaminen verkkopalvelussa
• Tarvitaan
• Sopimus jonkin palveluntarjoajan kanssa
• Jokin välinen allekirjoittamiseen, jota palvelu tukee (esim. pankkitunnukset tai
mobiilivarmenne)
• Edut
• Helppokäyttöisyys allekirjoittajille
• Nopea käyttöönotto
• Edullinen jos allekirjoituksia on vähän
• Haasteet
• Arkistoitavuus?
• Jokainen allekirjoitus maksaa
9
10. Tarkistuslista sähköisen allekirjoituksen
ratkaisun valintaan
• Käyttötapaukset: mihin kaikkeen ratkaisua aiotaan käyttää? Kannatta myös
miettiä tarvitaanko sähköisiä allekirjoituksia kaikkiin tapauksiin, joissa papereita
on allekirjoitettu.
• Käyttäjät: onko oman organisaation ulkopuolisia käyttäjiä? Entä onko käyttäjiä
muista maista? Edustavatko käyttäjät organisaatioita vai voivatko olla myös
yksityishenkilöitä? Onko erityisryhmiä, jotka pitää huomioida esim.
saavutettavuuden suhteen?
• Säilytysaika: onko allekirjoitettu dokumentti pitkäaikaissäilytettävä?
• Käytössä olevat järjestelmät: tarvitaanko integraatioita esim.
asianhallintajärjestelmään? Tukeeko nykyinen asianhallintajärjestelmä valmiiksi
jotain ratkaisua?
• Kustannukset
10