Henkilökortti

Kohteesta DigiWiki
Versio hetkellä 28. toukokuuta 2016 kello 11.21 – tehnyt TUOMALA JUHA 10000350X (keskustelu | muokkaukset) (→‎Korttityypit)
Siirry navigaatioon Siirry hakuun
Henkilökortti.sormissa.jpg

Henkilökortti on toinen lakisääteisistä henkilötunnisteista passin lisäksi. Kortti toimii sekä fyysisenä tunnisteena jonka etupuolella on henkilön täysi nimi, sukupuoli, kortin numero, syntymäaika ja tunnus joista on pääteltävissä täysi henkilötunnus, kuva, analoginen allekirjoitus ja myöntämis- ja viimeinen voimassolopäivä. Kortin takana on samoja tietoja koneluettavassa muodossa.

Henkilökortti on ainoa ensimmäisen asteen tunniste joka myönnetään koko väestölle ja sellaisena ainoa jolla voi tunnistaa itsensä verkossa sekä laillisesti allekirjoittaa minkä tahansa tekstin tai tiedoston.

Korttien jakelu aloitettiin 1.3.1999, sen anominen on vapaaehtoista ja voimassaolevien korttien määrä on ollut jatkuvasti kasvussa, siihen auttoi ?.?.? jakeluun tulleiden korttien pidentynyt viiden vuoden voimassaolo, aiempaan kolmeen vuoteen verratuna.

Kortin sirun sisältämiltä varmenteilta voidaan myös lukea ohjelmallisesti henkilön etu- ja sukunimi, sekä sähköinen asiointitunnus ja varmenteiden voimassaoloaika. Varmenteiden päätyminen sulkulistalle ei estä kortin käyttöä fyysisenä tunnisteena.

Kansalaisen kortti on virallinen matkustusasiakirja jolla voi matkustaa Schengen-alueella.


Korttityypit

Henkilökortin käytöllä tunnistamisessa on pitkä historia. Kuvassa sillä tehtiin pääsynvalvontaa sotasyyllisyysoikeudenkäyntiin 15.11.1945.

Valtio on myöntänyt useita erityyppisiä henkilökortteja ja niistä on aktiivisena tällä hetkell kaksi eri sukupolvea: Ensimmäinen, G1 ja toinen, G2 joka on laskettu liikkeelle vuonna 2014:

  • kansalaisen henkilökortti (myönnetään myös ei-kansalaiselle)
  • organisaatiokortit
  • terveydenhuollon henkilökortit

Organisaatio- ja terveydenhuollon kortit poikkeavat kansalaisen kortista varmenteen suhteen jossa on työpaikan sähköpostiosoite joka mahdollistaa allekirjoitusten ja salausten käytön sähköpostissa.

Kortit toimivat myös suoraan työpaikan Microsoftin toimialueeseen kirjautumisessa. Kirjautuminen on kyseisten korttien yleisimpiä käyttökohteita, jonka lisäksi niitä käytetään eri SSO-istunnoissa ja etäyhteyksissä.

Tunnusluvut

PUK-koodi

Turvallisuus

Henkilökortin käyttö verkkopankissa poistaisi huijausviestien vaaran täysin.

Turvallisuus perustuu kolmeen perustekijään[1]

  • salaisiin tunnuslukuihin (something you know)
  • fyysiseen korttiin (something you have)
  • biometriseen valokuvaan (something you are)

sekä kortin fyysiiin- ja sähköisiin turvatekijöihin väärentämisen estämiseksi[2] .

  • painettu allekirjoitus
  • hologrammi (jossa HETUn alku)
  • valokuva muovi-ikkunassa
  • UV-valolle herkät osat
  • OVD-kalvo ja sen mikrotekstit
  • 3D-laserkuva
  • mikrotekstiä
  • erikoispainovärit
  • 2048-bittinen RSA-varmenne
  • SHA1-tiiviste

Asioidessaan verkossa kortin käyttäjän täytyy samanaikaisesti tietää salaiset tunnusluvut ja hänellä tulee olla itse kortti jossa henkilövarmenteita säilytetään.

Varmenteet on luotu kortilla eikä niitä saa sieltä ulos ulkopuolinen ketku, kortin haltija, poliisi eikä edes liikkeelle laskenut Väestörekisterikeskus. Edellä olevien yhdistelmä käytännössä estää verkossa jatkuvasti ilmenevän kertakäyttöisten salasanojen (OTP, one time password) kalastelun - koska onnistuakseen myös fyysinen kortti pitäisi lähettää ulkomaille. Tunnuslukujen kalastelulla tehdyt petokset on ongelma jonka maksaja on lopulta pankin asiakas.

Kritiikki

  • Korttia on kritisoitu kalliiksi suhteessa sen voimassoloaikaan, jota on sittemmin pidennetty viiteen vuoteen joka on sama kuin passilla.
  • Kortin vaatimaa lukijalaitetta on kritisoitu hankalaksi.
  • Moni on jättänyt kortin hankkimatta perustellen, että sillä ei tee mitään.
  • Kortin pinnalla ei ole HETU-tunnusta selkeästi kirjoitettuna.
  • Kortilla oleva SATU-tunnus on hankala palveluntarjoajan kannalta.
  • Valtionvarainministeriön työryhmä esitti kesäkuussa 2009 varmennepalvelun alasajoa vähäisen käytön ja kustannusten (2,2 miljoonaa euroa @2008) takia[3]

Versiot

Ensimmäiset SetCOS-4.3.1 kortit ovat jo kaikki vanhentuneet.

SetCOS 4.3.1

Ominaisuudet:

  • julkaistu 1.3.1999[4]
  • hinta: 130 markkaa
  • Voimassaoloaika: 3 vuotta
  • Elinkaari: 1.3.1999 - 31.12.2002
  • Avaimien pituus: 1024 bittiä
  • ATR: 3B7B940000806211515646696E454944

SetCOS 4.3.2

Ominaisuudet:

SetCOS 4.4.1

Ominaisuudet:

SetCOS 5.1.1

Ominaisuudet:

  • hinta: 50 €
  • Voimassaoloaika: 5 vuotta
  • Avaimien pituus: 2048 bittiä
  • ATR: 3B7B940000806212515646696E454944
  • Appletit: EID2048

Varmenteet

Valtion myöntämän henkilövarmenteen julkisen avaimen ja SATU-tunnuksen voi hakea Väestörekisterikeskuksen web-käyttöliittymällä.

Suomalaisella henkilökortilla on yhteensä neljä X509-varmennetta.

  • yksi tunnistamiseen ja toinen allekirjoittamiseen joilla on molemmilla omat tunnuslukunsa.
  • henkilökorttien takaamisessa käytetty, valtion CA-varmenne (intermediate CA certificate)
  • kaikki CA-varmenteiden takaamisessa käytetty, valtion juurivarmenne (root CA certificate)

CA-varmenteet löytyvät myös VRK:n web-sivuilta.

Jokaisen henkilön voimassaolevia varmenteita voi kysellä Väestörekisterikeskuksen webissä olevalla vrk.fineid.fi - varmennehaku -käyttöliittymällä josta voi myös ladata varmenteen julkisen avaimen. Käyttöliittymä listaa vain 100 ensimmäistä henkilöä.

Kortin varmenteiden avainpari on luotu kortin sisällä eikä salaista avainta saa sieltä mitenkään ulos. Kortin vanhetessa, kadotessa tai tuhoutuessa salainen avain ei ole enää käytettävissä eikä esimerkiksi sillä salattu viesti tai sisältö enää aukea. Salausta tulisi käyttää vain tiedon siirrossa väliaikaisesti, ei tiedon tallennuksessa. Allekirjoittamisen kannalta avaimien katoamisella ei ole merkitystä koska sen oikellisuuden tarkastelussa ei tarvita salaista avainta.

Kortin jälkimmäistä, allekirjoittamiseen tarkoitettua varmennetta voi tällä hetkellä käyttää vain qDigiDoc-ohjelmalla.

Katso myös

Lähteet

  1. cs.cornell.edu: Fred B. Schneider: Something You Know, Have, or Are All approaches for human authentication rely on at least one of the following:
    • Something you know (eg. a password). This is the most common kind of authentication used for humans. We use passwords every day to access our systems. Unfortunately, something that you know can become something you just forgot. And if you write it down, then other people might find it.
    • Something you have (eg. a smart card). This form of human authentication removes the problem of forgetting something you know, but some object now must be with you any time you want to be authenticated. And such an object might be stolen and then becomes something the attacker has.
    • Something you are (eg. a fingerprint). Base authentication on something intrinsic to the principal being authenticated. It's much harder to lose a fingerprint than a wallet. Unfortunately, biometric sensors are fairly expensive and (at present) not very accurate. Viitattu: 2015-07-07
  2. poliisi.fi - Suomen henkilökortit
  3. 2009-07-17 savonsanomat.fi: Sähköinen henkilökortti lopetetaan Valtiovarainministeriön työryhmä esittää sähköisen henkilökortin eli kansalaisvarmennepalvelun lopettamista. Kyse on henkilökortin siruun lisättävästä varmenteesta, jolla suomalaiset voivat varmistaa henkilöllisyytensä verkkopalveluissa ja asioida netissä esimerkiksi valtion ja kunnan organisaatioiden kanssa. Pelkästään viime vuonna Väestörekisterikeskus käytti 2,2 miljoonaa euroa kansalaisvarmennepalveluun. Yhteensä valtion arvioidaan käyttäneen sähköisen henkilökortin kehittämiseen yli 30 miljoonaa euroa. Valtiovarainministeriöstä myönnetään, että asiaa selvittänyt ryhmä on jättänyt palvelun lakkauttamisesta esityksen. Se on lähtenyt lausuntokierrokselle kesäkuussa. Valtion ylläpitämä kansalaisvarmennepalvelu ei ole saanut käyttäjiä odotetulla tavalla. Sen sijaan suomalaiset käyttävät yleisesti pankkien tunnuksia, jos heidän tarvitsee varmistaa henkilöllisyytensä verkkopalveluissa. Sähköisen asioinnin tunnistamisista vain alle puoli prosenttia tehdään kansalaisvarmenteella. Näistäkin käyttäjistä osa on virkamiehiä, jotka käyttävät tunnistetta virkavarmenteen sijasta työssään. Pankkien nettitunnuksilla voi verkkopankkien lisäksi asioida esimerkiksi verohallinnossa ja useissa kaupallisissa palveluissa. Viitattu: 20151030
  4. yle.fi 1999-02-24: Uusi henkilökortti käyttöön