5 554
muokkausta
Muutokset
Siirry navigaatioon
Siirry hakuun
p
Molemmille allekirjoituksille on yhteistä niiden luotettava todentaminen tarvittaessa. Oikeusvaltiossa se tapahtuu viime kädessä tuomioistuimessa joka on kyseisen tapahtuman kolmas, ulkopuolinen osapuoli. Ilman tätä mahdollisutta luotettavien sopimusten pohja sortuu eikä oikeusvaltion sopimusympäristöä enää ole.
Suomessa on vakiintunut kaksi tapaa tehdä sähköisiä allekirjoituksia:
* kolmannen osapuolen tekemä
* matemaattiset PKI (krpytograafisetvarmennehierarkia) -allekirjoitukset Molemmille allekirjoituksille on yhteistä niiden luotettava todentaminen tarvittaessa. Oikeusvaltiossa se tapahtuu viime kädessä tuomioistuimessa joka on kyseisen tapahtuman kolmas, ulkopuolinen osapuoli. Ilman tätä mahdollisutta luotettavien sopimusten pohja sortuu eikä oikeusvaltion sopimusympäristöä enää ole.
=== Kolmannen osapuolen tekemä ===
'''Kolmannen osapuolen tekemä''' allekirjoitus perustuu palveluun jonka käyttäjä on tunnistettu [[Luettelo tunnisteista|jollakin vahvalla tunnistella]] ja jonka ympäristössä allekirjoittamiseksi mielletty merkitseminen tai palvelun hallussa olevalla välineellä allekirjoittaminen tapahtuu. Tällöin ei voida puhua varsinaisesta allekirjoituksesta kuten perinteisesti on mielettymielletty ja korkeakoulujen tietojenkäsittelytieteessä tunnetaan, koska merkitsemisen tai allekirjoituksen tekee joku muu kuin sillä sopimukseen sidottu osapuoli eikä allekirjoitusväline (kynä) ole edes sopimusosapuolen hallussa. Mikään ei estäisi estä palvelun tarjoajaa fabrikoimasta allekirjoituksia sopimusosapuolen tietämättä. Koska tapahtuma suoritetaan palvelussa eikä sopimusosapuolen hallussa laitteessa, allekirjoitettava sisältö ladataan (kopioidaan) palveluun, jossa se voidaan edelleen monistaa ja välittää eteenpäin, siihen voi tutustua tapahtuman ulkopuoliset tahot kuten palvelun työntekijät tai vastaava osapuoli. Moni sisältö on usein NDA:n (''Non Disclosure Agreement'') alaista ja siten sen lataaminen palveluun "allekirjoitettavaksi" voi olla sopimusrikkomus ja laukaista sen sanktiopykälät.
Ulkopuolisen - kuten tuomioistuimen, jälkikäteen suorittamaa aitouden todentamista ei voida tehdä. On vain kolmannen osapuolen, sähköisen palvelun - jota todennäköisesti ei sido mikään vastuu - tallentama merkintä, että kyseinen sisältö on allekirjoitettu. Kaikki perustuu luottamukseen palvelun tarjoajan nuhteettomuudesta eikä tätä kolmatta osapuolta välttämättä sido edes lakiin perustuva kahdenvälinen sopimus- tai virkavastuu.
Kyse ei siis ole allekirjoituksesta kuten perinteisestä paperia käyttävässä yhteiskunnassa tai tietotekniikassa termi ymmärretään. Edelläolevasta huolimatta, jos käyttäjä on tunnistettu käyttämällä vahvaa tunnistetta, allekirjoitusmerkinnällä on tänä päivänä oikeudellinen asema Suomessa.
=== Matemaattiset PKI-allekirjoitukset ==='''Matemaattiset PKI-allekirjoitukset''' eli kryptograafiset [[varmenne|varmennehierarkialla]] tehdyt allekirjoitukset perustuvat ''avaimiin'', niistä muodostettuihin [[Varmenne|varmenteisiin]] jotka ovat allekirjoittajan itsensä hallussa ja avaimia käyttävään ''laskenta-algoritmiin'' jolla allekirjoitus ja sen aitouden todennus tapahtuu.
Jos avaimen haltijan salaiset tiedot - salainen allekirjoitusavain tai sitä suojaava salainen , varmenne ja tunnusluku eivät päädy vääriin käsiin, eikä käytetyistä algoritmeista tekniikasta löydy niitä murtavia heikkouksia, - PKI-allekirjoitusta voidaan pitää luotettavana koska sitä ei pysty tekemään kukaan muu kuin avaimien haltijakyseinen henkilö. Siten PKI-allekirjoitusta pidetään tietotekniikassa analogista allekirjoitusta tai sormenjälkeä vastavaana digitaalisena versiona.
Allekirjoittaminen voi tapahtua käyttäjän hallussa olevassa laitteessa - tai haluttaessa allekirjoitustoimintoa tarjoavasssa palvelussa. Käyttäjän laitteen tapauksessa sisältöä ei tarvitse luovuttaa kolmannen osapuolen haltuun ja sisällön salaisuus säilyy eikä mahdollista NDA-rikkomusta synny.
Jos allekirjoitusmuoto on yleisesti tunnettu kuten [[ASiC|ASiC-E]], sen tuomioistuimessa oikeaksi todentaminen on huomattavasti helpompaa kun istunnon aikana ei tarvita teknistä analyysiä todisteluineen.
Kokonaisuutena, omassa laitteessa tehdystä PKI-allekirjoituksesta puuttuu kaikki allekirjoituspalvelun ongelmat.
== Uudet dokumenttimuodot vai säiliö ==
Allekirjoituksessa itse sisältöön ei varsinaisesti kosketa. Allekirjoitus, yleensä sisältöineen - luovutetaan sopimusosapuolille ja sopimus on valmis. Sisältöä vastaava tiiviste ja itse tiivisteen allekirjoitus voidaan julkistaa julkistamatta välttämättä sisältöä. Allekirjoitus on matemaattinen, yksisuuntainen operaatio joka voidaan perinteisen tavoin todeta aukottomasti oikeaksi myöhemmin.
== Kritiikkiä ==
* Käyttäjän oikeusturvan kannalta on tärkeää, että hän tietää ja voi olla varma mitä asiakirjoja allekirjoittaessa ja mihin mahdollisesti sitoutuu. Koska allekirjoitus on kaksivaiheinen (tiivisteen laskenta, allekirjoitus), eikä tiiviste ole selkokielinen - muodostuu riski, että käyttäjä allekirjoittaa muuta sisältöä mitä luulee allekirjoittavansa koska allekirjoitettava tiiviste on vaihtunut jossakin vaiheessa. Riski on käytännössä marginaalinen, mutta se on suurempi jos käytetyt ohjelmistot ovat palvelussa eikä käyttäjän hallussa olevassa omassa laitteessa.
== Katso myös ==
