5 547
muokkausta
Muutokset
Siirry navigaatioon
Siirry hakuun
* palvelun käyttö ei vaadi vahvaa tunnistusta, ainoastaan siihen rekisteröinti
OrganisaatioKokonaisuutena omassa laitteessa tehdystä varmennekortti- ja sote-korteilla tehdyissä allekirjoituksissa ei ole HETU- eikä SATU-tunnusta vaan niiden sisältämät kortin myöntäjän yksilöivät tunnukset ja mahdollisesti tittelit ja asema. Ulkopuolisilla on yleensä rajoitettu pääsy näihin tietoihin, millä voi olla merkitystä allekirjoituksen oikeellisuutta tarkistettaessaallekirjoituksesta puuttuu kaikki muiden allekirjoitustapojen ongelmat.
Kokonaisuutena omassa laitteessa tehdystä Laadullisesti varmennekortti-allekirjoituksesta puuttuu kaikki muiden allekirjoitustapojen ongelmatallekirjoitus vastaa [[Allekirjoitus#Laatu|tasoa]] '''QES''' (''Qualified Electronic Signature'').
* tekniselle allekirjoitukselle on oma paikkansa dokumentin sisällä
* tekniselle allekirjoitukselle on oma paikkansa pakettimuodon sisällä
* [[AdES]] Validointi (''Advanced Electronic Signature''vahvistaminen, tarkastaminen, oikeellisuuden todentaminen) '''kehittynyt sähköinen allekirjoitus''' on määritelty [[eIDAS]]-asetuksen 26. artiklassa. Kehittyneen sähköisen eli allekirjoituksen on täytettävä seuraavat vaatimukset:# se liittyy yksilöivästi allekirjoittajaansa;# sillä oikeellisuuden todentaminen voidaan yksilöidä allekirjoittaja;# se on luotu käyttäen sähköisen allekirjoituksen luontitietoja, joita allekirjoittaja voi korkealla varmuustasolla käyttää yksinomaisessa valvonnassaan; ja# tehdä joko lataamalla tiedosto palveluun tai suorittamalla se on liitetty sillä allekirjoitettuun tietoon siten, että tiedon mahdollinen myöhempi muuttaminen voidaan havaitaomassa laitteessa ohjelmalla joka tukee kyseistä muotoa.
* Organisaatio- ja sote-korteilla tehdyissä allekirjoituksissa ei ole HETU- eikä SATU-tunnusta vaan niiden sisältämät kortin myöntäjän yksilöivät tunnukset ja mahdollisesti asema. Ulkopuolisilla on rajoitettu pääsy näihin tietoihin, minkä takia validointi oikeaan henkilöön on mahdotonta. SATU-tunnuksen tapauksessa se on myös hankalaa kun kaikki [[QESihmisvälitteinen]] '''hyväksytty sähköinen allekirjoitus''' kommunikointi on HETU-tunnuksella, mutta silti SATU:sta saa tietoja julkisista lähteistä. Esimerkiksi 4. päivä helmikuuta 2022 Juha Tuomala nimisiä varmennehaun tuloksia on 35 kappaletta joilla on aktiivinen allekirjoitusvarmenne, eikä varmennehakemisto edes palauta [[QSCDsähköposti|sähköpostiosoitetta]]jolla niitä voisi erotella toisistaan.
Suurin osa yhteiskunnan tapahtumista on sopimuksia, joihin osapuolet sitoutuvat allekirjoittamalla ne. Jopa yksittäiset ostotapahtumat ovat sopimuksia, niiden osat tarjouspyyntö, tarjous, tilaus, lähete, lasku ja maksusuorite - ovat sopimuksia. Näistä viimeinen on yleisesti käytössä kortilla maksaessa, jossa maksukortilla annetaan pankille lupa maksusuoritukseen.
'''Sormenjälki ja muste''' olivat ensimmäisiä allekirjoitusvälineitä ennen kuin opittiin kirjoittamaan. Paperilla allekirjoittaminen tapahtuu kynällä sille varatussa kohdassa. Allekirjoitus tehdään paperiin, jonka sisältö ''alle-kirjoitetaan'' sanan varsinaisessa merkityksessä allekirjoittajan henkilön nimellä (näin ei ole esim. yrityksen tapauksessa, yhteisön [[Nimenkirjoitusoikeus|nimenkirjoitusoikeudellinen ]] henkilö ei kirjoita kaunokirjoituksella yrityksen nimeä ''Outokumpu Oyj'' - joskus on vain niin sovittu). Kirjoitettua allekirjoitusta voidaan myöhemmin tulkita tarkkaan ja todeta sen tekijä kohtuullisen varmasti eri yksityiskohdista. Maksutapahtuman esimerkissä ennen allekirjoitettiin käsin paperinen shekki, joka oli lupaus maksusuorituksesta.
Oli väline mikä tahansa, '''allekirjoituksen tarkoitus on sitoa sen osapuolet sopimukseen'''. Näin oli ennen ja niin on tulevaisuudessakin. Poikkeuksena tästä on [[avioehto]], jonka voimaantulo edellyttää sen toimittamista osapuolien ja todistajien allekirjoittamana [[Digivirasto]]on. [[Testamentti|Testamentin]] osalta samankaltaista vaatimusta ei ole.
Merkinnän oikeudellinen merkitys on epäselvä. Varmuuden saaminen edellyttäisi pitkiä todistajalausuntoja palveluntarjoajalta. Toisaalta palveluntarjoaja ei pystyisi missään tilanteessa aukottomasti todistamaan, ettei merkintöjä ole tehty aiheetta. Kyse on luottamuksesta palveluntarjoajaan ja sen käyttämän järjestelmän tietoturvaan. Merkinnällä ei ole mitään tekemistä allekirjoittamisen kanssa kuten paperille tehtynä on mielletty ja tietojenkäsittelytieteessä ymmärretään. Siihen nojaaminen on sotkenut väestön käsityksen siitä, mitä sähköinen allekirjoittaminen tarkoittaa.
Kyseinen tapa on käytössä Suomessa, esimerkiksi valtion [http://prh.fi/ Patentti- ja rekisterihallituksen] verkkopalvelussa. Laadullisesti allekirjoitusmerkintä vastaa [[Allekirjoitus#Laatu|tasoa]] '''SES''' (''Simple/Standard Electronic Signature'').
=== Palveluallekirjoitus ===
Palveluallekirjoituksessa allekirjoitus tapahtuu [[Allekirjoitus/Tavat|verkkopalvelussa]] kolmannen osapuolen tekemänä ja jossa käyttäjä on ainakin joskus tunnistettu [[Luettelo tunnisteista|jollakin vahvalla tunnisteella]]. Niihin pätevät yleensä seuraavat seikat:
* allekirjoitus tehdään palveluympäristössä eikä käyttäjän päätelaitteessa (tietokone, puhelin)
* allekirjoitus tehdään palvelun omalla välineellä (kynä)
Ulkopuolisen - kuten tuomioistuimen - jälkikäteen suorittamaa aitouden todentamista ei voida tehdä aukottomasti, koska sopimusosapuolen ja allekirjoituksen välistä puuttuu ns. [[tekninen sidos]]. Sisällön ja sopimusosapuolen välinen matemaattinen eli kryptografinen sidos on katkennut, kun allekirjoitus on tehty tunnistettuna palvelun omalla varmenteella. Palveluntarjoaja ei myöskään pysty aukottomasti todistamaan, että nimenomaan sopimusosapuoli on tehnyt allekirjoituksen.
Kaikki [[Allekirjoitus/Tavat|allekirjoituspalvelut]] ovat yksityisten yritysten tuottamia eikä niiden työntekijöitä sido [[virkavastuu]]. Niiden käytössä on kyse palvelun käyttäjän ja palvelua tarjoavan yrityksen välisestä yksityisoikeudellisesta sopimuksesta, jonka on laatinut alusta loppuun palveluntarjoaja.
Kolmannen osapuolen palvelussa varmenteella tehtyä allekirjoitusta voi jo kutsua allekirjoitukseksi kuten perinteisesti mielletään ja niiden käyttö on yleisintä Suomessa. Siitä huolimatta se perustuu vahvasti luottamukseen koska tapahtumassa tekninen sidos on katkennut.
Laadullisesti palveluallekirjoitus vastaa [[Allekirjoitus#Laatu|tasoa]] '''AdES''' (''Advanced Electronic Signature'').
=== Varmennekortti-allekirjoitus ===
* terveydenhuollon "sote"-kortilla
== Muodot ==
* kaikkien käyttöliittymät ovat erilaisia
* kaikkien allekirjoituksia tulkitaan eri tavalla
* kaikkien käyttäjien välineet (ohjelmistot ja laitteet) välineisiin pitää vaihtaaasentaa ohjelmistoja
* kaikki (l. koko väestö) pitää kouluttaa käyttämään niitä
'''Säiliön''' ominaisuudet:
* sama allekirjoitus (joukko allekirjoituksia) voi kattaa useita eri dokumentteja
* ratkaisu ei ota kantaa nykyisiin eikä tulevaisuuden formaatteihin, kunhan ne ovat tiedostoja
Säiliöinnissä dokumentit (tekstit, kuvat jne) "kääritään" allekirjoitukseen laskemalla sisältöä vastaava [[tiiviste]] kaikista sen tiedostoista ja allekirjoittamalla se käyttäen digitaalisia allekirjoitusvälineitä.
Sähköisen allekirjoituksen laatuluokituksia ovat:
* [[SES]] (Simple/Standard Electronic Signature) suomeksi '''sähköinen allekirjoitus''' tarkoittaa ''sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun sähköisessä muodossa olevaan tietoon ja jota allekirjoittaja käyttää allekirjoittamiseen''. Tälläinen voi olla vaikka henkilön nimi sähköpostin lopussa. SES-allekirjoituksella ei ole käytännössä mitään arvoa eikä sillä voi todistaa yhtään mitään. * [[AdES]] (''Advanced Electronic Signature'') suomeksi '''kehittynyt sähköinen allekirjoitus''' tarkoittaa varmenteella tehtyä allekirjoitusta. Käytännössä nämä ovat [[Allekirjoitus/Tavat|palvelussa]] tehtyjä allekirjoituksia ja laadullisesti vastaavat [[QESeal|sähköistä leimaa]] koska allekirjoitusväline ei ole henkilökohtainen eikä asiakirjaan sitoutuneen osapuolen hallussa. * [[AdES/QC]] (''Advanced Electronic Signature, Qualified Certificate'') suomeksi '''kehittynyt sähköinen allekirjoitus hyväksytyllä varmenteella''' tarkoittaa käytännössä QES-tason allekirjoitusta, joka on tehty [[HSM]]-välineellä joka ei täytä [[eIDAS]]-asetuksen [[QSCD]]-vaatimuksia. Suomen kaikki henkilökortit olivat näitä [[Digivirasto/Notifiointisotku|notifiointisotkun]] takia. G3.2 sukupolvea (2021 alusta valmistetut) vanhemmilla korteilla tehdyt allekirjoitukset tuottavat AdES/QC-laatua, joka ei vastaa [[Omakätinen allekirjoitus|omakätistä allekirjoitusta]] ulkomailla. * [[QES]] (''Qualified Electronic Signature'') suomeksi '''hyväksytty sähköinen allekirjoitus''' tarkoittaa ''kehittynyttä sähköistä allekirjoitusta, joka on luotu [[QSCD|hyväksytyllä sähköisen allekirjoituksen luontivälineellä]] ja joka perustuu sähköisten allekirjoitusten [[Hyväksytty varmenne|hyväksyttyyn varmenteeseen]]''. QES-allekirjoitus vastaa laissa omakätistä allekirjoitusta, sen väärentäminen ei nykytiedon mukaan ole mahdollista, eikä laadullisesti parempaa ole. == Validointi ==
== Käytännöt ==
Suomen lainsäädäntö ei pakota asiakirjan osapuolia käyttämään sähköistä allekirjoitusta. Lainsäädäntö ei myöskään velvoita vastaanottajaa hyväksymään sähköisesti allekirjoitettua asiakirjaa, ellei kyse ole julkisesta sektorista: tällöin lähettäjä voi vedota [[Laki sähköisestä asioinnista viranomaistoiminnassa|lakiin sähköisestä asioinnista viranomaistoiminnassa]] ja mahdollisesti [[eIDAS]]-asetukseen , joka ottaa paljon kantaa teknisiin yksityiskohtiin. Allekirjoituksen tekijä takaa asiakirjan vastaanottajan oikeuksia.
* Onko Ovatko osapuolet yksityisiä vai julkisia tahoja?
* Millä tai missä allekirjoitus tehdään?
* Mikä on asiakirjan [[Allekirjoitus/Muodot|tekninen muoto]]? [[PDF]]? [[DigiDoc]]?
* Jos osapuoli on yhdistys, onko sähköiset välineet sallittuja sähköisten välineiden käyttö sallittu sen säännöissä?
* Luottavatko kaikki osapuolet valittuun allekirjoitusvälineisiin, tapaan ja muotoon?
* Onko kaikilla osapuolilla valmius [[Validointi|tarkastaa]] allekirjoituksen aitous?
Käytännöt ovat sekavia ja sähköisestä allekirjoituksesta [[Henkilökortti/Asiointipalveluita|kieltäytyminen on yleistä]]. Julkisen sektorin tapauksessa kannattaa selvittää (kysyä vastaanottajalta itseltään) valvova viranomainen ja kannella toiminnasta sinne. Yleensä pelkkä maininta kantelun tekemisestä innostaa tutkimaan allekirjoitusta tarkemmin ja hyväksymään sen.
Luottamusta eri käytäntöihin lisäisi , jos valtio ja kunnat lähettäisivät enemmän allekirjoitettuja asiakirjoja, mutta käytäntö on osoittanut julkisen sektorin olevan yksi jarruttajista vaikka se näin toimiminen on lain vastaistalainvastaista.
== Kritiikkiä ==
* Valtion tekeminen valintojen takia allekirjoituksen yhdistäminen oikeisiin henkilöihin on käytännössä mahdotonta. Allekirjoitetussa dokumentissa näkyy allekirjoitusvarmenteesta tuleva [[SATU]] tai [[YksilöintitunnusHYT]], mutta allekirjoituksen yhdistäminen jopa paikalla oleviin henkilöihin on hankalaa , koska:** allekirjoittaneet saattavat tietää toistensa HETU-tunnukset , jotka yleensä mainitaan sopimustekstissä
** nämä eivät todennäköisesti muista SATU-tunnustaan
** SATU:a SATUa ei näe [[Henkilökortti|henkilökortinhenkilökorttiin]] pinnasta painetuista merkinnöistä** normaali ihminen keskimääräinen kansalainen ei osaa selvittää SATU:a SATUa [[DigiSign Client]] -ohjelmasta.
** valtiolla on SATU-HETU sidoksen kyselypalvelu, mutta pääsy siihen on rajoitettu
: Vaikka allekirjoituksesta ja allekirjoitusvälineestä näkyy etu- ja sukunimi, sitä ei voi pitää luotettavana , sillä Suomessa on paljon samannimisiä henkilöitä. Allekirjoituksen tiedetään olevan aito, mutta ei voida olla täysin varmoja kenen se on.
* SOTE-korteilla tehdyistä allekirjoituksista näkyy Valviran Terhikki- tai Suosikki-rekisterin henkilönumero tai Organisaatio-korttien yhteisön oma henkilönumero. Kumpiinkaan ei ole pääsyä näiden yhteisöjen ulkopuolisilla pääsyä ja mahdollista tahoilla sen paremmin kuin mahdollisuutta tarkastaa sen tällaisen henkilönumeron sidosta HETU-tunnukseen. Allekirjoituksen tiedetään olevan aito, mutta ei voida olla täysin varmoja , kenen se on.
== Katso myös ==
* [[Allekirjoitus/Muodot]]
* [[Allekirjoitus/Tavat]]
* [[Validointi]]
* [[Tekniikka/Allekirjoitus]]
