Muutokset

'''Allekirjoitus''' on oleellinen osa digitalisaatiota. Läntiset yhteiskunnat ovat [https://fi.wikipedia.org/wiki/Oikeusjärjestys oikeusjärjestyksellisiä] ympäristöjä ''Koska koska järjestäytynyt yhteiskunta vaatii tiettyjä selkeitä sääntöjä toimiakseen'' - ympäristöjä , jotka perustuvat tuomiovallan olemassaoloon, aseman tunnustamiseen ja sen tuomaan luottamuksen ilmapiiriin.

Suurin osa yhteiskunnassa toimivista yhteiskunnan tapahtumista on sopimusten käsittelyä sopimuksia, joihin osapuolet sitoutuvat allekirjoittamalla ne. Jopa yksittäiset ostotapahtumat ovat sopimuksia, sen niiden osat tarjouspyyntö, tarjous, tilaus, lähete, lasku ja maksusuorite - ovat sopimuksia. Näistä viimeinen on yleisesti käytössä kortilla maksaessa , jossa maksukortilla annetaan pankille lupa maksusuoritukseen.

'''Sormenjälki ja muste''' olivat ensimmäisiä allekirjoitusvälineitä ennen kuin opittiin kirjoittamaan. Paperilla allekirjoittaminen tapahtuu kynällä sille varatussa kohdassa. Allekirjoitus tehdään paperiin , jonka sisältö ''alle-kirjoitetaan'' sanan varsinaisessa merkityksessä allekirjoittajan henkilön nimellä (näin ei ole esim . yrityksen tapauksessa, toimitusjohtaja yhteisön [[Nimenkirjoitusoikeus|nimenkirjoitusoikeudellinen]] henkilö ei kirjoita kaunokirjoituksella yrityksen nimeä ''Outokumpu Oyj'' - joskus on vain niin sovittu.). Kirjoitettua allekirjoitusta jota voidaan myöhemmin tulkita tarkkaan ja todeta sen tekijä kohtuullisen varmasti eri yksityiskohdista. Maksutapahtuman esimerkissä ennen allekirjoitettiin käsin paperinen shekki , joka oli lupaus maksusuorituksesta.

Oli väline mikä tahansa, '''Laki määritteleeallekirjoituksen tarkoitus on sitoa sen osapuolet sopimukseen''' sähköisen allekirjoituksen aseman yhteiskunnassa - ilman lakia allekirjoituksella ei ole merkitystä. Suomessa Näin oli ennen ja niin on tulevaisuudessakin. Poikkeuksena tästä on [[laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksistaavioehto]] määrittelee käsitteen , jonka voimaantulo edellyttää sen toimittamista osapuolien ja todistajien allekirjoittamana [[vahva tunnistusDigivirasto]] joka on oikeustoimikelpoinen allekirjoitus. Lain ensimmäinen versio tuli voimaan vuonna 1999 kun [[henkilökortti]Testamentti|Testamentin] julkaistiin. Euroopan unionin [[EIDAS]]-direktiivi määrittelee saman luottopalveluiden oikeudellisen aseman kuin Suomen laki, direktiivi kattaa koko yhteisön alueen. Jos sopimuksen ''oikeustoimipaikan lainsäädäntö'' ei tunne käytettyä allekirjoitusvälinettä tai allekirjoitettua muotoa, allekirjoituksella osalta samankaltaista vaatimusta ei ole merkitystä.

== Allekirjoitustavat Suomessa Tavat ==

* allekirjoituspalvelupalveluallekirjoitus* varmennekortti-allekirjoituksetallekirjoitus

Kaikille allekirjoituksille === Allekirjoitusmerkintä ===Merkintätapa on yhteistä aina käytössä verkkopalvelussa asioidessa eikä se käytä varmenteita tai niiden luotettava todentaminen tarvittaessasalaisia avaimia. Oikeusvaltiossa se tapahtuu viime kädessä tuomioistuimessaSe ei siis ole allekirjoitus eikä sitä saa kutsua sellaiseksi. Ilman tätä mahdollisutta luotettavien sopimusten pohja sortuu eikä oikeusvaltion sopimusympäristöä enää Tämä ei olesilti estänyt tekemästä järjestelmiä, jotka käyttävät sitä.

Allekirjoitukset yleensä tehdään [[varmenneTiedosto:Prh.allekirjoitus-2.png|varmenteenright|300px|thumb|[[PRH|Patentti- ja rekisterihallituksessa]] ''salaisella avaimella'', tietojenkäsittelytiede on eIDAS SES-laatutason allekirjoitusmerkintä käytössä joka on harhaanjohtava koska mitään allekirjoitusta ei tunne muuta tapaatehdä. Koska kyse on allekirjoituksen uskottavuudesta, on ymmärrettävä kenen hallussa tämä salainen avain on, kuka ja millä ehdoin sillä voi Käyttöliittymän olisi voinut tehdä allekirjoituksiaparemmin.]]

=== Allekirjoitusmerkintä ===Merkintätapa Asioijalle tarjotaan käyttöliittymässä toiminto joka "allekirjoittaa" tapahtuman ja sitoo sen tekijän tapahtumaan. Käyttöliittymän allekirjoituksen aktivointi tarkoittaa asiointitapahtuman merkitsemistä allekirjoitetuksi esimerkiksi tietokantaan. Merkintä ei poikkea muista tiedoista ja sen väärentäminen on aina käytössä verkkopalvelussa asioidessa eikä se käytä varmenteita tai niiden salaisia avaimiahyvin helppoa esimerkiksi tietomurron yhteydessä. Se Asiointitapahtuman tiedoista ei siis ole voida myöskään antaa osapuolille omaa kopiota, jossa olisi allekirjoitus eikä sitä saa kutsua sellaiseksi. Tämä todennettavissa, koska sellaista ei ole silti estänyt tekemästä ihmisiäolemassa.

Asioijalle tarjotaan käyttöliittymässä toiminto joka ''allekirjoittaa'' tapahtuman ja sitoo sen tekijän tapahtumaanMerkinnän oikeudellinen merkitys on epäselvä. Käyttöliittymän allekirjoituksen aktivointi tarkoittaa asiointitapahtuman merkitsemistä allekirjoitetuksi esimerkiksi tietokantaanVarmuuden saaminen edellyttäisi pitkiä todistajalausuntoja palveluntarjoajalta. Merkintä Toisaalta palveluntarjoaja ei poikkea muista tiedoista pystyisi missään tilanteessa aukottomasti todistamaan, ettei merkintöjä ole tehty aiheetta. Kyse on luottamuksesta palveluntarjoajaan ja sen väärentäminen käyttämän järjestelmän tietoturvaan. Merkinnällä ei ole mitään tekemistä allekirjoittamisen kanssa kuten paperille tehtynä on hyvin helppoa esimerkiksi tietomurron yhteydessämielletty ja tietojenkäsittelytieteessä ymmärretään. Asiointitapahtuman tiedoista ei voida myöskään antaa osapuolille omaa kopiota jossa olisi allekirjoitus todennettavissaSiihen nojaaminen on sotkenut väestön käsityksen siitä, koska sellaista ei ole olemassamitä sähköinen allekirjoittaminen tarkoittaa.

Merkinnän oikeudellinen merkitys Kyseinen tapa on epäselvää, se edellyttäisi pitkiä todistajalausuntoja palveluntarjoajalta käytössä esimerkiksi valtion [[PRH|Patentti- ja toisaalta palveluntarjoaja ei pystyisi aukottomasti todistamaan ettei niitä ole merkitty aiheetta. Kyse on luottamuksesta palveluntarjoajaan ja sen käyttämän järjestelmän tietoturvaan. Merkinnällä ei ole mitään tekemistä allekirjoittamisen kanssa kuten paperille tehtynä on mielletty ja tietojenkäsittelytieteessä ymmärretään. Sen toteuttaminen on sekoittanut väestön käsitystä mitä sähköinen allekirjoittaminen tarkoittaarekisterihallituksen]] (kts kuvat) verkkopalvelussa.

Kyseinen tapa on käytössä Suomessa, esimerkiksi valtion Laadullisesti allekirjoitusmerkintä vastaa [http:/[Allekirjoitus#Laatu|tasoa]] '''SES''' (''Simple/prh.fi/ Patentti- ja rekisterihallituksen] verkkopalvelussaStandard Electronic Signature'').

=== Allekirjoituspalvelu Palveluallekirjoitus ===Allekirjoituspalveluss Palveluallekirjoituksessa allekirjoitus tapahtuu [[Allekirjoitus/Tavat|verkkopalvelussa]] kolmannen osapuolen tekemänä ja jossa käyttäjä on ainakin joskus tunnistettu [[Luettelo tunnisteista|jollakin vahvalla tunnistellatunnisteella]]. Niihin pätee pätevät yleensä seuraavaseuraavat seikat:* palvelun käyttö ei vaadi vahvaa tunnistusta, ainoastaan siihen rekisteröinti* allekirjoitus tehdään palveluympäristössä eikä käyttäjän päätelaittessa päätelaitteessa (tietokone, puhelin)* allekirjoitus tehdään palvelun omalla välineellä(kynä)* allekirjoitusväline (kynä) ei ole sopimusosapuolen hallussa

* allekirjoitusväline (kynä) ei ole sopimusosapuolen hallussa* kaikki allekirjoitukset ovat teknisesti samanlaisia ''sama nimi, Pertti Virtanen'' (samalla varmenteella tehtyjä(samalla kynällä) ja sen niiden oheen merkitään sopimusosapuolen nimi tms.* mikään ei estä palvelun tarjoajaa fabrikoimasta väärentämästä allekirjoituksia sopimusosapuolen nimissä tämän tietämättä, koko ratkaisu perustuu luottamukseen

Koska tapahtuma suoritetaan palvelussa eikä sopimusosapuolen hallussa laitteessa, allekirjoitettava sisältö ladataan täytyy ladata ja tallennetaan tallentaa palveluun, jossa se voidaan edelleen monistaa ja välittää eteenpäin. Samoin tapahtuman ulkopuolisten tahojen, siihen voi tutustua tapahtuman ulkopuoliset tahot kuten palvelun työntekijät työntekijöiden tai vastaava osapuolivastaavan osapuolen, on mahdollista tutustua sisältöön. Moni sisältö on usein [[NDA|vaitiolovelvollisuuden]] (''NDA, Non Disclosure Agreement'') alaista ja siten sen sellaisen lataaminen kolmannen osapuolen palveluun "allekirjoitettavaksi" voi teknisesti katsoen olla sopimusrikkomus ja laukaista sen vaitiolovelvollisuussopimuksen sanktiopykälät.

Ulkopuolisen - kuten tuomioistuimen - jälkikäteen suorittamaa aitouden todentamista ei voida tehdä aukottomasti , koska sopimusosapuolen ja allekirjoiktuksen allekirjoituksen välistä puuttuu ns ''. [[tekninen sidos']]. Sisällön ja sopmimusosapuolen sopimusosapuolen välinen matemaattinen - eli kryptograafinen kryptografinen sidos on katkennut , kun allekirjoitus tehdään on tehty sisäänkirjautuneena ja tunnistettuna (pahimmillaan jopa salasanalla) palvelun omalla varmenteella. Palvelun tarjoaja Palveluntarjoaja ei myöskään pysty aukottomasti todistamaan, että nimenomaan sopimusosapuoli on tehnyt allekirjoituksen.

Kaikki [[Allekirjoitus/Tavat|allekirjoituspalvelut]] ovat yksityisiä yrityksiä yksityisten yritysten tuottamia eikä niiden työntekijöitä sido [[virkavastuu]]. Niiden käytössä on kyse palvelun käyttäjän ja palvelua tarjoavan yrityksen välisestä yksityisoikeudellisesta sopimuksesta , jonka on laatinut alusta loppuun palvelun tarjoajapalveluntarjoaja.

Kolmannen osapuolen palvelussa varmenteella tehtyä allekirjoitusta voi jo kutsua allekirjoitukseksi kuten perinteisesti mielletään ja niiden käyttö on yleisintä Suomessa. Siitä huolimatta se perustuu vahvasti luottamukseen koska tapahtumassa tekninen sidos on katkennut.

=== Varmennekortti-allekirjoitukset ===Varmennekortti-allekirjoitukset eli henkilökortilla tehdyssä allekirjoituksessa allekirjoitusväline on allekirjoittajan itsensä hallussa täysinLaadullisesti palveluallekirjoitus vastaa [[Allekirjoitus#Laatu|tasoa]] '''AdES''' (''Advanced Electronic Signature''). Tällöin * sopimuksen kolmatta osapuolta ei ole* sopimuksen toinen osapuoli voi aukotta todistaa, että allekirjoituksen on voinut tehdä ainoastaan kortin haltija* jos allekirjoitus tapahtuu omassa laitteessa omilla ohjelmilla, kortilla voi allekirjoittaa mitä tahansa, toisin kuin palvelun tarjoamia vaihtoehtoja

Jos salaiset tiedot, varmenne ja tunnusluku eivät päädy vääriin käsiin, eikä tekniikasta löydy niitä murtavia heikkouksia === Varmennekortti- varmennekorttiallekirjoitus ===Varmennekortti-allekirjoitusta voidaan pitää luotettavana koska sitä ei pysty tekemään kukaan muu kuin kyseinen henkilö. Siten varmennekortti-allekirjoitusta pidetään tietotekniikassa analogista allekirjoitusta tai sormenjälkeä allekirjoituksessa eli henkilökortilla tehdyssä allekirjoituksessa allekirjoitusväline on täysin vastavaana digitaalisena versionaallekirjoittajan itsensä hallussa.Tällöin

* sopimuksella ei ole kolmatta osapuolta* sopimuksen toinen osapuoli voi aukottomasti todistaa, että allekirjoituksen on voinut tehdä ainoastaan kortin haltija* jos allekirjoitus tapahtuu omassa laitteessa omilla ohjelmilla, kortilla voi allekirjoittaa mitä tahansa, ei ainoastaan palvelun tarjoamia vaihtoehtoja Jos salaiset tiedot, varmenne ja tunnusluku eivät päädy vääriin käsiin, eikä tekniikasta löydy niitä murtavia heikkouksia, varmennekortti-allekirjoitusta voidaan pitää luotettavana, koska sitä ei pysty tekemään kukaan muu kuin kortin ja sen käyttöön tarvittavien salaisuuksien haltija. Siten varmennekortti-allekirjoitusta pidetään tietotekniikassa [[Omakätinen allekirjoitus|analogista allekirjoitusta]] tai sormenjälkeä täysin vastavaana digitaalisena versiona. Allekirjoittaminen voi tapahtua käyttäjän hallussa olevassa laitteessa - tai niin haluttaessa allekirjoitustoimintoa tarjoavasssa tarjoavassa palvelussa. Käyttäjän laitteen tapauksessa sisältöä ei välttämättä tarvitse luovuttaa kolmannen osapuolen haltuun ja , sisällön salaisuus luottamuksellisuus säilyy eikä mahdollista NDA-rikkomusta synny.

OrganisaatioKokonaisuutena omassa laitteessa tehdystä varmennekortti- ja sote-korteilla tehdyissä allekirjoituksissa ei ole HETU- eikä SATUallekirjoituksesta puuttuu kaikki muiden allekirjoitustapojen ongelmat. Laadullisesti varmennekortti-tunnusta vaan niiden sisältämät kortin myöntäjän yksilöivät tunnukset ja mahdollisesti tittelit ja asema. Ulkopuolisilla on yleensä rajoitettu pääsy näihin tietoihin jolla voi olla merkitystä allekirjoituksen oikeellisuutta tarkistettaessaallekirjoitus vastaa [[Allekirjoitus#Laatu|tasoa]] '''QES''' (''Qualified Electronic Signature''). == Muodot ==

KokonaisuutenaKäytännössä levinneitä muotoja ovat Adoben kehittämä [[PDF]] ja Viron valtion EU-hankkeena kehittämä [[DigiDoc]]. Valtio ei ole laissa tai asetuksissa määrännyt eikä suositellut mitään muotoa, omassa laitteessa tehdystä varmennekorttimutta julkinen sektori käyttää sisäisesti ja lähettelee esimerkiksi opinto- tai maistraatin todistuksia PDF-allekirjoituksesta puuttuu kaikki muiden allekirjoitustapojen ongelmatmuodossa.

'''Digitaalisessa allekirjoituksessa''' ei voida toimia kuten paperissessa tapauksessa teknisten rajoitteiden takia. Digitaaliset sisällöt PDF on maailmanlaajuisesti käytetty ja niitä kantavat dokumenttiformaatit (tekstityleisesti tunnettu, kuvat, taulukkolaskennat) ISO-standardoitu tiedostomuoto. PDF-ohjelmat ovat olleet olemassa ennen digitaalisia allekirjoituksialaajasti saatavilla, ennen arkiasioinnin mutta ne kaikki eivät osaa luoda ja tietotekniikan esittää allekirjoituksia eri käyttöjärjestelmissä ja verkkojen yhdistymistä digitalisaatioksilaitteissa. Tästä johtuen niissä ei ole ollut alusta lähtien yhtenäistäKoska allekirjoitus on lisätty PDF-muotoon jälkikäteen ja se on osa tiedoston sisältöä, sovittua tapaa lisätä niihin osapuolien sormenjälkiä tai allekirjoituksiasiinä on omat ongelmansa. Se mahdollisuus PAdES (PDF Advanced Electronic Signatures) on tullut vasta myöhemminjoukko rajoituksia ja laajennuksia PDF-tiedostomuotoon sekä ISO-standardi 32000-1:een, viime vuosinajotka tekevät tiedostomuodosta sopivan '''edistyneille sähköisille allekirjoituksille'''. ETSI on julkaissut PAdESin tunnuksella EN 319 142.

Edelläolevasta johtuen digitaalisten allekirjoitusten DigiDoc on käytössä Virossa, Israelissa ja niihin liittyvien sisältöjen sitomisessa toisiinsa Norjassa, sekä sitä on kaksi vaihtoehtoa:* '''tehdään kaikista dokumenttiformaatista uudet versiot'''käytetty asioinnissa Suomen julkisella ja yksityisellä sektorilla. Viron korkean digitalisaatioasteen takia sen tapahtumamäärät ova valtavia. Ohjelmat ovat ilmaisia, kuten esimerkiksi avointa lähdekoodia ja saatavissa useammalle käyttöjärjestelmälle ja laitteelle kuin PDF. DigiDoc on säiliö (zip-muotoon lisätään allekirjoitusominaisuustiedosto) jonka sisään voi lisätä mitä tahansa muita tiedostoja.* '''säilytetään vanhat formaatit sellaisenaan Säiliön etu on sisällön säilyminen alkuperäisenä ja sidotaan allekirjoitukset''' luotettavasti toisiinsa tallentamalla ne säiliöönkoskemattomana koska se on kehitetty ainoastaan allekirjoituksessa käytettäväksi. DigiDocin ongelma suomalaisen käytön kannalta on sen huono tunnettavuus Suomessa. Teknisesti ottaen DigiDoc on XAdES ("XML Advanced Electronic Signatures"), ETSI EN 319 132-1 V1.1.0.

kumpaakin on yritetty ja tehtyLopulta valinnan tekevät käyttäjät itse. Esimerkiksi taloyhtiössä voidaan yhdessä sopia käytetty muoto. Kunhan valittu muoto säilyttää todistusvoimansa mahdollisessa oikeuskäsittelyssä, vaihtelevin tuloksinmuulla ei ole merkitystä.

'''Uusissa formaateissa''' Muotoja on paljon haasteita (l. ongelmia):* dokumenttiformaattejamuitakin, lisää aiheesta [[Allekirjoitus/muotoja on loputon määrä* kaikkiin pitää tehdä muutokset erikseen* kaikkien käyttöliittmät ovat erillaisia* kaikkien allekirjoituksia tulkitaan eri tavalla* kaikkien käyttäjien välineet (ohjelmistot ja laitteet) pitää vaihtaa* kaikki (lMuodot|muodot]] -sivulta. koko väestö) pitää kouluttaa käyttämään niitä* tekniselle allekirjoitukselle on oma paikkansa dokumentin sisällä

Allekirjoituksessa itse sisältöön Sähköisen allekirjoituksen laatuluokituksia ovat: * [[SES]] (''Simple/Standard Electronic Signature'') suomeksi '''sähköinen allekirjoitus''' tarkoittaa ''sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun sähköisessä muodossa olevaan tietoon ja jota allekirjoittaja käyttää allekirjoittamiseen''. Tälläinen voi olla vaikka henkilön nimi sähköpostin lopussa. SES-allekirjoituksella ei varsinaisesti kosketaole käytännössä mitään arvoa eikä sillä voi todistaa yhtään mitään. * [[AdES]] (''Advanced Electronic Signature'') suomeksi '''kehittynyt sähköinen allekirjoitus''' tarkoittaa varmenteella tehtyä allekirjoitusta. Käytännössä nämä ovat [[Allekirjoitus/Tavat|palvelussa]] tehtyjä allekirjoituksia ja laadullisesti vastaavat [[QESeal|sähköistä leimaa]] koska allekirjoitusväline ei ole henkilökohtainen eikä asiakirjaan sitoutuneen osapuolen hallussa. * [[AdES/QC]] (''Advanced Electronic Signature, yleensä sisältöineen Qualified Certificate'') suomeksi '''kehittynyt sähköinen allekirjoitus hyväksytyllä varmenteella''' tarkoittaa käytännössä QES- luovutetaan sopimusosapuolille ja sopimus tason allekirjoitusta, joka on valmistehty [[HSM]]-välineellä joka ei täytä [[eIDAS]]-asetuksen [[QSCD]]-vaatimuksia. Suomen kaikki henkilökortit olivat näitä [[Digivirasto/Notifiointisotku|notifiointisotkun]] takia. Sisältöä vastaava tiiviste G3.2 sukupolvea (2021 alusta valmistetut) vanhemmilla korteilla tehdyt allekirjoitukset tuottavat AdES/QC-laatua, joka ei vastaa [[Omakätinen allekirjoitus|omakätistä allekirjoitusta]] ulkomailla. * [[QES]] (''Qualified Electronic Signature'') suomeksi '''hyväksytty sähköinen allekirjoitus''' tarkoittaa ''kehittynyttä sähköistä allekirjoitusta, joka on luotu [[QSCD|hyväksytyllä sähköisen allekirjoituksen luontivälineellä]] ja itse tiivisteen joka perustuu sähköisten allekirjoitusten [[Hyväksytty varmenne|hyväksyttyyn varmenteeseen]]''. QES-allekirjoitus vastaa laissa [[Omakätinen allekirjoitus|omakätistä allekirjoitusta]], sen väärentäminen ei nykytiedon mukaan ole mahdollista, eikä laadullisesti parempaa ole. == Validointi == Validointi (vahvistaminen, tarkastaminen, oikeellisuuden todentaminen) eli allekirjoituksen oikeellisuuden todentaminen voidaan julkistaa julkistamatta välttämättä sisältöätehdä joko lataamalla tiedosto palveluun tai suorittamalla todentaminen omassa laitteessa ohjelmalla joka tukee kyseistä muotoa. Organisaatio- ja sote-korteilla tehdyissä allekirjoituksissa ei ole HETU- eikä SATU-tunnusta, vaan niiden sisältämät kortin myöntäjän yksilöivät tunnukset ja mahdollisesti asema. Ulkopuolisilla on rajoitettu pääsy näihin tietoihin, minkä takia validointi oikeaan henkilöön on mahdotonta. SATU-tunnuksen tapauksessa se on myös hankalaa, sillä kaikki [[ihmisvälitteinen]] kommunikointi on HETU-tunnuksella, mutta silti SATU:sta saa tietoja julkisista lähteistä. Esimerkiksi 4. päivänä helmikuuta 2022 Juha Tuomala-nimisiä varmennehaun tuloksia on 35 kappaletta joilla on aktiivinen allekirjoitusvarmenne, eikä varmennehakemisto edes palauta [[sähköposti|sähköpostiosoitetta]], jolla niitä voisi erotella toisistaan. == Käytännöt ==Suomen lainsäädäntö ei pakota asiakirjan osapuolia käyttämään sähköistä allekirjoitusta. Lainsäädäntö ei myöskään velvoita vastaanottajaa hyväksymään sähköisesti allekirjoitettua asiakirjaa, ellei kyse ole julkisesta sektorista: tällöin lähettäjä voi vedota [[Laki sähköisestä asioinnista viranomaistoiminnassa|lakiin sähköisestä asioinnista viranomaistoiminnassa]] ja [[eIDAS]]-asetukseen, joka ottaa paljon kantaa teknisiin yksityiskohtiin. Allekirjoituksen tekijä takaa asiakirjan vastaanottajan oikeuksia. * Ovatko osapuolet yksityisiä vai julkisia tahoja?* Millä tai missä allekirjoitus tehdään?* Mikä on asiakirjan [[Allekirjoitus /Muodot|tekninen muoto]]? [[PDF]]? [[DigiDoc]]?* Jos osapuoli on matemaattinenyhdistys, yksisuuntainen operaatio joka voidaan perinteisen tavoin todeta aukottomasti oikeaksi myöhemminonko sähköisten välineiden käyttö sallittu sen säännöissä?* Luottavatko kaikki osapuolet valittuun allekirjoitusvälineisiin, tapaan ja muotoon?* Onko kaikilla osapuolilla valmius [[Validointi|tarkastaa]] allekirjoituksen aitous? Käytännöt ovat sekavia ja sähköisestä allekirjoituksesta [[Henkilökortti/Asiointipalveluita|kieltäytyminen on yleistä]]. Julkisen sektorin tapauksessa kannattaa selvittää (kysyä vastaanottajalta itseltään) valvova viranomainen ja kannella toiminnasta sinne. Yleensä pelkkä maininta kantelun tekemisestä innostaa tutkimaan allekirjoitusta tarkemmin ja hyväksymään sen. Luottamusta eri käytäntöihin lisäisi, jos valtio ja kunnat lähettäisivät enemmän allekirjoitettuja asiakirjoja, mutta käytäntö on osoittanut julkisen sektorin olevan yksi jarruttajista, vaikka näin toimiminen on lainvastaista.

* Käyttäjän oikeusturvan kannalta Valtion tekeminen valintojen takia allekirjoituksen yhdistäminen oikeisiin henkilöihin on tärkeääkäytännössä mahdotonta. Allekirjoitetussa dokumentissa näkyy allekirjoitusvarmenteesta tuleva [[SATU]] tai [[HYT]], mutta allekirjoituksen yhdistäminen jopa paikalla oleviin henkilöihin on hankalaa, että hän koska** allekirjoittaneet saattavat tietää ja voi olla varma mitä asiakirjoja allekirjoittaessa ja mihin mahdollisesti sitoutuutoistensa HETU-tunnukset, jotka yleensä mainitaan sopimustekstissä** nämä eivät todennäköisesti muista SATU-tunnustaan** SATUa ei näe [[Henkilökortti|henkilökorttiin]] painetuista merkinnöistä** keskimääräinen kansalainen ei osaa selvittää SATUa [[DigiSign Client]]-ohjelmasta. Koska allekirjoitus ** valtiolla on kaksivaiheinen (tiivisteen laskentaSATU-HETU sidoksen kyselypalvelu, allekirjoitus)mutta pääsy siihen on rajoitettu: Vaikka allekirjoituksesta ja allekirjoitusvälineestä näkyy etu- ja sukunimi, eikä tiiviste ole selkokielinen - muodostuu riskisitä ei voi pitää luotettavana, että käyttäjä allekirjoittaa muuta sisältöä mitä luulee allekirjoittavansa koska allekirjoitettava tiiviste sillä Suomessa on vaihtunut jossakin vaiheessapaljon samannimisiä henkilöitä. Riski Allekirjoituksen tiedetään olevan aito, mutta ei voida olla täysin varmoja kenen se on käytännössä marginaalinen. * SOTE-korteilla tehdyistä allekirjoituksista näkyy Valviran Terhikki- tai Suosikki-rekisterin henkilönumero tai Organisaatio-korttien yhteisön oma henkilönumero. Kumpiinkaan ei ole pääsyä näiden yhteisöjen ulkopuolisilla tahoilla sen paremmin kuin mahdollisuutta tarkastaa tällaisen henkilönumeron sidosta HETU-tunnukseen. Allekirjoituksen tiedetään olevan aito, mutta ei voida olla täysin varmoja, kenen se on suurempi jos käytetyt ohjelmistot ovat palvelussa eikä käyttäjän hallussa olevassa omassa laitteessa.