5 590
muokkausta
Muutokset
Siirry navigaatioon
Siirry hakuun
=== Allekirjoitusmerkintä ===
Merkintätapa on aina käytössä verkkopalvelussa asioidessa eikä se käytä varmenteita tai niiden salaisia avaimia. Se ei siis ole allekirjoitus eikä sitä saa kutsua sellaiseksi. Tämä ei ole silti estänyt tekemästä järjestelmiä, jotka käyttävät sitä.
[[Tiedosto:Prh.allekirjoitus-2.png|right|300px|thumb|[[PRH|Patentti- ja rekisterihallituksessa]] on eIDAS SES-laatutason allekirjoitusmerkintä käytössä joka on harhaanjohtava koska mitään allekirjoitusta ei tehdä. Käyttöliittymän olisi voinut tehdä paremmin.]]
Asioijalle tarjotaan käyttöliittymässä toiminto joka "allekirjoittaa" tapahtuman ja sitoo sen tekijän tapahtumaan. Käyttöliittymän allekirjoituksen aktivointi tarkoittaa asiointitapahtuman merkitsemistä allekirjoitetuksi esimerkiksi tietokantaan. Merkintä ei poikkea muista tiedoista ja sen väärentäminen on hyvin helppoa esimerkiksi tietomurron yhteydessä. Asiointitapahtuman tiedoista ei voida myöskään antaa osapuolille omaa kopiota, jossa olisi allekirjoitus todennettavissa, koska sellaista ei ole olemassa.
Merkinnän oikeudellinen merkitys on epäselvä. Varmuuden saaminen edellyttäisi pitkiä todistajalausuntoja palveluntarjoajalta. Toisaalta palveluntarjoaja ei pystyisi missään tilanteessa aukottomasti todistamaan, ettei merkintöjä ole tehty aiheetta. Kyse on luottamuksesta palveluntarjoajaan ja sen käyttämän järjestelmän tietoturvaan. Merkinnällä ei ole mitään tekemistä allekirjoittamisen kanssa kuten paperille tehtynä on mielletty ja tietojenkäsittelytieteessä ymmärretään. Siihen nojaaminen on sotkenut väestön käsityksen siitä, mitä sähköinen allekirjoittaminen tarkoittaa.
Kyseinen tapa on käytössä esimerkiksi valtion [http://prh.fi/ [PRH|Patentti- ja rekisterihallituksen] ] (kts kuvat) verkkopalvelussa.
Laadullisesti allekirjoitusmerkintä vastaa [[Allekirjoitus#Laatu|tasoa]] '''SES''' (''Simple/Standard Electronic Signature'').
Koska tapahtuma suoritetaan palvelussa eikä sopimusosapuolen hallussa laitteessa, allekirjoitettava sisältö täytyy ladata ja tallentaa palveluun, jossa se voidaan edelleen monistaa ja välittää eteenpäin. Samoin tapahtuman ulkopuolisten tahojen, kuten palvelun työntekijöiden tai vastaavan osapuolen, on mahdollista tutustua sisältöön. Moni sisältö on [[NDA|vaitiolovelvollisuuden]] (''NDA, Non Disclosure Agreement'') alaista ja siten sellaisen lataaminen kolmannen osapuolen palveluun "allekirjoitettavaksi" voi teknisesti katsoen olla sopimusrikkomus ja laukaista vaitiolovelvollisuussopimuksen sanktiopykälät.
Ulkopuolisen - kuten tuomioistuimen - jälkikäteen suorittamaa aitouden todentamista ei voida tehdä aukottomasti, koska sopimusosapuolen ja allekirjoituksen välistä puuttuu ns. [[tekninen sidos]]. Sisällön ja sopimusosapuolen välinen matemaattinen eli kryptografinen sidos on katkennut, kun allekirjoitus on tehty sisäänkirjautuneena ja tunnistettuna (pahimmillaan jopa salasanalla) palvelun omalla varmenteella. Palveluntarjoaja ei myöskään pysty aukottomasti todistamaan, että nimenomaan sopimusosapuoli on tehnyt allekirjoituksen.
Kaikki [[Allekirjoitus/Tavat|allekirjoituspalvelut]] ovat yksityisten yritysten tuottamia eikä niiden työntekijöitä sido [[virkavastuu]]. Niiden käytössä on kyse palvelun käyttäjän ja palvelua tarjoavan yrityksen välisestä yksityisoikeudellisesta sopimuksesta, jonka on laatinut alusta loppuun palveluntarjoaja.
* jos allekirjoitus tapahtuu omassa laitteessa omilla ohjelmilla, kortilla voi allekirjoittaa mitä tahansa, ei ainoastaan palvelun tarjoamia vaihtoehtoja
Jos salaiset tiedot, varmenne ja tunnusluku eivät päädy vääriin käsiin, eikä tekniikasta löydy niitä murtavia heikkouksia, varmennekortti-allekirjoitusta voidaan pitää luotettavana, koska sitä ei pysty tekemään kukaan muu kuin kortin ja sen käyttöön tarvittavien salaisuuksien haltija. Siten varmennekortti-allekirjoitusta pidetään tietotekniikassa [[Omakätinen allekirjoitus|analogista allekirjoitusta ]] tai sormenjälkeä täysin vastavaana digitaalisena versiona.
Allekirjoittaminen voi tapahtua käyttäjän hallussa olevassa laitteessa - tai niin haluttaessa allekirjoitustoimintoa tarjoavassa palvelussa. Käyttäjän laitteen tapauksessa sisältöä ei välttämättä tarvitse luovuttaa kolmannen osapuolen haltuun, sisällön luottamuksellisuus säilyy eikä NDA-rikkomusta synny.
* [[AdES/QC]] (''Advanced Electronic Signature, Qualified Certificate'') suomeksi '''kehittynyt sähköinen allekirjoitus hyväksytyllä varmenteella''' tarkoittaa käytännössä QES-tason allekirjoitusta, joka on tehty [[HSM]]-välineellä joka ei täytä [[eIDAS]]-asetuksen [[QSCD]]-vaatimuksia. Suomen kaikki henkilökortit olivat näitä [[Digivirasto/Notifiointisotku|notifiointisotkun]] takia. G3.2 sukupolvea (2021 alusta valmistetut) vanhemmilla korteilla tehdyt allekirjoitukset tuottavat AdES/QC-laatua, joka ei vastaa [[Omakätinen allekirjoitus|omakätistä allekirjoitusta]] ulkomailla.
* [[QES]] (''Qualified Electronic Signature'') suomeksi '''hyväksytty sähköinen allekirjoitus''' tarkoittaa ''kehittynyttä sähköistä allekirjoitusta, joka on luotu [[QSCD|hyväksytyllä sähköisen allekirjoituksen luontivälineellä]] ja joka perustuu sähköisten allekirjoitusten [[Hyväksytty varmenne|hyväksyttyyn varmenteeseen]]''. QES-allekirjoitus vastaa laissa [[Omakätinen allekirjoitus|omakätistä allekirjoitusta]], sen väärentäminen ei nykytiedon mukaan ole mahdollista, eikä laadullisesti parempaa ole.
== Validointi ==
Käytännöt ovat sekavia ja sähköisestä allekirjoituksesta [[Henkilökortti/Asiointipalveluita|kieltäytyminen on yleistä]]. Julkisen sektorin tapauksessa kannattaa selvittää (kysyä vastaanottajalta itseltään) valvova viranomainen ja kannella toiminnasta sinne. Yleensä pelkkä maininta kantelun tekemisestä innostaa tutkimaan allekirjoitusta tarkemmin ja hyväksymään sen.
Luottamusta eri käytäntöihin lisäisi, jos valtio ja kunnat lähettäisivät enemmän allekirjoitettuja asiakirjoja, mutta käytäntö on osoittanut julkisen sektorin olevan yksi jarruttajista , vaikka näin toimiminen on lainvastaista.
== Kritiikkiä ==
