5 547
muokkausta
Muutokset
Siirry navigaatioon
Siirry hakuun
Sähköinen allekirjoitus tarkoittaa kryptograafista laskentaa matemaattisilla ns ''avaimilla'' joka lopputuloksesta voidaan luotettavasti todeta allekirjoituksen tekijä Vuonna 2016 voimaan tullut EIDAS-asetus otti teknisen kehityksen huomioon ja siten lopputuloksesta on tehty lainsäädännöllä ns ''omakätistä allekirjoitusta vastaava'' asetti tunnistukselle ja oikeustoimikelpoinen. Näitä salaisia avaimia säilytetään turvallisesti henkilökortilla joka täyttää tietytallekirjoitukselle yksityiskohtaisia vaatimuksia jotta eri jäsenmaiden, asetuksessa määritellyt laatuvaatimuksetverkossa rajat ylittäneillä välineillä tehdyt tapahtumat olisivat tasavertaisia paikallisen jäsenmaan oikeuden käsittelyssä.
Suomessa henkilökortin allekirjoitusavaimia on tehty vuoden 2000 alusta asti Sähköinen vahva tunnistaminen ja kansallinen lainsäädäntö on tehnyt niistä allekirjoitus tarkoittaa kryptograafista laskentaa matemaattisilla ns ''omakätistä allekirjoitusta vastaaviaavaimilla'' jo tuolloin - mutta vain Suomessa. Henkilökorttien sirut ovat siitä lähtien kehittyneet turvallisemmiksi joka lopputuloksesta voidaan luotettavasti todeta tapahtuman tekijä ja niitä otettu sitä mukaan käyttöön kun tekniikka siten niistä on kehittynyt 20 vuoden aikanatehty lainsäädännöllä oikeustoimikelpoisia. Näitä salaisia avaimia säilytetään turvallisesti henkilökortilla joka täyttää tietyt, asetuksessa määritellyt laatuvaatimukset.
Vuonna 2016 Asetuksen alkuperäinen ajatus oli, että korttien teknisen toteutuksen sertifioinnin tekee niiden valmistaja eikä käyttäjävaltio. Valmistajia on Euroopassa muutamia, esimerkiksi Gemalto, Idemia (Morpho siihen aikaan) - jotka eivät tuossa vaiheessa olleet vielä sertifiointia tehneet tai jäsenvaltiot olivat ostaneet tuotteita joissa sitä ei ollut. Koska asetusta saatettiin voimaan tullut EIDASolemassa olevaan ympäristöön, sen tuli ottaa huomioon jo käytössä olleet välineet jotta niiden käyttö voisi jatkua keskeytyksettä ja laajentaa niiden käyttö kattamaan koko EU:n alue. Siten säädettiin siirtymäaika joka sallisi olemassa olevat -asetus otti teknisen kehityksen huomioon Suomenkin kortit jotka vastasivat asetuksen ''korkean varmuustason tunnistaminen'' ja asetti allekirjoituksille yksityiskohtaisia vaatimuksia jotta eri jäsenmaiden, verkossa rajat ylittäneillä välineillä tehdyt tapahtumat olisivat tasavertaisia paikallisen jäsenmaan oikeuden käsittelyssä''kehittynyttä sähköistä allekirjoitusta'' käsitteitä sähköisessä asioinnissa kaikissa EU:n jäsenmaissa.
Asetuksen alkuperäinen ajatus oli, että korttien teknisen toteutuksen sertifioinnin tekee niiden valmistaja eikä käyttäjävaltioTunnistamisvälineistä EIDAS-asetuksen ''Artikla 9 - Ilmoittaminen'' määrää seuraavaa:<pre> 9 artikla Ilmoittaminen 1. Valmistajia Ilmoittavan jäsenvaltion on Euroopassa muutamiailman aiheetonta viivytystä ilmoitettava komissiolle seuraavat tiedot ja niiden mahdolliset myöhemmät muutokset:a) kuvaus sähköisen tunnistamisen järjestelmästä, mukaan lukien sen varmuustasot ja järjestelmän mukaisten sähköisen tunnistamisen menetelmien myöntäjä tai myöntäjät;b) sovellettava valvontajärjestelmä ja tiedot vastuuta koskevasta järjestelmästä seuraavien osalta: i) sähköisen tunnistamisen menetelmän myöntävä osapuoli; ja ii) todentamismenettelyä operoiva osapuoli;c) sähköisen tunnistamisen järjestelmästä vastaava viranomainen tai vastaavat viranomaiset;d) tiedot siitä, esimerkiksi Gemaltomikä taho tai mitkä tahot hallinnoivat yksilöivien henkilön tunnistetietojen rekisteröintiä;e) kuvaus siitä, Idemia (Morpho siihen aikaanmiten 12 artiklan 8 kohdassa tarkoitetuissa täytäntöönpanosäädöksissä säädetyt vaatimukset on täytetty;f) kuvaus 7 artiklan f alakohdassa tarkoitetusta todentamisesta;g) - jotka eivät tuossa vaiheessa olleet vielä sertifiointia tehneet järjestelyt joko ilmoitetun sähköisen tunnistamisen järjestelmän tai todentamisen tai niiden osien, joiden turvallisuus on vaarantunut, keskeyttämistä tai jäsenvaltiot olivat ostaneet tuotteita joissa sitä ei ollutperuuttamista varten. 2. Yhden vuoden kuluttua 8 artiklan 3 kohdassa ja 12 artiklan 8 kohdassa tarkoitettujen täytäntöönpanosäädösten soveltamispäivästä komissio julkaisee Euroopan unionin virallisessa lehdessä luettelon tämän artiklan 1 kohdan nojalla ilmoitetuista sähköisen tunnistamisen järjestelmistä sekä niitä koskevat perustiedot. 3. Jos komissio saa ilmoituksen 2 kohdassa tarkoitetun ajanjakson päättymisen jälkeen, se julkaisee Euroopan unionin virallisessa lehdessä muutokset 2 kohdassa tarkoitettuun luetteloon kahden kuukauden kuluessa kyseisen ilmoituksen vastaanottamisesta. 4. Jäsenvaltio voi toimittaa komissiolle pyynnön poistaa kyseisen jäsenvaltion ilmoittama sähköisen tunnistamisen järjestelmä 2 kohdassa tarkoitetusta luettelosta. Komissio julkaisee Euroopan unionin virallisessa lehdessä vastaavat tarkistukset luetteloon kuukauden kuluessa jäsenvaltion pyynnön vastaanottamisesta. 5. Koska asetusta saatettiin voimaan olemassa olevaan ympäristöönKomissio voi täytäntöönpanosäädöksillä määritellä 1 kohdan mukaisiin ilmoituksiin liittyvät olosuhteet, sen tuli ottaa huomioon jo käytössä olleet välineet jotta niiden käyttö voisi jatkua keskeytyksettä muotoseikat ja laajentaa niiden käyttö kattamaan koko EU:n aluemenettelyt. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. Siten säädettiin siirtymäaika joka sallisi olemassa olevat - Suomenkin kortit </pre> Eli asetuksen tekstin mukaan ''omakätistä allekirjoitusta vastaavassa'jäsenvaltion on ilman aiheetonta viivytystä ilmoitettava komissiolle seuraavat tiedot ja niiden mahdolliset myöhemmät muutokset' sähköisessä asioinnissa kaikissa EU''. Käytännössä ilmoittava virasto olisi ollut Digivirasto. Mitään ilmoitusta Suomen tunnistusvälineistä ei ole toimitettu. Tunnistusvälineiden (eID) notifioitu lista:n jäsenmaissa* [https://ec.europa.eu/cefdigital/wiki/display/EIDCOMMUNITY/Overview+of+pre-notified+and+notified+eID+schemes+under+eIDAS Overview of pre-notified and notified eID schemes]
EIDAS-asetuksen Allekirjoitusvälineistä ''Artikla 51 - Siirtymätoimenpiteet'' määrittelee seuraavaa:
Eli asetuksen tekstin mukaan Allekirjoitusten osalta '''Turvallisia allekirjoituksen luontivälineitä.... varmenteita myöntävän varmennepalvelujen tarjoajan on toimitettava valvontaelimelle vaatimustenmukaisuuden arviointikertomus mahdollisimman pian mutta viimeistään 1 päivänä heinäkuuta 2017''' - päivämäärä jonka Digivirasto jätti myöskin täyttämättä. Mitään arviointikertomusta Suomen henkilökorttien teknisistä ominaisuuksien soveltuvuudesta EIDAS-asetukseen ei ikinä toimitettu.
Listaa Allekirjoitusvälineiden notifoitua listaa voi jokainen itse tarkastella EU:n sivuilta:
Jatkossa jos Suomi julkistaa uusia kortteja, Vuoden 2021 alusta myönnetyille korteille mitään notifiointia tai kertomuksia ei tarvitse yhteisön valvontaelimille lähetellä koska ulkomaalainen korttivalmistaja on ne jo tehnyt. Tähän Ongelma koskee G2 molempia- ja G3 ensimmäisen sukupolven kortteja joita 99,99% kaikista Suomen noin miljoonasta kortista ovat. Näiden vanhenemiseen ja normaaliin vaihtoon menee kuitenkin vuosia koska viimeisin G3 ensimmäinen sukupolvi (G3 .1) otettiin käyttöön 2017 alusta ja sen myöntämisjakson loputtua loppui 31.12.2020, eli viimeinen käyttäjälle luovutettu kortti tulee olemaan voimassa siitä eteenpäin viisi vuotta, mahdollisesti 2024-2026 2025 loppuun asti.
[[Tiedosto:Belgian.taxman.login.png|right|thumb|300px|Belgian [https://finance.belgium.be/ verottajan] eurooppalainen sisäänkirjautumissivu jossa ei ole Suomea.]]
'''Notifiointisotku''' tarkoittaa [[Digivirasto]]n aiheuttamaa sähköisen asioinnin sotkua [[EIDAS|EIDAS-asetuksen]] (''N:o 910/2014'') siirtymäkauden notifikaatioista jotka jätettiin kokonaan tekemättä.
Euroopan unioinin EIDAS-asetus (asetus, ei laki) määrittelee sähköiseen tunnistamiseen ja -allekirjoituksiin liittyviä säädöksiä jotka tulivat 1.7.2016 heti voimaan kaikissa yhteisön jäsenmaissa ilman kansallista ratifiointia jäsenmaissa. Asetuksen tarkoitus oli mm laajentaa joissakin maissa olevat kansalliset lait kattamaan kaikki jäsenmaat kaikkien maiden sähköisillä välineillä tehdyt asiointitapahtumat.
<pre>
51 artikla
Siirtymätoimenpiteet
1. Turvallisia allekirjoituksen luontivälineitä, joiden vaatimustenmukaisuus on määritetty direktiivin 1999/93/EY 3 artiklan 4 kohdan mukaisesti, pidetään tämän asetuksen mukaisina hyväksyttyinä sähköisen allekirjoituksen luontivälineinä.
</pre>
[[Tiedosto:Eidas.QSCD.list.finland.png|right|thumb|400px|EU:n EIDAS-asetuksen mukaisten [[QSCD]]-allekirjoitusvälineiden lista jossa Suomi loistaa poissaolollaan. Suomalainen allekirjoitus ei kelpaa.]]Maissa jossa oltiin tehty poikkeuksia suomalaisen hyvälaatuisen henkilökortin käytöstä allekirjoituksessa lankesivat EIDAS-asetuksen alaisuuteen ja korttien käyttö tuli mahdottomaksi voimassa olevan asetuksen myötä. Viron valtio lopetti Suomen kortin tukemisen (testaamisen) web-palveluiden kirjautumisessa ja qDigiDoc-ohjelmiston testaamisen nelosversiossa ja käytännössä se sekin on myös lakannut toimimasta bugien takia.
Artikla 51 siirtymäkausi oli yhdenkertainen tarjous, ne maat - takapihat kuten Kroatia ja Slovakia, jotka huolehtivat vastuustaan ovat olleet listalla siitä lähtien. Suomi ei listalla ole eikä tule. Siirtymäkausi ei toistu eikä sitä voi tehdä nykyisille korteille jälkikäteenmääräajan umpeuduttua.
* [https://esignature.ec.europa.eu/efda/notification-tool/#/screen/browse/list/QSCD_SSCD Qualified Signature/Seal Creation Devices and Secure Signature Creation Devices]
Käytännössä tämä tarkoittaa, että suomalaisella henkilökortilla ei voi asioida ulkomaisissa palveluissa kuten EIDAS-asetus alunperin tarkoitti. Asia ei ole vähäpätöinen, siitä osoituksena Digivirasto on itse toteuttanut vaadittavat yhdyskäytävät Suomi.fi-tunnistuspalveluunsa ja näillä ulkomaalaisilla välineillä pääsee siten kirjautumaan julkisiin palveluihin kuten yritysrekisteri (PRH) tai verottajalle.
Yhteenveto sotkusta:* asia koskee kaikkia käytössä olevia kortteja, G2.1 ja G2.2 - ja G3.1 (G3 ensimmäistä) -sukupolvia* '''Artikla 51kaikkien osapuolien ollessa Suomen sisällä, asialla ei ole merkitystä'''* suomalainen kortti ei kelpaa muissa EU-maissa kuin mekaanisena välineenä* muiden EU-maiden välineet kelpaavat Suomessa sähköisinä* koskee sekä tunnistamista (web, Suomen oma Area 51sähköposti - QWAC), että allekirjoittamista (QSCD, josta kukaan QES)* ei haluaisi puhuakoske vuoden 2021 alusta myönnettyjä kortteja* '''tunnistamisvälineen ilmoittamisen voi vielä tehdä''', jos niin päätetään* allekirjoittamisvälineen ilmoittamisen määräaika umpeutui 1.7.2017.* suomalaisille joille asialla on merkitystä, korjaus vaatii uuden 55€ kortin hankkimista
== Katso myös ==
* [[Digivirasto]]
* [[EIDAS]], [[QSCD]], [[QES]], [[SSCD]] [[QWAC]]
* [[Allekirjoitus]], [[:Luokka:Lait]]
== Aiheesta muualla ==
* [https://eur-lex.europa.eu/legal-content/FI/TXT/?uri=CELEX%3A32014R0910#d1e3207-73-1 EIDAS-ASETUS (EU) N:o 910/2014]
* [https://esignature.ec.europa.eu/efda/notification-tool/#/screen/browse/list/QSCD_SSCD Compiled list of notified SSCDs/QSCDs]
* [https://ec.europa.eu/cefdigital/wiki/display/EIDCOMMUNITY/Overview+of+pre-notified+and+notified+eID+schemes+under+eIDAS Overview of pre-notified and notified eID schemes]
* [https://www.bsi.bund.de/EN/Topics/ElectrIDDocuments/German-eID/eIDAS-notification/eIDAS_notification_node.html bsi.bund.de eIDAS Notification of the German eID] Saksan notifiointi dokumentit ja prosessi
[[Luokka:Allekirjoitus]]
[[Luokka:Digivirasto]]
