Ero sivun ”Henkilökortti” versioiden välillä

Kohteesta DigiWiki
Siirry navigaatioon Siirry hakuun
(Pieniä korjauksia.)
 
(131 välissä olevaa versiota 2 käyttäjän tekeminä ei näytetä)
Rivi 1: Rivi 1:
[[Tiedosto:Henkilökortti.sormissa.jpg|right|300px]]
+
[[Tiedosto:Henkilökortti.sormissa.jpg|right|300px|thumb|Nykyiset myönnettävät G3.2 sukupolven kortit ovat aiempia huomattavan sinisempiä yleisväritykseltään. Sirun kontaktit ovat myös vaihdelleet etupuolelta kortin taakse korttisukupolvien välillä.]]
'''Henkilökortti''' on toinen lakisääteisistä henkilötunnisteista [[Passi|passin]] lisäksi. Kortti toimii sekä fyysisenä tunnisteena jonka etupuolella on henkilön täysi nimi, sukupuoli, kortin numero, syntymäaika ja tunnus joista on pääteltävissä täysi [[HETU|henkilötunnus]], kuva, ''analoginen'' allekirjoitus ja myöntämis- ja viimeinen voimassolopäivä. Kortin takana on samoja tietoja koneluettavassa muodossa.
+
'''Henkilökortti''' on toinen lakisääteisistä henkilötunnisteista [[Passi|passin]] lisäksi. Kortti toimii sekä fyysisenä tunnisteena että ainoana [[Virkavastuu|virkavastuulla]] tuotettuna digitaalisena tunnistus- ja allekirjoitusvälineenä sähköisessä asioinnissa.  
  
Henkilökortti on ainoa ensimmäisen asteen tunniste joka myönnetään koko väestölle ja sellaisena ainoa jolla voi tunnistaa itsensä verkossa sekä laillisesti allekirjoittaa minkä tahansa tekstin tai tiedoston.
+
Sen etupuolella on henkilön koko nimi, sukupuoli, kortin numero, syntymäaika ja [[HETU|henkilötunnuksen]] osat, kuva, ''analoginen'' allekirjoitus, myöntämispäivä ja viimeinen voimassaolopäivä. Kortin takana on samoja tietoja koneluettavassa muodossa.
  
Poliisi voi myöntää kortin myös alaikäiselle huoltajan suostumuksesta tai ilman suostumusta korttina jota ei voi käyttää matkustusasiakirjana eikä sähköisessä asioinnissa<ref name='finlex-27-7-1999-829'>[http://www.finlex.fi/fi/laki/ajantasa/1999/19990829 finlex.fi Henkilökorttilaki] ''Poliisi antaa hakemuksesta alaikäiselle henkilökortin, jos alaikäisen huoltajat siihen suostuvat. Jos huoltajia on yhtä useampi eikä joltakin heistä matkan, sairauden tai muun vastaavan syyn vuoksi voida saada suostumusta ja jos ratkaisun viivästymisestä aiheutuisi kohtuutonta haittaa, ei hänen suostumuksensa asiassa ole tarpeen. Poliisi voi ilman huoltajien suostumusta antaa alaikäiselle hakemuksesta henkilökortin, jota ei kuitenkaan voida käyttää matkustusasiakirjana eikä sähköisessä asioinnissa. (11.4.2003/300)'' Viitattu: 2016-05-28</ref>
+
Henkilökortti on ainoa ensimmäisen asteen (ei johdettu muista) ja [[LoA|korkean varmuustason]] tunnistusväline, joka myönnetään maassa oleskelevalle väestölle tai Suomen kansalaiselle ja sellaisena ainoa jolla voi tunnistautua verkossa, [[Salaaminen|salata]] sekä [[Oikeustoimikelpoisuus|oikeustoimikelpoisesti]] allekirjoittaa sähköisesti minkä tahansa tekstin tai tiedoston.  
  
Sirullisten korttien jakelu aloitettiin 1.12.1999, sen anominen on vapaaehtoista ja voimassaolevien korttien määrä on ollut jatkuvasti kasvussa, siihen auttoi 1.9.2006(?) jakeluun tulleiden korttien pidentynyt viiden vuoden voimassaolo, aiempaan kolmeen vuoteen verratuna.
+
Kortin sirun sisältämiltä [[Varmenne|varmenteilta]] voidaan myös lukea ohjelmallisesti henkilön etu- ja sukunimi, [[SATU|sähköinen asiointitunnus]] sekä varmenteiden voimassaoloaika. Varmenteiden päätyminen [[CRL|sulkulistalle]] ei estä kortin käyttöä fyysisenä tunnisteena tai matkustusasiakirjana.
  
Kortin sirun sisältämiltä [[Varmenne|varmenteilta]] voidaan myös lukea ohjelmallisesti henkilön etu- ja sukunimi, sekä [[SATU|sähköinen asiointitunnus]] ja varmenteiden voimassaoloaika. Varmenteiden päätyminen [[CRL|sulkulistalle]] ei estä kortin käyttöä fyysisenä tunnisteena.
+
Ennen vuoden 2019 ajokorttia koskevan lakimuutoksen voimaantuloa aktiivisia henkilökortteja oli yli puoli miljoonaa kappaletta. Lakimuutos aiheutti korttien anomisruuhkan (191 000 kpl 2017, 256 000 kpl 2018, 241 000 kpl H1/2019<ref name='yle-20190729'>[https://yle.fi/uutiset/3-10897294 Lakimuutos aiheutti viikkojen ruuhkat henkilökorttien hakuun – "Koko Suomessa poliisilaitokset toimivat äärirajoilla"] ''Poliisin tilastojen mukaan tämän vuoden ensimmäisellä puoliskolla henkilökortteja haettiin noin 241 000, kun koko vuonna 2017 haettiin noin 191 000 henkilökorttia. Vuoden 2018 aikana haettujen henkilökorttien määrä oli 256 000. Kyseisessä määrässä näkyy jo ryntäyksen alku viime loppuvuodesta.'' Viitattu: 2019-09-12</ref>) ja voidaan arvioida, että kortteja on mahdollisesti aktiivisena '''yli miljoona kappaletta''' joista osa on yli kahden miljoonan ulkosuomalaisen<ref name='yle-20170510'>[https://yle.fi/uutiset/3-9593156 Jopa kaksi miljoonaa viettää Suomen 100-vuotisjuhlaa ulkomailla] ''Jopa kaksi miljoonaa suomalaistaustaista ihmistä viettää Suomen 100-vuotisjuhlaa Suomen rajojen ulkopuolella. Oletko yksi heistä?'' Viitattu: 2019-09-12</ref> hallussa. Vuoden 2020 alussa alkanut COVID-19-pandemia pysäytti korttien anomisen.
  
Kansalaisen kortti on virallinen matkustusasiakirja jolla voi matkustaa Schengen-alueella.
+
Vuonna 2017 ja myöhemmin myönnetyissä korteissa on etälukuominaisuus joka mahdollistaa kortin käytön ilman kontaktillista älykortinlukijaa jos lukevassa tietokoneessa, mobiililaitteessa tms. on [[NFC]]-tuki sisäänrakennettuna tai ulkoinen NFC-lisälaite. Allekirjoituksia (PIN2-tunnuslukua käyttävää varmennetta) ei voi tehdä NFC-yhteydellä "turvallisuussyistä", se vaatii edelleen kontaktillisen lukulaitteen. Mobiililaitteissa NFC-ominaisuus on käytettävissä toistaiseksi ainoastaan [[Google/Android]]-alustalla ja vaatii erillisen [[SCS]]-ohjelmiston asentamisen mobiililaitteeseen.
  
 +
Kansalaisen kortti on virallinen matkustusasiakirja, jolla voi matkustaa Schengen-alueella.
 +
 +
== Historia ==
 +
 +
[[Tiedosto:Sotasyyllisyysoikeudenkäynti.henkilökortti.png|right|300px|thumb|Henkilökortin käytöllä tunnistamisessa on pitkä historia. Kuvassa [http://areena.yle.fi/1-3142448 sillä tehtiin pääsynvalvontaa] sotasyyllisyysoikeudenkäyntiin 15.11.1945.]]
 +
 +
'''Ruotsissa''' aloitettiin maaliskuussa 1995 [[SEIS]]-projekti (''Secured Electronic Information in Society'') jossa kehitettiin [[älykortti]] ja ohjelmistot, joilla kortille tallennettu, henkilöä edustava [[PKI]]-[[varmenne]] pystyttiin kytkemään tietokoneeseen ja sen ohjelmistoihin. Samoihin aikoihin oli nähty julkisen verkon leviäminen ja ymmärrettiin henkilön todentamisen ja digitaalisten allekirjoitusten olevan ehdoton vaatimus monenvälisen asioinnin toteutumiseksi verkkottuneessa taloudessa ja yhteiskunnassa.
 +
 +
Suomessa seurattiin kehitystä kiinnostuneena ja saman toteuttamista alettiin valmistelemaan 1990-luvun lopussa silloisessa Ritva Viljasen johtamassa [[Väestörekisterikeskus|Väestörekisterikeskuksessa]].
 +
 +
Koska yleiskäyttöisellä varmenteella pystyy tekemään useita kryptografisia operaatiota kuten kahta merkityksellisesti hyvin erilaista tunnistautumista ja allekirjoitusta, silloiset valtion juristit arvioivat, että olisi oikeudellisesti liikaa vaatia keskimääräistä väestön jäsentä olemaan riittävän huolellinen ja erottamaan nämä kaksi eri toimintoa toisistaan. Tällöin syntyi ajatus kahdesta - eri käyttötarkoitukseen tarkoitetusta varmenteesta samalla käyttäjän älykortilla. Varmenteilla olisi omat ja erimittaiset tunnusluvut, jolloin niitä ei pystyisi vahingossa käyttämään väärässä yhteydessä niin helposti. Tai ainakaan allekirjoituksen kiistämisestä tulisi tuomioistuimessa vaikeampaa siihen vedoten. Kaksi eri varmennetta, yksi tunnistamiseen (todentamiseen) ja toinen allekirjoittamiseen, oli siis Suomen tuoma lisä ruotsalaiseen innovaatioon.
 +
 +
Uusiin henkilökortteihin liittyvä lainsäädäntö, varmennepolitiikat, varmenneinfrastruktuuri ja korttien tuotanto saatiin julkaisukuntoon juuri ennen vuosituhannen vaihtumista, joulukuussa 1999. Uusi sirullinen henkilökortti, jota siihen aikaan kutsuttiin HST-kortiksi (''Henkilön Sähköinen Tunnistaminen'') julkaistiin Heureka-tiedekeskuksessa. Tapahtumassa sai jättää korttihakemuksen ennen varsinaisen poliisilla tapahtuvan prosessin käynnistämistä. Kortista tuli vapaaehtoinen, ja henkilöstä ei verkossa asioidessa ilmennyt [[HETU|henkilötunnus]] vaan sukupuoleton numero, [[SATU|sähköinen asiointitunnus]], joka ei ollut vielä missään muussa käytössä.
 +
 +
Pari vuotta myöhemmin, 28.1.2002, etelänaapurimme [[Viro]] julkaisi oman varmenneinfrastruktuurinsa kortteineen ja lakeineen Suomesta kopioiden ja suomalaisten virheistä oppineena. Virossa ymmärrettiin, ettei palveluita voi tarjota vain innokkaimmille harvoille, joten päätettiin digitalisaation koskevan koko väestöä ja siten kortin hankkimisesta tuli pakollista kaikille kansalaisille.
 +
 +
Sirullisten, [[MFA|kaksivaiheisten tunnistuskorttien]] (MFA, Multi-factor authentication) jakelu aloitettiin 1.12.1999. Kortin anominen on vapaaehtoista ja voimassaolevien korttien määrä on ollut jatkuvasti kasvussa, mihin osaltaan vaikutti 1.9.2006{{Citation needed}} jakeluun tulleiden korttien aiempaa pidempi viiden vuoden voimassaoloaika.
 +
 +
=== Erä virheellisiä kortteja ===
 +
 +
* Elokuun 2. päivästä 2021 eteenpäin valmistettiin vanhanmallisia kortteja joista puuttui [[EU/Trustmark|EU-Trustmark]]-tunnus. Vika huomattiin joulukuun lopussa.<ref name='poliisi-20211228'>[https://poliisi.fi/-/era-virheellisia-henkilokortteja-liikkeella poliisi.fi 2021-12-28] ''Tuotannossa tapahtuneen virheen takia yksittäinen erä marraskuussa ja joulukuussa myönnettyjä henkilökortteja on painettu jo käytöstä poistetulle korttipohjalle.'' Viitattu: 2022-01-12</ref> Virheelliset kortit tulee uusia omalla poliisilaitoksella.<ref name='poliisi-20211230'>[https://poliisi.fi/-/virheellisten-henkilokorttien-uusiminen-sisa-suomen-poliisilaitoksen-alueella] ''Virheellisten henkilökorttien uusiminen Sisä-Suomen poliisilaitoksen alueella''. Viitattu: 2022-01-18</ref>
  
 
== Korttityypit ==
 
== Korttityypit ==
[[Tiedosto:Sotasyyllisyysoikeudenkäynti.henkilökortti.png|right|300px|thumb|Henkilökortin käytöllä tunnistamisessa on pitkä historia. Kuvassa [http://areena.yle.fi/1-3142448 sillä tehtiin pääsynvalvontaa] sotasyyllisyysoikeudenkäyntiin 15.11.1945.]]
+
 
Valtio on myöntänyt useita erityyppisiä [https://eevertti.vrk.fi/Default.aspx?id=236 henkilökortteja] ja niistä on aktiivisena tällä hetkell kaksi eri sukupolvea: Ensimmäinen, G1 ja toinen, G2 joka on laskettu liikkeelle vuonna 2014:
+
Valtio on myöntänyt useita erityyppisiä [https://eevertti.vrk.fi/Default.aspx?id=236 henkilökortteja] ja niistä on aktiivisena tällä hetkellä kaksi eri sukupolvea: Ensimmäinen, G3.1 ja toinen, G3.2 joka on laskettu liikkeelle vuonna 2017:
 
* kansalaisen henkilökortti (myönnetään myös ei-kansalaiselle)
 
* kansalaisen henkilökortti (myönnetään myös ei-kansalaiselle)
 
* organisaatiokortit
 
* organisaatiokortit
 
* terveydenhuollon henkilökortit
 
* terveydenhuollon henkilökortit
 +
* alaikäisen vain fyysiset kortit
 +
* äänestyskortti
 +
* rajoitettu kortti (''vasta suunnitteilla'')
 +
 +
=== Kansalaisen kortti ===
 +
Täysi-ikäisen aikuisen henkilökortti on yleisin korttityypeistä.
 +
 +
=== Organisaatiokortti ===
 +
 +
* https://dvv.fi/organisaatiokortit
 +
 +
=== Terveydenhuollon kortti ===
 +
'''Organisaatio- ja terveydenhuollon''' kortit poikkeavat kansalaisen kortista varmenteen suhteen jossa on työpaikan sähköpostiosoite joka mahdollistaa allekirjoitusten ja salausten käytön sähköpostissa. Monella kortin haltijalla ei ole välttämättä normaalia henkilökorttia ollenkaan.
 +
 +
Kortit toimivat myös suoraan työpaikan [[Tekniikka/Active Directory|Microsoftin toimialueeseen]] kirjautumisessa. Kirjautuminen on kyseisten korttien yleisimpiä käyttökohteita, jonka lisäksi niitä käytetään eri [[SSO]]-istunnoissa ja etäyhteyksissä.
 +
 +
Henkilökortista poiketen kortilla ei ole henkilön SATU-tunnusta vaan Valviran Terhikki- tai Suosikki-rekisteristä peräisin oleva rekisteröintinumero.
 +
 +
=== Alaikäisen kortti ===
 +
Poliisi '''voi myöntää kortin myös alaikäiselle 15 vuotta täyttäneelle''' huoltajan suostumuksesta varmenteiden kanssa tai ilman suostumusta korttina jota ei voi käyttää matkustusasiakirjana eikä sähköisessä asioinnissa (ilman varmenteita)<ref name='finlex-27-7-1999-829'>[http://www.finlex.fi/fi/laki/ajantasa/1999/19990829 finlex.fi Henkilökorttilaki] ''Poliisi antaa hakemuksesta alaikäiselle henkilökortin, jos alaikäisen huoltajat siihen suostuvat. Jos huoltajia on yhtä useampi eikä joltakin heistä matkan, sairauden tai muun vastaavan syyn vuoksi voida saada suostumusta ja jos ratkaisun viivästymisestä aiheutuisi kohtuutonta haittaa, ei hänen suostumuksensa asiassa ole tarpeen. Poliisi voi ilman huoltajien suostumusta antaa alaikäiselle hakemuksesta henkilökortin, jota ei kuitenkaan voida käyttää matkustusasiakirjana eikä sähköisessä asioinnissa. (11.4.2003/300)'' Viitattu: 2016-05-28</ref>
 +
 +
=== Ulkomaalaisen kortti ===
 +
 +
=== Äänestyskortti ===
 +
Poliisi voi myöntää ilmaisen, kertakäyttöisen henkilökortin äänestämistä varten. Siihen tarvittavat valokuvat on hankittava itse<ref name='yle-20170105'>[https://web.archive.org/web/20170106095558/http://yle.fi/uutiset/3-9388858 2017-01-05 yle.fi Äänestäminen ei ole ilmaista, vaikka sen pitäisi olla: "Käytännössähän se ei ole mahdollista"] ''Perusoikeuden käyttämisessä tarvittavien henkilöllisyystodistusten maksullisuudesta on kanneltu oikeuskanslerille. Tämän vuoksi äänestämistä varten on mahdollista saada ilmainen poliisin myöntämä henkilökortti. Se on voimassa vain yhden äänestyskerran, ja sitä varten tarvittavat passikuvat on hankittava itse.'' Viitattu: 2017-01-06</ref>.
  
'''Organisaatio- ja terveydenhuollon''' kortit poikkeavat kansalaisen kortista varmenteen suhteen jossa on työpaikan sähköpostiosoite joka mahdollistaa allekirjoitusten ja salausten käytön sähköpostissa.  
+
=== Rajoitettu kortti ===
 +
Lehtitietojen mukaan Sisäministeriö valmistelisi '''rajoitettua henkilökorttia''', johon ei kuuluisi matkustusoikeutta. Se mahdollistaisi tavallisen henkilökortin eväämisen henkilöltä, jota epäillään vakavasta selvittämättömästä rikoksesta tai jolla on suorittamatta hänelle tuomittu rangaistus kuten esimerkiksi odottamassa passitus vankilaan tai hänen edellytetään pysyvän Suomessa asevelvollisuuden suorittamista varten<ref name='ss-20160416'>[https://www.savonsanomat.fi/kotimaa/Uusi-rajoitettu-henkilökortti-valmisteilla-ei-kelpaa-matkustamiseen/758171 savonsanomat.fi - Uusi rajoitettu henkilökortti valmisteilla - ei kelpaa matkustamiseen] Viitattu: 2019-02-13</ref>. Tiedoista ei käy ilmi, olisiko kortissa normaalit henkilövarmenteet ja kävisikö niistä jotenkin ilmi henkilökortin tyyppi.
  
Kortit toimivat myös suoraan työpaikan Microsoftin toimialueeseen kirjautumisessa. Kirjautuminen on kyseisten korttien yleisimpiä käyttökohteita, jonka lisäksi niitä käytetään eri [[SSO]]-istunnoissa ja etäyhteyksissä.
+
== Voimassaoloaika ==
 +
Korttien nykyistä viiden vuoden voimassaoloaikaa kritisoidaan paljon. Sen taustalla on laadulliset tekijät jotka perustuvat matemaattisten varmenteiden avaimien pituuksiin. Tietokoneiden laskentatehon kasvaessa avaimien murtaminen ns [[Väsytyshyökkäys|väsytyshyökkäyksellä]] (''Brute force attack'') muuttuu helpommaksi vuosien kuluessa. Jos avaimia ei uusittaisi pidemmiksi, palveluiden tunnistaminen ja korteilla tehtyjen allekirjoitusten luotettavuus heikkenisi. Korttien elektroniikan ominaisuuksissa tapahtuu myös kehitystä, näkyvin viimeaikaista muutoksista on NFC-tuki.
 +
 
 +
Korttien avaimet voisi uusia myös etänä kuten Virossa tehdään. Suomen [[DigiSign Client]] ohjelma ei tue sitä koska valtio on tulkinnut sen olevan liian hankala operaatio ihmisten itsensä tehtäväksi.
  
 
== Tunnusluvut ==
 
== Tunnusluvut ==
  
== PUK-koodi ==
+
Kortin varmenteita suojaa kaksi eri tunnuslukua. Esimmäinen, nelinumeroinen on tarkoitettu tunnistamiseen ja salaamiseen, toinen kuusinumeroinen allekirjoittamiseen. Luvut ovat eri pituisia niiden sekaantumisen välttämiseksi.
 +
 
 +
Kortin pintaan on myös merkitty kuusinumeroinen '''CAN'''-tunnusluku. Se on tarkoitettu käytettäväksi NFC-yhteyksillä, mutta NFC-lukijaa käytettäessä [[DigiSign Client]]-ohjelma kysyy PIN1-tunnuslukua joka toimii.
 +
 
 +
Aiemmin tunnusluvut tulivat omassa kuoressaan vastaanottajalle, nykyään lähetetään vain '''aktivointitunnusluku''' jolla ne asetetaan itse.
  
 +
== Aktivointitunnusluku eli PUK-avain ==
 +
Kortin mukana tulevissa papereissa käytetään termiä '''aktivointitunnusluku''' (kahdeksan numeroa) joka on sama kuin PUK-avain (''Personal Unblocking Key''). Vuodesta 2017 alusta G3.* sukupolven ja uudempien korttien mukana ei enää tule varmenteiden tunnuslukuja vaan ne täytyy itse asettaa aktivointitunnusluvulla ennen kortin käyttöä, käyttäen [[DigiSign Client]]-ohjelmaa.
 +
 +
Jos varmenteiden tunnusluvut unohtuvat, samalla aktivointitunnusluvulla ne voi asettaa uudestaan. Siksi aktivointitunnusluvun sisältävää kuorta tulee säilyttää huolella. Uuden kuoren voi tilata poliisilta maksua vastaan.
 +
 +
Aktivointitunnuslukua ei ilmeisesti voi vaihtaa vaan se on kiinteä ja korttikohtainen.
 +
 +
* https://dvv.fi/kansalaisvarmenne
  
 
== Turvallisuus ==
 
== Turvallisuus ==
[[Tiedosto:Nordea.tiedote-20150707.png|right|500px|thumb|Henkilökortin käyttö verkkopankissa poistaisi [http://www.nordea.com/fi/media/uutiset-ja-lehdistotiedotteet/News-fi/2015/2015-06-04-huijausviesteja-liikkeella.html huijausviestien vaaran] täysin.]]
+
 
'''Turvallisuus''' perustuu kolmeen perustekijään<ref name='scheider-cornell-edu'>[https://www.cs.cornell.edu/courses/cs513/2005fa/nnlauthpeople.html cs.cornell.edu: Fred B. Schneider: Something You Know, Have, or Are] ''All approaches for human authentication rely on at least one of the following:
+
[[Tiedosto:Nordea.tiedote-20150707.png|right|500px|thumb|Henkilökortin käyttö verkkopankissa poistaisi [http://www.nordea.com/fi/media/uutiset-ja-lehdistotiedotteet/News-fi/2015/2015-06-04-huijausviesteja-liikkeella.html huijausviestien petokset] täysin. Vahingot maksavat kaikki asiakkaat yhdessä palvelumaksujensa kautta.]]
 +
Henkilökortti on turvallisin kaikista asiointivälineistä sähköisesti asioidessa. Sillä voi tunnistautua palvelussa, salata ja allekirjoittaa asiakirjoja ja sen väärinkäyttö on käytännössä mahdotonta. Sen ainoa huono puoli on sen vähäinen käyttö ja tuki palveluissa, asia joka on muutettavissa ihmisten omalla toiminnalla.
 +
 
 +
Turvallisuus perustuu kolmeen perustekijään<ref name='scheider-cornell-edu'>[https://www.cs.cornell.edu/courses/cs513/2005fa/nnlauthpeople.html cs.cornell.edu: Fred B. Schneider: Something You Know, Have, or Are] ''All approaches for human authentication rely on at least one of the following:
 
* '''Something you know''' (eg. a password). This is the most common kind of authentication used for humans. We use passwords every day to access our systems. Unfortunately, something that you know can become something you just forgot. And if you write it down, then other people might find it.
 
* '''Something you know''' (eg. a password). This is the most common kind of authentication used for humans. We use passwords every day to access our systems. Unfortunately, something that you know can become something you just forgot. And if you write it down, then other people might find it.
 
* '''Something you have''' (eg. a smart card). This form of human authentication removes the problem of forgetting something you know, but some object now must be with you any time you want to be authenticated. And such an object might be stolen and then becomes something the attacker has.
 
* '''Something you have''' (eg. a smart card). This form of human authentication removes the problem of forgetting something you know, but some object now must be with you any time you want to be authenticated. And such an object might be stolen and then becomes something the attacker has.
Rivi 38: Rivi 103:
 
* fyysiseen korttiin (''something you have'')
 
* fyysiseen korttiin (''something you have'')
 
* biometriseen valokuvaan (''something you are'')
 
* biometriseen valokuvaan (''something you are'')
 
+
sekä kortin fyysisiin ja sähköisiin turvatekijöihin väärentämisen estämiseksi<ref name='poliisi-henkkarin-turvatekijät'>[https://www.poliisi.fi/instancedata/prime_product_julkaisu/intermin/embeds/poliisiwwwstructure/26449_Henkilokortit_turvatekjat.pdf poliisi.fi - Suomen henkilökortit]</ref>
sekä kortin fyysiiin- ja sähköisiin turvatekijöihin väärentämisen estämiseksi<ref name='poliisi-henkkarin-turvatekijät'>[https://www.poliisi.fi/instancedata/prime_product_julkaisu/intermin/embeds/poliisiwwwstructure/26449_Henkilokortit_turvatekjat.pdf poliisi.fi - Suomen henkilökortit]</ref>
 
 
.
 
.
 
* painettu allekirjoitus
 
* painettu allekirjoitus
Rivi 52: Rivi 116:
 
* SHA1-tiiviste
 
* SHA1-tiiviste
  
Asioidessaan verkossa kortin '''käyttäjän täytyy samanaikaisesti tietää salaiset tunnusluvut ja hänellä tulee olla itse kortti''' jossa henkilövarmenteita säilytetään.
+
Riippumatta siitä, käyttääkö korttia fyysisenä vai sähköisenä tunnisteena, käytössä on aina kaksi tekijää (''[[MFA|MFA, Monen tekijän tunnistusväline]]''):
  
Varmenteet on luotu kortilla eikä niitä saa sieltä ulos ulkopuolinen ketku, kortin haltija, poliisi eikä edes liikkeelle laskenut Väestörekisterikeskus. Edellä olevien yhdistelmä käytännössä estää verkossa jatkuvasti ilmenevän [[OTP|kertakäyttöisten salasanojen]] (''OTP, one time password'') kalastelun - koska onnistuakseen myös fyysinen kortti pitäisi lähettää ulkomaille. Tunnuslukujen kalastelulla tehdyt petokset on ongelma jonka maksaja on lopulta pankin asiakas.
+
* Fyysisestä kortista tarkastetaan henkilön kuva (biometria) ja kortin fyysiset turvaominaisuudet kuten hologrammi (materia).
 +
 
 +
* Sähköisessä käytössä käyttäjän täytyy tietää salaiset tunnusluvut (salaisuus) ja kortin tulee olla kiinni kortinlukijassa ([[HSM]], materia).
 +
 
 +
Varmenteet on luotu kortilla eikä niitä saa sieltä ulos ulkopuolinen taho, kortin haltija, poliisi eikä edes kortin valmistanut Digivirasto. Edellä olevien yhdistelmä käytännössä estää verkossa jatkuvasti ilmenevän [[OTP|kertakäyttöisten salasanojen]] (''OTP, one time password'') kalastelun - koska onnistuakseen myös fyysinen kortti pitäisi lähettää ulkomaille. Tunnuslukujen kalastelulla tehdyt petokset on ongelma jonka maksaja on lopulta pankin asiakas.
  
 
== Kritiikki ==
 
== Kritiikki ==
 +
* Kortin hankinta päätettiin aikanaan jättää kansalaisen vastuulle eikä se käynyt palveluihin korttien vähäisen määrän vuoksi. Nykyään kortteja on paljon, mutta se ei vieläkään käy kuin [[Henkilökortti/Asiointipalveluita|julkisiin palveluihin]].
 
* Korttia on kritisoitu kalliiksi suhteessa sen voimassoloaikaan, jota on sittemmin pidennetty viiteen vuoteen joka on sama kuin [[Passi|passilla]].
 
* Korttia on kritisoitu kalliiksi suhteessa sen voimassoloaikaan, jota on sittemmin pidennetty viiteen vuoteen joka on sama kuin [[Passi|passilla]].
* Kortin vaatimaa lukijalaitetta on kritisoitu ''hankalaksi''.
+
* Ihmiset jotka eivät ole ikinä käyttäneet kortin lukijalaitetta kritisoivat sitä ''hankalaksi''  
* Moni on jättänyt kortin hankkimatta perustellen, että sillä ei tee mitään.
+
* Moni on jättänyt kortin hankkimatta perustellen, että sillä ei tee mitään mikä ei ole kaukana totuudesta
 
* Kortin pinnalla ei ole HETU-tunnusta selkeästi kirjoitettuna.
 
* Kortin pinnalla ei ole HETU-tunnusta selkeästi kirjoitettuna.
* Kortilla oleva [[SATU|SATU-tunnus]] on hankala palveluntarjoajan kannalta.
+
* Kortin pinnalla ei ole [[SATU]]-tunnusta ollenkaan, se selviää vain kortin papereista tai sähköisesti lukemalla.
* Valtionvarainministeriön työryhmä esitti kesäkuussa 2009 varmennepalvelun alasajoa vähäisen käytön ja kustannusten (2,2 miljoonaa euroa @2008) takia<ref name='savonsanomat-20090717'>[http://www.savonsanomat.fi/savo/pankkitunnus-parempi/1072744 2009-07-17 savonsanomat.fi: Sähköinen henkilökortti lopetetaan] ''Valtiovarainministeriön työryhmä esittää sähköisen henkilökortin eli kansalaisvarmennepalvelun lopettamista. Kyse on henkilökortin siruun lisättävästä varmenteesta, jolla suomalaiset voivat varmistaa henkilöllisyytensä verkkopalveluissa ja asioida netissä esimerkiksi valtion ja kunnan organisaatioiden kanssa. Pelkästään viime vuonna Väestörekisterikeskus käytti 2,2 miljoonaa euroa kansalaisvarmennepalveluun. Yhteensä valtion arvioidaan käyttäneen sähköisen henkilökortin kehittämiseen yli 30 miljoonaa euroa. Valtiovarainministeriöstä myönnetään, että asiaa selvittänyt ryhmä on jättänyt palvelun lakkauttamisesta esityksen. Se on lähtenyt lausuntokierrokselle kesäkuussa. Valtion ylläpitämä kansalaisvarmennepalvelu ei ole saanut käyttäjiä odotetulla tavalla. Sen sijaan suomalaiset käyttävät yleisesti pankkien tunnuksia, jos heidän tarvitsee varmistaa henkilöllisyytensä verkkopalveluissa. Sähköisen asioinnin tunnistamisista vain alle puoli prosenttia tehdään kansalaisvarmenteella. Näistäkin käyttäjistä osa on virkamiehiä, jotka käyttävät tunnistetta virkavarmenteen sijasta työssään. Pankkien nettitunnuksilla voi verkkopankkien lisäksi asioida esimerkiksi verohallinnossa ja useissa kaupallisissa palveluissa.'' Viitattu: 20151030</ref>
+
* Kortilla oleva SATU-tunnus on hankala palveluntarjoajan kannalta ja HETU-kyselyt VRK:lta ovat maksullisia, vaativat erillisen sopimuksen.
 +
* Valtionvarainministeriön työryhmä esitti kesäkuussa 2009 varmennepalvelun alasajoa vähäisen käytön ja kustannusten (2,2 miljoonaa euroa v. 2008) takia<ref name='savonsanomat-20090717'>[http://www.savonsanomat.fi/savo/pankkitunnus-parempi/1072744 2009-07-17 savonsanomat.fi: Sähköinen henkilökortti lopetetaan] ''Valtiovarainministeriön työryhmä esittää sähköisen henkilökortin eli kansalaisvarmennepalvelun lopettamista. Kyse on henkilökortin siruun lisättävästä varmenteesta, jolla suomalaiset voivat varmistaa henkilöllisyytensä verkkopalveluissa ja asioida netissä esimerkiksi valtion ja kunnan organisaatioiden kanssa. Pelkästään viime vuonna Väestörekisterikeskus käytti 2,2 miljoonaa euroa kansalaisvarmennepalveluun. Yhteensä valtion arvioidaan käyttäneen sähköisen henkilökortin kehittämiseen yli 30 miljoonaa euroa. Valtiovarainministeriöstä myönnetään, että asiaa selvittänyt ryhmä on jättänyt palvelun lakkauttamisesta esityksen. Se on lähtenyt lausuntokierrokselle kesäkuussa. Valtion ylläpitämä kansalaisvarmennepalvelu ei ole saanut käyttäjiä odotetulla tavalla. Sen sijaan suomalaiset käyttävät yleisesti pankkien tunnuksia, jos heidän tarvitsee varmistaa henkilöllisyytensä verkkopalveluissa. Sähköisen asioinnin tunnistamisista vain alle puoli prosenttia tehdään kansalaisvarmenteella. Näistäkin käyttäjistä osa on virkamiehiä, jotka käyttävät tunnistetta virkavarmenteen sijasta työssään. Pankkien nettitunnuksilla voi verkkopankkien lisäksi asioida esimerkiksi verohallinnossa ja useissa kaupallisissa palveluissa.'' Viitattu: 20151030</ref>
  
 
== Versiot ==
 
== Versiot ==
Ensimmäiset SetCOS-4.3.1 kortit ovat jo kaikki vanhentuneet.
 
  
=== SetCOS 4.3.1 ===
+
=== G1.1 SetCOS 4.3.1 ===
  
 
Ominaisuudet:
 
Ominaisuudet:
* julkaistu 1.12.1999<ref name='yle-19990224'>[http://yle.fi/uutiset/uusi_henkilokortti_kayttoon/5119223 yle.fi 1999-02-24: Uusi henkilökortti käyttöön]</ref>
+
* '''Julkaistu:''' 1.12.1999<ref name='yle-19990224'>[http://yle.fi/uutiset/uusi_henkilokortti_kayttoon/5119223 yle.fi 1999-02-24: Uusi henkilökortti käyttöön]</ref>
* hinta: 130 markkaa
+
* '''Hinta:''' 130 markkaa
* Voimassaoloaika: 3 vuotta
+
* '''Voimassaoloaika:''' 3 vuotta
* Elinkaari: 1.12.1999 - 31.12.2002
+
* '''Elinkaari:''' 1.12.1999 - 31.12.2002
 +
 
 +
=== SetCOS 5.1.0 ===
  
=== SetCOS 4.3.2 ===
 
 
Ominaisuudet:
 
Ominaisuudet:
 +
* '''Myöntämisjakso:''' 2005-06
 +
* '''Elinkaari:'''
 +
* '''Hinta:''' 50 €
 +
* '''Voimassaoloaika:''' 5 vuotta
 +
 +
=== G2.2 ===
  
=== SetCOS 4.4.1 ===
 
 
Ominaisuudet:
 
Ominaisuudet:
 +
* '''Myöntämisjakso:''' 2014-2016
 +
* '''Voimassaoloaika:''' 5 vuotta
 +
* '''Elinkaari:''' 2014 - 2021
 +
* '''Hinta:''' 50 €
 +
* '''Allekirjoitus pätee EU:ssa''': ei ([[Digivirasto/Notifiointisotku|notifiointisotku]])
 +
* Lisää tietoa: [[Tekniikka/Henkilökortti#G2.2]]
  
=== SetCOS 5.1.1 ===
+
=== G3.1 ===
 +
* '''Valmistaja''': [[Idemia]]
 +
* '''Myöntämisjakso:''' 1.1.2017 - 31.12.2020 (4 vuotta)
 +
* '''Hinta''':
 +
* '''Voimassaoloaika''': 5 vuotta
 +
* '''Allekirjoitus pätee EU:ssa''': ei ([[Digivirasto/Notifiointisotku|notifiointisotku]])
 +
* siru kääntöpuolella
 +
* etäluettava [[NFC]]-tekniikalla ilman [[Kortinlukija|älykortinlukijaa]], Applen mobiililaitteet eivät toimi.
 +
* aktivointi ''aktivointitunnuslukukirjeellä'' jossa on 8-numeroinen aktivointitunnus (PUK-koodi).
 +
* [[Sairasvakuutuskortti|sairasvakuutuskortin]] ja henkilökortin yhdistelmä lopetetaan<ref name='poliisi-20161227' />:
 +
* ulkosuomalainen voi anoa ja noutaa tavallisen kortin ulkomaan lähetystöstä (henkilökohtaisesti ja paikan päällä)<ref name='poliisi-20161227' />:
 +
** alaikäisen tai ulkomaan kansalaisen korttiasiat hoidetaan yhä Suomessa poliisilla<ref name='poliisi-20161227' />:
 +
** anomusta ei voi jättää sähköisesti<ref name='poliisi-20161227' />:
 +
** suoratoimitusta ei tehdä ulkomaille, vaan kortti on noudettava lähetystöstä<ref name='poliisi-20161227' />:
  
Ominaisuudet:
+
=== G3.2 ===
 +
* '''Valmistaja''': [[Idemia]]
 +
* '''Myöntämisjakso''': 1.1.2021 -
 +
* '''Voimassaoloaika''': 5 vuotta
 +
* '''Allekirjoitus pätee EU:ssa''': kyllä ([[QSCD]])
 +
* siru kääntöpuolella
 +
* etäluettava [[NFC]]-tekniikalla ilman [[Kortinlukija|älykortinlukijaa]], Applen mobiililaitteet eivät toimi.
 +
* aktivointi ''aktivointitunnuslukukirjeellä'' jossa on 8-numeroinen aktivointitunnus (PUK-koodi).
  
* hinta: 50 €
+
Henkilökorttilaki astui voimaan 1.1.2017<ref name='poliisi-20161227'>[https://web.archive.org/web/20161229143551/https://www.poliisi.fi/tietoa_poliisista/tiedotteet/1/1/henkilokorttien_hakumahdollisuudet_laajenevat_ja_henkilokortin_kayttoon_tulee_muutoksia_54929 2016-12-27 poliisi.fi Henkilökorttien hakumahdollisuudet laajenevat ja henkilökortin käyttöön tulee muutoksia] ''Uusi henkilökorttilaki astuu voimaan 1.1.2017. Ulkomailla oleskeleva Suomen kansalainen voi tuosta päivästä alkaen hakea henkilökorttia niistä Suomen edustustoista, joissa annetaan passipalveluja. Hakemus tulee jättää henkilökohtaisesti edustustoon, sitä ei ole mahdollista laittaa vireille sähköisesti.
* Voimassaoloaika: 5 vuotta
+
Suomen edustustosta ei ole mahdollista hakea kaikkia henkilökorttityyppejä vaan ainoastaan Suomen kansalaisen tavallisen henkilökortin hakeminen on mahdollista. Alaikäisen henkilökorttia, ulkomaalaisen henkilökorttia tai väliaikaista henkilökorttia haetaan jatkossakin ainoastaan poliisilta. Ulkomailla ei oteta käyttöön henkilökorttien suoratoimitusta noutopisteisiin, vaan henkilökortit luovutetaan asiakkaille edustustoista käsin. Henkilökortin ulkoasun muuttumisen lisäksi sen käyttöön tulee muutoksia. Uudessa henkilökortissa siru on kortin kääntöpuolella. Väestörekisterikeskus tuottaa siruun kansalaisvarmenteen, jota käytetään tunnistautumiseen eri verkkopalveluissa, sähköpostien ja dokumenttien salaamiseen sekä sähköisen allekirjoituksen tekemiseen. Uuden kortin siru on myös etäluettava, joka mahdollistaa kortin käytön ilman erillisistä kortinlukijaa NFC-ominaisuuden omaavilla älypuhelimilla (Android). Mobiilisovellus Applen mobiililaitteille julkaistaan vuoden 2017 aikana. Uuden henkilökortin myötä myös kortin tunnusluvun aktivointi muuttuu. Uuden kortin mukana toimitetaan ns. aktivointitunnuslukukirje, jossa on kerrottu kortin 8-numeroinen aktivointitunnusluku. Tämän luvun avulla käyttäjä voi itse asettaa kortilleen haluamansa tunnusluvut (PIN1: 4-12 numeroa, PIN2: 6-12 numeroa) Jos PIN-luku jostain syystä lukkiutuu, voi sen aktivoida uudelleen aktivointitunnusluku-kirjeessä mainitulla aktivointitunnusluvulla. Sairausvakuutustietojen merkitsemisestä henkilökortille luovutaan. Vanhoja sairausvakuutustiedoin varustettuja henkilökortteja voi käyttää normaalisti, muutoksella ei ole vaikutusta niiden voimassaoloon.'' Viitattu: 2016-12-27</ref>.
* Avaimien pituus: 2048 bittiä
 
* ATR: 3B7B940000806212515646696E454944
 
* Appletit: EID2048
 
  
 +
Tarkempia tietoja korttien ominaisuuksista löytyy [[Tekniikka/Henkilökortti#Versiot|tekniikka]]-sivulta.
  
 
=== Elinkaaret ===
 
=== Elinkaaret ===
 +
 +
Korttien <span style='background: lightblue; padding: 3px'>myöntämisjakso</span> ja viimeisten korttien <span style='background: #CCCCFF; padding: 3px;'>voimassaolo</span>. Eri versioiden julkaisuajankohdat ovat epäselviä eivätkä versioiden sijainnit taulukossa vielä pidä paikkaansa.
  
 
{| class="wikitable" style="font-size: 10px;"
 
{| class="wikitable" style="font-size: 10px;"
Rivi 118: Rivi 219:
 
!2020
 
!2020
 
!2021
 
!2021
 +
!2022
 +
!2023
 +
!2024
 +
!2025
 +
!2026
 +
!2027
 +
!2028
 +
|-
 +
|
 +
|colspan=3 bgcolor='lightblue'|'''G1.1 SetCos 4.3.1'''
 +
|colspan=3 bgcolor='#CCCCFF'|+3v
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|-
 +
|
 +
|
 +
|
 +
|
 +
|colspan=4 bgcolor='lightblue'|'''G1.2 SetCos 4.3.2'''
 +
|colspan=3 bgcolor='#CCCCFF'|+3v
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|-
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|colspan=4 bgcolor='lightblue'|'''G1.? SetCos 4.?.?'''
 +
|colspan=3 bgcolor='#CCCCFF'|+3v
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 
|-
 
|-
|colspan=4 bgcolor='lightblue'|'''SetCos 4.3.1'''
 
 
|
 
|
 
|
 
|
Rivi 127: Rivi 313:
 
|
 
|
 
|
 
|
 +
|
 +
|
 +
|
 +
|
 +
|colspan=4 bgcolor='lightblue'|'''G?.? SetCos 4.4.1'''
 +
|colspan=3 bgcolor='#CCCCFF'|+3v
 
|
 
|
 
|
 
|
Rivi 142: Rivi 334:
 
|
 
|
 
|
 
|
|colspan=4 bgcolor='lightblue'|'''SetCos 4.3.2'''
 
 
|
 
|
 
|
 
|
Rivi 155: Rivi 346:
 
|
 
|
 
|
 
|
 +
|
 +
|colspan=3 bgcolor='lightblue'|'''G2.2 SetCos 5.1.1'''
 +
|colspan=5 bgcolor='#CCCCFF'|+5v
 
|
 
|
 
|
 
|
Rivi 161: Rivi 355:
 
|
 
|
 
|-
 
|-
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|colspan=4 bgcolor='lightblue'|'''G3.1 MultiApp 3.0'''
 +
|colspan=5 bgcolor='#CCCCFF'|+5v
 +
|
 +
|
 +
|
 +
|-
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|colspan=4 bgcolor='lightblue'|'''G3.2 MultiApp 3.0'''
 +
|colspan=5 bgcolor='#CCCCFF'|+5v
 
|}
 
|}
  
 
== Varmenteet ==
 
== Varmenteet ==
[[Tiedosto:Varmennehaku.png|350px|right|thumb|Valtion myöntämän henkilövarmenteen julkisen avaimen ja [[SATU]]-tunnuksen voi hakea [[Väestörekisterikeskus|Väestörekisterikeskuksen]] web-[http://vrk.fineid.fi/certsearchB.asp käyttöliittymällä].]]
+
[[Tiedosto:Varmennehaku.png|350px|right|thumb|Valtion myöntämän henkilövarmenteen julkisen avaimen ja [[SATU]]-tunnuksen voi hakea [[Digivirasto]]n [https://dvv.fineid.fi/certificate-search varmennehakemistosta].]]
 +
 
 +
Jokaisen henkilön voimassaolevia varmenteita hakea [[Digivirasto]]n webissä olevalla [https://dvv.fineid.fi/certificate-search varmennehausta] josta voi ladata kyseisen henkilövarmenteen ohjelmissa käytettäväksi. Hakukriteereinä voi käyttää SATU:a tai sähköpostiosoitetta. Käyttöliittymä '''listaa vain 100 ensimmäistä''' henkilöä (? onko enää näin).
 +
 
 +
Kortin varmenteet on luotu kortin sisällä eikä salaisia avaimia saa sieltä mitenkään ulos, se on elektronisesti estetty. Kortin vanhetessa, kadotessa tai tuhoutuessa salainen avain ei ole enää käytettävissä eikä esimerkiksi sillä salattu viesti tai sisältö enää aukea. Salausta tulisi käyttää vain tiedon siirrossa, esimerkiksi [[sähköposti]]n kanssa väliaikaisesti, ei tiedon tallennuksessa - eli sähköpostin sisältö tulee tallentaa muualle. Allekirjoittamisen kannalta avaimien katoamisella ei ole merkitystä koska allekirjoituksen oikeellisuuden tarkastelussa ei tarvita salaista avainta.
 +
 
 +
Kortin allekirjoittamiseen tarkoitettua varmennetta (PIN2, tunnusluku 2) voi käyttää [[DigiSign Client]] ja [[qDigiDoc]]-ohjelmilla tai teoriassa verkkosivuilla, joita ei taida olla missään käytössä.
  
Suomalaisella henkilökortilla on yhteensä '''neljä''' [[X509]]-varmennetta.
+
CA-varmenteet löytyvät myös Digiviraston [https://dvv.fi/ca-varmenteet juurivarmenne luettelosta].
 +
 
 +
=== G1.1 - G3.1 ===
 +
 
 +
Vanhemmilla suomalaisilla henkilökortilla on ollut yhteensä '''neljä''' [[X.509]]-varmennetta:
 
* yksi '''tunnistamiseen''' ja toinen '''allekirjoittamiseen''' joilla on molemmilla omat tunnuslukunsa.
 
* yksi '''tunnistamiseen''' ja toinen '''allekirjoittamiseen''' joilla on molemmilla omat tunnuslukunsa.
 
* henkilökorttien takaamisessa käytetty, valtion '''CA-varmenne''' (''intermediate CA certificate'')
 
* henkilökorttien takaamisessa käytetty, valtion '''CA-varmenne''' (''intermediate CA certificate'')
* kaikki CA-varmenteiden takaamisessa käytetty, valtion '''juurivarmenne''' (''root CA certificate'')
+
* kaikkien CA-varmenteiden takaamisessa käytetty, valtion '''juurivarmenne''' (''root CA certificate'')
 
 
CA-varmenteet löytyvät myös [https://eevertti.vrk.fi/Default.aspx?id=237&docid=533 VRK:n web-sivuilta].
 
 
 
Jokaisen henkilön voimassaolevia varmenteita voi kysellä [[Väestörekisterikeskus|Väestörekisterikeskuksen]] webissä olevalla [http://vrk.fineid.fi/certsearchB.asp vrk.fineid.fi - varmennehaku] -käyttöliittymällä josta voi myös ladata varmenteen julkisen avaimen. Käyttöliittymä '''listaa vain 100 ensimmäistä''' henkilöä.
 
  
Kortin varmenteiden avainpari on luotu kortin sisällä eikä salaista avainta saa sieltä mitenkään ulos. Kortin vanhetessa, kadotessa tai tuhoutuessa salainen avain ei ole enää käytettävissä eikä esimerkiksi sillä salattu viesti tai sisältö enää aukea. Salausta tulisi käyttää vain tiedon siirrossa väliaikaisesti, ei tiedon tallennuksessa. Allekirjoittamisen kannalta avaimien katoamisella ei ole merkitystä koska sen oikellisuuden tarkastelussa ei tarvita salaista avainta.
+
=== G3.1 - ===
  
Kortin jälkimmäistä, allekirjoittamiseen tarkoitettua varmennetta voi tällä hetkellä käyttää vain [[qDigiDoc]]-ohjelmalla.
+
Vuoden 2021 alusta myönnettyjen korteilla on viisi varmennetta:
 +
* henkilön tunnistus- ja salausvarmenne
 +
* henkilön allekirjoitusvarmenne RSA(?)-algoritmilla
 +
* henkilön allekirjoitusvarmenne Elliptisen kaaren (''EC'') -algoritmilla (''ECDSA, EdDSA'')
 +
* myöntäjän G3-sukupolven korttien takausvarmenne (''intermediate CA certificate'')
 +
* myöntäjän, valtion juurivarmenne (''root CA certificate'')
  
 
== Katso myös ==
 
== Katso myös ==
 
* [[Henkilökortin hankinta]]
 
* [[Henkilökortin hankinta]]
 
* [[Kortinlukija]]
 
* [[Kortinlukija]]
* [[qDigiDoc]] - tärkein ohjelma henkilökortin käyttöön
+
* [[Henkilökortti/Tunnusluvut]] ja miten ne vaihdetaan.
* [[mPollux DigiSign Client]] valtion tuottama oheisohjelma kortin hallintaan.
+
* [[Henkilökortti/Asiointipalveluita|Asiointipalveluita]] jossa voi käyttää henkilökorttia
 +
* [[qDigiDoc]] - tärkein ohjelma henkilökortin käyttöön, Viron valtion tuottama
 +
* [[DigiSign Client]] Suomen valtion Fujitsulta tilaama oheisohjelma kortin hallintaan.
 
* [[Varmenne]] - löytyy kortilta, mitä sillä voi tehdä.
 
* [[Varmenne]] - löytyy kortilta, mitä sillä voi tehdä.
 
* [[Luettelo tunnisteista]]
 
* [[Luettelo tunnisteista]]
 
* [[Tekniikka/Henkilökortti]] sisältää asiaa pintaa syvemmältä.
 
* [[Tekniikka/Henkilökortti]] sisältää asiaa pintaa syvemmältä.
 +
* [[Tekniikka/Active Directory]] kortin käyttö Microsoftin toimialueessa
  
 
== Lähteet ==
 
== Lähteet ==
Rivi 194: Rivi 450:
 
* [http://www.finlex.fi/fi/laki/ajantasa/1999/19990829 finlex.fi 28.7.1999/829 Henkilökorttilaki]
 
* [http://www.finlex.fi/fi/laki/ajantasa/1999/19990829 finlex.fi 28.7.1999/829 Henkilökorttilaki]
  
 +
[[Luokka:Historia]]
 
[[Luokka:Tunnisteet]]
 
[[Luokka:Tunnisteet]]
 
[[Luokka:Tunnistus]]
 
[[Luokka:Tunnistus]]

Nykyinen versio 30. marraskuuta 2024 kello 12.12

Nykyiset myönnettävät G3.2 sukupolven kortit ovat aiempia huomattavan sinisempiä yleisväritykseltään. Sirun kontaktit ovat myös vaihdelleet etupuolelta kortin taakse korttisukupolvien välillä.

Henkilökortti on toinen lakisääteisistä henkilötunnisteista passin lisäksi. Kortti toimii sekä fyysisenä tunnisteena että ainoana virkavastuulla tuotettuna digitaalisena tunnistus- ja allekirjoitusvälineenä sähköisessä asioinnissa.

Sen etupuolella on henkilön koko nimi, sukupuoli, kortin numero, syntymäaika ja henkilötunnuksen osat, kuva, analoginen allekirjoitus, myöntämispäivä ja viimeinen voimassaolopäivä. Kortin takana on samoja tietoja koneluettavassa muodossa.

Henkilökortti on ainoa ensimmäisen asteen (ei johdettu muista) ja korkean varmuustason tunnistusväline, joka myönnetään maassa oleskelevalle väestölle tai Suomen kansalaiselle ja sellaisena ainoa jolla voi tunnistautua verkossa, salata sekä oikeustoimikelpoisesti allekirjoittaa sähköisesti minkä tahansa tekstin tai tiedoston.

Kortin sirun sisältämiltä varmenteilta voidaan myös lukea ohjelmallisesti henkilön etu- ja sukunimi, sähköinen asiointitunnus sekä varmenteiden voimassaoloaika. Varmenteiden päätyminen sulkulistalle ei estä kortin käyttöä fyysisenä tunnisteena tai matkustusasiakirjana.

Ennen vuoden 2019 ajokorttia koskevan lakimuutoksen voimaantuloa aktiivisia henkilökortteja oli yli puoli miljoonaa kappaletta. Lakimuutos aiheutti korttien anomisruuhkan (191 000 kpl 2017, 256 000 kpl 2018, 241 000 kpl H1/2019[1]) ja voidaan arvioida, että kortteja on mahdollisesti aktiivisena yli miljoona kappaletta joista osa on yli kahden miljoonan ulkosuomalaisen[2] hallussa. Vuoden 2020 alussa alkanut COVID-19-pandemia pysäytti korttien anomisen.

Vuonna 2017 ja myöhemmin myönnetyissä korteissa on etälukuominaisuus joka mahdollistaa kortin käytön ilman kontaktillista älykortinlukijaa jos lukevassa tietokoneessa, mobiililaitteessa tms. on NFC-tuki sisäänrakennettuna tai ulkoinen NFC-lisälaite. Allekirjoituksia (PIN2-tunnuslukua käyttävää varmennetta) ei voi tehdä NFC-yhteydellä "turvallisuussyistä", se vaatii edelleen kontaktillisen lukulaitteen. Mobiililaitteissa NFC-ominaisuus on käytettävissä toistaiseksi ainoastaan Google/Android-alustalla ja vaatii erillisen SCS-ohjelmiston asentamisen mobiililaitteeseen.

Kansalaisen kortti on virallinen matkustusasiakirja, jolla voi matkustaa Schengen-alueella.

Historia

Henkilökortin käytöllä tunnistamisessa on pitkä historia. Kuvassa sillä tehtiin pääsynvalvontaa sotasyyllisyysoikeudenkäyntiin 15.11.1945.

Ruotsissa aloitettiin maaliskuussa 1995 SEIS-projekti (Secured Electronic Information in Society) jossa kehitettiin älykortti ja ohjelmistot, joilla kortille tallennettu, henkilöä edustava PKI-varmenne pystyttiin kytkemään tietokoneeseen ja sen ohjelmistoihin. Samoihin aikoihin oli nähty julkisen verkon leviäminen ja ymmärrettiin henkilön todentamisen ja digitaalisten allekirjoitusten olevan ehdoton vaatimus monenvälisen asioinnin toteutumiseksi verkkottuneessa taloudessa ja yhteiskunnassa.

Suomessa seurattiin kehitystä kiinnostuneena ja saman toteuttamista alettiin valmistelemaan 1990-luvun lopussa silloisessa Ritva Viljasen johtamassa Väestörekisterikeskuksessa.

Koska yleiskäyttöisellä varmenteella pystyy tekemään useita kryptografisia operaatiota kuten kahta merkityksellisesti hyvin erilaista tunnistautumista ja allekirjoitusta, silloiset valtion juristit arvioivat, että olisi oikeudellisesti liikaa vaatia keskimääräistä väestön jäsentä olemaan riittävän huolellinen ja erottamaan nämä kaksi eri toimintoa toisistaan. Tällöin syntyi ajatus kahdesta - eri käyttötarkoitukseen tarkoitetusta varmenteesta samalla käyttäjän älykortilla. Varmenteilla olisi omat ja erimittaiset tunnusluvut, jolloin niitä ei pystyisi vahingossa käyttämään väärässä yhteydessä niin helposti. Tai ainakaan allekirjoituksen kiistämisestä tulisi tuomioistuimessa vaikeampaa siihen vedoten. Kaksi eri varmennetta, yksi tunnistamiseen (todentamiseen) ja toinen allekirjoittamiseen, oli siis Suomen tuoma lisä ruotsalaiseen innovaatioon.

Uusiin henkilökortteihin liittyvä lainsäädäntö, varmennepolitiikat, varmenneinfrastruktuuri ja korttien tuotanto saatiin julkaisukuntoon juuri ennen vuosituhannen vaihtumista, joulukuussa 1999. Uusi sirullinen henkilökortti, jota siihen aikaan kutsuttiin HST-kortiksi (Henkilön Sähköinen Tunnistaminen) julkaistiin Heureka-tiedekeskuksessa. Tapahtumassa sai jättää korttihakemuksen ennen varsinaisen poliisilla tapahtuvan prosessin käynnistämistä. Kortista tuli vapaaehtoinen, ja henkilöstä ei verkossa asioidessa ilmennyt henkilötunnus vaan sukupuoleton numero, sähköinen asiointitunnus, joka ei ollut vielä missään muussa käytössä.

Pari vuotta myöhemmin, 28.1.2002, etelänaapurimme Viro julkaisi oman varmenneinfrastruktuurinsa kortteineen ja lakeineen Suomesta kopioiden ja suomalaisten virheistä oppineena. Virossa ymmärrettiin, ettei palveluita voi tarjota vain innokkaimmille harvoille, joten päätettiin digitalisaation koskevan koko väestöä ja siten kortin hankkimisesta tuli pakollista kaikille kansalaisille.

Sirullisten, kaksivaiheisten tunnistuskorttien (MFA, Multi-factor authentication) jakelu aloitettiin 1.12.1999. Kortin anominen on vapaaehtoista ja voimassaolevien korttien määrä on ollut jatkuvasti kasvussa, mihin osaltaan vaikutti 1.9.2006Lähde puuttuu jakeluun tulleiden korttien aiempaa pidempi viiden vuoden voimassaoloaika.

Erä virheellisiä kortteja

  • Elokuun 2. päivästä 2021 eteenpäin valmistettiin vanhanmallisia kortteja joista puuttui EU-Trustmark-tunnus. Vika huomattiin joulukuun lopussa.[3] Virheelliset kortit tulee uusia omalla poliisilaitoksella.[4]

Korttityypit

Valtio on myöntänyt useita erityyppisiä henkilökortteja ja niistä on aktiivisena tällä hetkellä kaksi eri sukupolvea: Ensimmäinen, G3.1 ja toinen, G3.2 joka on laskettu liikkeelle vuonna 2017:

  • kansalaisen henkilökortti (myönnetään myös ei-kansalaiselle)
  • organisaatiokortit
  • terveydenhuollon henkilökortit
  • alaikäisen vain fyysiset kortit
  • äänestyskortti
  • rajoitettu kortti (vasta suunnitteilla)

Kansalaisen kortti

Täysi-ikäisen aikuisen henkilökortti on yleisin korttityypeistä.

Organisaatiokortti

Terveydenhuollon kortti

Organisaatio- ja terveydenhuollon kortit poikkeavat kansalaisen kortista varmenteen suhteen jossa on työpaikan sähköpostiosoite joka mahdollistaa allekirjoitusten ja salausten käytön sähköpostissa. Monella kortin haltijalla ei ole välttämättä normaalia henkilökorttia ollenkaan.

Kortit toimivat myös suoraan työpaikan Microsoftin toimialueeseen kirjautumisessa. Kirjautuminen on kyseisten korttien yleisimpiä käyttökohteita, jonka lisäksi niitä käytetään eri SSO-istunnoissa ja etäyhteyksissä.

Henkilökortista poiketen kortilla ei ole henkilön SATU-tunnusta vaan Valviran Terhikki- tai Suosikki-rekisteristä peräisin oleva rekisteröintinumero.

Alaikäisen kortti

Poliisi voi myöntää kortin myös alaikäiselle 15 vuotta täyttäneelle huoltajan suostumuksesta varmenteiden kanssa tai ilman suostumusta korttina jota ei voi käyttää matkustusasiakirjana eikä sähköisessä asioinnissa (ilman varmenteita)[5]

Ulkomaalaisen kortti

Äänestyskortti

Poliisi voi myöntää ilmaisen, kertakäyttöisen henkilökortin äänestämistä varten. Siihen tarvittavat valokuvat on hankittava itse[6].

Rajoitettu kortti

Lehtitietojen mukaan Sisäministeriö valmistelisi rajoitettua henkilökorttia, johon ei kuuluisi matkustusoikeutta. Se mahdollistaisi tavallisen henkilökortin eväämisen henkilöltä, jota epäillään vakavasta selvittämättömästä rikoksesta tai jolla on suorittamatta hänelle tuomittu rangaistus kuten esimerkiksi odottamassa passitus vankilaan tai hänen edellytetään pysyvän Suomessa asevelvollisuuden suorittamista varten[7]. Tiedoista ei käy ilmi, olisiko kortissa normaalit henkilövarmenteet ja kävisikö niistä jotenkin ilmi henkilökortin tyyppi.

Voimassaoloaika

Korttien nykyistä viiden vuoden voimassaoloaikaa kritisoidaan paljon. Sen taustalla on laadulliset tekijät jotka perustuvat matemaattisten varmenteiden avaimien pituuksiin. Tietokoneiden laskentatehon kasvaessa avaimien murtaminen ns väsytyshyökkäyksellä (Brute force attack) muuttuu helpommaksi vuosien kuluessa. Jos avaimia ei uusittaisi pidemmiksi, palveluiden tunnistaminen ja korteilla tehtyjen allekirjoitusten luotettavuus heikkenisi. Korttien elektroniikan ominaisuuksissa tapahtuu myös kehitystä, näkyvin viimeaikaista muutoksista on NFC-tuki.

Korttien avaimet voisi uusia myös etänä kuten Virossa tehdään. Suomen DigiSign Client ohjelma ei tue sitä koska valtio on tulkinnut sen olevan liian hankala operaatio ihmisten itsensä tehtäväksi.

Tunnusluvut

Kortin varmenteita suojaa kaksi eri tunnuslukua. Esimmäinen, nelinumeroinen on tarkoitettu tunnistamiseen ja salaamiseen, toinen kuusinumeroinen allekirjoittamiseen. Luvut ovat eri pituisia niiden sekaantumisen välttämiseksi.

Kortin pintaan on myös merkitty kuusinumeroinen CAN-tunnusluku. Se on tarkoitettu käytettäväksi NFC-yhteyksillä, mutta NFC-lukijaa käytettäessä DigiSign Client-ohjelma kysyy PIN1-tunnuslukua joka toimii.

Aiemmin tunnusluvut tulivat omassa kuoressaan vastaanottajalle, nykyään lähetetään vain aktivointitunnusluku jolla ne asetetaan itse.

Aktivointitunnusluku eli PUK-avain

Kortin mukana tulevissa papereissa käytetään termiä aktivointitunnusluku (kahdeksan numeroa) joka on sama kuin PUK-avain (Personal Unblocking Key). Vuodesta 2017 alusta G3.* sukupolven ja uudempien korttien mukana ei enää tule varmenteiden tunnuslukuja vaan ne täytyy itse asettaa aktivointitunnusluvulla ennen kortin käyttöä, käyttäen DigiSign Client-ohjelmaa.

Jos varmenteiden tunnusluvut unohtuvat, samalla aktivointitunnusluvulla ne voi asettaa uudestaan. Siksi aktivointitunnusluvun sisältävää kuorta tulee säilyttää huolella. Uuden kuoren voi tilata poliisilta maksua vastaan.

Aktivointitunnuslukua ei ilmeisesti voi vaihtaa vaan se on kiinteä ja korttikohtainen.

Turvallisuus

Henkilökortin käyttö verkkopankissa poistaisi huijausviestien petokset täysin. Vahingot maksavat kaikki asiakkaat yhdessä palvelumaksujensa kautta.

Henkilökortti on turvallisin kaikista asiointivälineistä sähköisesti asioidessa. Sillä voi tunnistautua palvelussa, salata ja allekirjoittaa asiakirjoja ja sen väärinkäyttö on käytännössä mahdotonta. Sen ainoa huono puoli on sen vähäinen käyttö ja tuki palveluissa, asia joka on muutettavissa ihmisten omalla toiminnalla.

Turvallisuus perustuu kolmeen perustekijään[8]

  • salaisiin tunnuslukuihin (something you know)
  • fyysiseen korttiin (something you have)
  • biometriseen valokuvaan (something you are)

sekä kortin fyysisiin ja sähköisiin turvatekijöihin väärentämisen estämiseksi[9] .

  • painettu allekirjoitus
  • hologrammi (jossa HETUn alku)
  • valokuva muovi-ikkunassa
  • UV-valolle herkät osat
  • OVD-kalvo ja sen mikrotekstit
  • 3D-laserkuva
  • mikrotekstiä
  • erikoispainovärit
  • 2048-bittinen RSA-varmenne
  • SHA1-tiiviste

Riippumatta siitä, käyttääkö korttia fyysisenä vai sähköisenä tunnisteena, käytössä on aina kaksi tekijää (MFA, Monen tekijän tunnistusväline):

  • Fyysisestä kortista tarkastetaan henkilön kuva (biometria) ja kortin fyysiset turvaominaisuudet kuten hologrammi (materia).
  • Sähköisessä käytössä käyttäjän täytyy tietää salaiset tunnusluvut (salaisuus) ja kortin tulee olla kiinni kortinlukijassa (HSM, materia).

Varmenteet on luotu kortilla eikä niitä saa sieltä ulos ulkopuolinen taho, kortin haltija, poliisi eikä edes kortin valmistanut Digivirasto. Edellä olevien yhdistelmä käytännössä estää verkossa jatkuvasti ilmenevän kertakäyttöisten salasanojen (OTP, one time password) kalastelun - koska onnistuakseen myös fyysinen kortti pitäisi lähettää ulkomaille. Tunnuslukujen kalastelulla tehdyt petokset on ongelma jonka maksaja on lopulta pankin asiakas.

Kritiikki

  • Kortin hankinta päätettiin aikanaan jättää kansalaisen vastuulle eikä se käynyt palveluihin korttien vähäisen määrän vuoksi. Nykyään kortteja on paljon, mutta se ei vieläkään käy kuin julkisiin palveluihin.
  • Korttia on kritisoitu kalliiksi suhteessa sen voimassoloaikaan, jota on sittemmin pidennetty viiteen vuoteen joka on sama kuin passilla.
  • Ihmiset jotka eivät ole ikinä käyttäneet kortin lukijalaitetta kritisoivat sitä hankalaksi
  • Moni on jättänyt kortin hankkimatta perustellen, että sillä ei tee mitään mikä ei ole kaukana totuudesta
  • Kortin pinnalla ei ole HETU-tunnusta selkeästi kirjoitettuna.
  • Kortin pinnalla ei ole SATU-tunnusta ollenkaan, se selviää vain kortin papereista tai sähköisesti lukemalla.
  • Kortilla oleva SATU-tunnus on hankala palveluntarjoajan kannalta ja HETU-kyselyt VRK:lta ovat maksullisia, vaativat erillisen sopimuksen.
  • Valtionvarainministeriön työryhmä esitti kesäkuussa 2009 varmennepalvelun alasajoa vähäisen käytön ja kustannusten (2,2 miljoonaa euroa v. 2008) takia[10]

Versiot

G1.1 SetCOS 4.3.1

Ominaisuudet:

  • Julkaistu: 1.12.1999[11]
  • Hinta: 130 markkaa
  • Voimassaoloaika: 3 vuotta
  • Elinkaari: 1.12.1999 - 31.12.2002

SetCOS 5.1.0

Ominaisuudet:

  • Myöntämisjakso: 2005-06
  • Elinkaari:
  • Hinta: 50 €
  • Voimassaoloaika: 5 vuotta

G2.2

Ominaisuudet:

G3.1

  • Valmistaja: Idemia
  • Myöntämisjakso: 1.1.2017 - 31.12.2020 (4 vuotta)
  • Hinta:
  • Voimassaoloaika: 5 vuotta
  • Allekirjoitus pätee EU:ssa: ei (notifiointisotku)
  • siru kääntöpuolella
  • etäluettava NFC-tekniikalla ilman älykortinlukijaa, Applen mobiililaitteet eivät toimi.
  • aktivointi aktivointitunnuslukukirjeellä jossa on 8-numeroinen aktivointitunnus (PUK-koodi).
  • sairasvakuutuskortin ja henkilökortin yhdistelmä lopetetaan[12]:
  • ulkosuomalainen voi anoa ja noutaa tavallisen kortin ulkomaan lähetystöstä (henkilökohtaisesti ja paikan päällä)[12]:
    • alaikäisen tai ulkomaan kansalaisen korttiasiat hoidetaan yhä Suomessa poliisilla[12]:
    • anomusta ei voi jättää sähköisesti[12]:
    • suoratoimitusta ei tehdä ulkomaille, vaan kortti on noudettava lähetystöstä[12]:

G3.2

  • Valmistaja: Idemia
  • Myöntämisjakso: 1.1.2021 -
  • Voimassaoloaika: 5 vuotta
  • Allekirjoitus pätee EU:ssa: kyllä (QSCD)
  • siru kääntöpuolella
  • etäluettava NFC-tekniikalla ilman älykortinlukijaa, Applen mobiililaitteet eivät toimi.
  • aktivointi aktivointitunnuslukukirjeellä jossa on 8-numeroinen aktivointitunnus (PUK-koodi).

Henkilökorttilaki astui voimaan 1.1.2017[12].

Tarkempia tietoja korttien ominaisuuksista löytyy tekniikka-sivulta.

Elinkaaret

Korttien myöntämisjakso ja viimeisten korttien voimassaolo. Eri versioiden julkaisuajankohdat ovat epäselviä eivätkä versioiden sijainnit taulukossa vielä pidä paikkaansa.

1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022 2023 2024 2025 2026 2027 2028
G1.1 SetCos 4.3.1 +3v
G1.2 SetCos 4.3.2 +3v
G1.? SetCos 4.?.? +3v
G?.? SetCos 4.4.1 +3v
G2.2 SetCos 5.1.1 +5v
G3.1 MultiApp 3.0 +5v
G3.2 MultiApp 3.0 +5v

Varmenteet

Valtion myöntämän henkilövarmenteen julkisen avaimen ja SATU-tunnuksen voi hakea Digiviraston varmennehakemistosta.

Jokaisen henkilön voimassaolevia varmenteita hakea Digiviraston webissä olevalla varmennehausta josta voi ladata kyseisen henkilövarmenteen ohjelmissa käytettäväksi. Hakukriteereinä voi käyttää SATU:a tai sähköpostiosoitetta. Käyttöliittymä listaa vain 100 ensimmäistä henkilöä (? onko enää näin).

Kortin varmenteet on luotu kortin sisällä eikä salaisia avaimia saa sieltä mitenkään ulos, se on elektronisesti estetty. Kortin vanhetessa, kadotessa tai tuhoutuessa salainen avain ei ole enää käytettävissä eikä esimerkiksi sillä salattu viesti tai sisältö enää aukea. Salausta tulisi käyttää vain tiedon siirrossa, esimerkiksi sähköpostin kanssa väliaikaisesti, ei tiedon tallennuksessa - eli sähköpostin sisältö tulee tallentaa muualle. Allekirjoittamisen kannalta avaimien katoamisella ei ole merkitystä koska allekirjoituksen oikeellisuuden tarkastelussa ei tarvita salaista avainta.

Kortin allekirjoittamiseen tarkoitettua varmennetta (PIN2, tunnusluku 2) voi käyttää DigiSign Client ja qDigiDoc-ohjelmilla tai teoriassa verkkosivuilla, joita ei taida olla missään käytössä.

CA-varmenteet löytyvät myös Digiviraston juurivarmenne luettelosta.

G1.1 - G3.1

Vanhemmilla suomalaisilla henkilökortilla on ollut yhteensä neljä X.509-varmennetta:

  • yksi tunnistamiseen ja toinen allekirjoittamiseen joilla on molemmilla omat tunnuslukunsa.
  • henkilökorttien takaamisessa käytetty, valtion CA-varmenne (intermediate CA certificate)
  • kaikkien CA-varmenteiden takaamisessa käytetty, valtion juurivarmenne (root CA certificate)

G3.1 -

Vuoden 2021 alusta myönnettyjen korteilla on viisi varmennetta:

  • henkilön tunnistus- ja salausvarmenne
  • henkilön allekirjoitusvarmenne RSA(?)-algoritmilla
  • henkilön allekirjoitusvarmenne Elliptisen kaaren (EC) -algoritmilla (ECDSA, EdDSA)
  • myöntäjän G3-sukupolven korttien takausvarmenne (intermediate CA certificate)
  • myöntäjän, valtion juurivarmenne (root CA certificate)

Katso myös

Lähteet

  1. Lakimuutos aiheutti viikkojen ruuhkat henkilökorttien hakuun – "Koko Suomessa poliisilaitokset toimivat äärirajoilla" Poliisin tilastojen mukaan tämän vuoden ensimmäisellä puoliskolla henkilökortteja haettiin noin 241 000, kun koko vuonna 2017 haettiin noin 191 000 henkilökorttia. Vuoden 2018 aikana haettujen henkilökorttien määrä oli 256 000. Kyseisessä määrässä näkyy jo ryntäyksen alku viime loppuvuodesta. Viitattu: 2019-09-12
  2. Jopa kaksi miljoonaa viettää Suomen 100-vuotisjuhlaa ulkomailla Jopa kaksi miljoonaa suomalaistaustaista ihmistä viettää Suomen 100-vuotisjuhlaa Suomen rajojen ulkopuolella. Oletko yksi heistä? Viitattu: 2019-09-12
  3. poliisi.fi 2021-12-28 Tuotannossa tapahtuneen virheen takia yksittäinen erä marraskuussa ja joulukuussa myönnettyjä henkilökortteja on painettu jo käytöstä poistetulle korttipohjalle. Viitattu: 2022-01-12
  4. [1] Virheellisten henkilökorttien uusiminen Sisä-Suomen poliisilaitoksen alueella. Viitattu: 2022-01-18
  5. finlex.fi Henkilökorttilaki Poliisi antaa hakemuksesta alaikäiselle henkilökortin, jos alaikäisen huoltajat siihen suostuvat. Jos huoltajia on yhtä useampi eikä joltakin heistä matkan, sairauden tai muun vastaavan syyn vuoksi voida saada suostumusta ja jos ratkaisun viivästymisestä aiheutuisi kohtuutonta haittaa, ei hänen suostumuksensa asiassa ole tarpeen. Poliisi voi ilman huoltajien suostumusta antaa alaikäiselle hakemuksesta henkilökortin, jota ei kuitenkaan voida käyttää matkustusasiakirjana eikä sähköisessä asioinnissa. (11.4.2003/300) Viitattu: 2016-05-28
  6. 2017-01-05 yle.fi Äänestäminen ei ole ilmaista, vaikka sen pitäisi olla: "Käytännössähän se ei ole mahdollista" Perusoikeuden käyttämisessä tarvittavien henkilöllisyystodistusten maksullisuudesta on kanneltu oikeuskanslerille. Tämän vuoksi äänestämistä varten on mahdollista saada ilmainen poliisin myöntämä henkilökortti. Se on voimassa vain yhden äänestyskerran, ja sitä varten tarvittavat passikuvat on hankittava itse. Viitattu: 2017-01-06
  7. savonsanomat.fi - Uusi rajoitettu henkilökortti valmisteilla - ei kelpaa matkustamiseen Viitattu: 2019-02-13
  8. cs.cornell.edu: Fred B. Schneider: Something You Know, Have, or Are All approaches for human authentication rely on at least one of the following:
    • Something you know (eg. a password). This is the most common kind of authentication used for humans. We use passwords every day to access our systems. Unfortunately, something that you know can become something you just forgot. And if you write it down, then other people might find it.
    • Something you have (eg. a smart card). This form of human authentication removes the problem of forgetting something you know, but some object now must be with you any time you want to be authenticated. And such an object might be stolen and then becomes something the attacker has.
    • Something you are (eg. a fingerprint). Base authentication on something intrinsic to the principal being authenticated. It's much harder to lose a fingerprint than a wallet. Unfortunately, biometric sensors are fairly expensive and (at present) not very accurate. Viitattu: 2015-07-07
  9. poliisi.fi - Suomen henkilökortit
  10. 2009-07-17 savonsanomat.fi: Sähköinen henkilökortti lopetetaan Valtiovarainministeriön työryhmä esittää sähköisen henkilökortin eli kansalaisvarmennepalvelun lopettamista. Kyse on henkilökortin siruun lisättävästä varmenteesta, jolla suomalaiset voivat varmistaa henkilöllisyytensä verkkopalveluissa ja asioida netissä esimerkiksi valtion ja kunnan organisaatioiden kanssa. Pelkästään viime vuonna Väestörekisterikeskus käytti 2,2 miljoonaa euroa kansalaisvarmennepalveluun. Yhteensä valtion arvioidaan käyttäneen sähköisen henkilökortin kehittämiseen yli 30 miljoonaa euroa. Valtiovarainministeriöstä myönnetään, että asiaa selvittänyt ryhmä on jättänyt palvelun lakkauttamisesta esityksen. Se on lähtenyt lausuntokierrokselle kesäkuussa. Valtion ylläpitämä kansalaisvarmennepalvelu ei ole saanut käyttäjiä odotetulla tavalla. Sen sijaan suomalaiset käyttävät yleisesti pankkien tunnuksia, jos heidän tarvitsee varmistaa henkilöllisyytensä verkkopalveluissa. Sähköisen asioinnin tunnistamisista vain alle puoli prosenttia tehdään kansalaisvarmenteella. Näistäkin käyttäjistä osa on virkamiehiä, jotka käyttävät tunnistetta virkavarmenteen sijasta työssään. Pankkien nettitunnuksilla voi verkkopankkien lisäksi asioida esimerkiksi verohallinnossa ja useissa kaupallisissa palveluissa. Viitattu: 20151030
  11. yle.fi 1999-02-24: Uusi henkilökortti käyttöön
  12. 12,0 12,1 12,2 12,3 12,4 12,5 2016-12-27 poliisi.fi Henkilökorttien hakumahdollisuudet laajenevat ja henkilökortin käyttöön tulee muutoksia Uusi henkilökorttilaki astuu voimaan 1.1.2017. Ulkomailla oleskeleva Suomen kansalainen voi tuosta päivästä alkaen hakea henkilökorttia niistä Suomen edustustoista, joissa annetaan passipalveluja. Hakemus tulee jättää henkilökohtaisesti edustustoon, sitä ei ole mahdollista laittaa vireille sähköisesti. Suomen edustustosta ei ole mahdollista hakea kaikkia henkilökorttityyppejä vaan ainoastaan Suomen kansalaisen tavallisen henkilökortin hakeminen on mahdollista. Alaikäisen henkilökorttia, ulkomaalaisen henkilökorttia tai väliaikaista henkilökorttia haetaan jatkossakin ainoastaan poliisilta. Ulkomailla ei oteta käyttöön henkilökorttien suoratoimitusta noutopisteisiin, vaan henkilökortit luovutetaan asiakkaille edustustoista käsin. Henkilökortin ulkoasun muuttumisen lisäksi sen käyttöön tulee muutoksia. Uudessa henkilökortissa siru on kortin kääntöpuolella. Väestörekisterikeskus tuottaa siruun kansalaisvarmenteen, jota käytetään tunnistautumiseen eri verkkopalveluissa, sähköpostien ja dokumenttien salaamiseen sekä sähköisen allekirjoituksen tekemiseen. Uuden kortin siru on myös etäluettava, joka mahdollistaa kortin käytön ilman erillisistä kortinlukijaa NFC-ominaisuuden omaavilla älypuhelimilla (Android). Mobiilisovellus Applen mobiililaitteille julkaistaan vuoden 2017 aikana. Uuden henkilökortin myötä myös kortin tunnusluvun aktivointi muuttuu. Uuden kortin mukana toimitetaan ns. aktivointitunnuslukukirje, jossa on kerrottu kortin 8-numeroinen aktivointitunnusluku. Tämän luvun avulla käyttäjä voi itse asettaa kortilleen haluamansa tunnusluvut (PIN1: 4-12 numeroa, PIN2: 6-12 numeroa) Jos PIN-luku jostain syystä lukkiutuu, voi sen aktivoida uudelleen aktivointitunnusluku-kirjeessä mainitulla aktivointitunnusluvulla. Sairausvakuutustietojen merkitsemisestä henkilökortille luovutaan. Vanhoja sairausvakuutustiedoin varustettuja henkilökortteja voi käyttää normaalisti, muutoksella ei ole vaikutusta niiden voimassaoloon. Viitattu: 2016-12-27

Aiheesta muualla