Ero sivun ”Allekirjoitus” versioiden välillä

Kohteesta DigiWiki
Siirry navigaatioon Siirry hakuun
(37 välissä olevaa versiota samalta käyttäjältä ei näytetä)
Rivi 1: Rivi 1:
'''Allekirjoittaminen''' on tärkeä osa digitalisaatiota. Suuri osa tietojenkäsittelystä on asiakirjojen ja sopimusten käsittelyä joihin osapuolet sitoutuvat allekirjoittamalla ne. Paperilla allekirjoittaminen tapahtuu käsin paperin siihen tarkoitettuun osaan, digitaalisessa versiossa allekirjoitus on matemaattinen, yksisuuntainen operaatio joka voidaan todeta aukottomasti oikeaksi myöhemmin - kenen tahansa toimesta, jopa ulkopuolisen osapuolen (esimerkiksi tuomioistuin).
+
'''Allekirjoitus''' on oleellinen osa digitalisaatiota. Läntiset yhteiskunnat ovat [https://fi.wikipedia.org/wiki/Oikeusjärjestys oikeusjärjestyksellisiä] ympäristöjä ''Koska järjestäytynyt yhteiskunta vaatii tiettyjä selkeitä sääntöjä toimiakseen'' - ympäristöjä jotka perustuvat tuomiovallan olemassaoloon, aseman tunnustamiseen ja sen tuomaan luottamuksen ilmapiiriin.
  
 +
Suurin osa yhteiskunnassa toimivista tapahtumista on sopimusten käsittelyä joihin osapuolet sitoutuvat allekirjoittamalla ne. Jopa yksittäiset ostotapahtumat ovat sopimuksia, sen osat tarjouspyyntö, tarjous, tilaus, lähete, lasku ja maksusuorite - ovat sopimuksia. Näistä viimeinen on yleisesti käytössä kortilla maksaessa jossa maksukortilla annetaan lupa maksusuoritukseen.
  
== Allekirjoitustavat ==
+
'''Sormenjälki ja muste''' olivat ensimmäisiä allekirjoitusvälineitä ennen kuin opittiin kirjoittamaan. Paperilla allekirjoittaminen tapahtuu kynällä sille varatussa kohdassa. Allekirjoitus tehdään paperiin jonka sisältö ''alle-kirjoitetaan'' sanan varsinaisessa merkityksessä allekirjoittajan henkilön nimellä (näin ei ole esim yrityksen tapauksessa, toimitusjohtaja ei kirjoita kaunokirjoituksella yrityksen nimeä ''Outokumpu Oyj'' - joskus on vain niin sovittu.). Kirjoitettua allekirjoitusta jota voidaan myöhemmin tulkita tarkkaan ja todeta sen tekijä kohtuullisen varmasti eri yksityiskohdista. Maksutapahtuman esimerkissä ennen allekirjoitettiin käsin paperinen shekki joka oli lupaus maksusuorituksesta.
 +
 
 +
'''Laki määrittelee''' sähköisen allekirjoituksen aseman yhteiskunnassa - ilman lakia allekirjoituksella ei ole merkitystä. Suomessa [[laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista]] määrittelee käsitteen [[vahva tunnistus]] joka on oikeustoimikelpoinen allekirjoitus. Lain ensimmäinen versio tuli voimaan vuonna 1999 kun [[henkilökortti]] julkaistiin. Euroopan unionin [[EIDAS]]-direktiivi määrittelee saman luottopalveluiden oikeudellisen aseman kuin Suomen laki, direktiivi kattaa koko yhteisön alueen. Jos sopimuksen ''oikeustoimipaikan lainsäädäntö'' ei tunne käytettyä allekirjoitusvälinettä tai allekirjoitettua muotoa, allekirjoituksella ei ole merkitystä.
 +
 
 +
Oli väline mikä tahansa, '''allekirjoituksen tarkoitus on sitoa sen osapuolet sopimukseen'''. Näin oli ennen ja niin on tulevaisuudessakin.
 +
 
 +
 
 +
__TOC__
 +
 
 +
== Allekirjoitustavat Suomessa ==
 
Suomessa on vakiintunut kaksi tapaa tehdä sähköisiä allekirjoituksia:
 
Suomessa on vakiintunut kaksi tapaa tehdä sähköisiä allekirjoituksia:
* luottamukseen perustuvat allekirjoitukset
+
* kolmannen osapuolen tekemä
* matemaattiset allekirjoitukset, julkisen avaimen (''public key'') tekniikalla
+
* PKI (varmennehierarkia) -allekirjoitukset
 +
 
 +
Molemmille allekirjoituksille on yhteistä niiden luotettava todentaminen tarvittaessa. Oikeusvaltiossa se tapahtuu viime kädessä tuomioistuimessa joka on kyseisen tapahtuman kolmas, ulkopuolinen osapuoli. Ilman tätä mahdollisutta luotettavien sopimusten pohja sortuu eikä oikeusvaltion sopimusympäristöä enää ole.
 +
 
 +
=== Kolmannen osapuolen tekemä ===
 +
'''Kolmannen osapuolen tekemä'''  allekirjoitus perustuu palveluun jonka käyttäjä on tunnistettu [[Luettelo tunnisteista|jollakin vahvalla tunnistella]] ja jonka ympäristössä allekirjoittamiseksi mielletty merkitseminen tai palvelun hallussa olevalla välineellä allekirjoittaminen tapahtuu. Tällöin ei voida puhua varsinaisesta allekirjoituksesta kuten perinteisesti on mielletty ja akateemisessa tietojenkäsittelytieteessä tunnetaan, koska merkitsemisen tai allekirjoituksen tekee joku muu kuin sillä sopimukseen sidottu osapuoli eikä allekirjoitusväline (kynä) ole edes sopimusosapuolen hallussa. Mikään ei estä palvelun tarjoajaa fabrikoimasta allekirjoituksia sopimusosapuolen tietämättä.
 +
 
 +
Koska tapahtuma suoritetaan palvelussa eikä sopimusosapuolen hallussa laitteessa, allekirjoitettava sisältö ladataan ja tallennetaan palveluun, jossa se voidaan edelleen monistaa ja välittää eteenpäin, siihen voi tutustua tapahtuman ulkopuoliset tahot kuten palvelun työntekijät tai vastaava osapuoli. Moni sisältö on usein vaitiolovelvollisuuden (''NDA, Non Disclosure Agreement'') alaista ja siten sen lataaminen palveluun "allekirjoitettavaksi" voi olla sopimusrikkomus ja laukaista sen sanktiopykälät.
 +
 
 +
Ulkopuolisen - kuten tuomioistuimen, jälkikäteen suorittamaa aitouden todentamista ei voida tehdä. On vain kolmannen osapuolen, sähköisen palvelun - jota todennäköisesti ei sido mikään vastuu - tallentama merkintä, että kyseinen sisältö on allekirjoitettu. Kaikki perustuu luottamukseen palvelun tarjoajan nuhteettomuudesta eikä tätä kolmatta osapuolta välttämättä sido edes lakiin perustuva kahdenvälinen sopimus- tai virkavastuu.
 +
 
 +
Kyse ei siis ole allekirjoituksesta kuten perinteisestä paperia käyttävässä yhteiskunnassa tai tietotekniikassa termi ymmärretään. Edelläolevasta huolimatta, jos käyttäjä on tunnistettu käyttämällä vahvaa tunnistetta, allekirjoitusmerkinnällä on tänä päivänä oikeudellinen asema Suomessa.
 +
 
 +
Koska kyse on kolmannen osapuolen tuottamasta palvelusta, tämä allekirjoitustapa on osa [[Arkkitehtuurivertailu|palvelukeskeistä arkkihtehtuuria]].
 +
 
 +
=== PKI-allekirjoitukset  ===
 +
'''PKI-allekirjoitukset''' eli [[varmenne|varmennehierarkialla]] tehdyt allekirjoitukset perustuvat ''avaimiin'', niistä muodostettuihin [[Varmenne|varmenteisiin]] jotka ovat allekirjoittajan itsensä hallussa ja avaimia käyttävään ''laskenta-algoritmiin'' jolla allekirjoitus ja sen aitouden todennus tapahtuu.
 +
 
 +
Jos salaiset tiedot, varmenne ja tunnusluku eivät päädy vääriin käsiin, eikä tekniikasta löydy niitä murtavia heikkouksia - PKI-allekirjoitusta voidaan pitää luotettavana koska sitä ei pysty tekemään kukaan muu kuin kyseinen henkilö. Siten PKI-allekirjoitusta pidetään tietotekniikassa analogista allekirjoitusta tai sormenjälkeä vastavaana digitaalisena versiona.
 +
 
 +
Allekirjoittaminen voi tapahtua käyttäjän hallussa olevassa laitteessa - tai haluttaessa allekirjoitustoimintoa tarjoavasssa palvelussa. Käyttäjän laitteen tapauksessa sisältöä ei tarvitse luovuttaa kolmannen osapuolen haltuun ja sisällön salaisuus säilyy eikä mahdollista NDA-rikkomusta synny.
 +
 
 +
Jos allekirjoitusmuoto on yleisesti tunnettu kuten [[ASiC|ASiC-E]], sen tuomioistuimessa oikeaksi todentaminen on huomattavasti helpompaa kun istunnon aikana ei tarvita teknistä analyysiä todisteluineen.
  
=== Luottamukseen perustuvat allekirjoitukset ===
+
Kokonaisuutena, omassa laitteessa tehdystä PKI-allekirjoituksesta puuttuu kaikki allekirjoituspalvelun ongelmat.
'''Luottamukseen perustuvat allekirjoitukset''' perustuvat palveluun jonka käyttäjä on tunnistettu [[Luettelo tunnisteista|jollakin vahvalla tunnistella]] ja jonka ohjelmakoodissa allekirjoittaminen tapahtuu. '''Sisältö on allekirjoitettu palvelun luotetun tuottajan väittämänä''' koska yleensä käyttäjän tunnistaminen on tehty tunnisteesta joka ei sisällä [[Varmenne|varmennetta]], sitä ei pystytä toteamaan ulkopuolisen toimesta. Siten teknisesti ottaen kyse ei ole allekirjoituksesta kuten tietotekniikassa termi ymmärretään. Jos käyttäjä on tunnistettu käyttämällä vahvaa tunnistetta, allekirjoituksella on oikeudellinen asema.
 
  
=== Matemaattinen allekirjoitukset ===
+
Koska kyse on PKI:n hyödyntämisestä tämä allekirjoitustapa on osa [[Arkkitehtuurivertailu|PKI-keskeistä arkkihtehtuuria]].
'''Matemaattiset allekirjoitukset''' eli kryptograafiset allekirjoitukset perustuvat ''avaimiin'', niistä muodostettuihin [[Varmenne|varmenteisiin]] ja avaimia käyttävään ''laskenta-algoritmiin'' jolla allekirjoitus ja sen aitouden todennus tapahtuu.
 
  
Jos avaimen haltijan salaiset tiedot - salainen allekirjoitusavain tai sitä suojaava salainen tunnusluku eivät päädy vääriin käsiin, eikä käytetyistä algoritmeista löydy niitä murtavia heikkouksia, allekirjoitusta voidaan pitää luotettavana koska sitä ei pysty tekemään kukaan muu kuin avaimien haltija.
+
== Uudet dokumenttimuodot vai säiliö ==
 +
 
 +
'''Digitaalisessa allekirjoituksessa''' ei voida toimia kuten paperissessa tapauksessa teknisten rajoitteiden takia. Digitaaliset sisällöt ja niitä kantavat dokumenttiformaatit (tekstit, kuvat, taulukkolaskennat) ovat olleet olemassa ennen digitaalisia allekirjoituksia, ennen arkiasioinnin ja tietotekniikan ja verkkojen yhdistymistä digitalisaatioksi. Tästä johtuen niissä ei ole ollut alusta lähtien yhtenäistä, sovittua tapaa lisätä niihin osapuolien sormenjälkiä tai allekirjoituksia. Se mahdollisuus on tullut vasta myöhemmin, viime vuosina.
 +
 
 +
Edelläolevasta johtuen digitaalisten allekirjoitusten ja niihin liittyvien sisältöjen sitomisessa toisiinsa on kaksi vaihtoehtoa:
 +
* '''tehdään kaikista dokumenttiformaatista uudet versiot''', kuten esimerkiksi PDF-muotoon lisätään allekirjoitusominaisuus.
 +
* '''säilytetään vanhat formaatit sellaisenaan ja sidotaan allekirjoitukset''' luotettavasti toisiinsa tallentamalla ne säiliöön.
 +
 
 +
kumpaakin on yritetty ja tehty, vaihtelevin tuloksin.
 +
 
 +
'''Uusissa formaateissa''' on paljon haasteita (l. ongelmia):
 +
* dokumenttiformaatteja/muotoja on loputon määrä
 +
* kaikkiin pitää tehdä muutokset erikseen
 +
* kaikkien käyttöliittmät ovat erillaisia
 +
* kaikkien allekirjoituksia tulkitaan eri tavalla
 +
* kaikkien käyttäjien välineet (ohjelmistot ja laitteet) pitää vaihtaa
 +
* kaikki (l. koko väestö) pitää kouluttaa käyttämään niitä
 +
* tekniselle allekirjoitukselle on oma paikkansa dokumentin sisällä
 +
 
 +
'''Säiliön''' ominaisuudet:
 +
* jonkun pitää päättää mikä se sidoksen tekninen toteutus on
 +
* kaikki osapuolet pitää saada sitoutumaan valittuun ratkaisuun
 +
* samassa allekirjoituksessa voi olla useita dokumentteja
 +
* ratkaisu ei ota kantaa nykyisiin eikä tulevaisuuden formaatteihin, kunhan ne ovat tiedostoja
 +
* tekniselle allekirjoitukselle on oma paikkansa pakettimuodon sisällä
 +
 +
Säiliöinnissä dokumentit (tekstit, kuvat jne) "kääritään" allekirjoitukseen laskemalla sisältöä vastaava [[tiiviste]] kaikista sen tiedostoista ja allekirjoittamalla se käyttäen digitaalisia allekirjoitusvälineitä.
 +
 
 +
Allekirjoituksessa itse sisältöön ei varsinaisesti kosketa. Allekirjoitus, yleensä sisältöineen - luovutetaan sopimusosapuolille ja sopimus on valmis. Sisältöä vastaava tiiviste ja itse tiivisteen allekirjoitus voidaan julkistaa julkistamatta välttämättä sisältöä. Allekirjoitus on matemaattinen, yksisuuntainen operaatio joka voidaan perinteisen tavoin todeta aukottomasti oikeaksi myöhemmin.
  
 
== Kritiikkiä ==
 
== Kritiikkiä ==
 
+
* Käyttäjän oikeusturvan kannalta on tärkeää, että hän tietää ja voi olla varma mitä asiakirjoja allekirjoittaessa ja mihin mahdollisesti sitoutuu. Koska allekirjoitus on kaksivaiheinen (tiivisteen laskenta, allekirjoitus), eikä tiiviste ole selkokielinen - muodostuu riski, että käyttäjä allekirjoittaa muuta sisältöä mitä luulee allekirjoittavansa koska allekirjoitettava tiiviste on vaihtunut jossakin vaiheessa. Riski on käytännössä marginaalinen, mutta se on suurempi jos käytetyt ohjelmistot ovat palvelussa eikä käyttäjän hallussa olevassa omassa laitteessa.
Käyttäjän oikeusturvan kannalta on tärkeää, että hän tietää ja voi olla varma mitä asiakirjoja allekirjoittaessa ja mihin mahdollisesti sitoutuu. Koska allekirjoitus on kaksivaiheinen (tiivisteen laskenta, allekirjoitus), eikä tiiviste ole selkokielinen - muodostuu riski, että käyttäjä allekirjoittaa muuta sisältöä mitä luulee allekirjoittavansa koska allekirjoitettava tiiviste on vaihtunut jossakin vaiheessa.
 
  
 
== Katso myös ==
 
== Katso myös ==
Rivi 29: Rivi 86:
  
 
* [http://fi.wikipedia.org/wiki/Digitaalinen_allekirjoitus fi.wikipedia.org - digitaalinen allekirjoitus]
 
* [http://fi.wikipedia.org/wiki/Digitaalinen_allekirjoitus fi.wikipedia.org - digitaalinen allekirjoitus]
 +
* [https://en.wikipedia.org/wiki/Non-disclosure_agreement en.wikipedia.org - Non-disclosure agreement (NDA)]
  
 +
[[Luokka:Allekirjoitus‏‎]]
 
[[Luokka:Sovellukset]]
 
[[Luokka:Sovellukset]]

Versio 29. huhtikuuta 2020 kello 09.11

Allekirjoitus on oleellinen osa digitalisaatiota. Läntiset yhteiskunnat ovat oikeusjärjestyksellisiä ympäristöjä Koska järjestäytynyt yhteiskunta vaatii tiettyjä selkeitä sääntöjä toimiakseen - ympäristöjä jotka perustuvat tuomiovallan olemassaoloon, aseman tunnustamiseen ja sen tuomaan luottamuksen ilmapiiriin.

Suurin osa yhteiskunnassa toimivista tapahtumista on sopimusten käsittelyä joihin osapuolet sitoutuvat allekirjoittamalla ne. Jopa yksittäiset ostotapahtumat ovat sopimuksia, sen osat tarjouspyyntö, tarjous, tilaus, lähete, lasku ja maksusuorite - ovat sopimuksia. Näistä viimeinen on yleisesti käytössä kortilla maksaessa jossa maksukortilla annetaan lupa maksusuoritukseen.

Sormenjälki ja muste olivat ensimmäisiä allekirjoitusvälineitä ennen kuin opittiin kirjoittamaan. Paperilla allekirjoittaminen tapahtuu kynällä sille varatussa kohdassa. Allekirjoitus tehdään paperiin jonka sisältö alle-kirjoitetaan sanan varsinaisessa merkityksessä allekirjoittajan henkilön nimellä (näin ei ole esim yrityksen tapauksessa, toimitusjohtaja ei kirjoita kaunokirjoituksella yrityksen nimeä Outokumpu Oyj - joskus on vain niin sovittu.). Kirjoitettua allekirjoitusta jota voidaan myöhemmin tulkita tarkkaan ja todeta sen tekijä kohtuullisen varmasti eri yksityiskohdista. Maksutapahtuman esimerkissä ennen allekirjoitettiin käsin paperinen shekki joka oli lupaus maksusuorituksesta.

Laki määrittelee sähköisen allekirjoituksen aseman yhteiskunnassa - ilman lakia allekirjoituksella ei ole merkitystä. Suomessa laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista määrittelee käsitteen vahva tunnistus joka on oikeustoimikelpoinen allekirjoitus. Lain ensimmäinen versio tuli voimaan vuonna 1999 kun henkilökortti julkaistiin. Euroopan unionin EIDAS-direktiivi määrittelee saman luottopalveluiden oikeudellisen aseman kuin Suomen laki, direktiivi kattaa koko yhteisön alueen. Jos sopimuksen oikeustoimipaikan lainsäädäntö ei tunne käytettyä allekirjoitusvälinettä tai allekirjoitettua muotoa, allekirjoituksella ei ole merkitystä.

Oli väline mikä tahansa, allekirjoituksen tarkoitus on sitoa sen osapuolet sopimukseen. Näin oli ennen ja niin on tulevaisuudessakin.


Allekirjoitustavat Suomessa

Suomessa on vakiintunut kaksi tapaa tehdä sähköisiä allekirjoituksia:

  • kolmannen osapuolen tekemä
  • PKI (varmennehierarkia) -allekirjoitukset

Molemmille allekirjoituksille on yhteistä niiden luotettava todentaminen tarvittaessa. Oikeusvaltiossa se tapahtuu viime kädessä tuomioistuimessa joka on kyseisen tapahtuman kolmas, ulkopuolinen osapuoli. Ilman tätä mahdollisutta luotettavien sopimusten pohja sortuu eikä oikeusvaltion sopimusympäristöä enää ole.

Kolmannen osapuolen tekemä

Kolmannen osapuolen tekemä allekirjoitus perustuu palveluun jonka käyttäjä on tunnistettu jollakin vahvalla tunnistella ja jonka ympäristössä allekirjoittamiseksi mielletty merkitseminen tai palvelun hallussa olevalla välineellä allekirjoittaminen tapahtuu. Tällöin ei voida puhua varsinaisesta allekirjoituksesta kuten perinteisesti on mielletty ja akateemisessa tietojenkäsittelytieteessä tunnetaan, koska merkitsemisen tai allekirjoituksen tekee joku muu kuin sillä sopimukseen sidottu osapuoli eikä allekirjoitusväline (kynä) ole edes sopimusosapuolen hallussa. Mikään ei estä palvelun tarjoajaa fabrikoimasta allekirjoituksia sopimusosapuolen tietämättä.

Koska tapahtuma suoritetaan palvelussa eikä sopimusosapuolen hallussa laitteessa, allekirjoitettava sisältö ladataan ja tallennetaan palveluun, jossa se voidaan edelleen monistaa ja välittää eteenpäin, siihen voi tutustua tapahtuman ulkopuoliset tahot kuten palvelun työntekijät tai vastaava osapuoli. Moni sisältö on usein vaitiolovelvollisuuden (NDA, Non Disclosure Agreement) alaista ja siten sen lataaminen palveluun "allekirjoitettavaksi" voi olla sopimusrikkomus ja laukaista sen sanktiopykälät.

Ulkopuolisen - kuten tuomioistuimen, jälkikäteen suorittamaa aitouden todentamista ei voida tehdä. On vain kolmannen osapuolen, sähköisen palvelun - jota todennäköisesti ei sido mikään vastuu - tallentama merkintä, että kyseinen sisältö on allekirjoitettu. Kaikki perustuu luottamukseen palvelun tarjoajan nuhteettomuudesta eikä tätä kolmatta osapuolta välttämättä sido edes lakiin perustuva kahdenvälinen sopimus- tai virkavastuu.

Kyse ei siis ole allekirjoituksesta kuten perinteisestä paperia käyttävässä yhteiskunnassa tai tietotekniikassa termi ymmärretään. Edelläolevasta huolimatta, jos käyttäjä on tunnistettu käyttämällä vahvaa tunnistetta, allekirjoitusmerkinnällä on tänä päivänä oikeudellinen asema Suomessa.

Koska kyse on kolmannen osapuolen tuottamasta palvelusta, tämä allekirjoitustapa on osa palvelukeskeistä arkkihtehtuuria.

PKI-allekirjoitukset

PKI-allekirjoitukset eli varmennehierarkialla tehdyt allekirjoitukset perustuvat avaimiin, niistä muodostettuihin varmenteisiin jotka ovat allekirjoittajan itsensä hallussa ja avaimia käyttävään laskenta-algoritmiin jolla allekirjoitus ja sen aitouden todennus tapahtuu.

Jos salaiset tiedot, varmenne ja tunnusluku eivät päädy vääriin käsiin, eikä tekniikasta löydy niitä murtavia heikkouksia - PKI-allekirjoitusta voidaan pitää luotettavana koska sitä ei pysty tekemään kukaan muu kuin kyseinen henkilö. Siten PKI-allekirjoitusta pidetään tietotekniikassa analogista allekirjoitusta tai sormenjälkeä vastavaana digitaalisena versiona.

Allekirjoittaminen voi tapahtua käyttäjän hallussa olevassa laitteessa - tai haluttaessa allekirjoitustoimintoa tarjoavasssa palvelussa. Käyttäjän laitteen tapauksessa sisältöä ei tarvitse luovuttaa kolmannen osapuolen haltuun ja sisällön salaisuus säilyy eikä mahdollista NDA-rikkomusta synny.

Jos allekirjoitusmuoto on yleisesti tunnettu kuten ASiC-E, sen tuomioistuimessa oikeaksi todentaminen on huomattavasti helpompaa kun istunnon aikana ei tarvita teknistä analyysiä todisteluineen.

Kokonaisuutena, omassa laitteessa tehdystä PKI-allekirjoituksesta puuttuu kaikki allekirjoituspalvelun ongelmat.

Koska kyse on PKI:n hyödyntämisestä tämä allekirjoitustapa on osa PKI-keskeistä arkkihtehtuuria.

Uudet dokumenttimuodot vai säiliö

Digitaalisessa allekirjoituksessa ei voida toimia kuten paperissessa tapauksessa teknisten rajoitteiden takia. Digitaaliset sisällöt ja niitä kantavat dokumenttiformaatit (tekstit, kuvat, taulukkolaskennat) ovat olleet olemassa ennen digitaalisia allekirjoituksia, ennen arkiasioinnin ja tietotekniikan ja verkkojen yhdistymistä digitalisaatioksi. Tästä johtuen niissä ei ole ollut alusta lähtien yhtenäistä, sovittua tapaa lisätä niihin osapuolien sormenjälkiä tai allekirjoituksia. Se mahdollisuus on tullut vasta myöhemmin, viime vuosina.

Edelläolevasta johtuen digitaalisten allekirjoitusten ja niihin liittyvien sisältöjen sitomisessa toisiinsa on kaksi vaihtoehtoa:

  • tehdään kaikista dokumenttiformaatista uudet versiot, kuten esimerkiksi PDF-muotoon lisätään allekirjoitusominaisuus.
  • säilytetään vanhat formaatit sellaisenaan ja sidotaan allekirjoitukset luotettavasti toisiinsa tallentamalla ne säiliöön.

kumpaakin on yritetty ja tehty, vaihtelevin tuloksin.

Uusissa formaateissa on paljon haasteita (l. ongelmia):

  • dokumenttiformaatteja/muotoja on loputon määrä
  • kaikkiin pitää tehdä muutokset erikseen
  • kaikkien käyttöliittmät ovat erillaisia
  • kaikkien allekirjoituksia tulkitaan eri tavalla
  • kaikkien käyttäjien välineet (ohjelmistot ja laitteet) pitää vaihtaa
  • kaikki (l. koko väestö) pitää kouluttaa käyttämään niitä
  • tekniselle allekirjoitukselle on oma paikkansa dokumentin sisällä

Säiliön ominaisuudet:

  • jonkun pitää päättää mikä se sidoksen tekninen toteutus on
  • kaikki osapuolet pitää saada sitoutumaan valittuun ratkaisuun
  • samassa allekirjoituksessa voi olla useita dokumentteja
  • ratkaisu ei ota kantaa nykyisiin eikä tulevaisuuden formaatteihin, kunhan ne ovat tiedostoja
  • tekniselle allekirjoitukselle on oma paikkansa pakettimuodon sisällä

Säiliöinnissä dokumentit (tekstit, kuvat jne) "kääritään" allekirjoitukseen laskemalla sisältöä vastaava tiiviste kaikista sen tiedostoista ja allekirjoittamalla se käyttäen digitaalisia allekirjoitusvälineitä.

Allekirjoituksessa itse sisältöön ei varsinaisesti kosketa. Allekirjoitus, yleensä sisältöineen - luovutetaan sopimusosapuolille ja sopimus on valmis. Sisältöä vastaava tiiviste ja itse tiivisteen allekirjoitus voidaan julkistaa julkistamatta välttämättä sisältöä. Allekirjoitus on matemaattinen, yksisuuntainen operaatio joka voidaan perinteisen tavoin todeta aukottomasti oikeaksi myöhemmin.

Kritiikkiä

  • Käyttäjän oikeusturvan kannalta on tärkeää, että hän tietää ja voi olla varma mitä asiakirjoja allekirjoittaessa ja mihin mahdollisesti sitoutuu. Koska allekirjoitus on kaksivaiheinen (tiivisteen laskenta, allekirjoitus), eikä tiiviste ole selkokielinen - muodostuu riski, että käyttäjä allekirjoittaa muuta sisältöä mitä luulee allekirjoittavansa koska allekirjoitettava tiiviste on vaihtunut jossakin vaiheessa. Riski on käytännössä marginaalinen, mutta se on suurempi jos käytetyt ohjelmistot ovat palvelussa eikä käyttäjän hallussa olevassa omassa laitteessa.

Katso myös


Lähteet


Aiheesta muualla

Noudettu kohteesta ”http://digisaatio.fi/mediawiki/index.php?title=Allekirjoitus&oldid=6639