Ero sivun ”Allekirjoitus” versioiden välillä
(→Tavat) |
|||
| (37 välissä olevaa versiota 2 käyttäjän tekeminä ei näytetä) | |||
| Rivi 1: | Rivi 1: | ||
| − | '''Allekirjoitus''' on oleellinen osa digitalisaatiota. Läntiset yhteiskunnat ovat [https://fi.wikipedia.org/wiki/Oikeusjärjestys oikeusjärjestyksellisiä] ympäristöjä '' | + | '''Allekirjoitus''' on oleellinen osa digitalisaatiota. Läntiset yhteiskunnat ovat [https://fi.wikipedia.org/wiki/Oikeusjärjestys oikeusjärjestyksellisiä] ympäristöjä ''koska järjestäytynyt yhteiskunta vaatii tiettyjä selkeitä sääntöjä toimiakseen'' - ympäristöjä, jotka perustuvat tuomiovallan olemassaoloon, aseman tunnustamiseen ja sen tuomaan luottamuksen ilmapiiriin. |
| − | Suurin osa | + | Suurin osa yhteiskunnan tapahtumista on sopimuksia, joihin osapuolet sitoutuvat allekirjoittamalla ne. Jopa yksittäiset ostotapahtumat ovat sopimuksia, niiden osat tarjouspyyntö, tarjous, tilaus, lähete, lasku ja maksusuorite - ovat sopimuksia. Näistä viimeinen on yleisesti käytössä kortilla maksaessa, jossa maksukortilla annetaan pankille lupa maksusuoritukseen. |
| − | '''Sormenjälki ja muste''' olivat ensimmäisiä allekirjoitusvälineitä ennen kuin opittiin kirjoittamaan. Paperilla allekirjoittaminen tapahtuu kynällä sille varatussa kohdassa. Allekirjoitus tehdään paperiin jonka sisältö ''alle-kirjoitetaan'' sanan varsinaisessa merkityksessä allekirjoittajan henkilön nimellä (näin ei ole esim yrityksen tapauksessa, | + | '''Sormenjälki ja muste''' olivat ensimmäisiä allekirjoitusvälineitä ennen kuin opittiin kirjoittamaan. Paperilla allekirjoittaminen tapahtuu kynällä sille varatussa kohdassa. Allekirjoitus tehdään paperiin, jonka sisältö ''alle-kirjoitetaan'' sanan varsinaisessa merkityksessä allekirjoittajan henkilön nimellä (näin ei ole esim. yrityksen tapauksessa, yhteisön [[Nimenkirjoitusoikeus|nimenkirjoitusoikeudellinen]] henkilö ei kirjoita kaunokirjoituksella yrityksen nimeä ''Outokumpu Oyj'' - joskus on vain niin sovittu). Kirjoitettua allekirjoitusta voidaan myöhemmin tulkita tarkkaan ja todeta sen tekijä kohtuullisen varmasti eri yksityiskohdista. Maksutapahtuman esimerkissä ennen allekirjoitettiin käsin paperinen shekki, joka oli lupaus maksusuorituksesta. |
| − | ''' | + | Oli väline mikä tahansa, '''allekirjoituksen tarkoitus on sitoa sen osapuolet sopimukseen'''. Näin oli ennen ja niin on tulevaisuudessakin. Poikkeuksena tästä on [[avioehto]], jonka voimaantulo edellyttää sen toimittamista osapuolien ja todistajien allekirjoittamana [[Digivirasto]]on. [[Testamentti|Testamentin]] osalta samankaltaista vaatimusta ei ole. |
| − | |||
| + | __TOC__ | ||
| + | |||
| + | == Lait == | ||
| + | '''Laki määrittelee''' sähköisen allekirjoituksen aseman yhteiskunnassa - ilman lakia allekirjoituksella ei ole merkitystä. Suomessa [[laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista]] määrittelee käsitteen [[vahva tunnistus]], joka on oikeustoimikelpoinen allekirjoitus. Lain ensimmäinen versio tuli voimaan vuonna 1999, kun sähköinen [[henkilökortti]] julkaistiin. Euroopan unionin [[EIDAS]]-direktiivi määrittelee saman luottopalveluiden oikeudellisen aseman kuin Suomen laki, mutta direktiivi kattaa koko yhteisön alueen. Jos sopimuksen ''oikeustoimipaikan lainsäädäntö'' ei tunne käytettyä allekirjoitusvälinettä tai allekirjoitettua muotoa, allekirjoituksella ei ole merkitystä. | ||
| − | |||
== Tavat == | == Tavat == | ||
| Rivi 19: | Rivi 21: | ||
=== Allekirjoitusmerkintä === | === Allekirjoitusmerkintä === | ||
| − | Merkintätapa on aina käytössä verkkopalvelussa asioidessa eikä se käytä varmenteita tai niiden salaisia avaimia. Se ei siis ole allekirjoitus eikä sitä saa kutsua sellaiseksi. Tämä ei ole silti estänyt | + | Merkintätapa on aina käytössä verkkopalvelussa asioidessa eikä se käytä varmenteita tai niiden salaisia avaimia. Se ei siis ole allekirjoitus eikä sitä saa kutsua sellaiseksi. Tämä ei ole silti estänyt tekemästä järjestelmiä, jotka käyttävät sitä. |
| + | |||
| + | Asioijalle tarjotaan käyttöliittymässä toiminto joka "allekirjoittaa" tapahtuman ja sitoo sen tekijän tapahtumaan. Käyttöliittymän allekirjoituksen aktivointi tarkoittaa asiointitapahtuman merkitsemistä allekirjoitetuksi esimerkiksi tietokantaan. Merkintä ei poikkea muista tiedoista ja sen väärentäminen on hyvin helppoa esimerkiksi tietomurron yhteydessä. Asiointitapahtuman tiedoista ei voida myöskään antaa osapuolille omaa kopiota, jossa olisi allekirjoitus todennettavissa, koska sellaista ei ole olemassa. | ||
| − | + | Merkinnän oikeudellinen merkitys on epäselvä. Varmuuden saaminen edellyttäisi pitkiä todistajalausuntoja palveluntarjoajalta. Toisaalta palveluntarjoaja ei pystyisi missään tilanteessa aukottomasti todistamaan, ettei merkintöjä ole tehty aiheetta. Kyse on luottamuksesta palveluntarjoajaan ja sen käyttämän järjestelmän tietoturvaan. Merkinnällä ei ole mitään tekemistä allekirjoittamisen kanssa kuten paperille tehtynä on mielletty ja tietojenkäsittelytieteessä ymmärretään. Siihen nojaaminen on sotkenut väestön käsityksen siitä, mitä sähköinen allekirjoittaminen tarkoittaa. | |
| − | + | Kyseinen tapa on käytössä esimerkiksi valtion [http://prh.fi/ Patentti- ja rekisterihallituksen] verkkopalvelussa. | |
| − | + | Laadullisesti allekirjoitusmerkintä vastaa [[Allekirjoitus#Laatu|tasoa]] '''SES''' (''Simple/Standard Electronic Signature''). | |
=== Palveluallekirjoitus === | === Palveluallekirjoitus === | ||
| − | Palveluallekirjoituksessa allekirjoitus tapahtuu [[Allekirjoitus/Tavat|verkkopalvelussa]] kolmannen osapuolen tekemänä ja jossa käyttäjä on ainakin joskus tunnistettu [[Luettelo tunnisteista|jollakin vahvalla | + | Palveluallekirjoituksessa allekirjoitus tapahtuu [[Allekirjoitus/Tavat|verkkopalvelussa]] kolmannen osapuolen tekemänä ja jossa käyttäjä on ainakin joskus tunnistettu [[Luettelo tunnisteista|jollakin vahvalla tunnisteella]]. Niihin pätevät yleensä seuraavat seikat: |
| − | + | * allekirjoitus tehdään palveluympäristössä eikä käyttäjän päätelaitteessa (tietokone, puhelin) | |
| − | * allekirjoitus tehdään palveluympäristössä eikä käyttäjän | ||
* allekirjoitus tehdään palvelun omalla välineellä (kynä) | * allekirjoitus tehdään palvelun omalla välineellä (kynä) | ||
* allekirjoitusväline (kynä) ei ole sopimusosapuolen hallussa | * allekirjoitusväline (kynä) ei ole sopimusosapuolen hallussa | ||
* järjestelmä tekee allekirjoituksen palvelua käyttävän pyynnöstä | * järjestelmä tekee allekirjoituksen palvelua käyttävän pyynnöstä | ||
| − | * kaikki allekirjoitukset ovat | + | * kaikki allekirjoitukset ovat samalla varmenteella tehtyjä (samalla kynällä) ja niiden oheen merkitään sopimusosapuolen nimi tms. |
| − | * mikään ei estä palvelun tarjoajaa | + | * mikään ei estä palvelun tarjoajaa väärentämästä allekirjoituksia sopimusosapuolen nimissä tämän tietämättä, koko ratkaisu perustuu luottamukseen |
* allekirjoitus on oikeudellisesti pätevä ja mainittu [[EIDAS]]-asetuksessa. | * allekirjoitus on oikeudellisesti pätevä ja mainittu [[EIDAS]]-asetuksessa. | ||
| − | Koska tapahtuma suoritetaan palvelussa eikä sopimusosapuolen hallussa laitteessa, allekirjoitettava sisältö | + | Koska tapahtuma suoritetaan palvelussa eikä sopimusosapuolen hallussa laitteessa, allekirjoitettava sisältö täytyy ladata ja tallentaa palveluun, jossa se voidaan edelleen monistaa ja välittää eteenpäin. Samoin tapahtuman ulkopuolisten tahojen, kuten palvelun työntekijöiden tai vastaavan osapuolen, on mahdollista tutustua sisältöön. Moni sisältö on [[NDA|vaitiolovelvollisuuden]] (''NDA, Non Disclosure Agreement'') alaista ja siten sellaisen lataaminen kolmannen osapuolen palveluun "allekirjoitettavaksi" voi teknisesti katsoen olla sopimusrikkomus ja laukaista vaitiolovelvollisuussopimuksen sanktiopykälät. |
| − | Ulkopuolisen - kuten tuomioistuimen jälkikäteen suorittamaa aitouden todentamista ei voida tehdä aukottomasti koska sopimusosapuolen ja allekirjoituksen välistä puuttuu ns [[tekninen sidos]]. Sisällön ja | + | Ulkopuolisen - kuten tuomioistuimen - jälkikäteen suorittamaa aitouden todentamista ei voida tehdä aukottomasti, koska sopimusosapuolen ja allekirjoituksen välistä puuttuu ns. [[tekninen sidos]]. Sisällön ja sopimusosapuolen välinen matemaattinen eli kryptografinen sidos on katkennut, kun allekirjoitus on tehty tunnistettuna palvelun omalla varmenteella. Palveluntarjoaja ei myöskään pysty aukottomasti todistamaan, että nimenomaan sopimusosapuoli on tehnyt allekirjoituksen. |
| − | Kaikki [[Allekirjoitus/Tavat|allekirjoituspalvelut]] ovat | + | Kaikki [[Allekirjoitus/Tavat|allekirjoituspalvelut]] ovat yksityisten yritysten tuottamia eikä niiden työntekijöitä sido [[virkavastuu]]. Niiden käytössä on kyse palvelun käyttäjän ja palvelua tarjoavan yrityksen välisestä yksityisoikeudellisesta sopimuksesta, jonka on laatinut alusta loppuun palveluntarjoaja. |
Kolmannen osapuolen palvelussa varmenteella tehtyä allekirjoitusta voi jo kutsua allekirjoitukseksi kuten perinteisesti mielletään ja niiden käyttö on yleisintä Suomessa. Siitä huolimatta se perustuu vahvasti luottamukseen koska tapahtumassa tekninen sidos on katkennut. | Kolmannen osapuolen palvelussa varmenteella tehtyä allekirjoitusta voi jo kutsua allekirjoitukseksi kuten perinteisesti mielletään ja niiden käyttö on yleisintä Suomessa. Siitä huolimatta se perustuu vahvasti luottamukseen koska tapahtumassa tekninen sidos on katkennut. | ||
| + | |||
| + | Laadullisesti palveluallekirjoitus vastaa [[Allekirjoitus#Laatu|tasoa]] '''AdES''' (''Advanced Electronic Signature''). | ||
=== Varmennekortti-allekirjoitus === | === Varmennekortti-allekirjoitus === | ||
| − | Varmennekortti-allekirjoituksessa eli henkilökortilla tehdyssä allekirjoituksessa allekirjoitusväline on allekirjoittajan itsensä hallussa | + | Varmennekortti-allekirjoituksessa eli henkilökortilla tehdyssä allekirjoituksessa allekirjoitusväline on täysin allekirjoittajan itsensä hallussa. Tällöin |
| − | * | + | |
| − | * sopimuksen toinen osapuoli voi | + | * sopimuksella ei ole kolmatta osapuolta |
| − | * jos allekirjoitus tapahtuu omassa laitteessa omilla ohjelmilla, kortilla voi allekirjoittaa mitä tahansa, | + | * sopimuksen toinen osapuoli voi aukottomasti todistaa, että allekirjoituksen on voinut tehdä ainoastaan kortin haltija |
| + | * jos allekirjoitus tapahtuu omassa laitteessa omilla ohjelmilla, kortilla voi allekirjoittaa mitä tahansa, ei ainoastaan palvelun tarjoamia vaihtoehtoja | ||
| − | Jos salaiset tiedot, varmenne ja tunnusluku eivät päädy vääriin käsiin, eikä tekniikasta löydy niitä murtavia heikkouksia | + | Jos salaiset tiedot, varmenne ja tunnusluku eivät päädy vääriin käsiin, eikä tekniikasta löydy niitä murtavia heikkouksia, varmennekortti-allekirjoitusta voidaan pitää luotettavana, koska sitä ei pysty tekemään kukaan muu kuin kortin ja sen käyttöön tarvittavien salaisuuksien haltija. Siten varmennekortti-allekirjoitusta pidetään tietotekniikassa analogista allekirjoitusta tai sormenjälkeä täysin vastavaana digitaalisena versiona. |
| − | Allekirjoittaminen voi tapahtua käyttäjän hallussa olevassa laitteessa - tai haluttaessa allekirjoitustoimintoa | + | Allekirjoittaminen voi tapahtua käyttäjän hallussa olevassa laitteessa - tai niin haluttaessa allekirjoitustoimintoa tarjoavassa palvelussa. Käyttäjän laitteen tapauksessa sisältöä ei välttämättä tarvitse luovuttaa kolmannen osapuolen haltuun, sisällön luottamuksellisuus säilyy eikä NDA-rikkomusta synny. |
Jos allekirjoitusmuoto on yleisesti tunnettu kuten [[PDF]] tai [[ASiC|ASiC-E]], sen tuomioistuimessa oikeaksi todentaminen on huomattavasti helpompaa kun istunnon aikana ei tarvita teknistä analyysiä todisteluineen. | Jos allekirjoitusmuoto on yleisesti tunnettu kuten [[PDF]] tai [[ASiC|ASiC-E]], sen tuomioistuimessa oikeaksi todentaminen on huomattavasti helpompaa kun istunnon aikana ei tarvita teknistä analyysiä todisteluineen. | ||
| Rivi 63: | Rivi 69: | ||
* terveydenhuollon "sote"-kortilla | * terveydenhuollon "sote"-kortilla | ||
| − | + | Kokonaisuutena omassa laitteessa tehdystä varmennekortti-allekirjoituksesta puuttuu kaikki muiden allekirjoitustapojen ongelmat. | |
| − | + | Laadullisesti varmennekortti-allekirjoitus vastaa [[Allekirjoitus#Laatu|tasoa]] '''QES''' (''Qualified Electronic Signature''). | |
== Muodot == | == Muodot == | ||
| − | '''Digitaalisessa allekirjoituksessa''' ei voida toimia kuten | + | '''Digitaalisessa allekirjoituksessa''' ei voida toimia kuten paperisessa tapauksessa teknisten rajoitteiden takia. Digitaaliset sisällöt ja niitä kantavat dokumenttiformaatit (tekstit, kuvat, taulukkolaskennat) ovat olleet olemassa ennen digitaalisia allekirjoituksia, ennen arkiasioinnin ja tietotekniikan ja verkkojen yhdistymistä digitalisaatioksi. Tämän vuoksi niissä ei ole ollut alusta lähtien yhtenäistä sovittua tapaa lisätä niihin osapuolien sormenjälkiä tai allekirjoituksia. Mahdollisuus on tullut vasta myöhemmin, viime vuosina. |
| − | + | Edellämainitusta seuraa, että digitaalisten allekirjoitusten ja niihin liittyvien sisältöjen sitomisessa toisiinsa on kaksi vaihtoehtoa: | |
* '''tehdään kaikista dokumenttiformaatista uudet versiot''', kuten esimerkiksi PDF-muotoon lisätään allekirjoitusominaisuus. | * '''tehdään kaikista dokumenttiformaatista uudet versiot''', kuten esimerkiksi PDF-muotoon lisätään allekirjoitusominaisuus. | ||
* '''säilytetään vanhat formaatit sellaisenaan ja sidotaan allekirjoitukset''' luotettavasti toisiinsa tallentamalla ne säiliöön. | * '''säilytetään vanhat formaatit sellaisenaan ja sidotaan allekirjoitukset''' luotettavasti toisiinsa tallentamalla ne säiliöön. | ||
| − | + | Kumpaakin on yritetty ja tehty, vaihtelevin tuloksin. | |
'''Uusissa formaateissa''' on paljon haasteita (l. ongelmia): | '''Uusissa formaateissa''' on paljon haasteita (l. ongelmia): | ||
| − | * dokumenttiformaatteja/muotoja on loputon määrä | + | * dokumenttiformaatteja/-muotoja on loputon määrä |
* kaikkiin pitää tehdä muutokset erikseen | * kaikkiin pitää tehdä muutokset erikseen | ||
| − | * kaikkien | + | * kaikkien käyttöliittymät ovat erilaisia |
* kaikkien allekirjoituksia tulkitaan eri tavalla | * kaikkien allekirjoituksia tulkitaan eri tavalla | ||
| − | * kaikkien käyttäjien | + | * kaikkien käyttäjien välineisiin pitää asentaa ohjelmistoja |
* kaikki (l. koko väestö) pitää kouluttaa käyttämään niitä | * kaikki (l. koko väestö) pitää kouluttaa käyttämään niitä | ||
| − | |||
'''Säiliön''' ominaisuudet: | '''Säiliön''' ominaisuudet: | ||
| − | * jonkun pitää päättää mikä | + | * jonkun pitää päättää, mikä sidoksen tekninen toteutus on |
* kaikki osapuolet pitää saada sitoutumaan valittuun ratkaisuun | * kaikki osapuolet pitää saada sitoutumaan valittuun ratkaisuun | ||
| − | * | + | * sama allekirjoitus (joukko allekirjoituksia) voi kattaa useita eri dokumentteja |
* ratkaisu ei ota kantaa nykyisiin eikä tulevaisuuden formaatteihin, kunhan ne ovat tiedostoja | * ratkaisu ei ota kantaa nykyisiin eikä tulevaisuuden formaatteihin, kunhan ne ovat tiedostoja | ||
| − | + | ||
| − | |||
Säiliöinnissä dokumentit (tekstit, kuvat jne) "kääritään" allekirjoitukseen laskemalla sisältöä vastaava [[tiiviste]] kaikista sen tiedostoista ja allekirjoittamalla se käyttäen digitaalisia allekirjoitusvälineitä. | Säiliöinnissä dokumentit (tekstit, kuvat jne) "kääritään" allekirjoitukseen laskemalla sisältöä vastaava [[tiiviste]] kaikista sen tiedostoista ja allekirjoittamalla se käyttäen digitaalisia allekirjoitusvälineitä. | ||
| − | Allekirjoituksessa itse sisältöön ei varsinaisesti kosketa. Allekirjoitus, yleensä sisältöineen | + | Allekirjoituksessa itse sisältöön ei varsinaisesti kosketa. Allekirjoitus, yleensä sisältöineen, luovutetaan sopimusosapuolille ja sopimus on valmis. Sisältöä vastaava tiiviste ja itse tiivisteen allekirjoitus voidaan julkistaa julkistamatta itse sisältöä. Allekirjoitus on matemaattinen, yksisuuntainen operaatio, joka voidaan perinteisen tavoin todeta aukottomasti oikeaksi myöhemmin. |
== Laatu == | == Laatu == | ||
| Rivi 102: | Rivi 106: | ||
Sähköisen allekirjoituksen laatuluokituksia ovat: | Sähköisen allekirjoituksen laatuluokituksia ovat: | ||
| − | * [[SES]] (Simple/Standard Electronic Signature) '''sähköinen allekirjoitus''' | + | * [[SES]] (Simple/Standard Electronic Signature) suomeksi '''sähköinen allekirjoitus''' tarkoittaa ''sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun sähköisessä muodossa olevaan tietoon ja jota allekirjoittaja käyttää allekirjoittamiseen''. Tälläinen voi olla vaikka henkilön nimi sähköpostin lopussa. SES-allekirjoituksella ei ole käytännössä mitään arvoa eikä sillä voi todistaa yhtään mitään. |
| + | |||
| + | * [[AdES]] (''Advanced Electronic Signature'') suomeksi '''kehittynyt sähköinen allekirjoitus''' tarkoittaa varmenteella tehtyä allekirjoitusta. Käytännössä nämä ovat [[Allekirjoitus/Tavat|palvelussa]] tehtyjä allekirjoituksia ja laadullisesti vastaavat [[QESeal|sähköistä leimaa]] koska allekirjoitusväline ei ole henkilökohtainen eikä asiakirjaan sitoutuneen osapuolen hallussa. | ||
| + | |||
| + | * [[AdES/QC]] (''Advanced Electronic Signature, Qualified Certificate'') suomeksi '''kehittynyt sähköinen allekirjoitus hyväksytyllä varmenteella''' tarkoittaa käytännössä QES-tason allekirjoitusta, joka on tehty [[HSM]]-välineellä joka ei täytä [[eIDAS]]-asetuksen [[QSCD]]-vaatimuksia. Suomen kaikki henkilökortit olivat näitä [[Digivirasto/Notifiointisotku|notifiointisotkun]] takia. G3.2 sukupolvea (2021 alusta valmistetut) vanhemmilla korteilla tehdyt allekirjoitukset tuottavat AdES/QC-laatua, joka ei vastaa [[Omakätinen allekirjoitus|omakätistä allekirjoitusta]] ulkomailla. | ||
| + | |||
| + | * [[QES]] (''Qualified Electronic Signature'') suomeksi '''hyväksytty sähköinen allekirjoitus''' tarkoittaa ''kehittynyttä sähköistä allekirjoitusta, joka on luotu [[QSCD|hyväksytyllä sähköisen allekirjoituksen luontivälineellä]] ja joka perustuu sähköisten allekirjoitusten [[Hyväksytty varmenne|hyväksyttyyn varmenteeseen]]''. QES-allekirjoitus vastaa laissa omakätistä allekirjoitusta, sen väärentäminen ei nykytiedon mukaan ole mahdollista, eikä laadullisesti parempaa ole. | ||
| + | |||
| + | == Validointi == | ||
| + | |||
| + | Validointi (vahvistaminen, tarkastaminen, oikeellisuuden todentaminen) eli allekirjoituksen oikeellisuuden todentaminen voidaan tehdä joko lataamalla tiedosto palveluun tai suorittamalla se omassa laitteessa ohjelmalla joka tukee kyseistä muotoa. | ||
| + | |||
| + | Organisaatio- ja sote-korteilla tehdyissä allekirjoituksissa ei ole HETU- eikä SATU-tunnusta vaan niiden sisältämät kortin myöntäjän yksilöivät tunnukset ja mahdollisesti asema. Ulkopuolisilla on rajoitettu pääsy näihin tietoihin, minkä takia validointi oikeaan henkilöön on mahdotonta. SATU-tunnuksen tapauksessa se on myös hankalaa kun kaikki [[ihmisvälitteinen]] kommunikointi on HETU-tunnuksella, mutta silti SATU:sta saa tietoja julkisista lähteistä. Esimerkiksi 4. päivä helmikuuta 2022 Juha Tuomala nimisiä varmennehaun tuloksia on 35 kappaletta joilla on aktiivinen allekirjoitusvarmenne, eikä varmennehakemisto edes palauta [[sähköposti|sähköpostiosoitetta]] jolla niitä voisi erotella toisistaan. | ||
| + | |||
| + | == Käytännöt == | ||
| + | Suomen lainsäädäntö ei pakota asiakirjan osapuolia käyttämään sähköistä allekirjoitusta. Lainsäädäntö ei myöskään velvoita vastaanottajaa hyväksymään sähköisesti allekirjoitettua asiakirjaa, ellei kyse ole julkisesta sektorista: tällöin lähettäjä voi vedota [[Laki sähköisestä asioinnista viranomaistoiminnassa|lakiin sähköisestä asioinnista viranomaistoiminnassa]] ja [[eIDAS]]-asetukseen, joka ottaa paljon kantaa teknisiin yksityiskohtiin. Allekirjoituksen tekijä takaa asiakirjan vastaanottajan oikeuksia. | ||
| + | |||
| + | * Ovatko osapuolet yksityisiä vai julkisia tahoja? | ||
| + | * Millä tai missä allekirjoitus tehdään? | ||
| + | * Mikä on asiakirjan [[Allekirjoitus/Muodot|tekninen muoto]]? [[PDF]]? [[DigiDoc]]? | ||
| + | * Jos osapuoli on yhdistys, onko sähköisten välineiden käyttö sallittu sen säännöissä? | ||
| + | * Luottavatko kaikki osapuolet valittuun allekirjoitusvälineisiin, tapaan ja muotoon? | ||
| + | * Onko kaikilla osapuolilla valmius [[Validointi|tarkastaa]] allekirjoituksen aitous? | ||
| − | + | Käytännöt ovat sekavia ja sähköisestä allekirjoituksesta [[Henkilökortti/Asiointipalveluita|kieltäytyminen on yleistä]]. Julkisen sektorin tapauksessa kannattaa selvittää (kysyä vastaanottajalta itseltään) valvova viranomainen ja kannella toiminnasta sinne. Yleensä pelkkä maininta kantelun tekemisestä innostaa tutkimaan allekirjoitusta tarkemmin ja hyväksymään sen. | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | + | Luottamusta eri käytäntöihin lisäisi, jos valtio ja kunnat lähettäisivät enemmän allekirjoitettuja asiakirjoja, mutta käytäntö on osoittanut julkisen sektorin olevan yksi jarruttajista vaikka näin toimiminen on lainvastaista. | |
== Kritiikkiä == | == Kritiikkiä == | ||
| − | * Valtion tekeminen valintojen takia allekirjoituksen yhdistäminen oikeisiin henkilöihin on käytännössä mahdotonta. Allekirjoitetussa dokumentissa näkyy allekirjoitusvarmenteesta tuleva [[SATU]] tai [[ | + | * Valtion tekeminen valintojen takia allekirjoituksen yhdistäminen oikeisiin henkilöihin on käytännössä mahdotonta. Allekirjoitetussa dokumentissa näkyy allekirjoitusvarmenteesta tuleva [[SATU]] tai [[HYT]], mutta allekirjoituksen yhdistäminen jopa paikalla oleviin henkilöihin on hankalaa, koska |
| − | ** allekirjoittaneet saattavat tietää toistensa HETU-tunnukset jotka yleensä mainitaan sopimustekstissä | + | ** allekirjoittaneet saattavat tietää toistensa HETU-tunnukset, jotka yleensä mainitaan sopimustekstissä |
** nämä eivät todennäköisesti muista SATU-tunnustaan | ** nämä eivät todennäköisesti muista SATU-tunnustaan | ||
| − | ** | + | ** SATUa ei näe [[Henkilökortti|henkilökorttiin]] painetuista merkinnöistä |
| − | ** | + | ** keskimääräinen kansalainen ei osaa selvittää SATUa [[DigiSign Client]]-ohjelmasta. |
** valtiolla on SATU-HETU sidoksen kyselypalvelu, mutta pääsy siihen on rajoitettu | ** valtiolla on SATU-HETU sidoksen kyselypalvelu, mutta pääsy siihen on rajoitettu | ||
| − | : Vaikka allekirjoituksesta ja allekirjoitusvälineestä näkyy etu- ja sukunimi, sitä ei voi pitää luotettavana sillä Suomessa on paljon samannimisiä henkilöitä. Allekirjoituksen tiedetään olevan aito, mutta ei voida olla täysin varmoja kenen se on. | + | : Vaikka allekirjoituksesta ja allekirjoitusvälineestä näkyy etu- ja sukunimi, sitä ei voi pitää luotettavana, sillä Suomessa on paljon samannimisiä henkilöitä. Allekirjoituksen tiedetään olevan aito, mutta ei voida olla täysin varmoja kenen se on. |
| − | * SOTE-korteilla tehdyistä allekirjoituksista näkyy Valviran Terhikki- tai Suosikki-rekisterin henkilönumero tai Organisaatio-korttien yhteisön oma henkilönumero. Kumpiinkaan ei ole näiden yhteisöjen ulkopuolisilla | + | * SOTE-korteilla tehdyistä allekirjoituksista näkyy Valviran Terhikki- tai Suosikki-rekisterin henkilönumero tai Organisaatio-korttien yhteisön oma henkilönumero. Kumpiinkaan ei ole pääsyä näiden yhteisöjen ulkopuolisilla tahoilla sen paremmin kuin mahdollisuutta tarkastaa tällaisen henkilönumeron sidosta HETU-tunnukseen. Allekirjoituksen tiedetään olevan aito, mutta ei voida olla täysin varmoja, kenen se on. |
== Katso myös == | == Katso myös == | ||
* [[Allekirjoitus/Muodot]] | * [[Allekirjoitus/Muodot]] | ||
* [[Allekirjoitus/Tavat]] | * [[Allekirjoitus/Tavat]] | ||
| + | * [[Validointi]] | ||
* [[Tekniikka/Allekirjoitus]] | * [[Tekniikka/Allekirjoitus]] | ||
Versio 4. maaliskuuta 2022 kello 09.46
Allekirjoitus on oleellinen osa digitalisaatiota. Läntiset yhteiskunnat ovat oikeusjärjestyksellisiä ympäristöjä koska järjestäytynyt yhteiskunta vaatii tiettyjä selkeitä sääntöjä toimiakseen - ympäristöjä, jotka perustuvat tuomiovallan olemassaoloon, aseman tunnustamiseen ja sen tuomaan luottamuksen ilmapiiriin.
Suurin osa yhteiskunnan tapahtumista on sopimuksia, joihin osapuolet sitoutuvat allekirjoittamalla ne. Jopa yksittäiset ostotapahtumat ovat sopimuksia, niiden osat tarjouspyyntö, tarjous, tilaus, lähete, lasku ja maksusuorite - ovat sopimuksia. Näistä viimeinen on yleisesti käytössä kortilla maksaessa, jossa maksukortilla annetaan pankille lupa maksusuoritukseen.
Sormenjälki ja muste olivat ensimmäisiä allekirjoitusvälineitä ennen kuin opittiin kirjoittamaan. Paperilla allekirjoittaminen tapahtuu kynällä sille varatussa kohdassa. Allekirjoitus tehdään paperiin, jonka sisältö alle-kirjoitetaan sanan varsinaisessa merkityksessä allekirjoittajan henkilön nimellä (näin ei ole esim. yrityksen tapauksessa, yhteisön nimenkirjoitusoikeudellinen henkilö ei kirjoita kaunokirjoituksella yrityksen nimeä Outokumpu Oyj - joskus on vain niin sovittu). Kirjoitettua allekirjoitusta voidaan myöhemmin tulkita tarkkaan ja todeta sen tekijä kohtuullisen varmasti eri yksityiskohdista. Maksutapahtuman esimerkissä ennen allekirjoitettiin käsin paperinen shekki, joka oli lupaus maksusuorituksesta.
Oli väline mikä tahansa, allekirjoituksen tarkoitus on sitoa sen osapuolet sopimukseen. Näin oli ennen ja niin on tulevaisuudessakin. Poikkeuksena tästä on avioehto, jonka voimaantulo edellyttää sen toimittamista osapuolien ja todistajien allekirjoittamana Digivirastoon. Testamentin osalta samankaltaista vaatimusta ei ole.
Sisällysluettelo
Lait
Laki määrittelee sähköisen allekirjoituksen aseman yhteiskunnassa - ilman lakia allekirjoituksella ei ole merkitystä. Suomessa laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista määrittelee käsitteen vahva tunnistus, joka on oikeustoimikelpoinen allekirjoitus. Lain ensimmäinen versio tuli voimaan vuonna 1999, kun sähköinen henkilökortti julkaistiin. Euroopan unionin EIDAS-direktiivi määrittelee saman luottopalveluiden oikeudellisen aseman kuin Suomen laki, mutta direktiivi kattaa koko yhteisön alueen. Jos sopimuksen oikeustoimipaikan lainsäädäntö ei tunne käytettyä allekirjoitusvälinettä tai allekirjoitettua muotoa, allekirjoituksella ei ole merkitystä.
Tavat
Suomessa on kolme tapaa tehdä sähköisiä allekirjoituksia:
- allekirjoitusmerkintä
- palveluallekirjoitus
- varmennekortti-allekirjoitus
Allekirjoitusmerkintä
Merkintätapa on aina käytössä verkkopalvelussa asioidessa eikä se käytä varmenteita tai niiden salaisia avaimia. Se ei siis ole allekirjoitus eikä sitä saa kutsua sellaiseksi. Tämä ei ole silti estänyt tekemästä järjestelmiä, jotka käyttävät sitä.
Asioijalle tarjotaan käyttöliittymässä toiminto joka "allekirjoittaa" tapahtuman ja sitoo sen tekijän tapahtumaan. Käyttöliittymän allekirjoituksen aktivointi tarkoittaa asiointitapahtuman merkitsemistä allekirjoitetuksi esimerkiksi tietokantaan. Merkintä ei poikkea muista tiedoista ja sen väärentäminen on hyvin helppoa esimerkiksi tietomurron yhteydessä. Asiointitapahtuman tiedoista ei voida myöskään antaa osapuolille omaa kopiota, jossa olisi allekirjoitus todennettavissa, koska sellaista ei ole olemassa.
Merkinnän oikeudellinen merkitys on epäselvä. Varmuuden saaminen edellyttäisi pitkiä todistajalausuntoja palveluntarjoajalta. Toisaalta palveluntarjoaja ei pystyisi missään tilanteessa aukottomasti todistamaan, ettei merkintöjä ole tehty aiheetta. Kyse on luottamuksesta palveluntarjoajaan ja sen käyttämän järjestelmän tietoturvaan. Merkinnällä ei ole mitään tekemistä allekirjoittamisen kanssa kuten paperille tehtynä on mielletty ja tietojenkäsittelytieteessä ymmärretään. Siihen nojaaminen on sotkenut väestön käsityksen siitä, mitä sähköinen allekirjoittaminen tarkoittaa.
Kyseinen tapa on käytössä esimerkiksi valtion Patentti- ja rekisterihallituksen verkkopalvelussa.
Laadullisesti allekirjoitusmerkintä vastaa tasoa SES (Simple/Standard Electronic Signature).
Palveluallekirjoitus
Palveluallekirjoituksessa allekirjoitus tapahtuu verkkopalvelussa kolmannen osapuolen tekemänä ja jossa käyttäjä on ainakin joskus tunnistettu jollakin vahvalla tunnisteella. Niihin pätevät yleensä seuraavat seikat:
- allekirjoitus tehdään palveluympäristössä eikä käyttäjän päätelaitteessa (tietokone, puhelin)
- allekirjoitus tehdään palvelun omalla välineellä (kynä)
- allekirjoitusväline (kynä) ei ole sopimusosapuolen hallussa
- järjestelmä tekee allekirjoituksen palvelua käyttävän pyynnöstä
- kaikki allekirjoitukset ovat samalla varmenteella tehtyjä (samalla kynällä) ja niiden oheen merkitään sopimusosapuolen nimi tms.
- mikään ei estä palvelun tarjoajaa väärentämästä allekirjoituksia sopimusosapuolen nimissä tämän tietämättä, koko ratkaisu perustuu luottamukseen
- allekirjoitus on oikeudellisesti pätevä ja mainittu EIDAS-asetuksessa.
Koska tapahtuma suoritetaan palvelussa eikä sopimusosapuolen hallussa laitteessa, allekirjoitettava sisältö täytyy ladata ja tallentaa palveluun, jossa se voidaan edelleen monistaa ja välittää eteenpäin. Samoin tapahtuman ulkopuolisten tahojen, kuten palvelun työntekijöiden tai vastaavan osapuolen, on mahdollista tutustua sisältöön. Moni sisältö on vaitiolovelvollisuuden (NDA, Non Disclosure Agreement) alaista ja siten sellaisen lataaminen kolmannen osapuolen palveluun "allekirjoitettavaksi" voi teknisesti katsoen olla sopimusrikkomus ja laukaista vaitiolovelvollisuussopimuksen sanktiopykälät.
Ulkopuolisen - kuten tuomioistuimen - jälkikäteen suorittamaa aitouden todentamista ei voida tehdä aukottomasti, koska sopimusosapuolen ja allekirjoituksen välistä puuttuu ns. tekninen sidos. Sisällön ja sopimusosapuolen välinen matemaattinen eli kryptografinen sidos on katkennut, kun allekirjoitus on tehty tunnistettuna palvelun omalla varmenteella. Palveluntarjoaja ei myöskään pysty aukottomasti todistamaan, että nimenomaan sopimusosapuoli on tehnyt allekirjoituksen.
Kaikki allekirjoituspalvelut ovat yksityisten yritysten tuottamia eikä niiden työntekijöitä sido virkavastuu. Niiden käytössä on kyse palvelun käyttäjän ja palvelua tarjoavan yrityksen välisestä yksityisoikeudellisesta sopimuksesta, jonka on laatinut alusta loppuun palveluntarjoaja.
Kolmannen osapuolen palvelussa varmenteella tehtyä allekirjoitusta voi jo kutsua allekirjoitukseksi kuten perinteisesti mielletään ja niiden käyttö on yleisintä Suomessa. Siitä huolimatta se perustuu vahvasti luottamukseen koska tapahtumassa tekninen sidos on katkennut.
Laadullisesti palveluallekirjoitus vastaa tasoa AdES (Advanced Electronic Signature).
Varmennekortti-allekirjoitus
Varmennekortti-allekirjoituksessa eli henkilökortilla tehdyssä allekirjoituksessa allekirjoitusväline on täysin allekirjoittajan itsensä hallussa. Tällöin
- sopimuksella ei ole kolmatta osapuolta
- sopimuksen toinen osapuoli voi aukottomasti todistaa, että allekirjoituksen on voinut tehdä ainoastaan kortin haltija
- jos allekirjoitus tapahtuu omassa laitteessa omilla ohjelmilla, kortilla voi allekirjoittaa mitä tahansa, ei ainoastaan palvelun tarjoamia vaihtoehtoja
Jos salaiset tiedot, varmenne ja tunnusluku eivät päädy vääriin käsiin, eikä tekniikasta löydy niitä murtavia heikkouksia, varmennekortti-allekirjoitusta voidaan pitää luotettavana, koska sitä ei pysty tekemään kukaan muu kuin kortin ja sen käyttöön tarvittavien salaisuuksien haltija. Siten varmennekortti-allekirjoitusta pidetään tietotekniikassa analogista allekirjoitusta tai sormenjälkeä täysin vastavaana digitaalisena versiona.
Allekirjoittaminen voi tapahtua käyttäjän hallussa olevassa laitteessa - tai niin haluttaessa allekirjoitustoimintoa tarjoavassa palvelussa. Käyttäjän laitteen tapauksessa sisältöä ei välttämättä tarvitse luovuttaa kolmannen osapuolen haltuun, sisällön luottamuksellisuus säilyy eikä NDA-rikkomusta synny.
Jos allekirjoitusmuoto on yleisesti tunnettu kuten PDF tai ASiC-E, sen tuomioistuimessa oikeaksi todentaminen on huomattavasti helpompaa kun istunnon aikana ei tarvita teknistä analyysiä todisteluineen.
Suomessa varmennekortti-allekirjoituksia voi tehdä:
- henkilökortilla
- työpaikan organisaatiokortilla
- terveydenhuollon "sote"-kortilla
Kokonaisuutena omassa laitteessa tehdystä varmennekortti-allekirjoituksesta puuttuu kaikki muiden allekirjoitustapojen ongelmat.
Laadullisesti varmennekortti-allekirjoitus vastaa tasoa QES (Qualified Electronic Signature).
Muodot
Digitaalisessa allekirjoituksessa ei voida toimia kuten paperisessa tapauksessa teknisten rajoitteiden takia. Digitaaliset sisällöt ja niitä kantavat dokumenttiformaatit (tekstit, kuvat, taulukkolaskennat) ovat olleet olemassa ennen digitaalisia allekirjoituksia, ennen arkiasioinnin ja tietotekniikan ja verkkojen yhdistymistä digitalisaatioksi. Tämän vuoksi niissä ei ole ollut alusta lähtien yhtenäistä sovittua tapaa lisätä niihin osapuolien sormenjälkiä tai allekirjoituksia. Mahdollisuus on tullut vasta myöhemmin, viime vuosina.
Edellämainitusta seuraa, että digitaalisten allekirjoitusten ja niihin liittyvien sisältöjen sitomisessa toisiinsa on kaksi vaihtoehtoa:
- tehdään kaikista dokumenttiformaatista uudet versiot, kuten esimerkiksi PDF-muotoon lisätään allekirjoitusominaisuus.
- säilytetään vanhat formaatit sellaisenaan ja sidotaan allekirjoitukset luotettavasti toisiinsa tallentamalla ne säiliöön.
Kumpaakin on yritetty ja tehty, vaihtelevin tuloksin.
Uusissa formaateissa on paljon haasteita (l. ongelmia):
- dokumenttiformaatteja/-muotoja on loputon määrä
- kaikkiin pitää tehdä muutokset erikseen
- kaikkien käyttöliittymät ovat erilaisia
- kaikkien allekirjoituksia tulkitaan eri tavalla
- kaikkien käyttäjien välineisiin pitää asentaa ohjelmistoja
- kaikki (l. koko väestö) pitää kouluttaa käyttämään niitä
Säiliön ominaisuudet:
- jonkun pitää päättää, mikä sidoksen tekninen toteutus on
- kaikki osapuolet pitää saada sitoutumaan valittuun ratkaisuun
- sama allekirjoitus (joukko allekirjoituksia) voi kattaa useita eri dokumentteja
- ratkaisu ei ota kantaa nykyisiin eikä tulevaisuuden formaatteihin, kunhan ne ovat tiedostoja
Säiliöinnissä dokumentit (tekstit, kuvat jne) "kääritään" allekirjoitukseen laskemalla sisältöä vastaava tiiviste kaikista sen tiedostoista ja allekirjoittamalla se käyttäen digitaalisia allekirjoitusvälineitä.
Allekirjoituksessa itse sisältöön ei varsinaisesti kosketa. Allekirjoitus, yleensä sisältöineen, luovutetaan sopimusosapuolille ja sopimus on valmis. Sisältöä vastaava tiiviste ja itse tiivisteen allekirjoitus voidaan julkistaa julkistamatta itse sisältöä. Allekirjoitus on matemaattinen, yksisuuntainen operaatio, joka voidaan perinteisen tavoin todeta aukottomasti oikeaksi myöhemmin.
Laatu
Sähköisen allekirjoituksen laatuluokituksia ovat:
- SES (Simple/Standard Electronic Signature) suomeksi sähköinen allekirjoitus tarkoittaa sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun sähköisessä muodossa olevaan tietoon ja jota allekirjoittaja käyttää allekirjoittamiseen. Tälläinen voi olla vaikka henkilön nimi sähköpostin lopussa. SES-allekirjoituksella ei ole käytännössä mitään arvoa eikä sillä voi todistaa yhtään mitään.
- AdES (Advanced Electronic Signature) suomeksi kehittynyt sähköinen allekirjoitus tarkoittaa varmenteella tehtyä allekirjoitusta. Käytännössä nämä ovat palvelussa tehtyjä allekirjoituksia ja laadullisesti vastaavat sähköistä leimaa koska allekirjoitusväline ei ole henkilökohtainen eikä asiakirjaan sitoutuneen osapuolen hallussa.
- AdES/QC (Advanced Electronic Signature, Qualified Certificate) suomeksi kehittynyt sähköinen allekirjoitus hyväksytyllä varmenteella tarkoittaa käytännössä QES-tason allekirjoitusta, joka on tehty HSM-välineellä joka ei täytä eIDAS-asetuksen QSCD-vaatimuksia. Suomen kaikki henkilökortit olivat näitä notifiointisotkun takia. G3.2 sukupolvea (2021 alusta valmistetut) vanhemmilla korteilla tehdyt allekirjoitukset tuottavat AdES/QC-laatua, joka ei vastaa omakätistä allekirjoitusta ulkomailla.
- QES (Qualified Electronic Signature) suomeksi hyväksytty sähköinen allekirjoitus tarkoittaa kehittynyttä sähköistä allekirjoitusta, joka on luotu hyväksytyllä sähköisen allekirjoituksen luontivälineellä ja joka perustuu sähköisten allekirjoitusten hyväksyttyyn varmenteeseen. QES-allekirjoitus vastaa laissa omakätistä allekirjoitusta, sen väärentäminen ei nykytiedon mukaan ole mahdollista, eikä laadullisesti parempaa ole.
Validointi
Validointi (vahvistaminen, tarkastaminen, oikeellisuuden todentaminen) eli allekirjoituksen oikeellisuuden todentaminen voidaan tehdä joko lataamalla tiedosto palveluun tai suorittamalla se omassa laitteessa ohjelmalla joka tukee kyseistä muotoa.
Organisaatio- ja sote-korteilla tehdyissä allekirjoituksissa ei ole HETU- eikä SATU-tunnusta vaan niiden sisältämät kortin myöntäjän yksilöivät tunnukset ja mahdollisesti asema. Ulkopuolisilla on rajoitettu pääsy näihin tietoihin, minkä takia validointi oikeaan henkilöön on mahdotonta. SATU-tunnuksen tapauksessa se on myös hankalaa kun kaikki ihmisvälitteinen kommunikointi on HETU-tunnuksella, mutta silti SATU:sta saa tietoja julkisista lähteistä. Esimerkiksi 4. päivä helmikuuta 2022 Juha Tuomala nimisiä varmennehaun tuloksia on 35 kappaletta joilla on aktiivinen allekirjoitusvarmenne, eikä varmennehakemisto edes palauta sähköpostiosoitetta jolla niitä voisi erotella toisistaan.
Käytännöt
Suomen lainsäädäntö ei pakota asiakirjan osapuolia käyttämään sähköistä allekirjoitusta. Lainsäädäntö ei myöskään velvoita vastaanottajaa hyväksymään sähköisesti allekirjoitettua asiakirjaa, ellei kyse ole julkisesta sektorista: tällöin lähettäjä voi vedota lakiin sähköisestä asioinnista viranomaistoiminnassa ja eIDAS-asetukseen, joka ottaa paljon kantaa teknisiin yksityiskohtiin. Allekirjoituksen tekijä takaa asiakirjan vastaanottajan oikeuksia.
- Ovatko osapuolet yksityisiä vai julkisia tahoja?
- Millä tai missä allekirjoitus tehdään?
- Mikä on asiakirjan tekninen muoto? PDF? DigiDoc?
- Jos osapuoli on yhdistys, onko sähköisten välineiden käyttö sallittu sen säännöissä?
- Luottavatko kaikki osapuolet valittuun allekirjoitusvälineisiin, tapaan ja muotoon?
- Onko kaikilla osapuolilla valmius tarkastaa allekirjoituksen aitous?
Käytännöt ovat sekavia ja sähköisestä allekirjoituksesta kieltäytyminen on yleistä. Julkisen sektorin tapauksessa kannattaa selvittää (kysyä vastaanottajalta itseltään) valvova viranomainen ja kannella toiminnasta sinne. Yleensä pelkkä maininta kantelun tekemisestä innostaa tutkimaan allekirjoitusta tarkemmin ja hyväksymään sen.
Luottamusta eri käytäntöihin lisäisi, jos valtio ja kunnat lähettäisivät enemmän allekirjoitettuja asiakirjoja, mutta käytäntö on osoittanut julkisen sektorin olevan yksi jarruttajista vaikka näin toimiminen on lainvastaista.
Kritiikkiä
- Valtion tekeminen valintojen takia allekirjoituksen yhdistäminen oikeisiin henkilöihin on käytännössä mahdotonta. Allekirjoitetussa dokumentissa näkyy allekirjoitusvarmenteesta tuleva SATU tai HYT, mutta allekirjoituksen yhdistäminen jopa paikalla oleviin henkilöihin on hankalaa, koska
- allekirjoittaneet saattavat tietää toistensa HETU-tunnukset, jotka yleensä mainitaan sopimustekstissä
- nämä eivät todennäköisesti muista SATU-tunnustaan
- SATUa ei näe henkilökorttiin painetuista merkinnöistä
- keskimääräinen kansalainen ei osaa selvittää SATUa DigiSign Client-ohjelmasta.
- valtiolla on SATU-HETU sidoksen kyselypalvelu, mutta pääsy siihen on rajoitettu
- Vaikka allekirjoituksesta ja allekirjoitusvälineestä näkyy etu- ja sukunimi, sitä ei voi pitää luotettavana, sillä Suomessa on paljon samannimisiä henkilöitä. Allekirjoituksen tiedetään olevan aito, mutta ei voida olla täysin varmoja kenen se on.
- SOTE-korteilla tehdyistä allekirjoituksista näkyy Valviran Terhikki- tai Suosikki-rekisterin henkilönumero tai Organisaatio-korttien yhteisön oma henkilönumero. Kumpiinkaan ei ole pääsyä näiden yhteisöjen ulkopuolisilla tahoilla sen paremmin kuin mahdollisuutta tarkastaa tällaisen henkilönumeron sidosta HETU-tunnukseen. Allekirjoituksen tiedetään olevan aito, mutta ei voida olla täysin varmoja, kenen se on.
Katso myös
Lähteet
