Muutokset

Suomessa on vakiintunut kaksi kolme tapaa tehdä sähköisiä allekirjoituksia:* kolmannen osapuolen tekemäallekirjoitusmerkintä* PKI (varmennehierarkia) allekirjoituspalvelu* varmennekortti-allekirjoitukset

Molemmille Kaikille allekirjoituksille on yhteistä niiden luotettava todentaminen tarvittaessa. Oikeusvaltiossa se tapahtuu viime kädessä tuomioistuimessa joka on kyseisen tapahtuman kolmas, ulkopuolinen osapuoli. Ilman tätä mahdollisutta luotettavien sopimusten pohja sortuu eikä oikeusvaltion sopimusympäristöä enää ole.

=== Kolmannen osapuolen tekemä ===Allekirjoitukset yleensä tehdään [[varmenne|varmenteen]] ''salaisella avaimella'Kolmannen osapuolen tekemä''' allekirjoitus perustuu palveluun jonka käyttäjä , tietojenkäsittelytiede ei tunne muuta tapaa. Koska kyse on allekirjoituksen uskottavuudesta, on tunnistettu [[Luettelo tunnisteista|jollakin vahvalla tunnistella]] ja jonka ympäristössä allekirjoittamiseksi mielletty merkitseminen tai palvelun ymmärrettävä kenen hallussa olevalla välineellä allekirjoittaminen tapahtuu. Tällöin ei voida puhua varsinaisesta allekirjoituksesta kuten perinteisesti tämä salainen avain on mielletty , kuka ja akateemisessa tietojenkäsittelytieteessä tunnetaan, koska merkitsemisen tai allekirjoituksen tekee joku muu kuin millä ehdoin sillä sopimukseen sidottu osapuoli eikä allekirjoitusväline (kynä) ole edes sopimusosapuolen hallussa. Mikään ei estä palvelun tarjoajaa fabrikoimasta voi tehdä allekirjoituksia sopimusosapuolen tietämättä.

Koska tapahtuma suoritetaan palvelussa === Allekirjoitusmerkintä ===Merkintätapa on aina käytössä verkkopalvelussa asioidessa eikä sopimusosapuolen hallussa laitteessa, allekirjoitettava sisältö ladataan ja tallennetaan palveluun, jossa se voidaan edelleen monistaa ja välittää eteenpäin, siihen voi tutustua tapahtuman ulkopuoliset tahot kuten palvelun työntekijät käytä varmenteita tai vastaava osapuoliniiden salaisia avaimia. Se ei siis ole allekirjoitus eikä sitä saa kutsua sellaiseksi. Moni sisältö on usein vaitiolovelvollisuuden (''NDA, Non Disclosure Agreement'') alaista ja siten sen lataaminen palveluun "allekirjoitettavaksi" voi olla sopimusrikkomus ja laukaista sen sanktiopykälätTämä ei ole silti estänyt tekemästä ihmisiä.

Ulkopuolisen - kuten tuomioistuimen, jälkikäteen suorittamaa aitouden todentamista Asioijalle tarjotaan käyttöliittymässä toiminto joka ''allekirjoittaa'' tapahtuman ja sitoo sen tekijän tapahtumaan. Käyttöliittymän allekirjoituksen aktivointi tarkoittaa asiointitapahtuman merkitsemistä allekirjoitetuksi esimerkiksi tietokantaan. Merkintä ei poikkea muista tiedoista ja sen väärentäminen on hyvin helppoa esimerkiksi tietomurron yhteydessä. Asiointitapahtuman tiedoista ei voida tehdä. On vain kolmannen osapuolenmyöskään antaa osapuolille omaa kopiota jossa olisi allekirjoitus todennettavissa, sähköisen palvelun - jota todennäköisesti koska sellaista ei sido mikään vastuu - tallentama merkintä, että kyseinen sisältö on allekirjoitettu. Kaikki perustuu luottamukseen palvelun tarjoajan nuhteettomuudesta eikä tätä kolmatta osapuolta välttämättä sido edes lakiin perustuva kahdenvälinen sopimus- tai virkavastuuole olemassa.

Merkinnän oikeudellinen merkitys on epäselvää, se edellyttäisi pitkiä todistajalausuntoja palveluntarjoajalta ja toisaalta palveluntarjoaja ei pystyisi aukottomasti todistamaan ettei niitä ole merkitty aiheetta. Kyse on luottamuksesta palveluntarjoajaan ja sen käyttämän järjestelmän tietoturvaan. Merkinnällä ei siis ole allekirjoituksesta mitään tekemistä allekirjoittamisen kanssa kuten perinteisestä paperia käyttävässä yhteiskunnassa tai tietotekniikassa termi paperille tehtynä on mielletty ja tietojenkäsittelytieteessä ymmärretään. Edelläolevasta huolimatta, jos käyttäjä on tunnistettu käyttämällä vahvaa tunnistetta, allekirjoitusmerkinnällä Sen toteuttaminen on tänä päivänä oikeudellinen asema Suomessasekoittanut väestön käsitystä mitä sähköinen allekirjoittaminen tarkoittaa.

Koska kyse Kyseinen tapa on kolmannen osapuolen tuottamasta palvelustakäytössä Suomessa, tämä allekirjoitustapa on osa esimerkiksi valtion [[Arkkitehtuurivertailu|palvelukeskeistä arkkihtehtuuria]http://prh.fi/ Patentti- ja rekisterihallituksen]verkkopalvelussa.

=== PKI-allekirjoitukset Allekirjoituspalvelu ==='''PKI-allekirjoitukset''' eli Allekirjoituspalveluss allekirjoitus tapahtuu [[varmenneAllekirjoitus/Tavat|varmennehierarkiallaverkkopalvelussa]] tehdyt allekirjoitukset perustuvat ''avaimiin'', niistä muodostettuihin kolmannen osapuolen tekemänä ja jossa käyttäjä on ainakin joskus tunnistettu [[VarmenneLuettelo tunnisteista|varmenteisiinjollakin vahvalla tunnistella]] jotka . Niihin pätee yleensä seuraava:* palvelun käyttö ei vaadi vahvaa tunnistusta, ainoastaan siihen rekisteröinti* allekirjoitus tehdään palveluympäristössä eikä käyttäjän päätelaittessa (tietokone, puhelin)* allekirjoitus tehdään palvelun omalla välineellä* järjestelmä tekee allekirjoituksen palvelua käyttävän pyynnöstä* allekirjoitusväline (kynä) ei ole sopimusosapuolen hallussa* kaikki allekirjoitukset ovat allekirjoittajan itsensä hallussa ja avaimia käyttävään teknisesti samanlaisia ''laskenta-algoritmiinsama nimi, Pertti Virtanen'' jolla (samalla varmenteella tehtyjä) ja sen oheen merkitään sopimusosapuolen nimi tms* mikään ei estä palvelun tarjoajaa fabrikoimasta allekirjoituksia sopimusosapuolen nimissä tämän tietämättä, koko ratkaisu perustuu luottamukseen* allekirjoitus on oikeudellisesti pätevä ja sen aitouden todennus tapahtuumainittu [[EIDAS]]-asetuksessa.

Jos salaiset tiedotKoska tapahtuma suoritetaan palvelussa eikä sopimusosapuolen hallussa laitteessa, varmenne allekirjoitettava sisältö ladataan ja tunnusluku eivät päädy vääriin käsiintallennetaan palveluun, eikä tekniikasta löydy niitä murtavia heikkouksia - PKI-allekirjoitusta jossa se voidaan pitää luotettavana koska sitä ei pysty tekemään kukaan muu kuin kyseinen henkilöedelleen monistaa ja välittää eteenpäin, siihen voi tutustua tapahtuman ulkopuoliset tahot kuten palvelun työntekijät tai vastaava osapuoli. Siten PKI-allekirjoitusta pidetään tietotekniikassa analogista allekirjoitusta tai sormenjälkeä vastavaana digitaalisena versionaMoni sisältö on usein [[vaitiolovelvollisuuden]] (''NDA, Non Disclosure Agreement'') alaista ja siten sen lataaminen palveluun "allekirjoitettavaksi" voi olla sopimusrikkomus ja laukaista sen sanktiopykälät.

Allekirjoittaminen voi tapahtua käyttäjän hallussa olevassa laitteessa Ulkopuolisen - tai haluttaessa allekirjoitustoimintoa tarjoavasssa palvelussakuten tuomioistuimen jälkikäteen suorittamaa aitouden todentamista ei voida tehdä aukottomasti koska sopimusosapuolen ja allekirjoiktuksen välistä puuttuu ns ''tekninen sidos'. Käyttäjän laitteen tapauksessa sisältöä ei tarvitse luovuttaa kolmannen osapuolen haltuun Sisällön ja sisällön salaisuus säilyy eikä mahdollista NDAsopmimusosapuolen välinen matemaattinen -rikkomusta synnyeli kryptograafinen sidos on katkennut kun allekirjoitus tehdään tunnistettuna palvelun omalla varmenteella. Palvelun tarjoaja ei myöskään pysty aukottomasti todistamaan, että sopimusosapuoli on tehnyt allekirjoituksen.

Jos allekirjoitusmuoto on yleisesti tunnettu kuten Kaikki [[ASiCAllekirjoitus/Tavat|ASiC-Eallekirjoituspalvelut]], sen tuomioistuimessa oikeaksi todentaminen ovat yksityisiä yrityksiä tuottamia eikä niiden työntekijöitä sido virkavastuu. Niiden käytössä on kyse palvelun käyttäjän ja palvelua tarjoavan yrityksen välisestä yksityisoikeudellisesta sopimuksesta jonka on huomattavasti helpompaa kun istunnon aikana ei tarvita teknistä analyysiä todisteluineenlaatinut alusta loppuun palvelun tarjoaja.

Kokonaisuutena, omassa laitteessa tehdystä PKI-allekirjoituksesta puuttuu kaikki allekirjoituspalvelun ongelmatKolmannen osapuolen palvelussa tehtyä allekirjoitusta voi jo kutsua allekirjoitukseksi kuten perinteisesti mielletään ja niiden käyttö on yleisintä Suomessa. Siitä huolimatta se perustuu vahvasti luottamukseen koska tapahtumassa tekninen sidos on katkennut.

Koska kyse === Varmennekortti-allekirjoitukset ===Varmennekortti-allekirjoitukset eli henkilökortilla tehdyssä allekirjoituksessa allekirjoitusväline on allekirjoittajan itsensä hallussa täysin. Tällöin * sopimuksen kolmatta osapuolta ei ole* sopimuksen toinen osapuoli voi aukotta todistaa, että allekirjoituksen on PKI:n hyödyntämisestä tämä allekirjoitustapa voinut tehdä ainoastaan kortin haltija* jos allekirjoitus tapahtuu omassa laitteessa omilla ohjelmilla, kortilla voi allekirjoittaa mitä tahansa, toisin kuin palvelun tarjoamia vaihtoehtoja Jos salaiset tiedot, varmenne ja tunnusluku eivät päädy vääriin käsiin, eikä tekniikasta löydy niitä murtavia heikkouksia - varmennekortti-allekirjoitusta voidaan pitää luotettavana koska sitä ei pysty tekemään kukaan muu kuin kyseinen henkilö. Siten varmennekortti-allekirjoitusta pidetään tietotekniikassa analogista allekirjoitusta tai sormenjälkeä täysin vastavaana digitaalisena versiona. Allekirjoittaminen voi tapahtua käyttäjän hallussa olevassa laitteessa - tai haluttaessa allekirjoitustoimintoa tarjoavasssa palvelussa. Käyttäjän laitteen tapauksessa sisältöä ei välttämättä tarvitse luovuttaa kolmannen osapuolen haltuun ja sisällön salaisuus säilyy eikä mahdollista NDA-rikkomusta synny. Jos allekirjoitusmuoto on osa yleisesti tunnettu kuten [[ArkkitehtuurivertailuPDF]] tai [[ASiC|PKIASiC-keskeistä arkkihtehtuuriaE]], sen tuomioistuimessa oikeaksi todentaminen on huomattavasti helpompaa kun istunnon aikana ei tarvita teknistä analyysiä todisteluineen. Suomessa varmennekortti-allekirjoituksia voi tehdä:* henkilökortilla* työpaikan organisaatiokortilla* terveydenhuollon "sote"-kortilla Organisaatio- ja sote-korteilla tehdyissä allekirjoituksissa ei ole HETU- eikä SATU-tunnusta vaan niiden sisältämät kortin myöntäjän yksilöivät tunnukset ja mahdollisesti tittelit ja asema. Ulkopuolisilla on yleensä rajoitettu pääsy näihin tietoihin jolla voi olla merkitystä allekirjoituksen oikeellisuutta tarkistettaessa. Kokonaisuutena, omassa laitteessa tehdystä varmennekortti-allekirjoituksesta puuttuu kaikki muiden allekirjoitustapojen ongelmat.