Vuonna 2016 voimaan tullut EIDAS-asetus otti teknisen kehityksen huomioon ja asetti tunnistukselle ja allekirjoitukselle yksityiskohtaisia vaatimuksia jotta eri jäsenmaiden, verkossa rajat ylittäneillä välineillä tehdyt tapahtumat olisivat tasavertaisia paikallisen jäsenmaan oikeuden käsittelyssä.
Sähköinen vahva tunnistaminen ja allekirjoitus tarkoittaa kryptograafista laskentaa matemaattisilla ns ''avaimilla'' joka lopputuloksesta voidaan luotettavasti todeta tapahtuman tekijä ja siten niistä on tehty lainsäädännöllä oikeustoimikelpoisia. Näitä salaisia avaimia säilytetään turvallisesti henkilökortilla joka täyttää tietyt, asetuksessa määritellyt laatuvaatimukset.
Asetuksen alkuperäinen ajatus oli, että korttien teknisen toteutuksen sertifioinnin tekee niiden valmistaja eikä käyttäjävaltio. Valmistajia on Euroopassa muutamia, esimerkiksi Gemalto, Idemia (Morpho siihen aikaan) - jotka eivät tuossa vaiheessa olleet vielä sertifiointia tehneet tai jäsenvaltiot olivat ostaneet tuotteita joissa sitä ei ollut. Koska asetusta saatettiin voimaan olemassa olevaan ympäristöön, sen tuli ottaa huomioon jo käytössä olleet välineet jotta niiden käyttö voisi jatkua keskeytyksettä ja laajentaa niiden käyttö kattamaan koko EU:n alue. Siten säädettiin siirtymäaika joka sallisi olemassa olevat - Suomenkin kortit jotka vastasivat asetuksen ''korkean varmuustason tunnistaminen'' ja ''kehittynyttä sähköistä allekirjoitusta'' käsitteitä sähköisessä asioinnissa kaikissa EU:n jäsenmaissa.
</pre>
Eli asetuksen tekstin mukaan '''jäsenvaltion on ilman aiheetonta viivytystä ilmoitettava komissiolle seuraavat tiedot ja niiden mahdolliset myöhemmät muutokset'''. Käytännössä ilmoittava virasto olisi ollut Digivirasto. Mitään ilmoitusta Suomen tunnistusvälineistä ei ole toimitettu.
Sähköinen allekirjoitus tarkoittaa kryptograafista laskentaa matemaattisilla ns ''avaimilla'' joka lopputuloksesta voidaan luotettavasti todeta allekirjoituksen tekijä ja siten lopputuloksesta on tehty lainsäädännöllä ns ''omakätistä allekirjoitusta vastaava'' ja oikeustoimikelpoinenTunnistusvälineiden (eID) notifioitu lista:* [https://ec. Näitä salaisia avaimia säilytetään turvallisesti henkilökortilla joka täyttää tietyt, asetuksessa määritellyt laatuvaatimukseteuropa.eu/cefdigital/wiki/display/EIDCOMMUNITY/Overview+of+pre-notified+and+notified+eID+schemes+under+eIDAS Overview of pre-notified and notified eID schemes]
Suomessa henkilökortin allekirjoitusavaimia on tehty vuoden 2000 alusta asti ja kansallinen lainsäädäntö on tehnyt niistä ''omakätistä allekirjoitusta vastaavia'' jo tuolloin - mutta vain Suomessa. Henkilökorttien sirut ovat siitä lähtien kehittyneet turvallisemmiksi ja niitä otettu sitä mukaan käyttöön kun tekniikka on kehittynyt 20 vuoden aikana.
''Artikla 51 - Siirtymätoimenpiteet'' määrittelee seuraavaa:
</pre>
Eli asetuksen tekstin mukaan Allekirjoitusten osalta '''Turvallisia allekirjoituksen luontivälineitä.... varmenteita myöntävän varmennepalvelujen tarjoajan on toimitettava valvontaelimelle vaatimustenmukaisuuden arviointikertomus mahdollisimman pian mutta viimeistään 1 päivänä heinäkuuta 2017''' - päivämäärä jonka Digivirasto jätti myöskin täyttämättä. Mitään arviointikertomusta Suomen henkilökorttien teknisistä ominaisuuksien soveltuvuudesta EIDAS-asetukseen ei ikinä toimitettu.
Maissa jossa oltiin tehty poikkeuksia suomalaisen hyvälaatuisen henkilökortin käytöstä allekirjoituksessa lankesivat EIDAS-asetuksen alaisuuteen ja korttien käyttö tuli mahdottomaksi voimassa olevan asetuksen myötä. Viron valtio lopetti Suomen kortin tukemisen (testaamisen) web-palveluiden kirjautumisessa ja qDigiDoc-ohjelmiston testaamisen nelosversiossa ja käytännössä se sekin on myös lakannut toimimasta bugien takia.
Artikla 51 siirtymäkausi oli yhdenkertainen tarjous, ne maat - takapihat kuten Kroatia ja Slovakia, jotka huolehtivat vastuustaan ovat olleet listalla siitä lähtien. Suomi ei listalla ole eikä tule. Siirtymäkausi ei toistu eikä sitä voi tehdä nykyisille korteille määräajan umpeuduttua.
* [https://esignature.ec.europa.eu/efda/notification-tool/#/screen/browse/list/QSCD_SSCD Qualified Signature/Seal Creation Devices and Secure Signature Creation Devices]
Artikla 51 käsittelee ainoastaan varmenteita ja mainitsee allekirjoitukset osana tapahtumia. EU asetti siirtymäkauden myös hyväksyttäville tunnistustavoille (sekä varmenteille että palveluun perustuville) ja jollainen henkilökortin tunnistus- ja salausvarmenne (PIN1) on (''QWAC, Qualified Web Authentication Certificate'') ja myös edellytti niiltä samanlaista notifikaatiota. Suomea ei mainita tälläkään listalla. Tunnistusvälineiden (eID) notifioitu lista:* [https://ec.europa.eu/cefdigital/wiki/display/EIDCOMMUNITY/Overview+of+pre-notified+and+notified+eID+schemes+under+eIDAS Overview of pre-notified and notified eID schemes] Jatkossa jos Suomi julkistaa uusia kortteja, Vuoden 2021 alusta myönnetyille korteille mitään notifiointia tai kertomuksia ei tarvitse yhteisön valvontaelimille lähetellä koska ulkomaalainen korttivalmistaja on ne jo tehnyt. Tähän Ongelma koskee G2 molempia- ja G3 ensimmäisen sukupolven kortteja joita 99,99% kaikista Suomen noin miljoonasta kortista ovat. Näiden vanhenemiseen ja normaaliin vaihtoon menee kuitenkin vuosia koska viimeisin G3 ensimmäinen sukupolvi (G3 .1) otettiin käyttöön 2017 alusta ja sen myöntämisjakson loputtua (päivämäärä ei ole tiedossa) loppui 31.12.2020, eli viimeinen käyttäjälle luovutettu kortti tulee olemaan voimassa siitä eteenpäin viisi vuotta, mahdollisesti 2024-2026 2025 loppuun asti.
Käytännössä tämä tarkoittaa, että suomalaisella henkilökortilla ei voi asioida ulkomaisissa palveluissa kuten EIDAS-asetus alunperin tarkoitti. Asia ei ole vähäpätöinen, siitä osoituksena Digivirasto on itse toteuttanut vaadittavat yhdyskäytävät Suomi.fi-tunnistuspalveluunsa ja näillä ulkomaalaisilla välineillä pääsee siten kirjautumaan julkisiin palveluihin kuten yritysrekisteri (PRH) tai verottajalle.
Yhteenveto sotkusta:
* asia koskee kaikkia käytössä olevia kortteja, G2.1 ja G2.2 - ja G3.1 (G3 ensimmäistä) -sukupolvia
* '''kaikkien osapuolien ollessa Suomen sisällä, asialla ei ole merkitystä'''
* suomalainen kortti ei kelpaa muissa EU-maissakuin mekaanisena välineenä* muiden EU-maiden välineet kelpaavat Suomessasähköisinä* sotku koskee varmasti allekirjoituksiasekä tunnistamista (QWAC), mutta myöskään EU:n web-tunnistus että allekirjoittamista (QWACQES) ei toimi* ainoa korjaus olisi julkistaa G4 korttisukupolvi jolla on valmistajan tekemä sertifiointiei koske vuoden 2021 alusta myönnettyjä kortteja* suomalaisille joille asialla on merkitystä, korjaus vaatii uuden 55€ kortin hankkimista ennen nykyisen vanhenemista Vielä epäselvää:* kattaako Artikla 51 kohdat 3. ja 4. kortin tunnistusvarmenteet (QWAC)?* onko eID-tunnistus notifiointi tunnistusvälineniden notifioinnin voi vielä auki vai loppunut? Ilmeisesti auki.* milloin ongelmallisten G3-sukupolven korttien myöntäminen loppuu? tehdä
== Katso myös ==