Wikipedia

Ero sivun ”Sähköinen allekirjoitus” versioiden välillä

Selaa historiaa interaktiivisesti
[katsottu versio][arvioimaton versio]
← Vanhempi muutosUudempi muutos →
Poistettu sisältö Lisätty sisältö
VisuaalinenWikiteksti
Tuju (keskustelu | muokkaukset)
153 muokkausta
Rivi 28:
 
=== Kritiikki ===
PKI-järjestelmäDigitaalinen allekirjoitusjärjestelmä vaatii toimiakseen [[Luotettava tietojenkäsittely|luotettavan tietojärjestelmän]], jonka tietoturvaa ei ole murrettu. Käyttäjän tietokoneella ei siis saa olla viruksia,haittaohjelmaa matojajoka taivoisi tunkeilijoita. Muuten koneella saattaisi pyöriä esimerkiksi haittaohjelma, joka salakuunteleesalakuunellla käyttäjän [[Personalsalasanan identificationtai number|PIN-numeron]] [[sirukortti|sirukortille]] ja tekee sen jälkeen käyttäjän nimissä digitaalisia allekirjoituksia. Ongelmaa ei olekoodin, jos kortinlukijassa itsessään on PIN-numeron syöttöä vartenkopioida omasalaiset näppämistöavaimet ja tietokoneestajopa vastaanotetaantehdä allekirjoitettavaluvattomia tiivisteallekirjoituksia lukijalaitteeseenhenkilöllisyyden jaoikean takaisinomistajan annetaan allekirjoitettu vastaus. Tällöin PIN-numero ei altistu missään vaiheessa haittaohjelmien luettavaksi ja laitteiston käyttäjä havaitsisi ylimääräiset allekirjoituspyynnöt koska ei ole itse aloittanut tapahtumianimissä.
 
Salaisten avaimien kopiointi on yleensä estetty tallentamalla ne fyysiselle, elektroniselle [[sirukortti|sirukortille]] joissa suora pääsy avaimiin on yleensä estetty, jopa kortin oikealta omistajalta. Sallittua on vain kortilla tehtävät allekirjoitustapahtumat sitä varten tehtyä rajapintaa käyttäen. Koska kopiointi on estetty, ainoa tapa saada salaiset avaimet haltuunsa on päästä niihin käsiksi fyysisesti joka ei ole tietoverkossa mahdollista.
Toisaalta, jos käyttäjä on [[verkkopankki|verkkopankissa]] allekirjoittamassa laskua, saattaisi haittaohjelma näyttää ruudulla todellisen laskun, mutta lähettää sirukortille allekirjoitettavaksi jotain täysin muuta. Käytännössä riski on minimoitu tapahtumakohtaisilla rajoituksilla jolloin esim väärän maksutapahtuman aiheuttama vahinko ei aiheuta isoa vahinkoa ja ympäristön saastuminen paljastuu sen käyttäjille.
 
Älykorttia tai vastaavaa elektronista tallennusvälinettä käytettäessä PIN-koodin salakuutelu voidaan estää syöttämällä koodi kortinlukijan tai laitteen omalla näppämistöllä. Tietokoneesta vastaanotetaan pelkkä allekirjoitettava tiiviste lukijalaitteeseen ja takaisin annetaan allekirjoitettu vastaus. Tällöin PIN-numero ei altistu missään vaiheessa haittaohjelmien luettavaksi ja laitteiston käyttäjä havaitsee ylimääräiset allekirjoituspyynnöt koska ei ole itse aloittanut tapahtumia. Omalla näppäimistöllä varustettujen laitteiden elektroniikka ja ohjelmistot ovat niin rajoittuneita, että niihin ei voi tunkeutua haittaohjelmilla.
Ongelmat ovat vielä paljon suuremmat, ellei PKI-avaimia säilytetä [[sirukortti|sirukortilla]] tai muulla [[PKI-avainlaite|PKI-avainlaitteella]] vaan tietokoneen levyllä.
 
Toisaalta,Saastuneiden josohjelmien käyttäjätapauksessa onhaittaohjelma [[verkkopankki|verkkopankissa]]harhauttaa allekirjoittamassakäyttäjän laskua,allekirjoittamaan saattaisimuuta haittaohjelmamitä näyttäähänelle ruudulla todellisenesitetään laskun,ja muttatosiasiallisesti lähettääjärjestelmässä sirukortilleallekirjoitetaan allekirjoitettavaksipetos jotainuhrin täysin muutavarmenteella. Käytännössä riski on minimoitu tapahtumakohtaisilla rajoituksilla jolloin esimesimerkiksi väärän maksutapahtuman aiheuttama vahinko ei aiheuta isoa vahinkoa ja ympäristön saastuminen paljastuu sen käyttäjille.
 
Ylläolevat riskit ovat teoriassa mahdollisia ja niitä vastaan voi suojautua mainituilla tavoilla. Käytännössä digitaalisen allekirjoituksen käyttöönotto on iso parannus nykyiseen, esimerkiksi pankkitunnuksilla (''OTP, one time password'') tapahtuviin tapahtumien varmentamiseen missä ei nykyään käytetä mitään edellä mainittuja suojauksia vaan ne ovat käytännössä pelkkiä salasanoja. Kaikki mainitut riskit liittyvät myös niiden käyttöön. Pankkitunnusten kopioinnilla tehdyistä väärinkäytöksistä on vuosittain lukuisia uutisia joissa niiden uhri ei ole ymmärtänyt joutuneensa petoksen kohteeksi. Kaikki pankkitunnuksilla tehdyt petokset olisivat käytännössä jääneet tekemättä käyttämällä henkilökorttia.
 
== Katso myös ==
Noudettu kohteesta ”https://fi.wikipedia.org/wiki/Sähköinen_allekirjoitus