Ero sivun ”Sähköinen allekirjoitus” versioiden välillä
| [arvioimaton versio] | [arvioimaton versio] |
Poistettu sisältö Lisätty sisältö
takaportti |
|||
Rivi 27:
Laki sähköisestä asioinnista antaa oikeudellisen suojan asioida, käydä kauppaa ja tarjota palveluita Internetissä. Jos tapahtuman yksi osapuoli myöhemmin yrittää kiistää tehneensä osuutensa tapahtumaan, on kaikella normaali lain suoja joka on tarvittaessa ratkaistavissa tuomioistuimissa.
Digitaalista allekirjoitusjärjestelmää on aina kritisoitu sen luotettavuudesta. Osa kritiikistä on perusteltua ja sen riskit hallittavissa, osa on pelkkää tiedon puutetta ja perusteettomia väitteitä.
Digitaalinen allekirjoitusjärjestelmä vaatii toimiakseen [[Luotettava tietojenkäsittely|luotettavan tietojärjestelmän]], jonka tietoturvaa ei ole murrettu. Käyttäjän tietokoneella ei siis saa olla haittaohjelmaa joka voisi salakuunellla käyttäjän salasanan tai PIN-koodin, kopioida salaiset avaimet ja jopa tehdä luvattomia allekirjoituksia henkilöllisyyden oikean omistajan nimissä.▼
▲
'''Salaisten avaimien kopiointi''' on yleensä estetty tallentamalla ne fyysiselle, elektroniselle [[sirukortti|sirukortille]] joissa suora pääsy avaimiin on yleensä estetty, jopa kortin oikealta omistajalta. Sallittua on vain kortilla tehtävät allekirjoitustapahtumat sitä varten tehtyä rajapintaa käyttäen. Koska kopiointi on estetty, ainoa tapa saada salaiset avaimet haltuunsa on päästä niihin käsiksi fyysisesti joka ei ole tietoverkossa mahdollista.
Rivi 35 ⟶ 37:
'''Haittaohjelmasta saastuneiden ohjelmien''' tapauksessa käyttäjä harhautetaan allekirjoittamaan muuta mitä hänelle ruudulla esitetään ja tosiasiallisesti järjestelmässä allekirjoitetaan petos uhrin varmenteella. Käytännössä riski on minimoitu tapahtumakohtaisilla rajoituksilla jolloin esimerkiksi väärän maksutapahtuman aiheuttama vahinko ei aiheuta isoa vahinkoa ja ympäristön saastuminen paljastuu sen käyttäjille.
'''Takaportti''' on järjestelmän eri osien valmistajien sisään rakentama heikkous jolla yksi tai useampi heistä voi murtaa allekirjoituksen tietoturvan ja luoda halutessaan väärennettyjä tapahtumia. Koko PKI-järjestelmän turvallisuus perustuu sen osien valmistajien ja varmenteiden takaajien luotettavuuteen. Jos tätä luottosuhdetta ei ole, luotettavan järjestelmän kriteeri ei täyty, eikä sitä voi korjata.
Ylläolevat riskit ovat teoriassa mahdollisia ja niitä vastaan voi suojautua mainituilla tavoilla. Käytännössä digitaalisen allekirjoituksen käyttöönotto on iso parannus nykyiseen, esimerkiksi pankkitunnuksilla (''OTP, one time password'') tapahtuviin tapahtumien varmentamiseen missä ei nykyään käytetä mitään edellä mainittuja suojauksia vaan ne ovat käytännössä pelkkiä salasanoja. Kaikki mainitut riskit liittyvät myös niiden käyttöön. Pankkitunnusten kopioinnilla tehdyistä väärinkäytöksistä on vuosittain lukuisia uutisia joissa niiden uhri ei ole ymmärtänyt joutuneensa petoksen kohteeksi. Kaikki pankkitunnuksilla tehdyt petokset olisivat käytännössä jääneet tekemättä käyttämällä henkilökorttia.
| |||