Wikipedia

Ero sivun ”Sähköinen allekirjoitus” versioiden välillä

Selaa historiaa interaktiivisesti
[katsottu versio][katsottu versio]
← Vanhempi muutosUudempi muutos →
Poistettu sisältö Lisätty sisältö
VisuaalinenWikiteksti
Kekkone (keskustelu | muokkaukset)
seulojat
13 533 muokkausta
selvennyspyyntöjä ja lähdepyyntöjä
Kospo75 (keskustelu | muokkaukset)
seulojat
46 140 muokkausta
selvennyksiä
Rivi 1:
'''Digitaalinen allekirjoitus''' eli '''sähköinen allekirjoitus''' on sähköiseen viestiin tehty [[PKI|julkiseen avaimeen perustuva]]-[[ allekirjoitus]], joka varmentaa tietyn viestin sisällön ja allekirjoittajan henkilöllisyyden. Mikäli viestiä muutetaan, allekirjoitus paljastaa väärennöksen.
 
Jos viestiä on muutettu sen tallentamisen tai siirtämisen aikana tai joku yrittää esiintyä väärällä henkilöllisyydellä, matemaattinen allekirjoitus ei enää täsmää. Perinteisesti digitaalista allekirjoitusta on käytetty [[sähköposti|sähköposteissa]] lähettäjän todentamiseen. Nykyisin digitaaliset allekirjoitukset ovat laajassa käytössä Virossa jossa vakiintuneeksi allekirjoitustavaksi on muodostunut [[DigiDoc]]-tiedostomuoto jota käytetään [[qDigiDoc]]-sovelluksella tai Web-palvelussa selaimen pluginilla. Digitaalisen allekirjoittamisen ratkaisuja tarjoavat Suomessakin monet yritykset.
 
Sähköinen allekirjoitus on tietoverkoissa tapahtuvan [[sähköinen asiointi|sähköisen asioinnin]] perusvaatimus, sensillä oikeudellisense asemantakaa rinnalla{{selvennä}}kirjoittajan allekirjoituksen aitouden.
Perinteisesti digitaalista allekirjoitusta on käytetty [[sähköposti|sähköposteissa]] lähettäjän todentamiseen. Nykyisin digitaaliset allekirjoitukset ovat laajassa käytössä Virossa jossa vakiintuneeksi allekirjoitustavaksi on muodostunut [[DigiDoc]]-tiedostomuoto jota käytetään [[qDigiDoc]]-sovelluksella tai Web-palvelussa selaimen pluginilla.
 
Digitaalisen allekirjoittamisen ratkaisuja tarjoavat Suomessakin monet yritykset.
 
Sähköinen allekirjoitus on tietoverkoissa tapahtuvan [[sähköinen asiointi|sähköisen asioinnin]] perusvaatimus sen oikeudellisen aseman rinnalla{{selvennä}}.
 
== Tekninen toteutus ==
Rivi 30 ⟶ 26:
 
== Oikeudellinen asema ==
Suomessa tulisäädettiin vuonna [[1999]] voimaan [[laki sähköisestä allekirjoituksesta]], jonka mukaan [[Euroopan unioni]]n [[laatuvarmenne|laatuvarmenteen]] kriteerit täyttävällä varmenteella tehty digitaalinen allekirjoitus on ''vähintään yhtä pätevä kuin perinteinenkin''{{lähde}}. Käytännössä tällä hetkellä ainoa vaatimukset täyttävä Suomessa saatavilla oleva varmenne on väestörekisterikeskuksenpoliisin myöntämällä sirullisella [[Henkilökortti|henkilökortilla]], jonka saa poliisilta.
 
Laki sähköisestä asioinnista antaa oikeudellisen suojan asioida, käydä kauppaa ja tarjota palveluita Internetissä. Jos tapahtuman yksi osapuoli myöhemmin yrittää kiistää tehneensä osuutensa tapahtumaan, on kaikella{{selvennä}} normaali lain suoja, joka on tarvittaessa ratkaistavissa tuomioistuimissa.
 
== Kritiikki ja riskit==
Digitaalisen allekirjoitusjärjestelmän luotettavuutta epäillään laajasti. Osa kritiikistä on perusteltua ja sen riskit hallittavissa, osa on pelkkää tiedon puutetta ja perusteetonta epäluuloa. Järjestelmä vaatii toimiakseen [[Luotettava tietojenkäsittely|luotettavan tietojärjestelmän]], jonka tietoturvaa ei ole murrettu. Käyttäjän tietokoneella ei siis saa olla haittaohjelmaa joka voisi salakuunnella käyttäjän salasanan tai PIN-koodin, kopioida salaiset avaimet ja jopa tehdä luvattomia allekirjoituksia henkilöllisyyden oikean omistajan nimissä.
Digitaalista allekirjoitusjärjestelmää on aina kritisoitu sen luotettavuudesta. Osa kritiikistä on perusteltua ja sen riskit hallittavissa, osa on pelkkää tiedon puutetta ja perusteettomia väitteitä{{selvennä|eli mikä osa on tämmöistä?}}.
 
Järjestelmä vaatii toimiakseen [[Luotettava tietojenkäsittely|luotettavan tietojärjestelmän]], jonka tietoturvaa ei ole murrettu. Käyttäjän tietokoneella ei siis saa olla haittaohjelmaa joka voisi salakuunnella käyttäjän salasanan tai PIN-koodin, kopioida salaiset avaimet ja jopa tehdä luvattomia allekirjoituksia henkilöllisyyden oikean omistajan nimissä.
 
'''Salaisten avaimien kopiointi''' on yleensä estetty tallentamalla ne fyysiselle, elektroniselle [[sirukortti|sirukortille]] joissa suora pääsy avaimiin on yleensä estetty, jopa kortin oikealta omistajalta. Sallittua on vain kortilla tehtävät allekirjoitustapahtumat sitä varten tehtyä rajapintaa käyttäen. Koska kopiointi on estetty, ainoa tapa saada salaiset avaimet haltuunsa on päästä niihin käsiksi fyysisesti, joka ei ole tietoverkossa mahdollista.
 
'''PIN-koodin salakuuntelu voidaan estää''' käyttämällä älykorttia tai vastaavaa elektronista tallennusvälinettä ja syöttämällä koodi kortinlukijan tai laitteen omalla näppämistöllä. Tietokoneesta vastaanotetaan pelkkä allekirjoitettava tiiviste lukijalaitteeseen ja takaisin annetaan allekirjoitettu vastaus. Tällöin PIN-numero ei altistu missään vaiheessa haittaohjelmien luettavaksi ja laitteiston käyttäjä havaitsee ylimääräiset allekirjoituspyynnöt, koska ei ole itse aloittanut tapahtumia. Omalla näppäimistöllä varustettujen laitteiden elektroniikka ja ohjelmistot ovat niin rajoittuneita, että niihin ei voi tunkeutua haittaohjelmilla.
 
'''Haittaohjelmasta saastuneiden ohjelmien''' tapauksessa käyttäjä harhautetaan allekirjoittamaan muuta mitä hänelle ruudulla esitetään ja tosiasiallisesti järjestelmässä allekirjoitetaan petos uhrin varmenteella. Käytännössä riski on minimoitu tapahtumakohtaisilla rajoituksilla, jolloin esimerkiksi väärän maksutapahtuman aiheuttama vahinko ei aiheuta isoa vahinkoa ja ympäristön saastuminen paljastuu sen käyttäjille.
Rivi 47 ⟶ 41:
'''Takaportti''' on järjestelmän eri osien valmistajien sisään rakentama heikkous jolla yksi tai useampi heistä voi murtaa allekirjoituksen tietoturvan ja luoda halutessaan väärennettyjä tapahtumia. Koko PKI-järjestelmän turvallisuus perustuu sen osien valmistajien ja varmenteiden takaajien luotettavuuteen. Jos tätä luottosuhdetta ei ole, luotettavan järjestelmän kriteeri ei täyty, eikä sitä voi korjata.
 
Ylläolevat riskit ovat teoriassa mahdollisia ja niitä vastaan voi suojautua mainituilla tavoilla. Käytännössä digitaalisen allekirjoituksen käyttöönotto on iso parannus nykyiseen, esimerkiksi pankkitunnuksilla (''OTP, one time password'') tapahtuviin tapahtumien varmentamiseen, missä ei nykyään käytetä mitään edellä mainittuja suojauksia vaan ne ovat käytännössä pelkkiä salasanoja. Kaikki mainitut riskit liittyvät myös niiden käyttöön. Pankkitunnusten kopioinnilla tehdyistä väärinkäytöksistä on vuosittain lukuisia uutisia, joissa niidenväärinkäytöksissä uhri ei ole yleensä ymmärtänyt joutuneensa petoksen kohteeksi. Kaikkiuseimmat pankkitunnuksilla tehdyt petokset olisivat käytännössä jääneet tekemättä, jos olisi käyttämälläkäytetty henkilökorttia.
 
== Katso myös ==
Noudettu kohteesta ”https://fi.wikipedia.org/wiki/Sähköinen_allekirjoitus