Kirjoittaja Aihe: Sähköinen tunnistaminen  (Luettu 10643 kertaa)

AimoE

  • Käyttäjä
  • Viestejä: 2707
    • Profiili
Sähköinen tunnistaminen
« : 18.01.17 - klo:20.31 »
Jännä juttu miten vähän sähköisen tunnistamisen uudistuksesta on julkisuudessa näkynyt tietoa. On kyllä huomattu Nordean tunnuslukusovellus ja että henkilökorttiin tulee 1.1.2017 alkaen NFC-siru, mutta vähemmälle huomiolle on jäänyt paljon suurempi uudistus, EU:n laajuinen hanke, johon kaikki näennäisen erilliset, pienet muutokset liittyvät.

Tässä kokoelma linkkejä lähteisiin joista käy edes jotenkin ilmi missä mennään ja mihin pyritään. Olen näitä keräillyt tässä viime aikoina.

eIDAS-asetus vaatii että kansalaiset voivat viimeistään syksyllä 2018 kirjautua toisten EU-maiden julkis­hallinnon palveluihin (kuten koulutus, verotus ja sairaan­hoito) oman maansa sähköisillä tunnistautumis­välineillä. Tämä vaatii EU:n laajuisen luottamus­verkoston, jossa kansallisesti käytössä olevien tunnistus­välineet hyväksytään ristiin rajojen yli, ja kansallisten tunnistus­välitys­palveluiden federoinnin EU:n laajuisesti.

Tähän tähdäten sähköistä tunnistamista ja sähköisiä luottamuspalveluita koskevaan lakiin on lisätty siirtymäsäännös, jonka nojalla vahvaa sähköistä tunnistus­välinettä kuten pankki­tunnuksia tai mobiili­varmenteita haettaessa ajo­kortti ei kelpaa tunnistus­asia­kirjaksi enää vuodesta 2019 alkaen, vaan henkilöllisyys on osoitettava passilla tai virallisella henkilö­kortilla.

Varsinainen kansallisen luottamus­verkoston luominen käynnistyy vappuna 2017. Vasta kun verkoston toiminta käynnistyy, ja nähdään millaisia toimijoita sen piiriin syntyy markkina­ehtoisesti, VRK kilpailuttaa tunnistamisen sopimukset verkoston välitys­palveluilta ja tekee sopimukset pankkien ja operaattoreiden kanssa keskitetysti, eikä kuntien ja valtion virastojen enää tarvitse tehdä omia erillisiä sopimuksia. (Nythän pankkien Tupas-tunnistus vaatii että palvelun tarjoaja tekee sopimuksen joka ikisen pankin kanssa erikseen, mutta puhelin­operaattoreilla on jo keskenäinen luottamus­verkko, joten mobiili­varmenne vaatii sopimuksen vain yhden operaattorin kanssa ja Vetuma-tunnistus lisäksi VRK:n kanssa.) Henkilö­kortin, mobiili­varmenteen ja pankki­tunnusten rinnalle tai tilalle voi ilmaantua uusia ratkaisuja, kuten esimerkiksi Nordean näpletti­sovellus ja tunnus­luku­laite. Pahviset tunnuslukukortit eivät kelpaa EU:n luottamusverkkoon.

Lopuksi muutama poiminta KaPA-hankkeen viestintäkanavalta:

Suomen kansallinen palveluväylä ja Viron X-Tee-palveluväylä liitetään yhteen (30.9.2016)

Viron ja Suomen hyödyntämän X-Roadin keskuskomponenttien lähdekoodit julkaistu (3.10.2016)

Kansalaisen asiointitili korvautuu uudella palvelulla kevään 2017 aikana (27.10.2016)
* Viesti oli niin huonosti muotoiltu että sitä piti sitten vielä selitellä: Viranomaispostin saa paperikirjeinä jatkossakin (19.11.2016)

Sähköinen puolesta-asiointi käyttöön julkishallinnossa – Kela, Vero, Tekes ja Hyvis.fi ensimmäisinä (1.11.2016)
* Paitsi että vero­hallinto ottikin valtuutuksen käyttöön Katso-palvelussa, siirtymättä Suomi.fi-tunnistukseen (kuten kela.fi, kanta.fi ja te-palvelut.fi syksyllä 2016).

Kela Suomi.fi-tunnistamisen käyttäjäksi (30.11.2016)
* Toimeen­tulo­tuen siirto Kelaan aiheutti tammikuussa 2017 ruuhkan, joka veti Kelan netti­palvelun tukkoon. En voi kuin arvailla kuinka suuri osuus tukoksessa on uudella tunnistautumisella.

Palvelutietovarannon versio 1.3 ja lähdekoodit julkaistaan 15.12.2016 (14.12.2016)

Suomi.fi-tunnistamisen lähdekoodit julkaistu (13.1.2017)

ja pieni kurkistus historiaan:

Suomen ja Espanjan välillä marras­kuussa 2015 valmistunut tunnistautumis­pilotti käytti OpenID Connect/OAuth2-standardiin perustuvaa Mobile Connect -menettelyä.
« Viimeksi muokattu: 18.01.17 - klo:20.36 kirjoittanut AimoE »

AimoE

  • Käyttäjä
  • Viestejä: 2707
    • Profiili
Vs: Sähköinen tunnistaminen
« Vastaus #1 : 08.04.17 - klo:11.52 »
Vilkaisu Skandinaviaan:

Tanskassa on PKI-ratkaisu NemID, joka on julkishallinnon palveluissa lähes pakollinen, eikä sille pankkipuolellakaan löydy kilpailijoita.

Ruotsissa johtava eID-ratkaisu on BankID, jota hallinnoi pankkien yhteinen Finansiell ID-Teknik. Tärkein kilpaileva ratkaisu on Telia E-legitimation, PKI-ratkaisu sekin. Kansalaiset voivat kirjautua julkishallinnon palveluihin kummallakin. Julkishallinnon eIDAS on teknisesti valmis, virastojen pitää vain ottaa se käyttöön.

Norjassa on kaikkien pankkien yhteinen BankID, joka ei ole sama kuin Ruotsissa. Ratkaisun heikkouksia raportoi Weaknesses in BankID, a PKI-Substitute Deployed by Norwegian Banks. Muut ratkaisut (MinID, Commfides, Buypass ID) tarjoavat tunnistuksen ilman pankkiasiakkuutta.

Suomessa pankit olivat ajoissa liikkeellä, mutta etunojan varjossa on jääty jumiin pahvikortteihin, kun muut ovat jo ajaneet ohi. Pahimmin  Suomi on Tanskaan, Ruotsiin ja Norjaan verrattuna jäljessä siinä, että kaikki kauppiaat ja muut palveluntarjoajat joutuvat tekemään Tupas-sopimuksen joka pahuksen pankin kanssa erikseen. On aika mahdotonta kuvitella että pankeilla olisi eID-ratkaisu jolla ei pääse julkishallinnon palveluihin, ja kun pahvikortit eivät enää kelpaa julkishallinnossa, pankkien on luovuttava niistä, viimeistään vuoden 2018 aikana.

Nets E-Ident yhdistää pohjoismaiset pankkitunnukset Islantia lukuun ottamatta, ja on ilmoittautunut suomalaisen tunnistamisen luottamusverkon kilpailutukseen. Tiedote ei kylläkään kerro minkälaista teknistä ratkaisua Nets on tarjoamassa.

Se, että Nets on juuri ostanut OP:n korttitilityspalvelut (joka on pankin palvelu kauppiaille) kertoo siitä että OP ei ole kiinnostunut kehittämään infraa itse vaan osaa infrapalveluita muualta. Nordea tunnuslukusovelluksineen on selvästi eri linjoilla.
« Viimeksi muokattu: 08.04.17 - klo:11.54 kirjoittanut AimoE »

JA5U

  • Käyttäjä
  • Viestejä: 462
    • Profiili
Vs: Sähköinen tunnistaminen
« Vastaus #2 : 08.04.17 - klo:22.17 »
Mielenkiintoinen aihe ja hieno, että joku kaivelee sitä valmiiksi.

Itse olen joskus 5-7 vuotta sitten ihmetellyt näitä ja eipä siitä tolkkua saanut.
Joku northid oli, mutta se kuoli ja kuopattiin 1-2 vuodessa - vaikutti toimivalta.

Se olis kyllä hienoa (ainakin näin verkkopalveluiden parissa työskentelevälle), että olisi joku kustannustehokas ja kaikkien käytettävissä oleva tunnistautuminen.
Olis aika nykyaikaa se.

Nykyään on niin paljon kaikkea koijjariakin liikkeellä, että hidastaisi kenties niitäkin, jos ei estä.

Toisaalta, nykyään myös kaikenlaista tietovuotoa, uutta tietosuojalakia jne., josta yksityisyys ja miksei palvelutkin voi kärsiä.

AimoE

  • Käyttäjä
  • Viestejä: 2707
    • Profiili
Vs: Sähköinen tunnistaminen
« Vastaus #3 : 02.05.17 - klo:15.27 »
Onpa vaikea saada selvää mikä nyt vappuna muuttui. Ylen uutinen kiinnittää huomion hinnoitteluun, muut asiat tulevat esiin vain kautta rantain.

Jos nyt osaan oikein tätä lukea, niin vapusta 2017 alkaen tapahtuu seuraavaa:

I vaihe:

Palvelun­tarjoajat, kuten virastot ja netti­kaupat, eivät enää joudu tekemään tunnistus­palvelusta sopimusta kaikkien pankkien kanssa erikseen, vaan riittää että sopimus tehdään yhden tunnistus­operaattorin kanssa, ja tämä voi olla pankki tai puhelin­operaattori.
 Lisäys: voi se olla myös Väestörekisteri, ainakin periaatteessa.

Kansalaiset eivät aluksi huomaa mitään eroa entiseen; pankki­tunnuksia, mobiili­varmennetta ja henkilö­korttia voi käyttää kuten ennenkin.

II vaihe:

Tunnistus­operaattoreita tulee lisää ja vanhoja putoaa pois. Todennäköisesti kokonais­määrä putoaa aika paljon, kun varsinkin pankit siirtyvät käyttämään yhtä tai muutamaa yhteistä tunnistus­operaattoria.

Kansalaiset siirtyvät käyttämään niitä tunnistautumis­välineitä jotka jäävät jäljelle. Toisin sanoen jos joku pankki katsoo ettei pankin omien pankki­tunnusten ylläpito enää kannata ja tekee sopimuksen jonkun uuden tunnistus­operaattorin kanssa, niin pankin asiakkaat tarvitsevat tämän uuden operaattorin tunnistautumis­välineet.

Väestö­rekisteri­keskus päättää markkina­tilanteen (=kilpailun) pohjalta minkä tunnistus­operaattorin kanssa valtio sopii KaPa-hankkeen tunnistautumis­palveluista. (KaPa = Kansallinen palvelu­väylä), ja henkilö­kortti sitten korvautuu sähköisen tunnistautumisen osalta sillä valitulla ratkaisulla - tai sitten ei, jos Väestörekisterin ratkaisu sittenkin pärjää markkinoilla.

En ole ihan varma menikö arvaus oikein, kun tietoa tihkuu niin nihkeästi.

Edit: VRK-maininnat lisätty.
« Viimeksi muokattu: 02.05.17 - klo:15.33 kirjoittanut AimoE »

AimoE

  • Käyttäjä
  • Viestejä: 2707
    • Profiili
Vs: Sähköinen tunnistaminen
« Vastaus #4 : 16.12.17 - klo:12.04 »
Tilanteen tarkistus vuoden 2017 päättyessä:

Rekisteri tunnistamispalvelun tarjoajista on muuttunut aika paljon. Luettelosta on pudonnut pois pankkeja, kaikkiaan parisen kymmentä (pari on vain vaihtanut nimensä/Y-tunnuksensa). Tilalle on tullut muutama ulkomainen toimija: Fujitsu Finland, josta en saa selvää mitä tarkkaan ottaen Fujitsu tarjoaa, Safran, ranskalainen teollisuusjätti, sekä kaksi norjalaista palvelua (Nets, Signicat), jotka on viritetty lähinnä kauppiaille. Olisin odottanut hieman enemmän näitä kauppiaille tarkoitettuja palveluita, ja muualtakin kuin pohjoismaista. Yhteensä toimijoita on nyt parisen kymmentä; pankit ovat edelleen enemmistönä.

Tunnistaminen.suomi.fi-palvelussa ei ainakaan vielä näy noita ulkomaisia palveluntarjoajia; on vain VRK, mobiilivarmenne ja joukko pankkeja. Mutta onhan tässä vielä aikaa, EIDAS tulee voimaan 2019 mennessä.

AimoE

  • Käyttäjä
  • Viestejä: 2707
    • Profiili
Vs: Sähköinen tunnistaminen
« Vastaus #5 : 18.12.17 - klo:12.35 »
Kappas vaan, luottamusverkon kilpailutus on keskeytynyt korkeiden hintojen takia: http://vrk.fi/artikkeli/-/asset_publisher/vaestorekisterikeskus-keskeyttaa-osittain-vahvan-sahkoisen-tunnistamisen-valityspalvelujen-kilpailutuksen - vain puhelinoperaattorit olivat valmiita, pankit eivät näköjään vielä ole.

AimoE

  • Käyttäjä
  • Viestejä: 2707
    • Profiili
Vs: Sähköinen tunnistaminen
« Vastaus #6 : 21.11.18 - klo:12.03 »
VRK päätyi sitten tekemään sopimuksen pankkien kanssa, ilmeisesti aika välikaikaiselta pohjalta. Nyt VRK paljastaa hieman enemmän markkinoiden jakautumisesta:
Lainaus
Telian kanssa tehdyssä sopimuksessa on sovittu Telian, Elisan ja DNA:n mobiilivarmenteiden sekä Osuuspankin pankkitunnusten välityksestä. Suomalaiset tunnistautuvat Suomi.fi-tunnistuksen kautta satoihin palveluihin vuosittain noin 100 miljoonaa kertaa. Telian välittämät tunnistustapahtumat käsittävät noin 38% Suomi.fi-tunnistautumisista.
Lisäksi tiedotteesta käy ilmi että EIDAS-toteutuksia ei vielä ole ilmaantunut.

Leko

  • Käyttäjä
  • Viestejä: 329
    • Profiili
    • taistop.kapsi.fi
Vs: Sähköinen tunnistaminen
« Vastaus #7 : 21.11.18 - klo:16.27 »
Minä kun olen jostakin syystä kantanut taskussani myös Virolaista henkilökorttia, ID-kaart, sekä pankkikorttia, niin kerronpa vertailun vuoksi kuulumisia.

Verkkopankkiin on noin 4 vuotta kirjauduttu pikku rasiasta saatavilla tunnuksilla eli pankin mobiil-ID:llä tai em. poliisin antamalla  ID-kaartilla. Pahvilappuja ei ole käytetty. ID-kaartin lukulaitteita USB-porttin jaetaan. Viranomaisen sivulta voi ladata ohjelman myös Linuxeihin. Ohjeet ovat lähes hyvät. Viimeksi piti vain itse ymmärtää käyttää chmod-komentoa ennen kuin lähti tulille. Mm. sopimusten allekirjoitus sujuu ilman paperien postissa kuljettamista. 

Saapa nähdä, mitä tuo valtakuntien välinen liikenne tuo tullessaan.


AimoE

  • Käyttäjä
  • Viestejä: 2707
    • Profiili
Vs: Sähköinen tunnistaminen
« Vastaus #9 : 08.03.19 - klo:11.14 »
VRK:n selvitys ehdottaa että varmenne siirretään kännysovellukseen, pois henkilökortilta. Niille jotka eivät halua sitä kännyyn tarjottaisiin USB-tikku. Olen jo pitkään odottanut kännysovellusta joka lukisi varmenteen henkilökortilta NFC:llä (sellainen on ollut koekäytössä), mutta nyt ei näytä että sitä on tarkoituskaan tarjota kansalaisille.

Efraiminpoika

  • Käyttäjä
  • Viestejä: 134
    • Profiili
Vs: Sähköinen tunnistaminen
« Vastaus #10 : 08.03.19 - klo:13.28 »
VRK:n selvitys ehdottaa että varmenne siirretään kännysovellukseen, pois henkilökortilta. Niille jotka eivät halua sitä kännyyn tarjottaisiin USB-tikku. Olen jo pitkään odottanut kännysovellusta joka lukisi varmenteen henkilökortilta NFC:llä (sellainen on ollut koekäytössä), mutta nyt ei näytä että sitä on tarkoituskaan tarjota kansalaisille.

Henkilökortin NFC olisi minustakin tällä hetkellä ollut hyvä ratkaisu. Mutta kun tämä maksuinen sähköinen tunnus halutaan antaa muka 'ilmaiseksi',  vaikka sen saamiseen kuitenkin pitää hankkia henkilökortti tai passi, jotka eivät ole ilmaisia.
Aikaimoista venkoilua ja sekoilua taas VRK:lta. Ei siis vaadita, että ihmisellä pitää olla maksullinen henkilötodistus, mutta kuitenkin sellainen pitää olla koska muuten ei saa ilmaista sähköistä tunnistetta.
Tämä ensimmäinen tunnistaminen poliisilaitoksella ja sen jälkeen sähköistä tunnistetta voi käyttää puhelimella tai usb-tikulla turvallisesti ilman minkäänlaista muuta varmennusta kuin joku PIN-koodi?
On varmaan jonkun mielestä tiukempaa tunnistamista kuin vanha ajokortti. Ohjelmallinen tunnistus millaisessa laitteessa? Huawein Android (=Google) puhelimessako?  Google ainakin saisi paljon uutta tietoa, Huawei ja Kiinakin joidenkin mielestä.
Jotenkin tuntuu, että ollaan vasta kivikaudella näissä sähköisissä jutuissa
Älypuhelin pitänee olla vaan siinä ei NFC:tä, vaikka lähes kaikissa uusissa NFC onkin. Kuinka uusi Android versio ja puhelinmalli? Siis kuinka usein tunniste pitää uusia, kun puhelimeen ei enää turvallisuuspäivityksiä,  jolloin varmenne puhelimessa ei enää tyrvallinen.  Miten varmenne siirretään uuteen puhelimeen turvallisesti.  Googlen kautta vai kuten kaikki muukin oletuksena Androidissa pitää tehdä?

Voi olla, että minulla on vaikeuksia luetun ymmärtämisessä,  mutta näin minä linkin tekstin ymmärsin. Paljon jäi ymmärtämättä. Ei varmaan mitään turhia tietoturva-asiantuntijoita asian tiimoilta kuunneltu, kun päätavoite turvallisen tunnistaumisen kulujen pienentäminen.

tietoliikenneinsinööri vm.1981
current title: senile design engineer (suom. eläkeläisäijä)
previously: senior design engineer
A. Hellaakoski: Tien kulkija tien on vanki. Vapaa on vain umpihanki.

AimoE

  • Käyttäjä
  • Viestejä: 2707
    • Profiili
Vs: Sähköinen tunnistaminen
« Vastaus #11 : 08.03.19 - klo:13.38 »
Niinpä, riippuvuus mobiililaitteiden valmistajista on iso riski. Laite- ja OS-kirjon pitää olla laajempi ja vakaammalla pohjalla kuin nyt. NFC:n osalta käsitykseni on ollut, ettei niitä Applen laitteissa niin kovin paljon ole, mutta olen voinut jäädä kelkasta.

AimoE

  • Käyttäjä
  • Viestejä: 2707
    • Profiili
Vs: Sähköinen tunnistaminen
« Vastaus #12 : 09.03.19 - klo:09.23 »
Tärkein asia johon tiedotteessa viitataan on hinta. Pankeilla on hyvin sekalaiset ratkaisut, ja ne laskuttavat valtiolta siitä ovat juuttuneet vanhoihin ratkaisuihin eivätkä osaa tehdä yhteistyötä keskenään kuten operaattorit, jotka toki aloittivat ratkaisujen haun myöhemmin. Vain pankit vaativat että tunnistautuminen heidän järjestelmiinsä tehdään juuri heidän omalla ratkaisullansa. Olisi kuluttajan kannalta parempi että voisi vapaasti valita mitä tunnistautumismekanismia käyttää.

Kyllä minä näen pankit tässä dinosauruksina jotka jarruttavat kehitystä ja kilpailua. Vai tietääkö joku jotain mikä ei ole vielä tullut esiin?