Kirjoittaja Aihe: sähköisesti piirretty allekirjoitus  (Luettu 1282 kertaa)

AimoE

  • Käyttäjä
  • Viestejä: 2782
    • Profiili
sähköisesti piirretty allekirjoitus
« : 24.08.22 - klo:19.07 »
Jäi kaivelemaan eräs tilanne tänä kesänä. Jouduin asioimaan minulle vieraassa pankissa, ja osana asiointia minulta pyydettiin sähköistä allekirjoitusta laitteella, johon kuuluu piirtotaso ja sähköinen kynä. Onhan tuota tullut nähtyä myöskin asiamiespostissa, paketteja hakiessa, mutta en oikein mitenkään käsitä, miksi joku pankki käyttäisi sellaista yhtikäs mihinkään. Nyt kun tajusin että digitaalinen henkilöllisyys on tulossa – jos eduskunta suo – jo ensi vuoden alusta, niin aloin uudelleen miettiä tuon allekirjoituslaitteen painoarvoa.

Nettiä selatessa törmää usein kyseisiä laitteita myyvien firmojen väitteeseen, että "se on ihan laillinen allekirjoitus". Juu, onhan se laillista piirrellä mitä vaan, mutta onko tuolla tekniikalla tehty allekirjoitus on laillisesti sitova?

Vaikka kuinka luen EU:n eIDAS-asetuksen artikloja ja liitteitä ja niitä nettisivuja jotka sitä selittävät direktiiviä mikä mistäkin näkökulmasta, niin aina päädyn siihen johtopäätökseen, että allekirjoituksen piirtäminen sähköisesti kuuluu alimpaan eli SES-luokkaan. Sitä vahvempi on AdES, josta esimerkki on mobiilivarmenne, ja sitäkin vahvempi on QES, eli EU:n valvontaelimen hyväksymän luottamuspalvelun varmentamalla varmenteella tehty allekirjoitus. Suomessa vain henkilökortin sirulla tehty tunnistus on QES-luokassa (EU:n kannalta vain teknisesti, notifikaatiomokan takia, mutta se nyt on sivuraide).

Pointti on kumminkin se, että vain henkilökortilla tehty allekirjoitus rinnastetaan musteella paperille kirjoitettuun allekirjoitukseen. Kaikki lait eivät edes ole pysyneet kelkassa, minkä takia meillä on edelleen lakeja, jotka vaativat mustetta paperille (esimerkiksi perunkirjoituksessa).

Mutta koska direktiivin teksti on laadittu mahdollisimman teknologiariippumattomasti, en voi olla ihan satavarma, miten se soveltuu mihinkin teknologiaan. Onko täällä joku keksinyt millä perusteella laite, jolla käsin piirretään allekirjoitus, voisi nousta AdES-luokkaan? Esimerkiksi miten varmistetaan allekirjoituksen kertakäyttöisyys? Käytetäänkö piirroksen sisältävää bittimössöä salaisena avaimena, vai onko piirros vain koriste kokonaisuudessa, joka digitaalisesti allekirjoitetaan pankin tms. varmenteella, vai mikä juju siinä on?

Joka kerta kun laite työnnetään nenän eteen, tekee mieli kysyä sen luokitusta, mutta eihän asiakaspalvelijoita sovi sellaisella kiusata.