eIDAS ja sähköisten allekirjoitusten vallankumous
Sähköinen allekirjoittaminen on tullut osaksi jokapäiväistä liiketoimintaa ja viranomaistoimintaa. Tarjolla on kuitenkin laaja kirjo eri vahvuisia allekirjoituspalveluja. Miten niiden teknisistä yksityiskohdista ottaa selvää ja miten voi varmistua siitä, että tulee käyttäneeksi juuri itselleen sopivaa ja oikeudellisesti pätevää palvelua?
EIDAS-asetus (EU 910/2014) on Euroopan unionin lainsäädäntö, joka määrittelee sähköisen tunnistamisen ja luottamuspalveluiden vaatimukset. Asetus ei kuitenkaan ota kantaa siihen, minkä tasoista allekirjoitusta missäkin tilanteessa tulee käyttää.
Tärkeä periaate on, että hyväksytty sähköinen allekirjoitus rinnastetaan käsintehtyyn allekirjoitukseen. Allekirjoittaminen digitalisoituu kuitenkin vauhdilla ja sähköinen allekirjoittaminen on tullut jäädäkseen sekä muodostunut toimialanormiksi. Vuoden 2024 eIDAS-muutokset vain vahvistavat tätä kehitystä pakottamalla suuret yritykset hyväksymään sähköiset allekirjoitukset. Tälläkin hetkellä suuri osa organisaatioista suosii sähköisesti allekirjoitettuja sopimusasiakirjoja ja organisaatiot voivat pääsääntöisesti itse määritellä kuinka vahvoja allekirjoituksia he haluavat hyödyntää sopimuksissaan. Suomessa ja muissa pohjoismaissa vallitsee sopimus- ja muotovapaus, mikä tarkoittaa joustavuutta allekirjoittamisessa. Tahdonilmaisu voidaan tehdä vapaamuotoisesti - esimerkiksi pankki- tai mobiilitunnisteilla.
Kolme juridista allekirjoitustasoa eIDAS-asetuksen mukaan
eIDAS-asetus määrittelee kolme eri juridista allekirjoitustasoa, jotka tarjoavat erilaista oikeudellista turvaa:
1. Sähköinen allekirjoitus (perus)
- Sähköisessä muodossa oleva tieto allekirjoittamiseen
- Esimerkki: sähköpostin loppuun kirjoitettu nimi
- Juridisesti pätevä, mutta heikoin todistusvoima
- Todistustaakka allekirjoituksen aitoudesta jää allekirjoittajalle
2. Kehittynyt sähköinen allekirjoitus
- Liittyy yksilöivästi allekirjoittajaan
- Varmentaa sekä asiakirjan sisällön että allekirjoittajan henkilöllisyyden
- Havaitsee jälkikäteen tehdyt muutokset tai väärentämisen
- Esimerkki: mobiilivarmenteella tai pankkitunnuksilla tehty allekirjoitus
- Vahvempi juridinen asema kuin perusallekirjoitus
3. Hyväksytty sähköinen allekirjoitus
- Korkein mahdollinen taso
- Edellyttää eIDAS-hyväksyttyä varmennetta ja turvallista allekirjoitusvälinettä (QSCD)
- Olettama aitoudesta: katsotaan lähtökohtaisesti aidoksi kunnes toisin todistetaan
- Sama oikeudellinen vaikutus kuin käsinkirjoitetulla allekirjoituksella
- Esimerkki: DVV:n varmennekortin allekirjoitusvarmenne
Sähköisen allekirjoituksen viisi teknistä statusta
Sähköisen allekirjoituksen tekniset ominaisuudet kuvataan viiden eri statuksen avulla, jotka kertovat allekirjoituksen teknisestä laadusta:
| Tekninen status | Kuvaus | Vaikutus juridiseen tasoon |
| PAdES_BASELINE_LT (pitkäaikainen) | PDF Advanced Electronic Signatures -standardi, Long Term -validointitiedoilla | Hyvä tekninen toteutus |
| Asiakirjaa ei ole muutettu | Kryptografinen eheys säilynyt, hash-arvot täsmäävät | Välttämätön kaikille tasoille |
| DVV:n luottama | Suomen virallisen Certificate Authority:n myöntämä varmenne | Vaaditaan hyväksytylle allekirjoitukselle |
| EU-hyväksytty varmenne | Täyttää eIDAS-asetuksen "Qualified Certificate" -vaatimukset | Vaaditaan hyväksytylle allekirjoitukselle |
| QSCD-turvalaitteessa | Allekirjoitusavain älykortin, HSM-laitteen tai muun sertifioidun turvallaitteen suojassa | Vaaditaan hyväksytylle allekirjoitukselle |
Tarkemmat selitteet teknisille vaatimuksille
PAdES on eurooppalainen standardi (ETSI EN 319 142), joka määrittelee miten sähköisiä allekirjoituksia tehdään PDF-dokumentteihin turvallisesti.
Long Term (LT) -validointitiedot tarkoittaa, että allekirjoitukseen sisällytetään:
- Varmenteiden ketju allekirjoitushetkeltä
- Peruutuslistat (CRL) tai OCSP-vastaukset
- Aikaleimoja todistamaan allekirjoitushetki
- Validointitiedot, jotka mahdollistavat allekirjoituksen tarkistamisen myös tulevaisuudessa
Näiden ansiosta allekirjoitus pysyy validoitavana, vaikka alkuperäiset varmenteet vanhenisivat tai peruutettaisiin myöhemmin.
Hash-arvo on matemaattinen “sormenjälki” dokumentista:
- Lasketaan koko dokumentin sisällöstä kryptografisella algoritmilla (esim. SHA-256)
- Pienikin muutos dokumentissa muuttaa hash-arvon täysin
- Allekirjoitettaessa hash-arvo salataan yksityisellä avaimella
Kryptografisen eheyden säilyminen tarkoittaa:
- Dokumentin nykyinen hash-arvo täsmää allekirjoituksessa tallennetun kanssa
- Todistaa, että dokumenttia ei ole muutettu allekirjoittamisen jälkeen
- Mahdollistaa väärentämisen ja tahallisen muuttamisen havaitsemisen
Digi- ja väestötietovirasto (DVV) on Suomen virallinen varmentaja:
- Valtion viranomainen, joka myöntää virallisia sähköisiä varmenteita
- Ylläpitää kansallista varmenneinfrastruktuuria
- Myöntää henkilö- ja organisaatiokorttien allekirjoitusvarmenteita
- Varmistaa varmenteiden haltijan henkilöllisyyden tiukoin menettelyin
DVV:n luottama varmenne takaa:
- Korkeimman mahdollisen henkilöllisyyden todentamisen tason
- Suomalaisten viranomaisten täyden hyväksynnän
- Kansainvälisen luottamuksen EU-alueella
Qualified Certificate on eIDAS-asetuksen määrittelemä korkein varmennetaso:
- Myönnetään vain hyväksytyissä todentamispalveluissa
- Varmenteen myöntäjä on läpäissyt EU-akkreditoidun arviointilaitoksen arvioinnin
- Sisältää tiukat tekniset ja hallinnolliset vaatimukset:
- Henkilöllisyyden todentaminen kasvotusten tai vastaavalla menetelmällä
- Varmenteiden tekninen laatu ja turvallisuus
- Jatkuva valvonta ja auditointi
QSCD on sertifioitu turvalaite allekirjoitusavainten suojaamiseen:
Älykortti:
- Mikroprosessorikortti, jossa avaimet ovat suojassa fyysisesti
- Avaimia ei voi kopioida tai lukea kortilta
- PIN-koodi suojaa väärinkäytöltä
HSM-laite (Hardware Security Module):
- Erityinen kryptografinen laitteisto
- Käytetään usein organisaatioissa
- Korkein mahdollinen fyysinen ja looginen suojaus
Sertifioinnin vaatimukset:
- Laitteen on kestettävä fyysisiä hyökkäyksiä
- Avainten on pysyttävä laitteen sisällä koko elinkaaren ajan
- Laite hävittää avaimet fyysisen tamperoinnin havaitsemisen jälkeen
- Common Criteria EAL4+ -tason turvallisuussertifiointi
DOKS-palvelun sähköinen allekirjoitus
DOKS-palvelu tarjoaa kehittyneen sähköisen allekirjoituksen, joka täyttää korkeat tekniset ja juridiset vaatimukset. Palvelumme kattaa 4 viidestä teknisestä statuksesta, mikä erottaa sen monista muista allekirjoituspalveluista – useat muut palvelut eivät saavuta näin korkeaa teknistä tasoa. Palvelumme tarjoaa:
- PAdES_BASELINE_LT (pitkäaikainen) – eurooppalaisen standardin mukaisen allekirjoituksen
- Asiakirjan eheyden varmistamisen – dokumenttia ei ole muutettu allekirjoittamisen jälkeen
- DVV:n luottaman varmenteen – Suomen virallisen Certificate Authority:n tunnustaman allekirjoituksen
- EU-hyväksytyn varmenteen – eIDAS-asetuksen vaatimusten mukaisen allekirjoituksen
DOKS:n kehittynyt sähköinen allekirjoitus on juridisesti vahva ja laajalti hyväksytty ratkaisu, joka yhdistää käyttöhelppouden ja oikeudellisen turvallisuuden. Käytännössä todistusvoima on vahva ja riittävä useimpiin tarkoituksiin.
Sähköisen allekirjoituksen luotettavuuden tarkistaminen
Voit aina tarkastaa sähköisesti allekirjoittamasi asiakirjan tason ja teknisen laadun Digi- ja väestötietoviraston validaattorista: https://dvv.fineid.fi/validation Validaattori näyttää sekä juridiset tasot että tekniset statukset, jolloin saat kattavan kuvan allekirjoituksesi luotettavuudesta.
DOKS-palvelu mahdollistaa turvallisen sähköisen allekirjoittamisen, joka täyttää sekä tekniset että juridiset vaatimukset modernissa digitaalisessa liiketoimintaympäristössä.
