Blogi | Tietosi.fi

Asiantuntija-artikkeleita ajankohtaisista tietosuoja-asioista

Turvaposti käytännön työvälineenä: Turvaposti vai sähköinen allekirjoitus?

3. toukokuuta 2019

Allekirjoitus

Dokumenttien sähköinen allekirjoitus on arkipäiväistynyt nopeasti. Perustan sähköiselle allekirjoitukselle antaa laki, ja odotettavissa on, että paperille käsin tehdyt allekirjoitukset poistuvat hiljalleen käytöstä kuin käteinen raha.

Sähköisiä allekirjoitusmenetelmiä on eritasoisia ja palveluntarjoajia lukuisia, mutta tietoturvan puolesta allekirjoitukselle on kaksi olennaista vaatimusta:

  • allekirjoittaja on vahvasti tunnistettu
  • allekirjoitettu asiakirja on kiistämätön, sen muuttaminen voidaan havaita

Koska allekirjoituspalveluita käytetään salattujen HTTPS-yhteyksien välityksellä ja dokumenttiin pääsyyn voidaan edellyttää tunnistautumista, eikö palveluun ladattu dokumentti ja tästä lähetetty ilmoitusviesti käytännössä vastaa turvapostia?

Vastaus kysymykseen riippuu siitä, mitä tarvitset:

  • Suojatun sähköisen viestintäkanavan
  • Vahvasti tunnistetun, kiistämättömän allekirjoituksen
  • Näiden yhdistelmän: Suojatun viestinnän vain vahvasti tunnistetulle käyttäjälle

Suojattu viestintäkanava ≠ vahvasti tunnistettu allekirjoitus

Suojattu viestintä tarkoittaa viestinnän luottamuksellisuuden turvaamista. Viestin sisällön salaus ja osapuolten tunnistaminen ennen viestin avaamista ovat menetelmiä tätä varten. Suojattu kanava ei mahdollista viestin välittämistä tai tietojen säilyttämistä salaamattomana. Tarkoitus on, että tiedot eivät saa päästä vääriin käsiin, ei edes palveluntarjoajalle. Suojattu viestintäkanava tallentaa audit trail -tietona vastaanottokuittauksen viestin avaamisesta lähettäjää varten.

Sähköisissä allekirjoituspalveluissa tavoitteena ei ole viestinnän luottamuksellisuus vaan laillisesti pätevä allekirjoitus. Palvelu voi esimerkiksi sallia allekirjoitetun asiakirjan lähettämisen tavallisella sähköpostilla eteenpäin. Osapuolten tunnistaminen ennen asiakirjan näyttämistä ei ole yhtä olennaista kuin allekirjoittajan tunnistaminen. Allekirjoitus on kuitenkin varma tapa saada asiakirjaan kuin asiakirjaan vastaanottokuittaus.

Korkein tietosuoja: Suojattu kanava, joka edellyttää vahvaa tunnistautumista

Korkein tietosuojan taso saadaan yhdistämällä salattu viestintä ja vahva tunnistautuminen ennen viestin avaamista. Tällöin taataan viestinnän yksityisyys sekä osapuolten luotettava tunnistaminen ja saadaan automaattinen kuittaus viestin avaamisesta. 

Huomattava kuitenkin on, että automaattisessa vastaanottokuittauksessa ei ole kyse laillisesti pätevästä allekirjoituksesta, koska vastaanottajalla ei ole ollut mahdollisuutta perehtyä asiakirjaan. Vahva tunnistautuminen ennen viestin avaamista edellyttää myös vastaanottajan yksilöivän tunnisteen tietämistä, Suomessa siis henkilötunnusta, joka toimii TUPAS-tunnistautumisessa ja mobiilivarmenteessa henkilön tunnisteena.

PS. Kannattaa lukea myös aiempi blogikirjoitukseni samasta aiheesta: Turvaposti käytännön työvälineenä: Milloin lähetän turvapostia ja milloin tavallista sähköpostia?

 

Mika Kukkonen

Mika Kukkonen on osakas ja operatiivinen johtaja Tietosi.fi -palvelua kehittävässä eTaika Oy:ssä. Mikalla on pitkä kokemus ohjelmistoalalla HR-sovellusten kehittämisestä ja henkilötietojen käsittelystä B2B-asiakasrajapinnassa.
LinkedInTwitter