Sähköinen allekirjoitus
Sähköinen allekirjoitus on sopimuksen sähköinen tallennus.
Sopimuksia on käytetty pitkään osoittamaan, että kaksi osapuolta on sopinut jostakin asiasta. Usein osapuolet laativat sitten asiakirjan, jonka molemmat allekirjoittavat osoittaakseen sopimuksen. Internetin aikakaudella monet näistä asiakirjoista toimitetaan digitaalisessa muodossa, mutta sopimuksen osoittaminen on edelleen tarpeen. Tässä kohtaa sähköinen allekirjoitus tulee kyseeseen.
Itse sähköisen sgnatuurin käsite ei ole uusi. Common law -oikeudenkäyttöalueilla on tunnustettu sähkeellä allekirjoitetut allekirjoitukset jo 1800-luvun puolivälistä lähtien ja faksilla allekirjoitetut allekirjoitukset 1980-luvulta lähtien.
Sähköisiä allekirjoituksia on olemassa eri muodoissa. Kaikissa muodoissa voidaan osoittaa, että joku on hyväksynyt jotakin. Joillakin lomakkeilla voidaan myös suojata tiedot, joihin henkilö on suostunut, siltä, että niitä ei voida helposti muuttaa, tai niillä voidaan laillisesti tunnistaa henkilö, joka on suostunut. Tähän käytetään julkisen avaimen salauksen ideoita: digitaalisia allekirjoituksia, varmenteita ja hash-koodeja. Sähköinen allekirjoitus sisältää usein aikaleiman, joka osoittaa, milloin allekirjoitus on tehty. Sähköisiä allekirjoituksia voidaan käyttää kryptografian tavoin kaikenlaiseen dataan, eikä allekirjoitetun datan tarvitse olla tietyssä muodossa.
Vaikka salakirjoitusta käytetäänkin usein, termillä sähköinen allekirjoitus on oikeudellinen merkitys. Tämä eroaa kryptografiassa käytetystä teknisestä termistä digitaalinen allekirjoitus. Monet maat ovat antaneet säännöksiä, joiden mukaan jotkin sähköiset allekirjoitukset vastaavat monissa tapauksissa käsin kirjoitettua allekirjoitusta.
Sähköinen allekirjoitus voidaan tehdä eri tavoin. Monissa maissa on standardeja siitä, miltä tällaisen allekirjoituksen on näytettävä. Esimerkkejä tällaisista säännöksistä ovat eIDAS Euroopan unionissa, NIST-DSS Yhdysvalloissa tai ZertES Sveitsissä.
Erilaiset sähköiset allekirjoitukset
| Sähköinen allekirjoitus | Kehittynyt sähköinen allekirjoitus | Hyväksytty sähköinen allekirjoitus | |
| Turvallisuuden taso | alhainen | korkea | erittäin korkea |
| Esimerkki | Sähköpostiviesti, jossa mainitaan viestin kirjoittajan nimi. | Sähköposti, jossa on digitaalinen allekirjoitus | sähköinen posti, jossa on varmenne, joka edellyttää henkilöllisyyden tarkistamista. Varmenne on yleensä tallennettu älykortille, ja postin lukeminen edellyttää älykorttia. Lisäksi älykortilla olevat tiedot suojataan esimerkiksi salasanalla tai biometrisillä tiedoilla. |
| viestin muutos voidaan havaita | ei | kyllä | kyllä |
| allekirjoittaja voidaan laillisesti tunnistaa | ei | ei | kyllä |
| vastaa oikeudellisesti käsinkirjoitettua allekirjoitusta | ei | joissakin tapauksissa | kyllä |
Asiakirjan allekirjoittaminen ja digitaalisen allekirjoituksen tarkistaminen
Kehittynyt sähköinen allekirjoitus
Jotta sähköistä allekirjoitusta voidaan pitää edistyneenä, sen on täytettävä seuraavat vaatimukset:
- Allekirjoittaja voidaan tunnistaa yksiselitteisesti ja yhdistää allekirjoitukseen.
- Allekirjoittajalla on oltava yksinomainen määräysvalta sähköisen allekirjoituksen luomisessa käytettyihin allekirjoituksen luontitietoihin (yleensä yksityinen avain).
- Allekirjoituksesta on voitava tunnistaa, onko sen mukana olevia tietoja muutettu viestin allekirjoittamisen jälkeen.
- Jos liitetietoja on muutettu, allekirjoitus on mitätöitävä.
Hyväksytty sähköinen allekirjoitus
Hyväksytty sähköinen allekirjoitus on sähköinen allekirjoitus, joka on EU:n asetuksen (EU) N:o 910/2014 (eIDAS-asetus) mukainen Euroopan sisämarkkinoilla toteutettavien sähköisten liiketoimien osalta. Sen avulla voidaan todentaa ilmoituksen laatija sähköisessä tietojenvaihdossa pitkien ajanjaksojen ajan. Hyväksyttyjä sähköisiä allekirjoituksia voidaan pitää käsinkirjoitettuja allekirjoituksia vastaavina digitaalisina.
Hyväksytyissä sähköisissä allekirjoituksissa käytetään digitaalisia varmenteita, joita myöntävät akkreditoidut varmentajat. Varmenne ja avain säilytetään turvallisesti, yleensä älykortilla. Käyttäjän on tunnistauduttava, yleensä salasanalla tai biometrisillä tiedoilla, jotta hän pääsee käsiksi älykortilla oleviin tietoihin. Varmentaja tarkistaa myös, että käyttäjä on se, joka hän väittää olevansa, yleensä vertaamalla sitä viralliseen, valtion myöntämään asiakirjaan.
Kohdassa "kehittynyt sähköinen allekirjoitus" lueteltujen seikkojen lisäksi pätevä sähköinen allekirjoitus osoittaa allekirjoittajan oikeudellisesti viranomaisten edessä.
Kysymyksiä ja vastauksia
K: Mikä on elektroninen allekirjoitus?
V: Sähköinen allekirjoitus on kahden osapuolen välisen sopimuksen sähköinen tallennus, jota käytetään osoittamaan, että molemmat ovat samaa mieltä jostakin asiasta.
K: Kuinka kauan sähköisiä allekirjoituksia on ollut olemassa?
V: Sähköiset allekirjoitukset on tunnustettu 1800-luvun puolivälistä lähtien common law -oikeudellisilla alueilla ja faksilla tehdyt allekirjoitukset 1980-luvulta lähtien.
K: Millä tavoin sähköinen allekirjoitus voidaan tehdä?
V: Sähköisessä allekirjoituksessa voidaan käyttää digitaalisia allekirjoituksia, varmenteita ja julkisen avaimen kryptografiaan perustuvia hash-koodeja tietojen suojaamiseksi tai sopimuksen tehneen henkilön tunnistamiseksi oikeudellisesti. Se sisältää usein myös aikaleiman, josta käy ilmi, milloin se on tehty.
K: Onko sähköisellä allekirjoituksella allekirjoitetuissa tiedoissa käytettävä tiettyä muotoa?
V: Ei, allekirjoitetuilla tiedoilla ei tarvitse olla tiettyä muotoa - sitä voidaan käyttää kaikenlaisiin tietoihin.
K: Mitä "sähköinen allekirjoitus" tarkoittaa oikeudellisesti?
V: Oikeudellisesti "sähköisellä allekirjoituksella" on eri merkitys kuin salakirjoituksessa käytetyllä teknisellä termillä "digitaalinen allekirjoitus". Monissa maissa tietyntyyppisiä sähköisiä allekirjoituksia pidetään oikeudellisesti käsin kirjoitettuja allekirjoituksia vastaavina.
K: Onko olemassa standardeja siitä, miltä sähköisen allekirjoituksen pitäisi näyttää?
V: Kyllä, monissa maissa on standardeja siitä, miltä sähköisen allekirjoituksen on näytettävä. Esimerkkejä ovat eIDAS Euroopan unionissa, NIST-DSS Yhdysvalloissa tai ZertES Sveitsissä.
