Sähköinen allekirjoitus — mitä se on ja miten se toimii
Sähköinen allekirjoitus selkokielellä: mitä se on, miten toimii, turvallisuus, lakisääteisyys ja käytännön vinkit digiallekirjoituksiin.
Sähköinen allekirjoitus on sopimuksen sähköinen tallennus. Sähköinen allekirjoitus tarkoittaa käytännössä mitä tahansa sähköisessä muodossa tehtyä hyväksyntää tai suostumusta siihen, mitä asiakirjassa tai datassa sanotaan. Se voi olla yksinkertainen kirjainyhdistelmä, skannattu allekirjoituskuva, tai teknisesti suojattu merkintä, joka liitetään tiedostoon.
Sopimuksia on käytetty pitkään osoittamaan, että kaksi osapuolta on sopinut jostakin asiasta. Usein osapuolet laativat sitten asiakirjan, jonka molemmat allekirjoittavat osoittaakseen sopimuksen. Internetin aikakaudella monet näistä asiakirjoista toimitetaan digitaalisessa muodossa, mutta sopimuksen osoittaminen on edelleen tarpeen. Tässä kohtaa sähköinen allekirjoitus tulee kyseeseen.
Mikä sähköinen allekirjoitus on käytännössä?
Sähköinen allekirjoitus voi olla monenlainen. Yksinkertaisin muoto on esimerkiksi nimi tai tunnusmerkin kirjoittaminen sähköiseen lomakkeeseen tai klikkaus, joka hyväksyy ehdot. Tekninen ja turvallisempi muoto perustuu kuitenkin kryptografiaan: tällöin allekirjoitus tehdään matematiikan avulla, jolloin voidaan osoittaa allekirjoituksen aitous, allekirjoittajan henkilöllisyys ja että allekirjoitettu sisältö ei ole muuttunut.
Huom. Tekstissä esiintyvä ilmaisu sähkeellä allekirjoitetut allekirjoitukset on alkuperäisessä lähdetekstissä kirjoitettu näin; tarkoituksena on viitata aiempiin sähköisiä viestintäkeinoja koskeviin allekirjoitusmuotoihin (esim. teleksillä tai telefaksilla tehdyt allekirjoitukset).
Kuinka sähköinen allekirjoitus toimii teknisesti?
Usein sähköinen allekirjoitus perustuu julkisen avaimen infrastruktuuriin (PKI) ja seuraaviin vaiheisiin:
- Allekirjoittaja luo allekirjoittamastaan sisällöstä tiivistefunktion (hash), joka tiivistää datan lyhyeksi koodiksi.
- Tiiviste salataan allekirjoittajan yksityisellä avaimella — tämä luo varsinaisen digitaalisen allekirjoituksen. Tätä varten tarvitaan luotettavasti suojattu yksityinen avain.
- Vastaanottaja tai varmennuspalvelu käyttää allekirjoittajan julkista avainta purkaakseen allekirjoituksen ja tarkistaakseen, että tiiviste vastaa asiakirjasta laskettua tiivistettä. Näin voidaan todeta, että sisältöä ei ole muutettu ja että allekirjoitus on peräisin kyseisen avaimen haltijalta.
- Usein allekirjoitukseen lisätään aikaleima (timestamp) ja varmentaja(todentaja), jotta voidaan osoittaa, milloin allekirjoitus tehtiin ja oliko allekirjoittajan varmenne tuolloin voimassa.
Vaikka salausta käytetään usein, termillä sähköinen allekirjoitus on oikeudellinen merkitys. Tämä eroaa kryptografiassa käytetystä teknisestä termistä digitaalinen allekirjoitus, joka kuvaa nimenomaan salaustekniikkaa.
Tyyppiesimerkkejä ja luokitukset
- Yksinkertainen sähköinen allekirjoitus: esim. sähköinen nimi, “hyväksyn”-painike tai skannattu käsialateksti. Sopii vähäriskisiin tilanteisiin.
- Edistynyt sähköinen allekirjoitus: sidottu yksilöön, mahdollistaa allekirjoitetun sisällön havaitun muuttelun ja on luotettavasti allekirjoittajan tunnistettavissa. Tekninen toteutus usein PKI-pohjainen.
- Laillisesti pätevä/sertifioitu allekirjoitus (esim. eIDASin mukainen “qualified electronic signature”): vaatii erityisiä varmenteita ja turvallisia avainten hallintaratkaisuja (esim. HSM, älykortti tai luotettu palvelu), ja sille annetaan monissa maissa yhtä suuri oikeusvaikutus kuin käsin allekirjoitetulle paperille.
Oikeudellinen sääntely
Monissa maissa on säädetty lakeja ja standardeja, jotka määrittelevät, millaiset sähköiset allekirjoitukset ovat oikeudellisesti päteviä. Esimerkkejä:
- eIDAS Euroopan unionissa — määrittelee tason “sähköinen allekirjoitus”, “edistynyt sähköinen allekirjoitus” ja “laillisesti pätevä (qualified) sähköinen allekirjoitus”.
- NIST-DSS Yhdysvalloissa — teknisiä suosituksia ja standardeja digitaalisiin allekirjoituksiin ja varmenteisiin liittyen.
- ZertES Sveitsissä — sveitsiläinen sääntely digitaalisten allekirjoitusten pätevyydestä.
Turvallisuus, riskit ja hyvät käytännöt
Sähköiset allekirjoitukset tarjoavat vahvaa todentamista ja muuttumattomuutta, kun ne on toteutettu oikein, mutta riskejä on:
- Yksityisen avaimen vuoto tai varastaminen tekee allekirjoitusten väärentämisestä mahdollista — siksi avaimia säilytetään turvallisesti (HSM, älykortti, suojattu pilvipalvelu).
- Varmenteiden vanheneminen tai peruutus (CRL, OCSP) pitää tarkistaa varmennetta hyväksyttäessä.
- Aikaleimaus on tärkeä todiste allekirjoitusajankohdasta, erityisesti jos varmenteen voimassaolo muuttuu myöhemmin.
Hyviä käytäntöjä ovat mm. kaksivaiheinen tunnistautuminen allekirjoitushetkellä, luotettavien varmennepalveluiden käyttö, allekirjoituslokien säilyttäminen ja dokumentoitu prosessi allekirjoitusavainten hallintaan.
Käyttötapaukset
- Sopimusten allekirjoittaminen sähköisesti (esim. myynti-, työsopimus- tai vuokrasopimukset)
- Asiakirjojen virallinen hyväksyminen julkishallinnossa ja pankkiasioissa
- Koodin allekirjoitus ja ohjelmistopakettien toimitusketjun turvaaminen
- Sähköposti- ja tiedostovarmennus (S/MIME, signatut PDF:t)
- Toimitusketjun dokumenttien ja laskujen sähköinen vahvistaminen
Yhteenveto
Sähköinen allekirjoitus tarjoaa tehokkaan tavan todentaa suostumus ja varmistaa asiakirjan eheys sähköisessä ympäristössä. Teknisesti se voi perustua yksinkertaisiin merkintöihin tai vahvaan kryptografiaan ja varmenteisiin. Oikeudellinen pätevyys riippuu käytetystä menetelmästä ja sovellettavasta sääntelystä — korkean luottamustason varmenteet antavat usein paperiallekirjoituksen veroiset oikeusvaikutukset. Kun sähköisiä allekirjoituksia käytetään oikein, ne nopeuttavat prosesseja, vähentävät paperin tarvetta ja parantavat todentamisen laatua.
Erilaiset sähköiset allekirjoitukset
| Sähköinen allekirjoitus | Kehittynyt sähköinen allekirjoitus | Hyväksytty sähköinen allekirjoitus | |
| Turvallisuuden taso | alhainen | korkea | erittäin korkea |
| Esimerkki | Sähköpostiviesti, jossa mainitaan viestin kirjoittajan nimi. | Sähköposti, jossa on digitaalinen allekirjoitus | sähköinen posti, jossa on varmenne, joka edellyttää henkilöllisyyden tarkistamista. Varmenne on yleensä tallennettu älykortille, ja postin lukeminen edellyttää älykorttia. Lisäksi älykortilla olevat tiedot suojataan esimerkiksi salasanalla tai biometrisillä tiedoilla. |
| viestin muutos voidaan havaita | ei | kyllä | kyllä |
| allekirjoittaja voidaan laillisesti tunnistaa | ei | ei | kyllä |
| vastaa oikeudellisesti käsinkirjoitettua allekirjoitusta | ei | joissakin tapauksissa | kyllä |
Asiakirjan allekirjoittaminen ja digitaalisen allekirjoituksen tarkistaminen
Kehittynyt sähköinen allekirjoitus
Jotta sähköistä allekirjoitusta voidaan pitää edistyneenä, sen on täytettävä seuraavat vaatimukset:
- Allekirjoittaja voidaan tunnistaa yksiselitteisesti ja yhdistää allekirjoitukseen.
- Allekirjoittajalla on oltava yksinomainen määräysvalta sähköisen allekirjoituksen luomisessa käytettyihin allekirjoituksen luontitietoihin (yleensä yksityinen avain).
- Allekirjoituksesta on voitava tunnistaa, onko sen mukana olevia tietoja muutettu viestin allekirjoittamisen jälkeen.
- Jos liitetietoja on muutettu, allekirjoitus on mitätöitävä.
Hyväksytty sähköinen allekirjoitus
Hyväksytty sähköinen allekirjoitus on sähköinen allekirjoitus, joka on EU:n asetuksen (EU) N:o 910/2014 (eIDAS-asetus) mukainen Euroopan sisämarkkinoilla toteutettavien sähköisten liiketoimien osalta. Sen avulla voidaan todentaa ilmoituksen laatija sähköisessä tietojenvaihdossa pitkien ajanjaksojen ajan. Hyväksyttyjä sähköisiä allekirjoituksia voidaan pitää käsinkirjoitettuja allekirjoituksia vastaavina digitaalisina.
Hyväksytyissä sähköisissä allekirjoituksissa käytetään digitaalisia varmenteita, joita myöntävät akkreditoidut varmentajat. Varmenne ja avain säilytetään turvallisesti, yleensä älykortilla. Käyttäjän on tunnistauduttava, yleensä salasanalla tai biometrisillä tiedoilla, jotta hän pääsee käsiksi älykortilla oleviin tietoihin. Varmentaja tarkistaa myös, että käyttäjä on se, joka hän väittää olevansa, yleensä vertaamalla sitä viralliseen, valtion myöntämään asiakirjaan.
Kohdassa "kehittynyt sähköinen allekirjoitus" lueteltujen seikkojen lisäksi pätevä sähköinen allekirjoitus osoittaa allekirjoittajan oikeudellisesti viranomaisten edessä.
Kysymyksiä ja vastauksia
K: Mikä on elektroninen allekirjoitus?
V: Sähköinen allekirjoitus on kahden osapuolen välisen sopimuksen sähköinen tallennus, jota käytetään osoittamaan, että molemmat ovat samaa mieltä jostakin asiasta.
K: Kuinka kauan sähköisiä allekirjoituksia on ollut olemassa?
V: Sähköiset allekirjoitukset on tunnustettu 1800-luvun puolivälistä lähtien common law -oikeudellisilla alueilla ja faksilla tehdyt allekirjoitukset 1980-luvulta lähtien.
K: Millä tavoin sähköinen allekirjoitus voidaan tehdä?
V: Sähköisessä allekirjoituksessa voidaan käyttää digitaalisia allekirjoituksia, varmenteita ja julkisen avaimen kryptografiaan perustuvia hash-koodeja tietojen suojaamiseksi tai sopimuksen tehneen henkilön tunnistamiseksi oikeudellisesti. Se sisältää usein myös aikaleiman, josta käy ilmi, milloin se on tehty.
K: Onko sähköisellä allekirjoituksella allekirjoitetuissa tiedoissa käytettävä tiettyä muotoa?
V: Ei, allekirjoitetuilla tiedoilla ei tarvitse olla tiettyä muotoa - sitä voidaan käyttää kaikenlaisiin tietoihin.
K: Mitä "sähköinen allekirjoitus" tarkoittaa oikeudellisesti?
V: Oikeudellisesti "sähköisellä allekirjoituksella" on eri merkitys kuin salakirjoituksessa käytetyllä teknisellä termillä "digitaalinen allekirjoitus". Monissa maissa tietyntyyppisiä sähköisiä allekirjoituksia pidetään oikeudellisesti käsin kirjoitettuja allekirjoituksia vastaavina.
K: Onko olemassa standardeja siitä, miltä sähköisen allekirjoituksen pitäisi näyttää?
V: Kyllä, monissa maissa on standardeja siitä, miltä sähköisen allekirjoituksen on näytettävä. Esimerkkejä ovat eIDAS Euroopan unionissa, NIST-DSS Yhdysvalloissa tai ZertES Sveitsissä.
Etsiä