Sähköinen allekirjoitus ja varmenteet Kristina Forsström 158409 Antti Ivanoff 158835 Matti Nousiainen 157422 Ilona Vallenius 161197 2920450 Tietoturvallisuuden johtaminen ja suunnittelu
Sähköinen allekirjoitus ja varmenteet Määritelmät Prosessin kuvaus Juridiset näkökulmat Varmenteen tarjoajat Nykytilanteen kuvaus 2920450 Tietoturvallisuuden johtaminen ja suunnittelu
Sähköinen allekirjoitus Tiedon yhteydessä esitetty, siihen liitetty tai siihen loogisesti liittyvä digitaalisessa muodossa oleva allekirjoitus. Sähköisellä allekirjoituksella osoitetaan hyväksyttävän tieto, joka : viittaa yksinomaan allekirjoittajaan (alkuperäisyys) yksilöi allekirjoittajan (kiistämättömyys) luotu menetelmällä, jota allekirjoittaja voi täysin valvoa liitetty kohteena olevaan tietoon siten, että tiedon myöhempi muuttuminen ilmenee (eheys). Lähde: Helsingin yliopisto. 2001. http://www.hut.fi/Yksikot/Talousoikeus/Kurssit/361/luento1.pdf 2920450 Tietoturvallisuuden johtaminen ja suunnittelu
2920450 Tietoturvallisuuden johtaminen ja suunnittelu Varmenteet Sähköinen sertifikaatti, joka osoittaa kenelle sertifikaatissa oleva julkinen avain kuuluu. Antaa uskottavuutta ja luotettavuutta sähköiselle allekirjoitukselle. ”Julkisen avaimen järjestelmää käyttävän palveluverkon toimijan kuten asiakkaan tai palveluntuottajan julkisesta avaimesta ja tunnistetiedoista muodostettu tietokokonaisuus, jonka luotettu ulkopuolinen taho on muodostanut ja allekirjoittanut yksityisellä avaimellaan. Varmenteen aitous on todennettavissa avaamalla se varmentajan julkisella avaimella.” (Valtionvarainministeriö, 2001) Julkisen avaimen järjestelmää käyttävän palveluverkon toimijan kuten asiakkaan tai palveluntuottajan julkisesta avaimesta ja tunnistetiedoista muodostettu tietokokonaisuus, jonka luotettu ulkopuolinen taho on muodostanut ja allekirjoittanut yksityisellä avaimellaan. Varmenteen aitous on todennettavissa avaamalla se varmentajan julkisella avaimella. Lähteet: Valtiovarainministeriö. 2001. http://www.vn.fi/vm/kehittaminen/tietoturvallisuus/vahti/sanasto/su021.htm Helsingin yliopisto. 2001. http://www.hut.fi/Yksikot/Talousoikeus/Kurssit/361/luento1.pdf 2920450 Tietoturvallisuuden johtaminen ja suunnittelu
Varmenteen käyttötarkoitus Henkilövarmenne: käytetään henkilön tunnistamiseen, digitaaliseen allekirjoitukseenja viestin salakirjoittamiseen Roolivarmenne: käytetään todisteena mm. organisaatioon tai organisaatioyksikköön kuulumisesta tai tietyistä käyttövaltuuksista Palvelinvarmenne: käytetään todistamaan, että palveluntuottaja on se, joka hän väittää olevansa Sähköpostivarmenne: sähköpostin turvallista käyttöä varten. Lähde: Valtiovarainministeriö. 2001. http://www.vn.fi/vm/kehittaminen/tietoturvallisuus/vahti/sanasto/su021.htm 2920450 Tietoturvallisuuden johtaminen ja suunnittelu
Sähköinen henkilökortti 2920450 Tietoturvallisuuden johtaminen ja suunnittelu
VRK:n varmenteen sisältö: varmentajan nimi varmenteen haltijan nimi haltijan sähköinen asiointitunnus varmenteen voimassaoloaika tieto haltijan julkisen avaimen luomisessa ja varmenteen allekirjoituksessa käytetyistä laskumenetelmistä varmentajan maatunnus varmenteen käyttötarkoitus tieto noudatettavasta varmennepolitiikasta Lähde: Valtiovarainministeriö. 2001. http://www.vn.fi/vm/kehittaminen/tietoturvallisuus/vahti/sanasto/su021.htm 2920450 Tietoturvallisuuden johtaminen ja suunnittelu
2920450 Tietoturvallisuuden johtaminen ja suunnittelu Prosessimalli Lähde: NovoGroup. 2001. http://www.novogroup.com/users/38/355.cfm 2920450 Tietoturvallisuuden johtaminen ja suunnittelu
Sähköisen allekirjoituksen prosessi perustuu julkisen avaimen kryptografiaan muodostetaan laskemalla välitettävästä aineistosta matemaattisella laskentasäännöllä, eli hajautusfunktiolla (kutsutaan myös tiivistefunktioksi), tiiviste ja salaamalla tiiviste lähettäjän salaisella avaimella. Salattu tiiviste toimii sähköisenä allekirjoituksena ja se liitetään välitettävän aineiston mukaan. Vastaanottaja purkaa tiivisteen salauksen lähettäjän julkista avainta käyttäen. Vastaanottaja laskee vastaanottamastaan aineistosta tiivisteen käyttäen samaa hajautusfunktiota kuin lähettäjä, ja vertaa näin saamiaan kahta tiivistettä, julkisella avaimella purettua ja aineistosta laskettua, toisiinsa. . Mikäli ne ovat samat, voi vastaanottaja olla varma, että aineisto on lähettäjän muodostama, eikä se ole siirron aikana muuttunut. Valtiovarainministeriö, Liikenneministeriö, Sisäasiainministeriö http://www.vn.fi/vm/kehittaminen/julkisten_palvelujen_kehittaminen/hstraportti.pdf 2920450 Tietoturvallisuuden johtaminen ja suunnittelu
2920450 Tietoturvallisuuden johtaminen ja suunnittelu MINTC 2001 http://www.mintc.fi/www/sivut/dokumentit/julkaisu/julkaisusarja/2001/39a.pdf 2920450 Tietoturvallisuuden johtaminen ja suunnittelu
Juridiikka, EU direktiivi tammikuu 2001 Sähköinen allekirjoitus on laillisesti sitova Voidaan rinnastaa käsintehtyyn allekirjoitukseen – on oikeudenkäynneissä yhtä todistusvoimainen Varmennepalveluita tarjoavien yritysten valvonta tapahtuu varmennepalveluyritysten kotimaassa Ei määritetä millaisella tekniikalla sähköiset allekirjoitukset on toteutettava Sallii yksityisten allekirjoitusjärjestelmien olemassaolon Varmenteen tarjoajan vastuu Sähköallekirjoitus-direktiivi, jonka tarkoituksena on helpottaa sähköisten allekirjoitusten käyttöä ja edistää osaltaan niiden oikeudellista tunnustamista. Sillä vahvistetaan oikeudelliset puitteet sähköisille allekirjoituksille ja tietyille varmennepalveluille sisämarkkinoiden moitteettoman toiminnan varmistamiseksi. Se ei koske sopimusten tekemiseen ja pätevyyteen liittyviä kysymyksiä eikä muita oikeudellisia velvoitteita, joihin liittyy kansallisessa lainsäädännössä tai yhteisön oikeudessa säädettyjä muotovaatimuksia eikä se vaikuta asiakirjojen käyttöä koskeviin kansallisen tai yhteisön oikeuden sääntöihin ja rajoituksiin. EU:n direktiivi: edistää sähköisen allekirjoitusten käyttöä ja oikeudellista tunnustamista http://europa.eu.int/eur-lex/fi/lif/dat/1999/fi_399L0093.html http://www.europa.eu.int/comm/dg10/publications/newsletters/esf/2000-1/decisions_fi.html 2920450 Tietoturvallisuuden johtaminen ja suunnittelu
Varmenteen tarjoajat Suomessa Väestörekisterikeskus SmartTrust NovoGroup (NovoTrust Oy) Radiolinja Certall Osuuspankki Kolumbus 2920450 Tietoturvallisuuden johtaminen ja suunnittelu
Varmenteita hyödyntäviä palveluita Posti – Muuttoilmoitus ja Asiointiautomaatti Osuuspankki – Kultaraha Tuusula – Päivähoitohakemus Työministeriö – Työnhakijan esittely Suomen Akatemia Maatalouden laskentakeskus – Nautaeläinrekisteri Opetushallitus - Yhteishaku Oikeusministeriö – Äänestäjän tietopalvelun varmenteet STM, Satakunnan sairaanhoitopiiri, paikalliset terveysviranomaiset HSTYA - Henkilön sähköinen tunnistaminen yliopistoissa ja ammattikorkeakouluissa Kela – Opintotukipalvelun itsepalvelukyselyt Julkisen hallinnon yhteispalvelun asiakaspalvelupäätteet MINTC 2001 http://www.mintc.fi/www/sivut/dokumentit/julkaisu/julkaisusarja/2001/39a.pdf 2920450 Tietoturvallisuuden johtaminen ja suunnittelu
Sähköinen allekirjoitus, varmenteet, nykytilanne … HST-kortin suosio on kasvamassa (9500kpl toukokuu 2001) Kansallinen lainsäädäntö on keskeneräistä Yksityiskäyttäjiä ja palveluita hyvin vähän Yritykset eivät vielä hyödynnä Verkkopalveluhankkeita käynnissä 139 (toukokuu 2001) Palveluiden ja käyttäjien määrän uskotaan kasvavan http://www.mintc.fi/www/sivut/dokumentit/julkaisu/julkaisusarja/2001/39a.pdf 2920450 Tietoturvallisuuden johtaminen ja suunnittelu
2920450 Tietoturvallisuuden johtaminen ja suunnittelu