Mikä merkitys on kynällä sähköiselle kirjoitusalustalle tehtävällä allekirjoituksella?

Mikä merkitys on kynällä sähköiselle kirjoitusalustalle tehtävällä allekirjoituksella?

Fyysistä läsnäoloa edellyttävissä asiointipalveluissa on yleistynyt käytäntö allekirjoittaa sopimus tai kuitata tapahtuma osoitinkynällä (stylus) sähköiselle allekirjoitusalustalle (piirtopöytä) tehtävällä allekirjoituksella, joka liitetään kuvana sähköiseen dokumenttiin ja tallennetaan vahvistusta pyytävän osapuolen tietojärjestelmään. Näin on esimerkiksi paketin noutamisessa postitoimipaikasta tai vastaanotettaessa lähetin toimittamaa pakettia. Jotkin yritykset käyttävät sopimuksen muodostumisen vahvistamisessa samantapaista menetelmää, jossa allekirjoitus pyyhkäistään sormella kosketusnäytölle.

Allekirjoittamisen yhteydessä asiakas ei pysty suoraan yhdistämään allekirjoitusta muodostuvaan asiakirjaan, vaan allekirjoittaminen liittyy käsillä olevaan tilanteeseen. Sähköisen allekirjoituksen kuvan toisintaminen ja liittäminen toiseen asiakirjaan ilman allekirjoittajan aietta on teknisesti yksinkertaista.

Miten asiakirjan haltija voi osoittaa, että sähköiseen asiakirjaan liitetty allekirjoituksen kuva on autenttinen ja liittyy sopimukseen, jota oltiin tekemässä allekirjoitushetkellä?
Mikä merkitys perinteistä kynällä paperille tehtävää allekirjoitusta simuloivalla sähköisellä allekirjoituksen kuvalla on, kun allekirjoittaja ei pysty yhdistämään allekirjoitusta vahvistettavaan asiakirjaan?
Onko niin, että perinteistä allekirjoitusta simuloiva sähköinen allekirjoitus vain vahvistaa sopimuksen muodostamisen konventiota ja allekirjoittajan sitoutumista sopimukseen ja sillä ei ole varsinaista sopimusteknistä merkitystä?

4 vastausta
20.02.201709:17
5981
19

Olen nyt yrittänyt etsiä netistä esimerkkejä kyseisestä laitteesta. Haku­sanojen keksiminen on hankalaa, joten en tiedä olenko osunut juuri sellaiseen, jota asia­mies­postissa käytetään, mutta ne jotka olen löytänyt on tarkoitettu siihen, ettei paperi­dokumentteja tarvitse enää skannata. Kaikki tieto halutaan nykyään tallettaa digitaalisessa muodossa (esim. PDF-muodossa), eikä papereita alle­kirjoituksineen haluta käsitellä ja säilöä.

Tavalliseen alle­kirjoitukseen verrattuna tämä ei ole yhtään turvallisempi. Eihän muste-kynä-paperi -menetelmäkään ole täysin turvallinen, alle­kirjoituksia on väärennetty niin kauan kuin niitä on pidetty virallisina. Sähköisellä kirjoitus­alustalla tehtyä alle­kirjoitusta on kuitenkin periaatteessa helpompi monistaa alle­kirjoittajan tietämättä, joten itse en näin äkkiseltään pidä ajatuksesta. Pitäisi tietää enemmän siitä minkälaisen tarkastus­menettelyn kautta laitteet hyväksytään käyttöön ja onko nykyisessä laissa siihen mitään tukea. Mieluummin minä todistaisin henkilöllisyyteni omalla sähköisellä henkilö­kortillani.

Vain hieman sivusta:

Tämän vuoden alusta uusissa suomalaisissa henkilö­korteissa on NFC-siru, joten pian sen käyttöön pitäisi olla saatavilla äly­kännykkä­sovellus, jota puhelin­operaattorit eivät voi rahastaa kuten mobiili­varmenteen käyttöä. Lisäksi  sähköistä tunnistamista ja sähköisiä luottamus­palveluita koskevaan lakiin on lisätty siirtymä­säännös, jonka nojalla vahvaa sähköistä tunnistus­välinettä, kuten pankki­tunnuksia tai mobiili­varmenteita, haettaessa ajo­kortti ei kelpaa tunnistus­asia­kirjaksi enää vuodesta 2019 alkaen, vaan henkilöllisyys on osoitettava passilla tai virallisella henkilö­kortilla. Pankkien pahviset tunnus­luku­kortitkaan eivät kelpaa EU:n laajuiseen käyttöön.

Vuoden 2019 alkuun mennessä nimittäin tulee voimaan EU:n laajuinen EIDAS-asetus, jonka mukaan EU-kansalaiset voivat kirjautua toisten EU-maiden julkis­hallinnon palveluihin (kuten koulutus, verotus, sairaan­hoito) oman maansa sähköisillä tunnistautumis­välineillä. Tämä vaatii EU:n laajuisen luottamus­verkoston, jossa kansallisesti käytössä olevien tunnistus­välineet hyväksytään ristiin rajojen yli, ja kansallisten tunnistus­välitys­palveluiden EU:n laajuisen yhteen­sopivuuden. Tämän vuoden aikana selviää mitä ratkaisuja Suomen markkinoille ilmaantuu ja mitkä niistä lopulta valitaan virallisiksi.

Katso myös:

Kommentit (1)
Englannin­kielisten lisä­hakujen perusteella minusta näyttää siltä että tämä PDF... Englannin­kielisten lisä­hakujen perusteella minusta näyttää siltä että tämä PDF-alle­kirjoitus on tullut käyttöön softa- ja laite­valmistajien (eli markkina­voimien) ajamana maissa, joissa väestö keski­määrin suhtautuu niin epäilevästi henkilö­kortteihin että myöskin korttien käyttöä tukevan infra­struktuurin kehitys on jäänyt jalkoihin. Heille se on parannus, mutta Suomessa heikennys vallitsevaan tilanteeseen.
20.2.2017 11:41 Telttu Ella 5981
18.02.201719:54
5981
6

Aivan loistava kysymys. En tiedä oikeaa vastausta ja voi olla ettei kukaan vielä tiedä - ehkä jonkun pitä viedä se oikeuteen asti että tulee selvyys. Minusta tuo on ihan idioottimainen käytäntö.

Itselleni ei onneksi tuollaista ole tullut vastaan ikinä, joten en ole myöskääm päässyt kysymään mitä järkeä tässä on.

Kommentit (0)
19.02.201720:10
6618
5

Minulla on tullut vastaan hakiessani postista (tai oikeammin kaupan tiskiltä) postipakettia. Mielestäni tässä on hiukan samanlainen toiminto kuin syötettäessä pin-koodi maksukortinlukulaitteeseen. Loppujen lopuksi ei mitenkään voi mennä takuuseen, että minä itse käytän sitä maksukorttia (joka on omani, eikä kenenkään toisen)... Kuvaakaan ei korttiin laiteta, joten sitäkn kautta tunnistaminen jää pois.

Kommentit (0)
22.02.201712:01
5981
4

Löysinpäs lopulta laki­lähteen joka vastaa kysymykseen täsmällisesti.

Ennen sitä pitää kuitekin selventää käsitteitä. Artikkelista https://www.howtogeek.com/164668/how-to-electronically-sign-documents-wi... käy ilmi että sähköinen alle­­kirjoitus voi suomen kielessä tarkoittaa kahta eri asiaa:

  • "electronic signtature", eli sähköisellä kynällä tai perinteisestä alle­­kirjoituksesta kuvan­­lukijalla tuotettu kuva, joka ympätään paperista asia­kirjaa jäljittelevään (yleensä PDF-) tiedostoon, kun halutaan välttää paperin käyttöä;
  • "digital signature", eli julkisen avaimen menetelmällä tehty salattu tiiviste tekstin sisällöstä, joka on vahvan tunnistautumisen ydin.

Euroopan parlamentin ja neuvoston direktiivi 1999/93/EY sähköisiä alle­kirjoituksia koskevista yhteisön puitteista (eli  Community framework for electronic signatures) määrittelee sähköisen ("electronic") alle­­kirjoituksen käyttöön­ottoon tarvittavat puitteet. Teksti on puisevaa lakikieltä, eikä suomennos edes noudata aina kieli­oppia, mutta kun lukee ainakin artiklan 2, joka määrittelee tarvittavat käsitteet, liitteen III, joka määrittelee turvalliset alle­kirjoituksen luomis­menetelmät, ja johdannosta kohdan 15, jossa todetaan että "Liite III sisältää turvallisia alle­kirjoituksen luomis­menetelmiä koskevat vaatimukset kehittyneiden sähköisten alle­kirjoitusten toimivuuden varmistamiseksi." niin näistä minä päättelen seuraavaa:

  • Kun yritys tai yksityis­henkilö liittää sähköisen alle­kirjoituksen asia­kirjaan, tämä alle­kirjoitus on laillisesti sitova puolin ja toisin, jos sen tuottamiseen käytetty tekniikka on alle­kirjoittajan omassa hallussa ja täyttää direktiivin vaatimukset.
  • Tilanne on kuitenkin toinen jos yritys tarjoaa omaa teknistä ratkaisuaan asiakkaan käyttöön alle­kirjoitusta varten. Silloin alle­kirjoitus on sitova vain, jos yrityksen laite lukee kuvan lisäksi asiakkaan hallussa olevan sähköisen varmenteen (kuten suomalainen henkilö­kortti) ja sen avulla varmistaa että asiakkaan alle­kirjoitusta ei voi kopioida muihin tarkoituksiin tai muuten käyttää väärin.

Kysyjä on siis aivan oikeassa; jos asiakkaalta joka tapauksessa vaaditaan sähköinen varmenne, niin silloinhan alle­kirjoituksen kuva on pelkkä koriste; sähköinen varmenne yksinäänkin riittää.

Jos (asia­mies-) posti ei vaadi asiakkaalta henkilö­korttia tai muuta varmennetta alle­kirjoituksen varmentamiseksi, niin sähköisellä kynällä tehty alle­kirjoitus yksinään ei ole laillisesti sitova kummankaan osa­puolen kannalta. Asiakkaalta ilman varmennetta saatua alle­kirjoituksen kuvaa voi käyttää asiakkaan tietämättä vaikka mihin muihin tarkoituksiin, eikä sitä voi todistaa asiakkaan tekemäksi. Varmenteen käyttö estää väärin­käytön ja samalla varmentaa alle­kirjoituksen (kuvan) aitouden, ja siksi direktiivi vaatii sen.

Kommentit (4)
Kiitos varsin kattavasta vastauksesta. Varmistan pienen tarkennuksen. Henkilökortin vaati... Kiitos varsin kattavasta vastauksesta. Varmistan pienen tarkennuksen. Henkilökortin vaatimisella allekirjoituksen varmistamiseksi tarkoittanet digitaalisen kryptografisen allekirjoituksen vaatimista. Koska asia on uusi, on vaikea kuvitella, miten esim paketin noutotilanteessa tällainen järjestely saataisiin toteutettua. Teknisesti on nykytekniikalla ja nykyisellä henkilökortilla hieman hankalaa asiakkaan todentaa, mitä on allekirjoittamassa. Näin etenkin silloin, kun laite, jolla allekirjoitusta lisätään asiakirjaan, ei ole allekirjoittajan omassa hallinnassa. Henkilökortissa ei ole näyttöä, jolla voisi todentaa, mitä ollaan allekirjoitamassa tai näppäimistöä, jolla tapahtuma voitaisiin vahvistaa. Kiistämättömyyden osoittamiseksi esim. Posti todennäköisesti joutuisi tukeutumaan tapahtuman vahvistamisessa toissijaiseen näyttöön, kuten valvontakamerakuviin tms. Digitaalinen kryptografinen allekirjoitus paketin vastaanottamisen kuittauksena olisi asioinnin sujuvuuden kannalta todennäköisesti liian työlästä.
22.2.2017 23:02 Kari Laalo 0
Aivan, olin epätarkka, maallikko kun olen. Kun ensin selitin termin "digital signature", ... Aivan, olin epätarkka, maallikko kun olen. Kun ensin selitin termin "digital signature", menin liian kauas, kun olisi riittänyt puhua kryptaamisesta eli salauksesta. Sitten kun mainitsin henkilökortin esimerkkinä, siitä saattoi jäädä se mielikuva että direktiivi puhuu henkilökortista, mutta minä mainitsin sen vain yhtenä esimerkkinä siitä minkälainen asiakkaan hallussa oleva varmenne tms. tarvitaan. Direktiivi ei tarkenna mikä nimenomainen sen pitää olla. Oikeastaan toivon että kirjaston henkilökunta vielä yrittäisi löytää jonkun asiantuntijan kertomaan asiasta. Esimerkiksi F-Securelta voisi saada kommentin, tai sitten joku virkamies joka työnsä puolesta painii näiden käsitteiden kanssa osaisi ehkä auttaa.
23.2.2017 09:52 Telttu Ella 5981
Esimerkiksi sivulta http://vm.fi/digitalisaatio löytyy pari nimeä jotka ovat usein ollee... Esimerkiksi sivulta http://vm.fi/digitalisaatio löytyy pari nimeä jotka ovat usein olleet julkisuudessa - mahtaisiko jommalla kummalla olla aikaa ja intoa selventää tätä?
23.2.2017 10:18 Telttu Ella 5981
Näytä enemmän
Äly­käpälä­sovellus on eräs esimerkki asiakkaan hallussa olevasta ratkaisusta, joka... Äly­käpälä­sovellus on eräs esimerkki asiakkaan hallussa olevasta ratkaisusta, joka olisi direktiivin mukainen, jos (asia­mies-) posti sen hyväksyisi ja osaisi sitä käyttää. Esimerkiksi Android-laitteille löytyy Adobe Sign -sovellus, jolla voi lisätä alle­kirjoituksia PDF-tiedostoihin, Adobe Fill & Sign jolla voi täyttää ja alle­kirjoittaa PDF-lomakkeita. Suomalaista mobiili­varmennettakin voisi käyttää, mutta siihen ilmeisesti ei ole postin­jakelussa varauduttu. Mieluummin odotan sitä että NFC-sirulla varustetuille henkilö­korteille tulee känny­sovellus, ettei mobii­livarmenteesta tarvi maksaa operaattorille.
24.2.2017 09:13 Telttu Ella 5981
Näytä vähemmän

Vastauksesi