1 Hei Ali, Kiitokset Erkki Sippolalle osoittamastasi viestistä. Erkki antoi minulle tehtäväksi vastata tähän, koska asia liittyy läheisemmin minun asiantuntemukseeni ja toimenkuvaani. Alla on kommenttini. Viranomaisena me emme valitettavasti pysty projektiin tämän enempää osallistumaan, mutta toivottavasti näistä kommenteista on hyötyä projektin eteenpäin viemiseksi! 1. Olen tutustunut lähettämääsi materiaaliin. Aluksi on todettava, että ideasi takana oleva ongelma on todellinen ja hyville ratkaisuille varmasti olisi tarvetta. Salasanojen muistaminen ja kirjoittaminen on terveillekin työlästä, joten voin kuvitella, että asia on vammaisille vielä monta kertaa pahempi. On hienoa, että olet paneutunut ratkaisun kehittämiseen! 2. Jos oikein ymmärsin, Fassment-järjestelmän perusajatus on biometriaan (kasvokuva, sormenjälki, ääni tai silmän verkkokalvo) perustuvan keskitetyn tunnistuspalvelun perustaminen. Verkkopalvelujen tarjoajat voisivat tehdä sopimuksen tunnistuspalvelun kanssa ja hyödyntää sen avulla tehtävää biometristä tunnistusta pääsyoikeuden myöntämiseksi kyseiseen verkkopalveluun. Käyttäjät voisivat rekisteröityä tunnistuspalveluun ja hyödyntää sitä joka kerta kirjautuessaan sopimuksen tehneisiin verkkopalveluihin. 3. Teknisistä näkökohdista katsottuna idea vaikuttaa täysin toteuttamiskelpoiselta. Tietoturvalliset yhteydet verkkopalvelujen välillä ja myös niiden välinen tunnistautumistietojen välitys on olemassa olevaa ja hyvin toimivaa tekniikkaa. Samoin biometriset tunnistustekniikat ovat kehittyneet ja tulleet jokapäiväiseen käyttöön. Ratkaisussa on kuitenkin - kuten itsekin toteat - merkittäviä tietoturvariskejä, jotka kuitenkin voidaan huolellisella suunnittelulla minimoida. 4. Hieman epäselväksi minulle jäi vielä "Salasanojan lähetysjärjestelmän" toiminta sekä mainitsemasi "one time passwordin" tarkoitus ja hyödyntäminen järjestelmässä. Erityisesti ympäristötekijöiden hyödyntäminen (geographical location, date and time, or even climate of the region) ja sen tuoma lisäarvo ei täysin auennut.
2 5. Ehkä yllä mainitusta syystä johtuen hieman epäselväksi jäi myös se, miten Fassment-järjestelmä eroaa periaatetasolla jo käytössä olevista tunnistautumisjärjestelmistä. Esimerkiksi jotkut pankit (mm. Nordea) tarjoavat verkkopalveluille tunnistautumista, jossa henkilön tunnistaminen tapahtuu älypuhelimen sormenjälkisensorilla. Onnistuneen tunnistamisen jälkeen tieto tunnistuksesta välitetään verkkopalveluun ja näin käyttäjä pääsee sinne sisälle. 6. Hieman erilainen lähestymistapa - joka kuitenkin tarjoaa ratkaisun samaan ongelmaan - on ns. "Password Manager"-ohjelmilla. Ne toimivat tietokoneessa tai älylaitteessa ja niiden avulla yhden päätunnisteen taakse voidaan "piilottaa" salasanoja useisiin eri palveluihin. Ainakin joissain järjestelmissä (mm. www.stickypassword.com) päätunnisteena voi salasanan lisäksi olla biometrinen tunnistetieto (sormenjälki). Lisäksi on olemassa erityisiä sormenjälkilukijoita, joiden tarkoitus on vain "muistaa salasanoja" (esim. APC Biometric Password Manager). 7. Pelkästään biometriaan perustuva tunnistaminen on ns. "heikkoa sähköistä tunnistamista". Se ei ole välttämättä riittävä taso esimerkiksi viranomaispalveluihin kirjautumiseen. Näihin vaaditaan "vahva sähköinen tunnistaminen", joka perustuu esim. henkilökorttiin tai verkkopankkitunnuksiin ja jota säädellään erityisellä lailla. Myös "heikon sähköisen tunnistamisen" järjestelmissä tulee huomioida se, mitä säädetään esimerkiksi henkilörekisteri- ja henkilötietolaeissa. 8. Yhteenvetona voisi todeta, että Fassmentin perusidea vaikuttaa tarpeelliselta ja teknisesti toteuttamiskelpoiselta. Jalansijan saaminen tunnistusmarkkinoilla isoja toimijoita vastaan on kuitenkin varmasti kovan työn takana. Kenties kilpailuvalttina voisi olla juurikin mainitsemiesi erityisryhmien tarpeiden huomioiminen ja/tai kasvo- tai silmänpohjakuviin tai ääneen perustuva tunnistautuminen, koska tällaisia markkinoilla on selvästi sormenjälkipohjaisia tekniikoita vähemmän.
3 Parhain terveisin, Sakari Arvela Rikostekninen laboratorio Forensic laboratory Asiakaskeskeistä palvelutuotantoa Customer driven services Sakari Arvela Sakari Arvela Rikosinsinööri, siru- ja varmennejärjestelmät Forensic engineer, chip and certificate systems KRP, Rikostekninen laboratorio NBI, Forensic laboratory PL 285 P.O. BOX 285 01301 Vantaa 01301 Vantaa, Finland +358 295 486 351 +358 295 486 351