LUOTTAMUKSEN HALLINTA AVOIMISSA VERKOISSA KÄYTTÄEN JULKISEN AVAIMEN JÄRJESTELMÄÄ

Katja Penttonen LUOTTAMUKSEN HALLINTA AVOIMISSA VERKOISSA KÄYTTÄEN JULKISEN AVAIMEN JÄRJESTELMÄÄ Tietojärjestelmätieteen kandidaatintutkielma 31.5.2002 Jyväskylän yliopisto Tietojenkäsittelytieteiden laitos Jyväskylä

TIIVISTELMÄ Penttonen, Katja Marika Luottamuksen hallinta avoimissa verkoissa käyttäen julkisen avaimen järjestelmää/katja Penttonen Jyväskylä: Jyväskylän yliopisto, 2002. 27 s. Kandidaatintutkielma Tämä tutkielma käsittelee luotettavaa sähköistä viestintää avoimissa verkoissa. Tarkastelun kohteena on julkisen avaimen järjestelmä eli PKI (Public Key Infrastructure). Julkisen avaimen järjestelmän tavoitteena on kattaa sähköisen viestinvälityksen tietoturvan ja luottamuksen perusvaatimukset eli viestivien osapuolten tunnistaminen, tiedon säilyminen muuttumattomana sekä tiedon kiistämättömyys. Tutkielman tarkoituksena on havainnollistaa julkisen avaimen järjestelmän merkitys luotettavassa viestinnässä. Julkisen avaimen järjestelmässä luottamuksen perusvaatimukset saavutetaan luotettavan kolmannen osapuolen toiminnalla, sähköisillä allekirjoituksilla, salausavaintekniikoilla ja varmenteilla, joita tutkimuksessa käsitellään tarkemmin. Aiheen käsittely pohjautuu pääasiassa aiheesta kirjoitettuihin tutkimuksiin ja teknisiin raportteihin sekä käytännön esimerkkeihin, joiden kautta julkisen avaimen järjestelmää on helpompi hahmottaa. Ymmärtämällä julkisen avaimen järjestelmän toimintaa voidaan kehittää entistä laadukkaampia järjestelmiä luotettavaan viestien välitykseen. Tutkielman johtopäätöksenä todetaan, että julkisen avaimen järjestelmä on oleellinen osa luotettavaa viestintää. Olemassa olevia tekniikoita kehittäessä ja uusia luodessa tulisi kuitenkin panostaa erityisesti yksityisyyden suojan säilymisen varmistamiseen. AVAINSANAT: avoin verkko, julkisen avaimen järjestelmä, luottamus, PKI, varmenne

1 JOHDANTO... 4 2 TUTKIELMAN KÄSITTEISTÖ... 6 3 SÄHKÖINEN ALLEKIRJOITUS... 8 3.1 SÄHKÖISEN DOKUMENTIN ALLEKIRJOITTAMINEN...8 3.2 SÄHKÖISEN ALLEKIRJOITUKSEN VAATIMUKSET...10 3.2.1 Tiedon eheys...11 3.2.2 Tiedon kiistämättömyys...12 3.2.3 Tiedon lähettäjän tunnistaminen...13 3.3 DIGITAALINEN ALLEKIRJOITUS...13 4 JULKISEN AVAIMEN JÄRJESTELMÄ... 15 4.1 VARMENNE...15 4.2 VARMENTAJA...16 4.3 VARMENTEEN REKISTERÖIJÄ...17 4.4 SALAUSAVAIMEN ELINKAAREN HALLINTA...17 4.5 JULKISEN AVAIMEN JÄRJESTELMÄN VARMENNEARKKITEHTUURIT...18 4.5.1 Puumainen varmennearkkitehtuuri X.500/X.509...18 4.5.2 Luottamusverkkoarkkitehtuuri PGP...19 4.6 JULKISEN AVAIMEN JÄRJESTELMÄ TERVEYDENHUOLLOSSA...20 4.7 JULKISEN AVAIMEN JÄRJESTELMÄ SÄHKÖISESSÄ KAUPANKÄYNNISSÄ...21 5 YHTEENVETO... 23 LÄHTEET... 26

1 JOHDANTO Organisaatioiden välinen viestien välitys on muuttunut sähköiseksi viime vuosien aikana. Koska viestejä välitetään avointen verkkojen läpi yhä enemmän, on huomiota kiinnitettävä entistä tarkemmin tietoturva-asioihin ja luottamuksen hallintaan. Jotta viestintä verkon yli olisi luotettavaa, tulisi sähköisen viestinnän täyttää kolme perusvaatimusta: 1) viestivien osapuolten tunnistaminen eli autentikointi, 2) tiedon eheys ja 3) tiedon kiistämättömyys. Tässä kandidaatintutkielmassa perehdytään julkisen avaimen järjestelmään, jonka kautta pyritään hallitsemaan edellä mainittuja vaatimuksia avoimissa verkoissa tapahtuvalle sähköiselle viestimiselle. Avoimissa verkoissa viestittäessä on siis jollakin tapaa tunnistettava viestivät osapuolet, jotta viestin sisältöön voidaan luottaa. Tiedon on myös säilyttävä muuttumattomana eli eheänä koko tiedonsiirron ajan, mikä on välttämätöntä varsinkin liiketoiminnassa laskutustietoja siirrettäessä. Juridiselta kannalta sähköisesti siirretyn viestin tulee olla kiistämätöntä eli viestin vastaanottajan on voitava varmistua siitä, että lähettäjä ei voi kiistää jälkeenpäin lähettäneensä sähköistä viestiä. Sähköisen viestinnän lisääntyminen räjähdysmäisesti on nostanut ajankohtaiseksi aiheeksi myös yksityisyyden säilymisen vaatimuksen. Luottamuksen hallitsemiseksi on kehitetty erilaisia sähköisen allekirjoituksen tapoja ja infrastruktuureja, joiden pohjimmainen tarkoitus on ollut luottamuksen lisääminen viestivien osapuolten välille. Tämä on johtanut kuitenkin ongelmiin yksityisyyden hallinnassa, koska toisiaan tuntemattomien osapuolten välille luodulle kolmannelle osapuolelle kertyy lukuisa joukko tietoja viestivien osapuolien käyttäytymisestä. Väärinkäytettyinä tai muuten vääristyneinä nämä tiedot voivat olla uhka yksilön yksityisyydelle. Tutkimuksen tavoitteena on kartoittaa, mitä ovat sähköinen allekirjoitus ja julkisen avaimen järjestelmä ja miten niillä voidaan lisätä ja hallita organisaatioiden välistä luotettavaa viestinvälitystä avoimissa verkoissa. Tutkielma esittää yhden avoimiin verkkoihin liittyvän luottamuksen hallintaan tarkoitetun tekniikan eli julkisen avaimen järjestelmän. Luottamusta hallitaan erityisesti

5 luotetun kolmannen osapuolen välityksellä. Tutkielmassa ei puututa tarkemmin yksityisyyden hallintaan liittyviin tekijöihin, mutta lukijan on hyvä tiedostaa tutkielmassa käsiteltävän julkisen avaimen järjestelmään liittyvä ongelma yksityisyyden hallinnassa johtuen kolmannelle osapuolelle kertyneistä viestivien osapuolien tiedoista. Tähän ongelmaan ratkaisun uskotaan tuovan XML, jonka avulla välitettävästä viestistä voidaan salata eri osia. Tutkimuksen lähestymistapa on luonteeltaan analyyttinen. Julkisen avaimen järjestelmää selvitetään aiheesta kirjoitettujen tieteellisten tutkimusten ja teknisten raporttien perusteella. Tutkimuksessa kuvataan myös kaksi käytännön esimerkkiä julkisen avaimen järjestelmän hyödyntämisestä. Tutkimuksen perusteella voidaan todeta julkisen avaimen järjestelmän välttämättömyys luottamukseen perustuvassa viestinnässä avoimissa verkoissa. Järjestelmää tulee kuitenkin kehittää entisestään niin, että sen kautta voitaisiin varmistua myös paremmin viestijän yksityisyyden säilymisestä. Tutkimus etenee peruskäsitteiden määrittelystä sähköisen allekirjoituksen kuvaamiseen, jonka pohjalta julkisen avaimen järjestelmän ymmärtäminen on mahdollista. Tutkimuksen aiheeseen liittyy joukko käsitteitä, joita käsitellään johdannon jälkeisessä luvussa eli luvussa kaksi. Luvussa kolme selvitetään sähköiseen allekirjoitukseen liittyviä tekijöitä luotettavan tiedonsiirron mahdollistajana. Neljäs luku keskittyy julkisen avaimen järjestelmän eli PKI:n käsittelyyn. Samassa luvussa esitellään julkisen avaimen järjestelmän hyödyntämistä terveydenhuollossa ja sähköisessä kaupankäynnissä. Yhteenvedossa luodaan katsaus tutkimuksen keskeiseen antiin tuoden esille myös yksityisyyden hallintaan liittyviä näkökulmia.

6 2 TUTKIELMAN KÄSITTEISTÖ Tutkielmassa käytetään lukuisia käsitteitä, joilla voidaan tarkoittaa eri asioita eri yhteyksissä. Seuraavissa kappaleissa kuvataan tässä tutkielmassa käytettävien käsitteiden merkitykset. Avoimella verkolla tarkoitetaan viestimistä web-pohjaisissa verkoissa, joissa viestivät osapuolet eivät voi automaattisesti varmistua toistensa aitoudesta tai eivät välttämättä edes tunne toisiaan. Luottamuksella kuvataan viestin vastaanottajan kannalta tunnetta siitä, että hän voi varmistua vastaanotetun viestin alkuperäisyydestä sekä lähettäjän aitoudesta. Samoin luottamukseen kuuluu viestin kiistämättömyys eli luottamus siitä, että viestin lähettäjä ei voi jälkeenpäin kiistää lähettäneensä viestiä. Yleisesti luottamuksella tarkoitetaan osapuolten käsityksiä toisistaan perustuen joko omiin kokemuksiin ja tietoihin tai kolmannen osapuolen antamiin suosituksiin ja varmenteisiin. Yksityisyydellä tarkoitetaan henkilön oikeutta varmistua siitä, että häntä koskevaa tietoa ei joudu vääriin käsiin eikä häntä koskevaa tietoa kerätä ja talleteta tarpeettomasti. Henkilön oikeudesta yksityisyyteen on säädetty laissa, joita pitäisi soveltaa myös sähköisessä viestinnässä. Kolmas osapuoli on henkilö tai taho, jonka kummatkin osapuolet tuntevat ja johon kumpikin osapuoli luottaa. Näin toisiaan tuntemattomat osapuolet voivat luottaa toisiinsa kolmannen osapuolen välityksellä. Varmenteella eli sertifikaatilla tarkoitetaan kolmannen osapuolen antamaa vakuutusta varmenteen haltijan aitoudesta ja luotettavuudesta. Kolmas osapuoli allekirjoittaa antamansa varmenteen digitaalisesti. Digitaalinen allekirjoitus on sähköinen allekirjoitus, joka perustuu julkisen avaimen menetelmään. Digitaalisella allekirjoituksella voidaan todentaa viestin eheys ja alkuperä

7 sekä estää viestin väärentäminen. Digitaalinen allekirjoitus pohjautuu epäsymmetriseen salaukseen. Julkisen avaimen kryptografia eli epäsymmetrisen avaimen kryptografia on epäsymmetrinen salausmenetelmä, joka perustuu yksityisen ja julkisen avaimen avainpariin. Avainpari toimii siten, että yksityisellä avaimella salatun viestin voi purkaa vain julkisella avaimella, ja päinvastoin. Tässä kandidaatintutkielmassa julkisen avaimen kryptografiasta käytetään myös termiä julkisen avaimen salausmenetelmä tai epäsymmetrinen salaus. Yksityinen avain on henkilön tai tahon salainen avain, joka on pidettävä suojattuna ulkopuolisilta ja vain omana tietonaan. Julkinen avain on puolestaan avain, joka sijaitsee yleisessä hakemistossa ja joka voidaan jakaa halutuille tahoille esimerkiksi webin kautta. Julkisen avaimen järjestelmä eli PKI (Public Key Infrastructure) on digitaaliseen allekirjoitukseen ja varmennetoimintaan pohjautuva järjestelmä, joka perustuu luottamuksen jakamiseen. Tutkielmassa käytetään termejä sähköinen viesti ja sähköinen asiakirja kuvaamaan sähköisesti siirrettävää materiaalia. Suomen laissa sähköisestä asioinnista hallinnossa (1999) nämä termit on selitetty seuraavasti: Sähköisellä viestillä tarkoitetaan sähköisellä tiedonsiirtomenetelmällä lähetettyä, helposti kirjallisessa muodossa tallennettavissa olevaa informaatiota. Sähköisellä asiakirjalla tarkoitetaan puolestaan sähköistä viestiä, joka liittyy asian vireillepanoon, käsittelyyn tai päätöksen tiedoksiantamiseen.

8 3 SÄHKÖINEN ALLEKIRJOITUS Sähköisillä allekirjoituksilla viitataan yleensä moniin eri teknologioihin, jotka sallivat henkilön tai koneen merkitä dokumentti elektronisesti. Elektronisen merkinnän välityksellä dokumenttiin sisältyy tunnistusmekanismi. Tunnistusmekanismin kautta voidaan varmistua siitä, että dokumenttia eivät voi lukea sellaiset tahot, joiden ei ole tarkoitettu pääsevän käsiksi dokumentin tietoihin. (Minihan 2001) Sähköinen allekirjoitus voi olla esimerkiksi nimi sähköpostin vartalossa, digitaalikuva käsin kirjoitetusta allekirjoituksesta tai uniikki biometrinen tunniste kuten sormenjälki tai silmän verkkokalvokuva. Sähköinen allekirjoitus voi liittyä kaupalliseen, hallinnolliseen tai yksityiseen tiedonsiirtoon tai näiden kaikkien yhdistelmiin. Lähtökohtana elektroniselle tiedonsiirrolle on viestin välittäjän ja vastaanottajan välinen luottamus viestin muuttumattomuudesta ja varmuus siitä, että elektronisesti tehty sopimus on pitävä. Allekirjoittaminen sisältää yleisesti hyväksyttäviä sääntöjä, jotka tulee ottaa huomioon myös sähköisessä allekirjoituksessa. (ETSI 2002) Vaikka sähköiset allekirjoitukset esitellään digitaalisessa tai binäärisessä muodossa, allekirjoituksen perusmerkitys on edelleen sama eli allekirjoittajan ja asiakirjan allekirjoitusajan tunnistaminen sekä varmistuminen kohteen aitoudesta (Doherty 2001). Julkisen avaimen järjestelmän ymmärtämiseksi tulee huomioida allekirjoituksen perustehtävä sekä tekijät, mistä sähköinen allekirjoitus koostuu. Tässä luvussa käsitellään allekirjoitustapahtuman yleispiirteitä ja sähköisen allekirjoituksen erikoispiirteitä, vaatimuksia luotettavalle sähköiselle allekirjoitukselle sekä erityisesti digitaalisen allekirjoituksen komponentteja. 3.1 Sähköisen dokumentin allekirjoittaminen Historiallisesti katsottuna allekirjoitus on mikä tahansa merkki, jonka henkilö on tehnyt siinä tarkoituksessa, että merkki olisi hänen allekirjoituksensa. Allekirjoitusmenetelmien vaatimuksien tulee olla yleistajuisia ja ymmärrettäviä huolimatta siitä miten, missä tai milloin allekirjoituksia käytetään. Sähköisen

9 allekirjoituksen kohdalla allekirjoitustavan tulee sellainen, että sitä voitaisiin verrata kynään ja paperiin. (Minihan 2001) Sähköiseksi allekirjoitukseksi kutsutaan sellaista elektronista tietoa, joka on liitetty tai joka on loogisesti yhdistettävissä muuhun elektroniseen tietoon ja joka palvelee tunnistamisen menettelyä. Sähköinen allekirjoitus on siis elektroninen tapahtuma, joka vahvistaa tapahtuman lähteen ja takaa sisällön koskemattomuuden. Sähköisellä allekirjoituksella tarkoitetaan myös tietojoukkoa, joka varmistaa sähköisen viestin eheyden ja alkuperäisyyden julkisesti tarkistettavissa olevan menetelmän avulla. (Laki sähköisestä asioinnista hallinnossa 1999) Sähköisen allekirjoituksen tulee täyttää allekirjoitukselle yleisesti asetetut vaatimukset ja merkitykset. Minihan (2001) on kuvannut allekirjoitustapahtuman ja allekirjoituksen merkityksiä seuraavasti: Todistaminen: Allekirjoituksen kautta voidaan tunnistaa dokumentin kirjoittaja. Kun allekirjoittaja tekee merkin erityisellä, erottuvalla tavalla, kirjoituksesta tulee allekirjoittajan attribuutti. Kirjoituksesta voidaan siis tunnistaa allekirjoittaja. Seremonia: Dokumentin allekirjoitustapahtuma tarkoittaa kirjoittajan huomion kiinnittämistä kirjoittajan toiminnan lailliseen merkitykseen ja sen vuoksi auttaa ehkäisemään huonosti tehtyjä lupauksia tai sopimuksia. Hyväksyntä: Allekirjoitus ilmaisee allekirjoittajan suostumuksen, aikomuksen tai kirjoituksen sisällön tunnustuksen tietyissä asiayhteyksissä. Näissä tapauksissa allekirjoituksella on laillinen tarkoitus ja voima. Tehokkuus ja logistiikka: Dokumentin allekirjoitus päättää tapahtuman ja selventää sovitun asian. Jotta sähköinen allekirjoitus mahdollistaisi edellä mainitut vaatimukset, merkintä eli allekirjoitus tulisi olla selvästi liitettävissä ja tunnistettavissa allekirjoittajaan.

10 Sähköiseen allekirjoitukseen liittyy kiinteästi termit allekirjoittaja, allekirjoituksen luomistiedot ja varmennepalvelu. Allekirjoittaja on henkilö, joka tekee allekirjoituksen sähköisesti allekirjoituslaitteella tai sovelluksella ja joka toimii joko itsenäisesti tai edustamansa kokonaisuuden toimeksiannosta. Allekirjoituksen luomistiedolla tarkoitetaan yksityiskohtaista tietoa, kuten koodia tai yksityisiä salausavaimia, joita käytetään elektronisen allekirjoituksen luomisessa. Varmennepalvelu on puolestaan kokonaisuus tai henkilö, joka asettaa varmenteita tai mahdollistaa muut elektronisiin allekirjoituksiin liittyvät palvelut. (Directive 1999/93/EC) Sähköisiin allekirjoituksiin liittyy usein juridinen merkitys, koska allekirjoituksella pyritään lisäämään luottamusta allekirjoitetun kohteen eri osapuolien välille. Sähköisen allekirjoituksen juridinen merkitys määritellään eri maiden laeissa hieman eri tavoilla. Asiantuntijoiden yleisen mielipiteen mukaan allekirjoitusta ei tulisi määritellä laissa teknisesti vaan ainoastaan periaatteellisesti. EY:n sähköisistä allekirjoituksista (Directive 1999/93/EC) antaman direktiivin 2 artiklan 2 kohdan mukaan sähköisen allekirjoituksen tulee täyttää seuraavat vaatimukset: Sähköisen allekirjoituksen tulee viitata ainoastaan allekirjoittajaan ja sen tulee yksilöidä allekirjoittaja. Allekirjoitus tulee luoda sellaisella menetelmällä, jota allekirjoittaja voi täysin valvoa. Sähköinen allekirjoitus tulee olla liitettynä kohteena olevaan tietoon niin, että tiedon myöhempi muuttaminen voidaan havaita. 3.2 Sähköisen allekirjoituksen vaatimukset Allekirjoituksella pyritään siis tunnistamaan dokumentin lähettäjä tai laatija. Allekirjoituksen tehtävänä on myös varmistaa dokumentin sisällön oikeellisuus ja eheyden säilyminen. Allekirjoitus palvelee myös todistusoikeudellista funktiota: osapuolten tulee voida vedota allekirjoitukseen todisteena ristiriitatilanteessa. Tässä tapauksessa puhutaan tiedon kiistämättömyydestä. Allekirjoittajan tulee olla tietoinen siitä, että allekirjoitettu viesti tai asiakirja tulee allekirjoituksen myötä sidotuksi

11 esimerkiksi asiakirjan sisältöön. Nämä allekirjoituksen vaatimukset pätevät myös sähköisiin allekirjoituksiin. (Park ym. 1999, Perttula 2002) Sähköiseltä allekirjoitukselta vaaditaan siis seuraavia ominaisuuksia, jotta sen välityksellä allekirjoitettu viesti olisi hyväksyttävissä: eheys, muuttumattomuus ja viestin lähettäjän tunnistaminen eli autentikointi. Seuraavissa alaluvuissa käsitellään näitä tekijöitä tarkemmin. 3.2.1 Tiedon eheys Asiakirjan eheyden varmistamiseen on perinteisesti kuulunut asiakirjan sulkeminen kirjekuoreen. Ennen kirjekuoria käytettiin sinettejä asiakirjan laatijan tunnistamiseen ja eheyden turvaamiseen. Sähköisessä viestinnässä on puolestaan omat tapansa viestin muuttumattomuuden varmistamiseksi. Perttula (2002) kuvaa tutkimuksessaan tapoja varmistua asiakirjan alkuperäisyydestä ja muuttumattomuudesta seuraavasti: Yksinkertaisin tietoverkkoympäristössä käytettävissä oleva menetelmä sähköisten hallinnollisten viestien tai asiakirjojen eheyden suojaamiseksi lienee vastaanotetun viestin lähettäminen takaisin lähettäjälle, joka voi siten verrata vastaanotettua viestiä alkuperäisen viestin kanssa. Perttula kuvaa toiseksi mahdolliseksi tavaksi lähettää sama sähköinen viesti tai asiakirja kaksi kertaa joko kahta eri reittiä pitkin tai vaihtoehtoisesti kahteen vastaanottajan eri osoitteeseen, jolloin viestien tai asiakirjojen keskenään vertaaminen jää vastaanottajan tehtäväksi. Edellä mainittujen tapojen lisäksi on olemassa erilaisia salausmenetelmiä. Salaus- eli kryptografiajärjestelmiä on kahdenlaisia. Salaisen avaimen järjestelmässä eli symmetrisessä järjestelmässä viestivillä osapuolilla on käytössään yhteinen salausavain, jota he käyttävät sekä viestin salaamiseen että salauksen purkamiseen. Toinen salausmenetelmä on julkisen avaimen järjestelmä eli asymmetrinen salaus, jossa asiakirjan salaamiseen voidaan käyttää joko julkista tai salaista avainta. Viestin salaamiseen ja salauksen purkamiseen käytetään eri avaimia. (Perttula 2002) Salaiset avaimet on pidettävä ainoastaan niiden oikeiden omistajiensa hallussa, jotta voidaan varmistua järjestelmän turvallisuudesta ja toimivuudesta. Turvallisuuteen

12 vaikuttavat oleellisesti myös käytettävien salausavaimien ja algoritmien pituus. Riittävän vahvaksi salausavaimeksi Suomessa katsotaan olevan 1024 bitin pituinen salausavain. (Viestintävirasto) 3.2.2 Tiedon kiistämättömyys Oikeudellisesti merkityksellisen tiedon siirtäminen tietoverkoissa edellyttää, ettei tietoverkoissa toteutettuja menettelyjä tai tapahtumia voi jälkeenpäin kiistää. Oikeudellinen sitovuus vaatii, ettei kumpikaan osapuoli voi kiistää osallisuuttaan sähköisen viestinnän tapahtumassa. Kukaan viestinnän osapuolista ei voi kiistää myöskään omia toimintojaan jälkeenpäin. Viestin vastaanottajan tulee olla varma siitä, ettei viestin lähettäjä pysty jälkeenpäin kiistämään lähettäneensä viestiä. (Perttula 2002) Hallinnollisten viestin lähettämisessä on myös hyvin tärkeää viestin lähetysajankohtien kiistämättömyys, koska tapahtumien ajankohtiin liittyy usein erilaisia oikeusvaatimuksia. Samoin tulee varmistua siitä, ettei samaa viestiä voi lähettää uudelleen myöhempänä ajankohtana. Paperimuotoisen viestin lähettämisajankohdan voi usein tarkistaa postileimasta, mutta tietoverkkoympäristössä tapahtumien lähettämisajankohdista voi olla vaikeaa esittää luotettavaa näyttöä. Loki-tiedostoilla voidaan hallita tietoverkkoliikenteen tapahtumia, mutta luotettavampi tapa on kuitenkin kolmannen osapuolen tarjoama aikaleimapalvelu. Tämä palvelu vahvistaa sähköisen viestin sisällön ja olemassaolon sekä esimerkiksi digitaalisen allekirjoituksen laatimisen ajankohdan. Aikaleimaan perustuvan näytön luotettavuus riippuu kolmannen osapuolen luotettavuudesta. (Perttula 2002) Suomessa annetussa laissa Sähköisestä asioinnista (1318/1999) on viranomaisen viipymättä ilmoitettava sähköisen asiakirjan vastaanottamisesta asiakirjan lähettäneelle. Kansalaisilla on siis oikeus olettaa, ettei sähköinen asiakirja ole mennyt perille, jos hän ei ole saanut vahvistusta perillemenosta kohtuullisen ajan kuluessa.

3.2.3 Tiedon lähettäjän tunnistaminen 13 Informaation suojaamiseen kuuluu kiinteästi tiedon lähettäjän tai lähteen tunnistaminen eli autentikointi. Sillä selvitetään, onko kohde juuri se, jota väittää olevansa. Sähköistä allekirjoitusta hyödynnetään sähköisesti siirretyn tiedon autentikoinnissa. Tunnistaminen on välttämätöntä, jotta tietoverkoissa toimivat henkilöt voisivat olla vastuussa teoistaan myös tässä ympäristössä. Yleisimmin käytetty autentikointitapa on salasana, jolla henkilö tunnistautuu tietojärjestelmälle sisäänkirjautumisensa yhteydessä. Järjestelmä todentaa henkilön salasanan perusteella. Salasanoihin perustuvaa autentikointia kutsutaan heikoksi tunnistamiseksi, koska salasana voi olla suhteellisen helppo murtaa. (Linden 2002) Vahvat tunnistustekniikat perustuvat salausmenetelmiin kuten julkisen avaimen menetelmään, jota käsitellään seuraavassa, digitaalisista allekirjoitusta käsittelevässä kappaleessa. 3.3 Digitaalinen allekirjoitus Digitaalinen allekirjoitus kuuluu sähköisiin allekirjoituksiin, joka on tuotettu julkisen avaimen infrastruktuuria hyödyntäen. Digitaalisen allekirjoituksen avulla voidaan varmistua viestin alkuperäisyydestä ja eheydestä. Digitaalisen allekirjoituksen tulee olla yleisesti ihmisen ymmärrettävissä sekä sellaisessa muodossa, että koneet pystyvät käsittelemään sitä. Koneellisella muodolla voidaan tarkoittaa joko laitteen sisäistä (erityinen laite digitaaliseen allekirjoitukseen) tai laitteen ulkoista muotoa (koneen tulkitsema koodi). (ETSI 2002) Digitaalinen allekirjoitus käyttää julkisen avaimen salausmenetelmää. Julkisen avaimen salaus on epäsymmetrisen salauksen muoto, joka perustuu yksityisen ja julkisen avainparin hyödyntämiseen. Salausavaimet vastaavat toisiaan niin, että julkisella avaimella salattu viesti voidaan avata vain avainparin yksityisellä avaimella ja päinvastoin. (vrt. symmetrinen salaus, jossa viesti salataan ja puretaan samalla avaimella) (Viestintävirasto) Salausavain on pitkä numerosarja, joka on salaus- ja purkualgoritmin parametri. Salausalgoritmi on puolestaan matemaattinen kaava, joka muuntaa viestin muotoon, jota

14 vastaanottajan on mahdotonta lukea. Purkualgoritmi muuntaa salatun viestin lukijan ymmärrettävään muotoon. Salaus- ja purkualgoritmien lisäksi viestin salaukseen ja purkuun tarvitaan avain, joka voi olla joko yksityinen tai julkinen. Yksityinen avain on haltijansa henkilökohtainen avain, joka tulee pitää salaisena. Julkinen avain on puolestaan sovituille tahoille yleisesti saatavilla oleva avain, jota voidaan säilyttää esimerkiksi yleisessä hakemistossa. (Viestintävirasto) Koko dokumentin salaaminen epäsymmetrisen salausmenetelmän yksityisellä salausavaimella on hyvin raskas ja aikaa vievä tapahtuma. Tämän vuoksi digitaalisessa allekirjoituksessa käytetään usein tiivistealgoritmia. Dokumentista lasketaan tiiviste, joka salataan epäsymmetrisellä salausalgoritmilla. Tämä salattu tiiviste liitetään allekirjoitettavaan dokumenttiin. (Linden 2002) Digitaalinen allekirjoitus tapahtuu pääpiirteissään seuraavasti: Allekirjoituksessa allekirjoitus luodaan käyttämällä allekirjoittajan yksityistä avainta. Viestin vastaanottaja tarkistaa viestin muuttumattomuuden ja lähettäjän aitouden lähettäjän julkisella avaimella. Tämä tapahtuu vertaamalla lähettäjän allekirjoitusohjelmiston viestistä laskeman lähettäjän yksityisellä avaimella salaaman tiivistettä viestin vastaanottajan allekirjoitusohjelmiston laskemaan lähettäjän julkisella avaimella purettuun viestiin ja viestistä laskettuun tiivisteeseen. Jos nämä tiivisteet ovat täysin samat, on viestin ja allekirjoituksen alkuperäksi varmistunut viestin lähettäjä. (Viestintävirasto)

15 4 JULKISEN AVAIMEN JÄRJESTELMÄ Julkisen avaimen järjestelmä on ohjelmistojen, salausteknologioiden ja palvelujen yhdistelmä. Siitä käytetään yleisesti lyhennettä PKI, joka tulee sanoista Public Key Infrastructure. Julkisen avaimen järjestelmän avulla voidaan selvittää, kenen hallussa julkista avainta vastaava yksityinen avain on. Tämä on tärkeä edellytys sille, että voidaan varmistua viestin lähettäjän aitoudesta. Julkisen avaimen järjestelmään kuuluu oleellisesti aikaisemmin käsitelty digitaalinen allekirjoitus, jonka tehtävä julkisen avaimen järjestelmässä on viestin eheyden ja alkuperäisyyden varmistaminen. Julkisen avaimen järjestelmä voidaan nähdä luottamuksen jakamistapana. Yksityisen avaimen haltijan julkisen avaimen voi hankkia henkilökohtaisesti esimerkiksi puhelimitse tai sähköpostin välityksellä. Tämä tapa on kuitenkin luottamuksen kannalta ongelmallinen varsinkin sellaisille henkilöille, jotka eivät tunne toisiaan entuudestaan. Julkisen avaimen hankintaa helpottamaan onkin luotu luotettu kolmas osapuoli, joka välittää julkisia avaimia viestiville osapuolille. Julkisen avaimen välittämisen lisäksi kolmannen osapuolen tehtäviin kuuluu julkisen avaimen aitouden ja eheyden varmistaminen. Luotettu kolmas osapuoli varmistaa, että julkinen avain säilyy tallessa ja ettei kukaan ulkopuolinen taho pääse käsiksi avaimeen. Julkisen avaimen järjestelmän perusosia ovat varmenne, varmentaja, varmenteen rekisteröijä, varmenteen haltija sekä avaimen elinkaaren hallintaan liittyvät varmennehakemisto ja arkisto. Varmenteen haltijalla tarkoitetaan henkilöä tai tietokonejärjestelmää, jonka julkinen avain on varmennettu varmentajan salaisella avaimella. Seuraavissa alaluvuissa käsitellään yksityiskohtaisemmin varmennetta, varmentajaa, varmenteen rekisteröijää ja avaimen elinkaaren hallintaa liittyviä tekijöitä. 4.1 Varmenne Varmeenteet ovat kolmannen osapuolen antamia sertifikaatteja, joilla tunnistetaan viestivät osapuolet. Tällä estetään ulkopuolisen henkilön pääsyä käsiksi luottamukselliseen tietoon. Laissa sähköisestä asioinnista hallinnossa (1318/1999)

16 varmenteella tarkoitetaan tietojoukkoa, joka varmistaa varmenteen haltijan henkilöllisyyden sekä varmenteeseen sisältyvien tietojen eheyden ja alkuperäisyyden. Minihan (2001) selventää varmenteen ja digitaalisen allekirjoituksen roolia tarkentaen seuraavasti: Varmenne on sähköinen todistus, jolla julkisen avaimen haltija yhdistetään hänelle myönnettyyn julkiseen avaimeen. Digitaalisella allekirjoituksella taataan puolestaan varmenteen alkuperä ja eheys. Varmenne sisältää muun muassa haltijansa julkisen avaimen ja haltijan nimen. Varmenteiden avulla voidaan valvoa pääsyä eri järjestelmiin, salata ja purkaa viestejä, käyttää varmenteita digitaalisiin allekirjoituksiin ja varmistua viestien eheydestä. Lain mukaan varmenteen on sisällettävä haltijan nimi ja muu hänet yksilöivä tunniste kuin henkilötunnus, varmentajan yksilöivät tiedot, varmenteen voimassaoloaika, varmenteen yksilöivä tunnus, varmentajan sähköinen allekirjoitus ja tieto varmenteen mahdollisista käyttörajoituksista. Varmenteen on lisäksi perustuttava riittävän vahvaan salaukseen ja varmenteen on perustuttava julkisen avaimen menetelmään tai turvallisuudeltaan vähintään sitä vastaavaan tekniikkaan. 4.2 Varmentaja Varmentajalla tarkoitetaan luotettavaa viestivien osapuolien ulkopuolista tahoa, joka määrittelee, luo ja myöntää varmenteen. Varmentaja allekirjoittaa varmenteet ja sulkulistat salaisella avaimellaan. Varmentaja on yleensä viranomainen tai organisaatio, johon kummatikin viestivät osapuolet luottavat. (Viestintävirasto 2001) Varmentaja yhdistää myöntämässään varmenteessa julkisen avaimen ja sen haltijan toisiinsa. Varmenteen luomisessa tunnistetaan varmenteen pyytäjän identiteetti. Varmenteen asettaja antaa varmenteelle viimeisen voimassaolopäivän eli aikaleimaa varmenteen. Varmenteen luomisen ja aikaleimauksen jälkeen varmenteen asettaja palauttaa varmenteen varmennetta pyytäneelle järjestelmälle tai taholle. Varmenne voidaan myös siirtää suoraan haluttuun hakemistoon. (RSA 2001) Laissa sähköisestä asioinnista hallinnossa varmentajan toiminnan on perustuttava yleisesti hyväksyttyihin käytäntöihin ja hyvään tiedonhallintatapaan. Varmentajalla on lisäksi oltava tekniset, taidolliset ja taloudelliset voimavarat, joita pidetään riittävinä

17 suhteessa sen harjoittaman varmentamistoiminnan laajuuteen. Väestörekisterikeskuksen HST-varmennepolitiikan (1999) mukaan varmentajatahon henkilökunnalla tulee olla tarjottujen palveluiden edellyttämä asiantuntemus, kokemus ja pätevyys. Varmentajan on pidettävä varmenteista ja käytettävistä julkisista avaimista asianmukaista ja ajantasaista rekisteriä varmenteen voimassaolon tarkistamista ja sähköisen allekirjoituksen alkuperäisyyden toteamista varten. Varmennerekisteriin merkityt tiedot on lisäksi säilytettävä pysyvästi. 4.3 Varmenteen rekisteröijä Ennen varmenteen luovuttamista käyttäjälle tulee käyttäjä rekisteröidä. Varmenteen käyttäjän rekisteröinti on prosessi, jossa kerätään tietoja käyttäjästä ja varmistetaan käyttäjän identiteetti, jota puolestaan käytetään käyttäjän rekisteröimiseen. Varmenteen rekisteröijä on taho, joka todentaa varmenteen hakijan henkilöllisyyden laissa säädetyllä tavalla. (Väestörekisterikeskus 1999) Varmenteen rekisteröintiprosessi on erillään varmenteen luomisesta, allekirjoittamisesta ja myöntämisestä. Varmenteen asettaja- ja rekisteröintitahot ovat toiminnallisia komponentteja, jotka voidaan sisällyttää monilla eri tavoilla joko laitteisiin tai ohjelmistoihin. Esimerkiksi varmenneotoiminta voidaan sisällyttää yhdelle tai useammalle palvelimelle samoin kuin rekisteröintitoiminta. Palvelimet on nimetty yleensä varmennepalvelimiksi ja rekisteröintipalvelimiksi. (Viestintävirasto, Linden 2002) 4.4 Salausavaimen elinkaaren hallinta Julkisen avaimen järjestelmän ydintoiminta perustuu salausavaimiin. Näin ollen salausavaimien elinkaaren hallinta on kriittinen osa järjestelmään. Avaimen elinkaaren hallintaan kuuluvat muun muassa jo aikaisemmin käsitelty varmenteen myöntäminen sekä varmennehakemistot, sulkulistat ja salausavainten arkistointi. Varmenteet sijaitsevat varmennehakemistossa, joka voi olla joko kaikkien tai vain valtuutettujen henkilöiden saatavilla esimerkiksi tietyn varmennepalvelimen kautta. Varmenteiden lisäksi hakemistoa voidaan käyttää myös sulkulistan jakamiseen.

18 Sulkulista tulee olla varmenteisiin luottavan osapuolen saatavilla, josta voidaan tarkistaa varmenteen voimassaolo. (Linden 2002) Sulkulistat ovat hakemistoja, joissa säilytetään kesken voimassaoloajan mitätöityjä varmenteita. Sulkulistalle joutunutta varmennetta ei voi aktivoida uudelleen käyttöön. (Väestörekisterikeskus 1999) Varmenne voidaan hylätä esimerkiksi silloin, kun työntekijä lopettaa työt tai vaihtaa nimeä. Varmenne voi päätyä sulkulistalle myös siinä tapauksessa, jos haltijan yksityinen avain on kadonnut tai joutunut vääriin käsiin. Tällaisissa tapauksissa varmenteen asettaja hylkää varmenteen ja päivittää tiedot sulkulistalle. Varmennearkiston tehtävä on varastoida myönnetyt varmenteet ja sulkulistat. Varmennearkistossa varmenteet ja sulkulistat suojataan fyysisillä toimenpiteillä niin, että niiden aitouteen ja eheyteen voidaan luottaa vielä varmenteiden voimassaolon päätyttyäkin. Esimerkiksi juridisissa tilanteissa varmennearkistosta voidaan tarkistaa, onko asiaan liittyvä varmenne ollut voimassa tiettynä ajankohtana. 4.5 Julkisen avaimen järjestelmän varmennearkkitehtuurit Julkisen avaimen järjestelmän varmennearkkitehtuurit voidaan jakaa puumaisiin ja verkkomaisiin arkkitehtuureihin. Yleisin puumaisista arkkitehtuureista on X.500/X.509. Toinen yleisesti käytössä oleva varmennejärjestelmä on verkkomainen PGP eli Pretty Good Privacy. Seuraavissa alaluvuissa käsitellään tarkemmin X.500/X.509 -standardia ja PGP:tä. 4.5.1 Puumainen varmennearkkitehtuuri X.500/X.509 X.500/X.509 on yksi ensimmäisistä julkisen avaimen infrastruktuureista. X.500 tarkoittaa julkisen avaimen infrastruktuurissa käytettävää hakemistoa. X.500-hakemisto on hajautettu tietokanta, joka pystyy taltioimaan tietoja niin ihmisistä kuin olioista eri puolille verkkoa sijoitettuihin palvelimiin. X.509 on puolestaan X.500-hakemiston lähtökohtien perusteella luotu varmennetyyppi, jota kutsutaan yleisesti julkisen avaimen varmenteeksi.

19 X.500/X.509 on arkkitehtuuriltaan hierarkkinen infrastruktuuri, jonka lähtökohtana on juurivarmenneorganisaatio. Tässä tapauksessa luottamus luodaan puun juuressa, josta se jaetaan hierarkkisesti kaikille verkon käyttäjille eri varmenneorganisaatioiden kautta. Kaikki käyttäjät tietävät juurivarmenneorganisaation julkisen avaimen. (Adams ym. 2002) X.509-varmennetta käytetään liittämään julkinen avain tiettyyn yksilöön tai entiteettiin. Varmenne on varmenteen myöntäjän digitaalisesti allekirjoittama, mikä vahvistaa sidoksen julkisen avaimen ja sen omistajan välillä. (Park ja Sandhu 1999) X.500/X.509 infrastruktuurin toimintaperiaate on seuraava: Jos viestin lähettäjä haluaa käyttää julkisen avaimen infrastruktuuria salaamaan vastaanottajalle lähettämänsä viestin, lähettäjän tarvitsee tietää vastaanottajan julkisen avaimen. Toisaalta, jos osapuoli haluaa tarkistaa/todentaa toisen osapuolen luoman digitaalisen allekirjoituksen, varmentava organisaatio tarvitsee allekirjoittaneen osapuolen julkisen avaimen. Sekä salatun viestin lähettäjä että digitaalisen allekirjoituksen tarkistaja käyttävät toistensa julkista avainta. (Park ja Sandhu 1999) 4.5.2 Luottamusverkkoarkkitehtuuri PGP Toinen yleinen julkisen avaimen varmennearkkitehtuuri on luottamusverkko. Luottamusverkostaan tunnettu järjestelmä on PGP, Pretty Good Privacy. PGP:ssä jokaisella PGP:n käyttäjällä on ainakin yksi avainpari, jolla hän voi salata ja allekirjoittaa sähköpostiviestejään. Tällä avainparilla käyttäjä voi myös varmentaa muiden käyttäjien julkisia avaimia. Sähköpostin käyttäjät voivat vapaasti valita kehen luottavat. PGP:tä käytetään laajasti turvallisena sähköpostiohjelmistona. (Adams ym. 2000, Linden 2002) PGP:ssä ei ole erillistä varmentajaorganisaatiota, vaan käyttäjät itse luovat luottamusverkostonsa. PGP sisältää julkisen avaimen järjestelmän yleiset ominaisuudet kuten julkisen ja salaisen avaimen menetelmän sekä digitaalisen allekirjoituksen. Avaimet vaihdetaan suoraan sellaisten henkilöiden välillä, jotka luottavat toisiinsa. PGP:n yhteydessä voidaan käyttää myös avainpalvelimia, joka sisältää käyttäjän julkaiseman julkisen avaimen. Tältä palvelimelta voidaan hakea käyttäjien julkisia avaimia ja liittää niitä omaan luottamusverkostonsa osaksi. (Adams ym. 2000)

20 4.6 Julkisen avaimen järjestelmä terveydenhuollossa Terveydenhuollossa on tarvetta turvalliseen tiedonsiirtoon tietoverkkojen välityksellä. Tietoverkkojen välityksellä voidaan siirtää nopeasti esimerkiksi lähetteitä eri sairaaloiden ja hoitopaikkojen kesken tai välittää lääkereseptejä suoraan apteekkiin. Siirrettävät potilastiedot ovat yksityisyyden suojan turvaamisen kannalta kriittisiä. Tiedot on suojattava mahdollisimman hyvin niin, ettei kukaan ulkopuolinen pääse käsiksi henkilökohtaisiin terveystietoihin. Viestivien osapuolten on myös ehdottomasti voitava luottaa siihen, että tieto säilyy alkuperäisenä. Esimerkiksi lääkereseptin tai lähetteen on oltava ehdottomasti alkuperäinen ja muuttumaton, jotta hoitoprosessi etenee suunnitelmien mukaan. Terveydenhuollon tietojensiirrossa pätee myös turvallisen tiedonsiirron kolmas perusedellytys eli kiistämättömyys. Vastaanottajan tulee luottaa siihen, että esimerkiksi vastaanotetun lähetteen kirjoittanut lääkäri ei voi jälkeenpäin kiistää kirjoittamastaan lähetettä. Lähetteen vastaanottaja voi siis toimia lähetteen perusteella luottaen ammattihenkilöltä saatuun asiantuntemukseen. Yksi terveydenhuollon turvalliseen viestinvälitykseen kehitetty suomalainen ratkaisu on Medicotool. Medicotoolin ratkaisut perustuvat julkisen avaimen infrastruktuuriin eli siirrettävän tiedon salakirjoittamiseen, osapuolten tunnistamiseen sekä siirrettävien dokumenttien allekirjoitukseen ja varmenteiden käyttöön sekä palomuureihin. Medicotoolin varmenneorganisaatio luo varmenteet ja ylläpitää sulkulistaa hylätyistä varmenteista. Varmenneorganisaation lisäksi jokaisessa Medicotoolia käyttävässä organisaatiossa on luotettu henkilö, joka välittää varmenteet organisaation muille käyttäjille. Varmenteen luomis- ja välittämisprosessissa käytetään hyväksi sähköpostia. Luotettu henkilö lähettää pyynnön varmenneorganisaatiolle saadakseen varmenteen. Varmenneorganisaatio tarkistaa luotetun henkilön tiedot sekä hänen digitaalisen allekirjoituksensa. Jos nämä tiedot ovat kunnossa, varmenneorganisaatio luo varmenteen ja lähettää sen allekirjoitettuna sähköpostina luotetulle henkilölle. Varmenneorganisaatio lähettää varmenteen käyttämiseksi tarvittavan salasanan suoraan varmennetta käyttävälle henkilölle, joten salasana ei enää välity luotettavan kolmannen

21 osapuolen kautta ja estää näin hänen mahdollisuuttaan päästä käsiksi luotettuun tietoon. (Hoikkala 1997) Medicotoolin varmenneorganisaatio pitää hakemistoa käyttäjien julkisista avaimista. Koska Medicotool käyttää viestin välitykseen sähköpostia, sähköpostiohjelma hakee automaattisesti sen henkilön julkisen avaimen, jolle sähköpostia ollaan lähettämässä. Tämä tietysti edellyttää, että kyseisen henkilön julkinen avain on talletettuna varmenneorganisaation hakemistossa. Medicotoolin käyttäjä voi lähettää salattuja viestejä myös muille, oman organisaation ulkopuolisille henkilöille, jotka käyttävät julkisen avaimen järjestelmää eli luotettua kolmatta osapuolta. (Hoikkala 1997) 4.7 Julkisen avaimen järjestelmä sähköisessä kaupankäynnissä Julkisen avaimen infrastruktuurin käyttö on lisääntynyt varsinkin elektronisen kaupankäynnin puolella. Turvallinen tiedonsiirto ja käyttäjien autentikointi ovat sähköisen kaupankäynnin edellytys, jota ilman on mahdotonta luottaa kaupankäynnin osapuolien vilpittömyyteen. Visa ja Mastercard ovat kehittäneet ratkaisun turvalliseen kaupankäyntiin avoimissa verkoissa. SET eli Secure Electronic Transaction varmistaa korttimaksun turvallisuuden kaikille kaupankäynnin osapuolille. SET mahdollistaa kaupankäynnin osapuolten tunnistamisen varmistuen siitä, että myyjällä on oikeudet hyväksyä maksut ja ostaja on maksukortin laillinen käyttäjä. SET-käytännössä sekä ostotapahtumasta että maksutapahtumasta lasketaan tiivisteet, joita käytetään allekirjoitusten purkamiseen. Ostajan ohjelmisto tarkistaa ennen tilauksen lähettämistä myyjän oikeellisuuden. Myyjäosapuolen ohjelmisto lähettää digitaalisesti allekirjoitetun sanoman. Tämä sanoma sisältää sekä myyjän että korttijärjestelmän varmenteet. Ostajan ohjelmisto puolestaan tarkistaa nämä saamansa varmenteet. Jos ohjelmisto hyväksyy varmenteet, ohjelmisto lähettää symmetrisellä salausmenetelmällä salatun tilauksen, joka sisältää ostajan varmenteen sekä maksu- ja tilaustiedoista muodostetun kaksoisallekirjoituksen. Kaksoisallekirjoituksella mahdollistetaan, että myyjä ei saa tietää ostajan maksukortin tietoja eikä pankki ostajan

22 ostostietoja. Kaksoisallekirjoituksen välityksellä voidaan kuitenkin yhdistää tietty ostotapahtuma ja maksutapahtuma varmasti toisiinsa. (TIVEKE) Myyjän ohjelmiston tehtäväksi jää tarkistaa ostajan varmenteen kelpoisuus ja purkaa kaksoisallekirjoitus. Myyjän ohjelmisto lähettää vielä kyselyn varmenteen maksukortin myöntäjälle varmistuakseen, että maksukortti on voimassa. Jos kaikki on kunnossa, ostajan järjestelmä lähettää tilausvahvistuksen. Kun tilaus on postitettu, myyjä saa luottokorttiyhtiöltä maksut hallussaan olevien elektronisten tositteiden perusteella. (TIVEKE)

23 5 YHTEENVETO Sähköinen viestintä avointen verkkojen välityksellä on yleistynyt voimakkaasti. Avoimet verkot mahdollistavat viestin välityksen myös sellaisten osapuolten välillä, jotka eivät entuudestaan tunne toisiaan. Jotta viestintä olisi luotettavaa, tulee viestimistavoiksi valita yleisesti suositeltavia käytänteitä. Näistä käytänteistä on saanut paljon julkisuutta julkisen avaimen järjestelmä eli PKI. Sen uskotaan tuovan ratkaisun sähköiseen viestin välitykseen avoimissa verkoissa. Julkisen avaimen järjestelmä tarjoaa käyttäjälleen läpinäkyvän tavan tunnistaa viestivä osapuoli sekä varmistua vastaanotetun viestin eheydestä ja kiistämättömyydestä. Nämä luotettavan sähköisen viestinvälityksen perusvaatimukset toteutuvat julkisen avaimen järjestelmässä luotetun kolmannen osapuolen toiminnan, digitaalisten allekirjoitusten, salausalgoritmien ja varmenteiden välityksellä. Varmenteilla ja varmenneviranomaisen toiminnalla hallitaan luottamuksen jakamista viestivien osapuolten välillä. Varmenneviranomaista kutsutaan myös luotetuksi kolmanneksi osapuoleksi. Varmenneviranomainen asettaa, myöntää ja ylläpitää varmenteita. Viestivät osapuolet tuntevat ja luottavat valitsemaansa kolmanteen osapuoleen, jonka toiminta mahdollistaa toisiaan tuntemattomien osapuolten väliseen luottamukseen. Julkisen avaimen järjestelmää kehittämällä voidaan lisätä luottamuksen hallintaa viestittäessä avoimissa tietoverkoissa. Järjestelmä ei ole kuitenkaan yleistynyt niin, kuin sen on oletettu. Sähköisen kaupankäynnin yleistyessä julkisen avaimen infrastruktuurin uskotaan myös yleistyvän, koska liikuteltaessa rahaa avoimissa verkoissa tulee varmistua viestinnän luotettavuudesta ja turvallisuudesta. Toinen merkittävä julkisen avaimen käyttökohde saattaisi olla terveydenhuollon viestien välitys. Avointen verkkojen välityksellä voidaan tietoa siirtää nopeasti ympäri maailmaa. Koska siirrettävä tieto on tässä tapauksessa tietosuojan ja henkilön fyysisen turvallisuuden kannalta erittäin kriittistä, tulee varmistua viestin säilymisestä muuttumattomana. Henkilön fyysisellä turvallisuuden tarkoitan tässä yhteydessä esimerkiksi lääkereseptien ja lääkärinlähetteiden vääristymisestä aiheutuvia vaaratilanteita potilaan hoidossa.

24 Luottamuksen lisäämiseksi luotu luotettu kolmas osapuoli ja sille kertyneet tiedot käyttäjistä ovat tuoneet mukanaan ongelmia yksityisyyden varmistamiseen. Kolmannen osapuolen tietokantoihin kerääntyy suuri määrä yksityiskohtaista tietoa osapuolista ja heidän välisestä viestinnästä. Kaiken lisäksi kolmannet osapuolet saattavat muodostaa toisten kolmansien osapuolten kanssa yhteisiä verkkoja, jolloin kerätty tieto on vielä useamman tahon käytössä. Tästä voi seurata vakavia uhkia yksityisyyden säilymisen kannalta, jos tietoja käytetään tai tulkitaan väärin tai jos niitä joutuu vääriin käsiin. (Brands 2000) Tarvitaan siis selviä pelisääntöjä ja takuuta siitä, että viestintää voidaan toteuttaa luotettavasti sillä ehdolla, että viestijöiden yksityisyyteen kajoamiselta voidaan välttyä. Yksi tapa yksityisyyden parempaan hallintaan tarjoaa XML-salakirjoitus ja allekirjoitus, joiden avulla voidaan salata ja allekirjoittaa haluttu osa dokumenttia. Esimerkiksi kaupankäynnissä kauppias ei näe maksukortin tietoja ja maksukortin myöntäjä ei näy puolestaan tietoja siitä, mitä ostaja on ostanut. (O Neill 2002) Yksityisyyden suojaamista voidaan tehostaa kehittämällä yhä tiukemmin yksityisyydensuoja-asiat huomioon ottavia järjestelmiä ja tekniikoita. Ihmisten käyttäytymiseen ja toimintatapoihin voidaan puolestaan vaikuttaa laeilla ja asetuksilla. Esimerkiksi Suomen henkilötietolain tarkoituksena on toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä. Lain 32 määrää tietojen suojaamisesta muun muassa seuraavaa: Rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Viranomaisten hyvästä tiedonhallintatavasta on puolestaan määrätty julkisuuslain 18 :ssä seuraavasti: Viranomaisen tulee hyvän tiedonhallintatavan luomiseksi ja toteuttamiseksi huolehtia asiakirjojen ja tietojärjestelmien sekä niihin

25 sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja muusta tietojen laatuun vaikuttavista tekijöistä.. Julkisen avaimen järjestelmän kehittämiseen tarvitaan lisää tutkimusta, jotta saataisiin kehitettyä toimiva, kustannuksiltaan edullinen ja helposti käyttöönotettava ratkaisu. Samoin yhä kriittisempää huomiota olisi kiinnitettävä yksityisyyden säilymiseen uusien ja olemassa olevien tekniikoiden kehittelyssä. Nämä tekijät huomioivan tekniikan ja koko infrastruktuurin rakentamisen perusedellytys on julkisen avaimen järjestelmän tunteminen, mitä käsiteltiin tässä tutkielmassa. Julkisen avaimen järjestelmä tarjoaa jo nyt riittävän tekniikan luotettavan viestinnän mahdollistamiseen. Päättäjien tulisikin nähdä julkisen avaimen järjestelmä potentiaalisena mahdollisuutena lisätä luottamusta yritysten väliseen liiketoimintaan ja panostaa enemmän resursseja järjestelmän käyttöönottamiseksi ja kehittämiseksi.

26 LÄHTEET Adams, Carlisle., Burmester, Mike., Desmedt, Yvo., Reiter, Mike., Zimmermann, Philip. Which PKI is the Right One? 2000. Panel Discussion in Proceedings of the 7 th ACM conference on Computer and communication security. Athens, Greece. Brands, Stefan. 2000. Rethinking Public Key Infrastructures and Digital Certificates. The MIT Press. Directive 1999/93/EC of the European Parliament and of the Council on a Community framework for electronic signatures, 13 December 1999. Official Journal of the European Communities. Doherty, Sean. The E-Signature Act Makes Online Transactions Legally Binding. Network Computing. Vol. 12 Issue 25. 12/10/2001. ETSI TR 102 041 V1.1.1 (2002-02). Signature Policies Report. Technical Report. Hoikkala, M. Tietoturvan kuvaus Medicitoolissa. Tuotekuvaus Finnet Com Oy. 1997. Laki sähköisestä asioinnista hallinnossa. Suomen laki. N:o 1318/1999. Linden, Mikael. 2002. Julkisen avaimen järjestelmä, toimikortit ja niiden soveltaminen organisaatiossa. Tampereen teknillinen korkeakoulu. Tietotekniikan osasto. Lisensiaatin työ. Minihan, Jim. 2001. Electronic Signature Technologies: A Tutorial. Information Management Journal. Plaire Village. Perttula, Juha. 2002. Tietoverkkojen oikeudelliset kysymykset Euroopan unionin jäsenvaltioiden viranomaisten välisessä sähköisessä viestinnässä. Helsinki. Kansaneläkelaitos. Sosiaali- ja terveysturvan tutkimuksia.

27 Park, Joon., Sandhu, Ravi. 1999. RBAC on the Web by Smart Certificates. Laboratory for Information Security Technology. Information and Software Engineering Department. George Mason University. RBAC 99 10/99. Fairfax. VA. USA. RSA Security. Understanding Public Key Infrastructure (PKI). 2001. Technology White Paper. Suomen henkilötietolaki. Luku 7: Tietoturvallisuus ja tietojen säilytys. 32 : Tietojen suojaaminen. N:o 523/99. Suomen julkisuuslaki. Luku 5: Laki viranomaisen toiminnan julkisuudesta. 18 : Hyvä tiedonhallintatapa. N:o 621/1999. TIVEKE. Liikenneministeriön kansallinen tietoverkkojen kehittämisohjelma. 1998. Tiveke 2 -työryhmä: Tietoturva verkoissa. 18.3.1998. [viitattu 14.5.2002]. Saatavilla www-muodossa <http://www.tieke.fi/arkisto/tiveke/turva.htm >. Viestintävirasto. Tietoturva. [viitattu 28.4.2002]. Saatavilla www-muodossa <http://www.ficora.fi/suomi/tietoturva/>. Väestörekisterikeskus. HST-varmennepolitiikka: Sähköisellä henkilökortilla olevia hallinnon sähköisen asioinnin henkilövarmenteita varten. Helsinki, 1999.