Osastot
Lehdistölle
Blogit
Tekstihaku

Kotisivu Teknologiat ja arkkitehtuurit Käyttäjien vahva tunnistaminen ja laatuvarmenteet

Käyttäjien vahva tunnistaminen ja laatuvarmenteet

PDF Tulosta Sähköposti

Internetin merkityksen kasvu on ollut nopeaa. Tutkijoiden työkalusta on kehittynyt koko kansan viihdepalveluiden kanava, mutta myös jo kriittinen osa yhteiskunnan perustoimintoja.

Kun Internetin kautta hoidetaan raha-asioita, julkispalveluita ja liiketoimintaa, on käyttäjätunnistus ja käyttäjän todentaminen entistä tärkeämpää. Vanhan viisauden mukaan "Internetissä kukaan ei tiedä, että olet koira". Netissä luotettiin siihen, että käyttäjä oli se joka sanoi olevansa. Alkuaikoina ei juurikaan ollut identiteettiväärennöksiä tai anonyymejä käyttäjiä. Mutta kuten mikä tahansa infrastruktuuri, myös Internet kasvoi tuon kulta-aikansa ohi nopeasti. Nyt käyttäjän todentamiselle ja tunnistamisen luotettavuudelle on asetettu paljon suuremmat vaatimukset.

Laatuvarmenteet ja henkilön sähköinen tunnistaminen Suomessa

Suomessakin julkishallinnolliset palvelut ovat löytäneet tiensä Internetiin. Vuonna 1999 lanseeratttin hieman huonosti levinnyt Väestörekisterikeskuksen kansalaisvarmenneprojektiin perustuva HST-kortti. Sen jälkeen lakia henkilön sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista on päivitetty. Uusi laki astui voimaan elokuussa 2009. Se  asettaa vaatimukset vahvan sähköisen tunnistamisen menetelmille, henkilön ensitunnistamiselle,  palvelun tarjoajan vaatimuksille ja velvollisuuksille, laatuvarmenteille ja sillä tehdyille sähköisille allekirjoituksille, sekä niiden oikeustoimikelpoisuudelle.

Uuden lain mukaan muutkin kuin viranomaisorganisaatiot kuin voivat ryhtyä laatuvarmentajiksi tarjoamaan entistä helpompaa vahvaa sähköistä tunnistamista.

Vahva sähköinen tunnistaminen perustuu vähintään kahteen seuraavista ominaisuuksista:

  • salasanaan tai johonkin muuhun sellaiseen, mitä tunnistusvälineen haltija tietää;
  • sirukorttiin tai johonkin muuhun sellaiseen, mitä tunnistusvälineen haltijalla on hallussaan; tai
  • sormenjälkeen tai johonkin muuhun tunnistusvälineen haltijan yksilöivään ominaisuuteen.

Lisäksi kortin omistaja on ensitunnistettava henkilökohtaisesti korttia myönnettäessä virallisesta henkilökortista tai passista.

Vain yhtä mainituista ominaisuuksista käyttävää todentamista kutsutaan heikoksi tai kevyeksi tunnistamiseksi.  Tällaisia ovat esimerkiksi käyttäjätunnus- ja salasanatunnistautuminen, pelkkä sirukortti tai puhelin(numero) ja pelkkä biotunnistaminen.

Laatuvarmenteeksi kutsutaan varmennetta, joka myöntää ja operoi vahvan tunnistamisen ympäristöä laissa asetettujen vaatimusten ja velvollisuuksien mukaisesti. Näitä vaatimuksia ovat kriteerit varmentajan henkilöstölle, taloudelliset edellytykset palvelun toimivuudelle, julkinen arviointi toiminnan laadusta, luotettavuus toiminnassa ja valitussa alustassa, hyväksytyt prosessit toiminnassa, lainmukainen toiminta varmennerekisterien säilytyksestä sekä oikeudellinen ja vahingonkorvausvastuu luomistietojen oikeudettoman käytön aiheuttamasta vahingosta. Viranomaisella on oikeus valvoa laatuvarmentajien toimintaa.

Tunnistustarpeet

Valtionhallinnon VAHTI-työryhmä on jakanut julkishallinnon sähköiset palvelut eri kategorioihin, joiden tarkoitus on auttaa valitsemaan joka palvelulle oikean tasoinen tunnistus.

Perusperiaatteen mukaan henkilön vahvaa sähköistä tunnistamista käytetään vain silloin, kun se on tarpeen verkkopalvelun sisällön vuoksi. Tällaisia palveluita ovat esimerkiksi luottamuksellinen viranomaisasiointi, asiointi silloin kun välitetään henkilökohtaisia tietoja, tietojärjestelmien välinen tiedonvaihto, sekä henkilökohtainen "vireillepano" joka tarkoittaa lähinnä sähköisten hakemus- ja tilauslomakkeiden lähetystä.

Käyttäjän identiteetin luotettavuus voidaan jakaa neljään eri tarvetasoon seuraavasti:

  1. anonyymikäyttäjät: käyttäjiä ei rekisteröidä, eivätkä he ole eroteltavissa toisistaan palvelun eri käyttökerroilla
  2. yksilöitävissä olevat käyttäjät: käyttäjällä on rekisteröity käyttäjäidentiteetti, jolla käyttäjä voidaan tunnistaa eri käyttökerroilla samaksi käyttäjäksi. Käyttäjän henkilöllisyyttä tai muita tietoja ei välttämättä tiedetä. Identiteetin rekisteröinti voi tapahtua myös automaattisesti (esimerkiksi web-selaimen evästeiden avulla), jolloin yksilöintitarkkuus voi olla käytetty työasema eikä käyttäjä.
  3. kevyesti todennetut käyttäjät: käyttäjällä on käyttäjäidentiteetti, joka on luotu rekisteröintiprosessin aikana. Rekisteröinnin yhteydessä on varmistauduttu siitä, että ainakin jotkut annetuista käyttäjätiedoista pitävät paikkansa, jolloin käyttäjäidentiteettiä voidaan pitää    moniin tarkoituksiin riittävän luotettavana. Esimerkkinä kevyestä todentamisesta ovat luottokorttitiedot verkkokaupassa, käyttäjän osoite tai puhelinnumero.
  4. vahvasti todennetut käyttäjät: käyttäjän henkilöllisyys on selvitetty luotettavasti, viranomaisten myöntämästä henkilökortista henkilökohtaisesti rekisteröintitilanteessa, ja identiteetin varmistuksen tekee valtuutetun organisaation edustaja.

Identiteetin luotettavuustason jälkeen on päätettävä, millainen todentamisprosessi palvelulle tarvitaan. Tähän on kolme vaihtoehtoista tunistusperiaatetta:

  • Tunnistus perustuu johonkin mitä käyttäjä tietää: yleisimmin käyttäjätunnus ja salasana.  Tunnuksen perusteella käyttäjä tunnistetaan, ja salasanan perusteella todennetaan. Käyttäjä voi kuitenkin kertoa salasanansa eteenpäin, tai se voi paljastua vahingossa ilman, että käyttäjä tietää sen paljastuneen.
  • Tunnistus perustuu johonkin mitä käyttäjällä on hallussaan: esimerkiksi puhelin / sim-kortti, usb-tikku ja varmenne, avain tai toimikortti. Heikkoutena on, että mikään ei sido käyttäjää hallussapidettävään esineeseen. Avain voi hukkua, se voidaan varastaa ja jotkut esineet voidaan myös kopioida.
  • Tunnistus perustuu johonkin mitä käyttäjä on: biometriset tunnisteet kuten sormenjälki, retina, äänitunnistus. Biometristen tunnisteiden tarkka tunnistaminen on vasta kehittymässä, ja esimerkiksi sormenjälkiä voidaan kopioida ja ääntä nauhoittaa niin, että tunnistuslaitteet eivät kopiointia huomaa.

Vahvan tunnistamisen vaihtoehdot

Suomessa on käytössä joitain vahvaa tunnistusta kuluttajille tarjoavia organisaatioita.

Väestörekisterikeskuksen kansalaisvarmenne on saatavilla yleisimmin HST-kortilla, joka toimii samalla myös virallisena henkilökorttina. Kansalaisvarmenne on kuitenkin teknisestä alustasta riippumaton, eli se on teknisesti asennettavissa myös muille toimikorteille kuten pankkikortille tai matkapuhelimen sim-kortille.

Pankkien Tupas-palvelu on laajin vahvan tunnistuksen palvelu Suomessa. Pankkitunnukset ovat lähes jokaisella suomalaisella internet-pankkikäyttöä varten, ja niinpä tunnuksia on ryhdytty käyttämään monissa muissakin käytöissä, esimerkiksi viranomaispalveluissa ja muissa tunnistus- ja maksutapahtumien varmentamisessa. Palvelu ei ole sidottu tiettyyn tekniikkaan, vaan kertakäyttöistä salasanalistaa voi käyttää millä vain web-selaimella ilman lisälaitteita.

Vahvan tunnistamisen tulevaisuus

Entistä useampia kotien jokapäiväisiä maksuja ja juridisia toimenpiteitä siirtyy internetin kautta käytettäväksi.  Siksi sekä laatuvarmenteeseen että muiden vahvaan tunnistamiseen pohjautuvien menetelmien käyttö on edelleen kasvussa.

Toisaalta tunnistus- ja todennusmenetelmien oikean tason löytäminen eri palveluissa on myös tärkeää. Kaikki palvelut eivät ole hakeutumassa vahvempiin tunnistusmenetelmiin -- palveluiden tulisi käyttää oikeaa tunnistustasoa palvelun tärkeyden ja identifikaation kriittisyyden mukaisesti.

Seuraava >
 

Copyright © 2009 ---.
All Rights Reserved.

Joomla template created with Artisteer.