Tämä näyttää erot valitun ja nykyisen version kesken tästä sivusta.
Both sides previous revisionEdellinen revisio | |||
yhdistys:lausunto_vahva_sahkoinen_tunnistus [2008-12-02 07:23] – PDF lisätty haa | yhdistys:lausunto_vahva_sahkoinen_tunnistus [2008-12-02 07:25] (nykyinen) – fiksasin pari indentoitua kohtaa joista tuli koodia haa | ||
---|---|---|---|
Rivi 1: | Rivi 1: | ||
+ | ====== IKI ry:n lausunto vahvaa sähköistä tunnistamista ja allekirjoituksia koskevasta lakiehdotuksesta ====== | ||
+ | |||
+ | (Lausunto PDF-muodossa: | ||
+ | |||
+ | ---- | ||
+ | |||
+ | Liikenne- ja viestintäministeriölle | ||
+ | |||
+ | ===== IKI ry:n lausunto laista sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista ===== | ||
+ | |||
+ | Viite: Lausuntopyyntö 5.11.2008 (1862/ | ||
+ | |||
+ | Internet-käyttäjät ikuisesti IKI ry | ||
+ | |||
+ | ===== IKI ry ===== | ||
+ | |||
+ | Internet käyttäjät ikuisesti - IKI ry on yhdistys joka pyrkii edistämään sähköisen viestinnän edellytyksiä Suomessa. IKI ry:llä on yli 18.000 jäsentä. | ||
+ | |||
+ | Lisätietoja IKI ry:stä: < | ||
+ | |||
+ | ===== Yleistä ===== | ||
+ | |||
+ | Se, että tästä asiasta tehdään lakia varsinkin virallisiin ja tärkeisiin kaupallisiin palveluihin tunnistautumisen piirissä on hyvä asia. Myös erittely tunnistamiseen ja allekirjoituksiin on järkevä. | ||
+ | |||
+ | |||
+ | ===== Pakottavaa vai vapaaehtoista lainsäädäntöä? | ||
+ | |||
+ | Lakiehdotusta voi tulkita ainakin kahdella tavalla:\\ | ||
+ | 1) tarkoitus on kontrolloida kaikkea sähköistä tunnistusta joka täyttää vahvan tunnistamisen tunnusmerkit, | ||
+ | 2) tarkoitus on kontrolloida vain niitä jotka vapaaehtoisesti tekevät ilmoituksen ja haluavat käyttää nimeä "vahva sähköinen tunnistaminen" | ||
+ | |||
+ | Perusteluissa mainitaan " | ||
+ | |||
+ | Jos tarkoitus on 1) pakottava kontrolli, silloin lakiehdotuksen teksti tuo lain määräysten piiriin sellaisiakin toimintamalleja joista ei ole järkevää määrätä noin raskaita maksu- ja vastuuseuraamuksia. Alla esimerkkejä tällaisista ratkaisuista. | ||
+ | |||
+ | Jos tarkoitus on 2) vapaaehtoinen kontrolli, silloin on mahdollista että | ||
+ | - poislukien muutamat nykyiset suuret toimijat, muut tunnistamispalveluiden tarjoajat eivät ilmoittaudu lain piiriin välttääkseen suuret maksut ja vastuut, vaikka heidän tarjoamansa palvelu olisikin käytännössä " | ||
+ | - Jos kuitenkin vain lain mukainen vahvan tunnistamisen tarjoajan palvelu kelpaa tiettyihin erityisen tärkeisiin palveluihin (viranomaiset, | ||
+ | |||
+ | Mielestämme tämä perusasia pitäisi erittäin selvästi ilmaista itse lain tekstissä ettei jää tulkinnanvarausta aluetta. | ||
+ | |||
+ | |||
+ | ===== Sähköisen tunnistamisen ja allekirjoitusten kenttä on monimuotoisempi kuin lakiehdotuksen näkökulma ===== | ||
+ | |||
+ | Lakiehdotus lähestyy tunnistamis- ja allekirjoitusasiaa lähinnä suurten pankkien, operaattoreiden, | ||
+ | |||
+ | Käytössä ja tulossa käyttöön on kuitenkin myös hyvin erityyppisiä teknisesti vahvoja tunnistautumis ja allekirjoitusratkaisuja jotka perustuvat mm. ei-kaupallisiin ja verkostopohjaisiin toimintamalleihin. | ||
+ | |||
+ | Lakiehdotus nykymuodossaan saattaisi estää ja haitata tällaisten uusien ja toimivien tunnistautumismallien käyttöönottoa ja siten huonontaisi kansalaisten tietoturvatilannetta, | ||
+ | |||
+ | ===== Esimerkkejä ei-kaupallisista ja erilaisista tunnistautumis- ja allekirjoitusjärjestelmistä ===== | ||
+ | |||
+ | ==== PGP ==== | ||
+ | |||
+ | PGP on jo pitkään käytössä ollut vahva tunnistus-, allekirjoitus- ja salausjärjestelmä joka perustuu luottamusverkostoihin ("Web of trust" | ||
+ | |||
+ | PGP:n mallissa on yksilöiden tekemien varmenteiden lisäksi myös organisaatioita jotka eri turvatasoja noudattaen varmentavat käyttäjien avaimia, eli toiminta ei tältäkään osin ole keskitettyä. | ||
+ | |||
+ | Lakiehdotusta voi tulkita niin että PGP-avaimia varmentava taho (allekirjoittaja) katsottaisiin " | ||
+ | |||
+ | Lisätietoja: | ||
+ | |||
+ | PGP:tä käytetään jo esimerkiksi kaupallisiin allekirjoitusta vastaaviin palveluihin kansainvälisestikin, | ||
+ | |||
+ | Lisätietoja: | ||
+ | < | ||
+ | |||
+ | ==== IKI PGP CA -toiminta ==== | ||
+ | |||
+ | IKI ry on pyrkinyt edistämään viestinnän luotettavuutta ja tietoturvaa edistämällä PGP:n käyttöä sähköpostiviestinnän yhteydessä, | ||
+ | |||
+ | Tämä tarkoittaa että kaikki PGP:n käyttäjät voivat melko hyvin luottaa iki-jäsenten PGP-allekirjoituksiin jos niissä on IKI PGP CA:n allekirjoitus. IKI ry:tä pidetään varsin luotettavana tahona tällaisissa asioissa. Toiminta ei ole yhteisön sisäistä vaan kattaa kaikki PGP-käyttäjät. Kaikki tämä on tehty vapaaehtoistyönä ilman kaupallisia tavoitteita. | ||
+ | |||
+ | Lisätietoja: | ||
+ | - IKI PGP CA -toiminnan julkistaminen yhdistyksen jäsenlehdessä 13.2.1998\\ | ||
+ | < | ||
+ | - IKI PGP CA:n ohjesääntö ja toiminnan tarkat tiedot\\ | ||
+ | < | ||
+ | IKI PGP CA-ohjesääntöä on pidetty esimerkillisenä tällaisen vapaaehtoistoiminnan ohjeistuksena. | ||
+ | |||
+ | ==== OpenID ==== | ||
+ | |||
+ | OpenID on yleistyvä " | ||
+ | |||
+ | Lakiehdotusta voi tulkita niin, että OpenID-tunnistamispalvelun tarjoaminen olisi lain mukaista " | ||
+ | |||
+ | Lisätietoja: | ||
+ | |||
+ | ==== CA-cert ==== | ||
+ | |||
+ | CA-cert on yhteisöllinen ja verkkoluottamukseen perustuva sertifikaattien varmennusjärjestelmä joka toimii maailmanlaajuisesti. CA-cert varmantejia (" | ||
+ | |||
+ | Lisätietoja: | ||
+ | |||
+ | ===== Ehdotuksia lakiehdotuksen parantamiseksi ===== | ||
+ | |||
+ | Uusien ratkaisujen käyttöönottoa ei tulisi estää liian laaja-alaisella lailla. Ei-kaupallisten toimijoiden toimintamahdollisuudet ja erilaisten ei-virallisten palveluiden tunnistautumistarpeet ja ratkaisut pitäisi olla selvästi sallittuja ilman suuria maksuja tai raskaita velvoitteita. | ||
+ | |||
+ | Laissa tulisi hyvin selkeästi esittää rajaukset siitä mikä toiminta ei kuulu lain piiriin, koska vahingollinen innovaatioita ja käyttöönottoa estävä vaikutus ulottuu myös lain tulkinnanvaraiselle alueelle. | ||
+ | |||
+ | Tunnistautumisen käyttötarkoitus ja teknologinen ratkaisu pitäisi huomioida toisistaan erillisinä asioina. | ||
+ | |||
+ | Tunnistamisessa ja allekirjoituksissa tietoturvatarpeita on monenlaisia ja monen tasoisia laissa ajateltujen virallisten tarpeiden lisäksi. Laissa pitäisi huomioida selkeämmin nämä eri tasoiset tunnistautumistarpeet: | ||
+ | |||
+ | Jos tulkintamahdollisuuksia jää siitä mikä toiminta kuuluu lain piiriin, se käytännössä haittaa tai estää ei-kaupallisten ja muiden uusien innovatiivisten ratkaisujen käyttöönoton ja saattaa huonoimmassa tapauksessa johtaa kartelli- tai monipolitilanteisiin ja niihin liittyviin ongelmiin. | ||
+ | |||
+ | Mielestämme kansalaisten tietoturva on niin tärkeä asia ettei pidä estää innovaatiota ja joustavia toimintamahdollisuuksia eri ympäristöissä ja eri tarpeisiin rajaamalla liian tarkasti tai estämällä lailla erilaisten ratkaisujen käyttöä. | ||
+ | |||
+ | ===== Ehdotetuista maksuista -- edistävätkö ne tärkeitä tietoturvatavoitteita? | ||
+ | |||
+ | Ehdotetussa muodossa lain voi tulkita koskevan myös monia sellaisia tahoja mitä sen ei selvästi pitäisi kattaa, mm. tässä lausunnossa mainittuja tapauksia. | ||
+ | |||
+ | Ei-kaupallisilla tai epävirallisilla toimijoilla ei ole käytännössä mahdollisuuksia lain mainitsemiin suuriin vuosittaisiin maksuihin ja muihin vaatimuksiin. | ||
+ | |||
+ | Maksut saattavat myös motivoida lain piiriin kuuluvia tai lain tulkinnanvaraisella alueella olevia toimijoita pyrkimään välttämään joutumasta lain piiriin, mikä ei ole hyvä asia tietoturvaratkaisujen käyttöönoton kannalta. | ||
+ | |||
+ | Mainitut summat ovat samaa kokoluokkaa kuin tyypillisen start-up-yrityksen koko alkupääoma jolloin tämän alan start-uppeja voisi olla vaikea perustaa Suomeen mikä ei edistä Suomen teknologista kehitystä. Suomessa on kansainvälisesti kovan tason osaamista tästä aihepiiristä eikä sen piirissä syntyvää uutta innovatiivista yritystoimintaa tulisi haitata. | ||
+ | |||
+ | Ei ole myöskään järkevää säätää lakeja joissa on vaatimuksia jotka johtavat muiden kuin suurten kaupallisten toimijoiden palveluiden sijoittamiseen Suomen tai EU:n ulkopuolelle, | ||
+ | |||
+ | Tilannetta voi myös verrata sähköisiin passeihin ja niiden käyttöönottoon. Vaikka CA-rekisteri (ICAO Public Key Directory) on olemassa, suurin osa maista ei ole ilmoittanut avaimiaan sinne koska siitä otetaan suuri maksu. Lopputuloksena on se että sähköisten passien turvallisuus ei ole yhtään parempi kuin normaalin paperisen passin, koska sähköistä allekirjoitusta ei voida tarkistaa kaikkialla... Ylisuurella maksulla on siis estetty halutun tietoturvan toteutuminen käytännössä. | ||
+ | Viite: ICAO PDK | ||
+ | |||
+ | Kustannukset syntyvät nähtävästi kokonaan siitä että " | ||
+ | |||
+ | ===== Teknisiä | ||
+ | |||
+ | Sivulla 14: " | ||
+ | |||
+ | Sivulla 60 kohta " | ||
+ | |||
+ | |||
+ | ===== Lausuntopyynnöistä ja valmistelusta ===== | ||
+ | |||
+ | Pyydämme jatkossa toimittamaan vastaavissa internettiin, | ||
+ | |||
+ | Helsingissä 1.12.2008, | ||
+ | |||
+ | Hannu Aronsson \\ | ||
+ | Puheenjohtaja \\ | ||
+ | Internet-käyttäjät ikuisesti IKI ry | ||
+ | |||
+ | Yhteystiedot | ||
+ | |||
+ | Internet-käyttäjät ikuisesti IKI ry:\\ | ||
+ | Osoite: c/o Hannu Aronsson, Lahnaruohontie 7 A 12, 00200 Helsinki\\ | ||
+ | Sähköposti: | ||
+ | Nettisivut: www.iki.fi | ||
+ | |||
+ | Hannu Aronsson:\\ | ||
+ | Osoite: Lahnaruohontie 7 A 12, 00200 Helsinki\\ | ||
+ | Puhelin: 040 500 6242\\ | ||
+ | Sähköposti: | ||