 |
Näille sivuille on kerätty henkilö- ja organisaatiokortteihin sekä varmenteisiin liittyviä kysymyksiä ja vastauksia.
Perustiedot henkilökorttien hinnoista, matkustusasiakirjakelpoisuudesta ja hakemisesta löytyvät poliisin www-sivuilta.
Väestörekisterikeskuksen muusta toiminnasta löytyy lisätietoja Väestörekisterikeskuksen www-sivuilta.
HST-ryhmän laatima varmennesanasto
Jos et kuitenkaan löydä kysymykseesi vastausta, lähetä meille sähköpostia osoitteeseen: varmennemyynti@vrk.fi
Sisällysluettelo
Henkilökortit
Organisaatiokortit
Varmenteet
Sulkulistat
Palvelinvarmenteet
PKI-perusteet
Varmennepolitiikka
Lainsäädäntö
Henkilökortit
[ sisällysluettelo ]
Miksi hankkisin henkilökortin?
Mitä kortti maksaa?
Haluan käyttää internet-verkkopalveluita. Tarvitsenko kortin lisäksi jotain muuta?
Minkä kokoinen kortti on? Mahtuuko se lompakkoon?
Unohdin PIN-koodini ja PIN/PUK-kuori on kadonnut. Mitä teen?
Unohdin PIN-koodini (vaihdoin PIN-koodini ja kortti on nyt lukossa). Mitä teen?
Korttini varastettiin tai katosi. Mitä teen?
PIN/PUK-kuoreni katosi. Mitä teen?
Voiko PIN-koodia vaihtaa?
Mitä tietoja henkilökortin sirulla on?
Missä yksityiset avaimet ovat? Onko niistä kopioita?
Korttini vanhenee. Onko ennen kortin uusimista jotain huomioon otettavaa?
Voiko kortille tallentaa tietoa?
Miksi korttia sanotaan turvalliseksi?
Kuka kortin on valmistanut?
Hain kortin poliisilta. Mitä tekemistä VRK:lla on korttien kanssa?
Kertyykö jonnekin rekisteri, josta näkyy, mitä ja missä kortilla on tehty?
Käytän henkilökorttia useissa palveluissa. Jääkö kortille niiden käytöstä jälkiä?
Hyödynnän henkilökorttia, varmenteita, vahvaa tunnistamista ja tiedon salaamista. Tarvitaanko muuta?
Miksi hankkisin sirullisen henkilökortin ja VRK:n varmenteet, kun muualta niitä saa halvemmalla?
Mitä tapahtuu, kun korttini vanhenee?
Korttini ei toimi!
Kortinlukijani ei toimi!
Miksi ennen 1.9.2003 myönnetyllä kortilla ei saa salattua/allekirjoitettua sähköpostia?
Miksi hankkisin henkilökortin?
[ sisällysluettelo | henkilökortit ]
Suomen kansalaiselle myönnetty henkilökortti käy henkilöllisyystodistuksena ja matkustusasiakirjana kaikkiin EU-maihin, (Alankomaihin, Belgiaan, Bulgariaan, Espanjaan, Irlantiin, Iso-Britanniaan, Italiaan, Itävaltaan, Kreikkaan, Liechtensteiniin, Luxemburgiin, Portugaliin, Ranskaan, Romaniaan, Saksaan, Tsekin tasavaltaan, Viroon, Kyprokselle, Latviaan, Liettuaan, Unkariin, Maltalle, Puolaan, Sloveniaan ja Slovakiaan), EU:n ulkopuolisista maista San Marinoon ja Sveitsiin. Pohjoismaissa ei tarvita matkustusasiakirjaa, mutta henkilöllisyys on voitava tarvittaessa luotettavasti osoittaa.
Henkilökortin kansalaisvarmenne toimii myös verkkoavaimena mm. pankki-, vakuutus-, opetus-, kunnallis- sekä valtionhallinnon palveluihin. Jatkossa palvelutarjonta tulee yhä lisääntymään, jolloin voidaan todella sanoa henkilökortin olevan yksi avain lukuisiin palveluihin. Lisäksi kortin varmenteiden avulla voi salata ja sähköisesti allekirjoittaa tietoa, esim. sähköpostiviestejä.
Henkilökorttiin voi halutessaan yhdistää sairausvakuutustiedot, jolloin se korvaa erillisen KELA-kortin.
Mitä kortti maksaa?
[ sisällysluettelo | henkilökortit ]
Kortin hinta on 48 € ja sen saa poliisilaitokselta.
Haluan käyttää internet-verkkopalveluita. Tarvitsenko kortin lisäksi jotain muuta?
[ sisällysluettelo | henkilökortit ]
Kortin käyttö internet-palveluissa vaatii aina kortinlukijan ja sen laitteistoajurin sekä kortinlukijaohjelmiston. Erillisiä ohjelmistoja ei välttämättä aina tarvita, esim. erilaisissa VPN-tuotteissa.
Minkä kokoinen kortti on? Mahtuuko se lompakkoon?
[ sisällysluettelo | henkilökortit ]
Kortti on samankokoinen ja -paksuinen kuin yleisesti käytössä olevat pankkikortit. Kortin koko on 86 x 54 mm ja se on paksuudeltaan 0,75 mm. Jos korttia kuljettaa lompakossa, eivät PIN-koodit saa olla siellä. Kortin sirua kannattaa myös varoa. Se on elektroninen osa, joka saattaa hajota mekaanisesta rasituksesta korttia taivutettaessa tai sirun joutuessa kosketuksiin esim. lompakon vetoketjua tai muuta metallia vasten. Myös koskemista sirun kontaktipintaan kannattaa välttää staattisen sähkön vuoksi.
Unohdin PIN-koodini ja PIN/PUK-kuori on kadonnut. Mitä teen?
[ sisällysluettelo | henkilökortit ]
Ensin on käytävä henkilökohtaisesti poliisilaitoksella tilaamassa uusi PUK-kuori, joka maksaa 18 €. Se postitetaan kotiin. Kun kuori on saapunut, voi siinä mainitun PUK-koodin avulla vapauttaa lukittuneen kortin PIN-tunnukset poliisilaitoksella. Tämä maksaa 10 €. Ilman kortinhaltijan PUK-koodia poliisilaitoksella ei voida vapauttaa tai vaihtaa lukkiutuneita PIN-koodeja. Koska PIN-koodia, joka ei ole lukossa - mutta jota ei muisteta -, ei voi yrittää avata PUK-koodilla, on se ennen avausta laitettava tahallisesti lukkoon. Tämä onnistuu helposti kokeilemalla jotain väärää PIN-koodia, esim. "1234" kolme kertaa peräkkäin. Huom! Kortilla on kaksi PIN-koodia, PIN1 ja PIN2, joten ne molemmat pitää laittaa lukkoon ennen niiden vapauttamista. PIN-koodit voi lukita esim. poliisilaitoksella PIN-koodien vaihto-ohjelmalla tai SetWeb-kortinlukijaohjelmiston Tunnuslukujen hallinta -sovelluksella.
Unohdin PIN-koodini (vaihdoin PIN-koodini ja kortti on nyt lukossa). Mitä teen?
[ sisällysluettelo | henkilökortit ]
Henkilökortin lukkiutuneen PIN-koodin voi avata vain poliisilaitoksella ja se maksaa 10 €. Mukana pitää olla PIN-kuoressa mainittu ns. PUK-koodi. Jos PUK-koodi on syystä tai toisesta kadonnut, uuden koodin voi tilata poliisin kautta. Ilman kortinhaltijan PUK-koodia poliisi ei voi avata lukkiutunutta PIN-koodia.
Huom! Lukkiutunutta PIN-koodia ei voi avata muualla kuin poliisilaitoksella! PUK-koodin omatoiminen käyttö lukitsee kortin PIN-koodit pysyvästi!
Korttini varastettiin tai katosi. Mitä teen?
[ sisällysluettelo | henkilökortit ]
Kortilla olevat varmenteet voi mitätöidä soittamalla sulkupalveluun, puh. 0800 162 622 (maksuton Suomesta soitettaessa), ulkomailta soitettaessa +358 800 162 622 (+ paikallisen operaattorin veloitus). Kuulorajoitteisten tekstipuhelinpalvelun puh. 0100 2288 (maksuton). Sulkupalvelu toimii ympäri vuorokauden kaikkina päivinä.
PIN-/PUK-kuoreni katosi. Mitä teen?
[ sisällysluettelo | henkilökortit ]
Uuden PUK-kuoren voi tilata poliisilta. Tilaus pitää tehdä henkilökohtaisesti poliisilaitoksella. Kuori toimitetaan kotiin. Uuden PUK-kuoren tilaaminen maksaa 18 €. Huom! Korttien PIN-koodit voi itse vaihtaa, joten uudessa PUK-kuoressa ei ole PIN-koodeja, vaan ainoastaan PUK-koodi!
Voiko PIN-koodia vaihtaa?
[ sisällysluettelo | henkilökortit ]
Toisin kuin esim. perinteisissä pankkikorteissa, sirullisen henkilökortin PIN-koodeja voi vaihtaa. PIN-koodi on 4-8 numeron pituinen. PIN-koodin voi vaihtaa esim. SetWeb-kortinlukijaohjelmiston Tunnuslukujen hallinta -sovelluksella.
Mitä tietoja henkilökortin sirulla on?
[ sisällysluettelo | henkilökortit ]
Kortin sirulla on teknisten tietojen lisäksi VRK:n ns. varmentajan varmenteet sekä kortinhaltijan tunnistus- ja allekirjoitusvarmenteet.
Kortinhaltijan varmenteissa ei ole muita henkilötietoja kuin etu- ja sukunimet ja yksilöivä SATU-tunnus (Sähköinen AsiointiTUnnus). Kortin sirulle ei siis ole tallennettu haltijan henkilötunnusta, kotiosoitetta, syntymäaikaa, tms. tietoa. SATU-tunnus on sisällöltään juokseva sarjanumero, joka ei kerro haltijastaan mitään, toisin kuin henkilötunnus. SATU-tunnus loppuu tarkistusmerkkiin, joka lasketaan samoin kuin henkilötunnuksen tarkistusmerkki. SATU-tunnus on elinikäinen.
Mikäli kortinhaltija on korttihakemusta jättäessään ilmoittanut sähköpostiosoitteensa varmenteeseen laitettavaksi, on se tällöin osa varmenteen tietosisältöä.
Missä yksityiset avaimet ovat? Onko niistä kopioita?
[ sisällysluettelo | henkilökortit ]
Kortinhaltijan yksityiset avaimet ovat kortin mikrosirulla. Niistä ei ole missään kopioita (varmentajalla tai kortin valmistajalla). Koska yksityisiä avaimia ei voi kopioida sirulta minnekään, ei edes varmenteen haltija tiedä omaa yksityistä avaintaan.
Korttini vanhenee. Onko ennen kortin uusimista jotain huomioon otettavaa?
[ sisällysluettelo | henkilökortit ]
Ennen vanhan kortin luovuttamista kannattaa kyseisen kortin varmenteilla salatut tiedot avata (tiedostot, sä
hköpostit), sillä uudes sa kortissa on uudet salausavaimet ja tunnusluvut. VRK ei turvallisuussyistä tuota uutta korttia vanhan kortin avaimilla tai tunnusluvuilla. Jos vanhoilla varmenteilla tehtyä tiedon salausta ei pureta, jää ko. tieto pysyvästi salatuksi. Esim. sähköpostin saa salattua uudelleen avaamalla viesti vanhan kortin avulla ja lähettämällä se kortinhaltijalle itselleen uuden kortin varmenteella salattuna. Sähköisesti allekirjoitetun tiedon käsittelyyn vanhaa korttia ei tarvita.
Vanhentunutta henkilökorttia tai sen tunnuslukukuorta ei tarvitse palauttaa VRK:lle tai poliisille. Mikäli vanha kortti on kuitenkin vielä voimassa uutta korttia noudettaessa, on se esitettävä poliisille, joka leikkaa siitä valokuvan kohdalta kulman pois. Tällöin vanha kortti ei enää toimi virallisena henkilöllisyystodistuksena eikä matkustusasiakirjana. Myös vanhan kortin varmenteet peruutetaan.
Turvallisuussyistä PIN-tunnuskuori kannattaa hävittää, mikäli vanhentunutta korttia ei tarvitse enää mihinkään (esim. vanhojen salattujen sähköpostiviestien avaamiseen).
Voiko kortille tallentaa tietoa?
[ sisällysluettelo | henkilökortit ]
Kortille voi tallentaa sopivilla ohjelmistoilla mitä tahansa tietoa n. 4 kilotavun verran (4000 merkkiä). Tähän tilaan voi tallentaa esim. lisävarmenteita. Lisätiedon tallentaminen vaatii aina PIN1-koodin antamisen.
Miksi korttia sanotaan turvalliseksi?
[ sisällysluettelo | henkilökortit ]
Kortin turvallisuus perustuu julkisen avaimen menetelmään (PKI = Public Key Infrastructure) ja varmenteiden hyödyntämiseen. Varmenne koostuu julkisen ja yksityisen avaimen muodostamasta avainparista. Kortti suojaa PIN-koodein ja omalla prosessorillaan sirulla olevan varmenteen ja sitä vastaavan yksityisen avaimen oikeudettomalta käytöltä. Sirua ei voi kopioida, eikä sille tallennettuja kortinhaltijan yksityisiä avaimia (todentamista ja salausta sekä sähköistä allekirjoitusta varten) voi siirtää. Yksityisistä avaimista ei ole kopioita missään, edes kortinhaltija itse ei tiedä niitä. Yksityisiä avaimia voi hyödyntää vain PIN-koodien syötön jälkeen, mutta tällöinkään ne eivät ole luettavissa kortilta. PIN-koodit ovat vain kortihaltijan tiedossa ja hän voi vaihtaa niitä tarvittaessa. Kolme väärää PIN-koodin syöttöä lukitsee kortin. Kortin väärinkäyttö vaatii SEKÄ fyysisen kortin ETTÄ PIN-koodien paljastumisen. Edellä sanotun vuoksi kortin väärinkäyttö on erittäin vaikeaa.
Kuka kortin on valmistanut?
[ sisällysluettelo | henkilökortit ]
Henkilökortit valmistaa Setec Oy.
Hain kortin poliisilta. Mitä tekemistä VRK:lla on korttien kanssa?
[ sisällysluettelo | henkilökortit ]
Kortin mikrosirulla olevat varmenteet ovat VRK:n myöntämiä. VRK toimii varmenteiden osalta ns. varmentajana (CA, Certification Authority), joka ylläpitää tietoja varmenteen haltijoista ja heille myönnetyistä varmenteista.
Kertyykö jonnekin keskitetty rekisteri, josta näkyy, mitä ja missä kortilla on tehty?
[ sisällysluettelo | henkilökortit ]
Ei kerry. Julkisen avaimen menetelmää (PKI) voidaan hyödyntää suora an kahden pisteen (esim. työasema ja palvelin) välillä, joten tunnistustietoa ei tarvitse välittää mihinkään keskitettyyn järjestelmään. VRK:lla ei ole tarvetta, eikä teknistä mahdollisuuttakaan seurata kortin tai varmenteiden käyttöä tai esim. murtaa kortin avulla tehtyä salausta tai allekirjoitusta.
Käytän henkilökorttia useissa palveluissa. Jääkö kortille niiden käytöstä jälkiä?
[ sisällysluettelo | henkilökortit ]
Ei jää. Julkisen avaimen menetelmää (PKI) hyödynnettäessä ei ole välttämätöntä tallentaa erillisiä palvelukohtaisia tunnuksia tai salasanoja. Tästä syystä kortille ei tarvitse tallettaa mitään lisätietoja. Tämä tuo lisäturvaa myös kortin katoamistilanteissa. Kortin sirua tutkimalla ei voi tietää, mitä palveluja sillä on käytetty tai mihin palveluihin on kyseiselle kortille määritetty pääsyoikeus. Lisäksi henkilökortti on visuaaliselta ulkoasultaan neutraali, joten sen avaamia (kaupallisia) verkkopalveluita ei voi päätellä kortin pinnan painatuksesta.
Hyödynnän henkilökorttia, varmenteita, vahvaa tunnistamista ja tiedon salaamista. Tarvitaanko muuta?
[ sisällysluettelo | henkilökortit ]
Henkilökortti on turvallinen ja yksi harvoja itse itseään suojaavia komponentteja PC-ympäristössä. Avainten paljastuminen tai murtaminen ohjelmallisesti on käytännössä mahdotonta.
Käytetyissä sovelluksissa, käyttöjärjestelmissä tai käyttöympäristöissä voi kuitenkin olla tietoturvaan vaikuttavia heikkouksia tai virheitä. Sovellusten osalta kannattaa kääntyä niiden edustajan puoleen tai seurata valmistajan www-sivuja, joilla yleensä ilmoitetaan uusista havaituista virheistä ja korjauksista. Korttien käyttäminen ei yksinään suojaa kaikilta tietoturvauhkilta, mutta se nostaa merkittävästi tietoturvan tasoa. Missään tapauksessa korttien käyttö ei laske turvatasoa.
Miksi hankkisin sirullisen henkilökortin ja VRK:n varmenteen, kun muualta niitä saa halvemmalla?
[ sisällysluettelo | henkilökortit ]
Varmenteissa yksi tärkeimpiä asioita on varmenteen myöntäjän luotettavuus. Kun varmenteita käytetään esim. verkkopalvelussa, pitää sekä asiakkaan että palvelun tarjoajan voida luottaa
siihen, että varmenteen haltija on todella se, kuka hän väittää olevansa. Tämän luottamuksen varmentaja luo toimimalla luotettavana kolmantena osapuolena. Varmenteiden myöntäminen ei sinänsä ole vaikeaa, ja on helppoa tehdä omia varmenteita esim. nimille Nakke Nakuttaja tai Aku Ankka. Kyse onkin siitä, uskooko vastapuoli siihen, että varmenteen haltija on todella kyseinen henkilö. Tästä syystä henkilökortin rekisteröijänä toimii poliisi, joka todentaa luotettavasti hakijan henkilöllisyyden. Palvelinvarmenteiden osalta VRK tarkistaa mm. kaupparekisteristä hakijan tiedot. VRK ei myönnä varmenteita väärillä tiedoilla, olemattomille henkilöille tai yrityksille tai toisen henkilön tai yrityksen tiedoilla.
Yritykset ja yksityishenkilöt ovat pitkään käyttäneet tiedostopohjaisia avaimia ja/tai varmenteita (esim. PGP-sovellus). Niiden käyttö ei sinällään maksa mitään, mutta ko. varmenteilla ei ole riittävän laajaa luottamusta ulkopuolisissa yrityksissä eikä viranomaisten tai henkilöiden keskuudessa. Tiedostopohjaisten varmenteiden (salausavainten) tietoturva on sirulla oleviin va rmenteisiin verrattuna huomattavasti heikompi. Tiedostopohjaisia varmenteita voidaan kopioida rajoittamattomasti, yksityiset avaimet voivat levitä huomaamatta, esim. käyttäjän kotihakemistosta palvelimella (ei tietoa kopioiden määrästä) ja murto-ohjelmilla voidaan "pommittaa" rajoittamattomasti tiedostopohjaisen varmenteen salasanaa (salasana-arvausyrityksiä ei voida rajoittaa). Varmennehakemistoja ja sulkulistoja ei useinkaan ole käytössä, ei ainakaan ulkopuolisille, joten varmenteen tietojen voimassaoloa ei voi varmistaa (onko avaimen haltija yhä ko. yrityksessä töissä, jne).
VRK:n varmenteet kelpaavat Suomessa kaikissa nykyisissä ja tulevissa valtionhallinnon palveluissa.
Mitä tapahtuu, kun korttini vanhenee?
[ sisällysluettelo | henkilökortit ]
Henkilökortin sirulla olevat varmenteet lakkaavat kelpaamasta palveluissa ja sovelluksissa. Myös itse kortti vanhenee, eikä se enää kelpaa henkilöllisyystodistuksena eikä matkustusasiakirjana. Sirun tietosisällölle ei sinällään tapahdu mitään, ts. siru ei lukitse tai tuhoa itse itseään. Vanhentuneen tai peruutetun kortin varmenteet poistetaan julkisesta hakemistosta.
Korttini ei toimi!
[ sisällysluettelo | henkilökortit ]
Itse korttien luotettavuus on hyvä, ja ne ovat toimintavarmoja. Yleensä ongelman aiheuttaa esim. tietokoneen sovellusten toimimattomuus.
Sirullisilla henkilökorteilla on myöntämispäivästä lähtien vuoden takuu, joka korvaa normaalissa käytössä, voimassaoloaikana hajonneen kortin. 1.9.2003 jälkeen myönnettyjen henkilökorttien takuu kattaa niiden koko voimassaoloajan, ts. normaalisti 5 vuotta.
Mahdollisuuksien mukaan korttia kannattaa kokeilla myös jollakin toisella kortinlukijalla tarpeettoman kortin uusinnan välttämiseksi. Mikäli kortin toimivuus epäilyttää, voi sen testata poliisilaitoksilla olevilla testilaitteilla.
Kortinlukijani ei toimi!
[ sisällysluettelo | henkilökortit ]
Kortinlukijoiden laitteistoviat ovat harvinaisia. Yleensä toimimattomuus johtuu lukijan laiteajureiden ja/tai sovellusten toimimattomuudesta. Koska erilaisia käyttöympäristöjä on lähes rajaton määrä, ei yleispäteviä ohjeita ongelman korjaamiseksi voi antaa. Eri ohjelmistojen ja lukijalaitteiden teknisen tuen tarjoaa niiden maahantuoja tai edustaja.
Miksi ennen 1.9.2003 myönnetyllä kortilla ei saa salattua/allekirjoitettua sähköpostia?
[ sisällysluettelo | henkilökortit ]
Käytössä pitää olla sähköpostiohjelma, joka tukee X.509 v3-varmenteita S/MIME v3:n mukaisesti ja joka ei vaadi sähköpostiosoitetta käytettyihin varmenteisiin. Tällaisia ohjelmia ovat esim. Teamware Office, Outlook 2000 tai Novell Groupwise. Myös uusimmat Netscape-selaimet (4.8/7.01) sekä Mozilla-selaimet tukevat sähköpostin allekirjoitusta ilman sähköpostiosoitetta varmenteessa. Outlook Expressillä ei voi lähettää salattua tai allekirjoitettua sähköpostia, mutta allekirjoitettujen ja salattujen viestien vastaanotto onnistuu.
VRK:n yritys- ja virkakäyttöön tarkoitettuihin organisaatiovarmenteisiin on mahdollista liittää sähköpostiosoite.
1.9.2003 alkaen henkilökortin hakija on halutessaan voinut ilmoittaa kortin varmenteisiin oman sähköpostiosoitteensa. Tämä helpottaa suojatun sähköpostin käyttöä yleisimmillä sähköpostiohjelmilla.
Kannattaa ottaa huomioon, etteivät monet pelkästään www-selainpohjaiset sähköpostipalvelut tue allekirjoitettujen tai salattujen viestien lähetystä eikä vastaanottoa. Osaa näistä palveluista voi kuitenkin käyttää www-selaimen lisäksi myös edellä mainituilla sähköpostiohjelmilla, jolloin mahdollisuudet käyttää S/MIME-postia ovat hyvät. Asia kannattaakin tarkistaa palveluntarjoajalta ennen tällaisen palvelun sähköpostiosoitteen ilmoittamista omaan varmenteeseen.
Organisaatiokortit
[ sisällysluettelo ]
Kuinka kauan organisaatiokortti on voimassa?
Organisaatiokorttien ulkoasu ja materiaali?
Jos organisaatiokortin PIN-koodit menevät lukkoon, pitääkö kortin kanssa käydä poliisilaitoksella?
Käytämme Windows 2000/XP-työasemia ja Windows 2000/2003-palvelimia. Toimiiko organisaatiokortti verkkokirjautumisessa?
Voiko organisaatiokorttien varmenteissa olla sähköpostiosoite?
Mitä tietoja organisaatiokorttien varmenteissa on? Tallennetaanko kyseiset tiedot väestötietojärjestelmään?
Pitääkö organisaatiokortin haltijan olla Suomen kansalainen tai Suomessa pysyvästi asuva henkilö?
Miten organisaatiokorttien katoamistapauksissa toimitaan?
Kuinka kauan organisaatiokortti on voimassa?
[ sisällysluettelo | organisaatiokortit ]
Organisaatiokorttien voimassaolo sovitaan tapauskohtaisesti. Tyypillisesti voimassaoloajaksi sovitaan 2-5 vuotta.
Organisaatiokorttien ulkoasu ja materiaali?
[ sisällysluettelo | organisaatiokortit ]
Myös organisaatiokorttien ulkoasu sovitaan tapauskohtaisesti. Tyypillisesti kortteihin painetaan esim. organisaation logo ja nimi. Korttiaihio valmistetaan joko PVC-muovista tai polykarbonaatista. Korttiaihioon voidaan lisätä myös erilaisia turvaominaisuuksia.
Jos organisaatiokortin PIN-koodit menevät lukkoon, pitääkö kortin kanssa käydä poliisilaitoksella?
[ sisällysluettelo | organisaatiokortit ]
Ei tarvitse. Organisaatiolle toimitetaan korttien lukkiutuneiden PIN-koodien avaamisessa tarvittavat PUK-koodit. Organisaatio voi itse valita, luovuttaako se PUK-koodit työntekijän käyttöön vai säilyttääkö se niitä esim. vain oman turvaorganisaationsa tiedossa.
Käytämme Windows 2000/XP-työasemia ja Windows 2000/2003-palvelimia. Toimiiko organisaatiokortti verkkokirjautumisessa?
[ sisällysluettelo | organisaatiokortit ]
Kyllä. VRK:n 31.3.2003 jälkeen myöntämiä organisaatiokortteja voi käyttää myös verkkokirjautumiseen ilman oman CA-palvelun ylläpitoa.
Ohje VRK:n myöntämien organisaatiokorttien hyödyntämisestä Windows 2000/XP -verkkokirjautumisessa.
Voiko organisaatiokorttien varmenteissa olla sähköpostiosoite?
[ sisällysluettelo | organisaatiokortit ]
Kyllä.
Mitä tietoja organisaatiokorttien varmenteissa on? Tallennetaanko kyseiset tiedot väestötietojärjestelmään?
[ sisällysluettelo | organisaatiokortit ]
Organisaatiokorttien varmenteiden tietosisältö sovitaan kyseisen organisaation kanssa. Tietosisältö koostuu henkilön etu- ja sukunimestä, yksilöivästä tunnisteesta, joka on kuitenkin eri tunnus kuin kansalaisvarmenteissa käytetty SATU (sähköinen asiointitunnus), sekä organisaation nimestä. Näiden tietojen lisäksi varmenteisiin voidaan laittaa esim. sähköpostiosoite, organisaatioyksikkö ja titteli. Em. tietoja ei tallenneta väestötietojärjestelmään.
Pitääkö organisaatiokortin haltijan olla Suo
men kansalainen tai Suomessa pysyvästi asuva henkilö?
[ sisällysluettelo | organisaatiokortit ]
Ei. Organisaatiokortteja myönnetään kaikille kyseisen organisaation työntekijöille kansalaisuudesta tai sijaintimaasta riippumatta.
Miten organisaatiokorttien katoamistapauksissa toimitaan?
[ sisällysluettelo | organisaatiokortit ]
Kuten henkilökorttienkin osalta, ts. ilmoitetaan kortin katoamisesta VRK:n 24/7 varmenteiden sulkupalveluun. Ilmoitus tulee tehdä myös, kun työntekijä siirtyy pois organisaation palveluksesta.
Lisätietoja organisaatiokorteista ja niiden ominaisuuksista saa varmennetuotteiden myynnistä varmennemyynti@vrk.fi
Varmenteet
[ sisällysluettelo ]
Mikä on varmenne?
Mihin varmenteita käytetään?
Mitä tietoja varmenteessa on?
Mikä on varmenne?
[ sisällysluettelo | varmenteet ]
Varmenne on standardimuodossa kerrottu tieto. Henkilökortilla olevalla kansalaisvarmenteella vahvistetaan varmenteen haltijan (etunimi, sukunimi ja sähköinen asiointitunnus) ja hänen julkisen avaimensa yhteenkuuluvuus. Varmenteen myöntäjä allekirjoittaa sähköisesti myöntämänsä varmenteet ja näin vahvistaa niiden oikeellisuuden.
Mihin varmenteita käytetään?
[ sisällysluettelo | varmenteet ]
Varmenteita tarvitaan tietoverkkojen kautta tapahtuvassa tunnistamisessa, salauksessa ja sähköisen allekirjoituksen tekemisessä. Verkossa tapahtuvassa asioinnissa eivät perinteiset, kasvokkain tapahtuvat tunnistamismenetelmät ole mahdollisia.
Mitä tietoja varmenteessa on?
[ sisällysluettelo | varmenteet ]
Henkilökortilla olevaan kansalaisvarmenteeseen talletetaan varmenteen myöntäjän nimi, varmenteen haltijan nimi, sähköinen asiointitunnus ja sähköpostiosoite (vapaaehtoinen), varmenteen voimassaoloaika, tieto varmenteen haltijan julkisen avaimen luonnissa käytetystä laskumenetelmästä, varmenteen myöntäjän maatunnus, varmenteen sarjanumero, tieto varmenteen myöntäjän varmenteen allekirjoituksessa käyttämästä laskumenetelmästä, tieto noudatettavasta varmennepolitiikasta ja varmenteen käyttötarkoituksesta sekä muut varmenteen käytön edellyttämät välttämättömät tekniset tiedot.
Organisaatiovarmenteisiin voidaan em. tietojen lisäksi tallentaa tiedot organisaation ja organisaatioyksikön nimestä sekä ammattinimike.
Varmenteen tiedot ja niiden oikeellisuus vahvistetaan varmenteen myöntäjän sähköisellä allekirjoituksella. Väestörekisterikeskus julkaisee myönnetyt varmenteet julkisessa hakemistossa.
Sulkulistat
[ sisällysluettelo ]
Sulkupalvelu
Saako kortin pois sulkulistalta?
Ilmoitin henkilökortin sulkulistalle, mutta se toimii yhä! Miksi?
Voiko kuka tahansa ilmoittaa kenen tahansa kortin sulkulistalle?
Kuinka usein sulkulista julkaistaan?
Voimmeko itse tehdä palvelun, joka noutaa sulkulistan? Missä sulkulista sijaitsee?
Mitä versiota sulkulista on?
Mitä tietoja sulkulistassa on?
Käytämme iD2 Servant -palvelinohjelmistoa sulkulistojen noutoon. Ohjelmisto "jämähtelee". Miksi?
Käytämme iD2 Servant 3.01-palvelinohjelmistoa sulkulistojen noutoon. Sulkulistojen nouto ei enää onnistu. Miksi?
Onko sulkulistaviittauksissa tapahtunut muutoksia?
Sulkupalvelu
[ sisällysluettelo | sulkulistat ]
Mikäli varmenteita sisältävä henkilökortti tai organisaatiokortti katoaa, on kortinhaltijan ilmoitettava varmenteet sulkulistalle mahdollisten väärinkäytösten estämiseksi. Varmenteiden haltijan vastuu lakkaa, kun sulkuilmoitus on vastaanotettu. Sulkulista on luettelo mitätöidyistä varmenteista.
Sulkupalvelu on toiminnassa 24 tuntia vuorokaudessa vuoden jokaisena päivänä. Sulkupalvelua ylläpitää Luottokunta.
- Sulkupalvelun puh. 0800 162 622 (maksuton Suomesta soitettaessa)
- Ulkomailta soitettaessa +358 800 162 622 (+ paikallisen operaattorin veloitus)
- Kuulorajoitteisten tekstipuhelinpalvelun puh. 0100 2288 (maksuton)
Saako kortin pois sulkulistalta?
[ sisällysluettelo | sulkulistat ]
Suljettuja varmenteita ei palauteta käyttöön, jotta varmenteisiin luottavat tahot voivat tietää yksittäisen varmenteen tilan sen koko voimassaoloajalta. Asia on merkittävä sähköisten allekirjoitusten (myöhemmin tapahtuvan) tarkistamisen kannalta.
Ilmoitin henkilökortin sulkulistalle, mutta se toimii yhä! Miksi?
[ sisällysluettelo | sulkulistat ]
Varmenteiden sulkulistalle ilmoittaminen ei lopeta kortin sähköisten ominaisuuksien toimintaa, eikä muuta kortin sirun tietosisältöä mitenkään. Sähköisten asiointipalveluiden tarjoajien tulee aina tarkistaa palveluun kirjautujan varmenteen voimassaolo sulkulistalta. Jos varmenne on sulkulistalla, sitä ei voi hyväksyä. Mikäli palvelu tai henkilökorttia käyttävä sovellus ei tarkista sulkulistaa käyttäjän toimenpiteen yhteydessä, on kortin käyttäminen edelleen mahdollista. Vaikka henkilökortin haltija on ilmoittanut varmenteensa sulkulistalle, hän voi siitä huolimatta käyttää korttia henkilöllisyystodistuksena ja matkustusasiakirjana.
Voiko kuka tahansa ilmoittaa kenen tahansa kortin sulkulistalle?
[ sisällysluettelo | sulkulistat ]
Kortilla olevan varmenteen voi ilmoittaa sulkulistalle kuka tahansa. Sulkuilmoitusta tehdessä tunnistetaan ilmoituksen tekijä luotettavasti. Myös poliisi ja Väestörekisterikeskus voivat tietyissä tapauksissa ilmoittaa varmenteita sulkulistalle.
Kuinka usein sulkulista julkaistaan?
[ sisällysluettelo | sulkulistat ]
Sulkulistan julkaisuväli ja voimassaoloaika vaihtelevat eri varmennetyypeittäin.
Voimmeko itse tehdä palvelun, joka noutaa sulkulistan? Missä sulkulista sijaitsee?
[ sisällysluettelo | sulkulistat ]
Sulkulistat ovat veloituksetta ja vapaasti noudettavissa ja käytettävissä.
Varmenteet ja sulkulistat sijaisevat:
| LDAP server |
ldap.fineid.fi (192.49.244.182) |
| LDAP |
port 389 |
| Search base |
dmdName=fineid,c=fi |
Jokaisella VRK:n varmennetyypillä on oma hakemistonsa ja sulkulistansa. Esim:
Sulkulistat voi noutaa myös http-protokollalla. Esim:
Palvelimet tukevat kyselyissä LDAPv2- ja LDAPv3- sekä HTTP 1.1 -standardeja.
Hakemiston käyttö ei vaadi tunnistautumista (salasanaa tai käyttäjätunnusta).
Sulkulistan voi noutaa LDAP:lla tai vaikkapa wget:llä ja jatkokäsitellä sitä tarvittaessa esim. openSSL:n mukana tulevilla työkaluilla.
Hakemistojen ja sulkulistan tekniikkaa käsitellään tarkemmin FINEID S5 Directory Specification v2.1 -määrityksessä.
Mitä versiota sulkulista on?
[ sisällysluettelo | sulkulistat ]
Sulkulista on IETF:n PKIX CRL -versiota 2.
Mitä tietoja sulkulistassa on?
[ sisällysluettelo | sulkulistat ]
Varmentajan sähköisesti allekirjoittamat sulkulistat (CRL) listaavat kyseisen varmennetyypin (CA:n) osalta suljettujen varmenteiden sarjanumerot sekä päivämäärän ja kellonajan, jonka jälkeisiä tapahtumia ei kyseisten varmenteiden osalta voida enää hyväksyä. Sarjanumeron lisäksi listassa voi olla mainittuna varmenteen sulkemisen aiheuttanut syykoodi. Sulkulistat eivät sisällä henkilötietoja tai korttien sarjanumeroita.
Sulkulistan sisältö perustuu IETF RFC 3280 -määritykseen. Tarkka sulkulistan sisältökuvaus löytyy FINEID S2 -määrityksestä.
Käytämme iD2 Servant -palvelinohjelmistoa sulkulistojen noutoon. Ohjelmisto "jämähtelee". Miksi?
[ sisällysluettelo | sulkulistat ]
Jos iD2 Servant ei saa noudettua uutta sulkulistaa (tietoliikenneongelma, virheellinen konfigurointi, nouto samalla sekunnilla kuin uuden sulkulistan julkaisuhetki, ym...), ohjelmisto menee "jumiin" ja alkaa toimia vasta uudelleenkäynnistyksen jälkeen.
Käytämme iD2 Servant 3.01-palvelinohjelmistoa sulkulistojen noutoon. Sulkulistojen nouto ei enää onnistu. Miksi?
[ sisällysluettelo | sulkulistat ]
Määrittäkää servant.conf-tiedostoon kaikkien VRK:n julkaisemien sulkulistojen kohdalle 'crl.x.ldap.version=2' (x=servant.conf sarjanumero).
Onko sulkulistaviittauksissa tapahtunut muutoksia?
[ sisällysluettelo | sulkulistat ]
Kaikkiin LDAP-hakemistossa oleviin binäärimuotoisiin tietoihin (certificateRevocationList, authorityRevocationList, cACertificate ja userCertificate) viittaaminen toimii nyt seuraasti: Jos viittauksessa on käytetty ';binary'-parametriä, on se lisätty hakemiston palauttamaan dataan, muutoin ei. Ts. hakemisto palauttaa attribuutin aina samalla nimellä, jolla sitä on kysytty. Käytettäessä LDAPv3:a, ei ';binary'-määrettä pidä käyttää.
Palvelinvarmenteet
[ sisällysluettelo ]
Mikä on palvelinvarmenne?
Miksi hankkisin palvelinvarmenteen?
Mennessäni VRK:n varmentamaan WWW-palveluun tulee ilmoitus tuntemattomasta/epäluotettavasta varmentajasta? Oletteko epäluotettava?
Mikä on palvelinvarmenne?
[ sisällysluettelo | palvelinvarmenteet ]
Sähköisessä asioinnissa on tarpeen tunnistaa myös palvelun tarjoaja. Tätä tarkoitusta varten VRK myöntää palvelinvarmenteita. Niitä voidaan käyttää sekä julkishallinnon että yksityissektorin palveluiden tunnistamisessa. Palvelinvarmenteen avulla palvelun käyttäjä voi varmistua palvelun tarjoajan oikeellisuudesta. VRK varmentaa palvelinvarmenteella palvelimen haltijan. Näin käyttäjä voi todentaa käyttävänsä oikeaa internet-sivustoa tai muuta palvelinta eikä esim. niiden kopiota. Palvelinvarmenteet mahdollistavat myös palvelimen ja sen käyttäjän välisen tietoliikenteen salaamisen.
Miksi hankkisin palvelinvarmenteen?
[ sisällysluettelo | palvelinvarmenteet ]
Palvelinvarmenne mahdollistaa WWW-palveluissa SSL/TLS:n käytön, ts. tietoliikenteen salauksen (HTTPS). Samalla mahdollistuu käyttäjän luotettava tunnistaminen.
Palvelinvarmenteita voi hyödyntää myös järjestelmien keskinäisessä liikenteessä ja vaikkapa sähköpostiohjelmien ja -palvelimien välisessä SSL-suojatussa liikenteessä.
Mennessäni VRK:n varmentamaan WWW-palveluun tulee ilmoitus tuntemattomasta/epäluotettavasta varmentajasta? Oletteko epäluotettava?
[ sisällysluettelo | palvelinvarmenteet ]
VRK:n palvelinvarmenteisiin liittyvää juurivarmennetta ei ole selaimissa valmiina. Tästä syystä luottamus työaseman ja palvelinvarmenteiden välillä ei muodostu automaattisesti. Tästä ilmoitetaan näkyvästi käyttäjälle. Varmentajan varmenteen asennuksen joutuu tekemään vain kerran, eikä se maksa mitään.
Palvelinvarmenteet myönnetään VRK CA for Service Providers -CA:lla, joka on VRK:n yhteisen juurivarmenteen myöntämä. Siten VRK:n henkilövarmenteita käyttävät henkilöt luottavat jo valmiiksi myös VRK:n palvelinvarmenteet myöntävään CA:han.
PKI-perusteet
[ sisällysluettelo ]
PKI = Public Key Infrastructure eli julkisen avaimen menetelmä
[ sisällysluettelo | PKI-perusteet ]
Sähköisessä asioinnissa PKI-menetelmään perustuvia varmenteita käytetään vastapuolen todentamiseen, viestien salaamiseen ja sähköisen allekirjoituksen luontiin. Varmenne on sähköinen henkilöllisyystodistus.
VRK myöntää PKI-menetelmään perustuvia varmenteita. PKI-menetelmässä henkilöllä on käytettävissään julkisesta ja yksityisestä osasta muodostuva avainpari. Avainparin puoliskot ovat matemaattisesti toisistaan riippuvaisia.
Esim. kansalaisvarmenteessa on kaksi julkisen ja yksityisen avaimen muodostamaa avainparia. Ensimmäistä avainparia käytetään todentamiseen ja salaukseen, toista sähköiseen allekirjoitukseen. Avainten käyttäminen on mahdollista ainoastaan niihin kuuluvien PIN-koodien avulla. PIN-koodit aktivoivat avaimet toimimaan, jolloin siru pystyy tuottamaan tarvittavia laskentaoperaatioita.
Yksityiset avaimet ovat vain varmenteen haltijan hallussa (esim. henkilökortin sirulla). Julkiset avaimet ovat nimensä mukaisesti julkisia. Julkiset avaimet sisältäviä varmenteita säilytetään avoimessa hakemistossa, josta ne ovat kaikkien saatavilla.
Lisätietoja PKI-menetelmästä ja varmenteista on kuvattuna Tietoyhteiskunnan kehittämiskeskus ry:n tietoturvaan liittyvillä www-sivuilla.
Varmennepolitiikka
[ sisällysluettelo ]
Mistä varmennepolitiikat löytyvät?
Mikä on varmennekuvaus?
Mikä on varmennepolitiikka?
Mikä on varmennuskäytäntö (varmennekäytäntölausuma)?
Mistä varmennepolitiikat löytyvät?
[ sisällysluettelo | varmennepolitiikka ]
VRK:n eri varmennetyyppien varmennepolitiikat (Certificate Policy) löytyvät kohdasta Dokumentit -> Varmennepolitiikat.
Mikä on varmennekuvaus?
[ sisällysluettelo | varmennepolitiikka ]
Varmennekuvaus (PKI Disclosure Statement, PDS) on asiakirja, joka kertoo lyhyesti perustiedot yksittäisen varmentajan (CA) myöntämistä varmenteista sekä varmentajan yhteystiedot. Tähän asiakirjaan on jokaisen varmenteeseen luottavan tahon syytä tutustua. VRK:n varmennekuvaukset löytyvät kohdasta Dokumentit -> Varmennepolitiikat.
Mikä on varmennepolitiikka?
[ sisällysluettelo | varmennepolitiikka ]
Varmennepolitiikka (Certificate Policy, CP) on asiakirja, joka kuvaa yleisellä tasolla niitä asioita, joita varmenteita myöntävän varmentajan ja varmenteisiin luottavan tahon tulee ottaa huomioon. Politiikka kuvaa tahtotilaa ja niitä toimintatapoja, jotka koskevat kyseistä varmentajaa ja kaikkia sen myöntämiä varmenteita ja niihin luottavia osapuolia.
Mikä on varmennuskäytäntö (varmennekäytäntölausuma)?
[ sisällysluettelo | varmennepolitiikka ]
Varmennuskäytäntö (Certification Practise Statement, CPS) on asiakirja, joka kuvaa tarkalla tasolla niitä käytäntöjä, joiden mukaisesti yksittäinen varmenne on myönnetty. Se kuvaa myös myönnettyjen varmenteiden käyttötarkoitukset ja eri osapuolten vastuut. Varmennuskäytäntö kuvaa sitä, miten varmennepolitiikkaa toteutetaan.
Jokaisessa myönnetyssä varmenteessa on mainittu siihen vaikuttavan varmennuskäytännön tunniste (CPS OID). Tunnistetta vastaava asiakirja löytyy kohdasta Dokumentit -> Varmennepolitiikat.
Lainsäädäntö
[ sisällysluettelo ]
Onko sähköinen allekirjoitus laillisesti pätevä?
Miten varmenteen haltija voidaan tunnistaa kaimoistaan, jos esimerkiksi on olemassa kolme Matti Meikäläistä?
Onko henkilökortti passi?
Miten sähköisesti allekirjoitettuja dokumentteja tulisi käsitellä ja säilyttää? Mitä säädöksiä ja lainsäädäntöä asiaan liittyy?
Voiko Suomessa asuva ulkomaalainen hankkia henkilökortin?
Mikä on KELAn makropilottikorteilla olevien varmenteiden tila?
Onko sähköinen allekirjoitus laillisesti pätevä?
[ sisällysluettelo | lainsäädäntö ]
Euroopan Unionin alueella on voimassa direktiivi sähköisistä allekirjoituksista. Euroopan Unionin oikeus on jäsenvaltioita velvoittavaa. Direktiivin voimaansaattaminen Suomen lainsäädäntöön tapahtui vuoden 2003 alkupuolella. Laki sähköisistä allekirjoituksista käsittelee kaikkia sähköisiä allekirjoituksia niin yksityisellä kuin julkisellakin sektorilla. Esimerkiksi pankit ja rahoitusliikkeet ovat lähteneet jo rakentamaan palveluita siltä pohjalta, että sähköinen allekirjoitus on yhtä käypä kuin perinteinen. Tältä osin direktiivin voimaansaattamislaki vain täsmentää vallitsevan tilanteen.
Sähköinen asiointi viranomaistoiminnassa on säännelty omalla laillaan (laki sähköisestä asioinnista viranomaistoiminnassa). Tämä tarkoittaa sitä, että julkinen hallinto on velvollinen ottamaan vastaan sähköisesti allekirjoitetun dokumentin ko. laissa mainituin perustein.
Miten varmenteen haltija voidaan tunnistaa kaimoistaan, jos esimerkiksi on olemassa kolme Matti Meikäläistä?
[ sisällysluettelo | lainsäädäntö ]
Jokainen mm. poliisin myöntämää henkilökorttia ja sen sisältämää kansalaisvarmennetta hakeva saa ns. sähköisen asiointitunnuksen, SATU:n (FINUID), joka on henkilöä yksilöivä ainutlaatuinen tunniste. SATU eroaa henkilötunnuksesta siten, että se ei kerro mitään informaatiota (esim. syntymäaikaa) omistajastaan. SATU on osa varmenteen tietosisältöä, ja se löytyy julkisesta hakemistosta. SATU seuraa henkilöä koko eliniän hakuhetkestä alkaen, se on osa henkilön väestötietoa ja muuttumaton riippumatta siitä, millä alustalla VRK:n myöntämä kansalaisvarmenne on. Kansalaisvarmenne voi olla henkilökortin lisäksi operaattorin SIM-kortilla.
Onko henkilökortti passi?
[ sisällysluettelo | lainsäädäntö ]
1.12.1999 lukien myönnetty sirullinen henkilökortti kelpaa Suomen kansalaisilla myös matkustusasiakirjana. Suomi on sopinut henkilötodistuksen hyväksymisestä matkustusasiakirjaksi EU-maiden, Pohjoismaiden sekä Liechtensteinin, San Marinon ja Sveitsin kanssa. Huom! Henkilökortti kelpaa matkustusasiakirjaksi näihin maihin, vaikka kyseessä ei olisikaan ns. Schengen-maa!
Miten sähköisesti allekirjoitettuja dokumentteja tulisi käsitellä ja säilyttää? Mitä säädöksiä ja lainsäädäntöä asiaan liittyy?
[ sisällysluettelo | lainsäädäntö ]
Sähköisten aineistojen säilyttämistä on käsitelty Kansallisarkiston SÄHKE-hankkeessa.
Voiko Suomessa asuva ulkomaalainen hankkia henkilökortin?
[ sisällysluettelo | lainsäädäntö ]
Suomessa pysyvästi asuva ulkomaan kansalainen voi hankkia henkilökortin. Kortin hinta, voimassaoloaika, tekniset ominaisuudet ja varmenteiden tietosisältö ovat samat kuin Suomen kansalaisille myönnetyissä henkilökorteissa.
Ulkomaalaiselle myönnetty henkilökortti on väritykseltään punertava, eikä kortin pinnassa ole mainintaa kansalaisuudesta. Kortti ei kelpaa matkustusasiakirjaksi muihin maihin, mutta se toimii Suomessa henkilöllisyystodistuksena ja sitä voi käyttää kaikissa kansalaisvarmennetta hyödyntävissä palveluissa.
Mikä on KELAn makropilottikorteilla olevien varmenteiden tila?
[ sisällysluettelo | lainsäädäntö ]
KELAn makropilotti päättyi 31.12.2003 ja sen käyttöön myönnettyjen sosiaaliturvakorttien varmenteet on peruutettu. Makropilottikortit toimivat tavallisina sosiaaliturvakortteina voimassaoloaikansa loppuun. Korttien varmenteet on poistettu julkisesta varmennehakemistosta. VRK julkaisee varmentajana makropilottikorttien varmenteiden sulkulistaa vuoden 2006 loppuun saakka, jolloin pilotissa käytetty CA vanhenee.
 Takaisin | Tulosta teksti
| |
