nro 3/2003 |
Kokemuksia HST-kortin käytöstäTuomo Myllynen, Tampereen yliopisto Tietoverkon välityksellä käytettävistä palveluista osa on sellaisia, että käyttäjän henkilöllisyys halutaan todentaa jollain luotettavalla tavalla. Käyttäjätunnusta ja salasanaa ei pidetä kovin luotettavana tunnistusmenetelmänä, vaikka moneen tarkoitukseen se toki on riittävä. Eräs luotettavaksi koettu menetelmä on mikrosirulla varustettu toimikortti ja siihen liitetty varmennepalvelu. Kortit valmistetaan tarkan valvonnan alla ja kortille tallennetaan avain, jota ei ole missään muualla eikä sitä voi kortilta kopioidakaan mihinkään. Korttia käytettäessä tutkitaan kortin aitous ja kenelle kortti kuuluu kortilla olevan avaimen ja siihen liittyvän julkisen avaimen yhteensopivuudella. Jotta kortti ei voisi joutua, ainakaan vahingossa vieraisiin käsiin, kortin käyttöön liitetään vielä nelinumeroinen PIN-koodi. Nyt varmaan pidätte tällaista toimikorttia suorastaan varmuusvälineenä. Katsotaanpa. Yliopistojen ja ammattikorkeakoulujen yhteisenä projektina selviteltiin toimikorttien tekniikkaa, lukijoita ja niiden käyttöä tai käytön edellytyksiä. Erityisessä asemassa oli virallinen HST-kortti (Henkilön Sähköinen Tunnistaminen), joka on Väestörekisterikeskuksen yritys luoda luotettavuutta ja ehkä järjestystäkin tietoyhteiskuntaan. Tässä projektissa (HSTYA) asetettiin projektin työpaperit ja muut vain projektin jäsenten ja projektin johtoryhmän käyttöön tarkoitetut dokumentit suojattuun hakemistoon, jonne pääsi vain tällä HST-kortilla. Kortin saa poliisilaitokselta maksua vastaan ja se on voimassa kolme vuotta. Päästäkseni lukemaan korttiprojektin papereita hankin kortin lokakuussa 2001. Marssin poliisilaitokselle ja sanoin tarvitsevani sähköisen henkilökortin. Eteeni työnnettiin lomake, johon piti kirjoittaa tavanomaiset henkilötiedot. Allekirjoitettuani lomakkeen, vastaanottaja tarkisti sen ja pyysi lisäksi kaksi passikuvaa. Kortin toimitus kestäisi pari viikkoa ja korttia pitäisi itse kysellä, mitään ilmoitusta ei lähetettäisi. Parin viikon kuluttua soitin poliisilaitokselle ja kyselin korttiani ja kuulinkin sen tuleen. Kotiin oli kuitenkin samana päivänä tullut korttiin liittyvät PIN koodit kirjeenä. Poliisilaitoksella kerroin, että olin tullut hakemaan minun nimelläni tullutta sähköistä henkilökorttia. Virkailija haki kortin ja kortin kuvasta totesi sen esittävän minua ja ojensi kortin. Oliko tässä jotain kummallista? Ei oikeastaan, mutta kukaan ei vain tarkistanut minun henkilöllisyyttäni missään vaiheessa. Eli koskivatko antamani tiedot lainkaan minua? Kuka minä oikeastaan olin? Tarina ei pääty vielä tähän. Työhuoneessani päätin mennä Väestörekisterikeskuksen verkkosivulle ja tarkistaa itseäni koskevat tiedot. Ne näyttivät olevan kunnossa. Ajattelin kokeilla myös sähköistä allekirjoitusta samoilla sivuilla. Siellä olevan vakiotekstin pyyhkäisin pois ja kirjoitin tilalle oman tekstini ja pyysin allekirjoittamaan sen sähköisesti. Jokin meni vikaan sillä allekirjoitus epäonnistui. Muutaman päivän jälkeen tuli mieleeni kokeilla allekirjoitusta uudelleen. Kun menin Väestörekisterikeskuksen sivuille niin jossain vaiheessa minut toivotettiin tervetulleeksi omalla nimelläni. HST-korttia ei ollut lukijassa. No arvata saattaa, että piparit olivat paistumassa tai työkoneen kiinteä ip-osoite oli kirjattu jonnekin talteen. Entäpä jos olisinkin ollut jollain muulla kuin omalla työasemallani korttia kokeilemassa? Virheet eivät tietotekniikassa ole mitään ihan harvinaisia, mutta päätin kuitenkin lähettää tästä allekirjoitusongelmasta ja oudosta tunnistamisesta sähköpostiviestin www-sivulla olevaan osoitteeseen. Kului päiviä eikä kukaan vastannut eikä kysynyt mitään. Kaivoin Väestörekisterikeskuksen juristin sähköpostiosoitteen ja kerroin saman allekirjoitusongelman ja laajensin sitä toteamalla, etten ollut aivan vakuuttunut infrastruktuurin toiminnastakaan, kun sain kortin edellä kuvatulla tavalla. Tähänkään ei ole tullut mitään vastausta. Luotettavuus ja varmuus ei ole tekniikassa eikä sen monimutkaisuudessa, se pitää löytyä meistä itsestämme. |