Validation Solution of Qualified Electronic Signatures for the Finnish Government
Ihalainen, Petteri (2025)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025051411589
https://urn.fi/URN:NBN:fi:amk-2025051411589
Tiivistelmä
Hyväksytyllä sähköisellä allekirjoituksella on sama oikeusvaikutus kuin käsin tehdyllä allekirjoituksella. Hyväksytty sähköinen allekirjoitus ei ole tekninen termi. Eurooppalainen asetus, joka on suoraan sovellettavaa sääntelyä EU:n jäsenvaltioissa, määrittelee erilaisten sähköisten allekirjoitusten oikeusvaikutukset. Asetus myös määrittää allekirjoituksille teknisiä vaatimuksia.
Hyväksytty sähköinen allekirjoitus vaatii validoinnin. Hyväksytyn sähköisen allekirjoituksen sisältävän dokumentin vastaanottajan on varmistettava asiakirjan allekirjoittajan henkilöllisyys, ja että asiakirjaa ei ole muokattu allekirjoituksen jälkeen. Allekirjoituksen validointi mahdollistaa hyväksytyn sähköisen allekirjoituksen täysimittaisen hyödyntämisen.
Tutkimuksen oletuslähtökohtana oli, että valtiohallinnossa ei ole yhteisiä käytäntöjä hyväksytyn sähköisen allekirjoituksen validointiin. Liikenne- ja viestintävirasto (Traficom) toimi opinnäytetyön tilaajana ja toimii pilottiasiakkaana. Tavoitteena oli löytää Traficom:lle sopivin vaihtoehto toteuttaa allekirjoitusten validointiratkaisu.
Hyväksytyt sähköisen allekirjoitukset ovat säänneltyjä EU-tasolla. Teoriaosuudessa käsiteltiin allekirjoituksiin liittyviä elinkaaritapahtumia sekä tekniset että sääntelynäkökohdat huomioiden. Allekirjoitusten elinkaaren ymmärtäminen on oleellista validointivaatimusten sisäistämiseen.
Teoriaosuuden jälkeisessä ensimmäisessä toteutusvaiheessa tuotettiin lyhyt kysely valtiohallinnon organisaatioille. Kyselyn tavoitteena oli muodostaa tilannekuva hyväksyttyjen sähköisten allekirjoitusten käsittelystä valtiohallinnon organisaatioissa. Toisessa toteutusosiossa lähdettiin hakemaan vastausta tutkimuskysymykseen. Päätöksenteon tueksi muodostettiin lyhyt kriteeristö, jota vasten kahta eri kandidaattia arvioitiin. Lisäksi tehtiin lyhyt toiminnallisuustestaus.
Opinnäytetyö tuotti ehdotuksen valtiohallinnon käyttöön soveltuvasta helppokäyttöisestä ja kustannustehokkaasta validointiratkaisusta. Lopputulos toimii myös jatkossa viranomaisille luotavan ohjeistuksen pohjana. A qualified electronic signature has the same legal effect as a handwritten signature, the so-called “wet” signature. The concept of a qualified electronic signature (QES) is not a technical term. Europe-an regulation, which is directly applicable to all member states, defines the legal effects of different types of electronic signatures. The regulation also specifies technical requirements that a signature must meet.
A qualified electronic signature is ineffective without validation. The receiver of a document with an embedded qualified electronic signature must verify that it is signed by the correct person and that the content of the document has not changed after signing. A validation solution is essential to fully leverage a qualified electronic signature.
It was assumed that Finnish government organisations do not have a common approach to validating qualified electronic signatures. The Finnish Transport and Communications Agency (Traficom), acting as a pilot customer, commissioned this thesis to explore the most suitable approach to building signature validation capabilities.
As qualified electronic signatures and their validation are regulated by EU-level regulations and standards, It was necessary to establish the theoretical framework for the validation process by researching the different lifecycle events associated with electronic signatures. Understanding the legal and technical requirements that define a qualified electronic signature was essential to grasp the validation aspects.
The first implementation part focused on understanding the current situation within Finnish government organisations. A survey was conducted to assess how knowledgeable different organisations were about signature validation. The second part of the implementation addressed the research questions directly. A brief requirement specification was developed to evaluate validation solutions. Two validation solutions were chosen for review. Functional tests were performed on the two selected candidates.
The research developed a blueprint, or a basis for clear guidance for Finnish government organisations on how to build capabilities for validating electronic or qualified electronic signatures in a cost-effective and user-friendly manner.
Hyväksytty sähköinen allekirjoitus vaatii validoinnin. Hyväksytyn sähköisen allekirjoituksen sisältävän dokumentin vastaanottajan on varmistettava asiakirjan allekirjoittajan henkilöllisyys, ja että asiakirjaa ei ole muokattu allekirjoituksen jälkeen. Allekirjoituksen validointi mahdollistaa hyväksytyn sähköisen allekirjoituksen täysimittaisen hyödyntämisen.
Tutkimuksen oletuslähtökohtana oli, että valtiohallinnossa ei ole yhteisiä käytäntöjä hyväksytyn sähköisen allekirjoituksen validointiin. Liikenne- ja viestintävirasto (Traficom) toimi opinnäytetyön tilaajana ja toimii pilottiasiakkaana. Tavoitteena oli löytää Traficom:lle sopivin vaihtoehto toteuttaa allekirjoitusten validointiratkaisu.
Hyväksytyt sähköisen allekirjoitukset ovat säänneltyjä EU-tasolla. Teoriaosuudessa käsiteltiin allekirjoituksiin liittyviä elinkaaritapahtumia sekä tekniset että sääntelynäkökohdat huomioiden. Allekirjoitusten elinkaaren ymmärtäminen on oleellista validointivaatimusten sisäistämiseen.
Teoriaosuuden jälkeisessä ensimmäisessä toteutusvaiheessa tuotettiin lyhyt kysely valtiohallinnon organisaatioille. Kyselyn tavoitteena oli muodostaa tilannekuva hyväksyttyjen sähköisten allekirjoitusten käsittelystä valtiohallinnon organisaatioissa. Toisessa toteutusosiossa lähdettiin hakemaan vastausta tutkimuskysymykseen. Päätöksenteon tueksi muodostettiin lyhyt kriteeristö, jota vasten kahta eri kandidaattia arvioitiin. Lisäksi tehtiin lyhyt toiminnallisuustestaus.
Opinnäytetyö tuotti ehdotuksen valtiohallinnon käyttöön soveltuvasta helppokäyttöisestä ja kustannustehokkaasta validointiratkaisusta. Lopputulos toimii myös jatkossa viranomaisille luotavan ohjeistuksen pohjana.
A qualified electronic signature is ineffective without validation. The receiver of a document with an embedded qualified electronic signature must verify that it is signed by the correct person and that the content of the document has not changed after signing. A validation solution is essential to fully leverage a qualified electronic signature.
It was assumed that Finnish government organisations do not have a common approach to validating qualified electronic signatures. The Finnish Transport and Communications Agency (Traficom), acting as a pilot customer, commissioned this thesis to explore the most suitable approach to building signature validation capabilities.
As qualified electronic signatures and their validation are regulated by EU-level regulations and standards, It was necessary to establish the theoretical framework for the validation process by researching the different lifecycle events associated with electronic signatures. Understanding the legal and technical requirements that define a qualified electronic signature was essential to grasp the validation aspects.
The first implementation part focused on understanding the current situation within Finnish government organisations. A survey was conducted to assess how knowledgeable different organisations were about signature validation. The second part of the implementation addressed the research questions directly. A brief requirement specification was developed to evaluate validation solutions. Two validation solutions were chosen for review. Functional tests were performed on the two selected candidates.
The research developed a blueprint, or a basis for clear guidance for Finnish government organisations on how to build capabilities for validating electronic or qualified electronic signatures in a cost-effective and user-friendly manner.