Hajautettu tietoturvallinen sertifikaattien hallintajärjestelmä
Lemetyinen, Albert (2026)
2026
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202602042256
https://urn.fi/URN:NBN:fi:amk-202602042256
Tiivistelmä
Digitaalisten palveluiden luottamus on pitkälti perustunut Public Key Infrastructure (PKI) -malliin, jossa keskitetyt varmentajat ja X.509-sertifikaatit muodostavat sertifikaattien hallinnan perustan. Malliin on liittynyt rakenteellisia haasteita, kuten keskitettyihin varmentajiin kohdistuvat riskit, sertifikaattien elinkaaren hallinnan monimutkaisuus sekä revokaatiomekanismien puutteellinen ajantasaisuus. Tehtävänä oli tarkastella hajautettuun identiteettiin perustuvan sertifikaattien hallinnan soveltuvuutta vaihtoehtona perinteiselle PKI-mallille.
Toteutustapana hyödynnettiin tutkimuksellista kehittämistyötä, jossa teoreettinen tarkastelu yhdistettiin käytännön prototyyppitoteutukseen. Teoreettinen osuus käsitti perinteisen PKI-mallin, hajautetun identiteetin periaatteet sekä Verifiable Credentials -mallin tietoturvanäkökulmineen. Käytännön osuudessa rakennettiin rajattu prototyyppi hajautetusta sertifikaattien hallintajärjestelmästä hyödyntäen Hyperledger Indy-, Aries- ja Ursa-teknologioita. Prototyyppi toteutettiin konttipohjaisessa ympäristössä ja sen avulla havainnollistettiin credentialien myöntämistä, säilyttämistä ja todentamista agenttipohjaisen viestinnän kautta.
Tulosten perusteella hajautettuun identiteettiin perustuva sertifikaattien hallinta osoittautui teknisesti toteuttamiskelpoiseksi prototyyppitasolla. Credentialien myöntäminen ja todentaminen toimivat luotettavasti ilman keskitettyä varmentajaa, ja selektiivinen paljastaminen mahdollisti yksityisyyttä paremmin tukevan todentamisen kuin perinteisessä PKI-mallissa. Ledger-pohjainen metadatan hallinta vähensi keskitettyihin komponentteihin kohdistuvia riskejä, mutta samalla avainten ja lompakoiden suojaamisen merkitys korostui. Revokaation osalta havaittiin, että hajautettu malli tarjoaa teoreettisia etuja, mutta edellyttää lisäkehitystä täysimittaisen ja ajantasaisen ratkaisun saavuttamiseksi.
Johtopäätöksenä todettiin, että hajautettu sertifikaattien hallinta tarjoaa uskottavan ja tietoturvan sekä yksityisyyden kannalta lupaavan vaihtoehdon perinteiselle PKI-mallille erityisesti rajatuissa organisaatio- ja ekosysteemikonteksteissa. Malli ei kuitenkaan sellaisenaan korvaa nykyistä internetin varmenneinfrastruktuuria, vaan soveltuu parhaiten täydentäväksi ratkaisuksi tai hybridimallien osaksi. Jatkotarkastelussa keskeisiksi kehityskohteiksi nousivat avainten hallinnan vahvistaminen, revokaatiomekanismien toteuttaminen sekä käytettävyyden parantaminen.
Toteutustapana hyödynnettiin tutkimuksellista kehittämistyötä, jossa teoreettinen tarkastelu yhdistettiin käytännön prototyyppitoteutukseen. Teoreettinen osuus käsitti perinteisen PKI-mallin, hajautetun identiteetin periaatteet sekä Verifiable Credentials -mallin tietoturvanäkökulmineen. Käytännön osuudessa rakennettiin rajattu prototyyppi hajautetusta sertifikaattien hallintajärjestelmästä hyödyntäen Hyperledger Indy-, Aries- ja Ursa-teknologioita. Prototyyppi toteutettiin konttipohjaisessa ympäristössä ja sen avulla havainnollistettiin credentialien myöntämistä, säilyttämistä ja todentamista agenttipohjaisen viestinnän kautta.
Tulosten perusteella hajautettuun identiteettiin perustuva sertifikaattien hallinta osoittautui teknisesti toteuttamiskelpoiseksi prototyyppitasolla. Credentialien myöntäminen ja todentaminen toimivat luotettavasti ilman keskitettyä varmentajaa, ja selektiivinen paljastaminen mahdollisti yksityisyyttä paremmin tukevan todentamisen kuin perinteisessä PKI-mallissa. Ledger-pohjainen metadatan hallinta vähensi keskitettyihin komponentteihin kohdistuvia riskejä, mutta samalla avainten ja lompakoiden suojaamisen merkitys korostui. Revokaation osalta havaittiin, että hajautettu malli tarjoaa teoreettisia etuja, mutta edellyttää lisäkehitystä täysimittaisen ja ajantasaisen ratkaisun saavuttamiseksi.
Johtopäätöksenä todettiin, että hajautettu sertifikaattien hallinta tarjoaa uskottavan ja tietoturvan sekä yksityisyyden kannalta lupaavan vaihtoehdon perinteiselle PKI-mallille erityisesti rajatuissa organisaatio- ja ekosysteemikonteksteissa. Malli ei kuitenkaan sellaisenaan korvaa nykyistä internetin varmenneinfrastruktuuria, vaan soveltuu parhaiten täydentäväksi ratkaisuksi tai hybridimallien osaksi. Jatkotarkastelussa keskeisiksi kehityskohteiksi nousivat avainten hallinnan vahvistaminen, revokaatiomekanismien toteuttaminen sekä käytettävyyden parantaminen.