Vanhat päätelaitteet eivät tue vahvaa sähköistä tunnistamista vuodenvaihteen jälkeen

Julkaistu 28.06.2018

Tunnistautuminen pankkitunnuksilla tai mobiilivarmenteella esimerkiksi julkisiin verkkopalveluihin ei onnistu vanhoilla päätelaitteilla tai selainversioilla, kun suojauskäytäntöjä tiukennetaan viimeistään vuoden 2019 alusta alkaen. Näin voi käydä esimerkiksi Windows XP -tietokoneilla ja mobiililaitteilla, joissa on käyttöjärjestelmänä Android 4, iOS 4 tai vanhempi. Tällaiset laitteet ja käyttöjärjestelmät eivät tue päätelaitteen ja palvelun välisen internetliikenteen suojaukseen käytetyn TLS-protokollan (Transport Layer Security) versiota 1.1 tai sitä uudempaa versiota. Näin vanhojen laitteiden käyttö on Suomessa vähäistä.

Windows XP -käyttöjärjestelmä, vanhat verkkoselaimet ja vanhat mobiililaitteet eivät ole tarpeeksi turvallisia vahvaan sähköiseen tunnistamiseen, eikä niillä siksi voi käyttää palveluita, jotka edellyttävät vahvaa sähköistä tunnistautumista. Vahvaa sähköistä tunnistusta käytetään suojaamaan identiteettiä verkossa. Jotta sähköisten palveluiden käyttö olisi turvallista, täytyy tunnistuksen jokaisen vaiheen olla suojattu.

Tunnistuspalvelun tiukentuneet suojausvaatimukset voivat näkyä käyttäjälle esimerkiksi niin, että verottajan palveluun ei pääse kirjautumaan, koska tunnistautuminen edellyttäisi tietoturvaominaisuutta, jota vanhemmista laitteista ei löydy. Tällaiset käyttöjärjestelmät, verkkoselaimet ja laitteet eivät muutoinkaan enää täytä tämän päivän tietoturvavaatimuksia, eikä niille ole enää saatavilla tietoturvapäivityksiä. Siten on suositeltavaa, että käyttöjärjestelmät ja laitteet päivitettäisiin uudempiin versioihin.

Vahvan sähköisen tunnistuksen tietoturva taataan sääntelyllä

Viestintäviraston sähköisistä tunnistus- ja luottamuspalveluista antamassa määräyksessä 72 vaaditaan, että tiedonsiirron salauksessa käytetään pääsääntöisesti TLS-protokollan versiota 1.2 tai sitä uudempaa versiota. Uudemmat versiot ovat tietoturvallisempia kuin vanhat. Määräyksessä sallitaan version 1.1 käyttö poikkeuksellisesti silloin, jos käyttäjän päätelaite ei tue uudempaa versiota. Verkkoselaimet ovat pääsääntöisesti tukeneet versiota 1.2 jo vuodesta 2011, mutta mobiilipäätelaitteet eivät tue sitä vielä kattavasti.

Monet tunnistuspalveluiden tarjoajat ovat jo estäneet vanhentuneen TLS-protokollan version 1.0 käytön vahvassa sähköisessä tunnistamisessa, osalla vaadittujen muutosten tekeminen on parhaillaan käynnissä. Muutosten tulee olla tehtynä viimeistään 1.1.2019. Tämän takarajan jälkeen verkkopalveluihin ei voi enää tunnistautua vanhoilla laitteilla tai ohjelmistoversioilla, joista tuki uudemmille versioille puuttuu.

Syytä erityiseen huoleen ei käyttäjillä kuitenkaan ole, sillä kyse on normaalista tietoturvavaatimusten kehittämisestä. Vanhentuneiden kryptografisten menetelmien ja niihin perustuvien yhteyskäytäntöjen käytöstä on luovuttava niihin liittyvien riskien vuoksi. Viestintävirasto on käsitellyt korjausaikataulua ja muutoksesta viestintää yhteistyössä tunnistuspalveluiden tarjoajien kanssa.

Lisätietoa

Lakimies Marko Priiki, p. 0295 390 596

Päällikkö Jukka-Pekka Juutinen, p. 0295 390 523

Lakimies Anne Lohtander, p. 0295 390 618

Sähköposti etunimi.sukunimi(at)viestintavirasto.fi

Viestintäviraston määräys 72A/2018

Jos haluat tarkistaa, mitä TLS-protokollan versioita selaimesi tukee, voit käyttää siihen erilaisia verkosta löytyviä testipalveluita. Tällainen on esimerkiksi englanninkielinen Qualys SSL Labsin testipalvelu.

Taustatietoa vahvasta sähköisestä tunnistamisesta

Vahvoja sähköisiä tunnistusvälineitä Suomessa ovat tällä hetkellä verkkopankkitunnukset, teleoperaattoreiden mobiilivarmenteet ja Väestörekisterikeskuksen kansalais- ja organisaatiovarmenteet. Vahvat sähköiset tunnistusvälineet on merkitty rekisteriin, joka löytyy Viestintäviraston verkkosivuilta.

Tunnistusvälineen tarjoajat myöntävät vahvoja tunnistusvälineitä käyttäjille. Tunnistusvälineen tarjoaja on esimerkiksi pankki tai teleyritys, joka tarjoaa yleisölle vahvan sähköisen tunnistamisen tunnistusvälineitä, kuten pankkitunnuksia tai mobiilivarmennetta.

Tunnistusvälityspalvelun tarjoaja on taho, joka välittää vahvan sähköisen tunnistamisen tunnistustapahtumia erilaisille asiointipalveluille eli sähköiseen tunnistukseen luottavalle osapuolelle (esim. verkkokauppa tai valtionhallinnon sähköinen palvelu). Molempiin viitataan yhdessä tunnistuspalvelun tarjoajina.

Tunnistuspalvelun tarjoajat kuuluvat luottamusverkostoon. Luottamusverkoston perustamisen tavoitteena on, että erilaisia verkkopalveluita tarjoavat asiointipalvelut voisivat hankkia asiakkaidensa tunnistamiseen tarvitsemansa tunnistuspalvelut yhden välityspalvelun kautta, vaikka verkkopalvelun asiakkailla olisi mikä tahansa suomalainen tunnistusväline käytössään.

Asiasanat: Tietoturva , Kyberturvallisuus , Sähköinen tunnistaminen , Uutiset

LinkedIn Print