Vahva sähköinen tunnistus uudistuu - tietoa asiointipalveluille
Tietoturva Nyt!
Liikenne- ja viestintäviraston määräys M72B koskien vahvaa sähköistä tunnistusta ja luottamuspalveluita astuu voimaan täysimääräisenä kesällä 2023. Uudistetussa määräyksessä on vaatimuksia, jotka heijastuvat myös asiointipalvelutoteutuksiin.
Uuden määräyksen myötä välityspalveluiden ja asiointipalveluiden on sovittava kansanomaisesta, helposti ymmärrettävästä palvelunimestä. Palvelunimen tulee olla se verkkopalvelu, mihin asiakas on tunnistautumassa. Asiakkaan on kyettävä helposti yhdistämään asiointipalvelun nimi "Verkkokauppa Verho" tunnistustapahtuman aikana näytettyyn tietoon "Verkkokauppa Verho".
Viraston määräys tiukentaa luottamusverkostossa avaintenhallintakäytäntöjä. Määräyksen ensisijainen tavoite on varmistua siitä, että kaikki sanomat, jotka sisältävät henkilökohtaista tietoa kulkevat turvallisesti toimijoiden välillä, luottamuksellisuuden tai eheyden vaarantumatta.
Luottosuhteen muodostamiseen tulee uusi vaatimus turvallisesta menettelystä toimitettaessa luottamussuhteen perustana olevaa avainmateriaalia toimijoiden välillä. Tämä vaatimus heijastuu myös asiointipalveluille. Menettely vaihtelee eri välitys- ja tunnistuspalveluiden kesken. Luottosuhteen perustana oleva avainmateriaali voi olla pitkäikäinen.
Ongelmaksi on muodostunut päivittäisen sanomatason allekirjoitus- ja salausavainten harva vaihtoväli. Pohjalla oleva OpenID Connect yhteyskäytäntö mahdollistaa automaattiset avaintenvaihdot. Määräyksen M72B myötä edellytetään kuitenkin lisäturvaa, jotta varmistutaan siitä, että salaisuudet ovat oikean tahon hallussa ja jotta automaattinen avaintenvaihto olisi mahdollista. Avainmateriaalin uusimiseen on eri vaihtoehtoja. Yhtenä vaihtoehtona on rakentaa turvallinen päästä päähän putki toimijoiden välille, myös asiointipalveluihin. Toinen vaihtoehto on käyttää OpenID Connect Federation -määrittelystä mukailtua versiota, joka tuo mukanaan yhden ylimääräisen kerroksen palvelutoteutuksiin.
Muutosten taustalla on tavoite vähentää riskejä, jotka liittyvät kalasteluyrityksiin ja toisaalta varmistua asiointipalvelun oikeellisuudesta. Verkkopalvelun nimen välittäminen selkeyttää kuluttajalle annettua tietoa tunnistusprosessin eri vaiheissa, ja mahdollistaa joissakin tapauksissa väärin perustein tapahtuvan tunnistuspyynnön huomioimisen ja tapahtuman keskeyttämisen. Avaintenhallintamuutosten taustalla on mm. tavoite varmistua siitä, että luottosuhteen perustana olevat salaisuudet ovat oikean tahon hallussa - eli vahvaa sähköistä tunnistusta pyytävän asiointipalvelun.
Vaadittavista teknisistä muutoksista lisätietoja kannattaa tiedustella omalta välityspalvelukumppanilta, tai tunnistuspalvelulta, jos käytössä ei ole välityspalvelua.
Virasto on julkaissut uudet rajapintasuositukset sekä OpenID Connect:lle että SAML-yhteyskäytännölle.