Kirjoitukseni mobiilivarmenteen ongelmista herätti paljon keskustelua, joten pitää palata vielä aiheeseen. Joku saattoi saada käsityksen, ettei mobiilivarmenne ole lainkaan turvallinen, kun kyse oli vain siitä, että huijari voi erehdyttää uhria antamaan luvan oman varmenteensa asentamiseen rosvon puhelimeen.
Varmennetta ei varsinaisesti "kaapata", se vain otetaan vieraan henkilön käyttöön luvatta. Tämä kuitenkin edellyttää, että uhri käyttää pankkitunnuksiaan väärällä sivulla ja on muutenkin huolimaton.
Mobiilivarmenne on turvallisempi kuin pankkitunnus lähinnä siksi, ettei se ole pankkitunnus ts. turvallisuudessa itsessään ei ole eroa, mutta mobiilivarmenteella ei pysty vahingossa avaamaan kalastelusivulle pääsyä omaan pankkiinsa.
Keksintönä mobiilivarmenne on vanha, mutta se alkoi levitä toden teolla vasta kun kohu verkkopankkihuijauksista alkoi. Syntyi käsitys, että mobiilivarmenne on lähtökohtaisesti turvallisempi kuin pankkitunnukset. Viranomainenkin suositteli käyttämään tunnuksia vain pankkiasiointiin ja kirjautumaan kaikkialle muualle mobiilivarmenteella.
Pankit, joille tunnistuskertojen myynti on pienimuotoinen bisnes, eivät olleet hyvillään tällaisesta rinnastuksesta. Julkisesti ne eivät voineet kritisoida mobiilivarmennetta.
Vaikkei varmenteella pääse isoihin pankkeihin (pieniin kylläkin), niillä voi ottaa pikavippejä, tehdä rekisterimerkintöjä (VTJ, PRH ym) ja esimerkiksi poistaa omaehtoisen luottokiellon, mikä helpottaa tilauspetosta uhrin nimissä.
Kun käyttäjien määrä kasvoi, rosvot löysivät mobiilivarmenteen. Samalla huomattiin, että operaattorit olivat varsin huolettomasti kehuneet varmennetta unohtaen, että silläkin voitiin huijata. Poliisin tiedote toi huijaukset julkisuuteen kesällä 2025:
 |
| Poliisin tiedote 25.6.2025 |
Vieläkin monelle tulee yllätyksenä tieto häirinnänestokoodista ja sen tarpeellisuudesta. Ilman koodia uhria on helpompi erehdyttää vääriin kirjautumisiin.
Ei ihme, etteivät operaattorit oma-aloitteisesti maininneet häirinnänestokoodista. Puhelinnumeron kirjoittaminen ja kaksi muistettavaa koodia tekevät varmenteesta kömpelömmän kuin pankkitunnisteista. Kirjoitettavia numeroita ja muistettavaa on enemmän. Tässäkin mukavuus kertaa turvallisuus on vakio.
Kaikkein turvallisin kirjautumistapa on varmennekortti (se alkuperäisen HST-kortin vm. 1999 nykyinen versio) eli virallinen sirullinen henkilökortti. Sitä ei voi kaapata eikä hakea vahingossa, eikä sillä pääse mihinkään pankkeihin. Siinä on käsittääkseni samanlainen DVV:n myöntämä varmenne kuin mobiilivarmenteessa, mutta upotettuna fyysiselle kortille.
Varmennekortti on jäänyt sivuraiteille, koska hankkeista huolimatta sitä ei laitettu toimimaan mobiililaitteilla eikä sillä ollut takana kaupallista tahoa joka olisi huolehtinut markkinoinnista. Kortti vaatii usb-lukulaitteen, jonka saa marketista muutamalla kympillä. Joissakin bisnesläppäreissä (erityisesti Dell) lukija on valmiina.
 |
| Prisman hyllyssä kortinlukijan hinta 19,95 euroa. |
Kortinlukijassa on tietenkin asentamisen vaiva, mutta sellaiselle, joka käyttää palveluita kotona oikean tietokoneen tai läppärin ääressä, kortti on mainio ratkaisu. Sen voi jättää lukijaan pysyvästi ja se vaatii vain yhden nelinumeroisen PIN-koodin.
Lähivuosina tunnistus menee entistä sekavammaksi, koska jo syksyllä on luvassa EU:n digilompakko tunnistamista varten ja ensi vuonna tulee eIDAS-sääntely. Sen jälkeen digitaalisten palveluiden - myös pankkien - on tuettava euroopanlaajuista tunnistustapaa.
Saapa nähdä, millaisia sotkuja siitä saadaan aikaan. Tunnistaminen on verkkopalvelujen kulmakivi ja siksi jatkossakin nettirosvojen tärkein kiinnostuksen kohde.
Tekstiä muokattu 2.3.2026
17 kommenttia:
Eikö hightrust.id ole tavallaan mobiililaitteessa toimiva varmennuskortti? Onko sinulla käsitystä sen turvallisuudesta. Itse olen alkanut käyttää sitä aina kun mahdollista. Ehkä senkin yleistymiseen vaikuttaa hankalahko asennus, jota jouduin itsekin yrittämään pari kertaa ennen kuin onnistui.
Mobiilivarmenteella sekä puhelinnumeron että häirinnänestokoodin voi lisätä selaimen automaattitäyttöön, jolloin ne täyttyvät parilla klikkauksella. Pankkien mobiilisovelluksia käytettäessä käyttäjätunnuksen voi usein vastaavasti lisätä automaattitäyttöön.
Mobiilivarmenteen automaattitäyttö on toki sidottu tunnistussivustoon, mutta useimmat kulkevat Telia Tunnistuksen kautta. Joitakin poikkeuksia on kuten Elisan verkkoasiointi, eli siellä tunnistus alkaa Elisan omalta sivulta, eikä Teliaan kytketty automaattitäyttö toimi.
EU:n digilompakko ja euroopanlaajuinen tunnistautuinen, mitä näillä oikeastaan tarkoitetaan? Tekeillä oleva DVV:n digilompakko on suomalainen, maakohtainen, vain Suomessa asuville suomalaisille. Sitä sovellusta ei voine asentaa esim. ranskalaiseen iPhoneen, koska App Store (maakohtainen) ei halua hyväksyä muunmaalaisia korkean turvallisuuden sovelluksia.
Tarkoittaako euroopanlaajuinen tunnistautuminen sitä että ulkosuomalaisena ja kaksoiskansalaisena voin kirjautua ranskalaisella digilompakollani Suomen veropalveluihin?
Lompakkosovellus on kotimainen mutta "Lompakkosovellus toimii vahvan tunnistautumisen välineenä koko EU:n alueella. Sen kautta käyttäjä voi myös esimerkiksi allekirjoittaa sähköisesti ja hyödyntää erilaisia todistuksia digitaalisessa ja paikan päällä tapahtuvassa asioinnissa."
Kyllä miulla ainakin sormenjäljen vaatii vaikka puhelin auki olisikin.
Android vai iPhone?
No liittää sen numeron myös siihen Elisan sivulle.
Elisan Mobiilivarmenne-sivu ei määrittele häirinnänestokoodia "salasanaksi", joten salasanan automaattitäyttö ei toiminut. Selain saattaa muistaa koodin muuna täytettävänä lomakekenttänä ja ehdottaa aiemmin käytettyjä arvoja.
Niin on avainlukulistakin. Molemmat on yhtä alttiita samoille huojuksille. Itse sinä päästät molemmissa tapauksissa toisen sisään tai siirrät rahaa
@Petteri
Kaikkein turvallisin kirjautumistapa on varmennekortti (se alkuperäisen HST-kortin vm. 1999 nykyinen versio) eli virallinen sirullinen henkilökortti. Sitä ei voi kaapata eikä hakea vahingossa, eikä sillä pääse mihinkään pankkeihin. Siinä on käsittääkseni sama DVV:n myöntämä varmenne kuin mobiilivarmenteessa, mutta upotettuna fyysiselle kortille.
Mobiilivarmenteet (SIM/eSIM) ja Henkilökortin (HST) varmenne perustuvat samaan ISO/IEC 7816 standardiin, jotka käyttävät PKCS #15 salaustandardia. ISO/IEC 7816-8 mahdollistaa avainparien luomisen joko kortilla tai avainparien luomisen kortin ulkopuolella ja sen jälkeen tallentamisen kortille.
ISO/IEC 7816 avainparit ovat RSA tai ECC tyyppiä. Jotta tunnistamisen lisäksi on mahdollista myös allekirjoittaa avainpareja on oltava korteilla 2 kpl ja molemmille oma PIN, jotta niitä ei voida käyttää käyttäjän asiasta tietämättä.
Käytin hetken aikaa verkosta etsimällä ja sain käsityksen että DVV Henkilövarmeteen avainparit luodaan kortilla (On Card), joten sen yksityisiä avaimia voi tuoda ulos. Niitä voi vain käyttää 7816-8 API:n kautta, joka on tietoturvan ja luottamuksen kannalta olennaisin kortin ominaisuus.
DNA, Elisa ja DNA mobiilivarmentesta löysin (Mobile Certificate Based Network Services Göran Pulkkis and Farzan Yazdani Arcada University of Applied Sciences, Helsinki, Finland) maininnan (Mobiiliasiointivarmenne, 2011) ja jolla hakemalla löytsin operaattorien varmennepolitiikka-dokumentteja.
Kuten seuraava Elisan tähän esimerkiksi. Siinä mainitaan, että avain-pari on luotu kotille SIM-kortin valmistajan toimesta jo tehtaalla (6.1.1 Avainparin luominen)
https://elisa.fi/tietoturva/mobiilivarmenne/dokumentit/
... jatkoa
No mikä tässä pitkässä kirjoituksessa oli tarkoituksena?
Se, että koska em. varmenteet ovat PKCS #15 mukaisia, niiden yksityistä avainta ei voida saada ulos kortilta sen tekemisen jälkeen, niin saman varmenteen käyttäminen ei ole mahdollista (ilman yksityistä avainta) missään muussa yhteydessä. Joten Varmennekortin varmenne ja Mobiilivarmenteen varmenne, eivät voi käytännössä olla täysin samoja varmenteita. Eli varmenteen kloonaaminen kortilta tai simmiltä toiselle ei onnistu.
Varmenteissa on siis ainakin erilliset avaimet ja kun niillä tunnistetaan käyttäjä tai allekirjoitetaan jotain, niin tapahtumat voidaan erottaa ne voidaan erottaa toisistaan.
DVV:llä on omat juurivarmenteet, jotka löytyvät heidän sivuiltaan ja joilla he omat korttinsa joita on useita eri tyyppejä allekirjoittavat. Elisalla näkyy olevan oma CA, samoin Telialla (Soneran perintönä) ja DNA näyttää olevan piilottanut käyttämänsä juurivarmenteen niin, että en sitä löytänyt heidän sivuilta kuten sen yleensä tulisi olla ladattavissa. Muuta dokumentaatiota kyllä löytyi helposti ja loppukäyttäjän ohjeita mutta DNA juurivarmenteet ei.
hightrust.id näkyy olevan OIDC häkkyrä, varmenteitahan siinäkin käytetään. Mutta en jaksanut nyt kaivella enempää, miten clientin todentaminen tehdään sen jälkeen kun se on ensin paritettu pankkitunnistuksen tai henkilökortin avulla heidän palveluun. Avainpari ja varmenteet siinäkin on luotava ja säilytettävä päätelaitteessa, jolla allekirjoitukset tehdään. Tunnistamiseen ei välttämättä tarvita OIDC kanssa varmenteita.
https://github.com/megical
https://openid.net/developers/how-connect-works/
Olisin laittanut enemmän linkkejä, mutta en tohtinut ettei jää postaus jää bloggerin filttereihin.
Kiitos selvityksestä. Kirjoitin huonosti: varmenne ei tietenkään voi olla täysin sama, silloinhan varmenne olisi kopioitavissa ja monistettavissa. Tarkoitin, että ne kai perustuvat DVV:n tietoihin ja mobiilivarmenteessa henkilö yksilöidään SATUn perusteella (ei HETUn). HST-kortin tullessa puhuttiin kansalaisvarmenteesta, se termi ei enää taida olla käytössä?
Ilmeisesti tunnistuspalvelu palauttaa mobiilivarmenteen käyttäjästä asiakkaalle (=palveluun) kuitenkin HETUn, joten tämä muunnos tehdään jossain? Pankkitunnukset palauttavat asiakkaalle (esim. Vero.fi) suoraan käyttäjän HETUn.
Nämä ovat teknisesti mutkikkaita asioita eikä niitä ehkä tarkoituksella dokumentoida kaikkien luettavaksi, mutta perusasioiden selvittäminen lisää myös käyttäjien luottamusta järjestelmää kohtaan.
On nämä aika monimutkaisia ja aika työläitä käsitteitä selittää perehtymättömille, joille pitää keksiä abstraktien käsitteiden rinnalle tuttua konkretiaa, asiota joilla näistä saa paremmin heille ymmärrettäviä.
Olen joskus kauan sitten käyttänyt mallina julkisen notaarin ja ns. apostillen käyttöä töissä näitä asioita lakimiehille perehdyttäessä jonka he tuntevat hyvin, jotta he ymmärtävät mikä rooli CA:lla on asiakirjoijen oikeelisuuden tarkistamisessa. Kiinteistön kaupan vahvistamisessa kaupanvahvistajalla on sama rooli, mutta sen avulla varmentajien hierarkiaa on vaikeampi osoittaa, joka kuitenkin on x509 varmenteissa keskeinen asia joka pitää ymmärtää.
Tekniikan kanssa itse lähnnä työtä tekevänä ja varmennepalvelua pyörittäneenä kesti hetken keksiä em. keinoja ja sitten käyttää niitä. Lakimiehet ja ylin johto piti kuitenkin saada ymmärtämään mitä olimme tekemässä, jotta heidän luottamus riiti että digitaalinen asiakirjojen allekirjoittaminen ym. saatiin aikaiseksi eikä asia jänyt kiinni nimenkirjoitus oikeudesta.
Elisan dokumenteissa oli kuvattu aika hyvin mitä tietoja mobiilivarmenteisiin laitetaan, siitä on sovittu käytäntö. Mobiilivarmenteet ovat teknisesti samoja x509 mukaisia varmenteita, joita voi käsitellä vaikka Linux/macOS openssl ohjelmistolla. PKCS #15 on sitten se standardi miten tämä varmenne ja siihen liittyvät kryptokgrafiset avaimet yms. tallennetaan "tokeniin"; eli kortilla olevaan siruun.
Kyberturvallisuuskeskuksen kautta voi ladata Excel-taulukon, jossa on tunnistuspalveluiden julkisia tietoja: https://www.kyberturvallisuuskeskus.fi/fi/toimintamme/saantely-ja-valvonta/sahkoinen-tunnistaminen
Taulukossa on edelleen linkkejä kunkin palvelun dokumentteihin.
Hyvä linkki, kiitokset siitä. Excel taulukkon tiedot, ei kuitenkaan esim. DNA:n ja Megical (hightrust.id) osalta johda sivuille joilta heidän käyttämiensä juurivarmenteet voisi hakea ja nähdä sen tiedoista onko heillä oma CA vai käyttävätkö he jonkun toisen CA:n välivarmennetta. Molemmat tietty toimivat, mutta vastuiden ja riskien osalta sekä kyvyssä hallita sekä tehdä itsenäisesti muutoksia on olennaisia eroja.
Tuosta Excel lomakkeesta osa tiedoista näkyy myös puuttuvan, josta ehkä voisi päätellä että sitä on alettu koota vasta jonkin ajan päästä eikä ihan kaikkia tietoja enää ole ollut helposti löydettävissä. No parempi tuokin kun ei mitään. On vain tietojen ylläpitäjälle hankalaa pomppia eri välilehtien välillä sama asia eri kielillä kirjoittaen. Joku pieni asiallinen web-sovellus tuota rekisteriä varten tekisi ylläpitäjän elämästä varmasti helpompaa, kun eri kielillä olevat tiedot saisi syötettäessä helposti samalle näkymälle ettei tarvitse veivailla välilehdillä, kuten tuota ylläpitäessä hän nyt joutuu tekemään.
Kognitiivisesti on raskaampaa ja enemmän energiaa kuluttavaa kun ei voi tehdä kääntämistä irroittamatta katsetta käännettävästä kirjoittaessaan käännöstä. Muutaman kerran päivässä tehtynä ei iso juttu, mutta jatkuvasti ja pidempään tehdessä ero on merkittävä. Asiakirjoja tms. kääntäessä, alkuperäinen ja käännös mitä tekee kannattaa pitää rinnakkain tai alekkain yhdellä näytöllä.
Ainakaan Telialla mobiilivarmennetta ei voi edes aktivoida paikan päällä liikkeessä asioimalla, on pakko hoitaa asia operaattorin sivuilla pankkitunnuksilla. Voidaanko enää puhua vahvasta tunnistautumisesta, kun tunnistautumisia näin ketjutetaan? Pankkitunnuksiakaan ei uusita viiden vuoden välein, vaan ne ovat voimassa rajattoman ajan.
Lähetä kommentti