Jos olet perehtynyt sähköisiin allekirjoituksiin, olet saattanut törmätä termiin PAdES (PDF Advanced Electronic Signatures). Kyseessä on PDF-tiedostoihin suunniteltu sähköisten allekirjoitusten standardi, joka määrittelee, miten allekirjoitus voidaan upottaa asiakirjaan niin, että se täyttää EU:n eIDAS-asetuksen vaatimukset.

Yksinkertaistettuna PAdES-standardin tarkoituksena on varmistaa, että sähköisesti allekirjoitettu PDF-tiedosto on:

• Asianmukaisesti ja luotettavasti allekirjoitettu
• Muuttumaton allekirjoittamisen jälkeen
• Varmennettavissa myös myöhempänä ajankohtana

PAdES-standardi sisältää neljä perustasoa, jotka määrittelevät, kuinka vahvasti allekirjoituksen aitous voidaan osoittaa ja kuinka pitkään sen oikeudellinen todistusvoima voidaan säilyttää. Mitä korkeampi taso, sitä paremmin allekirjoituksen todistusvoima säilyy pitkällä aikavälillä varmenteiden vanhenemisesta ja teknologian muutoksista huolimatta.

PAdES-B-B eli Perustaso

Tämä on PAdES-standardin yksinkertaisin taso.

Se sisältää sähköisen allekirjoituksen sekä allekirjoittajan varmenteen. Allekirjoitus on voimassa niin kauan kuin käytetty varmenne on voimassa eikä sitä ole peruttu tai mitätöity.

Käytännössä tämä tarkoittaa:

• Asiakirjan aitous voidaan varmentaa
• Allekirjoittajan henkilöllisyys voidaan yhdistää allekirjoitukseen

B-tason allekirjoituksella on rajoitteensa: jos varmenne myöhemmin vanhenee tai mitätöidään, allekirjoituksen todentaminen voi vaikeutua. Tämä taso sopii usein lyhytaikaisiin tai vähemmän kriittisiin asiakirjoihin.

PAdES-B-T - Mukana luotettu aikaleima

Tämä taso rakentuu perustason päälle lisäämällä asiakirjaan luotettu aikaleima.

Aikaleima toimii kryptografisena todisteena asiakirjan olemassaolosta tietyllä hetkellä sekä allekirjoituksen tekohetkestä. Tämä on tärkeää, koska vaikka allekirjoittajan varmenne vanhenisi myöhemmin, voidaan silti osoittaa, että allekirjoitus oli tehty silloin, kun varmenne oli vielä voimassa.

Havainnollistettuna: Ilman aikaleimaa tiedät kuka allekirjoitti ja aikaleiman kanssa tiedät myös milloin. Tämä parantaa merkittävästi allekirjoituksen oikeudellista painoarvoa ja todistusvoimaa.

B-T-taso soveltuu hyvin esimerkiksi työ-, vuokra- ja asiakassopimuksiin sekä erilaisiin hyväksyntä- ja tilauslomakkeisiin. Jos asiakirjan allekirjoituspäivällä on merkitystä, mutta asiakirjaa ei tarvitse säilyttää juridisesti todennettavana vuosikymmeniä, B-T on usein hyvä tasapaino turvallisuuden ja kustannusten välillä.

PAdES-B-LT - Pitkäkestoinen varmennus

Tämä taso antaa allekirjoitukselle ja sen kestolle vielä suuremman painoarvon. Lyhenteen kirjaimet LT viittaavat englanninkielen sanoihin "Long term", mikä viittaa pitkäkestoisuuteen. Se sisältää itse allekirjoituksen lisäksi kaiken tarvittavan tiedon myöhempää varmennusta varten:

• Allekirjoitusvarmenteet
• Aikaleimavarmenteet
• Peruutustiedot (CRL ja OCSP)

Tämä on tärkeää, koska varmennukseen ei tarvitse enää hakea ulkoisia tietoja dokumentin tai allekirjoituksen aitoudesta myöhemmin. Kaikki tarvittava on tallennettu itse PDF-tiedostoon.

Käytännössä tämä tarkoittaa, että asiakirja voidaan todentaa myös vuosien päästä, vaikka alkuperäinen infrastruktuuri tai varmennetiedot eivät olisi enää saatavilla.

Tämä on erittäin tärkeää esimerkiksi:

• Sijoitussopimuksissa
• Yrityskaupoissa
• Pitkäaikaisissa työsopimuksissa
• Virallisissa arkistoissa

PAdES-B-LTA - pitkäkestoiseen arkistointiin

LTA (Long Term Archival) on PAdES-standardin vahvin taso. Se perustuu LT-tasoon, mutta lisää vielä asiakirjatason aikaleiman (document timestamp), joka suojaa myös todentamiseen tarvittavat tiedot.

Tämä tarkoittaa, että voidaan todistaa:

• Mitä varmennustietoja oli olemassa allekirjoitushetkellä
• Että sitä ei ole muutettu myöhemmin

Tämän ansiosta asiakirjan todistusvoima voidaan säilyttää erittäin pitkään, jopa tapauksissa joissa:

• Alkuperäiset varmenteet ovat vanhentuneet
• Käytetyt algoritmit eivät ole enää turvallisia
• Varmennusteknologia on muuttunut

Tarvittaessa uusia aikaleimoja voidaan lisätä myöhemmin, jolloin asiakirjan todistettavuus voidaan käytännössä “jatkaa” pidemmälle tulevaisuuteen.

Tämä tekee LTA-tasosta erityisen tärkeän pitkäaikaisessa arkistoinnissa. Mahdollisia sovelluskohteita ovat erityisen pitkäkestoisiksi suunnitellut kiinteistö-, liiketoiminta- ja viranomaissopimukset.

Neljä PAdES-tasoa vertailussa

Minkä PAdES-tason valitsen?

Valinta riippuu ennen kaikkea kahdesta asiasta:

1. Kuinka pitkään allekirjoituksen pitää olla todennettavissa?

Jos asiakirjalta vaaditaan vain lyhyempää voimassaoloa, kevyempi suojaus on usein täysin riittävä. Jos asiakirjalla voi olla juridista merkitystä vielä vuosien tai vuosikymmenten päästä, tarvitset vahvemman tason.

2. Kuinka kriittinen asiakirja on liiketoiminnallisesti?

Kaikki asiakirjat eivät vaadi samaa suojaustasoa. Esimerkiksi laskutukseen liittyviin allekirjoituksiin riittää yleensä B-B- tai B-T-tason allekirjoitus. Työsopimuksiin puolestaan sovelletaan usein B-T- tai B-LT-tasoja, kun taas erittäin pitkäaikaiseksi ja merkittäväksi suunniteltuihin sijoitus- ja kiinteistösopimuksiin tai yrityskauppoihin suositellaan aina käytettäväksi B-LT tai B-LTA-tasoa.

Käytännön suositus

Jos tavoitteena on pitkäaikainen oikeudellinen pätevyys, PAdES-B-LTA on usein turvallisin valinta. Teknisesti ero LT- ja LTA-tasojen välillä on suhteellisen pieni, mutta pitkäaikaisen todistettavuuden näkökulmasta hyöty voi olla merkittävä.

Kuinka PAdES-tasot rinnastuvat hyväksyttyihin (QES) ja Kehittyneisiin (AES) allekirjoituksiin

On tärkeää ymmärtää, että PAdES-tasot ja eIDAS-asetuksen kehittyneet ja hyväksytyt allekirjoitukset eivät tarkoita samaa asiaa. AES (Advanced Electronic Signature) ja QES (Qualified Electronic Signature) määrittelevät allekirjoituksen oikeudellisen tason ja sen, kuinka vahvasti allekirjoittajan henkilöllisyys on varmennettu. PAdES puolestaan määrittelee allekirjoituksen teknisen toteutustavan PDF-asiakirjassa sekä sen, kuinka pitkään allekirjoituksen aitous ja todistettavuus voidaan säilyttää. Käytännössä sama allekirjoitus voi siis olla joko AES tai QES riippumatta siitä, millä PAdES-tasolla se on toteutettu. PAdES-taso vaikuttaa ennen kaikkea siihen, kuinka hyvin allekirjoitus voidaan todentaa myös vuosien päästä esimerkiksi varmenteiden vanhenemisen tai teknologian muuttumisen jälkeen.