Criipto on nyt Idura. Lue täältä, miksi →

Varmennettavat digitaaliset todistukset selkokielellä

Kirjoittanut Natalia Moskaleva 1. maaliskuuta 2024

4 min lukuaika

Verifiable Credentials Explained In Simple Terms

Kun perehdyt digitaaliseen identiteettiin, digilompakoihin ja identiteetin hallintaan, törmäät nopeasti käsitteeseen "Verifiable credential" eli varmennettava digitaalinen todistus (tai lyhyemmin digitaalinen todistus). Terminologia voi tuntua aluksi vaikealta, erityisesti jos aihepiiri on uusi eikä tekninen sanasto ole ennestään tuttua.

Ei huolta.

Tässä artikkelissa käymme läpi yleisimmät käsitteet yksinkertaisesti ja käytännönläheisesti.

Todistus (Credential)

Erilaiset henkilöllisyys- ja muut todistukset ovat vakiintunut osa jokapäiväistä elämäämme fyysisessä maailmassa. Passi, ajokortti, Kela-kortti tai tutkintotodistus ovat kaikki esimerkkejä todistuksista. Ne sisältävät tietoa meistä, ja niiden avulla voimme osoittaa esimerkiksi henkilöllisyytemme, oikeutemme tai pätevyytemme.

Varmennettava digitaalinen todistus (Verifiable Credential, VC)

Todistuksesta tulee varmennettava todistus, kun se on digitaalisessa, standardoidussa muodossa ja sen aitous voidaan todentaa kryptografisesti.

Käytännössä varmennettava todistus voi sisältää saman tiedon kuin fyysinen asiakirja, mutta se on suojattu digitaalisella allekirjoituksella tai muulla kryptografisella mekanismilla, joka estää väärentämisen ja muutosten tekemisen salaamisen jälkeen.

Varmennettavassa todistuksessa on yleensä kolme keskeistä osaa:

  • Metatiedot – kertovat, kuka todistuksen on myöntänyt ja mihin sitä käytetään
  • Väitteet (claims) – varsinainen sisältö, kuten nimi, ikä tai tutkinto
  • Todisteet (proofs) – kryptografinen todiste siitä, että tiedot ovat aitoja ja muuttumattomia

Yksinkertaistettuna: luotettava taho myöntää todistuksen henkilölle, joka voi myöhemmin käyttää sitä henkilöllisyytensä, pätevyytensä tai oikeuksiensa todistamiseen.

Todistuksen vastaanottavan osapuolen tulee voida tarkistaa:

  • Todistuksen aitous
  • Lähteen luotettavuus
  • Että sen esittää oikea henkilö

Tästä tulee myös nimitys varmennettava.

Mietitäänpä esimerkiksi lähitulevaisuudessa saatavilla olevaa digitaalista ajokorttia. Kuten fyysisen ajokortin, myös digitaalisen ajokortin myöntää luotettava taho, joka varmistaa sen aitouden sähköisellä allekirjoituksella. Voit esittää sen tarvittaessa viranomaisille, yrityksille tai pankille aivan samalla tavalla kuin fyysisen asiakirjan.

Digitaalisia todistuksia voivat olla esimerkiksi tutkintotodistukset, maihinnousukortit tai pankkien ja viranomaisten myöntämät digitaaliset identiteetit, kunhan ne noudattavat W3C:n standardia.

Todistusten esittäminen (Presentation)

Esittämisellä tarkoitetaan tässä yhteydessä tietoa, jonka käyttäjä jakaa eli esittää yhdestä tai useammasta varmennettavasta todistuksesta.

Kaikkea tietoa ei aina tarvitse esittää, ja “valikoivan tietojen jakamisen” käsite liittyykin läheisesti esittämiseen. Valikoivalla jakamisella tarkoitetetaan, että henkilö voi itse päättää, mitä tietoa hän jakaa, missä tilanteessa ja kenelle. Esimerkiksi työnhaussa voit jakaa tutkintotietosi ilman, että samalla paljastat kotiosoitettasi tai muita asiaan liittymättömiä tietoja.

Myöntäjä (Issuer)

Myöntäjä on taho, joka luo ja myöntää varmennettavan digitaalisen todistuksen.

Se voi olla esimerkiksi:

  • Viranomainen
  • Pankki
  • Oppilaitos
  • Työnantaja

Esimerkiksi yliopisto voi myöntää varmennetun digitaalisen tutkintotodistuksen ja poliisilaitos varmennetun digitaalisen ajokortin.

Haltija (Holder)

Haltija on henkilö, jolle varmennettava todistus kuuluu. Useimmiten se olet sinä, eli henkilö, jolle todistukset on myönnetty, ja joka käyttää digitaalista todistusta.

Tarkistaja tai varmentaja (Verifier)

Tarkistaja on taho, joka vastaanottaa ja tarkistaa tai varmentaa todistuksen aitouden.

Varmentaja voi olla mikä tahansa taho, joka tarvitsee todistuksen tiedoistasi. Se voi olla esimerkiksi mahdollinen työnantaja tai palveluntarjoaja. On tärkeää huomata, että sama toimija voi olla sekä myöntäjä että varmentaja. Kuvitellaan esimerkiksi verkkokauppa, jota käytät säännöllisesti: se voi ensin myöntää sinulle digitaalisen todistuksen kirjautumista varten ja myöhemmin tarkistaa saman todistuksen, kun kirjaudut palveluun uudelleen.

Sen sijaan, että palvelu säilyttäisi henkilötietosi omassa tietokannassaan, se voi pyytää tarvittavat tiedot suoraan digilompakostasi silloin, kun niitä tarvitaan. Tämä parantaa merkittävästi käyttäjän yksityisyyttä ja auttaa täyttämään GDPR:n vaatimukset.

Väitteet (Claims)

Väitteet ovat todistuksen sisältämiä tietoja haltijasta.

Esimerkiksi:

  • Nimi
  • Syntymäaika
  • Kansalaisuus
  • Ammattipätevyys

Ne vastaavat pitkälti fyysisessä henkilöllisyystodistuksessa näkyviä tietoja.

Todisteet (Proofs)

Definition: Todisteet ovat kryptografisia mekanismeja, joilla todistuksen aitous varmistetaan. Tähän tarkoitukseen käytetään usein erilaisia sähköisiä allekirjoituksia

Yksinkertaistettuna digitaalisen todistuksen myöntäjä varmentaa todistuksen sähköisellä allekirjoituksella, joka toimii yksilöllisenä kryptografisena todisteena sen aitoudesta. Tätä voi verrata fyysisessä maailmassa esimerkiksi yliopiston viralliseen leimaan tutkintotodistuksessa. Kryptografinen todistus takaa matemaattisesti, että todistus on aito ja että sen sisältöä ei ole muutettu myöntämisen jälkeen.

Mitätöinti (Revocation)

Jos todistus ei ole enää voimassa tai se joutuu vääriin käsiin, se voidaan mitätöidä.

Näin mikään osapuoli ei voi käyttää todistusta väärin. Esimerkiksi vanhentunut tai peruttu ammattipätevyys voidaan poistaa käytöstä.

Nollatietotodistus (Zero-knowledge proof)

Nollatietotodistus on kryptografinen menetelmä, jolla yksi osapuoli voi todistaa toiselle jonkin väitteen paikkansapitävyyden paljastamatta mitään muuta tietoa kuin sen, että väite on tosi. Tämä perustuu monimutkaisiin matemaattisiin algoritmeihin, jotka varmistavat todistuksen aitouden pitäen alkuperäisen tiedon salassa.

Esimerkiksi: Kuvitellaan, että haluat todistaa olevasi tarpeeksi vanha johonkin ilman, että kerrot tarkkaa ikääsi. Nollatietotodistukset mahdollistavat juuri tämän. Voit osoittaa täyttäväsi ikärajan paljastamatta tarpeettomia tietoja, kuten syntymäaikaasi. Jos varmentaja kysyy, oletko esimerkiksi yli 18-vuotias, hän saa vastaukseksi vain kyllä tai ei. Ei muuta.

Valikoiva tietojen jakaminen (Selective Disclosure)

Määritelmä: Valikoiva tietojen jakaminen tarkoittaa, että digitaalisen todistuksen haltija voi jakaa vain tietyn osan todistuksen sisältämistä tiedoista.

Jakamalla tietoa valikoivasti voit itse päättää, mitä tietoja jaat mistäkin varmennetusta digitaalisesta todistuksestasi. Esimerkiksi hakiessasi työpaikkaa verkossa voit jakaa digitaalisesta ansioluettelostasi vain nimesi ja ammatilliset pätevyytesi, mutta pitää yhteystietosi ja kotiosoitteesi yksityisinä hakuprosessin myöhempiin vaiheisiin asti. On kuitenkin hyvä huomata, että valikoiva tietojen jakaminen ei ole mahdollista kaikissa digitaalisissa todistuksissa. Se riippuu käytetystä teknisestä toteutuksesta ja todistuksen formaatista.

Kryptografinen sidonta haltijaan

Kryptografinen sidonta haltijaan tarkoittaa prosessia, jossa digitaalinen todistus sidotaan kryptografisesti tiettyyn henkilöön eli lompakon tai todistuksen haltijaan. Näin voidaan varmistaa, että vain todistuksen oikea omistaja voi esittää ja käyttää sitä.

Näin varmentaja voi luottaa siihen, että todistuksen esittäjä on sama henkilö, jolle todistus on alun perin myönnetty. Kun esität digitaalisen todistuksen, varmentaja voi olla varma, että se kuuluu sinulle eikä sitä ole kopioitu tai siirretty toisen henkilön digilompakosta.

Digilompakko (Digital Wallet)

Digilompakko on sovellus tai palvelu, jossa esimerkiksi varmennettuja digitaalisia todistuksia voidaan säilyttää, hallita ja esittää turvallisesti.  

Käytännössä katsoen, se on digitaalinen vastine fyysiselle lompakolle. Siellä voit säilyttää esimerkiksi henkilöllisyystodistuksia, tutkintotodistuksia tai muita varmennettuja tietoja ja jakaa niitä turvallisesti silloin, kun niitä tarvitaan. Voit lukea EU:n digilompakosta lisää täältä.

Keskitetty identiteettimalli (Federated Identity Model)

Keskitetty identiteettimalli mahdollistaa sen, että käyttäjä voi käyttää useita eri palveluita yhdellä tunnuksella. Malli perustuu luottamukseen identiteetintarjoajan (Identity Provider, IdP) ja palveluntarjoajan (Service Provider, SP) välillä. Identiteetintarjoaja hallinnoi käyttäjän tunnistetietoja, ja palveluntarjoaja hyödyntää niitä käyttäjän tunnistamiseen. Tämän ansiosta käyttäjä voi kirjautua useisiin verkkopalveluihin ilman erillistä kirjautumista jokaiseen palveluun. Tätä kutsutaan myös nimellä single sign-on (SSO) eli vapaasti käännettynä kertakirjautuminen

Tässä mallissa yksi toimija säilyttää henkilötietosi ja todistaa henkilöllisyytesi muiden palveluiden puolesta. Tunnettu esimerkki tästä on kirjautuminen tai rekisteröityminen Google-tunnuksilla. Jos sinulla on Google-tili, voit käyttää sitä kirjautumiseen esimerkiksi YouTubeen, Gmailiin tai moniin muihin verkkopalveluihin. Sama pätee myös Apple- ja Facebook-tunnuksiin. Tämä tekee asioinnista helppoa, mutta samalla keskittää paljon dataa yhdelle toimijalle. Nämä palvelut voivat seurata kirjautumistasi ja käyttää tietoja esimerkiksi kohdennettuun mainontaan. Lisäksi jos kirjautumistietosi joutuvat vääriin käsiin, myös muut samaan tunnukseen liitetyt palvelut voivat vaarantua.

Hajautettu identiteettimalli (Decentralized Identity Model)

Hajautetussa mallissa käyttäjä hallitsee itse omia tietojaan digilompakkonsa kautta. Tietoja ei säilytetä keskitetysti eri palveluntarjoajien järjestelmissä ja käyttäjä voi itse päättää, mitä tietoja jakaa ja milloin. Tämä parantaa sekä yksityisyyttä että kontrollia.

OpenID ja OpenID Connect

OpenID on avoin standardi käyttäjän tunnistamiseen. Se mahdollistaa kirjautumisen useisiin palveluihin yhdellä tunnuksella.

Esimerkiksi “Kirjaudu Google-tunnuksilla” perustuu usein tähän teknologiaan.

OpenID4VCI

OpenID4VCI on laajennus, jolla myöntäjä voi toimittaa varmennettavia todistuksia suoraan käyttäjän digilompakkoon.

OpenID4VP

OpenID4VP on puolestaan protokolla, jonka avulla palvelut voivat pyytää käyttäjää esittämään tarvittavat todistukset.

Käytännössä tämä mahdollistaa turvallisen todistusten jakamisen eri palveluissa.

Digitaalinen identiteetti elää jatkuvaa murrosta

Digilompakot ja varmennettavat todistukset tulevat lähivuosina osaksi arkea niin viranomaispalveluissa, työelämässä kuin verkkopalveluissakin.

Siksi näiden käsitteiden ymmärtäminen on yhä tärkeämpää.

Digitaalinen identiteetti ei ole enää vain tunnistautumista, vaan siitä on tulossa tapa hallita, todistaa ja jakaa omia henkilötietojaan turvallisesti ja omilla ehdoilla.
Table of contents

Näytä kaikki
Näyttääkö Tanskan uusi digilompakko suuntaa myös suomalaisille?
Näyttääkö Tanskan uusi digilompakko suuntaa myös suomalaisille?
Digilompakko

Näyttääkö Tanskan uusi digilompakko suuntaa myös suomalaisille?

16. kesäkuuta 2026 2 min lukuaika