Kuinka sähköinen allekirjoitus toimii vuonna 2026

Johdanto

Sähköinen allekirjoitus on nykyään yritysmaailman digitaalisen muuntumisen ytimessä: vuonna 2025 yli 70 % Euroopan suurista organisaatioista on integroinut sen ainakin yhteen sopimustenkirjoitusprosessiin (lähde: Gartner, Digital Process Automation Survey 2025). Silti vähän on päätöksentekijöitä, jotka ymmärtävät tarkalleen mekanismit, jotka tekevät siitä juridisesti voimakas ja teknisesti väärennyskelvoton. Ymmärtää kuinka sähköinen allekirjoitus toimii teknisesti — salaus, PKI, sertifikaatit — mahdollistaa oikean ratkaisun valinnan, juridisten riskien vähentämisen ja sisäisen omaksumisen nopeuttamisen. Tämä artikkeli opastaa sinut askel askeleelta sähköisen allekirjoituksen teknisen arkkitehtuurin ja standardien läpi vuonna 2026.

---

Sähköisen allekirjoituksen salausteoreettiset perustukset

Sähköinen allekirjoitus perustuu todistettuihin salausprimitiivieihin. Näiden mekanismien ymmärtäminen tarkoittaa sen ymmärtämistä, miksi se on luotettavampi kuin skannattu käsinkirjoituksen allekirjoitus.

Epäsymmetrinen salaus: julkinen ja yksityinen avain

Perusperiaate on epäsymmetrinen kryptografia, joka keksittiin 1970-luvulla ja standardoitiin algoritmeilla kuten RSA (Rivest–Shamir–Adleman) tai elliptisen käyrän kryptografialla (ECDSA). Jokaisella allekirjoittajalla on kaksi matemaattisesti toisiinsa liittyvää avainta:

• Yksityinen avain: johon allekirjoittaja pitää salaisuus turvallisessa laitteessa (älykortti, token HSM tai suojattu ohjelmistomoduuli). Sitä käytetään allekirjoituksen luomiseen.
• Julkinen avain: jaetaan vapaasti ja sisällytetään digitaaliseen sertifikaattiin. Sitä käytetään allekirjoituksen todentamiseen.

Turvallisuusperiaate perustuu laskennalliseen epäsymmetriaan: on matemaattisesti triviaalia todentaa allekirjoitus julkisella avaimella, mutta käytännössä mahdotonta palauttaa yksityinen avain julkisesta avaimesta (diskreetin logaritmin tai suurten kokonaislukujen tekijöihinjaon ongelma).

Hajautusfunktiot: dokumentin digitaalinen sormenjälki

Ennen allekirjoittamista järjestelmä laskee dokumentin kryptografisen sormenjäljen hajautusfunktion (SHA-256 tai SHA-3 vuonna 2026) avulla. Tämä sormenjälki, jota kutsutaan hash tai tiivisteeksi, on kiinteän pituinen merkkijono (256 bittiä SHA-256:lle), joka edustaa yksilöllisesti dokumentin sisältöä.

Olennainen ominaisuus: dokumentin yhden merkin muuttaminen tuottaa täysin erilaisen hajautuksen. Tämä takaa allekirjoitetun dokumentin eheyden: kaikki myöhemmät muutokset ovat välittömästi havaittavissa.

Varsinainen sähköinen allekirjoitus on siis tämän tiivisteen salaus allekirjoittajan yksityisellä avaimella. Todennuksen aikana vastaanottaja:

1. Purkaa allekirjoituksen salausta julkisella avaimella alkuperäisen tiivisteen palauttamiseksi;
2. Laskee itse uudelleen vastaanotetun dokumentin tiivisteen;
3. Vertaa näitä kahta: jos ne ovat samat, allekirjoitus on kelvollinen.

---

Julkisen avaimen infrastruktuuri (PKI): luottamuksen ketju

Salaus yksin ei riitä: on myös todistettava, että julkinen avain kuuluu henkilölle, joka väittää sitä omistaa. Tämä on PKI (Public Key Infrastructure) — tai Julkisen avaimen infrastruktuurin rooli.

Varmentajatoimistot (CA)

Varmentajatoimisto (AC tai CA) on akkreditoitu luotettu osapuoli, joka myöntää digitaalisia sertifikaatteja. Digitaalinen sertifikaatti on standardimuotoinen tiedosto (X.509-muoto), joka sisältää:

• Haltijan henkilöllisyystiedot (nimi, organisaatio, sähköposti);
• Hänen julkinen avaimensa;
• Kelpoisuusaika;
• Varmentajatoimiston oman digitaalisen allekirjoituksen.

Euroopassa hyväksytyt varmentajatoimistot on lueteltu Trusted Lists -listoissa, jotka kunkin EU-jäsenvaltio julkaisee eIDAS-säännön mukaisesti. Ranskassa ANSSI julkaisee ja ylläpitää tätä listaa. Hyväksytyt luottamuspalveluiden tarjoajat (QTSP) — kuten CertSign, Certigna tai Universign — ovat säännöllisten auditoinnin kohteena ETSI EN 319 401 -standardin mukaisesti.

Sertifikaattiketju ja peruutus

PKI toimii hierarkkisella mallilla:

• AC juurella (Root CA) itse allekirjoitettu, säilytettynä offline-tilassa maksimaalisen fyysisen turvallisuuden olosuhteissa;
• Väliaikaiset AC:t, jotka myöntävät loppukäyttäjien sertifikaatit.

Sertifikaatit peruuttamisen on kriittinen mekanismi: jos yksityinen avain on vaarantunut, AC julkaisee sen mitätöinnin CRL (Certificate Revocation List) tai OCSP (Online Certificate Status Protocol) -protokollan kautta, mikä mahdollistaa reaaliaikaisen todentamisen.

EIDAS-säännön mukaisen hyväksytyn sähköisen allekirjoituksen osalta yksityinen avain on luotava ja säilytettävä QSCD (Qualified Signature Creation Device) -laitteistossa — sertifioitu laitteisto CC EAL4+ tai parempi, kuten älykortti tai HSM (Hardware Security Module).

---

Kolme allekirjoitustasoa eIDAS-säännön mukaan

Euroopan neuvoston asetus eIDAS n:o 910/2014 (ja sen kehitys eIDAS 2.0 käyttöönoton alla) määrittelee kolme allekirjoitustasoa, joista jokainen perustuu kasvaviin teknisiin takuihin. Jos haluat syventyä tähän sääntelykehykseen, katso meidän täydellinen opas eIDAS-sääntelyyn.

Yksinkertainen sähköinen allekirjoitus (SES)

Yksinkertainen allekirjoitus on teknisesti vähiten rajoittava muoto. Se voi olla niin perusmuotoinen kuin valintaruutu, SMS-ohjelmalla lähetetty kertakäyttöinen koodi (OTP) tai kuva käsinkirjoitetusta allekirjoituksesta. Se ei välttämättä sisällä hyväksyttyä sertifikaattia.

Tyypillinen käyttö: tarjousten vahvistaminen, markkinointisuostumukset, sopimukset, joissa on alhainen riski.

Riski: rajoitettu todistusvoima oikeudellisen kiistan tapauksessa. Todistustaakka kuuluu sille, joka vetoaa allekirjoitukseen.

Edistynyt sähköinen allekirjoitus (AdES)

Edistynyt allekirjoitus täyttää neljä tarkkaa teknistä vaatimusta (eIDAS-artikla 26):

1. Se on yhdistetty allekirjoittajaan yksilöllisellä tavalla;
2. Se mahdollistaa allekirjoittajan tunnistamisen;
3. Se luodaan allekirjoittajan yksinoikeudella hallitsemista tiedoista;
4. Se mahdollistaa dokumentin myöhemmän muuttamisen havaitsemisen.

Käytännössä tämä edellyttää henkilökohtaisen digitaalisen sertifikaatin käyttöä ja vahvan todentamisen mekanismia. Vakiintuneet muodot määritellään ETSI:n toimesta: PAdES (PDF:lle), XAdES (XML), CAdES (binääritiedoille) ja JAdES (JSON), kaikki normalisoitu ETSI EN 319 100 -sarjassa.

Hyväksytty sähköinen allekirjoitus (QES)

Hyväksytty allekirjoitus on korkein taso. Se vaatii:

• Hyväksytty sertifikaatti, jonka on myöntänyt eIDAS-akkreditoitu QTSP;
• QSCD allekirjoituksen luomiseen.

Se hyötyy laillisesta oletuksesta luotettavuudesta ja oikeudellisesta vastaavuudesta käsinkirjoitetun allekirjoituksen kanssa koko EU:ssa (eIDAS-artikla 25). Tämä on vaadittu taso elektronisille oikeushenkilöille, joille elektronisia henkilönotaarin asiakirjoja tai herkkiä julkisia hankintoja.

Meidän sähköisen allekirjoituksen ratkaisujen vertailu analysoi käytännön eroja näiden tasojen välillä auttaakseen sinua valitsemaan.

---

Sähköisen allekirjoituksen täydellinen prosessi askel askeleelta

Näin sähköinen allekirjoitustapahtuma käytännössä tapahtuu Certyneo-kaltaisella SaaS-alustalla:

Vaihe 1: dokumentin valmistelu ja lähettäminen

Allekirjoituksen aloittaja lataa dokumentin (sopimus, muutos, ostotilaus) alustalle. Järjestelmä luo välittömästi SHA-256 tiivisteen alkuperäisestä tiedostosta, aikaleiman kanssa ja säilyttää sen muuttumattomalla tavalla. Tätä sormenjälkeä käytetään viitteenä kaikissa tulevissa tarkistuksissa.

Vaihe 2: allekirjoittajan todentaminen

Valitun allekirjoitustason mukaan todentaminen vaihtelee:

• SES: sähköposti + allekirjoituslinkki;
• AdES: vahva todentaminen (OTP SMS, FIDO2-mobiilisovellus);
• QES: henkilöllisyyden todentaminen etukäteen (kasvotusten tai videon IDV), hyväksytyn sertifikaatin myöntäminen kertakäyttöiseksi tai pysyväksi.

Vaihe 3: salausgraafisen allekirjoituksen luominen

Allekirjoittaja käynnistää allekirjoitustoiminnon. Alusta (tai QSCD):

1. Laskee dokumentin tiivisteen;
2. Salaa tämän tiivisteen allekirjoittajan yksityisellä avaimella;
3. Integroi allekirjoituksen ja sertifikaatin asiakirjaan (PDF-allekirjoitus PAdES-LTV-muodossa pitkäaikaisen säilytyksen osalta).

Vaihe 4: hyväksytty aikaleimaus

Hyväksytty aikaleimauspalvelu (TSA) RFC 3161 -standardin mukaisesti asettaa aikaleiman, joka todistaa, että allekirjoitus oli olemassa tietyssä ajankohdassa. Tämä suojaa päivämäärän väärentymistä vastaan ja takaa todistusvoiman ajan kuluessa — jopa jos allekirjoittajan sertifikaatti vanhentuu myöhemmin.

Vaihe 5: todistuskelpoinen arkistointi

Allekirjoitettu asiakirja arkistoidaan täydellisellä tarkastuspolullaan: allekirjoittajan henkilöllisyys, IP-osoite, aikaleima, dokumentin tiiviste, käytetyt sertifikaatit. Tämä todistuspalvelu on välttämätön oikeudellisen kiistan tapauksessa. eIDAS-yhteensopivat ratkaisut ylläpitävät näitä todisteita PAdES-LTV (Long-Term Validation) -muodossa, joka integroi validointidata mahdollistaakseen todentamisen vuosia allekirjoituksen jälkeen.

Jotta ymmärtäisit kuinka integroida tämä prosessi HR-kulkuihin, tutustu meidän HR-ratkaisuun ja meidän latauskelpoisia sopimusmalleiksi.

Sähköisen allekirjoituksen sovellettava lainsäädäntö

Sähköinen allekirjoitus kuuluu monitasoiseen sääntelyjärjestelmään, joka artikuloi kansallisen siviilioikeuden ja harmonisoidun Euroopan oikeuden.

Ranskan siviililaki

Artikkeli 1366 Ranskan siviililaissa asettaa perusperiaatteen: "Elektroninen asiakirja on samanarvoinen kuin paperimuotoinen asiakirja, edellyttäen, että osapuoli voidaan asianmukaisesti tunnistaa ja että se on laadittu ja säilytettävä tavoilla, jotka takaa sen eheyden." Artikkeli 1367 tarkentaa, että sähköinen allekirjoitus "muodostuu luotettavan tunnistamismenetelmän käytöstä, joka takaa sen yhteyden siihen asiakirjaan, johon se liittyy".

Asetus n:o 2017-1416 (28. syyskuuta 2017) määrittelee olettaman luotettavuudesta hyväksytyille ja edistyneille eIDAS-yhteensopivalle allekirjoituksille.

eIDAS-asetus n:o 910/2014

Digitaalisen luottamuksen eurooppalaisen oikeudellisen kehyksen kulmakivi, eIDAS-asetus (electronic IDentification, Authentication and trust Services) määrittelee yhtenäisen oikeudellisen kehyksen sähköisille allekirjoituksille, elektronisille sinetöinneille, hyväksytylle aikaleimaukselle, suositelluille lähetyksille ja sivuston todennuspalveluille. Sen artikkeli 25, kappale 2, antaa hyväksytylle allekirjoitukselle olettaman oikeudellisen vastaavuuden käsinkirjoitetun allekirjoituksen kanssa koko EU:ssa.

eIDAS 2.0 -asetus (siirtymässä käytäntöön vuoden 2026 ensimmäisellä neljänneksellä) vahvistaa näitä määräyksiä Euroopan digitaalisen identiteetin salkulla (EUDIW) ja laajentaa velvoitteita rahoituspalvelujen ja terveydenhuollon markkinoille.

ETSI-standardit

Allekirjoitusmuodot standardoidaan ETSI:n toimesta:

• ETSI EN 319 132 (XAdES), EN 319 122 (CAdES), EN 319 102 (PAdES) määrittelevät edistyneiden ja hyväksyttyjen allekirjoitusten tekniset profiilit;
• ETSI EN 319 421 sääntelee hyväksyttyjen aikaleimapalvelujen politiikoita.

GDPR ja tietosuoja

Henkilöllisyystietojen käsittely sähköisen allekirjoituksen yhteydessä (nimi, sähköposti, biometria henkilöllisyyden todentamiseen) on GDPR n:o 2016/679:n alaista. Rekisteri­nhaltijoiden tulee: omistaa juridinen peruste (oikeutettu etu tai sopimuksen täytäntöönpano), soveltaa tietojen minimoinnin periaatetta ja taata turvallisuus asianmukaisilla teknisillä toimenpiteillä (salaus, pseudonymisointi).

NIS2-direktiivi

NIS2-direktiivi (2022/2555/UE), siirretty Ranskan oikeuteen lokakuusta 2024, asettaa välttämättömien palveluiden toimittajille ja digitaalisten palvelujen tarjoajille (mukaan lukien sähköisen allekirjoituksen palveluntarjoajat) vahvennettuja velvoitteita kybersicheriteten, riskienhallinnan ja vaarojen ilmoituksissa 24 tunnin kuluessa. Noudattamatta jättäminen aiheuttaa sakkoja, jotka voivat saavuttaa 10 miljoonaa euroa tai 2 % maailmanlaajuisesta liikevaihdosta.

Konkreettisia sähköisen allekirjoituksen käyttöskenaarioita

Skenaario 1: asianajotoimisto automaatisoidaan mandaattien allekirjoittamisen

Asianajotoimisto, jossa on noin kaksitoista kollegaa, käsitteli keskimäärin 120 edustajamandaattia kuukaudessa. Paperimenettely sisälsi tulostamisen, postinlähetyksen tai henkilökohtaisen toimittamisen sekä palautettujen asiakirjojen digitalisoimisen — mikä aiheutti keskimäärin 4,5 arkipäivän viiveen asiakirja-asiakkaita kohti ja arvioidun 8 %:n dokumentin katoamisnopeus.

Ottamalla käyttöön edistynyt sähköinen allekirjoitus (AdES) OTP-todentamisella, toimisto laski allekirjoitusviiveen alle 4 tuntiin keskimäärin, vähensi asiakirja-anomalien nopeus alle 1 %:ksi ja säästyi noin 2 200 € vuodessa posti- ja tulostuskustannuksissa. Automaattisesti luotu tarkastuspolku yksinkertaisti myös kahta mandaatin kiistan menettelyä toimittamalla peruuttamattomia todisteita aikaleimattuina. Tutustu meidän oikeuspalvelujen ratkaisuun.

Skenaario 2: pieni teollisuusyritys digitalisoi toimittajasopimuksiaan

Pieni teollisuusyritys hallinnoi noin 200 toimittajasopimusta vuodessa (yleisiä ostoehtoja, hintamuutoksia, NDA) piti kärsimään allekirjoitusviiveitä, jotka saattoivat ylittää kolme viikkoa kansainvälisten kumppaneiden kanssa Saksassa ja Espanjassa. Erilaisten oikeudellisten järjestelmien ja keskinäisen tunnustuksen puuttuminen hidastivat neuvotteluja.

Hyväksymällä hyväksytyn allekirjoituksen (QES) eIDAS-akkreditoidun QTSP:n myöntämänä, joka on tunnustettu koko EU:ssa, yritys hyötyi automaattisesta oikeudellisesta tunnustuksesta kolmessa maassa ilman lisälegalisointia. Kansainvälisen allekirjoituksen keskimääräinen viive laski 18 päivästä 2,5 päivään. Sähköinen allekirjoitus yrityksessä kuvaa nämä hyödyt ostotyöryhmille.

Skenaario 3: sairaalaverkko turvaa potilaiden tietoisen suostumuksen

Sairaalaverkko, jossa noin 800 vuodepaikkaa piti kerätä potilailta tietoisen suostumuksen kliinisten tutkimusprotokollien osalta. Paperinhallinta loi GDPR-vaatimustenmukaisuusriskejä (huonosti arkistoituja asiakirjoja, jäljittämättömiä päivämääriä) ja velvoitti hoitohenkilöstöä hallinnollisiin tehtäviin.

Integroimalla yksinkertaisen sähköisen allekirjoituksen kooditunnistuksella SMS-tunnuksella — riittävä toimille, joita ei vaadita hyväksyttävien tekijöiden - verkko automatisoi suostumuksien keräämisen, arkistoinnin ja jäljityksen. Hallinnollinen aika potilasta kohti laski 12 minuutista alle 2 minuuttiin, vapauttaen noin 800 hoitotuntia vuodessa. Kaikki asiakirjat arkistoidaan hyväksytyllä aikaleimauksella, täysin vastaavan CNIL-vaatimuksiin. Tutustu meidän terveyspalvelujen ratkaisuun.

Johtopäätös

Sähköisen allekirjoituksen teknisen toiminnan ymmärtäminen — epäsymmetrisestä saluksesta PKI:hen, hyväksytyistä sertifikaateista todistuskelpoisiin aikaleimauksiin — on välttämätöntä tietoisille valinnoille vaatimustenmukaisuuden ja operatiivisen tehokkuuden osalta. Kolme eIDAS-tasoa (yksinkertainen, edistynyt, hyväksytty) vastaavat eri tarpeisiin, ja valinta on aina ohjattava juridisen riskin analyysilla ja odotetulla todistuskelpoisuudella.

Certyneo avustaa sinua tässä siirtymässä eIDAS-yhteensopivalla SaaS-alustalla, akkreditoiduilla QTSP:llä ja yksinkertaisella integraatiolla olemassa oleviin prosesseihin. Arvioi organisaatiosi potentiaalisia voittoja meidän sähköisen allekirjoituksen ROI-laskurilla tai aloita välittömästi tutustumalla meidän tarjontaan ja hinnoitteluun. Vaatimustenmukaisuus ja suorituskyky eivät ole enää kompromisseja.