Wassenaarin järjestely ~ Liikenneministeriön salauspolitiikkamuistio |
Tämä julkinen asiakirja on Liikenneministeriön salauspolitiikkamuistio. Se on saatavilla osana Wassenaar-dokumenttejani, koska muistio on jostain syystä poistettu valtioneuvoston palvelimelta (http://www.vn.fi/lm/telemarkkina/salaus/muistio.htm).
Tiivistelmä. Liikenneministeriö on valmistellut virkamiestyönä ehdotuksen salauspolitiikassa noudatettavista periaatteista. On tärkeää, että Suomessa hyväksytään salauspolitiikassa noudatettavat yhteiset periaatteet, jotta varmistetaan Suomen kantojen yhdenmukaisuus tietoliikenteeseen liittyvässä kansainvälisessä yhteistyössä. Valmistelun aikana liikenneministeriö on kuullut salauspolitiikan kannalta keskeisiä ministeriöitä ja sidosryhmiä. Ehdotus on myös laitettu viralliselle lausuntokierrokselle, jonka määräaika päättyi 26.8.1998.
Liikenneministeriön ehdotuksen keskeiset periaatteet koskevat salaustuotteiden vapaata käyttöä Suomessa. Salaustuotteiden kansallista käyttöä ei tulisi rajoittaa lainsäädännöllä eikä kansainvälisin sopimuksin. Salaustuotteiden vientivalvonnan osalta hallitus noudattaa niitä järjestelyjä, joihin se on kansainvälisesti sitoutunut. Lainsäädännöllä luotaisiin puitteet turvallisten varmenne- ja salauspalveluiden tarjonnalle säätämällä vapaaehtoisista toimilupa- tai muista valtuutusjärjestelmistä. Valtioneuvosto edistäisi sähköisen allekirjoituksen, sähköisen asioinnin ja turvallisten salauspalvelujen kehittymistä suhtautumalla myönteisesti ja avoimesti näiden palvelujen ja tuotteiden käyttöön. Ehdotus salauspolitiikassa noudatettavista periaatteista sisältää myös linjaukset suhtautumisesta salauspolitiikan rikostutkinnalliseen aspektiin. Tiedon ja televiestien salauksessa käytettävien salausavainten tallettamista viranomaiskäyttöä varten ei säädettäisi pakolliseksi. Oikeusministeriö ja sisäasiainministeriö selvittäisivät kuitenkin pakkokeinolain uudistamistarpeen salaustuotteiden rikostutkinnalliselta kannalta 31.12.1998 mennessä.
Liikenneministeriö esittää, että kansainvälisessä yhteistyössä esitetyissä Suomen kannoissa noudatetaan vastedes iltakoulumuistiossa vahvistettuja periaatteita. Ulkoministeriö tai kauppa- ja teollisuusministeriö asettaisi määräaikaisen komitean tai työryhmän, jossa valmistellaan nyt hyväksyttävien periaatteiden täytäntöönpanossa esiintyviä erityiskysymyksiä ja seurataan salausasioihin liittyvää kansainvälistä kehitystä. Komitean tai työryhmän määräaikansa päättyessä ehdottamien näkemysten perusteella iltakoulumuistion periaatteita voitaisiin tarvittaessa tarkentaa.
Tausta. Salauspolitiikkaan liittyvät asiat ovat yhä useammin esillä sekä kansainvälisesti että kansallisesti. Niitä käsitellään tai tullaan ilmeisesti käsittelemään tavalla tai toisella useassa EU:n neuvoston työryhmässä, ETSI:ssä, OECD:ssa, YK:n eri alajärjestöissä, WTO:ssa, ITU:ssa, Wassenaarin järjestelyn seurantakokouksissa, Interpolissa, Euroopan neuvostossa sekä monissa muissa kahden- tai monenvälisissä neuvotteluissa. Kaupallisen toiminnan tarpeet ja toisaalta rikostutkinnalliset näkökohdat korostuvat eri tilanteissa eri tavoin. On tärkeää, että Suomen kannanotot kansainvälisessä yhteistyössä ovat johdonmukaisia. Vain hallituksen salausta ja salaustuotteita koskevalla kannanotolla voidaan varmistua siitä, että laajentuneessa kansainvälisessä yhteistyössä voidaan toimia kaikilla tahoilla samansuuntaisesti aiheuttamatta ristiriitoja. Oikeusministeriö asetti 22.10.1997 työryhmän selvittämään digitaaliseen allekirjoitukseen ja varmennusorganisaatioihin liittyvää sääntelytarvetta ja tekemään ehdotuksen tarvittavista jatkotoimenpiteistä. Työryhmä piti tärkeänä, että Suomessa tehdään valtioneuvostossa salauspolitiikkapäätös, jota voidaan noudattaa niin kansallisissa hankkeissa kuin Suomen kannanottojen valmistelussa EU:ssa ja muissakin kansainvälisissä organisaatioissa. Toisaalta valtioneuvoston 5.2.1998 antaman periaatepäätöksen mukaan Väestörekisterikeskuksen on tulee käynnistää julkishallinnon sähköisessä asioinnissa tarvittavien varmennepalvelujen antaminen ennen vuoden 1999 loppua. Sähköisen henkilökortin ratkaisujen toteuttamisen yhteydessä on päätettävä jo kuluvan syksyn aikana, miten menetellään henkilön tunnistamisessa ja erityisesti tiedon salaukseen liittyvien salausavainten säilytyksessä. Näistä syistä liikenneministeriö on ulkoministeriötä, oikeusministeriötä, sisäministeriötä, valtiovarainministeriötä, puolustusministeriötä, kauppa- ja teollisuusministeriötä ja pääesikuntaa sekä keskeisiä sidosryhmiä kuultuaan valmistellut tämän ehdotuksen hallituksen salauspolitiikkaa koskevaksi kannanotoksi.
Kryptologia on oppi joka tutkii ja kehittää tietoturvallisuuden matemaattisia menetelmiä eli salausteknisiä menetelmiä. Tässä muistiossa puhutaan yksinkertaisesti salauksesta. Salausta on harjoitettu kautta aikojen erityisesti sodanajan viestinnässä. Tietoteknisen kehityksen myötä viestien salaus on yleistynyt viime aikoina myös kaupallisessa toiminnassa ja yksityishenkilöiden välisessä viestinnässä. Myös salaustuotteet ovat kehittyneet huomattavasti ja tulleet yhä vahvemmiksi. Niitä on markkinoilla saatavana erityisinä laitteina, älykortteina ja erillisinä tai yleisiin ohjelmistoihin liitettävinä ohjelmistotuotteina. Joitakin tuotteita voi ladata internetistä maksutta. Nykyaikaiset salaustuotteet perustuvat useimmiten symmetriseen algoritmiin tai julkisen avaimen periaatteella toimivaan epäsymmetriseen algoritmiin. Symmetrisen algoritmin salauksessa on yksi salasana, nk. salausavain, jolla viesti ensin salataan ja jolla salaus voidaan myöhemmin purkaa. Tällaiset järjestelmät ovat nopeita, mutta niiden heikkoutena pidetään sitä, että salasana pitäisi toimittaa vastaanottajalle turvallisesti. Epäsymmetriseen algoritmiin perustuvassa salausjärjestelmässä käytetään salausavainparia, jotka toimivat ainoastaan toistensa kanssa. Yksi niistä on julkinen, kaikkien tiedossa, ja toinen on salainen. Lähettäjä salaa viestin vastaanottajan julkisella avaimella ja vastaanottaja avaa viestin omalla salaisella avaimellaan. Vahvoilla salauksilla tarkoitetaan salausjärjestelmiä, joiden purkaminen on erityisen työlästä. Vahvan salauksen avaaminen vaatii huomattavaa laskentavoimaa ja voi sen vuoksi olla käytännössä jopa mahdotonta. Salaustuotteet voivat käyttää hyväksi myös steganografiaa, jossa salassa pidettävä tieto upotetaan suureen tietomassaan, esimerkiksi värikuvaan. Tällaista salauksen käyttöä on hyvin vaikea paljastaa. Kryptografiaa, näiden matemaattisten menetelmien soveltamista ja käyttöä tietoturvan kohentamiseksi, tutkitaan ja kehitetään edelleen eikä ainakaan teoreettisesti ole nähtävissä mitään syytä kehityksen pysähtymiseen.
Salaustuotteet liittyvät kiinteästi tietoyhteiskunnan ja sen palvelujen kehittämiseen. Nopean ja vaivattoman sähköisen viestinnän yleistymistä on hidastanut puutteellinen tietosuoja sekä heikko tietoturva. Nämä syyt vaikuttavat todennäköisesti tulevaisuudessakin negatiivisesti uusien palvelujen käyttöönottoon, mikäli niitä ei pystytä poistamaan. Muun muassa sähköisen kaupankäynnin uskotaan laajentuvan huomattavasti, kun turvalliset maksujärjestelyt ovat kaikkien saatavilla. Yritysten välinen ja niiden sisäinen kirjeenvaihto, yksityishenkilöiden henkilökohtainen viestintä ja kaupankäynti siirtyvät entistä enemmän avoimiin tietoverkkoihin kuten internetiin. Esimerkiksi tuotekehityssuunnitelmat, liikesalaisuudet, potilaskertomukset ja tilitiedot ovat siinä määrin arkaluontoisia, ettei niitä haluta antaa muiden tietoon. Internetiä suunniteltaessa painotettiin enemmän sen yleismaailmallista luonnetta ja käytännön toimivuutta kuin sen tietoturvaa. Avoimuutensa johdosta se on altis viestintäsalaisuuden loukkauksille ja tietomurroille. Yritysten erillisverkot on yleensä suojattu ulkopuolisilta tietomurroilta, mutta täysin turvallisiksi niitä on vaikea saada. Usein tietovuodot johtuvat yhteisöjen sisäisistä tietoturva-aukoista. Kaikkien näiden uhkien torjumisessa salaustuotteilla on keskeinen asema. Vahvan salauksen laajamittainen käyttö on tehokas sähköisen rikollisuuden torjuntakeino. Salauksen tietoturvaa parantava vaikutus onkin jäänyt suhteellisen vähäiselle huomiolle, kun kansainvälisissä yhteyksissä arvioidaan lainvalvontaviranomaisten rikostutkintaan liittyviä tehtäviä salaustuotteiden kannalta. Vahvalla salauksella pystytään tehokkaasti vähentämään tietomurtoihin ja teolliseen vakoiluun liittyviä rikoksia, kuten muun muassa suojelupoliisi ja tietoturvaan erikoistuneet palveluyritykset ovat todenneet. Salausalgoritmeilla pystytään nykyään estämään jopa tekijänoikeudellisesti suojattujen digitaalisessa muodossa olevien teosten luvaton kopiointi. Salaustuotteiden kehittämisessä suomalaiset yritykset ovat menestyneet kansainvälisesti katsoen hyvin. Salausteknologiaan liittyvien markkinoiden arvioidaan kasvavan voimakkaasti, joten alan suomalaiselle teollisuudelle ja palvelujen tarjoajille on tärkeätä, että heidän liiketoiminnan edellytykset ovat selkeät ja lainsäädännölliseltä kannalta ennakoitavissa.
Salausjärjestelmien käyttö vaikeuttaa joissakin tapauksissa viranomaisten toimintaa. Lainvastaisen toiminnan tutkimiseksi viranomaiset ja erityisesti poliisi tarvitsevat mahdollisuuden telekuunteluun. Yleensä telekuuntelua vastaaviin pakkokeinoihin vaaditaan tuomioistuimen tai tutkintatuomarin lupa, kuten Suomessakin, mutta joissakin maissa telekuuntelun voi määrätä myös hallinnollisella päätöksellä. EU:n neuvosto on antanut päätöslauselman laillisen telekuuntelun kansainvälisistä edellytyksistä.1 Siinä todetaan, että jos verkko-operaattorit tai telepalveluntarjoajat suorittavat televiestien koodausta, pakkausta tai salausta, niiden on tarjottava viranomaisille mahdollisuus saada nämä televiestit selväkielisenä. Käyttäjien itsensä käyttämät vahvat salausjärjestelmät estävät kuitenkin telekuuntelua tehokkaasti. Tulevaisuudessa salaus toteutetaan yhä useammin ilman teleoperaattorin myötävaikutusta, joten teleoperaattoreille pakkokeinolaissa asetettu avustamisvelvollisuus jäänee käytännössä vähämerkityksiseksi. Myös salattuna tallennetun tiedon avaaminen selväkielisenä vaikeutuu, jos kotietsinnän ja takavarikon yhteydessä ei salaista avainta löydy. Tämän vuoksi joissakin maissa salaustuotteille on asetettu teknisiä rajoituksia, joilla pyritään pitämään salaus sellaisena, että viranomaiset voivat sen purkaa. Toisena ratkaisuna on pidetty salaisten avainten kopioiden pakollista tallettamista mahdollista tulevaa viranomaiskäyttöä varten tai salausavaimen olennaisen osan tallettamista siten, että siitä voidaan myöhemmin helposti muodostaa uudestaan sama salainen avain. Tällaisen käytännön nimeksi on vakiintunut sen englanninkielinen termi, key recovery.2 Eräänlainen key recovery järjestelmä voidaan toteuttaa myös käyttäjälle täysin huomaamattomalla tavalla integroimalla salaustuotteeseen tai -ohjelmistoon takaportti, jonka tietää vain tuotteen valmistaja ja joka voidaan paljastaa vain tuotteen perusteellisella analyysillä. Suomessa poliisiviranomaiset kokevat key recoveryn kuitenkin rikostutkinnan kannalta lähes merkityksettömäksi.
Pakollinen key recovery edellyttäisi muiden salausjärjestelmien kriminalisointia. Vahvojen salausjärjestelmien rikostutkinnalle aiheuttamat vaikeudet olisi ainakin teoriassa mahdollista poistaa kieltämällä muiden kuin key recoverya hyödyntävien salausjärjestelmien käyttö. Pakollisen key recoveryn vaatimusta voidaan lieventää heikkojen, siis helposti murrettavien, salausjärjestelmien vapaalla käytöllä. Pakollista key recoverya perustellaan sillä, että viranomaisille turvataan tekniseltä kannalta esteetön pääsy salattuun viestintään ja salattuna tallennettuun tietoon. Avaimien tallettaminen voisi tapahtua kaupallisen yhteisön oman organisaation sisällä mutta yleensä avainten kopiot luovutettaisiin salausavainten hallintaan erikoistuneelle luotetulle kolmannelle osapuolelle. Jos avainten tallettaminen olisi pakollista, muiden salausjärjestelmien käytöstä ja mahdollisesti myös pelkästä hallussapidosta olisi säädettävä ankarat seuraamukset. Jos kriminalisoinnin tielle lähdetään, sääntely jäisi tehokkuusnäkökulmasta puolitiehen, jos rangaistusvastuu seuraisi vasta käytöstä. Poliisin tulisi voida puuttua asiaan jos silloin kun jollain on mahdollisuus viestiä key recovery järjestelmään kuulumattomalla salausjärjestelmällä. Kiellon valvonta olisi kuitenkin käytännössä vaikeata, koska salausjärjestelmiä on vapaasti saatavilla eikä käyttäjien tiedostoihin ja levykkeisiin ei ole pääsyä ilman perusteltua syytä uskoa, että rikos on tapahtunut. Myöskään sähköisenä kulkevasta tietomassasta ei pysty automaattisesti määrittämään, onko se salattua vai ei, ja jos on, niin onko käytetty salausjärjestelmä sallittu vai ei. Valvontaa vaikeuttaa edelleen se, että tieto voidaan salata useaan kertaan ja viimeiseksi se voitaisiin tehdä key recovery vaatimukset täyttävällä järjestelmällä. Todellinen key recovery järjestelmä sisältää keskitetyn avaintenhallintajärjestelmän, joka mahdollistaisi viranomaisten nopean reagoinnin ja salauksen lähes reaaliaikaisen purkamisen ilman, että tutkimuksen kohde saa siitä tiedon. Tämä tarkoittaisi kansallisessa mittakaavassa miljoonien avainparien hallinnoimista, eikä nykyisin ole tiedossa, miten tällainen voitaisiin toteuttaa. Keskitettyihin järjestelmiin sisältyy aina uhka avainten vuotamisesta tai varastamisesta ja niiden taloudelliset kustannukset olisivat todennäköisesti valtavat ja saattaisivat haitata myös sähköisen kaupankäynnin kannattavuutta. Globaalilla tasolla järjestelmä olisi tietenkin vielä vaikeampi toteuttaa. Yhdysvaltalaisen rikollisen viestiessä esimerkiksi Suomeen, viestin purkamiseen tarvittava salainen avain olisi saatava ripeästi Suomen viranomaisilta. Vastaavaa viranomaisyhteistyötä olisi toteutettava muidenkin maiden välillä, ja kokonaisuutena järjestelmä vähentäisi käyttäjien luottamusta merkittävästi. Lisäksi vahvojen salaustuotteiden yleinen saatavuus maailmalla tekisi toimivan pakolliseen tallettamiseen perustuvan järjestelmän epätodennäköiseksi. Sellaiset tahot, jotka todella haluavat salata tietonsa, tuskin välittäisivät kiellettyjen salausjärjestelmien käytön seuraamuksista.
Tallettaminen, key recovery, voi perustua myös vapaaehtoisuuteen. Key recovery ajatusta voidaan harkita paitsi viranomaisten kannalta, myös yksityisen sektorin ja jopa yksityishenkilön tarpeiden kannalta. Yritykset ja yhteisöt voivat varmistaa, että salatussa muodossa tallennettuun tietoon on mahdollista päästä käsiksi myös sen jälkeen, kun salauksen purkamisessa tarvittava salainen avain on kadonnut tai avaimen haltija ei pysty tai halua sitä luovuttaa. Työnantajat siis voisivat yrityksen sisäistä salauspolitiikkaa määritellessään velvoittaa alaisensa huolehtimaan työasioissa käytettävän salaisen avaimen tallettamisesta. Myös yksityishenkilöt voivat haluta varmistaa pääsynsä salattuun tietoon, vaikka heidän oma salainen avaimensa on kadonnut. Yksityishenkilöille ja yrityksille salaisen avaimen palauttamisen tarve siis liittyisi pääasiallisesti salatun tiedon avaamiseen, ei yksittäisen viestintätapahtuman salauksen purkuun. Myöskään digitaalisissa allekirjoituksissa käytettyjen salaisten avainten tallettamiseen ei ole syytä, eikä sitä edes edellytetä lainvalvontatarpeiden osaltakaan, sillä allekirjoitusavainparin voi aina vaihtaa toiseksi. Itse asiassa käyttäjien oikeusturvan kannalta paras ratkaisu olisi, että digitaaliseen allekirjoitukseen tarvittavia avaimia ei olisi kenenkään muun kuin kyseisen käyttäjän hallussa. Digitaaliseen allekirjoitukseen liittyvät tunnistamis- ja varmennepalvelut kuuluisivat varmenneorganisaation tehtäviin. Pääsy salattuun tietoon voidaan varmistaa esimerkiksi antamalla avaintenhallinta luotetun kolmannen osapuolen hoidettavaksi, tai itse säilyttämällä avaimista kopio tai vaikka jakamalla avainparin suomat oikeudet usealle eri työntekijälle. Vapaaehtoisella key recoverylla ei kuitenkaan joidenkin maiden lainvalvontaviranomaisten mielestä riittävästi turvata rikostorjunnallisia ja kansalliseen turvallisuuteen liittyviä näkökohtia. Lainvalvontaviranomaiset katsovat, että on epätodennäköistä, että rikolliset tallettaisivat salaiset avaimensa luotetun kolmannen osapuolen haltuun.
Kansainvälisissä yhteyksissä salauskysymyksiä on yleisesti pohdittu sekä sähköisen kaupankäynnin että poliisitoiminnan näkökulmasta. Markkinalähtöisessä tarkastelussa vahvojen salaustuotteiden käytön toivotaan olevan mahdollisimman vapaata. Se nähdään yhtenä sähköisen kaupankäynnin tärkeimmistä edellytyksistä, kynnyskysymyksenä sen infrastruktuurin osalta mutta myös sen laajan hyväksynnän kannalta. Ilman vahvoja salaustuotteita tietoverkkoihin ei saada riittävän turvallisia ohjelmistosovelluksia eikä maksujärjestelmiä. Myös yksittäisten viestien lähettämisessä epäröidään, jos viestin luottamuksellisuudesta ei ole varmuutta. Näin ollen sähköinen kaupankäynti ja toisaalta myös sähköinen asiointi julkishallinnon kanssa viivästyy, jollei viestinnän tietoturvaan kiinnitetä riittävästi huomiota. Sähköisestä kaupankäynnistä arvioidaan muodostuvan lähivuosina kaupallisesti ylivoimaisesti tärkein suuntaus sekä kansallisessa että kansainvälisessä mittakaavassa. Poliisitoiminnan näkökulmasta salaustuotteet herättävät toisenlaisia kysymyksiä. Luotettujen kolmansien osapuolten asemaa telekuuntelussa sekä salausta ja digitaalista allekirjoitusta on käsitelty EU:n poliisiyhteistyöryhmissä. Tällä hetkellä tehdään kartoitusta jäsenmaiden salauspolitiikoista, luotettujen kolmansien osapuolten asemasta ja mahdollisen avainten tallettamisen sääntelystä. Oikeus- ja sisäasiain neuvostossa3 on hyväksytty viestin salausta ja lainvalvontaa koskevat päätelmät, joissa todetaan key recoveryn tukemisen olevan yksi mahdollinen lähestymistapa rikostutkinnan mahdollistamiseksi salatun viestinnän tai tiedon osalta. Päätelmien mukaan saattaa olla tarpeen lainsäädännöllä varmistaa lainvalvontaviranomaisten oikeudet, mutta tällaisten säännösten tulisi olla tasapainoisia ja oikeassa suhteessa muiden tärkeiden intressien turvaamiseen. Päätelmissä ilmoitettiin myös aikomus laatia neuvoston päätöslauselma viestien salauksesta ja lainvalvonnasta. Euroopan neuvoston suosituksessa4, jossa käsitellään rikosprosessioikeuden informaatioteknologiaan liittyviä ongelmia, todetaan, että toimenpiteitä, joilla vähennetään salauksen kielteisiä vaikutuksia rikostutkintaan, tulisi harkita. Toimenpiteet eivät saisi kuitenkaan vaikuttaa salauksen lailliseen käyttöön enempää kuin on ehdottoman tarpeellista. OECD:n salauspolitiikkasuosituksessa5 korostetaan oikeutta käyttää salausta viestinnän eheyden, kiistämättömyyden ja luottamuksellisuuden turvana, mutta periaatteissa todetaan myös, että kansallinen salauspolitiikka voi turvata viranomaisten pääsyn selkokieliseen viestiin tai salakirjoitusavaimiin.
Salauskannanoton tarve nousevat esiin myös ulkomaankauppaa käsittelevissä yhteyksissä. Salaustuotteet kuuluvat Wassenaarin järjestelyn6 kaksikäyttötuotteisiin, joita voidaan hyödyntää sekä siviili- että sotilaspuolella. Tästä järjestelystä sovittiin vuonna 1995 COCOM-yhteistyön päätyttyä, joka sekin rajoitti strategisten tuotteiden ja huipputekniikan vientiä järjestelyn ulkopuolisiin maihin. Wassenaarin järjestely on operatiivinen kansainvälisiä velvoitteita ylläpitävä ja kehittävä foorumi. Yleisesti saatavilla olevat ja julkiset salausohjelmistot on vapautettu järjestelyn soveltamisalasta siten kuin valvontalistaan liittyvässä yleisessä ohjelmistohuomautuksessa määritellään. Wassenaarin järjestelyyn on sitoutunut 33 maata, joista eräät noudattavat kansallisesti tiukempaa valvontapolitiikkaa kuin järjestely edellyttää. Yhdysvallat on yksi näistä. Yhdysvaltain ohjelmistoteollisuus kuitenkin on viime aikoina painokkaasti vaatinut rajoitusten lieventämistä, koska se ei pääse kilpailemaan tasapuolisesti suurilla kansainvälisillä salaustuotemarkkinoilla. Tämän vuoksi Yhdysvaltain senaatissa on tehty lakialoitteita, joilla vientirajoituksia kevennettäisiin. Yhdysvaltain ulkopuolella on saatavilla voimakkaita ja turvallisia, esimerkiksi eurooppalaisia salaustuotteita. Eurooppalaisille ohjelmistotuottajille Yhdysvaltain vientirajoitukset eivät kuitenkaan ole yksinomaan positiivinen asia. Nämä nimittäin vaikeuttavat tietoturvasovellusten saumatonta integroimista suoraan esimerkiksi tiettyyn tekstinkäsittely- tai tietokantaohjelmaan. Euroopan unionissa kaksikäyttötuotteiden vientivalvontaan sovelletaan neuvoston asetusta ja UTP-päätöstä7. EU:n komissio on äskettäin antanut raportin Euroopan parlamentille ja neuvostolle säädösten soveltamisesta ja tehnyt EU:n vientivalvontamekanismia koskevan kokonaan uuden asetusehdotuksen8. Ehdotus sisältää useita sekä periaatteellisia että käytännöllisiä muutoksia nykyiseen valvontamekanismiin verrattuna. Esimerkiksi salaustuotteiden yhteisötoimituksista komissio esittää lisensioinnin poistamista, mutta toisaalta uuden notifiointijärjestelyn luomista lisensioinnin tilalle.
Vientirajoitusten tarpeet poikkeavat yleisistä salaustuotteiden käytön rajoituksista. Vientirajoituksille on eri perusteet kuin salaustuotteiden käyttöä koskeville rajoituksille, koska ne pohjautuvat turvallisuuspoliittisiin ja puolustuksellisiin näkökohtiin. Nämä näkökohdat ovat yhtäältä kansainvälisiä, rajoituksilla pyritään globaalisti turvallisuuspoliittisin perustein säännellä yhteisiin normeihin sitoutumattomien maiden salauspolitiikan ja salausteknologian tasoa. Tarkoituksena on kohdistaa vientivalvontatoimenpiteitä joukkotuhoaseiden eli kemiallisten, biologisten ja ydinaseiden ja niiden kuljetusvälineiden, erityisesti ballististen ja risteilyohjusten kannalta relevanttiin teknologiaan sekä salaustuotteiden rajoituksilla säilyttää mahdollisuus seurata destabilisoivia sotilaallisia varustautumistrendejä. Vientirajoituksilla on toisaalta myös kansallinen ulottuvuus. Suomi, kuten monet muutkin maat, haluaa todistettavalla ja toimivalla vientivalvonnalla varmistaa välttämättömän huipputeknologian saatavuuden kotimaassa. Suomi on kuitenkin muun muassa Vientivalvontaneuvottelukunnan puitteissa antanut alan teollisuudelle mahdollisuuden seurata vientivalvontakysymyksiin liittyviä kokouksia ja kehityssuuntia. Yleisesti ottaen Suomi noudattaa erittäin liberaalia salaustuotteiden viennin rajoittamispolitiikkaa. Sotilaskäyttöön suunnitellut tietojenkäsittelyn turvalaitteet ja salausmenetelmillä varustetut laitteet on lisäksi säädetty vientiluvan alaisiksi myös puolustusministeriön päätöksellä puolustustarvikkeiden maastaviennistä9.
Taloudellinen tiedustelu on nykyään yhä tärkeämpää ja tuottavampaa. Jotkut tiedusteluorganisaatiot ovat erikoistuneet sähköisen viestinnän ja televiestinnän seuraamiseen. Euroopan parlamentin teettämässä tutkimuksessa poliittisen vallankäytön välineistä10 mainittiin maailmanlaajuinen ECHELON-kuuntelujärjestelmä, jolla valtaosa maailman teleliikenteestä siepataan analysoitavaksi Yhdysvaltoihin, Kanadaan, Australiaan, Uuteen-Seelantiin tai Yhdistyneisiin Kuningaskuntiin. Osa analyysistä perustuu ennalta määriteltyjen merkkijonojen tai sanojen tunnistamiseen viestin sisällöstä. Tällaisilla tiedusteluorganisaatioilla on käytettävissään hyvin suuri tietokone- ja laskentakapasiteetti. Salattujen viestien valvominen ja purkaminen ei kuitenkaan aina ole mahdollista vaikka käytössä olisi huomattavatkin resurssit. On esimerkiksi arvioitu, että järjestäytynyt kansainvälinen rikollisuus kehittää omia vahvoja salausmenetelmiään, joita on käytännössä mahdotonta kohtuullisessa ajassa purkaa. Tämän seurauksena on esitetty sellaisia näkemyksiä, että joidenkin tiedustelujärjestöjen ensisijainen tehtävä olisi pikemminkin taloudellinen kuin valtion turvallisuuteen liittyvä tiedustelu. Mahdollisimman vahvan salauksen käyttö vähentää taloudellisen tiedustelun uhkaa ja on suomalaisen teollisuuden kilpailukyvyn kannalta tärkeää.
EU-maista Ranskalla on maailmanlaajuisestikin katsottuna erittäin tiukka key recoveryyn perustuva salauspolitiikka. Ranskassa vahvojen salaustuotteiden käytössä on tallennettava salaiset avaimet luotetulle kolmannelle osapuolelle tai hankittava käyttöön lupa. Helposti purettavissa oleva salaus on vapautettu tästä vaatimuksesta. Myös salaustuotteiden vienti, tuonti ja kaupanpito on luvanvaraista toimintaa. Luotetuille kolmansille osapuolille on asetettu yksityiskohtaiset vaatimukset. Jos Ranskaan lähettää salatun viestin tai vie salattuna tallennettua tietoa esimerkiksi tietokoneen kovalevyllä, salausavaimista olisi toimitettava kopiot paikallisille viranomaisille. Tämä on johtanut siihen, että liike-elämässä arkaluontoinen tieto usein toimitetaan salkussa henkilökohtaisesti perille.
Yleisesti ottaen salaustuotteiden käyttöä koskevat rajoitukset ovat kuitenkin harvinaisia. Yleensä rajoitukset liittyvät Wassenaarin järjestelyn mukaiseen luvanvaraiseen vientiin. Salaustuotteiden käyttöä koskevia kansallisia rajoituksia Suomessa ei ole. Tiukoista vientirajoituksista huolimatta myöskään Yhdysvalloissa ei ole asetettu rajoituksia salaustuotteiden käytölle maan rajojen sisäpuolella. Viime aikoina erityisesti FBI on painostanut lainsäätäjää luomaan kansallisen pakolliseen key recoveryyn nojautuvan salausjärjestelmän. Ehdotus on kohdannut voimakasta vastustusta ja on nyt uudelleen mietittävänä. EU:n komission tiedonannossa tietoturvan ja luottamuksen varmistamisesta sähköisessä viestinnässä11 suhtaudutaan kriittisesti viranomaisille annettavaan mahdollisuuteen saada tietoonsa salainen avain ja todetaan, että jos sääntelyä ylipäätään tarvitaan, sen on rajoituttava vain siihen, mikä on ehdottoman välttämätöntä. Iso-Britannia on julkaissut 27.4.1998 oman salauspolitiikkalinjauksensa12, jonka mukaan varmenneorganisaatioon, certification authority, lähinnä digitaalisten allekirjoitusten varmentamiseen ja viestin eheyteen liittyvät palvelut jakautuvat luvanvaraiseen ja vapaaseen toimintaan. Luvanvaraisessa toiminnassa varmenneorganisaation antamat digitaalisen allekirjoituksen varmenteet rinnastettaisiin käsin tehtyyn allekirjoitukseen. Viestin luottamuksellisuuteen liittyviä salauspalveluja tarjoava luotettu kolmas osapuoli, trusted third party, voisi myös olla toimiluvan saanut palveluntarjoaja, tai se voisi toimia vapaasti. Toimiluvan saanut luotettu kolmas osapuoli olisi velvollinen huolehtimaan key recoverysta. Toimiluvan alaisen varmenneorganisaation tai luotetun kolmannen osapuolen käyttö on kuitenkin vapaaehtoista. Viranomaisten oikeudesta saada tieto selväkielisenä säädetään erikseen. Ruotsissa on julkaistu kattava salauspolitiikkaan liittyvä selvitys13, jossa ei sinänsä vahvisteta selkeitä poliittisia linjauksia, vaan identifioidaan mahdollisia toimintamalleja. Selvityksessä todetaan kuitenkin, että jokaisella tulisi olla oikeus käyttää salaustuotteita ja että avainten tallettamisen tulisi olla vapaaehtoista. Ruotsissakin on tosin tiedostettu selkeän salauspolitiikkalinjauksen tarpeellisuus, ja sellaisen valmistelu on ilmeisesti aloitettu. Tanskassa asiantuntijatyöryhmä on päätynyt sellaiseen kantaan, ettei salaustuotteita tai niiden käyttöä tulisi rajoittaa14.
Suomessa viestinsä salaavalla käyttäjällä ei ole velvollisuutta antaa tietoa salausavaimistaan viranomaisille, eikä vahvojen salaustuotteiden käyttöä tai maahantuontia rajoiteta. Salausta on käsitellyt vuonna 1995 valtiovarainministeriön koolle kutsuma epävirallinen ryhmä. Työryhmän kannanoton mukaan Suomessa ei tulisi rajoittaa tai luvanvaraistaa vahvan salauksen käyttöä. Perusoikeuksien kannalta lähtökohtana on, että jokaisella on oikeus viestinsä lähettämiseen siinä muodossa kuin hän itse haluaa kenenkään sitä ennalta estämättä. Suomen Hallitusmuodon 8 §:n 2 momentin mukaan kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton. Saman pykälän 3 momentissa todetaan, että lailla voidaan säätää välttämättömistä rajoituksista viestin salaisuuteen yksilön tai yhteiskunnan turvallisuutta taikka kotirauhaa vaarantavien rikosten tutkinnassa, oikeudenkäynnissä ja turvallisuustarkastuksessa sekä vapaudenmenetyksen aikana. Pakkokeinolain 5a luku (402/1995) antaa mahdollisuudet telekuunteluun ja televalvontaan. Teleyritykselle on asetettu velvollisuus avustaa esitutkintaviranomaisia telekuuntelun ja -valvonnan suorittamisessa. Tämä tarkoittaa sitä, että jos teleyritys salaa televiestin (kuten digitaalisen gsm-verkon ilmatien osalta) ja sillä on hallussaan salauksen purkamiseen tarvittava avain, se joutuu luovuttamaan avaimen viranomaisille tai muuten tehdä mahdolliseksi televiestinnän kuuntelun selväkielisenä pakkokeinolaissa säädetyin edellytyksin. Säännös vastaa EU:n neuvoston päätöslauselmaa laillisen telekuuntelun kansainvälisistä edellytyksistä. Telekuuntelun hyväksyessään lainsäätäjä on punninnut Hallitusmuodon ja Euroopan ihmisoikeussopimuksen suojaamia yksilön oikeuksia ja toisaalta tarvetta tehostaa rikosten esitutkintaa. Vahvat salaustuotteet vaikeuttavat tai jopa estävät telekuuntelun toteuttamisen. Tästä näkökulmasta salaisen avaimen pakollista tallettamista voitaisiin pitää perusteltuna täydennyksenä nykyiseen lainsäädäntöön. Toisaalta tämä, toisin kuin esimerkiksi telekuuntelu, edellyttää sen henkilön myötävaikutusta, johon myös mahdolliset seurantatoimenpiteet kohdistuvat. Tästä syystä aukottaman järjestelmän luominen on erittäin vaikeata. On myös huomattava, että HM 16 §:n mukaan epäillyn tai syytetyn ei tarvitse rikosprosessin missään vaiheessa myötävaikuttaa oman syyllisyytensä toteennäyttämiseen15. Keskustelua on herättänyt kuitenkin se, voidaanko salauspalvelujen käyttöönoton yhteydessä toteutettu avainten tallettaminen laskea kuuluvaksi edellä mainitun rikosprosessin osaksi. Myös talousrikosten tutkinnassa ja verotuksen ja tullauksen sähköisiin ilmoituksiin liittyvien väärinkäytösten tutkinnassa saattavat tulla esille
Liike-elämässä siirrytään lisääntyvässä määrin kaiken kirjeenvaihdon hoitamiseen sähköisesti, jolloin sähköisen viestin tulisi olla oikeudessa todistusvoimainen. Kirjeenvaihto voi sisältää sellaista viestintää, joilla on perinteiseen tapaan muita oikeusvaikutuksia, esimerkiksi varallisuuden ja velvoitteiden suhteen. Tältä osin on varauduttava siihen, että myöhemmin syntyvät epäselvyydet ja kiistat voidaan joutua ratkaisemaan oikeusteitse. Oikeusministeriön asettaman digitaalisia allekirjoituksia selvittäneen työryhmän mukaan sopimusvapauden ja vapaan todistusharkinnan periaatteiden mukaisesti asiakirjojen todistusvoimaa ei sinänsä heikennä se, että ne on välitetty sähköisesti. Viestinnän osapuolten oikeusturvaa voidaan lisätä laajentamalla perinteisen notariaattitoiminnan käsitettä sisältämään myös sähköisen kirjeenvaihdon varmistusjärjestelmät. Sähköisessä viestinnässä voi olla tarvetta osoittaa myöhemmin todeksi esimerkiksi se, että tietty viesti on vaihdettu tiettyjen osapuolten välillä tiettyyn aikaan tai että viestin lähettäjä on ollut juuri se, joka hän väittää olevansa tai että hänellä on ollut riittävät valtuudet tehdä tietty sitoumus. Salausteknologialla voidaan myös esimerkiksi osoittaa, että viestiä ei ole muutettu sen lähettämisen jälkeen. Viestin eheyden varmistamisessa tämä voisi tarkoittaa käytännössä sitä, että tapahtumassa olisi kolme osapuolta - lähettäjä, varmentaja ja vastaanottaja. Tällaisia salausteknologiaan perustuvia varmennepalveluita on jo olemassa ja niitä kehitetään koko ajan. Kehitystyössä käytetään usein erittäin monimutkaisia salausalgoritmeja. Riippumatta siitä, käytetäänkö varmennepalveluita vai ei, mahdollisuus vahvan salauksen käyttöön on liike-elämän kannalta yhä ratkaisevampi tekijä sen arvioinnissa, ryhdytäänkö oikeustoimia tekemään sähköisesti vai ei.
Varmenne- ja salauspalvelujen tarjoamisen tulisi olla dynaaminen liiketoiminnan ala. Varmenneorganisaatioita ja luotettuja kolmansia osapuolia voi olla monenlaisia, ja ne saattavat tarjota hyvinkin erilaisia palveluja. Niille voi olla tarpeen asettaa tietyt vähimmäisvaatimukset todisteeksi tietystä turvatasosta ja varmenteen pätevöittämiseksi, mutta muutoin varmenneorganisaatio voisi olla liiketapahtuman osapuolten sopimusvapauden periaatteen mukaisesti valitsema taho ja luotetun kolmannen osapuolen valinta tulisi olla niinikään vapaata. Julkishallinnon tehtävänä ei ole määrittää, mihin palveluntarjoajaan käyttäjien on luotettava. EU:n komissio on julkaissut ehdotuksen sähköisistä allekirjoituksista annettavaksi direktiiviksi16, jonka mukaan varmenneorganisaatioille voi asettaa vapaaehtoisia valtuutusjärjestelmiä niiden luotettavuuden varmistamiseksi. Direktiiviehdotus sisältää myös säännöksiä muun muassa varmenneorganisaation markkinoillepääsystä ja vastuista, sähköisten allekirjoitusten oikeusvaikutuksista, varmenteen sisällöstä ja kansainvälisestä vastavuoroisesta tunnustamisesta. Ehdotusta ryhdyttiin käsittelemään neuvoston työryhmässä kesäkuussa 1998. Palvelujen tarjoamiselle ei tulisi kuitenkaan Suomen tämänhetkisen näkemyksen mukaan asettaa liian raskaita ja tiukkoja toimilupa- ja muita valtuutusjärjestelmiä. Liian monimutkaiset valtuutusjärjestelmät saattavat rajoittaa tarpeettomasti palvelujen tarjoajan toimintaa. Esimerkiksi laajojen organisaatioiden sisällä saattaa löytyä tarvetta omalle varmennustoiminnalle, eikä tällaisen toiminnan toimilupamenettely ole tarkoituksenmukainen. Lisäksi varmenneorganisaatioiden ja luotettujen kolmansien osapuolten tulisi voida tarjota sellaisia palveluja, joihin löytyy kysyntää tai jotka ne muuten katsovat tarkoituksenmukaiseksi liiketoimintansa osaksi.
Julkishallinnon kanssa asioitaessa sähköisen viestinnän tulee olla samalla tavalla todistusvoimainen kuin liike-elämässäkin. Suomi on hallinnon sähköisessä asioinnissa edelläkävijä. Julkishallinnossa on tarkoitus siirtyä laajamittaisesti sähköiseen asiointiin, jonka avulla kansalainen voi asioida viranomaisen kanssa yhtä pätevästi kuin olemalla henkilökohtaisesti läsnä. Esimerkiksi sosiaalihallinnossa viranomaisten on tiedettävä luotettavasti kenelle etuuksia maksetaan. Sen vuoksi on tarkoituksenmukaista edellyttää korkean turvatason täyttävää varmenneorganisaatiotoimintaa. Valtiovallan asiana on määritellä, miten salaus ja henkilön tai oikeushenkilön tunnistamiseen liittyvä varmennus toteutetaan valtionhallinnon kanssa asioitaessa. Valtioneuvosto teki 5.2.1998 periaatepäätöksen Väestörekisterikeskuksen nimeämisestä julkishallinnon varmenneviranomaiseksi.
Viranomaisviestinnässä on edelleen tarvetta hyvin voimakkaiden salausjärjestelmien käyttöön. Tarve voi liittyä erityisesti maanpuolustuksellisiin tehtäviin, valtakunnan yleisen turvallisuuden takaamiseen, diplomaattiseen viestintään ja rikosten torjuntaan. Tärkeimpiin viranomaisten tietojärjestelmiin ei ole mahdollista päästä avoimista verkoista, koska tietomurtojen ja muun ilkivallan vaara on arvioitu suureksi. Näissä järjestelmissä on nojattu suljetun järjestelmän ominaisuuksiin. Viranomaisilla on luonnollisesti oikeus omien salausjärjestelmiensä käyttämiseen ja lähtökohtaisesti heidän odotetaan tarvittaessa käyttävän mahdollisimman vahvoja salausmenetelmiä lakisääteisen tehtävänsä täyttämiseksi. Yksityisellä sektorilla on omat tarpeet varmistaa viestintänsä luottamuksellisuus eikä ole perusteltua rajoittaa heidän mahdollisuuksiaan toteuttaa valitsemiaan ratkaisuja ja tarpeettomasti heikentää heidän viestintänsä ja asiakirjahallintansa tietoturvaa.
Iltakoulumuistion mukaisten periaatteiden noudattamisella ei ole välittömiä valtiontaloudellisia kustannusvaikutuksia. Varmenneorganisaation ja luotetun kolmannen osapuolen luominen ja niiden palvelujen kehittäminen maksaa. Iltakoulumuistion mukaisten periaatteiden noudattaminen ei kuitenkaan sinänsä aiheuta valtiolle kustannuksia. Periaatteiden mukaisesti salaustuotteisiin ja -teknologiaan liittyvät palvelut tuotettaisiin markkinoille kaupallisin perustein. VRK:n varmenneviranomaistoiminnasta on jo tehty erillinen hallituksen periaatepäätös. Sen sijaan kattavan ja keskitetyn key recovery järjestelmän luomisesta ja ylläpidosta aiheutuvista kustannuksista ei ole tarkkaa tietoa, mutta sen arvioidaan olevan hyvin kallista varsinkin, jos sillä pyritään turvaamaan lähes reaaliaikainen mahdollisuus purkaa viestinnän salauksia. Se edellyttäisi lisäksi salaustuotteiden käytön tiukkaa sääntelyä ja sen rinnalle mahdollisesti rakennettavaa valvontakoneistoa. Siitä huolimatta järjestelmällä ei saavutettaisi rikostutkinnalle aukotonta suojaa. Kaupallisin perustein toimivien avaintenhallinta- ja varmennepalvelujen mahdollinen hyödyntäminen rikostutkinnassa oman valtiollisen järjestelmän sijasta säästää karkeasti arvioiden todennäköisesti satoja miljoonia markkoja. Iltakoulumuistion periaatteiden mukainen toiminta tulisi julkishallinnolle selkeästi edullisemmaksi kuin tiukemman salauspolitiikan noudattaminen. Yleisesti ottaen salauksen käytön lisääntyessä esitutkintaviranomaisten tarvitsemien laitteiden ja lisähenkilöstön arvioidaan kuitenkin aiheuttavan lisäkuluja, jotta salatussa muodossa tapahtuvaa laitonta toimintaa pystytään selvittämään.
Käyttäjän valitseman salausjärjestelmän käyttäminen lisää tietoverkoissa tapahtuvan viestinnän luottamuksellisuutta ja vaikuttaa myönteisesti tietoyhteiskunnan kehittymiseen ja sähköisen kaupankäynnin yleistymiseen. Näillä arvioidaan jo lähitulevaisuudessa olevan huomattavat kansantaloudelliset vaikutukset. Periaatteiden hyväksynnän oletetaan myös vahvistavan Suomen tähänkin mennessä hyvin menestyneen salaustuoteteollisuuden kansainvälistä kilpailukykyä. Selkeä poliittinen linjaus luo ennakoitavat puitteet alan kehittämiselle ja palvelujen monipuolistumiselle. Hallitus on jo ottanut kantaa käyttäjän valinnan vapauteen salaustuotteiden osalta. Hallituksen esityksessä laiksi yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta sekä siihen liittyväksi lainsäädännöksi17 todetaan, että [telepalveluiden] käyttäjällä ja tilaajalla on oikeus suojata viestinsä haluamallaan tavalla käyttäen hyväksi sitä varten tarjolla olevia teknisiä mahdollisuuksia.
Edellä sanotun perusteella liikenneministeriö esittää, että hallitus noudattaa salaustuotteiden käyttöä koskevissa kannanotoissaan ja kansallisessa salauspolitiikassaan seuraavia periaatteita:
1 Neuvoston päätöslauselma, annettu 17 päivänä tammikuuta 1995, laillisen telekuuntelun kansainvälisistä edellytyksistä.
2 Joissakin yhteyksissä käytetään myös käsitettä key escrow.
3 OSA-neuvosto, Bryssel, 28.-29.5.1998, päätelmät hyväksyttiin ilman keskustelua
4 Recommendation No. R (95) 13 adopted by the Committee of Ministers of the Council of Europe on 11 September 1995: Problems of criminal procedural law connected with information technology, kohta V. Use of encryption. 14.
5 Recommendation of the Council concerning Guidelines for Cryptography Policy, 27.3.1997.
6 Wassenaar arrangement, www.wassenaar.org
7 Neuvoston asetus 3381/94/EC, neuvoston päätös 94/942/CFSP
8 Proposal for a Council Regulation (EC) setting up Community regime for the control of exports of dual-use goods and technology, COM(1998) 257 final. Tähän liittyy komission raportti COM(1998) 258.
9 Päätös 192/7.3.1997 puolustustarvikkeiden maastaviennistä, joka perustuu vastaavaan lakiin 242/1990 ja 197/1995 sekä asetukseen 108/1997
10 An Appraisal of the Technologies of Political Control, STOA, 6.1.1998, http://jya.com/stoa-atpc.htm
11 KOM(97) 503, http://www.ispo.cec.be/eif/policy/97503toc.html
12 http://www.dti.gov.uk/CII/ana27p.html
13 http://www.ud.se/pressinf/proposou/krypthel.pdf
14 http://www.fsk.dk/fsk/publ/1997/crypt/crypt.html
15 Ks. HE 309/1993 vp. s. 74.
16 COM(1998)297/2, http://www.ispo.cec.be/eif/policy/com98297.html
17 HE 85/1998
Katso myös:
Yhteenveto Wassenaarin järjestelyn
salausrajoituksista
Vastauksia kysymyksiin Wassenaarin
järjestelystä ja vahvasta salauksesta
Wassenaarin järjestely