# 24 sanaa: mikä on kryptografinen identiteetti

> Cuadernos Lacre
> https://solo2.net/fi/muistikirjat/articulos/salasanan-ja-kryptografisen-identiteetin-ero.html

Kryptografinen identiteetti ei ole salasana: mikään palvelin ei tallenna sitä, eikä sitä voi palauttaa. Didaktinen selitys BIP39-mekanismista, miksi juuri kaksikymmentäneljä sanaa ja mikä todellinen painolasti lankeaa sille, joka ne omistaa.

---

> Ymmärretään toisiamme: Jos unohdat Gmail-salasanasi, Google nollaa sen puolestasi. Jos kadotat kryptografisen identiteetin muodostavat 24 sanaa, ei ole ketään, jolta pyytää niitä. Kyse ei ole siitä, että menettely olisi tiukka – kyse on siitä, ettei toisessa päässä ole ketään. Tämä ero on ratkaiseva.

## Salasanan ja identiteetin ero

Salasana perinteisessä internet-mallissa ei ole käyttäjän identiteetti. Se on tosite. Käyttäjällä on identiteetti – nimi, sähköposti, asiakasnumero – ja todistaakseen palvelimelle olevansa se, joka väittää olevansa, hän esittää salasanan, jota palvelin vertaa tallennettuun jälkeen. Jos jäljet täsmäävät, palvelin myöntää istunnon. Jos salasana katoaa, käyttäjä pysyy samana käyttäjänä; se, minkä hän menettää, on tosite, ja sen palauttamiseksi on olemassa menettely – sähköposti rekisteröityyn osoitteeseen, turvakysymys – sen korvaamiseksi.

Kryptografinen identiteetti toimii eri tavalla. Se ei ole valtuus, jota joku vertaa tallennettuun jälkeen; se *on* täydellinen matemaattinen salaisuus itsessään. On samantekevää, missä se sijaitsee – paperilla, laitteessa tai jopa vieraan palvelimella: identiteetti on olemassa matematiikkansa vuoksi, ei sen vahvistajan vuoksi. Tässä esiintyy ominaisuus, joka muistuttaa artikkelissa «Mitä SHA-256 todellisuudessa on» nähtyä: omistajuutta ei osoiteta näyttämällä salaisuutta, vaan käyttämällä sitä allekirjoittamiseen. Näin syntyneen allekirjoituksen kuka tahansa voi tarkistaa julkisella arvolla, joka on johdettu matemaattisesti itse salaisuudesta ilman tarvetta tuntea salaisuutta ja ilman kolmannen osapuolen välitystä. Se, jolla on salaisuus, on identiteetti; se, joka sen kadottaa, lakkaa olemasta se. Tuomio on ehdoton: ei ole ketään, jolta pyytää identiteetin palauttamista. Tällaista henkilöä ei ole olemassa, koska hänellä ei ollut sitä alun perinkään.

## Mitä kaksikymmentäneljä sanaa edustavat

Kryptografinen identiteetti esitetään yleensä kolmenkymmenenkahden tavun matemaattisena salaisuutena – kaksisataaviisikymmentäkuusi bittiä. Luku, joka on vaikea muistaa ja vielä vaikeampi kirjoittaa muistiin virheettömästi. Kryptoteollisuus ratkaisi tämän ongelman vuonna 2013 pienellä ja tyylikkäällä standardilla nimeltä BIP39: tapa esittää nämä kaksisataaviisikymmentäkuusi bittiä 24 sanan sarjana, joka on otettu virallisesta 2048 sanan luettelosta. Taustalla oleva matematiikka täsmää tyylikkäästi; ne, jotka haluavat nähdä sen yksityiskohtaisesti, löytävät sen marginaalista.

Laskenta ei ole koristelua. Jos joku kirjoittaa 23 sanaa oikein ja erehtyy 24. sanassa, tarkistussumma havaitsee sen: ohjelmisto sanoo hänelle "tämä sarja ei ole kelvollinen". Jos joku kirjoittaa kaikki 24 sanaa oikein, ohjelmisto johtaa saman identiteetin yksiselitteisesti. Sanaluettelon valinta on myös harkittu: BIP39-sanaston sanat ovat lyhyitä, toisistaan eroavia, ilman diakriittisiä merkkejä ja valittu minimoimaan foneettiset ja oikeinkirjoitukseen liittyvät sekaannukset. Se on sanasto, joka on suunniteltu ihmisten muistettavaksi, kirjoitettavaksi ja sanelemaksi ilman hävikkiä.

## Lauseesta avaimeksi

Nuo kaksikymmentäneljä sanaa eivät ole se kryptografinen avain, joka allekirjoittaa viestit. Ne ovat palautettavissa oleva esitys alkuperäisestä entropiasta, joka PBKDF2-nimisen deterministisen prosessin kautta muunnetaan kuudenkymmenenneljän tavun siemeneksi (seed). Tästä siemenestä johdetaan, myös deterministisesti, ne konkreettiset kryptografiset avaimet, joita käyttäjä käyttää: yksityinen avain allekirjoittamiseen ja vastaava julkinen avain, joka julkaistaan allekirjoitusten todentamiseksi. Sama mekanismi eri järjestelmissä: kryptovaluutat käyttävät secp256k1-käyrää; Signal-protokolla ja monet nykyjärjestelmät käyttävät Ed25519-algoritmia Curve25519-käyrällä. Tietylle käyrälle, kuten Ed25519, BIP32- ja SLIP-0010-standardit ottavat tuon kuudenkymmenenneljän tavun siemenen ja johtavat deterministisesti ne kolmekymmentäkaksi tavua, jotka muodostavat varsinaisen allekirjoitusavaimen — ne samat kolmekymmentäkaksi tavua, joilla seuraavan osion koodiesimerkki alkaa.

Tämä on se standarditapa, jolla koko ala esittelee mekanismin käyttäjälle —kryptovaluuttalompakot, hajautetun identiteetin hallintatyökalut, Signal pysyvän identiteetin osaltaan, Solo2 näiden joukossa—: käyttäjä ei käytännössä koskaan näe siementä tai johdettuja avaimia. Hän näkee ne kaksikymmentäneljä sanaa identiteettiä luodessaan ja valinnaisesti kirjoittaa ne paperille. Sanat matkaavat sitten hänen laitteidensa välillä, kun hän haluaa siirtää identiteetin: hän syöttää ne uuteen sovellukseen, sovellus johtaa saman siemenen, samat avaimet, saman identiteetin. Se on siirrettävä, kryptografisesti vankka ja kohtuuden rajoissa muistettavissa oleva mekanismi.

## Miten avaimella allekirjoitetaan (Zig-sivallus)

## Mitä lause ei ole

Kolme yleistä väärinkäsitystä on syytä korjata. Lause ei ole salasana varsinaisessa merkityksessä: sitä ei verrata palvelimelle tallennettuun sormenjälkeen; se syötetään käyttäjän laitteeseen identiteetin matemaattiseksi palauttamiseksi. Lausetta ei voi palauttaa: jos se katoaa, sitä ei voi pyytää keneltäkään; jos se kopioidaan, myös identiteetti kopioituu. Lause ei ole identiteetistä erillinen tunnistetieto: lause *on* identiteetti. Se, jolla se on hallussaan, voi toimia tuona identiteettinä ilman erillistä lupaa, ilman valtuutusprosessia, ilman palautusmahdollisuutta.

Tämä kolmas ominaisuus on se, mikä muuttaa asian painoarvon. Kadonnut salasana on hallinnollinen vaiva. Kadonnut kryptografinen identiteetti on identiteetti itse. Kolmansien osapuolten löytämä paperi, jossa lause on, ei ole vain tilin ryöstön riski: se on koko identiteetin luovuttaminen. Järjestelmän lupaukseen —että kukaan ei voi peruuttaa identiteettiäsi tai estää sinua mielivaltaisesti— liittyy erottamattomasti vastuu —että olet ainoa haltija jollekin, mitä kukaan ei voi palauttaa puolestasi.

## Lupaus ja painoarvo

Kryptografista identiteettimallia kutsutaan usein *itsesuvereeniksi* —self-sovereign englanninkielisessä kirjallisuudessa—. Sanavalinta on harkittu ja kuvaa tilaa varsin tarkasti. Käyttäjä on identiteettinsä suvereeni lähes keskiaikaisessa mielessä: mikään kuningas, liikkeeseenlaskija tai keskushallinto ei sitä myönnä, eikä kukaan edellä mainituista voi sitä myöskään peruuttaa. Mutta keskiaikaisen monarkin tavoin käyttäjä kantaa myös virheidensä täydet seuraukset: ei ole sijaishallitsijaa, joka tekisi päätöksiä hänen puolestaan, jos hän kadottaa sinetin.

Valinnalla kolmannen osapuolen hallinnoiman identiteetin ja itsesuvereenin identiteetin välillä ei ole yhtä yleispätevää oikeaa vastausta. Merkityksettömän foorumitilin kohdalla hallinnoitu identiteetti on todennäköisesti oikeassa suhteessa riskiin. Mutta kun kyseessä on ammatillinen identiteetti, jolla allekirjoitetaan oikeudellisesti sitovia asiakirjoja, taloudellinen identiteetti, joka vartioi omia säästöjä, tai ammatillinen viestintäidentiteetti asiakkaiden kanssa, jotka ovat uskoneet haltuunsa arkaluonteista tietoa, asia muuttuu. Silloin kysymys ei ole enää «onko se mukavaa?» vaan «kenellä muulla kuin minulla on valta toimia minuna, ja missä olosuhteissa?».

## Missä tämä mekanismi esiintyy todellisissa järjestelmissä

BIP39 syntyi Bitcoin-maailmassa vuonna 2013 ja levisi nopeasti koko kryptovaluuttaekosysteemiin: mikä tahansa vakavasti otettava lompakko hyväksyy nykyään kahdentoista tai kahdenkymmenen neljän sanan BIP39-lauseen haltijansa taloudellisen identiteetin varmuuskopioksi. Kryptovaluuttojen ulkopuolella sama peruskäsite — kryptografinen pari, joka todistaa tekijyyden ilman välikättä — esiintyy muissa järjestelmissä eri syntaksilla. SSH-avaimet, joita järjestelmänvalvoja käyttää palvelimiinsa pääsyyn, ovat klassinen tapaus: yksityinen avain, jota ylläpitäjä säilyttää koneellaan, ja julkinen avain, joka kopioidaan jokaiselle palvelimelle; mikään keskitettyyn palveluun verrattava taho ei puutu asiaan. Signal-protokolla käyttää Ed25519-algoritmia laitteessa olevalla pysyvällä avainmateriaalilla; eurooppalainen eIDAS perustuu pätevän allekirjoituksen osalta samaan kryptografiseen periaatteeseen sillä erolla, että avainta säilyttää pätevä luottamuspalvelun tarjoaja käyttäjän sijasta.

Solo2, tämän julkaisun kustantaja, käyttää kahdenkymmenen neljän sanan BIP39-lausetta kunkin käyttäjän identiteettinä. Käyttäjä näkee sanat kerran luodessaan tilinsä. Niitä ei tallenneta millekään Solo2:n tai kenenkään muun palvelimelle: jos käyttäjä merkitsee ne muistiin ja säilyttää niitä, hän säilyttää identiteettinsä ikuisesti. Jos hän kadottaa ne, hän kadottaa ne. Tämä on looginen seuraus arkkitehtuurista, jossa ei ole operaattoria välissä: jos Solo2 voisi palauttaa identiteetin sen kadottaneelle käyttäjälle, se voisi antaa sen myös kenelle tahansa, joka painostaa Solo2:ta luovuttamaan sen.

## Ammattilukijalle

Neljä huomiota niille, jotka harkitsevat kryptografisen itsenäisen (autosoberana) identiteetin käyttöönottoa ammatillisessa yhteydessä:

1. Lause on identiteetti. Fyysinen säilytys — paperi, useat kopiot eri paikoissa, mahdollisesti kaiverrettu metalli pitkäaikaiseen käyttöön — tarjoaa enemmän takuita kuin digitaalinen säilytys, joka lisää hyökkäyspinta-alaa vähentämättä katoamisriskiä.
2. Palautusmahdollisuutta ei ole. Prosessin suunnittelu olettaen, että ensisijainen kopio joskus katoaa, on paljon suositeltavampaa kuin sen huomaaminen katoamispäivänä. Toinen maantieteellisesti erillään oleva kopio ratkaisee melkein kaikki skenaariot.
3. Se ei ole sama asia kuin eIDAS-pätevä varmenne. Unionin pätevää allekirjoitusta varten — notaarin asiakirjat, tietyt asioinnit hallinnon kanssa — lainsäädäntö edellyttää pätevää tarjoajaa, joka säilyttää avainta. Kryptografinen itsenäinen identiteetti palvelee ammatillista viestintää ja todistusvoimaista asiakirjojen allekirjoittamista, mutta se ei korvaa automaattisesti pätevää varmennetta tapauksissa, joissa säännös sitä edellyttää.
4. Jos identiteetti on tarkoitus siirtää — perintö, ammatillinen seuraanto, toiminnan lopettaminen — on suositeltavaa valmistella menettely etukäteen, ei jälkikäteen. Muodolliset menettelyt, joissa käytetään sinettivahalla (lacre) suljettuja kirjekuoria, ohjeita testamentin toimeenpanijalle ja talletusta notaarin luokse, ovat klassisia järjestelyjä, jotka ovat täysin yhteensopivia omaisuuserän kryptografisen luonteen kanssa.

---

*Tämä artikkeli päättää käsitteellisen trion, joka aloitti syklin — hash, salaus, identiteetti —. Nämä kolme ideaa rakentuvat toistensa päälle: hash antaa muuttumattoman sormenjäljen, salaus antaa luottamuksellisuuden ilman luotettua kolmatta osapuolta, identiteetti antaa tekijyyden ilman lupaa myöntävää kolmatta osapuolta. Kaikilla kolmella on ominaisuus, joka ei ole myöskään ideologinen: ne siirtävät palvelun hallinnoijalta sen käyttäjälle teknisiä kykyjä, jotka perinteisesti kuuluivat operaattorille. Niiden mukana siirtyy myös vastuita. Rehellinen puhuminen mistä tahansa näistä kolmesta edellyttää puhumista myös kahdesta muusta.*

## Lähteet ja lisälukemista

- Palatinus, M.; Rusnak, P.; Voisine, A.; Bowe, S. — *BIP-0039: Mnemonic code for generating deterministic keys*, Bitcoin-parannusehdotus vuodelta 2013. Kryptoteollisuuden palautuslausekkeiden de facto -standardi.
- RFC 8032 — Edwards-Curve Digital Signature Algorithm (EdDSA), mukaan lukien Ed25519. IETF, tammikuu 2017. Normatiivinen spesifikaatio allekirjoitusmenetelmästä, jota käytetään suuressa osassa nykyteollisuutta.
- RFC 2898 — PKCS #5: Password-Based Cryptography Specification, versio 2.0. IETF, syyskuu 2000. Määrittelee PBKDF2-algoritmin, jota käytetään BIP39-johtamisessa lauseesta siemeneksi (seed).
- Asetus (EU) 910/2014 (eIDAS) ja sen kehitys asetuksella (EU) 2024/1183 (eIDAS 2) — eurooppalainen sähköisen tunnistamisen ja pätevän allekirjoituksen kehys. Eri järjestelmä kuin itsenäinen, mutta rakentuu käsitteellisesti samojen kryptografisten primitiivien varaan.
- Allen, C. — *The Path to Self-Sovereign Identity* (2016). Kanoninen teksti itsenäisen mallin periaatteista ja sitoumuksista, aiempi mutta merkityksellinen nykyisten ratkaisujen ymmärtämiseksi.

---

*Cuadernos Lacre · Menzuri Gestión S.L. -julkaisu · kirjoittanut R.Eugenio · toimittanut Solo2-tiimi.*
*https://solo2.net/fi/muistikirjat/*
