Digi- ja väestötietovirasto: Kymmenen vuoden passeja ei ole turvallista myöntää vielä vuosiin

Kymmenen vuoden passeja ei ole tarkoituksenmukaista eikä turvallista tuottaa ennen kuin henkilötietojen luotettavuuden varmistavat ratkaisut ovat kvanttiturvallisia, Digi- ja väestötietovirasto sanoo lausunnossaan luonnoksesta hallituksen esitykseksi passilain ja henkilökorttilain uudistamiseksi.

Digi- ja väestötietovirasto tuottaa passien varmenteet, jotka suojaavat passin tietoja ja varmistavat niiden aitouden.
Lausuntokierroksella olleen sisäministeriön ehdotuksen mukaan uusi laki tulisi voimaan vuonna 2027.

Kvanttiturvalliset ratkaisut käyttöön arviolta 2030-luvun alussa

DVV pitää merkittävänä turvallisuusriskinä sitä, että kymmenen vuoden passeja aletaan tuottamaan ei-kvanttikestäviin turvatekijöihin eli salausalgoritmeihin tukeutuen. Kvanttilaskennan kehitys mahdollistaa niiden murtamisen passien voimassaolon aikana. Silloin käytännön seuraus voi olla se, että merkittävä määrä passeja jouduttaisiin mitätöimään, sillä niillä olevia henkilötietoja ei pystytä suojaamaan väärinkäytöksiltä.

Turvattomiksi muuttuneita passien varmenteita ei voi päivittää myöntämisen jälkeen, vaan käytännössä täytyy hankkia uusi asiakirja.

– Kvanttilaskennan kehittyminen voi heikentää merkittävästi nykyisiin salausmenetelmiin perustuvien asiakirjojen turvallisuutta jo lähivuosina. Jos uhkakuva toteutuu odotettua nopeammin, voimassa olevia passeja saatettaisiin joutua uusimaan kesken niiden voimassaoloajan, DVV:n johtava asiantuntija Teemu Tukiainen sanoo.

Euroopan komission suosituksen mukaan korkean riskin asiakirjoissa, kuten passeissa ja henkilökorteissa, tulisi siirtyä kvanttiturvallisiin salausratkaisuihin viimeistään vuoteen 2030 mennessä. Näin henkilötietojen eheys ja luotettavuus voidaan turvata.

Lisätietoja 

Digi- ja väestötietoviraston koko lausunto