En elektronisk underskrift är ett sätt att underteckna ett elektroniskt dokument, oftast en PDF-fil. Med en väldesignad lösning är det enkelt för alla att få säker information om vem som har skrivit under dokumentet och hur. EU-förordningen eIDAS definierar regler för elektroniska underskrifter och deras olika tillitsnivåer.
En elektronisk underskrift är inte samma sak som en digital signatur – en digital signatur är en kryptografisk mekanism som ofta används för att implementera elektroniska underskrifter, men en elektronisk underskrift kan även vara något så enkelt som en inskannad handskriven underskrift som förs in i ett elektroniskt dokument.
En digital signatur görs med användarens privata nyckel och innehåller information om vem som signerade och när. Den digitala signaturen kan göras lokalt i slutanvändarens enhet, exempelvis med hjälp av ett PKI-kort eller ett virtuellt smartkort. Den kan också göras centralt, i en så kallad betrodd tjänst.
Så funkar indirekt underskrift
När signaturen utförs centralt kallas det för indirekt underskrift (remote signing). Den betrodda tjänsten hanterar signeringsnycklarna på ett mycket säkert sätt, så användaren behöver bara autentisera sig mot tjänsten, precis som om det vore vilken onlinetjänst som helst.
En stor fördel med indirekt underskrift är att det ger en stor flexibilitet i vilken autentiseringsmetod som används. Eftersom själva signeringen sker centralt kan autentiseringen exempelvis ske med BankID eller med ett befintligt inloggningssystem som organisationen har. Det här innebär även att vilken enhet som helst – exempelvis en surfplatta, dator eller mobiltelefon – kan användas, medan en traditionell digital signatur ofta är bunden till en viss enhet.
Läs blogginlägg: Så gör du dina kunders digitala resor kompletta med digitala signaturer
Så verifieras digitalt signerade dokument
Det vanligaste formatet för ett digitalt signerat dokument är en PDF-fil. Program så som Adobe Acrobat Reader kan verifiera digitala signaturer och vem som helst kan på så sätt se vem som signerat, klockslag, autentiseringsmetod och annan säkerställd information som finns i signeringscertifikatet. Den här informationen kan användas om det senare skulle uppstå diskussion om signeringen.
Vissa leverantörer av signeringstjänster har även verifieringstjänster där du kan ladda upp och verifiera signerade dokument.
I händelse av tvist används information från det digitalt signerade dokumentet tillsammans med övrig bevisning, så som vittnesmål. När det gäller handskrivna signaturer finns ingen sådan information, och det är därför vanligt att större vikt läggs vid övrig bevisning om tvisten skulle gå till domstol. En ”avancerad” digital signatur (se nedan) kan därför till och med vara ett bättre underlag än en handskriven signatur.
Vad säger eIDAS?
EU-förordningen om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden, eIDAS, antogs 2014. Den består av två delar som behandlar:
- Elektronisk identifiering.
- Betrodda tjänster, främst för elektroniska underskrifter.
Tanken är att eIDAS ska ge bindande definitioner av hur de här områdena ska betraktas inom hela EU.
Den del av eIDAS som behandlar elektronisk identifiering innehåller regler om autentisering över landsgränser, exempelvis när en medborgare från annat EU-land vill logga in i en svensk e-tjänst. eIDAS specificerar också olika tillitsnivåer på identifieringen beroende på vilken säkerhetsnivå e-tjänsten ska uppnå. Tillitsnivån bestäms framför allt av hur själva autentiseringsprocessen går till och hur identiteten utfärdats. Nivåerna kan indelas på olika sätt, men vanliga termer är ”låg”, ”väsentlig” eller ”hög”. Ibland görs även indelning enligt standarden ISO/IEC 29115:2013 och dess fyra LoAs (level of assurance).
Den del av eIDAS som behandlar betrodda tjänster, främst för elektroniska underskrifter, definierar tillitsnivåer för elektroniska underskrifter i termerna ”standard”, ”avancerad” eller ”kvalificerad”, där ”standard” har den lägsta tillitsnivån och ”kvalificerad” den högsta. Den innehåller även regler för hur de olika tillitsnivåerna ska betraktas juridiskt i hela EU.
Tillitsnivån ”standard” har mycket låga krav och låg juridisk status, och inkluderar inskannade handskrivna underskrifter som förts in i elektroniska dokument.
Tillitsnivån ”avancerad” kräver att:
- Det finns en unik identifiering och länk till personen som signerar.
- Signeringsnyckeln endast kan kommas åt av denna person och ingen annan.
- Det ska gå att säkerställa att dokumentet inte har modifierats efter signeringen.
En underskrift på nivån ”avancerad” är i de flesta fall tillräcklig, eftersom en sådan signatur garanterar att du vet vem som har gjort signaturen och när, och att dokumentet inte har ändrats i efterhand.
Tillitsnivån ”kvalificerad” ska enligt eIDAS explicit ha samma rättsliga verkan i hela EU som en handskriven underskrift, men det finns i nuläget inga krav på att ”kvalificerade” signaturer behöver användas. Längre fram är det dock möjligt att sådana krav kan komma att ställas när det gäller implementation av gränsöverskridande tjänster eller samarbeten.
Läs mer om Nexus tjänst Nexus GO Signering.