Indien använder sitt nationella system för biometrisk identitet, Aadhaar, för att göra rättsligt bindande digitala signaturer tillgängliga för 1,1 miljarder människor. ”En lagändring 2015 gjorde att behovet av hårdvarutokens försvann, vilket har gett en stor ökning i antalet digitala signaturer”, säger Tejas Lagad på identitets- och säkerhetsföretaget Nexus Group, som är en viktig spelare i digitaliseringen av Indien.
1,1 miljarder människor är inkluderade i Aadhaar-systemet, vilket motsvarar 99 procent av alla indier som är 18 år eller äldre. För att registrera sig, lämnar en person sina demografiska och biometriska data, i form av fingeravtryck eller ögonskanning. Dessa knyts till ett tolvsiffrigt unikt identitetsnummer.
”Aadhaar-systemet skapades för att länka personers fingeravtryck till deras bankkonton, så att löner och tjänsteförmåner kan sättas in direkt på bankkontot – tidigare fick dessa hämtas ut från myndigheter, men det resulterade ofta i att pengarna förvann. Och nu när vi har det här nationella systemet för biometriskt ID på plats, så går det att använda för andra intressanta ändamål”, säger Lagad, regionchef för Asien på Nexus.
Ett av ändamålen är digitala signaturer. År 2000 stiftade den indiska regeringen den så kallade informationsteknologilagen (Information Technology Act, IT Act) som reglerar hur hur juridiskt bindande transaktioner får göras över internet.
Läs bloginlägg: Nexus satsar stort på sin 20-årsfirande PKI-plattform Certificate Manager
Hårdvarutokens – en logistisk mardröm
”Lagen säger att rättsligt bindande digitala signaturer online ska göras med digitala certifikat baserade på personers Aadhaar-identitet. Från början var det också ett krav att certifikaten var utgivna på hårdvara, till exempel smarta kort eller säkerhetsdosor, som man alltid behövde bära med sig. De har använts i stor utsträckning i Indien – men befolkningen är stor, och att distribuera hårdvarutokens blev en logistisk mardröm”, säger Lagad.
Ett annat problem var att hårdvarutokens kostade pengar, och en del människor hade inte råd att betala för dem.
”Det finns inte heller något enkelt sätt att använda hårdvarutokens med mobiltelefoner, och mer än 25 procent av all internetanvändning i Indien sker via mobiler”, säger Lagad.
Därför beslöt den indiska regeringen 2015 att också tillåta molnbaserade signaturtjänster, utan att använda hårdvarutokens.
”För närvarande är åtta företag licensierade certifikatsutfärdare (certificate authorities, CA), det vill säga, de tillåts att ge ut digitala certifikat”, säger Lagad.
eSign-tjänster löser problemen
Fyra av de licensierade certifikatsutfärdarna tillhandahåller också molnbaserade signaturtjänster kallade eSign till de organisationer som vill integrera digital signering i sina e-tjänster. Dessa utfärdare kallas eSign-tjänsteleverantörer (eSign Service Providers, ESPs).
”Om till exempel en bank vill erbjuda rättsligt bindande digitala signaturer av transaktioner online, kan de köpa eSign-tjänster från en ESP, och sen kan signering integreras sömlöst i bankapplikationen”, säger Lagad.
När slutanvändaren vill signera en transaktion i bankapplikationen över nätet, skickar banken en förfrågan till eSign-leverantören, som i sin tur skickar förfrågan vidare till Aadhaar-tjänsten som kallas electronic know your client (eKYC) från den indiska myndigheten för unik identifiering (Unique Identification Authority of India, UIDAI). eKYC skickar ett engångslösenord (one-time password, OTP) till slutanvändarens mobiltelefon. Slutanvändaren knappar sedan in lösenordet i bankapplikationen.
”Banken skickar sedan engångslösenordet till eSign-tjänsteleverantören, som verifierar lösenordet med eKYC. Om lösenordet matchar, returnerar UIDAI-servern användarens eKYC-data. Med hjälp av datat, skapar ESPn ett engångscertifikat till användaren, och transaktionen signeras. Engångslösenord är inte världens säkraste lösning, men de är den bästa lösningen för Indien, eftersom de kan användas på väldigt billiga mobila enheter, och som inte kräver internetuppkoppling”, säger Lagad.
En heltäckande mjukvarulösning
Digitala signaturer kan också göras med hjälp av fingeravtryck eller ögonskanning, men de måste utföras med speciell utrustning i tjänsteleverantörens lokaler.
”Flödet av förfrågningar är samma som med engångslösenorden, men den här metoden är säkrare. Den kan användas för känsligare tillämpningar, till exempel för att förnya pass och körkort”, säger Lagad.
Nexus spelar en viktig roll i digitaliseringen av Indien, eftersom det är den enda leverantören som har en heltäckande mjukvarulösning för alla certifikatsutfärdare som erbjuder eSign-tjänster.
”Vår mjukvarulösning består av vår certifikatsutfärdare Certificate Manager, som används av ett stort antal organisationer över hela världen, tillsammans med vår eSign Server, som är speciellt utformad för att uppfylla den indiska regeringens krav på molnbaserade signaturer”, säger Lagad.
Nexus lösning valdes av den indiska kontrollmyndigheten för certifikatsutfärdare (the Indian Controller of Certifying Authorities, CCA) till betrodd plattform för Indiens rot-CA, som licensierar andra certifikatsutfärdare som erbjuder eSign-tjänster.
Exponentiell tillväxt förväntas
Två av åtta licensierade certifikatsutfärdare i Indien har valt Nexus lösning, och vi diskuterar med andra presumtiva certifikatsutfärdare. Om de föredrar en annan leverantör än oss kan de bara få motsvarigheten till vår Certificate Manager, vilket innebär att de själva måste bygga motsvarigheten till vår eSign Server, eftersom ingen annan leverantör erbjuder den komponenten.
”Vi erbjuder en beprövad och testad lösning som följer reglerna från CCA och Aadhaar. Den fungerar sömlöst med vår CA-mjukvara och har en mycket hög produktionstakt. Dessutom har Nexus ett utvecklings- och supportcenter i Indien med erfarna specialister inom public key infrastructure (PKI) som säkerställer en hög servicenivå till våra kunder och att CCA-regelverket efterlevs”, säger Lagad.
Nu när bindande digitala signaturer kan göras över internet utan att det behövs hårdvarutokens, förväntas användningen öka exponentiellt.
Erbjuder smidig lösning för kunder
”Statistiken visar att antalet rättsligt bindande digitala signaturer online växte med 150 procent under fyra månader, från 2 miljoner i oktober 2016 till 5 miljoner i februari 2017. Och eftersom digitala signaturer nu är tillgängliga för 99 procent av alla vuxna indier, kommer massor av nya organisationer snart att möjliggöra digitala signaturer i sina e-tjänster”, säger Lagad.
Organisationer som kan tjäna mest på eSign är de som idag accepterar signerade dokument från ett stort antal användare, till exempel statliga och regionala myndigheter, ”smart city”-företag, banker, försäkringsbolag, låneinstitut och telekomföretag.
”Eftersom eSign inte kräver en handskriven signatur, hjälper den till att reducera kostnader för pappershantering, förbättrar effektiviteten och erbjuder en bekväm lösning till kunder”, säger Lagad.
Läs blogginlägg: Så gör du dina kunders digitala resor kompletta med digitala signaturer