Elektroniske signaturer i praksis Pål Kristiansen

Innhold Terminologi eSignatur vs håndskreven signatur Lovverk Hva gjør offentlig sektor Hva bør man tenke igjennom om man skal velge riktig eSignatur løsning Oppsummering

Signaturbegreper Elektronisk signatur er den brede og generelle betegnelsen på teknikker som kan benyttes til å "signere" digital informasjon på "samme måte" som en håndskreven signatur benyttes til å undertegne et papirdokument Digital Signatur refererer til en bestemt type elektronisk signatur hvor det anvendes asymmetrisk kryptografi og hashfunksjoner.

Typer Elektronisk Signatur (1) eSignaturloven (2001): Elektronisk signatur Avansert elektronisk signatur Kvalifisert elektronisk signatur data i elektronisk form som er knyttet til andre elektroniske data og som brukes som autentiseringsmetode.

Typer Elektronisk Signatur (2) Avansert elektronisk signatur: entydig knyttet til undertegneren kan identifisere undertegneren er laget ved hjelp av midler som bare undertegneren har kontroll over er knyttet til andre elektroniske data på en slik måte at det kan oppdages om disse er blitt endret etter signering Digital Signatur = Avansert Elektronisk Signatur

Typer Elektronisk Signatur (3) Kvalifisert elektronisk signatur Avansert elektronisk signatur som er basert på et kvalifisert sertifikat og fremstilt av et godkjent sikkert signaturfremstillingssystem (SSCD).

Digital Signatur vs håndskreven Kan ha flere signaturer i den elektroniske verden I fysiske verden er navnetrekket alltid det samme, men ikke nødvendigvis i den digitale. Signaturverifikasjon kan enklere automatiseres i den digitale verden Gyldighet Fysiske signaturer lever ”evig”, digitale signaturer går ut på tid. What You See Is What You Sign (WYSIWYS) Datarepresentasjon og brukergrensesnitt i den elektroniske verden er ikke samme sak.

Digital Signatur vs håndskreven Signering må være basert på bevisst handling Intuitivt i den fysiske verden. Må eksplisitt tilrettelegges i den elektroniske verden. Original/Kopi Det er umulig å skille en original elektronisk signatur fra en kopi. Langtidslagring/Arkivering Elektronisk formatering kan ikke endres uten å ugyldigjøre signatur

En signaturs ulike funksjoner Signaturen vil i praksis kunne fylle ulike funksjoner, f.eks Identifisering Autentisering Integritet Autorisasjon Bevis I papirverdenen er det ofte underforstått hva en bestemt signatur innebærer. I den elektroniske verden finnes ulike teknologier med hver sine styrker og svakheter ift. å kunne dekke ulike signaturfunksjoner. Ved overgang til elektroniske måter å gjennomføre bl.a. underskrifter på, er det derfor viktig å vite hva man forventer å oppnå, hvilke konkrete funksjoner som skal dekkes

Lovverk EU direktiv ”Community Framework for Electronic Signatures” – 2000 Norsk ”Lov om elektronisk signatur” – 2001 Forskrift om krav til utsteder av kvalifiserte sertifikater mv.

Rettsvirkning for eSignaturer Kvalifisert elektronisk signatur Ved krav om signatur for rettsvirkning og hvor elektronisk kommunikasjon er lovlig skal en kvalifisert signatur alltid ha samme rettsvirkning som en skriftlig signatur. Øvrige elektroniske signaturer En elektronisk signatur som ikke er kvalifisert kan oppfylle et slikt krav.

Internasjonale forhold Sertifikater fra sertifikatutstedere som er etablert innen EØS, anses som kvalifiserte sertifikater i henhold til denne lov dersom de oppfyller kravene til et kvalifisert sertifikat i det landet der utstederen er etablert. Kvalifiserte sertifikater fra sertifikatutstedere som er etablert i land utenfor EØS, skal gis rettslig anerkjennelse på lik linje med kvalifiserte sertifikater fra sertifikatutstedere innen EØS under visse forutsetninger.

eSignatur og offentlig sektor Kravspek PKI i offentlig sektor Forskrift om selvdeklarasjon for sertifiatutstedere Sertifikatutstedere eForvaltningsforskriften MinSide MinID Sikkerhetsportalen AltInn

Å velge riktig eSignatur Er eSignatur helt nødvendig for anvendelsen ? Juridiske krav eller rene sikkerhetskrav ? Hvike funksjoner skal eSignaturen fylle ? Kartlegging av arbeidsflyt knyttet til signering/validering Hvem skal kunne signere / validere hva, hvor og når ? Hvilke applikasjoner/systemer er involvert ? Finne egnet eID Personlig eID eller eID for virksomhet ? Ren autentiseringsmekanisme++ eller digital signatur (PKI) ? Finnes det egnede eID’er allerede utstedt, alternativt utstede selv ? Kostnader ved utrulling, vedlikehold og bruk (inkl. validering) ?

Å velge riktig eSignatur Finne egnet produkt/løsning for signering, validering og arkivering Hva finnes allerede av støtte i de applikasjoner som anvendes ? Hva finnes av aktuelle 3.parts løsninger og tjenester ? Sikkerhet og Brukervennlighet ? Arbeid/kostnad med utvikling/tilpasning/integrasjon ? Standardstøtte / Interoperabilitet (digital signatur) ?

Typiske eSignatur anvendelser Enkle transaksjoner Kjøp/Bestillinger Avtaleinngåelse Kjøp/salg Etablering av kundeforhold Sikker meldingsutveksling Kommunikasjon innen/mellom næringsliv og offentlig. Registrering og innrapportering Offentlig registrering/innrapportering Betalingstjenester Kontobetaling og Avbetaling

Oppsummering Lovverk på plass Ulik tolkning innenfor EU kan gi utfordringer Liten rettspraksis Upresis bruk av terminologi – en kilde til forvirring Utbredelsen av eID’er er i ferd med å nå kritisk masse Bruken av eSignatur er økende Mange eSignatur behov i dag løses tilfredsstillende ved bruk av autentiseringsmekanismer ++ (basis eSignatur) Forholdsvis få anvendelser enda som juridisk sett krever bruk av Digital Signatur (Avansert eSignatur). Fortsatt fokus på PKI vil nok medføre en jevn økning i bruk av digital signaturer. Offentlig sektor arbeider med revidert strategir for eID/eSignatur

Spørsmål ? For kontakt: pal.kristiansen@unibridge.no http://www.unibridge.no