Elektroniska underskrifter – Äntligen äntligen äntligen!

2017-11-30

Ända sedan digitaliseringserans början har elektroniska underskrifter varit en självklarhet, men ändå inte.

Ända sedan digitaliseringserans början har elektroniska underskrifter varit en självklarhet, men ändå inte. Vi har i vanlig ordning snurrat runt i olika tekniska lösningar, olika grader av tillit och olika former av regulatoriska krav att förhålla oss till. Inget nytt så långt. Inte heller att verksamheterna inte är på det klara när, eller ens om, de har behovet.

Den här inledningen skulle kunna vara inledningen på många krönikor. Det är ju verkligen inte unikt att det är flera kompetenser som ska förenas för att nå framgång. Det som kanske sticker ut med elektroniska underskrifter är att de är och förblir digitala. I många andra sammanhang är gränsen mellan analogt och digitalt ganska flytande. Här är det inte det. En elektronisk underskrift har inte något egentligt värde i analog form då den faktisk bara existerar i den digitala världen och har sitt värde i den form den får vid underskriftstillfället.

Tilliten till den elektronisk underskriften är ett kapitel för sig. Det har som sagt gjorts många ansatser till att standardisera och reglera området över tid, bl.a. i form av EU:s Electronic Signatures Directive 1999/93/EC, vilket sedan första juli 2016 ersattes av eIDAS-förordningen . Därutöver är det en kryptografisk och organisatorisk utmaning att etablera ett tillräckligt bra fundament som är hållbart över tid, vilket under hösten belysts både en och flera gånger. Kanske är det också under denna höst som just eIDAS-förordningen äntligen vackert färgar av sig och gör många frågor till icke-frågor så som sig bör till hösten. Dock kan man även konstatera att arvet efter föregående ansatser och bruk av elektroniska underskrifter lite då och då visar sitt mindre lockande ansikte.

Avtrycken och den allmänna uppfattningen är att det går från klarhet till klarhet. Inte bara att vi får en gränsöverskridande syn inom EU på hur E-legitimationer ska värderas och tillämpas, som i sig är en seger, utan vi börjar äntligen få en gemensam syn och gemensam riktning på elektroniska underskrifter.

Vi kommer aldrig att kunna digitalisera i den omfattning som vi önskar om vi inte har möjlighet att göra elektroniska underskrifter som faktiskt är hållbara ur ett juridiskt perspektiv. Kanske är det viktigare än att kunna legitimera oss.

Det senare kanske lät egendomligt. Över tid bleknar sannolikt behovet av sedvanlig autentisering till e-tjänster i jämförelse med det uppdämda behovet av elektroniska underskrifter. Inte minst i det gränsöverskridande perspektivet. Det fortsatt riktigt avgörande är kvalitén på e-legitimationen.

Ni känner igen det från den federerade idén. Tilliten till en identitet är helt avgörande och federationens framgång är därutöver den inkluderande och standardiserade tanken där inlåsningseffekterna lyser helt med sin frånvaro.

Även här rör det sig i samma riktning, dvs. från krav på lokala PKI-baserade underskrifter, inte sällan med proprietära gränssnitt, till öppna och robusta underskriftstjänster. Underskriftstjänsten eliminerar behovet av personliga bärare av asymmetriska nyckelpar som möter kraven för att genomföra elektroniska underskrifter. Behovet av specifika enheter från vilken den elektroniska underskriften sker blir därmed också en icke-fråga. Elektroniska underskrifter tillämpas i ett eIDAS-context i praktiken genom att den underskrivande parten autentiserar sig mot den underskriftstjänst som e-tjänsten i fråga använder sig av, varvid underskriftstjänsten med en sådan autentisering som grund utför en så kallad indirekt underskrift på uppdrag av den underskrivande parten. En utländsk medborgare kommer på detta sätt kunna bruka sin e-legitimation för att autentisera sig mot underskriftstjänster, så länge denna kan knytas till den tillitsnivå som krävs i relation till den typ av underskrift som avses skapas. Det finns alltså inte lika hårda beroenden till vad som finns på klienten jämfört med exempelvis BankID-baserade underskrifter som både kräver en lokal underskriftsanordning på klientenheten och att denna stöds av den tjänst som önskar få en elektronisk underskrift av underskrivande part.

Icke-frågor är också formaten. eIDAS har tydligt deklarerat följande format som täcker de flesta behov:
•PAdES (PDF Advanced Electronic Signatures) – ETSI EN 319 142 (ersätter gamla ETSI TS 102 778)
•XAdES (XML Advanced Electronic Signatures) – På väg att standardiseras av ETSI EN 319 132
•CAdES (CMS Advanced Electronic Signatures) ETSI TS 101 733 (på väg att ersättas av ETSI EN 319 122)

De som kommer dragande med något annat format och förväntar sig kunna framställa elektroniska underskrifter, i dess rätta bemärkelse, kommer bli ertappade som fåntrattar när underskrifterna synas.

Sammantaget kan sägas att det aldrig har varit enklare att kravställa elektroniska underskrifter, samtidigt som det innebär att befintliga underskriftsmetoder behöver justeras. Exempelvis befintliga BankID-integrationer, via någon av marknadens eID-leverantörer, för elektroniska underskrifter behöver ses över.

Nu är det bara att kartlägga behoven, sätta spaden i jorden för sedan skörda framgångar till hösten. Redo för att den 29 september 2018 konsumera även utländska e-legitimationer (“Foreign eID”). När det gäller elektroniska underskrifter passerades dock datumet redan förra sommaren då myndigheter inte får diskvalificera en elektronisk underskrift bara för att den är just elektronisk, detta som ett resultat av eIDAS-förordningen.