Tuesday, March 17th, 2020

Underskrift utan sigill, utan försegling? (In Swedish)

Sedan en tid låter offentlig sektor en extra legitimering ersätta digital underskrift. I pappersvärlden motsvaras det av att du aldrig fattar pennan. I stället visar du legitimation och motparten skriver in körkortsnumret i en ruta på sin blankett.

Är det rimligt att ersätta underskrift med legitimering? Vi ska undersöka skillnaden mellan legitimering och underskrift i den digitala världen för att se om den är signifikant.

Rättelse: Tidigare version av detta inlägg var inte helt rättvisande. Texten är omskriven och korrigerad.

Vi har tidigare skrivit om certifikatbaserade underskrifter och hur pålitliga de är. Bland annat BankID levererar en tjänst där digitala underskrifter är kryptografiskt förseglade. Det motsvarar gamla tiders sigill. Tänk dig ett kungligt dekret från 1500-talet utan kungens stora sigill i smält vax!
Otänkbart! Utan sigill — inget dekret. Kryptografiskt förseglade digitala underskrifter är den moderna motsvarigheten. En stark mekanism som detekterar varje förändring i originalet och knyter ett dokument till en person.

Resultatet av legitimering med BankID liknar resultatet av en digital underskrift. Från legitimeringen får man ett datapaket, en text med drygt 8.000 tecken. Det har följande egenskaper:

  • Autenticitet: Den som legitimerar sig är tillförlitligt identifierad med personnummer
  • Integritet: Det går inte att ändra resultatet av legitimeringen utan att det märks
  • Icke-förnekbarhet: Den som legitimerar sig kan inte trovärdigt förneka att legitimering ägt rum
  • Tillgänglighet, existensbevis: Enda exemplaret av datapaketet finns hos förlitande part. Den som legitimerar sig har inget existensbevis för att legitimeringen ägt rum.

Resultaten av legitimering och underskrift är båda kryptografiskt förseglade. Skillnaden är att för legitimering är inget dokument inblandat. Följande uppgifter är omsorgsfullt förseglade i resultatet av en legitimering:

  • Funktion: Identification (Signing för underskrift), fast text
  • Namn: Det namn som visas för användaren efter “Jag legitimerar mig hos:”
  • Tidpunkt: Tidpunkten då operationen utfördes

Det finns ingen koppling till något ärende eller över huvud taget någon anledning till att legitimeringen utfördes. Det återspeglar faktum att den som legitimerar sig inte heller såg någon information om ärende eller anledning.

Vi kommer till den överraskande slutsatsen att legitimering motsvarar ett sigill utan något dokument! Det är inget fel på sigillet men det är inte fäst vid något uttalande eller någon viljeyttring.

Därför går det inte att ersätta underskrift med legitimering.

Kommentarer är avstängda på grund av spamfaktorn, men du kan mejla till blog KANELBULLE soderstrom PUNKT se

Topics: Digital Signatures | Comments RSS

Comments are closed.