Monday, April 13th, 2020

Ersätter legitimering underskrift? (In Swedish)

I ett tidigare inlägg har vi redan visat hur otillräcklig en extra legitimering är som ersättning för digital underskrift. Det finns ytterligare skäl.

Att legitimera sig med exempelvis BankID kan också kallas identifiering. Förlitande part (den som begär legitimation) tillhandahåller digitala tjänster av något slag. Innan man ger en användare tillträde till tjänsterna över webben måste man identifiera vem användaren är.

En certifikatbaserad digital legitimation är tillförlitlig och exakt. Mycket möda är lagd på att identifieringen ska hålla hög säkerhet. Användaren identifieras med personnummer. Dessutom registreras åtskilliga detaljer om hur identifieringen gick till. Användarens typ av hårdvara inklusive eventuella versionsbeteckningar, hur användaren identifierade sig (PIN-kod eller fingeravtryck) är några av dessa detaljer.

Däremot identifieras förlitande part bara informellt med sitt display name, inte organisationsnummer, inte nödvändigtvis med något formellt organisationsnamn. Ett display name är ett kortnamn som ofta får stå som en sammanfattning av en mer komplicerad verklighet. Exempelvis står “SEB” för en känd bankverksamhet som består av ett antal skilda delar och kanske olika bolag. Det är osäkert om kortnamnet kan förutsättas vara unikt.

En digital legitimation var aldrig tänkt som något annat än en säker identifiering av användare. Att den skulle identifiera förlitande part var inte planerat. Den antydan till identifiering av förlitande part som finns når inte på långa vägar upp till samma precision och säkerhet som identifieringen av användare.

Slutsatsen är att en digital legitimation inte säger mycket om sammanhanget den gjordes i. Den identifierar en person, men knappast motparten. En underskrift kräver en motpart. Därför kan inte legitimation ersätta digital underskrift.

Kommentarer är avstängda på grund av spamfaktorn, men du kan mejla till blog KANELBULLE soderstrom PUNKT se

Comments are closed.