Digitala underskrifter: Snabbkurs del 2/3 (in Swedish)

En snabbkurs för projektledare, beslutsfattare, jurister och andra som vill kunna principerna och hoppa över detaljerna.

Du bara ska ha koll på det där med digitala underskrifter! Det var utgångspunkten för den här snabbkursen. Digitala underskrifter vilar på tre pelare. Kursens första avsnitt behandlade den första pelaren: internationella standarder för kryptering.

I en digital underskrift används en av de viktigaste uppfinningarna inom it: asymmetrisk kryptering med två nycklar som hör ihop i par. Den ena nyckeln i ett par är publik och kan spridas hur mycket som helst, den andra är privat och ska hållas hemlig.

En digital underskrift är som ett lås med två nycklar med en märklig egenskap. Om man kan låsa upp underskriften med en publik nyckel kan man med säkerhet veta vilken nyckel som låste, nämligen den privata nyckeln i samma nyckelpar. Perfekt för underskrifter!

Nu tittar vi på pelare nummer två, en infrastruktur lik BankID som är tillgänglig för alla. Vi följer Inge Fejk när han skriver under ett dokument med BankID.

Från banken har Inge Fejk fått ett bankkort med BankID-loggan. På kortet finns bland annat hans personliga nyckelpar, en privat och en publik nyckel. Inte ens banken har tillgång till den privata nyckeln.

Sidoblick: Mobilt BankID används oftare än BankID på kort. Hur din privata nyckel skyddas i mobilen är inget vi utomstående får veta. Vi håller tummarna!

Det underskrivna dokumentet kan se ut så här: “Jag, Inge Fejk med personnummer 196409260160, skriver under [dokumentets text].” Det är kryptografiskt förseglat med Inge Fejks privata nyckel.

Det ser fint ut, men har ett fundamentalt problem. Björnligan eller vem som helst kan lätt framställa ett nyckelpar för Inge Fejk. Hur vet vi att ett nyckelpar är äkta? Vi behöver en auktoritet som garanterar äktheten.

Inge Fejk fick sitt BankID från Handelsbanken. Handelsbanken har strikta rutiner för att kolla upp den som vill ha BankID. Därför kan vi lita på deras nyckelpar. Närmare bestämt, Handelsbanken utfärdar ett certifikat som innehåller Inge Fejks nyckelpar ihoplänkat med Handelsbankens eget certifikat.

Den digitala underskriften är sammansatt på liknande sätt. Länkat med Inge Fejks lås finns ett lås som säger ”Handelsbanken intygar äktheten hos föregående lås”.

Det är bättre, men faktum är att vem som helst kan framställa ett nyckelpar för Handelsbanken. Även Handelsbanken behöver en auktoritet att hänga upp sitt certifikat på. Därför finns ett tredje lås och det är från BankID, närmare bestämt Finansiell ID-Teknik AB, företaget som ansvarar för BankID.

Det tredje låset säger ”Finansiell ID-Teknik intygar äktheten i föregående lås” och syftar då på Handelsbankens lås. Finansiell ID-Teknik har rollen ”trust anchor”, det som förtroendekedjan är förankrat vid. Det fattas ändå en bit, men det är ämnet för nästa avsnitt.

Sammanfattningsvis måste en underskrift hängas upp på en auktoritet utanför tekniken med kryptering. Därför behövs en infrastruktur som BankID. Den består både av teknik och administrativa rutiner för att se till att krypteringsnycklar hamnar hos rätt personer. Det är grundläggande eftersom krypteringsnycklar är identitetshandlingar.

[Länkar till övriga delar av den här snabbkursen: del 1/3, del 3/3, del 4/3.]

Kommentarer är avstängda på grund av spamfaktorn, men du kan mejla till blog KANELBULLE soderstrom PUNKT se