Digitala underskrifter: Snabbkurs del 3/3 (in Swedish)

En snabbkurs för projektledare, beslutsfattare, jurister och andra som vill kunna principerna och hoppa över detaljerna.

Du bara ska ha koll på det där med digitala underskrifter! Det var utgångspunkten för den här snabbkursen. Digitala underskrifter vilar på tre pelare. Vi har avhandlat två: (1) internationella standarder för kryptering, (2) en infrastruktur som BankID som ser till att krypteringsnycklar hamnar hos rätt personer.

Den kryptering som används för underskrifter använder par av nycklar. Nycklarna i paret hör ihop: en publik nyckel som kan spridas fritt och en privat som hålls hemlig. Om en digital underskrift kan låsas upp med en publik nyckel vet vi med säkerhet att den låstes med den privata nyckeln i samma par. Det går att veta utan att ha tillgång till den privata nyckeln!

Förra avsnittet slutade med att vi fann att en digital underskrift i själva verket är en kedja av flera krypterade lås. Inge Fejk skrev under ett dokument och låste det därmed med sin privata nyckel. Vem som helst kan skapa ett nyckelpar. Därför måste Handelsbanken (utfärdaren av detta BankID) intyga att det var rätt Inge Fejk som låste. Inte bara det, Finansiell ID-Teknik (som driver BankID) måste intyga att det var den riktiga Handelsbanken som intygade att det var rätt Inge Fejk.

Det handlar om förtroende. Kryptering är neutral, den innehåller ingen värdering i sig. Därför finns denna kedja av förtroende där Finansiell ID-Teknik är trust anchor, slutpunkten, den som kedjan hänger på.

Frågan uppstår: vem garanterar äktheten hos Finansiell ID-Teknik? Deras lås säger i princip Finansiell ID-Teknik intygar att detta är rätt Finansiell ID-Teknik. Snyggt! Hänger hela förtroendekedjan alltså i luften?

Här behövs den tredje pelaren för digitala underskrifter: lagstiftning. Lagen säger att man kan ansöka om att bli det som i programmeringskretsar kallas CA, Certificate Authority. Det lagen gör är att den lägger skadeståndsansvar på en CA ifall den skulle missköta sig. Lagen ska motivera en CA att agera ansvarsfullt. Finansiell ID-Teknik är en sådan CA.

Lagen säger en sak till: en underskrift gjord med certifikat på det sätt vi har beskrivit har verkan. Den är lika giltig som en traditionell underskrift med bläck på papper.

Nu har vi gått igenom de tre pelare som digitala underskrifter vilar på. Här är några viktiga aspekter som man kanske inte tänker på direkt.

• Är digital underskrift en ritual? Nej, en underskrift är ett bestående dataobjekt, en fil på en dator. Storleken är ungefär som ett Word-dokument på ett par sidor. Den kan kopieras och spridas fritt utan att förlora sin giltighet.
• Inga affärshemligheter används för att framställa en digital underskrift. Kryptering och certifikat följer internationell standard.
• En följd av standardiseringen: Tredje part kan avgöra äktheten hos en certifikatbaserad digital underskrift. En viktig finess! Det förutsätter bara en sak som inte nämns i lagen, nämligen att vem som helst kan få tillgång till den publika nyckeln för en CA. Utan den går det inte att verifiera förtroendekedjan.

Vi har nu sett hur de tre pelarna för digitala underskrifter samverkar. 1. Internationella standarder används för asymmetrisk kryptering med nyckelpar. 2. En infrastruktur som BankID tillför förtroende som den värdeneutrala tekniken i sig inte kan skapa. 3. Lagstiftning används för att säkra slutpunkten för förtroendekedjor och för att sätta en nivå där digitala underskrifter blir lika giltiga som traditionella fysiska.

Med de här principerna kan du förstå och tränga in i ett verkligt system. Du kommer att märka att vi har förenklat vissa saker. Men du har en grundförståelse som går att bygga vidare på.

[Länkar till övriga delar av den här snabbkursen: del 1/3, del 2/3, del 4/3.]

Kommentarer är avstängda på grund av spamfaktorn, men du kan mejla till blog KANELBULLE soderstrom PUNKT se