Digitala underskrifter: Snabbkurs del 4/3 (in Swedish)

En snabbkurs för projektledare, beslutsfattare, jurister och andra som vill kunna principerna och hoppa över detaljerna.

Del fyra av tre? Javisst, varje kurs med självaktning har förstås en frågestund!

Q: Kursen nämner certifikat, är det samma cert som tjänster på webben använder?

A: Ja, samma typ av certifikat används i webben över hela jorden för att intyga att den som surfar har kommit till rätt webbplats. Förkortningen ”X.509” kan vara bra att minnas, så heter den vanligaste standarden.

Q: Certifikat har väl begränsad giltighetstid?

A: Det stämmer. Dessutom kan certifikat återkallas. Bra att du tog upp ämnet. När Inge Fejk gör en digital underskrift används certifikatet i hans BankID. I själva undertecknandet ingår att BankID kontrollerar att certifikatet inte har passerat sin giltighetstid och inte är återkallat. Ett kvitto på detta ingår i underskriften. Förkortningen för den här kontrollen är ”OCSP”.

En viktig bieffekt av kontrollen är att den ger en tidpunkt. Tidpunkten för en underskrift kan vara avgörande. En dator eller en server kan ganska lätt manipuleras att tro att det är förra veckan. Därför kan inte parternas datorer vara inblandade. I underskrifter med BankID ger OCSP-anropet en tidsstämpel från oberoende källa som vävs in i det som krypteras i underskriften.

Q: Men då blir väl underskriften ogiltig efter en tid?

A: Det påverkar onekligen hur man hanterar överenskommelser som ska gälla under lång tid. Säg att det är ett hyreskontrakt som ska hålla i minst tio år. Så länge gäller inga certifikat. Räcker det att certifikatet var giltigt när underskriften gjordes? Behöver underskriften förnyas? Detta är något man behöver fundera på.

Q: Lagen talar om ”elektroniska” signaturer. Varför används ”digitala” i den här kursen?

A: Lagtexten säger ”elektronisk” 357 gånger och det är fel precis varje gång. Lagstiftaren har tyvärr förväxlat en av alla tänkbara bärare med budskapet. En underskrift kan skrivas ut som QR-kod på papper och fortfarande vara en giltig digital (men uppenbart inte elektronisk) underskrift. Det är budskapet som räknas och det är digitalt.

Q: Hur säker är krypteringen egentligen?

A: Det är ett rörligt mål. Man tänker i termer av ”hur lång tid tar det med känd teknik att prova alla tänkbara nycklar?” Säg att man gissar 100 år. Man får bedöma vad den aktuella tillämpningen kräver, hur länge den aktuella informationen behöver skyddas. Vartefter datorerna blir mer kraftfulla blir de rekommenderade nyckellängderna längre och krypteringen starkare. Standarden för certifikat är tillräckligt flexibel för att hantera sådant. Den här processen pågår ständigt.

Q: BankID kostar inget för privatpersoner. Men om man är ”förlitande part”, alltså den som tar emot underskrifter?

A: Det är förlitande part som står för kalaset, det kostar. Märkligt nog skiljer sig avgifterna rejält mellan olika banker och andra leverantörer.

Q: Kursen säger att en digital underskrift är ett dataobjekt som kan kopieras. Varför får man aldrig kopia på sin egen underskrift?

A: Det har jag undrat i snart tio år. Jag gissar att det är felaktiga premisser som har cementerats med tiden. Kanske missuppfattningar i den här stilen:

• Det är omöjligt att hantera digitala underskrifter på ett sätt som liknar traditionella.
• Digitala underskrifter, förstår du lille vän, kan du inte ens hoppas förstå dig på. Bry dig inte, lita på oss experter!

Den är framför allt de tidiga användarna, bank och offentlig sektor, som grundlade en dålig tradition. Om ändå den här kursen hade funnits då!

Q: Kan man inte använda tekniken med blockkedjor för digitala underskrifter?

A: Det finns några hinder. En praktisk fråga är att blockkedjor vanligtvis kräver avsevärd datakraft (och tillhörande elförbrukning) för varje transaktion.

Mer avgörande är ändå frågan om identitet och jurisdiktion. Blockkedjor skapar en virtuell värld där man har en digital identitet. Identiteten är giltig och fungerar inom sin givna värld. Det som har saknats hittills är en infrastruktur som BankID som knyter ihop den virtuella världen med samhället vi lever i. Ett certifikat från BankID är en digital identitet som är knuten till ett svenskt personnummer. Därmed kan åtaganden som skrivs under med BankID vara giltiga under svensk lag precis som åtaganden som är undertecknade på traditionellt sätt.

[Länkar till övriga delar av den här snabbkursen: del 1/3, del 2/3, del 3/3.]

Kommentarer är avstängda på grund av spamfaktorn, men du kan mejla till blog KANELBULLE soderstrom PUNKT se