Digital signatur utmanövrerar vanliga medborgare? (in Swedish)
Många svenskar är vana vid digitala underskrifter på webben. I de flesta fall (än så länge) görs de med BankID. Utan tvekan underlättas ärenden hos banker och myndigheter och det känns som en hjälp i vardagslivet. Men går det att utmana en underskrift? Kan man undersöka den för att se om den är äkta? Vid närmare betraktande visar det sig att banker och myndigheter har alla kort på hand. Vanliga medborgare har ytterst små möjligheter att ifrågasätta digitala underskrifter.
Låt oss begränsa oss till offentlig sektor. Antag att du bor i en progressiv kommun som använder digitala signaturer på alla typer av ansökningar. Vad gör du om Bygg- och miljökontoret hör av sig och säger att de har en bygglovsansökan som du skrivit under med BankID? Du har absolut ingen aning om detta, men de hävdar att du är skyldig kommunen 55.000:- kronor, för det var ett komplicerat ärende. Betala, annars lämnas ärendet till kronofogden.
Jag kan tala om att du har problem.
- Vare sig kommunen eller någon annan som använder digitala signaturer gör dem tillgängliga för dem som signerar. I den digitala världen är det i dag kutym att rycka till sig dokumentet du just har undertecknat utan att ge dig någon kopia. Även om du faktiskt hade undertecknat en bygglovsansökan skulle du knappast ha tillgång till din egen signatur.
- Om mot förmodan signaturen skulle finnas inom räckhåll har du ändå problem. Företaget bakom BankID, Finansiell ID-Teknik BID AB, kräver nämligen ett kommersiellt avtal för att du ska få validera en signatur mot dem.
Validera betyder att undersöka giltigheten. Nu blir jag teknisk, men häng med. Giltigheten hos en digital signatur hänger på en en kedja av certifikat. Kedjan börjar i ditt BankID. Dess certifikat garanteras av ett certifikat hos banken som utfärdat det. Det certifikatet garanteras i sin tur av ett certifikat hos Finansiell ID-Teknik. Där slutar kedjan. Man talar om ett förtroendeankare (trust anchor). Litar man inte på ankaret saknar hela kedjan trovärdighet.
Förtroendeankaret kan man lita på om man får säker tillgång till dess så kallade publika nyckel, annars inte.
Allt detta bygger på välkänd internationell standard. Det är lätt för en programmeringskunnig person att skapa en certifikatkedja som hänger ihop perfekt och som har alla de rätta namnen, säg ditt namn och personnummer, SE-banken och Finansiell ID-Teknik, men som har en förfalskad publik nyckel för förtroendeankaret. På så sätt kan man ta fram vilka falska underskrifter som helst så länge den publika nyckeln för förtroendeankaret saknas.
Den vanliga lösningen idag är att man gör förtroendeankarets publika nyckel så spridd som möjligt genom att dela ut den på flera olika sätt. Varje webbläsare har ett par hundra sådana publika nycklar för olika förtroendeankare över hela världen. De har alltså en fullständigt enorm spridning. Många förtroendeankare delar dessutom ut sin publika nyckel på sina webbplatser.
Detta är själva idén med det som kallas PKI, public key infrastructure. Om en nyckel är maximalt spridd är det svårt för en inkräktare att leverera en falsk nyckel utan att det upptäcks.
Finansiell ID-Teknik gör dock inte sin “publika” nyckel känd utan kommersiellt avtal. Ett sådant ligger utanför vad som är praktiskt möjligt för de flesta medborgare. Medborgaren har därför små möjligheter att validera vare sig sina egna eller andras signaturer.
Man kan fråga sig vad man har underskrifter till över huvud taget. Är inte grundtanken att ha ett system som går att utmana? Ett system där det går att kalla in en oberoende part, kanske en domstol, för att avgöra om ett avtal är giltigt? Sigill, lerkrukor, underskrift med bläck och penna, alla dessa sätt (och många andra) har använts under historiens gång för att det ska gå att öppet undersöka om ett avtal är äkta och bindande.
Därför är jag mycket frågande inför att digitala underskrifter undandrar sig granskning. Privat sektor må väl göra som den vill inom vissa gränser, men varför upphandlar offentlig sektor ett system som inte är transparent?
Innan du betalar de 55.000:- till kommunen för att slippa betalningsanmärkning så har jag ett tips. Utmana signaturen i alla fall! Som jag skrivit i ett annat tillägg är nämligen chansen stor att den digitalt signerade text som kommunen har är rent nonsens och inte håller i domstol.