Friday, September 11th, 2015

Bra digitala signaturer, men hur? (In Swedish)

Eftersom jag ägnat en del möda åt att påpeka brister i system för digitala signaturer är det rimligt att jag föreslår något bättre. Här följer konkreta förslag med motiveringar.

  1. Använd formatet PDF-A för dokument som undertecknas digitalt
  2. Låt båda parter få identiska dokument och tillgång till alla signaturer
  3. Använd certifikatbaserade mekanismer för själva signeringen

Låt oss säga dokumentet om det som undertecknas digitalt. Det som undertecknas är ett specifikt visuellt intryck. Man undertecknar inte “andemeningen” eller “det semantiska innehållet” eller “lämnade uppgifter” utan precis det man ser, vare sig det visas på en skärm eller på papper. Om dokumentet är så pass värdefullt att det ska signeras tyder det på att det kan behöva kunna läsas långt in i framtiden.

PDF är det i särklass mest spridda formatet för att visa dokument på olika plattformar. P (som i Portable) syftar på att det visuella intrycket är detsamma på Mac, PC, telefon, platta, vad du vill. Varianten PDF-A (A som i arkiv) är speciellt utformad för att kunna lagras under lång tid. Ett dokument enligt PDF-A är självförsörjande i den meningen att det bär alla sina egna resurser. Exempelvis är alla typsnitt definierade i dokumentet. PDF och PDF-A är ISO-standarder.

Om man signerar ett PDF-A-dokument finns inga tvivel om vad man skriver under. Det är självklart att föremålet för underskriften är det som kan läsas på skärmen (eller en utskrift på papper).

För it-systemen hos exempelvis en myndighet kan det verka opraktiskt med PDF. Man kanske har ett eget formulärsystem. Mitt förslag är att man inkluderar både formulär (kanske som XML) och signaturer i PDF-dokumentet. Därmed blir dokumentet bärare av alla grunddata som hör till ett ärende. Detaljer finns i artikeln Self-Contained Digitally Signed Documents, som finns bland de nedladdningsbara dokumenten.

Alla inblandade parter, myndigheten liksom medborgaren, får exakt samma dokument, ett digitalt signerat PDF-A-dokument. Det är, enligt min mening, ett hederligt sätt att hantera växelverkan mellan en myndighet och en medborgare, detta att alla inblandade har exakt samma information som utgångspunkt. Bland annat har både myndighet och medborgare fri tillgång till de digitala signaturerna.

Vikten av att använda certifikatbaserade mekanismer borde vara överflödig att påpeka eftersom svensk lag kräver detta för giltiga digitala signaturer.

Jag påpekar det ändå därför att det finns företag som erbjuder andra typer av signering, ofta baserat på e-post. Det jag finner olämpligt är dels att alla dokument som skrivs under ska passera samma centrala punkt, företaget som tillhandahåller signeringen. Dokumenten kan ju innehålla känslig information. Dels baseras säkerheten på proprietära, oredovisade mekanismer.

För någon kanske det verkar märkligt att säkerhetsmekanismer bör vara öppna. Men modernt säkerhetstänkande baseras helt på styrkan i krypteringsalgoritmer. Även krypteringsalgoritmerna är helt öppna. Många använder inte mekanismer eller algoritmer förrän de avhandlats på konferenser och i akademiska artiklar ett antal år. I bakgrunden finns bland annat en välmotiverad rädsla att starka intressen försöker placera bakdörrar i säkerhetsmekanismer och algoritmer. Därför är det sunt att de hängs ut och vädras innan man använder dem.

Att försöka dölja hur mekanismen fungerar kallas security by obscurity och har aldrig fungerat.

Sammanfattningsvis: Det går att genomföra transparenta system för digitala underskrifter. Det finns beprövade, standardiserade och okomplicerade metoder färdiga att användas, bara man vill.

Comments are closed.