Elektroniska signaturer väntas få en stor betydelse inom näringslivet. En ny svensk lag som började gälla vid årsskiftet säger att sådana signaturer är bindande. Daniel Brättemark, Björn Helander och Lars Dykert diskuterar lagkrav, tekniska lösningar och vissa problem kring säkerhet och administration.
Namnteckningar används i stor utsträckning i vårt samhälle idag. De kan exempelvis utnyttjas för att godkänna köp och underteckna avtal. Länge har det saknats en motsvarighet till namnteckningar för elektronisk information. Vid årsskiftet började en lag gälla som säger att kvalificerade elektroniska signaturer är bindande (Lag 2000: 832) Det innebär att det nu finns en accepterad motsvarighet till namnteckningen för elektroniska dokument. Syftet med den här artikeln är att presentera vilka möjligheter det finns att utväxla elektronisk information på ett säkert sätt.
Elektronisk signatur som motsvarighet till namnteckning
Det förväntas i många sammanhang att vi skriver vår namnteckning på checken, deklarationen, avtalet, vid husköpet, på kreditkortsnotan och så vidare. Namnteckningen används för att åstadkomma juridisk giltighet för transaktionen och den elektroniska namnteckningen har i dessa sammanhang i princip samma betydelse. Namnteckningen eller den elektroniska signaturen är en viljeförklaring, det vill säga ett uttryck för att vilja handla på ett visst sätt. Namntecknaren accepterar innehållet i texten ovanför. Namnteckningen används också som grund för att identifiera en person.
Ett vittne kan medverka för att vidimera underskriften, det vill säga en tredje part intygar att namnteckningen verkligen kommer från den som skrivit under. Namnteckningen används också för att binda en text till en namnteckning. Namnteckningen och texten på pappret ger ett visst skydd mot att textinnehållet inte förvanskas. Det innebär att namnteckningen garanterar äktheten i texten.
För att förklara vad användandet av elektroniska signaturer egentligen innebär skall vi ge ett exempel på hur det kan gå till när elektroniska signaturer används i ett informationsutbyte mellan två företag.
Ove Olsson är inköpare på ett bygge. För att kunna genomföra nästa veckas arbete behöver han beställa en del material från Grossisterna AB. Ove går in på deras Internetsida och väljer ut det material han behöver. Innan han skickar iväg sin beställning signerar han den med hjälp av sitt certifikat som finns lagrat på hans arbetsstation. Ordern registreras nu hos Grossisterna och en kontroll mot certifikatsutgivaren görs för att verifiera att signaturen är giltig. Samtidigt kontrolleras även att meddelandet inte förvanskats på vägen mellan Ove och Grossisterna. Nu är Oves order godkänd och han kan räkna med att få varorna vid avtalad tidpunkt.
Elektroniska signaturer, några definitioner i den nya lagen
Med hjälp av en elektronisk signatur går det att avgöra om information som skickas elektroniskt är oförändrad eller om något har hänt med den på vägen mellan avsändaren och mottagaren. Det går också att verifiera att avsändaren är den han utger sig för att vara. I den nya lagen om kvalificerade elektroniska signaturer används begreppen avancerad elektronisk signatur och kvalificerad elektronisk signatur.
För att en avancerad elektronisk signatur skall uppfylla lagkraven så skall den vara knuten uteslutande till en undertecknare, göra det möjligt att identifiera undertecknaren, vara skapad med hjälpmedel som endast undertecknaren kontrollerar, och vara knuten till andra elektroniska data på ett sådant sätt att förvanskningar av dessa data kan upptäckas. Vidare skall den avancerade elektroniska signaturen vara baserad på ett kvalificerat certifikat och vara skapad av en säker anordning för signaturens framställning för att signaturen enligt lagen skall vara kvalificerad. Lagen beskriver vidare innebörden av begreppet certifikatutfärdare. Denna part (betrodd tredje part) utfärdar certifikat eller garanterar att någon annans certifikat uppfyller vissa krav. Certifikatutfärdaren ingår avtal med användare och är skyldig upplysa dessa om begränsningar och villkor för användning, om frivillig ackreditering föreligger samt vidare upplysa om förfarande för klagomål och lösande av tvister.
Lagen lägger alltså ett mycket stort ansvar på certifikatutfärdaren. Denna part kan riskera skadestånd om certifikatet inte uppfyller lagens bestämmelser eller om certifikatet vid utfärdandet innehöll felaktiga uppgifter.
På grund av lagens mycket omfattande krav på kvalificerad elektronisk signatur samt de likaledes långtgående krav på certifikatutfärdarens ansvar som lagen ställer upp kan finnas en risk för att lagen till att börja med får en begränsad tillämpning i praktiken. Det får dock ses som ett steg i rätt riktning att definitioner och kriterier för elektroniska signaturer ställs upp för att främja standardisering och operabilitet mellan olika utställda certifikat.
Med hjälp av kvalificerade elektroniska signaturer kan företagen utbyta elektronisk information till exempel över Internet och kan också verifiera att innehållet inte förändrats på vägen. En kvalificerad elektronisk signatur måste, som påpekats ovan, enligt i lagen angivna kriterier bygga på ett kvalificerat certifikat. En certifikatutgivare som lever upp till dessa krav kan fungera som en betrodd tredje part i ett informationsutbyte mellan till exempel två företag. I och med att båda företagen kan lita på certifikatsutgivaren litar de också på att certifikatet är giltigt.
Certifikatet – en legitimation i den digitala världen
Om en elektronisk signatur är en motsvarighet till namnteckning så är ett certifikat på samma sätt en motsvarighet till legitimation. När något skall undertecknas så krävs ofta att undertecknarens identitet stärks med en legitimation. När en elektronisk signatur används så kan dess trovärdighet fastställas av ett certifikat. Skaparen av certifikatet kan jämföras med utgivaren av legitimationen. Vi litar till exempel på ett körkort som är utgivet av Vägverket, men blir mer tveksamma om någon visar en legitimation som vi inte känner igen, utgiven av ett okänt företag. I det här fallet blir Vägverket en betrodd tredje part.
Motsvarande förhållande gäller när vi skall bedöma om ett certifikat är trovärdigt. Ett certifikat utgivet av ett känt företag som lever upp till kraven på certifikatframställning är mer trovärdigt än ett certifikat utgivet av en okänd person eller organisation.
Den nya lagen om elektroniska signaturer i praktisk tillämpning
Den nya lagen om kvalificerade elektroniska signaturer innebär bland annat att den som signerar ett meddelande med en elektronisk signatur, som uppfyller lagkraven, inte senare kan förneka denna handling eftersom signaturen är bunden till den som signerat. Med hjälp av ett stulet certifikat och rätt lösenord kan dock en annan person utge sig för att vara innehavaren av certifikatet. Detta innebär att det är ett stort ansvar att hantera certifikat och tillhörande lösenord. En lösning är att lagra certifikatet på datorns hårddisk och skydda det med ett lösenord.
Nackdelen med denna metod är att certifikatet blir lätt att kopiera och sedan återstår bara att knäcka lösenordet vilket i många fall är lättare än vad man tror. Det finns säkrare sätt att lagra certifikaten. Ett alternativ är att använda säkra kort som lagringsplats. Att kopiera ett certifikat från ett smart kort är mycket mer avancerat än att kopiera från hårddisken på en dator. För att få ännu högre säkerhet går det att skydda certifikatet med engångslösenord istället för vanliga statiska lösenord.
Smarta kort och engångslösenord kan tillsammans ge en hög säkerhet, men det saknas fortfarande en stark koppling till den person som innehar certifikatet. Någon kan fortfarande stjäla kortet, knäcka lösenordet och därmed ha möjlighet att använda sig av certifikatet. Med hjälp av biometrisk identifiering går det att knyta certifikatet direkt till den person det är skapat för. Det blir omöjligt att använda det om personen inte är närvarande.
Några exempel på biometrisk identifiering är en sensor som känner av fingeravtryck och en scanner som läser av näthinnan. Det är viktigt att tänka på att även om sofistikerad teknik används så går det aldrig att uppnå en helt säker lösning. Det går dock att utsätta potentiella förövare för så svåra utmaningar att de anser att det inte är värt mödan.
För att skapa och verifiera elektroniska signaturer används så kallade nyckelpar. Varje användare har en privat och en publik nyckel. Den privata nyckeln används för att signera ett meddelande.
När mottagaren får meddelandet används sändarens publika nyckel för att kontrollera att signaturen är giltig. Om meddelandet förvanskats på vägen så skulle signaturen inte stämma. Den privata nyckeln är hemlig och får inte lämnas ut till någon annan. Den publika nyckeln skall spridas till dem som man vill skicka signerande meddelanden till.
Administration av stora mängder av certifikat
En förutsättning för det skall gå att lita på elektroniska signaturer är att hanteringen av nycklar och certifikat sker på ett organiserat sätt. Det skall inte råda någon tveksamheter om vem som har tillgång till privata och publika nycklar. Det är också viktigt att certifikat kan återkallas eller att det går att återskapa nycklar efter att de gått förlorade.
Riktlinjer för hur administrationen kring certifikat och nycklar skall skötas ges i det öppna nyckelsystemet som på engelska kallas Public Key Infrastructure, PKI (se bild ovan). För att det öppna nyckelsystemet skall fungera måste de olika inblandade parterna ha förtroende för att systemet är tillförlitligt. En certifikatsutgivare är en funktion som administrerar certifikat. Den här administrationen utförs av en betrodd tredje part som de inblandade parterna kan lita på.
Elektroniska signaturer och framtida användning
Elektroniska signaturer väntas få en stor betydelse inom många områden som berör näringslivet. De kan användas för att identifiera när personer loggar in i system eller vid inpassering till lokaler. I olika säljsituationer kan kunder identifieras och köp verifieras. Inom administrationen kan exempelvis attester och betalningsorder verifieras med elektroniska signaturer.
Ytterligare ett exempel på användningsområde är utbyte av information mellan revisionsfirmor och deras kunder.
Även myndigheterna förbereder sig för att utnyttja elektroniska signaturer i allt större utsträckning. Elektroniska signaturer skulle kunna användas för att ersätta pappersburna dokument till myndigheterna. Till exempel skulle företagare och privatpersoner kunna signera sina deklarationer och skicka in dem elektroniskt. Vid ansökningar eller kommunikation gentemot myndigheter där man idag kräver underskrifter på papper skulle detta i viss utsträckning kunna göras elektroniskt över Internet.
Att sprida användningen av elektroniska signaturer kan, som vi berört ovan, inledningsvis innebära vissa svårigheter. Brist på standarder och misstro till tekniken kan medverka till att försena utveckling och användningen. Det är dock ett koncept som har förutsättningar att underlätta säker överföring av elektronisk information för såväl företag och myndigheter som privatpersoner om det accepteras på bred front.
Den nya svenska lagen om kvalificerade elektroniska signaturer bygger i sin tur på ett EG-direktiv (1999/93). Syftet med detta direktiv är att harmonisera lagstiftningen inom detta område inom EG. Denna strävan är viktig, då en betydande del av den elektroniska överföringen av ekonomisk information sker över de nationella gränserna. Utbytet av information via Internet är ju till sin karaktär internationellt, för att inte säga globalt.
Daniel Brättemark är konsult vid KPMGs avdelning Information Risk Management. De områden han koncentrerar sig mest på är säkerhet i större IT-system och säkerhet på Internet.
Björn Helander är IT-revisor och säkerhetskonsult vid KPMGs specialistavdelning Information Risk Management. Han är certifierad inom informationssäkerhetsområdet och arbetar främst med frågor om säkerhet på Internet.
Lars Dykert är auktoriserad revisor vid KPMG med inriktning mot IT- och telekombranscherna. Han är också rådgivare vad gäller redovisnings- och säkerhetsfrågor i samband med elektronisk handel.