Avancerade e-signaturer – inte bäst men tillräckligt bra

2021-05-06

Dela i sociala medier

Avancerade e-signaturer –

inte bäst men tillräckligt

bra

Avancerade elektroniska underskrifter har blivit normen i nästan alla sammanhang där e-signaturer används. Trots namnet finns det faktiskt ännu säkrare och mer sofistikerade alternativ, men också enklare sätt att signera elektroniskt.
Här tittar vi närmare på olika standarder för e-signaturer och reder ut de fördelar som förklarar varför avancerade e-signaturer blivit ett självklart förstaval.

Den som börjar gräva ner sig i elektroniska underskrifter råkar snart på förkortningen eIDAS, namnet på den EU-förordning som även gäller som svensk lag. eIDAS definierar standarder för tre typer av e-signaturer som ska svara mot olika behov och säkerhetskrav: enkel, avancerad respektive kvalificerad elektronisk underskrift. De flesta av oss kommer bara i kontakt med, och använder, ”mellannivån” avancerad elektronisk underskrift.

Till exempel som användare av BankID och liknande tjänster. Hur har det blivit så? Det är lagar och förordningar som drivit utvecklingen hit – i svensk lagstiftning finns formkrav som omger signaturer och deras egenskaper. Där det finns sådana krav handlar det om att en viss nivå av e-signatur, avancerad elektronisk underskrift, eller att en traditionell underskrift är det enda alternativet.

Om vi lämnar det juridiska och ser till de rent tekniska meriterna vinner e-signaturer i nästan alla dess former en jämförelse av säkerheten mot en fysisk signatur. En handskriven namnteckning är svårare att kontrollera / lättare att förfalska och förmedlas tillsammans med dokumentet utan någon annan stödjande information än möjligen signaturer från vittnen. Och bortsett från säkerheten skapar e-signaturer långt bättre förutsättningar för rationell dokumenthantering, inklusive distribution, arkivering och sökbarhet.

 

Enkla e-signaturer är ingen standard

En kort förklaring till att avancerade e-signaturer dominerar idag är att skillnaden – åtminstone i förmodad säkerhetsnivå – till kvalificerade e-signaturer är relativt liten. Vi ska snart återkomma till det. Enkla e-signaturer å andra sidan, är mindre populära därför att det inte handlar om en standard i egentlig mening – om vi i stället kallar dem ”ospecificerade e-signaturer” säger det mer om vad de erbjuder. En enkel e-signatur behöver inte innefatta något mer än att du skriver ditt namn i slutet på ett mejl.

Bristen på specifikationer och säkerhetskrav skapar en osäkerhet kring den enkla e-signaturen, dess giltighet och säkerhet, något som i sin tur kan göra det till en dyr lösning. Det vanligaste skälet till att en organisation går över till e-signerade dokument i sin löpande verksamhet är ju att få en effektivare dokumenthantering. Med en enkel e-signatur riskerar man att få ägna mycket tid åt att svara på frågor, förklara och försvara den tekniska lösning som valts för motparter. Det tar tid som kostar pengar, och styr även bort fokus från det väsentliga – innehållet i dokumentet som ska signeras.

Med avancerade e-signaturer är förutsättningarna är på förhand tydligare. De förutsätter att kryptering används för att höja säkerheten. Det är också en lösning som kommer med vissa garantier och gemensamma referensramar i form av standarder enligt eIDAS. För en avancerad e-signatur gäller följande grundkrav:

  • Signaturen ska vara unikt kopplad till undertecknaren och göra det möjligt att identifiera denne. Kravet handlar alltså i grunden om säker identifiering.
  • Den ska vara kopplad till dokumentet på ett sätt som gör det möjligt att upptäcka om det i efterhand gjorts ändringar i innehållet eller i signaturen. Detta krav handlar om äkthet och skydd mot manipulation och förfalskning.

Den mest använda tekniken som erbjuder dessa funktioner kallas oftast PKI (public-key infrastructure), vilket bygger på digitala certifikat och kryptering med öppna nycklar.

När eIDAS skrevs var avsikten med kvalificerade elektroniska underskrifter att dessa skulle erkännas och ha samma rättsliga status som handskrivna signaturer inom hela EU. Det målet känns idag rätt avlägset. Ett par exempel från Sverige är att fastighetsöverlåtelser och testamenten fortfarande måste signeras för hand.

Att kvalificerade e-signaturer ännu inte nått bred användning (undantag finns i några EU-länder) hänger samman med att även avancerade e-signaturer i de allra flesta sammanhang räcker just för att ersätta fysiska signaturer. Det är helt enkelt en acceptabel lösning för de inblandade parterna, och den är betydligt billigare.

En skillnad mot avancerade e-signaturer ligger i hanteringen av certifikaten. För en kvalificerad elektronisk signatur krävs ett kvalificerat certifikat för att verifiera att signaturens äkthet och undertecknarens identitet. Signaturen måste skapas genom en kvalificerad signaturskapande enhet (QSCD). En sådan enhet bygger på en kombination av speciell hårdvarumodul som utför krypteringen och mjukvara.

Vidare behöver den som skapar och ger ut certifikat ha status som kvalificerad tillhandahållare av betrodda tjänster (Qualified Trust Service Provider) vilket kräver auktorisation från en myndighet – i Sverige Post- och Telestyrelsen, PTS. I dagsläget finns två sådana baserade i Sverige. Det bör dock tilläggas att svenska företag och myndigheter – tack vare EU:s harmonisering – i princip kan välja fritt bland alla kvalificerade tillhandahållare av betrodda tjänster, vilket underlättas av att EU har en webbplats med en komplett förteckning av alla sådana tjänster.

Vill du veta hur Assently kan hjälpa din verksamhet?

 

Boka demo

Blogg

2021-05-20 Blogg
Konsten att digitalisera blanketter

Vi bjuder på några råd och frågor som hjälper er att hitta de mest lämpliga blanketterna och prioritera rätt i arbetet med digitalisering.

2021-05-11 Blogg
Framtidens digitala ID: Frågan om vem blir viktigare än hur

Digital identitet blir i allt högre grad en samhällsfråga, i centrum för den fortsatta digitaliseringen. Vi vill ha snabba och bekväma sätt att genomföra digitala transaktioner och komma åt tjänster på nätet, men vill samtidigt inte att företag eller staten kan se allt vi gör. Därför kan vi se fram emot nya diskussioner om vem som ska äga och kontrollera digitala identiteter.

2021-04-14 Blogg
Nya möjligheter när redovisning använder digital signering

Hur påverkar egentligen den ständigt pågående digitaliseringen av redovisningsbyråer? Hur förändras det dagliga arbetet och hur går man bäst tillväga för att hålla jämna steg med ny och existerande konkurrens? I den här artikeln belyser vi möjligheterna en moderniserad verksamhet för med sig, för idag är det viktigare än någonsin att hänga med i utvecklingen.

2021-03-31 Blogg
Anpassad utveckling för mindre banker med Assentlys identifieringstjänst

Sparbanken Rekarne har gått i spetsen för att utveckla digitala lösningar för bankens verksamhet och dess kunder. Bankens enkla och effektiva systemstöd har nu spritts till andra sparbanker runt om i Sverige.