Digital signatur

Digital signatur är synonymt med elektronisk signatur och definierad i lagen om kvalificerade elektroniska signaturer (KES) (lag (2000:832). Den är upphävd genom lag (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering) som data i elektronisk form som används för att kontrollera att innehållet härrör från den som framstår som utställare.

Med kvalificerad elektronisk signatur avses avancerad elektronisk signatur som är baserad på ett kvalificerat certifikat och som är skapad av en säker anordning för signaturframställning.^[1]

Om det i lag eller annan författning ställs krav på egenhändig underskrift eller motsvarande och om det är tillåtet att uppfylla kravet med elektroniska medel, ska en kvalificerad elektronisk signatur anses uppfylla kravet. Vid kommunikation med eller mellan myndigheter kan dock användningen av elektroniska signaturer vara förenad med ytterligare krav.^[1] Ett avtal som signeras digitalt är juridiskt bindande enligt internationell avtalsrätt.^[2]

För att ett certifikat ska få kallas kvalificerat ska det vara utfärdat av certifikatutfärdare som uppfyller bestämmelserna i §§ 6 och 7 i KES.^[1]

En certifikatutfärdare som avser att utfärda kvalificerade certifikat till allmänheten är skyldig att anmäla detta hos Post- och telestyrelsen.^[1]

Digitala signaturdirektivet/eIDAS redigera

Det finns europaparlamentets och rådets direktiv 1999/93/EG av den 13 december 1999 som ersatts av EU:s Digitala signaturförordning EU/910/2014 (eIDAS) om ett gemenskapsramverk för elektroniska signaturer. Numera används som regel begreppen digital signatur, Digitala signaturdirektivet och eIDAS.

EU:s Digitala signaturdirektiv
EU:s Digitala signaturförordning (även kallat eIDAS)

Det råder en tolkningsdiskrepans om vad Digitala signaturdirektivet och eIDAS står för, en införandeanmodan av en allmän digital signatur-infrastruktur med teknisk specifikation och anslutningsvillkor för operatörer, samt tilläggskrav i eIDAS om tillämpning vid enskildas inloggning vid myndigheter IT-tjänster eller om det är ett krav på myndighetsreglering av digitala signaturbranschen med krav på lagstiftning och myndighetstillämpning. Denna artikel om digitala signatur, belyser dem med utgångspunkt av allmän digital signatur-infrastruktur.

Digital signatur-infrastruktur redigera

Det centrala med digitala signaturdirektivet/eIDAS är att de anmodar medlemsländerna att sätta upp en allmän digital signatur-infrastruktur genom att knyta ihop digitala signaturoperatörer i landet som en del i en allmän infrastruktur med en statlig kommunikationsserver som knyter dem samman. Detta så att oberoende av digital signaturoperatör hos signatorn kan läsaren identifiera signatorn med sin digitala signaturfunktion i sin dator (där tekniken PKI fungerar tekniskt i alla användar-operativsystem, inkl moderna mobiltelefoner, ex. Windows sedan 1993).

Ett genomförande av digital signaturinfrastruktur enligt digitala signaturdirektivet/eIDAS tekniska och administrativa specifikationer innebär att:

E-postmeddelanden som är digitalt signerade kan mottagaren läsa ursprunget av, exempelvis
- E-postade elektroniska fakturor (digital signatur är krav i momsdirektivet artikel 229^[3])
- Helt säker e-postkommunikation mellan kundtjänst och kund.
  - Omöjliggör att mottagaren luras av falska s.k. phishing-meddelanden, d.v.s. försök att plantera datavirus, trojaner och nätfiske i läsarens datorer.
  - Genom att leverantörsföretag konsekvent signerar sin e-post kan läsaren därmed kan identifiera leverantören som äkta avsändare, eljest kasta e-postmeddelandet.
- Den enskildes säkra e-postkommunikation med myndigheter, kommuner och domstolar (båda parter kan säkert identifiera avsändaren med digital signatur).
- Krypterad e-postkommunikation blir standardmässigt tillgänglig rutinmässigt för alla (inga andra än de av avsändaren initierade kan läsa innehållet).
- Säker e-postkommunikationer i allmänhet, tillgänglig för alla (alla kan rutinmässigt signera sin e-post, där alla kan läsa signaturen).
Dokument (PDF, ordbehandlingsdokument, bokföringsfiler, revisionsrapporter, intyg mm) kan signeras och ev. krypteras, så att ursprunget säkert kan klargöras, motsvarar fysisk signaturunderskrift med samma juridiska bärighet.
Säljare och köpare kan identifiera varandra vid näthandel så man säkert vet vem man gör affärer med^[4]
Digital kassakvitto-infrastruktur (kassakvittoreferens-internetlänkar i digitala kontokortskontoutdrag och bankkontoutdrag i internetbanken) kan skapas och data blir säkert verifierbar som bokslutsverifikationer.^[5]
Inloggning i webbplatser, som systemintegrerad funktion och särskilt angivet krav för personlig inloggning i myndigheters, kommuners och domstolars personliga webbplats-tjänster (tillkommande krav i eIDAS).
Enhetliga nationella ID-kort^[6] kan utfärdas av staten med tillämpning inom hela samhället, även utanför offentlig förvaltning genom att de då inkluderar ett PKI digitalt certifikat integrerat i en digital signaturinfrastruktur. Vilket gör att säkerhetstekniken blir tillgänglig för alla, även för dem som saknar egen dator och kan logga in ex. med digital signatur på stadsbibliotekets datorer med en kortläsare.
- Det största problemet med utfärdande av digital signatur är att säkerställa att mottagaren är rätt person. Detta underlättas genom att det knyts med offentligt utfärdande av ID-kort av staten.
Små och medelstora företag och föreningar får tillgång till kostnadsöverkomlig kommersiell programvara för digital företagssäkerhet, såsom ex. redovisningskonsulter och dess kunder. Dessa kan på samma sätt som stora företag och myndigheter ha säkra inloggningssystem för sina anställda och kunder, på så sätt ha säker kommunikation mellan sig, kunder och myndigheter.
- Erbjuda kunderna fri från insyn säkra tjänster på internet, såsom egna kundrelaterade molntjänster i relation till de tjänster man säljer och utför.
- Kostnaden och komplexiteten i organisation att hantera egna digitala identiteter (PKI digitalt certifikat) gör PKI säkerhetstekniken otillgänglig för små och medelstora företag och föreningar, vilket försvinner om man kan använda redan utfärdade säkra digitala identiteter med en allmän digital signaturinfrastruktur.
- Kostnadsläget för stora företag och myndigheter kommer påverkas av marknadens ökade volymer, som regel medför radikala prisfall på kommersiell programvara.
- Kvaliteten på kommersiell programvara som regel ökar alltid med marknadens ökade volymer, ökad omsättningsvolymer gör att som regel att leverantörs investeringar i utvecklingsarbete i kommersiell programvara-produkterna får ökad lönsamhet.

Digitala signaturoperatörer verksamma i landet redigera

Är dels större företag, myndigheter, sjukvården och universitetens (Sunet) interna digitala inloggnings- och signatursystem och dels en del företag som säljer standardprogram/tjänster till allmänheten. Dock inte Bankid, där funktionen digital signatur är avstängd och man säljer proprietära lösningar till större företag och myndigheter, små och medelstora företag har inte den ekonomiska möjligheten. Men BankId (som bygger på samma PKI digitalt certifikat-teknik) kan aktivera den PKI digitala signaturfunktionen och därmed blir en digital signaturoperatör för sina användare.

Digitala signaturdirektivet och eIDAS syftar till att knyta digitala signaturoperatörerna samman i en enhetlig infrastruktur genom en sammanbindande statlig server
Digitala signaturoperatörerna kan dock i brist på allmän digital signaturinfrastruktur inte kommunicera med varandra utan fungerar bara internt, som en serie isolerade system. Man kan bara läsa digitala signaturer från dem som har samma operatör som läsaren.
Digitala dokumentsignatursystem förekommer hos en del myndigheter såsom på domstolsverkets webbplats och en del företag som erbjuder dokumentsignering, där övriga funktioner som identifiering och e-postfunktioner inte är möjliga. Existensen av dessa dedikerade dokumentsignatursystem är snarast ett uttryck för vad som saknas den allmänna digitala signatur-infrastrukturens existens, som med sådan skulle alla kunna göra det själv i sin egen dator eller moderna mobiltelefon.

Genomförande redigera

Innebörden av Digitala signaturdirektivet och eIDAS är krav på nationell överbetroddhet som certifierar de certifikatutfärdare som är intresserade och aktiva inom landet för att knyta betroddhetshierarkierna samman. Innebörden är att om någon med ett digital signatur-certifikat utfärdat hos en operatör signerar ett dokument skall en mottagare ansluten till en annan certifikatutfärdare kunna få signaturen på dokumentet verifierad. På detta sätt skall digitalt signerade dokument, filer och filmappar kunna sändas säkert mellan två parter och avsändaren/skaparen är säkert verifierad. På så sätt kan man ex. som momsdirektivet föreskriver för elektronisk faktura i artikel 233 kunna signeras och överföras för att kunna verifieras av mottagaren. Dock frågar sig många varför momsdirektivets artikel 233 finns när artikel 229 förbjuder fysisk signering av pappersfakturor.

Innebörden av betroddhetssamordningen enligt digitala signaturdirektivet innebär inte att en operatör behöver acceptera en annan operatörs certifikat och dess verifierande av certifikaten för alla typer av tjänster. En bank kan ex. kräva att bara de egna certifikaten fungerar för den egna bankens bankkonto-kundadministration medan externa certifikat kan användas och accepteras för att verifiera dokument och filer i andra sammanhang.

Väldigt få nationer inom EU har genomfört digitala signaturdirektivet och i Sverige valde man på justitiedepartementet att stryka signaturkrav på ex. inkommande e-post med överklaganden i förvaltningsärenden, eftersom det var politiskt omöjligt att genomföra direktivet i landet som skulle fungera enligt förvaltningsprocesslagens tidigare krav på digital signatur. Det finns i egentlig mening ingen officiell ståndpunkt från regeringens/riksdagens sida att inte införa direktivet i landet, men faktum är att det efter mer än 15 år saknas beslut och det helt uppenbart finns det ingen nationell samordnade betroddhet. Näringsdepartementet menar man genomfört direktivet men det finns ingen känd referens på hur och var.

Inom EU finns en debatt om att samordna de nationella berömdheterna för att stärka möjligheterna till elektronisk handel, men frågan torde falla på det faktum att digitala signatur-direktivet bara är infört i några få medlemsländer.

Andra länder redigera

Estland redigera

Elektroniska signaturers system används i hög grad i Estland. I mars 2007 hölls val till Estlands parlament, Riigikogu, med hjälp av elektronisk signatur.^[7] Med hjälp av en elektronisk signatur kan man dessutom skicka sin skattedeklaration, tulldeklaration och olika frågeformulär både till lokala och statliga myndigheter.^[8]

USA redigera

UETA blev den första lagen som reglerade elektronisk signatur. Denna lag riktar sig till juridiska personer och handelsbolag. Lagen utarbetades 1999 och antogs av 48 delstaterna, Columbiadistriktet och Amerikanska Jungfruöarna.^[9] Den 1 oktober 2000 antogs den federala lagen ESIGN (Elektroniska signaturer i global och nationell handel). ESIGN samordnar lagstiftningen i olika stater, beaktar samspelet mellan individer och juridiska personer.^[10] Det står i ESIGN att "en signatur, avtal eller annan post som rör en sådan transaktion inte kan förlora sin rättsliga kraft, giltighet eller verkställighet bara på grund av att den är elektronisk."^[11] I USA:s praxis kan elektroniska signaturen därför göras med hjälp av en mus, pekpenna, "Jag godkänner"-knapp och har samma rättsliga status som en handskriven signatur. ESIGN pekar också på att konsumenten nödvändigtvis måste ha en avsikt att lämna en signatur.

Kanada redigera

I Kanada regleras användningen av elektroniska signaturer av den federala lagen, PIPEDA, som trädde i kraft 2004.^[12] Quebec är den enda provinsen som har sina egna lagar om elektronisk signatur.^[13] PIPEDA definierar en allmän elektronisk signatur som ”en signatur som består av en eller flera bokstäver, tecken, siffror eller andra tecken i digital form som ingår i, bifogas eller associeras med ett elektroniskt dokument”. Båda parter som undertecknar något avtal måste komma överens om att acceptera giltigheten av elektroniska signaturer för att göra signaturen juridiskt bindande. Elektronisk signatur likställs inte fullständigt med en handskriven signatur, så domstolen kan kräva ytterligare bevis.^[14]

Externa länkar redigera

EU:s Digitala signaturdirektiv
EU:s Digitala signaturförordning (även kallat eIDAS)
EU:s momsdirektiv (Se Artikel 233 (och 233))
https://chukysoviettel-ca.com/

Noter redigera

^ [a b c d] ”Arkiverade kopian”. Arkiverad från originalet den 24 oktober 2011. https://web.archive.org/web/20111024210006/https://lagen.nu/2000:832#. Läst 14 mars 2012.
^ ”Vi erbjuder elektroniska signaturer som är juridiskt bindande | Scrive”. Scrive. https://www.scrive.com/sv/resurser/trust-centre. Läst 20 december 2023.
^ EU:s momsdirektiv (Se Artikel 233 (och 229))
^ ”Betalningsutredningen”. Arkiverad från originalet den 16 december 2021. https://web.archive.org/web/20211216134628/https://betalningsutredningen.se/. Läst 6 januari 2022.
^ SOU 2021:60 Förenklingar för mikroföretag och modernisering av bokföringslagen
^ SOU 2019:14 Statens offentliga utredningar från Justitiedepartementet, Ett säkert statligt ID-kort – med e-legitimation
^ ”Estonia to hold first national Internet election” (på engelska). CNet. Arkiverad från originalet den 13 juli 2012. https://archive.is/20120713191050/http://news.com.com/Estonia+to+hold+first+national+Internet+election/2100-1028_3-6161005.html. Läst 9 december 2020.
^ ”The simple how and why behind the digital signature” (på engelska). e-Estonia. https://estonia.by/digital-signature-how-to/. Läst 9 december 2020.
^ ”Electronic Transactions Act” (på engelska). Uniform Law Commission. https://www.uniformlaws.org/committees/community-home?CommunityKey=2c04b76c-2b7d-4399-977e-d5876ba7e034. Läst 9 december 2020.
^ ”E-Sign versus State Electronic Signature Laws: The Electronic Statutory Battleground” (på engelska). North Carolina Banking Institute. https://scholarship.law.unc.edu/ncbi/vol5/iss1/18/. Läst 9 december 2020.
^ [https://www.fdic.gov/resources/supervision-and-examinations/consumer-compliance-examination-manual/documents/10/x-3-1.pdf ”The Electronic Signatures in Global and National Commerce Act (E-Sign Act)”] (på engelska). Federal Deposit Insurance Corporation. https://www.fdic.gov/resources/supervision-and-examinations/consumer-compliance-examination-manual/documents/10/x-3-1.pdf. Läst 9 december 2020.
^ ”Personal Information Protection and Electronic Documents Act” (på engelska). Government of Canada. Arkiverad från originalet den 12 november 2020. https://web.archive.org/web/20201112001648/https://laws-lois.justice.gc.ca/eng/acts/P-8.6/page-11.html#h-26. Läst 9 december 2020.
^ ”Legal Basis for Electronic Signature in Canada” (på engelska). NordicTrans. https://www.nordictrans.com/blog/legal-basis-for-electronic-signature-in-canada/. Läst 9 december 2020.
^ ”PIPEDA interpretation bulletins” (på engelska). Office of the Privacy Commissioner of Canada. https://www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/the-personal-information-protection-and-electronic-documents-act-pipeda/pipeda-compliance-help/pipeda-interpretation-bulletins/. Läst 9 december 2020.

[ark-1] [a b c d] ”Arkiverade kopian”. Arkiverad från originalet den 24 oktober 2011. https://web.archive.org/web/20111024210006/https://lagen.nu/2000:832#. Läst 14 mars 2012.

[2] ”Vi erbjuder elektroniska signaturer som är juridiskt bindande | Scrive”. Scrive. https://www.scrive.com/sv/resurser/trust-centre. Läst 20 december 2023.

[3] EU:s momsdirektiv (Se Artikel 233 (och 229))

[4] ”Betalningsutredningen”. Arkiverad från originalet den 16 december 2021. https://web.archive.org/web/20211216134628/https://betalningsutredningen.se/. Läst 6 januari 2022.

[5] SOU 2021:60 Förenklingar för mikroföretag och modernisering av bokföringslagen

[6] SOU 2019:14 Statens offentliga utredningar från Justitiedepartementet, Ett säkert statligt ID-kort – med e-legitimation

[7] ”Estonia to hold first national Internet election” (på engelska). CNet. Arkiverad från originalet den 13 juli 2012. https://archive.is/20120713191050/http://news.com.com/Estonia+to+hold+first+national+Internet+election/2100-1028_3-6161005.html. Läst 9 december 2020.

[8] ”The simple how and why behind the digital signature” (på engelska). e-Estonia. https://estonia.by/digital-signature-how-to/. Läst 9 december 2020.

[9] ”Electronic Transactions Act” (på engelska). Uniform Law Commission. https://www.uniformlaws.org/committees/community-home?CommunityKey=2c04b76c-2b7d-4399-977e-d5876ba7e034. Läst 9 december 2020.

[10] ”E-Sign versus State Electronic Signature Laws: The Electronic Statutory Battleground” (på engelska). North Carolina Banking Institute. https://scholarship.law.unc.edu/ncbi/vol5/iss1/18/. Läst 9 december 2020.

[11] [https://www.fdic.gov/resources/supervision-and-examinations/consumer-compliance-examination-manual/documents/10/x-3-1.pdf ”The Electronic Signatures in Global and National Commerce Act (E-Sign Act)”] (på engelska). Federal Deposit Insurance Corporation. https://www.fdic.gov/resources/supervision-and-examinations/consumer-compliance-examination-manual/documents/10/x-3-1.pdf. Läst 9 december 2020.

[12] ”Personal Information Protection and Electronic Documents Act” (på engelska). Government of Canada. Arkiverad från originalet den 12 november 2020. https://web.archive.org/web/20201112001648/https://laws-lois.justice.gc.ca/eng/acts/P-8.6/page-11.html#h-26. Läst 9 december 2020.

[13] ”Legal Basis for Electronic Signature in Canada” (på engelska). NordicTrans. https://www.nordictrans.com/blog/legal-basis-for-electronic-signature-in-canada/. Läst 9 december 2020.

[14] ”PIPEDA interpretation bulletins” (på engelska). Office of the Privacy Commissioner of Canada. https://www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/the-personal-information-protection-and-electronic-documents-act-pipeda/pipeda-compliance-help/pipeda-interpretation-bulletins/. Läst 9 december 2020.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]