Transkript

1 Sida 1 av 38 Vägledning till myndigheter inför införandet av elektronisk identifiering och underskrifter. Beskriver hur riktlinjerna ska användas och tar upp rättsfrågor som myndigheter och medborgare ställs inför. Innehåll 1 Bakgrund 2 PKI, certifikat och digitala signaturer 3 Statskontorets upphandling 4 Riktlinjerna 5 Certifikatutfärdare 6 Certifikatinnehavare 7 Myndigheter 8 Rättsfrågor 1 Bakgrund Denna vägledning är avsedd att underlätta förståelsen av de Riktlinjer för myndigheternas användning av elektroniska signaturer och certifikattjänster m.m. som tagits fram i SAMSET-projektet och samtidigt peka på ett antal olika frågeställningar som en myndighet kan ställas inför när man avser att erbjuda sina kunder interaktiva elektroniska tjänster över Internet. Vägledningen innehåller dock inte svar på de tekniska och myndighetsspecifika frågor som också hör till Internetprojekt. Regeringsbeslut och uppdraget Den 2 mars 2000 uppdrog regeringen åt Riksskatteverket (RSV) att, i samverkan med Riksförsäkringsverket (RFV), Patent- och registreringsverket (PRV) och Statskontoret, utreda och lämna förslag om hur ansvaret för utfärdande och administration av certifikat och elektroniska signaturer bör organiseras i statsförvaltningen. RSV har bedrivit arbetet tillsammans med de samverkande myndigheterna i ett projekt med namnet SAMSET (Samhällets elektroniska tjänster). RSV avlämnade den 26 september 2000 till regeringen projektets rapport "Hantering av certifikat och elektroniska signaturer inom statsförvaltningen". I rapporten föreslogs bl.a. att regeringen skulle uppdra åt RSV att ha ett sammanhållande ansvar för hanteringen av certifikat och elektroniska signaturer inom statsförvaltningen. Nytt uppdrag Genom beslut den 21 december 2000 (Ju2000/4939) gav återigen regeringen RSV uppdraget att "under ett inledningsskede ha ett sammanhållande ansvar för administrationen av certifikat för elektronisk identifiering och elektroniska signaturer inom statsförvaltningen". Även fortsättningsvis skulle detta arbete genomföras i samverkan med RFV, PRV och Statskontoret.

2 Sida 2 av 38 Av beslutet framgår att det ingår i uppdraget att: utarbeta allmänna riktlinjer och gemensamma rutiner för certifikathanteringen inom statsförvaltningen, samordna statsförvaltningens krav och behov inför upphandling och avrop av certifikat och tillhörande tjänster för elektronisk identifiering och elektroniska signaturer, samordna de myndighetsgemensamma tjänster som krävs för en väl fungerande infrastruktur för användningen av elektroniska signaturer i statlig verksamhet, svara för information och vägledning till myndigheterna i dessa frågor, senast den 1 mars 2003 redovisa en utvärdering av verksamheten. Arbetet i SAMSET syftar till att en medborgare ska kunna använda samma elektroniska identitet och samma tekniska hjälpmedel för att kommunicera med olika myndigheter. Med medborgare menas i detta sammanhang fysiska personer i deras egenskap av privatpersoner eller företrädare för juridiska personer, oberoende av om de är svenska medborgare eller inte. För att sådana funktioner ska bli möjliga behövs en helt ny infrastruktur - en s.k. Public Key Infrastructure (PKI) - där certifikat, signaturer och anknytande programvaror tekniskt och administrativt fungerar på ett enhetligt sätt och på ett så säkert sätt att de kan godtas i skilda sammanhang, både av medborgare och av myndigheter. Dessutom behövs gemensamma regler, inte bara för de frågor som rör själva infrastrukturen utan också för den hantering av elektroniska handlingar och elektroniska akter som de nya rutinerna avses skydda. En infrastruktur för elektronisk signering blir meningsfull endast om reglerna för dokumenthantering och förfarandet vid ärendehandläggning kan tillämpas på ett sätt som fungerar även i ITmiljö. RSV:s uppdrag att ha ett sammanhållande ansvar för administrationen av certifikat för elektronisk identifiering och elektroniska signaturer inom statsförvaltningen måste därför sättas in i sitt sammanhang. Hela den kedja av funktioner som krävs för en säker hantering av signaturer och elektroniska handlingar behöver samordnas. Ett snabbt införande förutsätter dessutom att de nya rutinerna kan tas i drift utan omfattande författningsändringar. För att göra detta möjligt behöver myndigheterna ta ställning till frågor av skiftande slag. RSV har lagt grunden för en sådan samordning genom att inom SAMSET-projektet utarbeta ett dokument: Riktlinjer för myndigheternas användning av elektroniska signaturer och certifikattjänster m.m., "Riktlinjerna". Riktlinjer, som finns publicerade i RSV:s meddelandeserie, är visserligen formulerade med samma språkdräkt som en författning, men de är inte bindande utan endast rådgivande. Riktlinjerna finns på RVS:s webbplats ( under rubrikerna "Rättsinformation/Meddelanden" (RSV M 2001:35). Denna vägledning avses vara ett stöd för de myndigheter som vill utnyttja elektroniska signaturer och certifikattjänster i sina kontakter med medborgarna. Vägledningen kan också ses som en

3 Sida 3 av 38 sammanställning av de minimikrav som SAMSET rekommenderar för tillämpningar av detta slag. Målgrupp I RSV:s uppdrag ligger inte bara att utarbeta allmänna riktlinjer och gemensamma rutiner för certifikathanteringen inom statsförvaltningen utan också att svara för information och vägledning till myndigheterna i dessa frågor. Det har därför varit naturligt att målgruppen för sådan information och vägledning i första hand är statsförvaltningens myndigheter. Kommunala och landstingskommunala myndigheter har emellertid också möjlighet att anskaffa certifikat och certifikattjänster inom ramen för Statskontorets upphandling. (Information om vilka kommuner eller landsting som är avropsberättigade kan fås på Statkontorets webbplats, se under avsnitt 3 nedan) Riktlinjerna tar därför sikte på såväl medborgare och företag som statliga och kommunala myndigheter och de gäller oberoende av om en aktör i det enskilda fallet har signerat en handling, identifierat sig eller avser att lita på sådana uppgifter. För att därutöver ge resultatet av SAMSET:s arbete en mer allmän spridning, har även en informationsbroschyr tagits fram för den som är intresserad. En viktig del i användandet av elektroniska signaturer och certifikattjänster är hur myndigheter och medborgare ska anskaffa certifikat och därmed sammanhängande tjänster. Genom den upphandling som Statskontoret genomfört under hösten 2001, har ramavtal tecknats som möjliggör för myndigheterna att anskaffa certifikat m.m. genom avrop under dessa avtal. Se under avsnitt 3 nedan. 2 PKI, certifikat och digitala signaturer I detta avsnitt av vägledningen ges en kortfattad beskrivning av de grundläggande begreppen inom detta område. Mer ingående beskrivningar och förklaringar finns i avsnitt 4-7 i Riktlinjerna. I lagen (2000:832) om kvalificerade elektroniska signaturer (signaturlagen) används termen "elektronisk" signatur. För beskrivningen av tekniska rutiner i används här emellertid även den i standardiseringssammanhang använda termen "digital" signatur. Signaturer I takt med den utveckling som sker inom det informationstekniska området och i synnerhet på Internetområdet, är det naturligt att myndigheter inom stat, kommuner och landsting ser ökade möjligheter att använda Internet i sin kommunikation med medborgarna. Det gäller såväl sättet att i envägskommunikation informera om myndigheten och dess tjänster, som möjligheterna att skapa en dialog för ärendehandläggning m.m. mellan myndigheten och medborgaren. Det

4 Sida 4 av 38 är också naturligt att säkerhetsfrågorna vid en sådan dialog sätts i förgrunden. Parterna i dialogen behöver veta vem motparten är, skydda informationen mot obehörig insyn och förvanskning och skapa möjlighet - där så krävs av juridiska skäl - att åstadkomma kvalificerad elektronisk signatur. PKI Den teknik som används för att åstadkomma önskvärd säkerhet i bl.a. användningen av elektroniska signaturer består av olika beståndsdelar, vilka brukar samlas under begreppet PKI (Public Key Infrastructure). PKI är ett samlingsnamn för den infrastruktur, byggd på komponenter, gränssnitt, ansvar och förtroende, där man med hjälp av privata och publika (öppna) nycklar bygger upp funktioner för identifiering, signering och skydd mot obehörig insyn, allt baserat på krypteringsmetoder. Identifiering används för att med säkerhet veta vem som är avsändare eller mottagare. Signering används för att kunna upptäcka obehöriga ändringar av data och för att kunna binda data som representerar en text till en undertecknare på motsvarande sätt som i ett manuellt undertecknat dokument. Insynsskydd används för att skicka känsliga data via osäkra nät och ändå kunna bestämma vilka som kan ta del av informationen. PKI och kryptering PKI-tekniken bygger på asymmetrisk kryptering vilket innebär att krypteringsnycklarna förekommer i par. Det som krypteras med den ena nyckeln kan bara dekrypteras med den andra och vice versa. Den som ska signera data använder den nyckel som kallas "privat nyckel". Nyckelinnehavaren disponerar ensam sin privata nyckel och är därmed den ende som kan framställa sin digitala signatur. Vid den mer traditionella formen av kryptering, som kallas symmetrisk kryptering används samma nyckel både för kryptering och för dekryptering. Nyckeln måste då vara tillgänglig för både avsändare och mottagare. Den är alltså en "delad hemlighet", vilket utesluter en användning för kommunikation mellan många parter. Certifikat och nyckelbärare Som ovan nämnts bygger PKI på två olika krypteringsnycklar, en privat och en publik. Den privata nyckeln disponeras bara av ägaren/innehavaren medan den publika nyckeln kan spridas till alla andra intressenter, normalt inlagd i ett s.k. certifikat. Ett certifikat är en slags datafil som också innehåller uppgifter som unikt identifierar den person som förvarar den privata nyckeln (med personnummer, anställningsnummer, namn etc.). Certifikatet är "stämplat" av en certifikatutfärdare, i internationella sammanhang ofta kallad Certification Authority (CA). Certifikaten i en PKI är den elektroniska motsvarigheten till fysiska IDhandlingar (körkort, ID-kort etc.). På den fysiska ID-handlingen finns uppgifter som fastställer vilken person som avses (personnummer, namn etc.). För att ID-handlingen ska kunna användas för att visa personens identitet, finns foto och namnteckning knutna till namnet och personnumret. Den som vill kontrollera personens identitet kan jämföra

5 Sida 5 av 38 fotot med personens utseende och dessutom begära att personen skriver sin namnteckning och jämföra den med namnteckningen som återges på ID-handlingen. I överförd betydelse gäller motsvarande för ett certifikat. Att en person har tillgång till den privata nyckeln är det yttersta beviset för att de uppgifter som finns i certifikatet - den elektroniska ID-handlingen - avser den personen. Detta förutsätter att den privata nyckeln skyddas väl mot obehörig åtkomst. Ett vanligt sätt att skydda den privata nyckeln är att lagra den som en krypterad fil i den egna datorn eller på någon server. För att få tillgång till nyckeln måste innehavaren ange ett lösenord, sina s.k. aktiveringsdata. Detta är en lösning som brukar kallas mjuk nyckel eller mjukt certifikat. Ett bättre sätt att skydda den privata nyckeln kan vara att förvara den i ett chip på ett kort. Då behöver den privata nyckeln aldrig lämna chipet. Alla beräkningar där den privata nyckeln ingår görs av chipets processor i en miljö som är väl skyddad från alla kända former av insyn, vare sig det handlar om angrepp av virus, trojaner eller någon annan metod för att bereda sig obehörig åtkomst till privata nycklar. Denna lösning brukar ibland kallas hård nyckel eller hårt certifikat. De hårda certifikaten är idag dyrare och anses vara något mer komplicerade att införa än de mjuka. Eftersom den elektroniska signaturen står och faller med hur väl den privata nyckeln är skyddad, är det av stor vikt att välja en metod för förvaring av den privata nyckeln som är tillräckligt säker. Betrodd tredje part För att en PKI ska fungera måste alla inblandade parter ha tillit till hanteringen av nycklar och certifikat. Certifikatutfärdaren är den part som i första hand skapar tillit genom att stå för en säker hantering av certifikat och nycklar. Certifikatutfärdaren "låser" i certifikatet uppgifter om en person till en viss publik nyckel genom att förse certifikatet med sin digitala signatur. Certifikatutfärdare har en roll som "betrodd tredjepart" i en PKI. Förutom att utfärda certifikat har certifikatutfärdaren normalt också ansvar för att certifikat som inte är pålitliga snabbt spärras för användning. Varje certifikatutfärdare kan dock normalt endast ta ansvar för de certifikat som certifikatutfärdaren själv har utfärdat. Användare med certifikat från olika certifikatutfärdare, och som därmed tillhör olika PKI, kan därför inte automatiskt lita på varandra när det gäller identifiering, signering och insynsskydd. Olika lösningar finns på detta problem. En möjlighet är att användare och myndigheter i sina system skapar tillit till flera olika certifikatutfärdare. Andra lösningar är att certifikatutfärdarna skapar tillit mellan sig (korscertifiering) eller att alla certifikatutfärdare har tillit till och är betrodda av en överordnad certifikatutfärdare (Topp-CA). Registration Authorithy Själva identifieringen av individen och utlämnandet av certifikat och privata nycklar görs ofta av en Registreringstjänst, s.k. Registration Authority (RA), som är en annan juridisk person än certifikatutfärdaren och underställd utfärdaren. Certificate Practice Statement (CPS)

6 Sida 6 av 38 Certifikatpolicy och utfärdardeklaration, s.k. Certificate Practice Statement (CPS), är två typer av dokument i vilka en certifikatutfärdare ska ange vad omvärlden kan förvänta sig beträffande säkerheten i de tjänster som utfärdaren tillhandahåller. Av sådana dokument framgår allt från rutiner och krav på säkerhet vid framställning av nycklar och certifikat till hur certifikatutfärdaren skyddar sina egna privata nycklar för att signera certifikat och spärrlistor m.m. I dokumenten anges också krav på den som har tilldelats certifikat och den som litar på en digital signatur som stöds av ett certifikat (förlitande part). I varje certifikat som en utfärdare ställer ut anges vilken policy som gäller för certifikatet. Principen för digital signatur och signering av handlingar Den digitala signaturen för en datamängd - en elektronisk handling - framställs av en användare med hjälp av en programvara som räknar ut en kontrollsumma för datamängden. Denna kontrollsumma brukar kallas fingeravtryck eller hashsumma. Användaren krypterar kontrollsumman med sin privata nyckel och framställer på så sätt ett dataobjekt som är unikt knutet till både data som representerar texten i den elektroniska handlingen och användaren. Kontrollsumman fungerar som ett "lås" på datamängden och därmed innehållet i det elektroniska dokumentet. Detta motsvarar det pappersark som fysiskt "låser samman" en text och en underskrift. När undertecknaren "förseglar" kontrollsumman genom att kryptera den med sin privata nyckel motsvarar detta en underskrift som skrivs på ett pappersark som håller samman text och underskrift. Den digitala signaturen kan också ha knutits till en myndighet eller ett företag, utan att någon fysisk person pekas ut (se nedan om "elektronisk stämpel"). Förändringar i efterhand av datamängden kommer att märkas genom att den kryptografiska kontrollsumman (signaturen) inte längre stämmer. Ett viktigt krav är därför att den metod (matematiska algoritm) som används för att räkna fram kontrollsumman är både "intolerant" och "säker"; intolerant så att varje förändring av dokumentet medför att man får en helt annan kontrollsumma, och säker så att det inte är praktiskt möjligt att räkna ut vilka förändringar i dokumentet som ger en oförändrad kontrollsumma. För att kontrollera signaturen använder en mottagare utfärdarens publika nyckel för att dekryptera den krypterade kontrollsumman och jämför sedan resultatet av dekrypteringen med den kontrollsumma han själv räknat fram utifrån dokumentet. Några begrepp Inom området för PKI och certifikathantering förkommer en mäng begrepp och termer. Här förklaras några. I Riktlinjerna, förklaras ytterligare ett antal begrepp. Undertecknare, utställare och elektronisk stämpel I signaturlagen används termen "undertecknare" med avseende på en fysisk person som behörigen innehar den privata nyckeln. När även juridiska personer innefattas som utfärdare används termen "utställare".

7 Sida 7 av 38 Då omfattas också en digital signatur som t.ex. en myndighet har tillfört en elektronisk handling utan att knyta signaturen till en viss fysisk person hos myndigheten. Det är vanligt att använda uttrycket "elektronisk stämpel" som beteckning på en digital signatur av en juridisk person. I de riktlinjer som behandlas i det följande definieras bl.a. dessa begrepp. Identifiering Om en myndighet med tillräcklig säkerhet kan identifiera de personer som kopplar upp sig mot myndighetens datasystem kan myndigheten elektroniskt lämna och ta emot uppgifter som rör en fysisk person eller det företag han eller hon representerar, även om uppgifterna är sekretessbelagda för andra eller de rättssäkerhetskrav som är förenade med tillämpningen annars förutsätter en säker identifiering av aktörerna. PKI-system kan öppna för helt nya tjänster och en smidigare dialog mellan medborgare och myndigheter eftersom de skapar förutsättningar för sådan identifiering. För att undvika att användaren blandar ihop signering och identifiering så att han eller hon t.ex. tror sig genomföra en identifiering men istället signerar en text har varje användare olika certifikat, nycklar och aktiveringsdata för signering respektive identifiering och insynsskydd. PKI-teknik nyttjas för att identifiera användare vid tillträde, s.k. stark autenticering (jfr definitionen av identifiering i Riktlinjerna). Detta innebär att måldatorn skickar ett slumptal till användaren som denne krypterar med sin privata nyckel för identifiering. Det krypterade slumptalet skickas tillbaka till måldatorn tillsammans med certifikatet för identifiering. Måldatorn använder användarens publika nyckel i certifikatet för att dekryptera det returnerade slumptalet. Resultatet jämförs med det ursprungliga slumptalet. Om dessa är lika kan måldatorn utgå från att användaren är den som anges i certifikatet. Motsvarande identifiering görs när användaren ska lämna uppgifter till myndigheten. Då kan dessutom krävas att de uppgifter som lämnas signeras av användaren. Identifiering av myndighet används för att medborgare ska kunna kontrollera till vilken myndighets webbtjänst som de har anslutit. Då används samma teknik som beskrivs ovan men i omvänd ordning. Medborgaren kan därefter i sin dator ta fram måldatorns certifikat. Detta sker genom att klicka på det "hänglås" som brukar visas i bildskärmens nedre högra hörn. Myndigheter kan på samma sätt kontrollera till vilken annan myndighets webbtjänst som anslutning har skett. Det är emellertid inte självklart för alla att förstå den information som ges eller vilket skydd som åstadkoms. Det är viktigt att rutinerna automatiseras och förenklas och att informationen om vilket skydd de ger blir lätttillgänglig. Oavvislighet Med oavvislighet (eng. nonrepudiation) menas att den som ställer ut ett dokument inte i efterhand ska kunna förneka detta. Exempelvis måste en myndighet som tar emot en ansökan i ett ärende kunna lita på att den elektroniska handlingen har signerats av den som framstår som utställare. Detsamma gäller för den som tar emot en elektronisk beställning, som kanske innebär att mottagaren ska specialtillverka en dyrbar komponent. Mottagaren behöver också kunna lita på att utställaren av handlingen har sänt den och inte kan neka till beställningen när komponenten väl är tillverkad och ska betalas eller neka till att han gjort den ansökan som lett fram till ett beslut som kanske vunnit laga kraft.

8 Sida 8 av 38 Oavvislighet kan även innebära att den som mottagit ett dokument inte i efterhand ska kunna neka till att ha tagit emot dokumentet; jfr delgivningslagen (1970:428). En person bör inte långt senare kunna överklaga ett myndighetsbeslut under påstående att han eller hon aldrig fått del av ett beslut som har mottagits elektroniskt. Om oavvisligheten ska ha någon mening är det naturligtvis viktigt att veta att informationen inte är manipulerad och att angiven utställare står bakom. Utöver detta kan det krävas att det går att säkert fastställa ett visst handlande hos parterna såsom sändning och mottagande. Metoder för detta kan vara att skapa signerade kvittenser, tidsstämplar och loggar. För att skapa tillit till sådana åtgärder, vid kommunikation mellan parter som inte känner varandra, kan det krävas en pålitlig tredje part i form av en elektronisk "notariattjänst". Affärsrelationer bygger på att parterna kan lita på varandra. Finns förtroende och tillit kan smidiga affärsprocesser skapas (jfr. t.ex. biltillverkare och de relationer dessa skapat med sina underleverantörer). Viktigare elektroniska affärer över Internet mellan parter som inte känner varandra ställer krav på säkra elektroniska tjänster som uppfyller kraven på oavvislighet. Kontakter mellan medborgare/företag och myndigheter styrs i många fall av lagar och kan ge rättsliga efterspel där oavvislighet blir en central fråga från bl.a. rättssäkerhetssynpunkt. Elektroniska signaturer och oavvislighet Termen oavvislighet förekommer inte i lag eller förordning. Den elektroniska signaturen måste sättas in i sitt sammanhang. Den kan fylla olika funktioner och ha anknytning till skilda regelverk i enlighet med vad som framgår av den signerade texten och det sammanhang där signering skett. Den som förlitar sig på signaturen kan från juridiska utgångspunkter aldrig vara hundraprocentigt säker på att signaturen är "oavvislig" och detta gäller oavsett hur säkert rutinerna har utformats. Den princip om fri bevisprövning som gäller i svensk rätt innebär nämligen att domaren/handläggaren är fri att bedöma värdet av den bevisning som förebringas. Först efter en dom som vunnit laga kraft - dvs. inte längre kan överklagas - är saken helt säker. I praktiken har detta lett till balanserade avvägningar mellan olika intressen och en tillämpning som fört med sig att den allmänna tilliten till pappersbaserade urkunder är hög. En elektronisk signatur kan utgöras av allt från en enkel "underskrift" av ett e-postmeddelande genom att skriva namnet på tangentbordet, till digitala signaturer inom ramen för avancerade kryptografiska PKIbaserade tjänster. I det första fallet ger signaturen inte skydd mot en ändring av den text som signaturen knutits till. Den kopplar inte heller på ett säkert sätt samman undertecknaren med dokumentet. Både symmetriska och asymmetriska rutiner för signering ger emellertid ett sådant skydd eftersom sådana signaturer framställs genom att kryptera en datamängd som utgör ett s.k. fingeravtryck av data som representerar text (och bild etc.), se avsnittet Principen för digital signatur och signering av handlingar ovan. I asymmetriska system knyts signaturen till en viss person genom användning av privat nyckel och certifikat. Målet med användningen av elektroniska signaturer är att de ska fungera som elektroniska ersättare för traditionella namnteckningar,

9 Sida 9 av 38 medan elektroniska stämplar syftar till motsvarande skydd som tryckta logotyper m.m. på handlingar som har ställts ut av en myndighet eller ett företag, utan att handlingen knutits till en viss fysisk person som utställare; jfr t.ex. de pantbrev och gravationsbevis som Lantmäteriverket expedierar utan underskrifter. Elektroniska blanketter I den pappersbaserade världen använder myndigheter och företag blanketter för att få information från medborgare, företag och anställda på ett fullständigt och entydigt sätt. För att kunna lita på att text som skrivs på sådana blanketter verkligen härrör från angiven person krävs normalt en traditionell underskrift på blanketten. Vid övergång till elektroniska rutiner uppstår ett behov av elektroniska blanketter som på motsvarande sätt kan fånga upp elektroniskt inmatad information på ett fullständigt och entydigt sätt. I stället för den manuella underskriften bör en avancerad eller kvalificerad elektronisk signatur kunna godtas. Många företag erbjuder redan idag elektroniska blanketter för olika ändamål liksom verktyg för att skapa egna elektroniska blanketter som kan förses med elektroniska signaturer. 3 Statskontorets upphandling Statskontoret har upphandlat tjänster för elektronisk identifiering och signering, byggda på PKI-teknik (Public Key Infrastructure) och som använder sig av certifikat med öppna och privata nycklar. Upphandlingen omfattar ett antal leverantörer, som ska kunna tillhandahålla identifieringstjänster. I detta ingår också att kunna förse medborgare med certifikat. Upphandlingen har omfattat två delar: tjänster för elektronisk identifiering av medborgare m.m. tjänster för identifiering av de anställda i den egna organisationen m.m. Ramavtal har tecknats med leverantörer som kan tillhandahålla endera av eller båda delarna ovan. Ramavtal Följande ramavtal har tecknats: Medborgarcertifikat: Föreningssparbanken AB Nordea AB Svenska Handelsbanken AB Medborgarcertifikat och Tjänstecertifikat: Posten AB Telia AB Tjänstecertifikat m.m: Integris AB Medborgarcertifikat

10 Sida 10 av 38 Denna del omfattar tjänster och produkter för att utfärda certifikat så att medborgare och myndigheter kan styrka sin identitet i kommunikation med varandra över Internet. Medborgaren kan härigenom erbjudas en "personlig elektronisk identitet" (certifikat) i form av ett paket av tjänster och produkter. Motsvarande certifikat för myndigheter, dvs. server och stämpelcertifikat omfattas även av denna del av upphandlingen. Leverantören ska leverera fullständiga lösningar som Certifikatutfärdare samt vidareutveckla dessa i samarbete med myndigheter. Leverantören ska svara för att anpassa CA-lösningar till standarder och statliga krav så att Certifikatutfärdare från olika leverantörer på sikt samverkar till gemensamma lösningar för myndigheter och medborgare. Tjänstecertifikat Denna del omfattar tjänster och produkter för att upprätta säkra infrastrukturer (PKI) inom myndigheter. Leverantörens erbjudande omfattar fullständiga lösningar inklusive rollen som Certifikatutfärdare. Dessa lösningar ska kunna vidareutvecklas i samarbete med myndigheten. Myndigheten ska kunna erbjudas att hantera vissa CAtjänstemoduler själv medan leverantören svarar för övriga delar av CAtjänsten. Exempel på detta kan vara moduler för registrering av certifikat (RA) och moduler för hantering av spärrlistor. Leverantören ska även svara för att anpassa CA-lösningar till standarder och statliga krav så att Certifikatutfärdare från olika leverantörer på sikt samverkar till gemensamma lösningar för myndigheter och medborgare. Ett mål med upphandlingen är att göra det enkelt för myndigheter att förse sina medarbetare med verktyg för att identifiera sig samt skapa signaturer och skydda meddelanden från olovlig insyn i den elektroniska världen och dessutom för att möjliggöra exempelvis generell inloggning (single signon) och distansarbete genom tillgång till system och känslig information via Internet. Övrigt Ramavtalen gäller t.o.m. den 30 april 2003 med möjlighet till förlängning upp till 12 månader. Generell inloggning (single signon) Tillgång vid distansabete till system och känslig information via Internet Ramavtalen, med uppgifter om bl.a. kontaktpersoner finns tillgängliga på Statskontorets webbplats. Här finns också information om vilka kommuner och landsting som är avropsberättigade. 4 Riktlinjerna

11 Sida 11 av 38 Regeringsuppdraget och Statskontorets upphandling innebär att förutsättningar skapas för en infrastruktur där medborgare ska kunna kommunicera med olika myndigheter med en och samma elektroniska identitet. Även myndigheterna och deras handläggare ska kunna kommunicera - inbördes och med medborgare - på samma enhetliga och säkra sätt. Av betydelse för denna utveckling är att medborgare, handläggare och myndigheter utrustas med certifikat och anknytande funktioner som är anpassade för en sådan infrastruktur, och att infrastruktur och regler samordnas (se nedan) så att varken tekniska eller rättsliga hinder tillåts motverka den utveckling som regeringsuppdraget syftar till. Tillgången till certifikat och fungerande tjänster för spärr och spärrkontroll m.m. säkerställs genom Statskontorets upphandling. Upphandlingen innefattar en viss samordning genom de krav som Statskontoret, i samråd med SAMSET, har ställt på leverantörerna i samband med upphandlingen. Det är emellertid inte tillräckligt att samordna tekniska rutiner och villkor som certifikatutfärdare tillämpar för att tillhandahålla produkter och tjänster för identifiering, signering och insynsskydd. Närmare preciseringar behövs om dessa funktioner ska ensas så att medborgarna känner igen sig från myndighet till myndighet och - utan omfattande handledning - kan förstå funktionernas innebörd och vilken tillit de kan ha till signaturer och certifikat m.m. Detsamma gäller för handläggare vid myndigheter som inför PKI-baserade rutiner. En infrastruktur för elektroniska signaturer och certifikattjänster behöver dessutom tydliga spelregler för utväxlingen av information. Även i denna del har upphandlingen använts för att skapa regler genom villkor i ramavtal som myndigheterna kommer att avropa. Ett mål bör emellertid vara att, på sett så konkret plan som möjligt, göra rutinerna enhetliga, bl.a. när det gäller de gränssnitt som möter medborgare och handläggare. I de olika avsnitten nedan finns hänvisningar till relevanta avsnitt i Riktlinjerna. Det samordnade området För att tillgodose behovet av enhetliga rutiner och tydliga spelregler har det område som samordnas avgränsats från olika utgångspunkter. Av Riktlinjerna 2.2 framgår att det samordnade området avgränsats till rutiner och säkerhetskrav i PKI-system på myndighetsområdet för att utfärda och använda certifikat och tillhörande nycklar, tillhandahålla tjänster för spärr av certifikat och kontroll av spärr, och bedöma vilka lösningar som tillgodoser myndigheternas säkerhetskrav. Syftet är att skapa och upprätthålla en hög nivå på informationssäkerheten och att möjliggöra säkra rutiner för dokumentoch ärendehantering. Dessa rutiner och säkerhetskrav har vidare avgränsats till produkter och tjänster för identifiering av fysiska personer, identifiering av myndigheter som tillhandahåller elektroniska tjänster, signering och verifiering av signerade elektroniska handlingar, stämpling och verifiering av stämplade elektroniska handlingar, samt kryptering för insynsskydd och dekryptering av insynsskyddade data (Riktlinjerna 2.3).

12 Sida 12 av 38 För att kunna ge konkret vägledning i enskilda tillämpningar har Riktlinjerna dessutom avgränsats med utgångspunkt från den användning av PKI-system som samordnas. Denna avgränsning beskrivs från olika utgångspunkter, från medborgarnas perspektiv (Riktlinjerna 2.4), utifrån myndigheternas behov (Riktlinjerna 2.5), med sikte på de typer av certifikat som samordnas (Riktlinjerna 2.6 och 2.7). Det kan inte förväntas att alla de funktioner i PKI-system som beskrivs i Riktlinjerna och denna vägledning kommer att tas i bruk för varje webbtjänst på myndighetsområdet eller av varje myndighet. De funktioner rutinerna fyller har emellertid ett så nära samband, både tekniskt och juridiskt, att det är av värde att få en samlad presentation av dem. Till det område som behöver samordnas hör också rättsfrågor med anknytning till PKI, samt förfaranderegler som rör formen för elektronisk ärende- och dokumenthantering. En enhetlig syn på dessa frågor är enligt SAMSET:s bedömning av avgörande betydelse för att PKIbaserade tjänster ska kunna få spridning på myndighetsområdet och för att signerade och stämplade elektroniska handlingar ska åtnjuta allmän tillit. Ett definitivt klargörande av rättsläget förutsätter emellertid författningsändringar eller avgöranden i rättspraxis. Regeringen har aviserat en genomlysning av regelverken. Enligt SAMSET:s mening bör dock myndigheterna - parallellt med de aviserade åtgärderna - kunna delvis på egen hand begränsa den rättsliga osäkerheten. En preliminär genomlysning av vissa rättsfrågor har därför gjorts inom SAMSET med sikte på att finna samordnade tolkningar av vissa rättsfrågor som är gemensamma eller likartade från myndighet till myndighet. Dessa frågor, som tas upp i avsnitt 8 i denna vägledning, behandlas emellertid inte i Riktlinjerna. Riktlinjerna omfattar inte heller alla tekniska och administrativa frågor som har anknytning till PKI-system på myndighetsområdet. Som exempel kan nämnas att en myndighets samlade åtgärder för informationssäkerhet och åtgärder till skydd främst för rikets säkerhet inte omfattas. Detsamma gäller för många andra frågor som rör myndigheternas dokumenthantering och anknytande säkerhetsrutiner, t.ex. frågor om kvittenser för att skapa mottagningsbevis eller bevis om att handlingar har avsänts, tidsstämplar och loggar för att säkerställa att en handling har kommit in innan en frist löpt ut, identifiering av handläggare utan att denne signerar den interna hanteringen av privata nycklar för myndighetens elektroniska stämpel. Olika roller och avtalsrelationer För att undvika att frågor som hör till det samordnade området blandas samman har SAMSET strukturerat Riktlinjerna utifrån olika funktioner i ett PKI-system, funktioner som:

13 Sida 13 av 38 certifikatutfärdare, certifikatinnehavare, och myndighet. Riktlinjerna har dessutom disponerats utifrån de olika roller som dessa aktörer kan ha. Under skilda rubriker behandlas frågor som rör certifikatinnehavares roller som sökande, vid ansökan om certifikat, undertecknare av signerade elektroniska handlingar och användare i övrigt av sina certifikat och privata nycklar, förlitande part vid användning av andras certifikat, t.ex. för att verifiera en elektronisk handling som någon annan har signerat. PKI-system på myndighetsområdet för också med sig nya avtalsrelationer. Statskontoret har slutit ramavtal med ramavtalsleverantörer om PKItjänster för myndighetsområdet (se avsnitt 3 ovan och Riktlinjerna 3.). Myndigheter som inför PKI kan avropa certifikat och anknytande tjänster från ramavtalsleverantörer. Det betyder att myndigheter sluter avtal om certifikattjänster i enlighet med villkoren i ramavtalen. Det kan vara fråga om myndighetens egna certifikat (webbservercertifikat och certifikat för myndighetens elektroniska stämpel) eller certifikat för handläggare (tjänstecertifikat). I syfte att förenkla genom elektroniska rutiner kan myndigheten också avropa certifikat åt medborgare (medborgarcertifikat) för att de ska kunna kommunicera elektroniskt med myndigheten. Myndigheterna kan vidare avropa tjänster för att verifiera elektroniska signaturer och elektroniska stämplar samt hantera identifiering och insynsskydd. När en myndighet avropar och betalar certifikat som tilldelas handläggare (tjänstecertifikat) eller medborgare (medborgarcertifikat) sluter handläggarna och medborgarna avtal med ramavtalsleverantören. Det är samma typ av avtal som leverantören, dvs. certifikatutfärdaren, sluter med övriga personer som utfärdaren förser med certifikat. Högt ställda krav från rättssäkerhetssynpunkt Ett av huvudsyftena med PKI-system på myndighetsområdet är att införa tillräckligt säkra rutiner för elektronisk kommunikation med medborgare och mellan myndigheter. I traditionell miljö skyddar bestämmelserna om brott rörande urkunder mot bl.a. förfalskningar, osanna utsagor i urkunder och mot att urkunder upprättas för skens skull rörande rättshandlingar (14 kap. 1 och 15 kap brottsbalken). Myndigheter och domstolar ges också möjlighet att tillämpa särskilda rutiner som ger skydd mot manipulationer. Myndigheten får nämligen begära att ett meddelande som kommer in i form av ett telefax eller annars så att det saknar avsändarens underskrift i original bekräftas av avsändaren genom en i original undertecknad handling (10 förvaltningslagen). Det kan vidare utgöra grund för resning om en skriftlig handling som åberopats till bevis vid en rättslig prövning varit oäkta eller osann (jfr 58 kap. 1 första stycket 2 rättegångsbalken). Beviljas resning innebär det att målet prövas på nytt.

14 Sida 14 av 38 Detta skydd för traditionella handlingar är av betydelse från rättssäkerhetssynpunkt. På motsvarande sätt skyddar bestämmelserna om brott mot posthemligheten, intrång i förvar och olaga intrång (4 kap. brottsbalken) mot att den enskildes integritet kränks genom att någon obehörigen bereder sig tillgång till handlingar som en myndighet förvarar eller som är under befordran från eller till en myndighet. Vid en tillämpning av dessa bestämmelser i IT-miljö är rättsläget delvis oklart. Det är angeläget - från rättssäkerhetssynpunkt och för den offentliga förvaltningens effektivitet - att medborgare, företag och det allmänna inte drabbas av rättsförluster till följd av brister i informationssäkerheten. Riktlinjerna förutsätter därför att myndigheternas användning av elektroniska signaturer, certifikattjänster och tekniska skydd mot obehörig insyn uppfyller höga tekniska och administrativa krav. Högre säkerhet och kontroll än vad som brukar krävas i traditionell pappersmiljö bör i viss mån kunna kompensera bristerna i IT-anpassningen av de ovan nämnda bestämmelserna. Medborgarnas användning av PKI-system mot myndigheter Genom beskrivningen i Riktlinjerna av de PKI-baserade funktionerna och hur medborgare och myndigheter ska använda dem (Riktlinjerna ) blir det tydligt vilket skydd de nya rutinerna kan ge från tekniska och administrativa utgångspunkter. Beskrivningen tydliggör också behovet av anpassning till regler och rättsprinciper som har kommit till med sikte på traditionell pappersbaserad ärendehandläggning. I det följande redogörs för de funktioner som den PKI-baserade infrastrukturen ska kunna stödja enligt Riktlinjerna. Signering och verifiering av signatur En medborgare som använder en PKI-baserad tjänst för signering förser en elektronisk handling med motsvarande skydd mot förfalskning eller förnekande av signatur som när en traditionell handling undertecknas och därefter ges in till en myndighet (Riktlinjerna 2.4.3). Dessa rutiner bör uppfylla vissa krav för att godtas. I lagen (2000:832) om kvalificerade elektroniska signaturer (signaturlagen) används tre olika begrepp för elektroniska motsvarigheter till underskrifter; elektronisk signatur, avancerad elektronisk signatur, och kvalificerad elektronisk signatur. Riktlinjerna omfattar både avancerade och kvalificerade elektroniska signaturer. En avancerad elektronisk signatur ska vara knuten uteslutande till en undertecknare, göra det möjligt att identifiera undertecknaren, vara skapad med hjälpmedel som endast undertecknaren kontrollerar och vara knuten till andra elektroniska data på ett sådant sätt att förvanskningar av dessa data kan upptäckas. (Se definitionerna i Riktlinjerna.) För en kvalificerad elektronisk signatur tillkommer att den måste skapas av en säker anordning för signaturframställning och baseras på ett kvalificerat certifikat, vilket bl.a. innebär att certifikatutfärdaren står under tillsyn enligt signaturlagen.

15 Sida 15 av 38 Det skydd som avancerade och kvalificerade elektroniska signaturer kan ge brukar i standardiseringssammanhang kallas "oavvislighet". I vissa sammanhang används denna term också för skydd som syftar till att en person inte ska kunna förneka att han eller hon har avsänt eller tagit emot en handling. (Se även avsnitt 2 ovan.) Rutinerna för att hantera nycklar och aktiveringsdata behöver vara enkla och tydliga så att medborgarna inte blandar ihop sina certifikat, nycklar och aktiveringsdata för signering med dem för elektronisk identifiering och kanske luras att signera i tron att identifiering sker. Samordningen bör därför, så långt det är möjligt, innefatta enhetliga och tydliga gränssnitt, utformade så att rutinerna inte förväxlas. Därigenom begränsas också risken för att en medborgare i efterhand felaktigt ska kunna hävda att han eller hon aldrig har avsett att signera utan trott sig aktivera den privata nyckeln för identifiering (Riktlinjerna 4.15, 5.7 och 7.2). Samordningen av medborgarnas användning av PKI-system på myndighetsområdet innefattar också verifiering av signatur (Riktlinjerna 2.4.4) eftersom myndigheterna avses kommunicera med medborgare genom att handläggare signerar och expedierar elektroniska handlingar med sin tjänsteidentitet. Riktlinjerna tar visserligen i huvudsak sikte på webbtjänster, men dessa tjänster bör i vart fall på sikt kompletteras med möjligheter att sända svar till medborgare, antingen så att de får signerad och insynsskyddad e-post som medborgaren kan verifiera eller så att medborgaren får besked via e-post - jfr en avi om en försändelse - att en handling finns att hämta i myndighetens webb-tjänst. Medborgaren bör härvid kunna verifiera att den elektroniska handlingen är utställd av den handläggare vid myndigheten som angetts som undertecknare. Identifiering Det samordnade området för identifiering har avgränsats utifrån de funktioner som planeras i anknytning till myndigheternas webbtjänster. Från medborgarens perspektiv innebär detta att tjänster för identifiering kan delas in i olika kategorier: identifiering vid tillträde, identifiering vid uppgiftslämnande, och identifiering av myndighet. Identifiering vid tillträde sker för att medborgaren ska kunna få tillgång till sekretessbelagda uppgifter via Internet utan att behöva riskera att andra som uppgifterna inte får lämnas till kommer åt dem genom att felaktigt utge sig för att vara medborgaren (Riktlinjerna a). Identifiering vid uppgiftslämnande ska i stället skydda mot att någon lämnar uppgifter till en myndighet under sken av att vara medborgaren (Riktlinjerna b). Den tredje formen av identifiering - identifiering av myndighet - gör det möjligt för medborgaren att kontrollera att han verkligen har anslutit till angiven myndighets webbserver. För att inte utesluta myndighetstjänster, som av något skäl inte bygger på webbgränssnitt har uttrycket "myndighetens elektroniska tjänst" använts i Riktlinjerna (Se även avsnitt 4 ovan).

16 Sida 16 av 38 På samma sätt som vid signering bör medborgarens rutiner för identifiering uppfylla vissa krav för att godtas. Den privata nyckeln för identifiering bör vara knuten uteslutande till en fysisk person och ha använts i en process som gör det möjligt att identifiera personen genom att verifiera vissa elektroniska data (det signerade slumptalet, se avsnitt 2 ovan). Dessa data ska ha skapats med en nyckel som endast medborgaren kontrollerar och ha knutits till andra elektroniska data på ett sådant sätt att förvanskningar av dessa kan upptäckas. Det bör alltså krävas funktioner med motsvarande kvalitet som för avancerade elektroniska signaturer. (Se definition av identifiering i Riktlinjerna och jämför definitionen av avancerad elektronisk signatur.) Verifiering av elektronisk myndighetsstämpel, certifikatutfärdarens elektroniska stämpel på certifikat och spärrlistor samt kryptering för insynsskydd I många fall är det tillräckligt för en medborgare att veta att en elektronisk handling härrör från en viss myndighet. Då behövs inte någon uppgift om att handlingen har ställts ut av en viss handläggare - jfr underskrift - och den elektroniska handlingen kan ha producerats med automatik så att det inte går att på vanligt sätt peka ut någon fysisk person som undertecknare. Exempel på detta från pappersmiljön är automatiskt sammanställda och utskrivna gravationsbevis för fastigheter. I anknytning till PKI-system på myndighetsområdet är det främst av myndigheten preliminärt färdigställda blanketter i elektronisk form eller andra sammanställningar av uppgifter som en medborgare får del av via en webbtjänst eller via e-post. För att skydda sådana tillämpningar använder myndigheten tekniken för digital signatur så att den privata nyckeln och certifikatet är knutna till myndigheten, inte till en fysisk person. En sådan stämpel med den säkerhetsnivå som Riktlinjerna kräver kallas för avancerad elektronisk myndighetsstämpel. (Se definitionen i Riktlinjerna.) En medborgare som tar emot en elektronisk handling som försetts med en avancerad elektronisk myndighetsstämpel måste kunna verifiera att handlingen verkligen är utställd av den myndighet som har angetts som utställare, på motsvarande sätt som medborgaren verifierar en handling som en handläggare har försett med sin elektroniska signatur (Riktlinjerna 2.4.5). PKI-tekniken kan också användas för att hindra obehöriga från att ta del av elektroniska handlingar som medborgare eller myndigheter sänder (Riktlinjerna och 2.5.6). Det går något förenklat till så att medborgaren använder myndighetens publika nyckel för identifiering och insynsskydd, för att kryptera innehållet så att endast myndigheten, som har tillgång till motsvarande privata nyckel, kan göra innehållet läsbart. Detta förutsätter fungerande rutiner för att ge medborgare tillgång till myndigheters publika nycklar för kryptering. Visserligen hör detta till det samordnade området men det har inte klarlagts ännu om de PKI-system som byggs upp på myndighetsområdet kan stödja en sådan samordning. Motsvarande skydd behövs för elektroniska handlingar som medborgare tar emot från myndigheter och rutinernas säkerhetsnivå ska motsvara de beskrivna (avancerade) rutinerna för signering och identifiering för att omfattas av Riktlinjerna. Myndigheternas användning av PKI-system mot medborgarna

17 Sida 17 av 38 Myndigheter och medborgare använder till stor del de PKI-baserade funktionerna på samma sätt. Följande beskrivning tar därför sin utgångspunkt i vad som sagts i föregående avsnitt om medborgarnas PKI-användning. Signering och verifiering av signatur Även myndigheter ska kommunicera med medborgarna med signerade elektroniska handlingar. Det sker genom att handläggare använder sin tjänsteidentitet, med tillhörande certifikat, nycklar och aktiveringsdata, för att förse beslut, förelägganden och andra elektroniska handlingar med en elektronisk signatur. De elektroniska handlingarna skyddas därmed mot förfalskning eller förnekande av signatur på motsvarande sätt som en traditionellt undertecknad handling (Riktlinjerna 2.5.3). Myndigheternas rutiner för signering bör uppfylla samma krav som medborgarnas för att godtas i PKI-system på myndighetsområdet. Riktlinjerna omfattar därför endast signaturer som är avancerade eller kvalificerade, dvs. inte användande av exempelvis enbart PIN-koder. Handläggare vid myndigheter bör, så långt det är möjligt, förses med enhetliga och lättbegripliga gränssnitt för signering så att de inte förväxlar denna rutin med t.ex. åtgärder för inloggning eller annan identifiering (jfr Riktlinjerna 4.15, 5.7 och 7.2). Med handläggare menas anställda eller uppdragstagare som för myndighetens räkning kommunicerar elektroniskt med en medborgare eller en annan myndighet. (Se definitionen i Riktlinjerna.) Ett annat användningsområde för PKI-system på myndighetsområdet är den kontroll som myndigheterna ska kunna göra av att elektroniska handlingar som signerats av certifikatinnehavare är äkta (Riktlinjerna 2.5.4). Det behöver bl.a. övervägas vilka rutiner myndigheter bör införa för att verifiera inkomna signerade handlingar. Ska detta ske automatiskt eller manuellt och bör den som handlägger ärendet som handlingen hör till också ha hand om och ansvara för verifieringen? Det behöver vidare säkerställas att myndigheterna får tillgång till de certifikat och uppgifter om spärr som behövs för att genomföra verifieringen. En närmare samordning av dessa rutiner har emellertid inte varit möjlig nu. Varje myndighet behöver se till att det, i den omfattning myndighetens elektroniska tjänster kräver, kan verifieras om mottagna elektroniska handlingar verkligen härrör från den som framstår som undertecknare. Identifiering Identifiering Myndigheternas användning av tjänster för identifiering kan delas in i (Riktlinjerna och 2.5.2).: identifiering vid tillträde, identifiering vid uppgiftslämnande, och identifiering av (annan) myndighet. Dessa rutiner kan beskrivas som en spegelbild av medborgarnas användning av funktioner för identifiering. (Se avsnittet "Medborgarnas användning av PKI-system mot myndigheter" ovan.) Från myndighetens utgångspunkt är emellertid syftet med att kontrollera medborgarens identitet att hindra att uppgifter som omfattas av sekretess lämnas till

18 Sida 18 av 38 fel person. Det kan t.ex. vara fråga om uppgifter om medborgarens inkomstförhållanden som automatiskt läggs in i en blankett innan medborgaren, efter erforderliga ändringar eller tillägg, signerar och ger in den via myndighetens webbtjänst. För att inte utesluta myndighetstjänster som av något skäl inte bygger på webbgränssnitt har uttrycket "myndighetens elektroniska tjänst" använts i Riktlinjerna Syftet med den elektroniska identifieringen kan också vara att hindra felaktiga beslut eller andra misstag till följd av att någon lämnar uppgifter till myndigheten under sken av att vara den medborgare som anges som uppgiftslämnare. Om myndigheten finner att en första identifiering vid tillträde till myndighetens elektroniska tjänst inte ger tillräckligt skydd kan webbtjänsten utformas så att användaren måste identifiera sig på nytt i det moment där han eller hon lämnar uppgifterna. Användarens identitet kontrolleras därmed i det ögonblick när uppgifterna lämnas och denna kontroll registreras t.ex. i en logg som myndigheten skyddar genom ett tekniskt förfarande. (Detta kan jämföras med att upprätta ett intyg på papper om att vissa uppgifter har lämnats.) Är behovet av skydd större bör det krävas att medborgaren signerar uppgifterna. Användarna bör ha olika aktiveringsdata för sina privata nycklar så att de kan skilja en identifiering från en signering Identifiering av annan myndighet innebär att PKI-tekniken i stället används så att en myndighet ska kunna kontrollera till vilken annan myndighets webbtjänst som en handläggare eller en server eller någon annan enhet har anslutit (Riktlinjerna 2.5.2). Elektronisk myndighetsstämpel och kryptering för insynsskydd Som framgått ovan är det i många fall tillräckligt för en medborgare att veta att en elektronisk handling härrör från en viss myndighet. Elektroniska handlingar med ett sådant skydd - elektronisk myndighetsstämpel (Riktlinjerna 2.5.5) - kan antas komma att användas främst i anknytning till blanketter i elektronisk form eller andra sammanställningar av uppgifter som myndigheter tillhandahåller åt medborgare via en webbtjänst eller via e-post. Myndigheternas användning av PKI-teknik avser härvid en privat nyckel och ett certifikat som är knutet till myndigheten som juridisk person, inte till en viss handläggare vid myndigheten. Detta kan liknas vid hur myndigheter i pappersmiljö kan förse en handling med myndighetens logotyp tryckt i färg för att läsaren ska lita på att handlingen härrör från myndigheten. På motsvarande sätt får en medborgare som verifierar en handling som försetts med myndighetens elektroniska stämpel veta att handlingen är utställd av angiven myndighet, men inte vilken handläggare som svarar för handlingen. (Se definitionerna i Riktlinjerna av "utställare" och "undertecknare".) PKI-baserade tjänster på myndighetsområdet bör endast omfatta elektroniska myndighetsstämplar som uppfyller vissa krav. Sådana avancerade elektroniska myndighetsstämplar ska vara knutna uteslutande till en myndighet, göra det möjligt att identifiera myndigheten, vara skapad med hjälpmedel som endast myndigheten kontrollerar och vara knuten till andra elektroniska data på ett sådant sätt att förvanskningar av dessa data kan upptäckas. PKI-tekniken kan också - med motsvarande säkerhetskrav - användas

19 Sida 19 av 38 för att hindra obehöriga från att ta del av elektroniska handlingar som myndigheter tillhandahåller via webbtjänster eller sänder till medborgare (Riktlinjerna 2.5.7). Detta förutsätter fungerande rutiner för att ge myndigheterna tillgång till medborgarnas publika nycklar för kryptering, något som hör till det samordnade området. Certifikat Det behövs olika typer av certifikat för de funktioner som samordnas (Riktlinjerna 2.6). De kan utfärdas för fysiska personer som medborgarcertifikat eller tjänstecertifikat och för myndigheter som webbservercertifikat eller certifikat för myndighetens elektroniska stämpel. Medborgarcertifikaten används för att kommunicera elektroniskt med myndigheter i egenskap av privatperson eller som företrädare för en juridisk person medan tjänstecertifikaten används av anställda och uppdragstagare hos myndigheter för att kommunicera inom myndigheten, med andra myndigheter och med medborgare. Webbservercertifikaten används i webb-servrar för att medborgare och myndigheter ska kunna identifiera den webb-server - hos en myndighet - med vilken de kommunicerar och för att skydda kommunikationen mot obehörig insyn. Certifikat för myndighetens elektroniska stämpel används för att en myndighet ska kunna ställa ut elektroniska handlingar som är skyddade mot förfalskning och förnekande så att det kan verifieras att den elektroniska handlingen har ställts ut av myndigheten eller inom ramen för ett visst verksamhetsområde inom myndigheten. Stämpeln innebär, precis som en signatur, att förlitande part både kan identifiera utställaren och verifiera att den stämplade texten inte har ändrats. Det är viktigt att certifikaten har ett sådant format att de kan läsas i de system som myndigheterna och medborgarna använder och att certifikaten innehåller alla uppgifter som behövs för det samordnade området (Riktlinjerna 2.7). De regler som behövs i denna del har redan tagits fram inom ramen för Statskontorets upphandling. 5 Certifikatutfärdare I Riktlinjernas fjärde avsnitt behandlas regler och rutiner för certifikatutfärdare som omfattas av ramavtal med Statskontoret om elektronisk identifiering och signering eller som annars utfärdar certifikat som bör godtas av en myndighet (se Riktlinjerna 6.3). Certifikatutfärdarens uppgifter (CA-verksamheten) omfattar bl.a. att inrätta och tillhandahålla en PKI för myndighetsområdet, ställa ut certifikat och tillhandahålla funktioner för spärr och spärrkontroll, bevara och uppdatera de uppgifter som behövs för sådana ändamål och sluta avtal med berörda aktörer. Uppgiften som certifikatutfärdare är tekniskt komplicerad och förutsätter omfattande åtgärder för att säkerställa informationssäkerheten. De flesta enskilda myndigheter torde knappast från kostnadssynpunkt finna skäl för att själv driva sådan verksamhet. Istället avses trovärdiga aktörer med stöd av Statskontorets upphandling tilldelas denna roll. Den som utfärdar certifikat som myndigheterna godtar bör ha sådana regler och rutiner för CA-verksamheten att medborgare, myndigheter och andra kan ha fog för att lita på de certifikat och anknytande tjänster

20 Sida 20 av 38 som utfärdaren tillhandahåller (Riktlinjerna 4.2). Dessa regler och rutiner anges i policydokument och utfärdardeklarationer som utfärdarna har åtagit sig att följa. Medborgarcertifikat och tjänstecertifikat Certifikatutfärdarens rutiner för ansökan om medborgarcertifikat eller tjänstecertifikat omfattar bl.a. säkra förfaranden för identifiering av sökanden och kontroll av att lämnade uppgifter är riktiga och fullständiga samt krav på avtalsvillkor med den som tilldelas certifikat och information om dessa villkor m.m. (Se vidare Riktlinjerna ) Certifikatutfärdarens skyldighet att informera är dock begränsad så att utfärdaren bl.a. inte behöver röja uppgifter som skulle kunna äventyra informationssäkerheten. Frågan om säker identifiering av den som ansöker om och tilldelas ett medborgarcertifikat eller ett tjänstecertifikat (Riktlinjerna 4.8 och 4.9) är av central betydelse för bedömningen av vilken tillit en förlitande part bör kunna ha till certifikatet. Normalt ska certifikatutfärdaren identifiera sökanden vid ett personligt besök, på likvärdigt sätt som vid en ansökan om en traditionell SIS-godkänd ID-handling. Ett förenklad förfarande bör dock i vissa fall godtas för den som ansöker om ett medborgarcertifikat eller ett tjänstecertifikat. Om sökanden tidigare har identifierats vid personligt besök och tilldelats en elektronisk identitet för att få använda bank på Internet eller någon liknande tjänst för identifiering eller signering, för ekonomiskt eller rättsligt betydelsefulla mellanhavanden, bör denna identitet kunna användas också för att ansöka om medborgarcertifikat eller tjänstecertifikat och för att tilldelas sådant certifikat elektroniskt, t.ex. via en webbtjänst. En sådan rutin bör emellertid inte användas om den har spärrats eller om det annars kan antas att den inte identifierar sökanden på ett tillräckligt säkert sätt. Certifikatutfärdaren bör kontrollera att ansökan om certifikat är undertecknad - eller på annat sätt säkerställd i de fall en säker identifiering tidigare gjorts enligt ovan - och att uppgifterna är fullständiga och överensstämmer med uppgifter i ett officiellt register (Riktlinjerna 4.10). Kravet på att ansökan ska vara "behörigen" undertecknad eller signerad syftar på den betydelsefulla uppgiften för certifikatutfärdaren att dels kontrollera att en ansökan om certifikat för elektronisk myndighetsstämpel eller webbserver-certifikat har gjorts av en behörig företrädare för myndigheten, dels vidta rimliga åtgärder för att medborgarcertifikat - och tjänstecertifikat - inte utfärdas till någon som är omyndig eller av motsvarande skäl inte bör få aktivera automatiska rutiner i myndigheternas system. Utfärdaren producerar certifikat i enlighet med lämnade och kontrollerade uppgifter och förser certifikaten med sin avancerade elektroniska signatur eller avancerade elektroniska stämpel. Medborgare och handläggare förses med ett certifikat för signering och ett för identifiering och insynsskydd (Riktlinjerna 4.11). I de fall där certifikatutfärdaren framställer de privata nycklarna ska dessa nycklar och lösenord för att aktivera dem (aktiveringsdata) befordras till sökanden i separata försändelser. När en säker identifiering inte gjorts tidigare ska åtminstone endera av nycklar och lösenord lämnas ut till sökanden vid personligt besök hos utfärdaren eller ett ombud för denne. När ett förenklat förfarande används bör sökanden få identifiera sig på samma sätt vid utlämnande av nycklar, aktiveringsdata och certifikat som vid ansökan om certifikat (Riktlinjerna 4.12). Utfärdaren ska använda särskilt tillförlitliga rutiner för att skydda sina privata nycklar för