Dokument: Attest-signatur Version 0.1 Författare Sida 1 av 16 Ola Ljungkrona PO Datum 2011-01-01 Innehåll 1 Inledning... 2 1.1 Syfte... 2 2 Informationsflöde... 3 2.1 Begrepp... 3 3 Grundprincip... 5 4 Attestering... 6 4.1 Autentisering... 6 4.2 Dokumenterat beslut... 7 5 Signering... 8 5.1 Elektronisk handling... 8 5.2 Elektroniskt original... 10 5.3 Bestyrkt elektroniskt original... 11 5.4 Pappersutskrift... 12 5.5 Bestyrkt pappersutskrift... 13 5.6 Fler exempel... 13 6 Referenser... 14
Sida 2 av 16 1 Inledning Belysa olika sätt att internt säkerställa vem som tagit ett beslut, säkerställa innehåll, säkerställa utställare och bestyrka original. I dokumentet tas ett antal exempel upp för att illustrera signering. Tanken är att uppdatera dokumentet när det uppstår ett behov att beskriva andra scenarier för attestering och signering. Exempel inkluderade i rapporten: 1. Arkivlista (resultatrapportering) 1.1 Syfte Dokumentets syfte är att försöka förklara begreppen attestering och signering och förhållandet mellan dem och varför vi måste skilja på dem. Exemplen belyser och inkluderar också bevarandeperspektivet.
Sida 3 av 16 2 Informationsflöde För att kunna exemplifiera signering har exempel på relevanta flöden inom ramen för Ladok tagits fram. I kapitel 5 finns exempel på dokument som har signerats. I kapitel 4 beskrivs vad som menas med attestering inom ramen för Ladok. Följande flöden beskrivs: Examensbevis skapas genom att man skriver ut till en PDF (5.1) Examensbevis signeras alternativt stämplas med utställarangivelse och skapar ett elektroniskt original (5.2) Examensbeviset bestyrks (5.3) Examensbevis skrivs ut på papper, detta ger en papperskopia som inte har ngt juridiskt värde då äktheten är bruten i och med utskriften på papper (det går inte längre att kontrollera originalet programmatiskt) (5.4) Ngn skriver under papperskopian och i och med det bestyrker (vidimerar) äktheten på papperskopian som då får samma juridiska innebörd som det elektroniska originalet, man har skapat en bestyrkt papperskopia (5.5). 2.1 Begrepp Många av de begreppen i tabellen nedan används inte direkt i detta dokument men är väsentliga inom ramen för detta område och skapar en bättre förståelse för vad som menas med dem. De är hämtade ur vägledning för Elektroniska original, kopior och avskrifter av E-delegationen. För vidare förståelse av begreppen vänligen läs rapporten. Begrepp Elektronisk handling Elektronisk underskrift Elektronisk signatur Elektronisk stämpel Tidsstämpel Elektroniskt undertecknad eller elektroniskt stämplad Elektroniskt original Elektroniskt dokument Elektronisk kopia Elektronisk avskrift Beskrivning Upptagning för automatiserad behandling som utfärdaren har gett ett slutligt innehåll En elektronisk motsvarighet till en underskrift på papper En motsvarighet till en elektronisk underskrift som inte är knuten till en fysisk person utan till en myndighet eller en annan organisation. Ett elektroniskt intyg om tidpunkten för en viss händelse. Försedd med en elektronisk underskrift eller en elektronisk stämpel. En elektronisk handling som har försetts med en elektronisk utställarangivelse så att det kan kontrolleras med ett tekniskt förfarande om handlingen är äkta. En avbild av ett pappersoriginal eller ett elektroniskt original som avses visa både texten i originalet, originalets utseende och andra betydelsebärande element, t.ex. bilder som ingår som en del i framställningen. En elektronisk handling som återger hela eller delar av innehållet i ett pappersoriginal eller ett elektroniskt
Sida 4 av 16 Bestyrkt elektronisk kopia Bestyrkt elektronisk avskrift Bestyrkt elektroniskt original original utan att originalets utseende visas En elektronisk kopia som försetts med ett elektroniskt undertecknat eller stämplat intyg om att kopian överensstämmer med orginalet En elektronisk avskrift som försetts med ett elektroniskt undertecknat eller stämplat intyg om att avskriften överensstämmer med hela eller delar av original-innehållet Ett elektroniskt original som har försetts med ett elektroniskt undertecknat eller stämplat intyg om att underskriften respektive stämpeln är äkta Bilden nedan visar sambandet mellan en del av begreppen ovan:
Sida 5 av 16 3 Grundprincip För att kunna ge ett stöd i valet om det skall vara signering eller attestering vi ett tillfälle kan följande princip användas. Signering av e-handlingar skall ske för e-handlingar som skall lämna myndigheten och där äktheten av handlingen skall kunna verifieras vid ett senare tillfälle, oavsett om utställande myndighet är tillgänglig eller inte. I andra fall där ett beslut eller liknande skall dokumenteras skall attestering användas
Sida 6 av 16 4 Attestering Att attestera betyder att godkänna att ngt är riktigt vid ett tillfälle, dvs. ngn som intygar att detta är korrekt och riktigt. Konsekvensen vid en attestering blir att systemet loggar att det skett en attestering och att det då finns en spårbarhet till beslutet. Det enda som är avsikten med en attestering är att säkerställa att det är rätt person som har gjort attesteringen, dvs. för att attestera måste användare på något sätt autentisera sig. 4.1 Autentisering För att bekräfta att användaren är rätt person kan detta inom datorvärlden göras på flera sätt. För att bekräfta att det är rätt person som sitter bakom datorn så kan det krävas flera saker än att slå in sitt lösenord igen för att uppnå samma nivå av tillit som att visa en legitimation när man hämtar ut paket på posten. Användaren slår in sitt lösenord igen Användaren trycker på en knapp och systemet loggar vem det nu var vem som var inloggad vid tillfället Användaren trycker på en knapp och blir skickad till en extern autentiseringstjänst om det saknas biljett eller att biljettens giltighetstid har gått ut för sessionen Användaren använder en e-legitimation 1 (specifik implementation av 2- faktor autentisering) Användaren använder en annan form av 2-faktor autentisering, såsom Yubikey, SMS, etc. Vilken typ av autentisering som användaren skall använda för ett specifikt ändamål är det som det lokala lärosätets tillitsramverk definierar. Alla har inte ett tillitsramverk på plats utan använder en autentisering som känns tillräcklig eller vad som definieras av externa tjänsteleverantörer såsom exempelvis SWAMID. I korthet kan tillitsramverket beskrivas hur organisationen definierar olika nivåer av tillit. Dessa brukar kallas Assurance Level (AL) eller Level of Assurance (LoA) eller helt enkelt tillitsnivå. Dessa brukar finnas i fyra nivåer från AL1 till AL4,där AL4 är den starkaste nivån av tillit. Att observera är att tillitsnivåer även definierar hur identifieringen av användaren sker vid första utlämningstillfället av lösenord och eventuellt ytterligare nyckel, samt hur utställande myndighet eller organisation fortlöpande kontrollerar detta. Detta alltså utöver vilken tillitsnivå som skall användas vid autentiseringstillfället. Vilken tillitsnivå som skall användas vi en attestering är upp till det lokala lärosätet. Den enda riktlinjen som möjligtvis går att hänvisa till är att det i flertalet förarbeten, och även ofta i Datainspektionens beslut och vägledningar, talas om "stark autentisering" vid behandling av känsliga personuppgifter. Med stark autentisering avses tekniker som realiserar tillitsnivå 3, AL3. Idag finns det bara ett sätt att nå AL3 och det är genom e-legitimation (BankID). Några exempel på när attestering görs inom ett lärosäte: 1 E-legitimation är den enda tekniska implementationen som uppfyller lagen om avancerade elektroniska signaturer, enligt lagen (2000:832) om kvalificerade elektroniska signaturer.
Sida 7 av 16 Dokumentera vissa beslut Attestera fakturor Attestera utbetalning (i de flesta fall alltid med 2-faktor bankdosa) Attestera semester eller liknande etc 4.2 Dokumenterat beslut Vissa beslut som tas inom en myndighet såsom exempelvis kursbetyg, måste det internt kunna säkerställas vem som tagit ett beslut. Detta för att säkra spårbarheten till vem som tagit beslutet. De flesta av de beslut som en myndighet tar kommuniceras inte direkt utan kommuniceras till vederbörande som en information om att beslut är taget. Önskar personen ta del av beslutet får den begära ut handlingen och i det läget är det rimligt att också stämpla (signera) beslutet med en utställarangivelse.
Sida 8 av 16 5 Signering Signering är att godkänna att ngt är riktigt och sedan helt utanför vår kontroll kunna kontrollera att så var fallet. För att kunna signera krävs två mekanismer. Den ena består i att identifiera användaren som skall signera, dvs. autentisering. Den andra är själva signeringsmekanismen. En signering kan likställas med en underskrift på papper. Det är ngt som intygar att handlingen är äkta. En e-signering kan göras med ett personligt certifikat eller med en e-stämpel. En e-stämpel är då inte personlig utan stämpeln representerar den organisation som personen representerar. I följande kapitel tas några flöden fram som är relevanta för Ladok. En bild av hur dokumentet ser ut finns till varje flöde. Examensbevis skapas genom att man skriver ut till en PDF (5.1) Examensbevis signeras alternativt stämplas med utställarangivelse och skapar ett elektroniskt original (5.2) Examensbeviset bestyrks (5.3) Examensbevis skrivs ut på papper, detta ger en papperskopia som inte har ngt juridiskt värde då äktheten är bruten i och med utskriften på papper (det går inte längre att kontrollera originalet programmatiskt) (5.4) Ngn skriver under papperskopian och i och med det bestyrker (vidimerar) äktheten på papperskopian som då får samma juridiska innebörd som det elektroniska originalet, man har skapat en bestyrkt papperskopia (5.5). 5.1 Elektronisk handling Det uppstår en elektronisk handling när det skapas en PDF till exempelvis ett examensbevis. Detta dokument skall hanteras enligt myndighetens arkivredovisning för e-handlingar. Det har dock ingen juridisk bäring för en student så länge det inte är signerat. Nedan visas ett exempel på en e-handling som inte har signerats.
Sida 9 av 16
Sida 10 av 16 5.2 Elektroniskt original För att examensbeviset skall få juridisk bäring behöver e-handlingen signeras med en utställarangivelse. Notera att i exemplet nedan finna stämpeln som en del av pdf-filen och det går inte att ändra på filen utan att förstöra signeringen. I exemplet nedan ser det bara ut som att det kommer upp en stämpel men i själva verket kommer läsaren (ex. vis Adobe Reader) att visa att filen innehåller en godkänd signatur. Genom att signera en e-handling har det skapats ett elektroniskt original.
Sida 11 av 16 5.3 Bestyrkt elektroniskt original Samma som ovan men en ytterligare oberoende stämpel har lagts till. Detta kan jämföras med att vidimera originalet. Ett exempel på ett bestyrkt elektroniskt original syns nedan.
Sida 12 av 16 5.4 Pappersutskrift Om en signerad e-handling skrivs ut på papper går det att säga att verifieringskedjan är bruten och signaturerna följer med utan att betyda ngt. De är bara en bild på ett papper och dokumentet har längre ingen juridisk bäring. Signeringarna syns i dokumentet men bara som bilder utan betydelse juridikst.
Sida 13 av 16 5.5 Bestyrkt pappersutskrift En utskriven papperskopia kan givetvis vidimeras och intygas på samma sätt som på den gamla goda tiden med en handunderskrift. 5.6 Fler exempel På sidan http://service.secmaker.com/efrf/default.aspx finns ytterligare exempel för att visa på hur de olika signerade e-handlingarn och även pappersoriginal kan se ut.
Sida 14 av 16 6 Exempel arkivlista Arkivlistan i Ladok idag är det dokument som dokumenterar vilka resultat en student har på en kurs. Genom att skriva under arkivlistan så anses resultaten beslutade. Arkivlistans funktion är att dokumentera beslut av resultat och att dessa kan bevaras. Bevarandet sker genom att arkivlistan sparas i arkivet. Handlingen kan inte gallras. Hur redovisningen av studier skall hanteras regleras i Förordning (1993:1153) om redovisning av studier m.m. vid universitet och högskolor Detta exempel beskriver processen för hur tre olika flöden resultatrapportering är tänkt att ske. Dessa tre flöden är: 1. Elektronisk attestering med möjlighet till elektronisk bevarande 2. Elektronisk attestering med möjlighet till traditionellt bevarande 3. Traditionell underskrift för hand med traditionellt bevarande Processen i sin helhet kan ses i bilaga X. Hur bevarandet av e-handlingar skall göras finns beskrivet i RA-FS 200:1 och 2009:2. När det gäller vilka krav som gäller för attestering av beslut har projektet tagit fram en modell som anses vara tillräcklig för att skapa spårbarhet av beslut. Spårbarheten 2 av besluten ligger i att säkerställa identiteten på den som signerar samt att beslutet inte med lätthet kan manipuleras i efterhand. Dock så kommer detta ställa krav på rutiner för att spara de loggar som finns på den IdP 3 som utfört identifieringen och att dessa bevaras i enlighet med RA-FS 2009:1 och 2. Det är viktigt att notera att den nivå av säkerhet som önskas vis attesteringen måste konfigureras av varje lärosäte på lärosätets egna IdP. Ladok har ingen möjlighet att påverka säkerhetsinställningen på lokal IdP. Det Ladok gör är att en inställning av AL-nivå skickas med till IdP. IdP måste kunna hantera detta attribut. 6.1 Flödet EPC Processen för hur resultatrapporteringen ät tänkt är gjort i ngt som kallas en EPC Event (Driven) Process Chain. Tanken att visa vilka funktioner som en roll utför och vad statusen är efter den funktionen. Det är inte ovanligt att alla Events inte skrivs ut i flödet för de är uppenbart vad statusen är efteråt. Den korrekta syntaxen kräver dock det. 6.1.1 Elektronisk attestering med möjlighet till elektronisk bevarande Flödet är identiskt i början fram till det läge då lärosätet väljer att gå den elektroniska vägen eller att bibehålla arkivlistorna, dvs. den traditionella vägen för att hantera bevarande. 2 Att säkerställa att spårbarheten är tillräckligt bra kan endast göras genom en tillsyn av Riksrevisionen. Detta kan inte göras innan utan görs alltid efteråt. Modellen är hämtad från hur slutattestering av fakturor görs inom en myndighet. 3 Identity Provider
Sida 15 av 16 Flöde: 1. Resultatet bearbetas, vilket leder till att resultaten blir inlagda i Ladok 2. Roll väljer vilka resultat som skall attesteras eller hanteras på traditionellt sätt 3. Roll väljer vem som skall attestera eller skriva under arkivlistan 4. Konfigurationen väljer att attesteringsfunktionen skall aktiveras 5. Examinator attesteras resultaten genom att göra en återautentisering på den säkerhetsnivå som lärosätet har definierat på de resultat som var valda tidigare i steg 2 I detta läge finns nu beslutet i Ladok med en händelse i loggen på IdP, så att det går att spåra av vem och när attesteringen var gjord. Ladok har också producerat ett bevarandeexemplar i form av en xml som representerar beslutet. Tillsammans med xml-filen finns det en metadatafil som lokalt lärosäte har konfigurerat för att mottagande bevarandesystem vet hur arkivredovisningen på lärosätet ser ut. Xmlfilen bör exporteras ut snarast till ett bevarandesystem och samtidigt tas bort från Ladok och ersättas med en URI där beslutet ligger i bevarandesystemet. Produceras ett nytt beslut skall ett nytt bevarandeexemplar med tillhörande data skapas och ersätta det gamla bevarandeexemplaret i bevarandesystemet. 6.1.2 Elektronisk attestering med möjlighet till traditionellt bevarande I detta flöde saknar lärosätet möjligheten till elektroniskt bevarande. Därför måste ett bevarandeexemplar skrivas ut och som kan kopplas till beslutet i Ladok. Flödet är identiskt med förra flödet. Det som skiljer är att den xml-fil som är avsedd att bevaras skrivs ut istället. Xml-filen innehåller referenser om av vem och när beslutet togs. För att denna handling skall kunna betraktas som ett bevarandeexemplar måste utskriften intygas (vidimeras) för att sedan behandlas enligt lärosätets arkivhantering. Det som är oklart med detta flöde är huruvida loggen på IdP som visar att attesteringen genomfördes skall bevaras också eller om det räcker med att utskriften är vidimerad. Flöde: 1. Resultatet bearbetas, vilket leder till att resultaten blir inlagda i Ladok 2. Roll väljer vilka resultat som skall attesteras eller hanteras på traditionellt sätt 3. Roll väljer vem som skall attestera eller skriva under arkivlistan 4. Konfigurationen väljer att attesteringsfunktionen skall aktiveras 5. Roll väljer att skriva ut beslut för bevarande, namnet på undertecknare är förifyllt 6. Examinator intygar utskriften genom en vidimering 7. Utskriften skickas ner till arkivet för bevarande Samtidigt som en person väljer att skriva ut en papperskopia av beslutet tas xmlfilen bort från Ladok. Nu finns ett beslut i Ladok som är elektroniskt attesterat och en vidimerad kopia av beslutet på papper i arkivet. Arkivlistan skulle kunna återskapas om behov finnes. Detta endast för referens och den återskapade listan kan inte heller ligga kvar i Ladok.
Sida 16 av 16 6.1.3 Traditionell underskrift för hand med traditionellt bevarande För ett lärosäte som inte i dagsläget har ett system för bevarande eller vill implementera attestering eller av andra orsaker inte anser att lösningen uppfyller deras krav, så kommer en helt manuell rutin enligt följande flöde kunna erbjudas: Flöde: 1. Resultatet bearbetas, vilket leder till att resultaten blir inlagda i Ladok 2. Roll väljer vilka resultat som skall attesteras eller hanteras på traditionellt sätt 3. Roll väljer vem som skall attestera eller skriva under arkivlistan 4. Konfigurationen väljer att attesteringsfunktionen skall aktiveras 5. Roll väljer att skriva ut beslut för bevarande, namnet på undertecknare är förifyllt 6. Examinator intygar utskriften genom en vidimering 7. Beslutet definitivinläggs i Ladok. Systemet kvitterar inläggningen 8. Utskriften skickas ner till arkivet för bevarande Nu finns en referens i systemet som pekar ut den bevarade arkivlistan. Den xml-fil som den utskrivna arkivlistan finns inte kvar i Ladok. Arkivlistan skulle kunna återskapas om behov finnes. Detta endast för referens och den återskapade listan kan inte heller ligga kvar i Ladok.