Central signering Hur fungerar lösningen tekniskt ch juridiskt Stefan Santessn, 3xA Security AB stefan@aaa-sec.cm Per Furberg, Setterwalls Per.Furberg@Setterwalls.se
Rller ch funktiner Signeringsfunktin Spärrkntrll Identitetsutfädare Förlitande part Infrmatin för underskrift Presentatör
E-legitimatiner Traditinell PKI + Identitetsfederatin
Traditinell e-signering e i myndighetstjänster nster Identitetsutfärdare Användare Kntrll Underskrift Myndighet Presentatin
Central e-signering e i myndighetstjänster nster Identitetsutfärdare Identitetsintyg Autentisering Identitetsintyg Central signeringtjänst Användare Kntrll Myndighet Underskrift Presentatin
Hur går g r det till i praktiken Presentatin ch gdkännande Central signeringtjänst Användare Begär underskrift Myndighet Presentatin Gdkännande (Jag vill skriva under)
Hur går g r det till i praktiken Identitetsutfärdare Legitimering för f r signering Begär legitimering Identitetsintyg Identitetsintyg Central signeringtjänst Presentatin (Legitimering För underskrift) Autentisering (Jag skriver under) Användare
Dessa funktiner ch system för att skriva under ch hantera handlingar ska vara rbusta, skyddade från angrepp mt infrmatinssäkerheten ch särskilt anpassade för att hindra förfalskning ch andra angrepp mt tilliten till underskrivna handlingars äkthet. 7. Någt hundraprcentigt skydd är emellertid knappast möjligt att skapa. Det måste därför klargöras ch i vissa delar regleras genm avtal vilken part sm ska stå risken vid tekniskt fel, angrepp mt infrmatinssäkerheten eller manipulatiner av handlingars äkthet. Dessa frågr aktualiseras i lika partsförhållanden. En grv indelning kan ckså göras i fel sm avser själva handlingen innehållet härrör inte (i alla delar) från den sm framstår sm utställare respektive fel sm uppkmmer i funktiner eller system för att underteckna eller hantera de undertecknade handlingarna. 8. Undertecknare./. förlitandepart: Förlitande part står enligt allmänna regler risken m själva handlingen är falsk dvs. m den användare sm pekas ut i handlingen inte har undertecknat den eller m innehållet har ändrats av en behörig. Den i handlingen utpekade undertecknaren blir alltså intebunden av handlingens innehåll m uppgiften m undertecknare är riktig. Om en användare medverket aktsamt till att en underskrift kunde prduceras, t.ex. lämnat krt ch anteckning m aktiveringskd bevakade, kan användaren enligt gällande rätt bli skyldig Hur går g r det till i praktiken Signering 1. Skapa nycklar ch certifikat 2. Signera 3. Destruera nycklar 4. Leverera signatur Central signeringtjänst 1 2 + Underskrift Myndighet 3 + 4 6. Lgg +
Dessa funktiner ch system för att skriva under ch hantera handlingar ska vara rbusta, skyddade från angrepp mt infrmatinssäkerheten ch särskilt anpassade för att hindra förfalskning ch andra angrepp mt tilliten till underskrivna handlingars äkthet. 7. Någt hundraprcentigt skydd är emellertid knappast möjligt att skapa. Det måste därför klargöras ch i vissa delar regleras genm avtal vilken part sm ska stå risken vid tekniskt fel, angrepp mt infrmatinssäkerheten eller manipulatiner av handlingars äkthet. Dessa frågr aktualiseras i lika partsförhållanden. En grv indelning kan ckså göras i fel sm avser själva handlingen innehållet härrör inte (i alla delar) från den sm framstår sm utställare respektive fel sm uppkmmer i funktiner eller system för att underteckna eller hantera de undertecknade handlingarna. 8. Undertecknare./. förlitandepart: Förlitande part står enligt allmänna regler risken m själva handlingen är falsk dvs. m den användare sm pekas ut i handlingen inte har undertecknat den eller m innehållet har ändrats av en behörig. Den i handlingen utpekade undertecknaren blir alltså intebunden av handlingens innehåll m uppgiften m undertecknare är riktig. Om en användare medverket aktsamt till att en underskrift kunde prduceras, t.ex. lämnat krt ch anteckning m aktiveringskd bevakade, kan användaren enligt gällande rätt bli skyldig Hur går g r det till i praktiken Kntrll ch bevissäkring 1. Fga samman signerad handling 2. Kntrllera signatur 3. Tidsstämpla 4. Lagra bevis 1 + + Central signeringtjänst 2 3 Kntrll Myndighet + 6. 4 Lgg
Hur går g r det till i praktiken Kvittens till användaren ndaren Användare Myndighet Bekräftelse (Kvittens)
Spårbarhet Tre berende parter bevittnar förlppetf Identitetsutfärdare Identitetsintyg Möjlig återkppling Central signeringtjänst Användare Myndighet Lagrar bevismaterial
Summering Bygger på en svensk identitetsfederatin för svensk e-legitimatin Möjlighet att använda många typer av e- legitimatiner Underskrifter knyts till e-legitimatinen Det går inte att skriva under med stöd av en spärrad e-legitimatin Ingen privat nyckel lagras centralt Många möjligheter till spårbarhet Slutprdukten är en traditinell elektrnisk underskrift
Underskrift idag vid kntakt med myndighet En fysisk persn skriver under på papper med penna ch bläck, efter att ha fått en blankett ch fyllt i den, eller fyllt i ch skrivit ut en blankett från nätet, eller elektrniskt, med ett särskilt certifikat för underskrift efter att undertecknare har fått texten presenterad på bildskärm Rättshandlingen äger rum/prcessen aktiveras genm att undertecknaren fattar pennan ch rör handen så att det blir en underskrift skriver aktiveringskd ch klickar på jag skriver under
Risker vid pappersunderskrift Vid underskrift med penna håller undertecknaren i ett (eller flera) pappersark ch just det arket undertecknas. Det ger undertecknaren kntrll över vilket fysiskt exemplar av papper sm han eller hn förser med underskrift samtidigt sm texten blir fysiskt låst till pappersarket, men inte full kntrll över innehållet; endast sista sidan skrivs under när utkastet består av flera ark (underskriften hindrar inte att någt av de övriga arken byts ut), en närvarande vid undertecknandet kan byta ut handlingen i sista stund så att fel handling undertecknas (= en frm av förfalskning), ch undertecknaren har vanligtvis inte läst (hela) innerhållet ch i många fall inte förstått det finstilta Vid underskrift med penna kan förlitande part i praktiken inte kntrllera m underskriften är äkta, med undantag för det fall att undertecknaren är fysiskt närvarande, skriver på i mttagarens närvar ch presenterar en ID-handling I IT-miljö = världens största kriminaltekniska labratrium
Underskriftens funktiner inte bara säkerhets En underskrift kan sägas ha bl.a. följande funktiner: Övervägande säkerhetsrelaterade; autentisering; dkumentet är äkta ch kan åtnjuta allmänt tillit, bevissäkring; ett skriftligt bevis skapas kan åberpas i rättegång, riginal; möjligt att skilja mellan ett riginal ch en kpia, så delvis kan bedömas vilken tilltr förlitande part kan ha Övervägande rättsligt relaterade glöm inte dessa funktiner avslutningsfunktin; innehållet fullständigt ch förenligt med undertecknarens vilja - menar sig bli bunden av innehållet varningsfunktin; säkerställs att undertecknaren tänker sig för ch förstår åtgärdens innebörd, ch traditin; underskriftskravet kan ha sin grund i traditiner på mrådet trts att närmare analys visar att de inte finns tillräckliga juridiska skäl för att kräva underskrift, ch riginal; rättigheter kan knytas till ett fysiskt exemplar (jfr sedel)
Tekniska kännetecken för r en central respektive en lkal lösning upplevs inte Användaren märker inte när underskrift sker i en central tjänst ch att en ny tillfälligt skapad signeringsnyckel används för varje underskrift vet nrmalt inte att de nu använder ett särskilt certifikat för underskrift fta inte heller m de skriver under eller endast legitimerar sig Såväl lkalt sm centralt utförs rättshandlingen med svensk e-leg
Närmare m e-underskriften e från n undertecknarens perspektiv Beträffande texten på skärm vet undertecknaren fta inte på vilka bärare data finns, består det undertecknaren ser endast av ljussvängningar finns underförstådda regler m hur lagrade data ska visualiseras Beträffande skrivdnet för undertecknande vet användaren inte att ett särskilt certifikat används, har användaren inte fysisk kntrll över aktiveringen så sm över sin arm, hand ch penna, Men en signaturtjänst kan utfrmas så att en underrättelse ges för varje underskrift vet användaren inte säkert m all text sm visats för granskning inför underskrift mfattas av den hashsumma sm ersätter pappersarkets låsande funktin eller m endast vissa uppgifter låsts genm underskriften
Juristens jämfj mförelse lkal/ central underskrift Fri bevisprövning enligt rättegångsbalken I båda fallen brukar undertecknaren sin e-leg Spärr av e-leg får mtsvarande verkan i båda fallen När spärrats går det inte att skapa nya underskrifter sm vinner tillit Underskrifter skapade före spärr brukar anses giltiga Riskerna jämförbara för att användares e-leg missbrukas genm stöld eller dataintrång Central underskrift ger möjlighet att via en separat kanal underrätta en innehavare när dennes e- legitimatin använts för underskrift
Aktörer - riskfördelning rdelning Central signeringtjänst E-tjänsteleverantör (Förlitande part) Intygsutfärdare Identitetsintyg Användare (Undertecknare) E-legutfärdare
Undertecknare./. Förlitande F part Förlitande part står enligt allmänna regler risken m själva handlingen är falsk utpekad undertecknare blir inte bunden av handlingens innehåll, men i praktiken ett bättre skydd, ch endast ffentlig sektr förlitande part Om användare medverkat aktsamt, t.ex. lämnat krt ch anteckning m PIN framme, kan användaren bli skyldig att ersätta förlitande part för skada enligt avtal, eller allmänna principer E-tjänsteleverantör (Förlitande part) Falsk Användare (Undertecknare) Krav
Undertecknare./. Förlitande F part Brister i system sm används för det förvaltningsrättsliga förfarandet kan medföra t.ex. förseningsavgift eller för sent överklagande Får bedömas enligt allmänna regler m skadeståndsansvar, vilket medför att ersättning nrmalt inte trde utgå För e-tjänst sm en enskild frivilligt tar i anspråk på affärsmässiga grunder gäller allmänna privaträttsliga regler. Frågan m ansvar regleras i dessa fall nrmalt i parternas avtal (tjänstens allmänna villkr), Friskrivningar E-tjänsteleverantör (Förlitande part) Kan inte skapas krrekt Användare (Undertecknare) Krav
E-tjänsteleverantör r./. E-legitimatinsnämndenmnden Central signeringtjänst Krav E-tjänsteleverantör (Förlitande part) E-tjänsteleverantörens verksamhet störs E-tjänsteleverantören kmmer till övervägande del att vara en myndighet under regeringen; dvs. samma juridiska persn sm nämnden - kan inte prcessa med sig själv Men m t.ex. landsting/kmmun/myndighet under regeringen är prcess möjlig (men knappast trlig). E-legitimatinsnämndens ansvar bör regleras i avtal Fel i handling eller kan inte skapas krrekt ett metdansvar sm innebär att nämnden blir ansvarig m den aktsamt har åsidsatt den prcedur nämnden ska följa enligt närmare regler (resultatansvar en slags garanti m att handling är äkta kan knappast kmma i fråga). Ansvaret bör belppsbegränsas Om nämnden inte varit aktsam står förlitande part risken
E-tjänsteleverantör r./. Intygs- (ch e-lege leg-) ) utfärdare E-tjänsteleverantörens verksamhet störs Identitetsutfärdarens ansvar regleras i avtal Bör regleras sm ett metdansvar ansvarig m aktsamt åsidsatt den prcedur sm ska följas enligt Belppsbegränsas Intygsutfärdare Identitetsintyg E-legutfärdare Krav E-tjänsteleverantör (Förlitande part) Blir falsk handling eller kan inte skapa handling Har Identitetsutfärdaren inte varit aktsam står förlitande part risken Identitetsutfärdaren ska vara E- legitimatinsutfärdare eller mt förlitande part svara för E- legitimatinsutfärdaren sm m Intygsutfärdaren själv utfört uppgiften Därför gäller samma ansvar för intygsutfärdaren i förhållande till E-tjänsteleverantören sm m felet hade bertt på brister i intygsdelen
Undertecknare./. E-legutfE legutfärdare Undertecknare sluter avtal endast med E-legutfärdare inte med E-legnämnden eller intygsutfärdare Undertecknaren får därmed vända sig mt E-legutfärdaren E-legutfärdaren kan emellertid ha friskrivit sig från ansvar Nämnden bör överväga m krav ska ställas på denna ansvarsfördelning för svensk e-legitimatin Intygsutfärdare Identitetsintyg Kan inte skapa handling eller uppkmmer fel Användare (Undertecknare) E-legutfärdare Krav