I det daglige anvendes den personlige underskrift i mange sammenhænge. Hvad enten man skriver et brev, bestiller et bladabonnement eller underskriver en kontrakt, bruges den unikke underskrift for at attestere, at den påståede og faktiske identitet er den samme. Signaturen er en helt almindelig del af vores liv; men på Internet lever den personlige underskrift stadig en stort set ubemærket tilværelse.
Det er ikke fordi, Nettet overflødiggør spørgsmålet om identitet, snarere tværtimod; i den grænseløse, formløse og uoverskuelige digitale verden er det vigtigere end nogensinde at kunne fastslå, om modparten faktisk er den person, hvis navn toner frem på skærmen. Det er legende let at maskere sin identitet i den elektroniske kommunikation, som foregår helt uden fysisk kontakt.
Teknikken er på plads; ethvert elektronisk dokument, brev og meddelelse kan forsynes med et digitalt stempel, som kan bruges til at verificere, hvem der er ophavsmand til teksten. Den lovgivningsmæssige platform er også ved at falde i hak; den danske lov om den digitale signatur er netop trådt i kraft. Men spørgsmålet er, om brugerne spiller med.
Hemmelig nøgle
Elektronisk post sendt over Internet kan læses og ændres af uvedkommende inden det når frem til modtageren. Hvis man eksempelvis sender et e-mail til kommunen eller banken, kan uvedkommende opfange og manipulere indholdet, uden at afsender eller modtager opdager noget. Modtageren kan ikke være sikker på, at brevet kommer fra den person, som tilsyneladende har sendt det, ligesom det kan være ændret undervejs.
Kryptering bruges til at garantere, at meddelelsens indhold ikke kan læses af tredjepart som andet end en uforståelig bogstavsalat. Det meget anvendte public-key kryptering betyder, at hver person råder over en hemmelig og en offentlig nøgle. Når du vil sende en krypteret besked, henter du modtagerens offentlige nøgle, som eksempelvis kan placeres på en hjemmeside.
Brevet kodes nu med den offentlige nøgle, og sendes afsted til modtageren. Den kryptede tekst kan herefter ikke afkodes - heller ikke med det offentlige nøgle - men kun gøres læsbar med den hemmelige nøgle, som modtageren ligger inde med. De to nøgler, den offentlige og hemmelige, danner et par, som sammen skaber grundlaget for sikker kommunikation.
Men det er stadig ikke garanteret, at afsenderens identitet er korrekt. Her kommer den digitale signatur ind i billedet. En sådan elektronisk underskrift påføres ved at kryptere en tekst med den private nøgle, som modtageren kan dekryptere med afsenderens offentlige nøgle.
Signaturen garanterer både afsenderens autenticitet og selve meddelelsens integritet, altså at teksten ikke er ændret undervejs. Hvis brevets indhold er manipuleret, eller afsenderens hemmelige nøgle ikke danner par med den offentlige nøgle, som bruges til at undersøge brevets ægthed, kan teksten ikke gøres læsbar.
Certifikater
Den digitale signatur rejser et nyt spørgsmål. Hvordan kan man være sikker på, at den offentlige nøgle faktisk tilhører den rigtige person, og ikke en bedrager? Afsenderen skal være sikker på, at det er den korrekte nøgle, som anvendes. Det sker ved at benytte certifikater, som udstedes af et nøglecenter (CA - Certificate Authority). Certifikatet indeholder personens navn, en adresse og andre oplysninger.
Nøglecenteret er en betroet tredjepart, som står inde for, at den offentlige nøgle tilhører en person med det navn, som certifikatet bærer. Samtidig skal cerfikatets ægthed også garanteres; det sker ved at nøglecenteret underskriver certifikatet med sin digitale signatur.
Enhver institution eller virksomhed kan i princippet fungere som nøglecenter; men det er vigtigt, at brugerne har fuld tillid til den part, som yder denne service. Kommunedata, Tele Danmark og Post Danmark er blandt de danske virksomheder, som udsteder digitale certifikater.
I de fleste tilfælde skal man betale for at få sin identitet dokumenteret med et cerfikat - ikke ulig prisen for at få udstedt et pas - men CA’erne anvender forskellige løsninger med forskellige grader af sikkerhed, hvor de mest sikre bygger på smartcard-læsere. I Danmark kunne sygesikringskortet eksempelvis anvendes til at udstyre alle borgerne med en digital signatur.
Det virtuelle rådhus
Folketinget vedtog i maj måned 2000 loven om den digitale signatur, som trådte i kraft den 1. oktober. Loven indeholder blandt andet en række krav til de institutioner og virksomheder, som ønsker at blive godkendt som nøglecenter. Den elektroniske underskrift sidestilles nu med underskriften på papir, men det er stadig ikke sikkert, at signaturen bliver en succes.
Den elektroniske handel på Internet fungerer allerede i dag uden digital underskrift, og det er nok de færreste forretninger, som vil kræve at deres kunder underskriver bestillinger med en elektronisk signatur. En sikker, certifikat-baseret betalingsmetode - SET - har eksisteret i flere år, og har udviklet sig til et flop.
Blandt offentlige myndigheder bliver signaturen til gengæld mødt med begejstring. Det døgnåbne, virtuelle rådhus med 24-timers selvbetjening og elektroniske formularer kan nu blive realitet. En aktuel rapport, som Forskningsministeriet har udsendt, viser at servicen overfor borgerne kan forbedres, samtidig med at der kan spares penge.
Rapporten er baseret på konklusionerne fra en række pilotprojekter landet over. I Ringsted Kommune kan borgerne eksempelvis sende flytteanmeldelse, skifte læge og ændre pensionsoplysninger over Internet. De samme blanketter kan bruges uden elektronisk underskrift, men så skal de udskrives, underskrives og sendes med posten.