Kronik: Digitale signaturer i XML-dokumenter

Videnskabsministeriet har indgået en kontrakt om levering af en XML-database til 20 millioner kroner, og dermed er der kommet fokus på, hvordan digitale signaturer kan indarbejdes i XML-dokumenter, skriver Brian Mertz Pedersen og Suzette Wagner fra Eurotrust.

Den danske stat har lagt vægt på, at der skal sikres en maksimal genanvendelse af allerede indsamlede data, og at data let kan overføres fra en organisation til en anden. Derfor vil den danske stat anvende XML som standard for udveksling af data i den offentlige sektor.

Standarden XML er en åben standard, som giver større muligheder for at udveksle data og publicere på nettet end for eksempel HTML. Ved brug af XML kan man selv definere et dokumentformat, som kan forstås af ethvert andet system, der understøtter XML.

På grund af disse fordele er XML blevet mere og mere udbredt i blandt andet digital forvaltning, e-handel samt B2B-applikationer, og formatet bruges også til webtjenester.

Derfor er det nødvendigt, at der findes en mulighed for at sikre XML-dokumenter, så man kan have tillid til indhold og oprindelse af dokumenterne. En måde at sikre dette på er ved at benytte digitale signaturer, da brug af en digital signatur sikrer både integritet, autenticitet og uafviselighed.

Man kan allerede nu benytte digitale signaturer til at signere XML dokumenter, men fremover vil der komme et stigende behov for at kunne signere specifikke dele af dokumenter og tillade, at flere personer signerer elementer i samme dokument.

XML Signature

XML Signature er en teknologi udviklet i et samarbejde mellem webkonsortiet W3C (World Wide Web Consortium) og Internet Engineering Task Force (IETF). XML Signature tager hensyn til de specielle krav, som XML-formatet stiller med hensyn til signering, og den benytter sig af XML-syntaksen, så det bliver lettere at integrere digitale signaturer i XML applikationer.

XML signaturer er digitale signaturer, som er specielt designet til brug ved XML-transaktioner. Ligesom almindelige digitale signaturer kan XML signaturer sikre autentifikation, integritet og uafviselighed.

XML Signature befinder sig i øjeblikket på stadiet umiddelbart før, den bliver endelig godkendt som W3C-standard. Dette stadie kaldes for Second Candidate Recommendation. Standarden angiver en metode til, hvordan digitale signaturer kan indarbejdes i XML-dokumenter.

Flere personer kan underskrive i det samme dokument

En vigtig funktion i W3C standarden for XML signaturer er muligheden for at kunne underskrive en bestemt del af XML dokumentet i stedet for hele dokumentet. Det vil sige, at flere personer kan underskrive hvert sit afsnit i dokumentet, uden at det ødelægger de andres signaturer. Med de ældre standarder for digital signatur er dette ikke muligt.

Denne funktion er endda ekstra nyttig, når man har brug for at sikre integriteten af nogle dele af et dokument, mens de resterende dele af dokumentet stadig kan ændres. Dette er specielt velegnet til brug for digital forvaltning, når der skal sendes dokumenter mellem borgerne og staten, hvor integriteten skal sikres begge veje.

Eksempelvis kan skatteforvaltningen sende selvangivelser ud til borgerne pr. e-mail. Selvangivelsen påføres skatteforvaltningens digitale signatur. Hvis den digitale signatur dækker over hele selvangivelsen, så vil den digitale signatur blive ødelagt, når en borger ændrer et beløb på selvangivelsen. Derfor vil det være nyttigt at benytte XML dokumenter (XML forms) og XML signaturer i den digitale forvaltning.

Tre typer XML signaturer

Skal man bruge digitale signaturer i XML dokumenter, så stiller det specielle krav til den teknik, der skal benyttes til at påføre dokumentet digitale signaturer. Der er tre hovedkrav til en XML signatur: Der skal kunne påføres en signatur på et specifikt element i et dokument, der skal kunne påføres flere forskellige signaturer i et XML dokument, og teknikken skal kunne håndtere transformationer af signeret data.

XML Signature imødekommer disse krav ved at have tre forskellige typer digital signatur, ?enveloping?, ?enveloped? og ?detached?.

XML signaturer, der påføres data, som findes i det samme XML dokument som selve signaturen, betegnes ?enveloping? eller ?enveloped? signaturer. Der skelnes imellem, om det signerede data-element er indeholdt i signatur-elementet (enveloping), eller om signaturen er indeholdt i det signerede data-element (enveloped).

XML signaturer, der påføres udenfor det såkaldte signatur-element, betegnes ?detached? signaturer. Det vil sige, at det signerede data-element og signaturen eksisterer uafhængigt af hinanden.

Sikkerheden af XML signatur

Sikkerheden af en XML signatur er lige så god, som sikkerheden af en almindelig digital signatur. Sikkerheden af en signatur beror dog altid på sikkerheden af alle led i signeringsprocessen. Det vil sige, at sikkerheden blandt andet afhænger af algoritmer, og hvordan krypteringsnøglerne opbevares. XML Signature benytter blandt andet algoritmen DSA (Digital Signature Algorithm) til signering og SHA-1 (Secure Hash Algorithm) til beregning af checksummer.

Samtidig er det vigtigt at bemærke, at kun det, som er signeret, er sikret. Det vil sige, at kun præcis den tekst, som er signeret, er sikret, mens tags, headers og lignende ikke er sikre.

Brian Mertz Pedersen er koncerndirektør i EuroTrust A/S, og Suzette Wagner er journalist i samme firma.


Vil du vide mere om XML og digital signatur?
NewsScanner overvåger 300+ medier
Prøv gratis i 30 dage.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere