Hvorfor digital signatur?
Der findes idag flere systemer, hvormed du kan skrive under på Internet. Digital signatur er på vej til at blive lige så sikker og bindende, som det er for en traditionel fysisk underskrift.
Hvorfor digital signatur?
Navnet øverst på denne artikel angiver, at jeg har skrevet den. Hvilken garanti er der for, at dette er sandt? Garantien for, at det virkelig er mig, der har skrevet dette, ligger i tilliden til almindelig respektabel adfærd. Ud over den tekniske sikring af web-serveren.
Skal vi handle med større værdier over Internet er denne garanti ikke tilstrækkelig. Det er for nemt at ændre navne og indholdet i dokumenterne. Hvis man kan tjene millioner af kroner ved svindel, er det også for tillokkende.
I Danmark har politikerne valgt at lade markedet styre udviklingen indenfor digital signatur. I modsætning til denne model er det staten i Finland, der laver et system for digital signaturer. Her er der et system for alle i samfundet. Men i Danmark skal vi altså ikke vente på, at vi får noget "internet pas".
I Danmark reguleres området af en lov om digital signatur, der blev endelig vedtaget i oktober. Telestyrelsen har fået tilsynet med certificeringsautoriteter, som skal administrere systemerne. Men aktiviteterne i den offentlige sektor går primært mod institutionernes egen anvendelse af digital signatur. De private virksomheder kan anvende de systemer, som de selv ønsker.
Vi får derfor samme situation indenfor digital signatur, som vi kender det med betalingskort. Der er og kommer flere systemer og leverandører. Det svarer til, at du kan vælge mellem forskellige betalingskort, hvor Dankort og Visa hører til det mest udbredte.
Infrastrukturen bag signaturer
Hvad kræver digital signatur?
Kryptering er en forudsætning for digital signatur, men det er på ingen måde tilstrækkelig til at garantere for en underskrift. Krypteringen kan beskytte en signatur mod udenforstående, så den kommer sikkert gennem Internettet. Men efterfølgende er problemet, hvordan signaturen bindes til den fysiske person, som står inde for underskriften. Når direktøren sender en ordre på 1 million kroner, hvordan kan det sikres, at det ikke var rengøringspersonalet, som gjorde det for sjov?
Det sker gennem en infrastruktur, hvor en virksomhed udsteder elektroniske idenditetskort med digitale signaturer, samtidig med at de kan verificere disse underskrifter. Modtagere af digitalt underskrevne dokumenter kan få signaturer verificeret hos disse virksomheder, som kaldes certificeringscentre.
En sikker digital signatur kræver følgende egenskaber af systemet:
- Autenticitet
Sikker identifikation af hvem der har sendt dokumentet. - Integritet
Sikring af, at udeforstående ikke har ændret i dokumentet undervejs. - Uafviselighed
Sikring af, at afsenderen ikke kan benægte dokumentet. - Fortrolighed
Hemmeligholdelse af dokumentets indhold over for udeforstående.
En garanti for de elektroniske underskrifter forudsætter, at der etableres en Public Key Infrastructure (PKI), der blandt andet omfatter en certificeringsautoritet. En certificeringsautoritet er en betroet tredje part, der garanterer for underskrifternes gyldighed. Det kan sammenlignes med CPR-registeret eller pas-politiet, som tilsvarende garanterer CPR-nummer og pas.
Tidsstempling
Tidsstempling
Kryptering er en basal forudsætning for digital signatur, men flere andre funktioner er nødvendige for at sikre underskrifter imod falsknerier. Blandt andet skal de digitale signaturer tidstemples for at hindre tilbagevirkende misbrug.
Bliver din digitale signatur stjålet med din computer, kan du få certificeringen annulleret fra samme øjeblik. Du står herefter ikke inde for signaturens gyldighed. Men tyven kan fremstille et økonomisk dokument, som vedkommende tilbagedaterer. Dermed fremkommer der et dokument, som du har skrevet under på, og underskriften er lavet på et tidspunkt, hvor din digitale signatur er fuld gyldig. Du hæfter derfor økonomisk for det falske dokument.
Problemet løses ved, at underskriften får et tidsstempel, som ikke kan ændres. Dermed kan falskneriet afsløres ved, at trods dokumentets dato er underskriften sat efter annulleringstidspunktet. Dermed er den ugyldig, og du bliver frikendt.
Mange forskellige systemer
Der er flere virksomheder, der arbejder med digital signatur og certificering. I Danmark er Kommunedata og Tele Danmark inde på området. I udlandet finder vi virksomheder som VeriSign, GlobalSign, RSA samt PGP.
Hvis du i en forening eller i et firma vil anvende digital signatur, kan du vælge mellem disse leverandører som udbyder systemer. For brugerne vil de forskellige signatur-systemer dukke op på web-siderne, hvor virksomheder og institutioner oplyser, hvordan man kan signere sine data.
Nogle virksomheder bygger systemer på deres egen database med kunder. Her har de allerede identifikation af kunderne. Disse får en adgangskode, som de kan bruge over Internet på samme måde som digital signatur. Denne kode giver en sikker kommunikation. Men til forskel fra de rigtige digitale signaturer er der her ingen neutral tredje part, som garanterer for aktørernes idenditet.
I de aktuelle udsendte forskudsskemaer med skattekort får borgerne en mulighed for at rette i forskudsopgørelsen over Internet. Borgerne kalder op til en web-side, hvor man efter indtastning af en tast-selv-kode fra papirskemaet og sit personnummer kan give nye oplysninger om sin økonomi. Der kan vælges en sikker Internet-forbindelse, hvor tast-selv-serveren har et certifikat, der er udstedt af KMD-CA (Kommunedata's certificeringscenter). Dette system er ikke det samme som digital signatur, men det er et af de mange, som ligner det meget. Du kan ikke bruge denne tast-selv-kode til andre formål, den er specifik for selvangivelse og skat.