Vad är en säker signeringslösning?

En säker lösning för elektronisk signering bör omfatta

  • säkra och godkända identifieringslösningar som baseras på e-legitimation, t.ex. BankID
  • säkra och godkända format för låsning av dokumentet som kan verifieras i standardprogramvara, t.ex. PAdES
  • ett slutresultat i form av en fristående signerad fil
  • regelbundna interna säkerhetstester

Så här blir TellusTalks signeringar säkra

Våra signerade dokument är fullt eIDAS compliant då vi använder BankID för identifiering och PAdES för att låsa dokumentet med vårt certifikat och tidsstämpla det så att det uppfyller kraven för långtidsarkivering.

Andra lösningar som baseras på ett klick i ett mail, där t.ex. mottagarens IP-adress sparas som identifiering, har långt ifrån lika högt bevisvärde.

Läs mer om hur vi låser och krypterar med PAdES

BankID – en avancerad elektronisk underskrift

eIDAS definierar tillitsnivåer för elektroniska underskrifter som ”standard”, ”avancerad” och ”kvalificerad”.

  • Standard har en låg juridisk status och inkluderar t.ex. inscannade handskrivna underskrifter som förts in i elektroniska dokument.
  • Avancerad innebär att det finns en unik identifiering av personen som signerar och man ska kunna säkerställa att dokumentet inte modifierats efter signeringen. En underskrift på denna nivån är i de flesta fall tillräcklig. Signaturer med BankID håller denna tillitsnivån.
  • Kvalificerad ska enligt eIDAS ha samma rättsliga verkan i hela EU som en handskriven underskrift. För att en kvalificerad elektronisk signatur ska vara giltig krävs det en avancerad elektronisk signatur som har ett kvalificerat certifikat samt är skapad för en säker anordning för signaturframställningen.

 

PAdES – säker, hållbar och fristående

För att en signatur ska kunna anses som säker och hållbar så behöver den kunna stå för sig själv, utanför den tjänsteleverantör där signeringen utfördes.
En fristående tredje part måste kunna verifiera en signaturs riktighet, utan hjälp av specialverktyg, även efter att tjänsteleverantören som skapade det signerade dokumentet försvunnit från marknaden. Säkerheten och kvaliteten på formatet måste också vara så bra att det kan användas under längre tid.

PAdES (PDF Advanced Electronic Signature) är ett sådant format. Det är baserat på en standardteknik för PDF och kan därmed läsas av alla PDF-läsare. Signaturen verifieras automatiskt med hjälp av Adobe Reader. Dokumentet är skyddat mot ändring, uppfyller kraven i eIDAS och är en internationellt accepterad standard för elektronisk signerade dokument.

 

Signerat och låst med certifikat från TSP

För att Adobe Reader ska kunna verifiera PAdES-filen måste den vara låst och signerad av ett certifikat utfärdat av en Trust Service Provider (TSP) från The European Union Trust List (EUTL).
EUTL är en offentlig lista på över 200 aktiva och tidigare förtroendetjänstleverantörer (TSP) som är ackrediterade att leverera den högsta nivån av efterlevnad av eIDAS. Dessa leverantörer erbjuder bland annat digitala sigill för företag och tidsstämpeltjänster som kan användas för att skapa kvalificerade elektroniska signaturer baserade på digital signaturteknik.

TellusTalk har ett sådant certifikat som används för att låsa och signera våra PAdES-filer.

 

Hållbar signatur – ända in i framtiden

För att det signerade dokumentet ska kunna anses hållbart under en längre tid har ETSI definierat en standard (ESTI TS 103 172) med flera nivåer av tekniker för att säkerställa att PAdES-dokumentet kan verifieras över tid. Varje nivå bygger på att nästa nivå uppfyller nivån nedanför samt ytterligare krav.
– B-nivå: Den lägsta nivån, används för signaturer som inte behöver arkiveras länge. Måste ingå en elektronisk signatur och ett certifikat.
– T-nivå: Som B-nivån samt att en tidstämpel läggs till för att bevisa att signaturen existerade vid en viss tidpunkt. Vill man veta om certifikatet var giltigt så får man söka efter det online i listor som hanterar certifikat.
– LT-nivå: Som T-nivån samt att det även läggs till VRI (Verification Related Information) direkt i dokumentet som verifierar hela certifikatskedjan vid tillfället för signeringen. Den här nivån är den lägsta rekommenderade för ”Avancerade signaturer” som t.ex. BankID-signaturer.
– LTA-nivå: Som LT-nivån samt att man även lägger till en ytterligare tidstämpel i dokumentet. Den här nivån är den som rekommenderas för ”Kvalificerade signaturer”. Detta är också den enda nivån som fullt ut följer eIDAS reglemente och har stöd för kommande lagstiftning inom elektroniska signaturer.

TellusTalk använder den högsta nivån, LTA (Long Term Archival), vilket bland annat inkluderar en tidstämpel som bevisar att certifikatet var giltigt vid tiden för signeringen. Det innebär att signaturen anses som giltig även när certifikatet i framtiden gått ut.

Vad säger lagen om elektroniska signaturer?

EU:s eIDAS-förordning som trädde i kraft den 1 juli 2016, innebär att alla EU-länder (och EES-länderna Norge och Island) har gemensamma regler för säkra elektroniska transaktioner och godkänner varandras lösningar för elektronisk identifiering och elektroniska signaturer. Därmed har hindren som de tidigare digitala gränserna utgjorde, försvunnit.

Enligt eIDAS och e-signaturlagen har en kvalificerad elektronisk signatur samma rättsliga verkan som en handskriven signatur. Lagstiftningen tolkas så att alla typer av elektroniska signaturer – kvalificerade och icke-kvalificerade – kan ges rättslig verkan. En elektronisk signatur kan inte förvägras rättslig verkan enbart på grund av att den är i elektronisk form eller att den är icke-kvalificerad. Det som blir avgörande är i vilken utsträckning det är möjligt att bevisa äktheten av signaturen och riktigheten av innehållet i dokumentet.

Post- och Telestyrelsen, PTS, har tillsynsansvar för e-underskriftstjänster och andra betrodda tjänster enligt eIDAS. Tjänster för kvalificerade e-underskrifter står under aktiv tillsyn. Icke-kvalificerade tjänster för avancerade e-underskrifter står under tillsyn som utförs i de fall det uppstått någon incident. Leverantörer av tjänster på den kvalificerade nivån listas av tillsynsmyndigheterna inom EU/EES.


Notice: ob_end_flush(): failed to send buffer of zlib output compression (0) in /home/u/u1081034/www/elektronisksignering.se/wp-includes/functions.php on line 3743