Vad är en säker signeringslösning?

En säker lösning för elektronisk signering bör omfatta

  • säkra och godkända identifieringslösningar som baseras på e-legitimation, t.ex. BankID
  • säkra och godkända format för låsning av dokumentet som kan verifieras i standardprogramvara, t.ex. PAdES
  • ett slutresultat i form av en fristående signerad fil
  • regelbundna interna säkerhetstester

PAdES – säker, hållbar och fristående

För att en signatur ska kunna anses som säker och hållbar så behöver den kunna stå för sig själv, utanför den tjänsteleverantör där signeringen utfördes.

En fristående tredje part måste kunna verifiera en signaturs riktighet, utan hjälp av specialverktyg, även efter att tjänsteleverantören som skapade det signerade dokumentet försvunnit från marknaden. Säkerheten och kvaliteten på formatet måste också vara så bra att det kan användas under längre tid.

PAdES (PDF Advanced Electronic Signature) är ett sådant format. Det är baserat på en standardteknik för PDF och kan därmed läsas av alla PDF-läsare. Signaturen verifieras automatiskt med hjälp av Adobe Reader. Dokumentet är skyddat mot ändring, uppfyller kraven i eIDAS och är en internationellt accepterad standard för elektronisk signerade dokument.

Signerat och låst med certifikat från TSP

För att Adobe Reader ska kunna verifiera PAdES-filen måste den vara låst och signerad av ett certifikat utfärdat av en Trust Service Provider (TSP) från The European Union Trust List (EUTL).
TellusTalk har ett sådant certifikat som används för att låsa och signera våra PAdES-filer.

Hållbar signatur – ända in i framtiden

För att det signerade dokumentet ska kunna anses hållbart under en längre tid har ETSI definierat en standard (ESTI TS 103 172) med flera nivåer av tekniker för att säkerställa att PAdES-dokumentet kan verifieras över tid. Varje nivå bygger på att nästa nivå uppfyller nivån nedanför samt ytterligare krav.
– B-nivå: Den lägsta nivån, används för signaturer som inte behöver arkiveras länge. Måste ingå en elektronisk signatur och ett certifikat.
– T-nivå: Som B-nivån samt att en tidstämpel läggs till för att bevisa att signaturen existerade vid en viss tidpunkt. Vill man veta om certifikatet var giltigt så får man söka efter det online i listor som hanterar certifikat.
– LT-nivå: Som T-nivån samt att det även läggs till VRI (Verification Related Information) direkt i dokumentet som verifierar hela certifikatskedjan vid tillfället för signeringen. Den här nivån är den lägsta rekommenderade för ”Avancerade signaturer” som t.ex. BankID-signaturer.
– LTA-nivå: Som LT-nivån samt att man även lägger till en ytterligare tidstämpel i dokumentet. Den här nivån är den som rekommenderas för ”Kvalificerade signaturer”. Detta är också den enda nivån som fullt ut följer eIDAS reglemente och har stöd för kommande lagstiftning inom elektroniska signaturer.

TellusTalk använder den högsta nivån, LTA (Long Term Archival), vilket bland annat inkluderar en tidstämpel som bevisar att certifikatet var giltigt vid tiden för signeringen. Det innebär att signaturen anses som giltig även när certifikatet i framtiden gått ut.

TellusTalks PAdES-filer är därmed fullt eIDAS compliant.

Vad säger lagen om elektroniska signaturer?

EU:s eIDAS-förordning som trädde i kraft den 1 juli 2016, innebär att alla EU-länder (och EES-länderna Norge och Island) har gemensamma regler för säkra elektroniska transaktioner och godkänner varandras lösningar för elektronisk identifiering och elektroniska signaturer. Därmed har hindren som de tidigare digitala gränserna utgjorde, försvunnit.

Enligt eIDAS och e-signaturlagen har en kvalificerad elektronisk signatur samma rättsliga verkan som en handskriven signatur. Lagstiftningen tolkas så att alla typer av elektroniska signaturer – kvalificerade och icke-kvalificerade – kan ges rättslig verkan. En elektronisk signatur kan inte förvägras rättslig verkan enbart på grund av att den är i elektronisk form eller att den är icke-kvalificerad. Det som blir avgörande är i vilken utsträckning det är möjligt att bevisa äktheten av signaturen och riktigheten av innehållet i dokumentet.