1 / 18

Elektroniske signaturer i praksis  Pål Kristiansen

Elektroniske signaturer i praksis  Pål Kristiansen. Innhold. Terminologi eSignatur vs håndskreven signatur Lovverk Hva gjør offentlig sektor Hva bør man tenke igjennom om man skal velge riktig eSignatur løsning Oppsummering. Signaturbegreper.

hall-jarvis
Download Presentation

Elektroniske signaturer i praksis  Pål Kristiansen

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Elektroniske signaturer i praksis  Pål Kristiansen

  2. Innhold • Terminologi • eSignatur vs håndskreven signatur • Lovverk • Hva gjør offentlig sektor • Hva bør man tenke igjennom om man skal velge riktig eSignatur løsning • Oppsummering

  3. Signaturbegreper • Elektronisk signatur er den brede og generelle betegnelsen på teknikker som kan benyttes til å "signere" digital informasjon på "samme måte" som en håndskreven signatur benyttes til å undertegne et papirdokument • Digital Signatur refererer til en bestemt type elektronisk signatur hvor det anvendes asymmetrisk kryptografi og hashfunksjoner.

  4. Typer Elektronisk Signatur (1) eSignaturloven (2001): • Elektronisk signatur • Avansert elektronisk signatur • Kvalifisert elektronisk signatur Elektronisk signatur • data i elektronisk form som er knyttet til andre elektroniske data og som brukes som autentiseringsmetode.

  5. Typer Elektronisk Signatur (2) Avansert elektronisk signatur: • entydig knyttet til undertegneren • kan identifisere undertegneren • er laget ved hjelp av midler som bare undertegneren har kontroll over • er knyttet til andre elektroniske data på en slik måte at det kan oppdages om disse er blitt endret etter signering Digital Signatur = Avansert Elektronisk Signatur

  6. Typer Elektronisk Signatur (3) Kvalifisert elektronisk signatur • Avansert elektronisk signatur som er basert på et kvalifisert sertifikat og fremstilt av et godkjent sikkert signaturfremstillingssystem (SSCD).

  7. Digital Signatur vs håndskreven • Kan ha flere signaturer i den elektroniske verden • I fysiske verden er navnetrekket alltid det samme, men ikke nødvendigvis i den digitale. • Signaturverifikasjon • kan enklere automatiseres i den digitale verden • Gyldighet • Fysiske signaturer lever ”evig”, digitale signaturer går ut på tid. • What You See Is What You Sign (WYSIWYS) • Datarepresentasjon og brukergrensesnitt i den elektroniske verden er ikke samme sak.

  8. Digital Signatur vs håndskreven • Signering må være basert på bevisst handling • Intuitivt i den fysiske verden. Må eksplisitt tilrettelegges i den elektroniske verden. • Original/Kopi • Det er umulig å skille en original elektronisk signatur fra en kopi. • Langtidslagring/Arkivering • Elektronisk formatering kan ikke endres uten å ugyldigjøre signatur

  9. En signaturs ulike funksjoner • Signaturen vil i praksis kunne fylle ulike funksjoner, f.eks • Identifisering • Autentisering • Integritet • Autorisasjon • Bevis • I papirverdenen er det ofte underforstått hva en bestemt signatur innebærer. • I den elektroniske verden finnes ulike teknologier med hver sine styrker og svakheter ift. å kunne dekke ulike signaturfunksjoner. • Ved overgang til elektroniske måter å gjennomføre bl.a. underskrifter på, er det derfor viktig å vite • hva man forventer å oppnå, • hvilke konkrete funksjoner som skal dekkes

  10. Lovverk • EU direktiv ”Community Framework for Electronic Signatures” – 2000 • Norsk ”Lov om elektronisk signatur” – 2001 • Forskrift om krav til utsteder av kvalifiserte sertifikater mv.

  11. Rettsvirkning for eSignaturer Kvalifisert elektronisk signatur Ved krav om signatur for rettsvirkning og hvor elektronisk kommunikasjon er lovlig skal en kvalifisert signatur alltid ha samme rettsvirkning som en skriftlig signatur. Øvrige elektroniske signaturer En elektronisk signatur som ikke er kvalifisert kan oppfylle et slikt krav.

  12. Internasjonale forhold • Sertifikater fra sertifikatutstedere som er etablert innen EØS, anses som kvalifiserte sertifikater i henhold til denne lov dersom de oppfyller kravene til et kvalifisert sertifikat i det landet der utstederen er etablert. • Kvalifiserte sertifikater fra sertifikatutstedere som er etablert i land utenfor EØS, skal gis rettslig anerkjennelse på lik linje med kvalifiserte sertifikater fra sertifikatutstedere innen EØS under visse forutsetninger.

  13. eSignatur og offentlig sektor Kravspek PKI i offentlig sektor Forskrift om selvdeklarasjon for sertifiatutstedere Sertifikatutstedere eForvaltningsforskriften MinID MinSide Sikkerhetsportalen AltInn

  14. Å velge riktig eSignatur • Er eSignatur helt nødvendig for anvendelsen ? • Juridiske krav eller rene sikkerhetskrav ? • Hvike funksjoner skal eSignaturen fylle ? • Kartlegging av arbeidsflyt knyttet til signering/validering • Hvem skal kunne signere / validere hva, hvor og når ? • Hvilke applikasjoner/systemer er involvert ? • Finne egnet eID • Personlig eID eller eID for virksomhet ? • Ren autentiseringsmekanisme++ eller digital signatur (PKI) ? • Finnes det egnede eID’er allerede utstedt, alternativt utstede selv ? • Kostnader ved utrulling, vedlikehold og bruk (inkl. validering) ?

  15. Å velge riktig eSignatur • Finne egnet produkt/løsning for signering, validering og arkivering • Hva finnes allerede av støtte i de applikasjoner som anvendes ? • Hva finnes av aktuelle 3.parts løsninger og tjenester ? • Sikkerhet og Brukervennlighet ? • Arbeid/kostnad med utvikling/tilpasning/integrasjon ? • Standardstøtte / Interoperabilitet (digital signatur) ?

  16. Typiske eSignatur anvendelser • Enkle transaksjoner • Kjøp/Bestillinger • Avtaleinngåelse • Kjøp/salg • Etablering av kundeforhold • Sikker meldingsutveksling • Kommunikasjon innen/mellom næringsliv og offentlig. • Registrering og innrapportering • Offentlig registrering/innrapportering • Betalingstjenester • Kontobetaling og Avbetaling

  17. Oppsummering • Lovverk på plass • Ulik tolkning innenfor EU kan gi utfordringer • Liten rettspraksis • Upresis bruk av terminologi – en kilde til forvirring • Utbredelsen av eID’er er i ferd med å nå kritisk masse • Bruken av eSignatur er økende • Mange eSignatur behov i dag løses tilfredsstillende ved bruk av autentiseringsmekanismer ++ (basis eSignatur) • Forholdsvis få anvendelser enda som juridisk sett krever bruk av Digital Signatur (Avansert eSignatur). • Fortsatt fokus på PKI vil nok medføre en jevn økning i bruk av digital signaturer. • Offentlig sektor arbeider med revidert strategir for eID/eSignatur

  18. Spørsmål ? For kontakt: pal.kristiansen@unibridge.no http://www.unibridge.no

More Related