Digital signatur til sikker og nem underskrift

Introduktion til digital signatur

Digital signatur er en moderne teknologi, der gør det muligt at underskrive dokumenter, aftaler og beskeder på en sikker og juridisk bindende måde. I en tid, hvor alt bliver digitalt, er behovet for at kunne verificere identitet og sikre, at indholdet ikke er blevet ændret, større end nogensinde. En digital signatur fungerer som et digitalt fingeraftryk, der er unikt for den enkelte underskriver og det konkrete dokument. Den adskiller sig markant fra en simpel skannet version af en håndskrevet signatur, fordi den bygger på avancerede kryptografiske teknikker.

I Danmark bruges digitale signaturer i stigende grad både i erhvervslivet og i den offentlige sektor. Med løsningen Digital Signatur har borgere og virksomheder mulighed for at logge ind på offentlige portaler og underskrive dokumenter elektronisk. Men digital signatur går langt videre end blot login. Den anvendes også til sikker e-mailkommunikation, online bankforretninger, softwaredistribution og juridiske kontrakter. Teknologien sikrer, at modtageren kan stole på afsenderens identitet, at dokumentet ikke er blevet manipuleret undervejs, og at afsenderen ikke senere kan benægte at have underskrevet.

For at forstå, hvordan digital signatur fungerer, er det nødvendigt at kende til de grundlæggende principper bag asymmetrisk kryptografi og Public Key Infrastructure, også kaldet PKI. I denne artikel vil vi dykke ned i, hvad en digital signatur er, hvordan den virker, hvilke juridiske rammer den opererer under, og hvorfor den er et uundværligt værktøj i den digitale verden.

Hvordan fungerer en digital signatur?

Processen bag en digital signatur kan virke teknisk kompliceret, men den bygger på en simpel og effektiv metode. Først genereres en såkaldt hash-værdi af det dokument eller den besked, der skal signeres. En hash er en unik streng af tegn, der fungerer som et digitalt fingeraftryk. Selv den mindste ændring i dokumentet vil resultere i en helt anden hash-værdi.

Digital signatur til sikker og nem underskrift - 1

Herefter krypteres hash-værdien med underskriverens private nøgle. Den private nøgle er hemmelig og kendes kun af underskriveren. Kun en tilhørende offentlig nøgle kan dekryptere den krypterede hash. Det krypterede hash, kaldet signaturen, sendes sammen med dokumentet til modtageren. Modtageren har adgang til underskriverens offentlige nøgle, som ofte distribueres via et digitalt certifikat udstedt af en betroet tredjepart, en såkaldt Certification Authority (CA).

Når modtageren modtager dokumentet, beregner vedkommende en ny hash af dokumentet og dekrypterer den medfølgende signatur med den offentlige nøgle. Hvis de to hash-værdier er identiske, bekræftes det, at dokumentet ikke er ændret, og at signaturen stammer fra den, der ejer den private nøgle. Denne proces beskrives grundigt af IBM i deres dokumentation om digital signatur.

Det er vigtigt at understrege, at den private nøgle aldrig deles. Derfor kan digital signatur garantere, at kun den rigtige person har underskrevet. Teknologien sikrer altså både autenticitet, integritet og ikke-benægtelse, hvilket vi vil uddybe i næste afsnit.

De tre vigtigste funktioner: autenticitet, integritet og ikke-benægtelse

En digital signatur leverer tre afgørende sikkerhedsfunktioner, som traditionelle håndskrevne signaturer ikke kan matche. Den første er autenticitet. Signaturen bekræfter, at den person, der hævder at have underskrevet, rent faktisk er den samme. Det opnås gennem brug af offentlige nøgler og certifikater. Når modtageren validerer signaturen med den offentlige nøgle, får vedkommende en stærk garanti for underskriverens identitet.

Digital signatur til sikker og nem underskrift - 2

Den anden funktion er integritet. Selv en enkelt karakterændring i dokumentet vil gøre hash-værdien ugyldig, og dermed vil signaturen ikke længere passe. Det betyder, at dokumentet ikke kan manipuleres efter underskriften er påført. Hvis nogen forsøger at ændre indholdet, vil signaturen blive brudt, og modtageren vil opdage det med det samme. Denne egenskab er særlig vigtig ved juridiske kontrakter og retslige dokumenter.

Den tredje funktion er ikke-benægtelse. Den private nøgle er unik for underskriveren, og kun den person har adgang til den. Derfor kan underskriveren ikke efterfølgende benægte at have underskrevet dokumentet. Det giver en juridisk stærk bevisbyrde, som understøttes af lovgivning som den europæiske eIDAS-forordning og den amerikanske ESIGN-lov.

Disse tre funktioner gør digital signatur til et uundværligt værktøj i situationer, hvor tillid og dokumentation er påkrævet. Proton understreger i deres artikel om emnet, at kombinationen af autenticitet, integritet og ikke-benægtelse er grundlaget for sikker digital kommunikation.

Anvendelsesområder for digital signatur

Digitale signaturer anvendes i en lang række sammenhænge, både i private virksomheder og i offentlige institutioner. Nedenstående liste giver et overblik over de mest almindelige anvendelsesområder:

Digital signatur til sikker og nem underskrift - 3
  • Sikring af e-mailkommunikation med S/MIME eller PGP, hvor afsenderens identitet bekræftes og beskyttes mod manipulation.
  • Online bankforretninger, hvor kunder underskriver transaktioner og overførsler digitalt for at forhindre svindel.
  • Juridiske kontrakter og aftaler, der underskrives elektronisk i stedet for på papir, hvilket sparer tid og porto.
  • Softwaredistribution, hvor udviklere signerer deres programmer for at garantere, at filerne ikke er blevet ændret med malware.
  • E-handel og e-fakturering, hvor dokumenter som fakturaer og ordrebekræftelser signeres for at sikre ægthed.
  • Offentlig forvaltning, hvor borgere underskriver ansøgninger og selvangivelser med digital signatur, ofte i form af MitID.

Hvert af disse områder nyder godt af de sikkerhedsmæssige fordele, som digital signatur tilbyder. Især i banksektoren er teknologien blevet standard, fordi den reducerer risikoen for identitetstyveri og uautoriserede transaktioner.

Forskellen mellem digital signatur og elektronisk signatur

Mange forveksler digital signatur med elektronisk signatur, men der er en væsentlig forskel. En elektronisk signatur er et bredt begreb, der dækker over enhver form for digital markering, der indikerer accept eller bekræftelse. Det kan være at sætte et billede af en håndskreven signatur i et PDF-dokument, skrive sit navn i en e-mail eller klikke på en knap, der siger "Jeg accepterer". Disse former har ikke nødvendigvis den samme kryptografiske sikkerhed som en digital signatur.

En digital signatur derimod er en specifik teknisk løsning, der anvender asymmetrisk kryptografi og PKI. Den har den juridiske styrke, der følger med de tre funktioner: autenticitet, integritet og ikke-benægtelse. Som OneSpan påpeger i deres infografik, er alle digitale signaturer elektroniske, men ikke alle elektroniske signaturer er digitale. Derfor anbefales digitale signaturer til situationer, der kræver høj sikkerhed og juridisk gyldighed.

I Danmark bruges både simple elektroniske signaturer, for eksempel ved accept af handelsbetingelser på en hjemmeside, og digitale signaturer, når man logger på netbank eller underskriver officielle dokumenter med MitID. Valget afhænger af graden af nødvendig sikkerhed og lovkrav.

Digital signatur til sikker og nem underskrift - 4

Juridiske rammer for digital signatur

For at digitale signaturer kan være juridisk bindende, er det nødvendigt med lovgivning, der anerkender dem som ækvivalente med håndskrevne signaturer. Flere lande og unioner har indført sådanne love. Nedenstående tabel viser nogle af de vigtigste juridiske rammer og deres geografiske dækning.

Land/RegionLovgivningBemærkninger
EU & EØSeIDAS-forordningen (910/2014)Skaber ensartet ramme for elektronisk identifikation og tillidstjenester. Digitale signaturer har samme juridiske status som håndskrevne.
USAESIGN Act (2000) & UETAAnsvarlig for at gøre elektroniske signaturer bindende på føderalt niveau og i de fleste delstater.
DanmarkLov om elektroniske signaturer & eIDASDanmark følger eIDAS, og MitID fungerer som en kvalificeret elektronisk signatur.
CanadaPIPEDA & ProvincialFøderale og provinsielle love, der anerkender digitale signaturer som bevis.

Ifølge Sectigo og OneSpan er det netop disse juridiske rammer, der gør digital signatur attraktiv for virksomheder og myndigheder. Når du bruger en kvalificeret digital signatur i EU, har du den samme retsbeskyttelse, som hvis du havde sat en fysisk underskrift på papir.

Praktiske eksempler og hverdagserfaringer

I praksis møder de fleste danskere digitale signaturer dagligt uden at tænke over det. Når du logger på din netbank med MitID, foretager du en legitimationsproces, der involverer digital signatur. Hvis du efterfølgende overfører penge, underskriver du transaktionen med din digitale signatur. Det samme sker, når du underskriver en lejekontrakt eller en ansættelseskontrakt via en digital postkasse.

For virksomheder er digital signatur afgørende for at kunne dokumentere aftaler og ordrer. Mange virksomheder bruger løsninger som DocuSign eller Adobe Sign, der tilbyder både simple elektroniske signaturer og egentlige digitale signaturer med kryptografisk sikkerhed. I softwareudvikling signerer udviklere deres kode med digitale signaturer for at forhindre, at hackere distribuerer skadelig software under falsk navn. Okta nævner, at digitale signaturer er en integreret del af sikkerhedsarkitekturen i mange cloud-tjenester.

Digital signatur til sikker og nem underskrift - 5

Der findes også eksempler fra den offentlige sektor. Digital Post – den offentlige digitale postkasse – bruger digitale signaturer til at sikre, at beskeder fra myndigheder ikke kan forfalskes. Borgeren kan også sende sikkert til myndighederne ved at signere sin besked. Det skaber en høj grad af tillid i den digitale infrastruktur.

Sikkerhed og certificering

En digital signatur er kun så sikker som den private nøgle, der anvendes. Hvis den private nøgle bliver stjålet eller kompromitteret, kan en angriber udgive sig for at være den retmæssige ejer. Derfor er det vigtigt at beskytte nøglerne, ofte med brug af hardware-sikkerhedsmoduler (HSM) eller sikre elementer i chips, som dem der findes i NemID nøglekort og MitID-appen.

Certifikater udstedes af Certification Authorities, som skal være betroet af operativsystemer og browsere. Hvis et certifikat er udstedt af en ikke-betroet CA, vil browseren advare brugeren. I Danmark er Nets DanID og andre godkendte udbydere ansvarlige for at udstede kvalificerede certifikater i overensstemmelse med eIDAS. Når du validerer en signatur, kontrolleres certifikatets gyldighed og CA'ens troværdighed.

Det er også muligt at anvende selvsignerede certifikater, men disse

digital signatur underskrift e-signatur sikkerhed dokumenter godkendelse
Bemærk Indholdet er kun vejledende og kan ikke erstatte juridisk rådgivning.
Forfatter

Stefano Barcellos

Bidragyder på Visite Barbados.

« Forrige indlæg
SDB: Hvad er det, og hvordan virker det?

Relaterede indlæg