Digital signatur: Sikker og enkel signering online

Hva er en digital signatur?

En digital signatur er en kryptografisk metode som brukes til a bekrefte at et digitalt dokument, en melding eller programvare er ekte og uforandret. Den fungerer som et elektronisk fingeravtrykk som er unikt for bade avsenderen og innholdet. Mens mange forbinder en digital signatur med en bildefil av en handskrevet signatur, er den teknisk sett noe helt annet. Den bygger pa asymmetrisk kryptografi og offentlig nokkelinfrastruktur, ofte forkortet PKI. Dette betyr at den ikke bare bekrefter hvem som har signert, men ogsa at innholdet ikke er blitt endret etter at signaturen ble satt.

I en tid der stadig flere dokumenter behandles digitalt, blir digitale signaturer en viktig del av hverdagen for bade enkeltpersoner og bedrifter. Fra kontrakter og banktransaksjoner til e-post og programvaredistribusjon, sikrer digitale signaturer at informasjonen du mottar faktisk kommer fra den rette avsenderen. Uten en slik beskyttelse ville det vaert enkelt for uvedkommende a forfalske dokumenter eller endre innhold uten at mottakeren oppdager det. Derfor er digitale signaturer en grunnleggende byggestein for tillit i dagens digitale okonomi.

Det er viktig a skille mellom en digital signatur og en enkel elektronisk signatur. En elektronisk signatur kan for eksempel vaere et bilde av en signatur eller et kryss i en boks, mens en digital signatur bruker avansert kryptering for a gi et hoyere sikkerhetsniva. For a oppna juridisk bindende avtaler i mange land, kreves det ofte en digital signatur som oppfyller bestemte standarder. Denne artikkelen gar i dybden pa hva en digital signatur er, hvordan den fungerer, og hvorfor den er sa viktig for sikker og enkel signering online.

Digital signatur: Sikker og enkel signering online - 1

Hvordan fungerer en digital signatur?

For a forsta hvordan en digital signatur fungerer, ma man se pa prinsippene bak asymmetrisk kryptering. Hver bruker som skal signere digitalt, har et nokkelpar: en privat nokkel og en offentlig nokkel. Den private nokkelen er hemmelig og bare kjent av eieren, mens den offentlige nokkelen er tilgjengelig for alle som skal verifisere signaturen. Nar en avsender onsker a signere et dokument, blir det forst generert en sa kalt hashverdi, som er en unik representasjon av dokumentets innhold. Denne hashverdien kan sammenlignes med et digitalt fingeravtrykk, for selv en liten endring i dokumentet vil fore til en helt annen hashverdi.

Hashverdien blir deretter kryptert med avsenderens private nokkel. Dette krypterte resultatet er selve den digitale signaturen. Signaturen festes til dokumentet, og dokumentet med den vedlagte signaturen sendes til mottakeren. Nar mottakeren far dokumentet, bruker han eller hun avsenderens offentlige nokkel til a dekryptere signaturen og gjenskape hashverdien. Samtidig blir hashverdien av det mottatte dokumentet beregnet pa nytt med samme hashfunksjon. Hvis de to hashverdiene er like, er signaturen verifisert. Hvis de er forskjellige, betyr det at dokumentet er blitt manipulert underveis, eller at signaturen ikke er gyldig.

Denne prosessen sikrer alle de tre grunnleggende sikkerhetsfunksjonene som en digital signatur skal oppfylle. Den bekrefter identiteten til avsenderen fordi bare den private nokkelen kan lage en signatur som kan verifiseres med den tilhorende offentlige nokkelen. Den bekrefter integriteten til dokumentet fordi enhver forandring vil endre hashverdien. Og den gir non-repudiering, det vil si at signeren ikke kan benekte a ha signert, fordi den private nokkelen er under signerens kontroll. Hos en tredjepart som utsteder sertifikater, sjekkes det at nokkelparene faktisk tilhorer den personen eller organisasjonen de hevder a vaere fra.

Digital signatur: Sikker og enkel signering online - 2

De tre grunnleggende funksjonene

En digital signatur utforer tre kritiske sikkerhetsfunksjoner som sammen skaper et hoyt tillitsniva i digitale transaksjoner. Den forste funksjonen er autentisering. Dette innebaerer at mottakeren kan vaere sikker pa at avsenderen er den han eller hun utgir seg for. Siden signaturen er laget med avsenderens private nokkel, og verifiseringen skjer med den tilhorende offentlige nokkelen, kan ingen andre produsere en gyldig signatur pa avsenderens vegne. Det er denne mekanismen som gjor digitale signaturer overlegne sammenlignet med enklere former for elektronisk signering.

Den andre funksjonen er integritetsbeskyttelse. Nar et dokument signeres digitalt, blir det regnet ut en hashverdi som krypteres. Selv en endring pa ett enkelt tegn i dokumentet vil fore til at hashverdien blir helt annerledes. Verifiseringen vil da sla feil, og mottakeren vil umiddelbart vite at dokumentet er blitt tuklet med. Dette er saerlig viktig i juridiske avtaler, der det kan vaere avgjorende a kunne stole pa at kontrakten er uforandret fra signeringstidspunktet. Integriteten gar hand i hand med autentiseringen, fordi en falsk signatur ogsa vil fore til en mislykket verifisering.

Den tredje funksjonen er non-repudiering, eller ikke-benektelse. Dette betyr at den som har signert et dokument, ikke i ettertid kan hevde at han eller hun ikke gjorde det. Beviset ligger i at signaturen er opprettet med en privat nokkel som bare signeren har hatt tilgang til. Med mindre den private nokkelen er blitt stjalet eller misbrukt, kan signeren ikke skylde pa at noen andre har signert pa hans eller hennes vegne. Denne funksjonen er saerlig viktig i rettslige tvister der det ma kunne fremlegges bevis for hvem som har forpliktet seg til hva. Samlet gjor disse tre funksjonene digitale signaturer til et uunnvaerlig verktoy for sikker digital kommunikasjon.

Digital signatur: Sikker og enkel signering online - 3

Forskjellen mellom digital signatur og elektronisk signatur

I dagligtalen blir begrepene digital signatur og elektronisk signatur ofte brukt om hverandre, men det er viktige forskjeller a vaere klar over. En elektronisk signatur er et vidt begrep som omfatter alle former for elektronisk markering som viser en persons intensjon om a signere. Det kan vaere et avkrysset felt pa et skjema, et bilde av en handskrevet signatur, eller en skrevet linje som bekrefter en avtale. Mange e-signaturtjenester tilbyr slike losninger, men de har varierende grad av sikkerhet og sporbarhet. Sikkerhetsnivaet avhenger av hvordan tjenesten er implementert og om det finnes en tredjepart som lagrer loggforinger.

En digital signatur er derimot en teknisk spesifikk type elektronisk signatur som bruker avansert kryptering og PKI. Den oppfyller strenge krav til identitetsverifisering, integritet og non-repudiering. Der en enkel elektronisk signatur lett kan kopieres eller forfalskes, gjor den kryptografiske metoden i en digital signatur det nesten umulig a manipulere uten a bli oppdaget. Forskjellen er avgjorende i situasjoner der dokumentet ma ha hoy juridisk beviskraft. For eksempel vil en bank som utsteder lan eller en domstol som behandler en kontrakt, kreve en digital signatur for a kunne stole pa dokumentet.

En annen vesentlig forskjell ligger i selve signaturprosessen. For a opprette en digital signatur trenger man et digitalt sertifikat utstedt av en sertifikatutsteder, ofte kalt en CA. Sertifikatet bekrefter sammenhengen mellom den offentlige nokkelen og identiteten til innehaveren. Uten sertifikatet er signaturen ikke juridisk gyldig etter standarder som eIDAS i EU eller ESIGN i USA. Derfor kan man si at alle digitale signaturer er elektroniske signaturer, men ikke alle elektroniske signaturer er digitale signaturer.

Digital signatur: Sikker og enkel signering online - 4

For a oppsummere forskjellene har vi laget en oversiktstabell nedenfor:

Egenskap Digital signatur Elektronisk signatur
Kryptografisk metode Bruker asymmetrisk kryptering og PKI Ingen eller enkel kryptering
Sikkerhetsniva Hoyt, med integritet og autentisering Lavt til middels, avhengig av losning
Identitetsverifisering Krever digitalt sertifikat fra CA Ofte ingen tredjepartsverifisering
Non-repudiering Ja, signeren kan ikke benekte Vanligvis ikke juridisk bindende
Vanlige eksempler Signerte PDF-kontrakter, BankID Kryss av i felt, bilde av signatur

Vanlige bruksomrader for digitale signaturer

Digitale signaturer brukes i en rekke sammenhenger i bade privat og offentlig sektor. Innenfor bank og finans er de helt sentrale for a autentisere transaksjoner og godkjenne betalinger. Nar du bruker BankID eller Vipps for a logge inn eller signere en avtale, er det faktisk en digital signatur som legges til grunn. Pa samme mate brukes digitale signaturer i e-handel til a bekrefte ordrer og avtaler mellom kjoper og selger. Uten denne teknologien ville nettbank og netthandel vaert langt mer utsatt for svindel og misbruk.

Offentlig sektor er en annen stor bruker av digitale signaturer. Alt fra skattemeldinger til soknader om offentlige ytelser blir i dag signert digitalt. I Norge er det blant annet Altinn som tilbyr losninger for digital signering av skjemaer og dokumenter. Dette sparer bade tid og papir, samtidig som det gir hoy sikkerhet og sporbarhet. I EU er eIDAS-forordningen en viktig ramme for hvordan digitale signaturer skal fungere pa tvers av landegrensene, og den gjor det mulig for borgere a signere dokumenter i andre EOS-land med samme rettskraft som i hjemlandet.

Digital signatur: Sikker og enkel signering online - 5

Bedrifter benytter seg ogsa av digitale signaturer til interne og eksterne avtaler. Kontrakter med leverandorer, ansettelsesavtaler, konfidensialitetsavtaler og lisensavtaler kan alle signeres digitalt. Dette effektiviserer arbeidsflyten og reduserer behovet for fysisk mote eller postsending. Flere programvareleverandorer tilbyr integrerte losninger for digital signering, slik at dokumentene forblir sikre i hele prosessen. I tillegg brukes digitale signaturer til a bekrefte at programvareoppdateringer kommer fra en legitim kilde, noe som beskytter mot skadelig programvare som kan spres via falske oppdateringer.

Her er en liste over typiske bruksomrader:

  • Signering av kontrakter og avtaler i naringlivet
  • Bekreftelse av banktransaksjoner og betalinger
  • Innlogging til offentlige tjenester via ID-porten
  • Signering av skattemeldinger og skjemaer i Altinn
  • Verifisering av programvare og oppdateringer
  • Bekreftelse av e-postinnhold via S/MIME
  • E-handel og digitale ordrebekreftelser
  • Helseopplysninger og resepter i helsesektoren

Juridisk gyldighet og lover

Den juridiske gyldigheten til digitale signaturer er godt forankret i lovgivningen i de fleste land. I USA reguleres dette av ESIGN-loven og UETA, som sier at elektroniske signaturer generelt har samme rettskraft som handskrevne signaturer. I Europa og Norge er det eIDAS-forordningen som setter standarden. Den skiller mellom enkle elektroniske signaturer, avanserte elektroniske signaturer og kvalifiserte elektroniske signaturer. En kvalifisert digital signatur, som oppfyller de strengeste kravene til identitetskontroll og sertifisering, har samme juridiske verdi som en fysisk signatur. Dette innebaerer at domstoler ma godta den som bevis for en avtale.

I Norge er det spesielt Digitaliseringsdirektoratet som har ansvar for a fremme bruk av digitale signaturer og sorge for at losningene er i traad med eIDAS. Altinns signeringstjeneste og ulike BankID-losninger er eksempler pa kvalifiserte signaturlosninger som oppfyller disse kravene. For at en digital signatur skal vaere gyldig, ma den vaere knyttet til en sertifikatutsteder som er godkjent av myndigheten

digital signatur elektronisk signering sikkerhet dokumenthåndtering e-signatur
Merk Informasjonen er generell og erstatter ikke juridisk rådgivning.
Forfatter

Stefano Barcellos

Bidragsyter på Visite Barbados.

« Forrige innlegg
Gratis app for å snakke med kvinner på nett

Relaterte innlegg