Vad är en säker elektronisk signeringslösning?

Såhär blir TellusTalks PAdES-filer säkra, pålitliga och hållbara

eIDAS definierar tillitsnivåer för elektroniska underskrifter som ”enkel”, ”avancerad” och ”kvalificerad”.

• Enkel elektronisk signatur (SES) har en låg juridisk status och inkluderar t.ex. inscannade handskrivna underskrifter som förts in i elektroniska dokument.

• Avancerad elektronisk signatur (Ades) innebär att det finns en unik identifiering av personen som signerar och man ska kunna säkerställa att dokumentet inte modifierats efter signeringen. En underskrift på denna nivån är i de flesta fall tillräcklig. Signaturer med BankID håller denna tillitsnivån.

• Kvalificerad elektronisk signatur (QES) ska enligt eIDAS ha samma rättsliga verkan i hela EU som en handskriven underskrift. För att en kvalificerad elektronisk signatur ska vara giltig krävs det en avancerad elektronisk signatur som har ett kvalificerat certifikat samt är skapad för en säker anordning för signaturframställningen. Här kan du skaffa ett id-kort för kvalificerade underskrifter.

PAdES – säker, hållbar och fristående

För att en signatur ska kunna anses som säker och hållbar så behöver den kunna stå för sig själv, utanför den tjänsteleverantör där signeringen utfördes. En fristående tredje part (t.ex adobe reader) måste kunna verifiera en signaturs riktighet, utan hjälp av specialverktyg, även efter att tjänsteleverantören som skapade det signerade dokumentet försvunnit från marknaden. Säkerheten och kvaliteten på formatet måste också vara så bra att det kan användas under längre tid.

PAdES (PDF Advanced Electronic Signature) är ett sådant format. Det är baserat på en standardteknik för PDF och kan därmed läsas av alla PDF-läsare. Signaturen verifieras automatiskt med hjälp av Adobe Reader. Dokumentet är skyddat mot ändring, uppfyller kraven i eIDAS och är en internationellt accepterad standard för elektronisk signerade dokument.

Signerat och låst med certifikat från TSP

För att Adobe Reader ska kunna verifiera PAdES-filen måste den vara låst och signerad av ett kvalificerat certifikat utfärdat av en Trust Service Provider (TSP) från The European Union Trust List (EUTL).
EUTL är en offentlig lista på över 200 aktiva och tidigare förtroendetjänstleverantörer (TSP) som är ackrediterade att leverera den högsta nivån av efterlevnad av eIDAS. Dessa leverantörer erbjuder bland annat digitala sigill för företag och tidsstämpeltjänster som kan användas för att skapa kvalificerade elektroniska signaturer baserade på digital signaturteknik.

TellusTalk har ett sådant certifikat som används för att låsa och signera våra PAdES-filer. Du kan skaffa ett eget kvalificerat certifikat för dig eller ditt företag, här kan du läsa mer om det.

Hållbar signatur – ända in i framtiden med LTA (Long Term Archival)

För att det signerade dokumentet ska kunna anses hållbart under en längre tid har ETSI definierat en standard (ESTI TS 103 172) med flera nivåer av tekniker för att säkerställa att PAdES-dokumentet kan verifieras över tid. Varje nivå bygger på att nästa nivå uppfyller nivån nedanför samt ytterligare krav.
– B-nivå: Den lägsta nivån, används för signaturer som inte behöver arkiveras länge. Måste ingå en elektronisk signatur och ett certifikat.
– T-nivå: Som B-nivån samt att en tidstämpel läggs till för att bevisa att signaturen existerade vid en viss tidpunkt. Vill man veta om certifikatet var giltigt så får man söka efter det online i listor som hanterar certifikat.
– LT-nivå: Som T-nivån samt att det även läggs till VRI (Verification Related Information) direkt i dokumentet som verifierar hela certifikatskedjan vid tillfället för signeringen. Den här nivån är den lägsta rekommenderade för ”Avancerade signaturer” som t.ex. BankID-signaturer.
– LTA-nivå: Som LT-nivån samt att man även lägger till en ytterligare tidstämpel i dokumentet. Den här nivån är den som rekommenderas för ”Kvalificerade signaturer”. Detta är också den enda nivån som fullt ut följer eIDAS reglemente och har stöd för kommande lagstiftning inom elektroniska signaturer.

LTA är väldigt lik en äldre profil som kallades LTV (Long Term Validation)

TellusTalk använder den högsta nivån, LTA (Long Term Archival), vilket bland annat inkluderar en tidstämpel som bevisar att certifikatet var giltigt vid tiden för signeringen. Det innebär att signaturen anses som giltig även när certifikatet i framtiden gått ut.

Vad säger lagen om elektroniska signaturer?

EU:s eIDAS-förordning som trädde i kraft den 1 juli 2016, innebär att alla EU-länder (och EES-länderna Norge och Island) har gemensamma regler för säkra elektroniska transaktioner och godkänner varandras lösningar för elektronisk identifiering och elektroniska signaturer. Därmed har hindren som de tidigare digitala gränserna utgjorde, försvunnit.

Enligt eIDAS och e-signaturlagen har en kvalificerad elektronisk signatur samma rättsliga verkan som en handskriven signatur. Lagstiftningen tolkas så att alla typer av elektroniska signaturer – kvalificerade och icke-kvalificerade – kan ges rättslig verkan. En elektronisk signatur kan inte förvägras rättslig verkan enbart på grund av att den är i elektronisk form eller att den är icke-kvalificerad. Det som blir avgörande är i vilken utsträckning det är möjligt att bevisa äktheten av signaturen och riktigheten av innehållet i dokumentet.

Post- och Telestyrelsen, PTS, har tillsynsansvar för e-underskriftstjänster och andra betrodda tjänster enligt eIDAS. Tjänster för kvalificerade e-underskrifter står under aktiv tillsyn. Icke-kvalificerade tjänster för avancerade e-underskrifter står under tillsyn som utförs i de fall det uppstått någon incident. Leverantörer av tjänster på den kvalificerade nivån listas av tillsynsmyndigheterna inom EU/EES.