Hvad er elektronisk signatur? Definition, typer og lovkrav
Forstå elektronisk signatur: hvad det er, typer, juridiske krav (eIDAS mv.) og hvordan digitale signaturer beskytter aftaler og identitet.
En elektronisk signatur er en elektronisk registrering af en aftale.
Kontrakter har længe været brugt til at vise, at to parter er enige om noget. Ofte skriver parterne derefter et dokument, som de begge underskriver for at vise denne aftale. I internettets tid overføres mange af disse dokumenter i digital form, men det er stadig nødvendigt at vise, at der er enighed. Det er her, at en elektronisk signatur kommer ind i billedet.
Selve begrebet elektronisk signatur er ikke nyt. Common law-jurisdiktioner har anerkendt telegrafiske signaturer helt tilbage fra midten af det 19. århundrede og faxsignaturer siden 1980'erne.
Elektroniske signaturer findes i forskellige former. Alle former kan vise, at en person er indforstået med noget. Nogle former kan også beskytte de data, som personen har accepteret, mod let at blive ændret, eller de kan lovligt identificere den person, der har accepteret dem. Til dette formål anvendes idéer fra kryptografi med offentlige nøgler: digitale signaturer, certifikater og hashkoder. En elektronisk signatur indeholder ofte et tidsstempel, der viser, hvornår signaturen blev foretaget. Ligesom ved kryptografi kan elektroniske signaturer anvendes til alle slags data, og der er ikke noget krav om, at de signerede data skal have et bestemt format.
Selv om der ofte anvendes kryptografi, har udtrykket elektronisk signatur en juridisk betydning. Dette er forskelligt fra den tekniske betegnelse digital signatur, der anvendes inden for kryptografi. Mange lande har lavet regler, så visse elektroniske signaturer svarer til en håndskrevet underskrift i mange henseender.
Der er forskellige måder, hvorpå en elektronisk underskrift kan udføres. Mange lande har standarder for, hvordan en sådan underskrift skal se ud. Eksempler på sådanne regler er eIDAS i Den Europæiske Union, NIST-DSS i USA eller ZertES i Schweiz.
Typer af elektroniske signaturer
- Enkel (simple) elektronisk signatur: Omfatter indtastet navn, en scannet håndskreven underskrift, eller et klik på "Jeg accepterer". Den kan være tilstrækkelig til lavrisiko-aftaler, men giver begrænset beviskraft ved tvister.
- Avanceret elektronisk signatur (AdES): Ifølge eIDAS skal den være unikt knyttet til signaturen, kunne identificere underskriveren, være skabt ved data som underskriveren kan holde under sin ene kontrol, og være knyttet til det signerede indhold, så ændringer kan opdages. Teknisk set anvendes ofte PKI (offentlig nøgleinfrastruktur) og digitale signaturer til dette.
- Kvalificeret elektronisk signatur (QES): Den højeste tillidsklasse under eIDAS. En QES er en avanceret signatur, der er skabt ved hjælp af en kvalificeret signaturenhed og baseret på et kvalificeret certifikat udstedt af en betroet tjenesteudbyder. I EU har en QES samme retsvirkning som en håndskreven underskrift.
Teknisk kortforklaring
Teknisk bygger mange sikre elektroniske signaturer på:
- Hashfunktioner: Et dokument omdannes til en kort, entydig kodelinie (hash). Selv små ændringer i dokumentet ændrer hashværdien.
- Digitale signaturer og PKI: Underskriveren bruger en privat nøgle til at signere hashværdien; andre kan verificere signaturen med den tilhørende offentlige nøgle. Certifikater udsteder identitetsoplysninger og binder en offentlig nøgle til en person eller organisation.
- Tidsstempler: Et tidsgarantstempel (timestamp) dokumenterer, hvornår signaturen blev foretaget, hvilket er vigtigt for validering og beviskraft.
- Signaturformater: Standarder som PAdES (PDF), XAdES (XML) og CAdES (CMS) bruges ofte til at bevare signaturens tekniske integritet og muliggøre langtidsvalidering.
Juridiske krav og tillid
Reguleringer som eIDAS i EU fastsætter rammer for, hvornår en elektronisk signatur kan anses for ligeså gyldig som en håndskreven underskrift. Der er dog forskelle mellem lande og sektorer; visse retsakter eller dokumenter (f.eks. testamente eller visse typer ejendomsoverdragelser) kan kræve særlige formaliteter.
Vigtige juridiske aspekter:
- Bevisbyrde: I tvister vurderes signaturens pålidelighed ud fra teknisk metode, identitetskontrol og revisionsspor.
- Identitetsverifikation: Jo strengere krav til identifikation, desto højere bevisværdi for signaturen.
- Betroede tjenesteudbydere: Kvalificerede certifikater og signaturtjenester udstedt af godkendte udbydere øger tilliden og lovligheden i mange jurisdiktioner.
Sikkerhed og bedste praksis
For at sikre, at elektroniske signaturer er troværdige og anvendelige i praksis, anbefales følgende:
- Brug af kvalificerede eller avancerede løsninger når dokumentets betydning kræver høj sikkerhed.
- Sikre nøgleopbevaringsmetoder (f.eks. HSM, smartcards eller sikre sky-nøgleopbevaringer) så private nøgler ikke kompromitteres.
- Tidsstempling og langtidsvalidering for at kunne bevise signaturens gyldighed over tid, selv efter certifikatets udløb.
- Kontrol af certifikatstatus (OCSP/CRL) ved verifikation for at sikre, at certifikatet ikke er tilbagekaldt.
- Auditlog og revisionsspor der dokumenterer hvem, hvornår og hvordan der er underskrevet samt eventuelle identitetschecks.
- Uddannelse og procedurer så medarbejdere genkender phishing, social engineering og følger interne regler for digital signering.
Anvendelser og praktiske råd
Elektroniske signaturer bruges bredt: kontrakter, købsaftaler, medarbejderdokumenter, fakturagodkendelser, sundhedsformularer, banktransaktioner og digital korrespondance med offentlige myndigheder. For virksomheder, der vil indføre e-signaturer, anbefales følgende trin:
- Kortlæg hvilke dokumenttyper der underskrives og hvilke juridiske krav der gælder.
- Vælg en løsning (simple, advanced eller qualified) ud fra risikoniveau og lovkrav.
- Integrer løsningen i eksisterende arbejdsgange og arkivsystemer.
- Sørg for backup, langtidsopbevaring og politikker for bevaring af signeret materiale.
Opsummering
En elektronisk signatur er et fleksibelt redskab til at dokumentere en parts accept i digitale dokumenter. Der findes både simple løsninger og mere teknisk og juridisk stærke løsninger (avancerede og kvalificerede signaturer). Valget skal afstemmes efter dokumenternes betydning, gældende lovgivning og sikkerhedskrav. Ved korrekt implementering kan elektroniske signaturer give hurtigere processer, øget sporbarhed og juridisk gyldighed svarende til en håndskreven underskrift.
Forskellige former for elektroniske signaturer
| Elektronisk underskrift | Avanceret elektronisk signatur | Kvalificeret elektronisk signatur | |
| Niveau af sikkerhed | lav | høj | meget høj |
| Eksempel | Elektronisk post, med navnet på den person, der har skrevet posten | Elektronisk post med en digital signatur | elektronisk post med et certifikat, der kræver en identitetskontrol. Certifikatet er normalt gemt på et smart card, og det kræver smart cardet at læse posten. Desuden er dataene på smartkortet beskyttet, f.eks. ved hjælp af en adgangskode eller biometriske data. |
| ændring af meddelelsen kan registreres | ingen | ja | ja |
| underskriveren kan identificeres juridisk | ingen | ingen | ja |
| svarer juridisk set til en håndskrevet underskrift | ingen | i visse tilfælde | ja |
Signering af et dokument og verifikation af en digital signatur
Avanceret elektronisk signatur
For at en elektronisk signatur kan betragtes som avanceret, skal den opfylde følgende krav:
- Underskriveren kan identificeres entydigt og knyttes til signaturen
- Underskriveren skal have enekontrol over de data til oprettelse af signaturen (typisk en privat nøgle), der blev brugt til at oprette den elektroniske signatur.
- Signaturen skal kunne identificere, om de ledsagende data er blevet ændret, efter at meddelelsen er blevet signeret.
- Hvis de ledsagende data er blevet ændret, skal signaturen ugyldiggøres
Kvalificeret elektronisk signatur
En kvalificeret elektronisk signatur er en elektronisk signatur, der er i overensstemmelse med EU-forordning nr. 910/2014 (eIDAS-forordningen) for elektroniske transaktioner inden for det indre europæiske marked. Den gør det muligt at verificere ophavsmanden til en erklæring i elektronisk dataudveksling over lange perioder. Kvalificerede elektroniske signaturer kan betragtes som en digital ækvivalent til håndskrevne signaturer.
Kvalificerede elektroniske signaturer anvender digitale certifikater, som udstedes af akkrediterede certificeringsmyndigheder. Certifikatet og nøglen opbevares sikkert, normalt på et smart card. For at få adgang til dataene på smartkortet skal brugeren autentificere sig selv, normalt med en adgangskode eller biometriske data. Certificeringsmyndigheden har også kontrolleret, at brugeren er den, han udgiver sig for at være, normalt ved at krydstjekke med et officielt, statsligt udstedt dokument.
Ud over de punkter, der er anført under "udvidet elektronisk signatur", identificerer en kvalificeret elektronisk signatur også underskriveren juridisk over for myndighederne.
Spørgsmål og svar
Spørgsmål: Hvad er en elektronisk signatur?
Svar: En elektronisk signatur er en elektronisk registrering af en aftale mellem to parter, der bruges til at vise, at de begge er enige om noget.
Q: Hvor længe har elektroniske signaturer eksisteret?
A: Elektroniske signaturer har været anerkendt siden midten af det 19. århundrede i common law-jurisdiktioner og siden 1980'erne for faxsignaturer.
Spørgsmål: På hvilke måder kan en elektronisk signatur foretages?
A: En elektronisk signatur kan bruge digitale signaturer, certifikater og hashkoder fra kryptografi med offentlige nøgler til at beskytte data eller juridisk identificere den person, der har givet sit samtykke. Den indeholder også ofte et tidsstempel for at vise, hvornår den blev lavet.
Spørgsmål: Er der et bestemt format, der skal anvendes til data, der er underskrevet med en elektronisk signatur?
A: Nej, der er ikke noget krav om, at de underskrevne data skal have et bestemt format - det kan bruges til alle slags data.
Spørgsmål: Hvad betyder "elektronisk signatur" juridisk set?
A: Juridisk set har "elektronisk signatur" en anden betydning end den tekniske betegnelse "digital signatur", der anvendes inden for kryptografi. I mange lande anses visse typer elektroniske signaturer i juridisk henseende for at svare til håndskrevne signaturer.
Spørgsmål: Er der standarder for, hvordan en elektronisk signatur skal se ud?
A: Ja, mange lande har standarder for, hvordan en sådan signatur skal se ud - eksempler herpå er eIDAS i EU, NIST-DSS i USA eller ZertES i Schweiz.
Søge