Valideringstjänst

När du tar emot en handling som innehåller en e-underskrift behöver du avgöra om den går att lita på. Det kallas för att validera e-underskriften. Du behöver också ta ställning till hur den ska bevaras. Här kan du läsa om validering och bevarande, och hitta det du behöver för att utveckla en egen valideringstjänst för e-underskrifter.

Validering av e-underskrifter

När du tar emot en elektronisk underskriven handling kan du maskinellt kontrollera tre saker:

  1. Att handlingen inte har förändrats sedan den skrevs under
  2. Vem som har skrivit under handlingen
  3. Att den elektroniska underskriften i handlingen går att lita på, dvs att den är utfärdad av en betrodd utfärdare och att de kryptologiska kontrollerna är korrekta.

Det kallas för att validera underskriften. Utöver valideringen kan du också behöva verifiera ytterligare saker, till exempel när handlingen skrevs under, undertecknarens behörighet eller avsikt, och om handlingen uppfyller din verksamhets krav.

Förutsättningar för validering

De maskinellt utvärderingsbara bevisen i en e-underskrift är en färskvara som kan försvagas eller bli ogiltiga med tiden. När du tar emot en elektroniskt underskriven handling behöver du därför avgöra om handlingen ska bevaras, och om någon i framtiden kan behöva bedöma om e-underskriften var giltig när handlingen skrevs under. Störst chans att lyckas med den bedömningen har du om du validerar handlingen så snart du har tagit emot den och sedan bevarar både e-underskriften och resultatet av valideringen.

En förutsättning för framtida validering av e-underskrifter är att handlingen som sådan bevarats i det format den hade när den upprättades eller kom in till myndigheten. Eftersom de format datorer och programvaror hanterar ändras kommer det förr eller senare innebära att den maskinella möjligheten att validera underskriften går förlorad. När det gäller bevarande av möjligheten att maskinellt validera e-underskrifter handlar det därför om att förlänga perioden så länge att förlusten inte får oacceptabla konsekvenser.

En utmaning med e-underskrifter är att de bara kan verifieras med publikt tillgänglig information under en begränsad tid. Det beror på att krypteringsnycklar och algoritmer försvagas över tid, och att underskriftscertifikat kan spärras och dess giltighetstid kan ta slut. Det kan skapa problem för de handlingar där e-underskriften och dess giltighet måste kunna bevaras och valideras under lång tid, till exempel elektroniska avtal.

Validera därför handlingen direkt när du har tagit emot den, och så nära som möjligt inpå tidpunkten när handlingen skrevs under, innan du accepterar handlingen som äkta. Ju tidigare du gör detta, desto större är chansen att handlingen innehåller färsk och tillförlitlig information som stöd för valideringen.

Efter validering och acceptans så finns det inga garantier för att du kan upprepa valideringsprocessen i framtiden, eftersom giltighetstiden eller tillgängligheten för nycklar och spärrinformation kan ha löpt ut. Därför är det viktigt att bevara både e-underskriften och det ursprungliga valideringsresultatet för att kunna avgöra e-underskriftens giltighet i framtiden.

Du kan bevara en e-underskrift på flera sätt:

  • Genom manuella loggar: Den enklaste formen av bevarande är att föra en manuell logg över att en e-underskrift kontrollerades när den togs emot och var giltig när handlingen skrevs under. Nackdelen med denna metod är att om dokumentet ändras efter loggningen så kan inte loggen användas för att upptäcka en sådan ändring. Denna metod ställer därför höga krav på att den underskrivna handlingen skyddas mot ändringar.
  • Med valideringsintyg: Med denna metod skapar en betrodd valideringstjänst ett samlat intyg på att tjänsten har validerat underskriften, när valideringen utfördes och resultatet av valideringen. Vi tillhandahåller en valideringstjänst som öppen källkod som kan ställa ut valideringsintyg, du kan läsa mer om den nedan.

Valideringstjänst för e-underskrifter

Vi tillhandahåller öppen källkod för en valideringstjänst för elektroniskt underskrivna handlingar, som innehåller komponenter som du som offentlig aktör eller tjänsteutvecklare kan använda för att skapa en egen valideringstjänst. Med hjälp av valideringstjänsten kan användaren validera en elektroniskt underskriven handling och skapa ett valideringsintyg för bevarande och arkivering under lång tid.

Specifikationer och öppen källkod

Specifikationer för valideringsintyg

Öppen källkod

Här hittar du baskomponenter för att validera dokument, och för att skapa och validera valideringsintyg:

Så fungerar valideringstjänsten

Med valideringstjänsten kan du validera en elektroniskt underskriven handling, eller kontrollera en tidigare gjord validering. Du kan också skapa ett intyg på valideringen, ett så kallat valideringsintyg, som du kan använda för att bevara och arkivera e-underskriften under lång tid.

Om det inte finns något valideringsintyg i handlingen sedan tidigare, verifierar valideringstjänsten

  • att dokumentet överensstämmer med underskriften
  • att underskriften är giltig
  • vem som enligt underskriften har skrivit under handlingen (validering av underskriftscertifikat).

Om handlingen sedan tidigare har ett valideringsintyg, kontrollerar valideringstjänsten

  • att valideringsintyget överensstämmer med den underskrivna handlingen
  • att den undertecknade handlingen inte förändrats
  • vem som skrivit under handlingen.

Tjänsten redovisar styrkta identitetsuppgifter i underskriftscertifikatet i form av identitetsattribut. Exempel på sådana attribut kan vara namn, ID-nummer, födelsedatum, eller organisation. Tjänsten kan bara förmedla dessa identitetsuppgifter, men saknar möjlighet att själv kontrollera om identiteten i certifikatet tillhör en fysisk eller juridisk person, eller om personen är behörig att skriva under eller stämpla det som handlingen avser.

Förutom att validera den underskrivna handlingen kan du också använda valideringstjänsten till att skapa ett intyg på den utförda valideringen.

Valideringsintyget lagras direkt i den underskrivna handlingen, och kommer därför alltid finnas tillgänglig vid framtida valideringar av e-underskriften. Det innebär att du i framtiden endast behöver validera intyget, istället för hela handlingen.

Eftersom allt intygas i ett och samma intyg så behöver du inte validera individuella spärrlistor och certifikat, till skillnad från om du använder dig av exempelvis arkivtidsstämpling. Valideringsintyget löser också problemet med algoritmer och nycklar som blir för gamla, eftersom det även intygar dokumentets utformning och vilka signaturdata och certifikat som validerats. Du behöver därför inte heller validera de ursprungliga nycklarna och algoritmerna.

Valideringsintyget kallas också för Signature Validation Token (SVT).

Tillitsförteckning för validering

En valideringstjänst kan inte på egen hand avgöra om ett underskriftscertifikat är utgivet av en betrodd utfärdare, utan tjänsten gör denna kontroll mot en så kallad tillitsförteckning. En tillitsförteckning är en lista på betrodda tillitstjänster, som kan intyga giltigheten av till exempel ett utfärdat underskriftscertifikat.

Vi tillhandahåller en tjänst för tillitsförteckningar som en valideringstjänst kan anropa. Tjänsten innehåller för närvarande EU:s förteckning över kvalificerade tillhandahållare av betrodda tjänster, men du som utvecklar en valideringstjänst baserad på den öppna källkoden kan också lägga till egna listor på betrodda tjänster som uppfyller den aktuella organisationens krav. Du kan läsa mer om tjänsten i tjänstebeskrivningen.

Betänkandet SOU 2021:9 föreslår en utökning av dagens förteckning över kvalificerade betrodda tjänster, till att även innehålla tillhandahållare och tjänster för avancerade elektroniska underskrifter och stämplar. Digg ställer sig positiva till förslaget.

Lär dig mer

Vanliga frågor och svar

Arkivtidsstämpling är en metod för att förlänga tiden det går att validera den ursprungliga underskriften i en handling, till exempel med hjälp av ETSI-standarden LTA (Long Term Archival).

Arkivtidsstämpling innebär att du samlar ihop tidsstämplar, certifikat och spärrinformation, och därefter tidsstämplar denna information tillsammans med den ursprungliga handlingen. Den ursprungliga e-underskriften valideras sedan i framtiden med hjälp av all den information som samlades in vid valideringstillfället.

Arkivtidsstämpling innehåller dock inget valideringsresultat och kan därför inte användas för att bevara ett valideringsresultat. Detta till skillnad från ett valideringsintyg som är en metod för att bevara resultatet av den ursprungliga valideringen av e-underskriften.

Behöver du hjälp?

Har du några frågor eller hittar du några fel i tillitsförteckningen eller källkoden till valideringstjänsten? Kontakta oss så hjälper vi dig!

Kontakta oss

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: