PAdES – hvad for en fisk?

Elektronisk signatur er en fantastisk ting der virkeligt kan gøre vores forretningsprocesser mere effektive.

Hvem har ikke prøvet at sende en kontrakt til underskrift og vente i uvished på om den nu er blevet skrevet under, eller om den er gået tabt i posten på vejen tilbage. Eller hvis man som kunde har fået aftalen på mail og så “bare lige” skal skrive den ud, skrive den under og så enten scanne og maile tilbage eller tage turen ned til postkassen.

Løsningen er selvfølgelig elektronisk signatur og med NemID’s udbredelse kan stort set alle danskere skrive under med deres NemID. Og der skal ikke meget gymnastik med lommeregneren til for at regne ud at mere effektive processer, ingen udgifter til porto, bedre kundeservice alt i alt summer op til et væsenligt potentiale for at opnå en økonomisk gevinst.

Hvad er et elektronisk underskrevet dokument så? Ja i Danmark har vi jo NemID, og resultatet af en signering hermed er XMLDsig. Hvis to personer skriver under på samme dokument har man ikke een men to XMLDsig filer og så videre alt efter hvor mange der skriver under. Hvis man så forestiller sig at en Svensker eller en Nordmand vil skrive under på dokumentet også så er kompleksiteten endnu større da deres nationale e-ID løsninger laver henholdsvis SEID SDO og PKCS#7 som output.

Hvad betyder det så i praksis? Ikke så meget hvis man har en infrastruktur på plads til at håndtere de tekniske formater, i bankverdenen er det helt naturligt at kunden logger på sin netbank og ser de aftaler han har indgået, og forsikringsselskabet kan også integrere en løsning som Signicat Viewer i kundeportalen for at gøre noget tilsvarende.

Men hvad så når alle parter har brug for hver deres juridisk gyldige kopi af aftalen? En mulighed er at  give alle parter det oprindelige dokument (ikke underskrevet) og en kopi af XMLDsig,  dette er praksis flere steder men er ikke just optimalt. Brugeren har ikke mulighed for selv at checke om XMLDsig er gyldig og at den rent faktisk er knyttet til dokumentet.

Misforholdet mellem den der opbevarer signaturen og de andre parter er måske til at leve med når det drejer sig om det offentlige eller banken hvor der er relativ høj tillid og revision af infrastrukturen. Men hvad når det drejer sig om en ansættelsesaftale eller en salgskontrakt mellem to parter? Her er det i højere grad vigtigt at alle har det samme bevis for at aftalen er indgået og hvad ordlyden var. Og hvordan deler jeg forøvrigt aftalen med fagforeningen, advokaten og så videre?

Det er her at PAdES kommer ind i billedet, kort fortalt er PDF Advanced Electronic Signature en europæisk standard defineret af ETSI, der gør det muligt at løse en række af de udfordringer som skal overvindes for at få maksimal nytte af elektronisk signatur.

Ved at benytte PAdES får man et dokument med følgende kvaliteter

  • Alle kan læse det (så længe de har en PDF læser)
  • Det kan sendes videre til andre parter
  • Det indeholder det fulde bevis for underskrifterne
  • Inholdet kan ikke ændres uden at seglet bliver brudt
  • Det kan rumme flere dokumenter der hver især har flere underskrifter på
  • Det kan rumme en kombination af underskrifter (fx. NemID og Svensk BankID)

og den måske vigtigste grund af alle, er at det er til at forstå for en ikke IT kyndig borger.

Desværre understøtter NemID ikke PAdES som udgangspunkt, men heldigvis har vi en løsning på det.

Signicat SignIT Seal Service pakker de respektive nationale e-ID output (XMLDsig, PKCS#7, etc.) sammen med langtidsvaliderings data og en grafisk repræsentation af det der blev skrevet under og supplerer med en oversigt over indeholdet af containeren.

Resultatet af dette er et dokument der rummer alle de ovenstående kvaliteter, hvilket betyder at elektronisk underskrift for alvor bliver praktisk anvendeligt for samfundet, nu kan kunden, advokaten, fagforeningen, og så videre få deres kopi af dokumentet. Og da PAdES bygger på PDF formatet kan dokumentet arkiveres i de etablerede dokumenthåndterings systemer eller sendes til e-Boks uden problemer.

pades explanation

NemID, Holder det i retten?

Foruden identifikation af en bruger til fx Netbank og andre webtjenester, kan NemID også anvendes som digital signatur eller elektronisk underskrift på dokumenter.

En elektronisk underskrift på et dokument består af en teknisk proces, der binder aftaledokumentet sammen med brugerens NemID – når denne anvendes til elektronisk underskrift.

Hvad hedder det egentlig? Nogle kalder det digital signatur, nogle elektronisk underskrift og andre igen eSignatur.

Når man nu har underskrevet sin ansættelseskontrakt elektronisk med NemID – hvad så. Ja heldigvis er der i langt de fleste tillfælde jo ikke brug for nogen form for dokumentation af den aftale man har. Men det sker jo, at en af parterne har brug for at henvise til den aftale man har indgået og igen i enkelte tilfælde inddrage en tredie part som en fagforening, rådgiver eller måske retsvæsen. Det er derfor vigtigt at disse tredie parter nemt kan få adgang til og have tillid til det aftale dokument det drejer sig om.

Det handler altså om, at formidle det elektronisk underskrevne aftaledokument så tredie parten får den nødvendige indsigt og tillid til aftale dokumentet, at vedkommende kan udføre sin del.

I en evt retssag – hvor der endnu ikke er noget erfaringsgrundlag med elektronisk underskrevne aftaledokumenter – vil aftaledokumentet indgå som bevis på samme måde som et fysisk underskrevet aftaledokument, eller en e-mail, etc. Hos de fleste virksomheder er det et juridisk anliggende om man vælger den ene eller anden løsning til af indgå aftaler med kunderne (modparten). For at belyse de retslige udfordringer og muligheder med elektronisk underskrift, har vi fået en af de førende IT Rets Advokater Nis Peter Dall fra Bender von Haller og Dragsted, til at udarbejde et notat.

Notatet kan downloades her Notat – Vejledning vedrørende anvendelse af digitalt signerede dokumenter i retsplejen mv

Kort fortalt er der for visse aftaler én primær udfordring, som notatet også belyser, og det er originalitetskravet i retsplejeloven og kreditaftaleloven. Her fremgår det at en dommer kan kræve at se originaldokumentet.

En af de vigtigste egenskaber ved et elektronisk underskrevet dokument er, at man til hver en tid kan detektere om det er blevet ændret (hacket eller kompromitteret på anden vis). Det vil sige man kan have flere eksemplarer af et elektronisk underskrevet aftaledokument og hvert eneste af disse til hver en tid være sikker på, at det er nøjagtig det samme som da det blev underskrevet elektronisk med NemID

Signicat on the Deloitte Tech Fast 50 list

For the second year in row Signicat has been ranked one of Norway’s fastest growing businesses in the technology, media, telecom and biotechnology industries. This ranking is based on an analysis of turnover over the last five years, which included 20,000 companies nationwide.

Read more on Deloitte Tech Fast 50

The Norwegian Post launches digital mailbox secured by Signicat

Norway Post is continuously developing its services to meet its customer’s current and future needs. A result of this is the new digital mailbox that is going to be launched this spring.

The digital mailbox will be based on a person’s street address and national ID number. It will thus be easy to find the mail recipient and the digital mailbox will take note of any changes to your street address.

Citizens can use any of the widely distributed Norwegian eIDs for accessing the mailbox in a secure way. Support for multi-ID authentication is provided by Signicat, who also is providing Norway Post with eID used for securing online change of address.

Link to Norway Post’s Press Release in English and Norwegian.