Validera och bevara e-underskrifter och stämplar

Det finns inga lagkrav på att validera en e-underskrift. Däremot behöver man bedöma behovet av att över tid kunna bevara möjligheten att verifiera en underskrift. Här beskrivs hur validering och bevarande går till.

Att validera är samma sak som att kontrollera om man kan lita på en e-underskrift. Det kan göras när e-underskriften framställs, när den anländer till myndigheten eller efter att en tid har gått.

Att bevara kan innebära två saker. Dels det bevarande som regleras i arkivlagstiftningen, det vill säga att innehållet inte har försvunnit eller förvanskats, dels att myndigheten bevarar möjligheten att validera i efterhand.

Validering vid framställan av en e-underskrift eller då en e-underskrift inkommit i en handling

Kortfattat består valideringen av att kontrollera:

  1. att e-underskriften framställts från ett elektroniskt certifikat utfärdat av en trovärdig organisation
  2. att certifikatets giltighetstid inte har löpt ut eller att det inte är spärrat
  3. att dokumentet inte har förändrats

1) Att e-underskriften framställts från ett elektroniskt certifikat utfärdad av en trovärdig organisation

PTS (Post- och telestyrelsen) publicerar en lista över godkända utfärdare av kvalificerade certifikat enligt eIDAS. Idag finns bara utländska certifikat uppsatta på den listan då Sverige inte har någon kvalificerad certifikatutfärdare ännu.

De certifikat som används i Sverige i nuläget är istället så kallade icke kvalificerade certifikat. Dessa är inte granskade eller godkända av PTS vilket gör att det kan vara svårare att veta om de är tillräckligt pålitliga som certifikat för e-underskrifter.

Ett alternativt sätt att hjälpa handläggare att kontrollera om ett certifikat har framställts av en trovärdig organisation är att myndigheten upprättar egna listor över certifikatutfärdare som man litar på, eller prenumererar på listor som ges ut av organisationer som kan anses trovärdiga även om de inte formellt är granskningsorgan.

Microsoft och Adobe med flera publicerar sådana listor men eftersom det är dyrt för utfärdare av dessa certifikat att genomgå den prövning som krävs för att få ingå, är listorna inte kompletta. Man kan därför inte utgå från att det certifikat som använts för att framställa e-underskriften finns med på dessa listor.

2) Att certifikatet är giltigt och inte spärrat

Certifikatets giltighet kan kontrolleras utifrån sista giltighetsdag och de spärrlistor som utfärdaren publicerar.

3) Att dokumentet inte har förändrats

Att dokumentet inte har förändrats är enklast att kontrollera. Det är en rent
matematisk beräkning som många vanliga programvaror klarar av.

Validering i efterhand

Att göra en validering i efterhand innebär att man står inför en situation där certifikatets sista giltighetsdag troligen löpt ut. En kontroll kommer att säga att certifikatet är ogiltigt. Frågan man då behöver ställa sig är “var den här underskriften giltig när handlingen inkom till myndigheten?”

Här behöver man välja väg: antingen välja att samla tillräckligt mycket information för att kunna ”backa tiden”, eller att göra kontrollen direkt när dokumentet kommer in och i efterhand förlita sig på den kontrollen.

Det kan i sin tur ske på tre sätt:

  1. Genom att arkivera handlingen på ett sätt som gör att vi kan lita på att alla handlingar som finns i arkivet var ok när de lagrades och inte har förändrats eller
  2. Genom att underteckna på nytt innan certifikatet löper ut (troligen bara en teoretisk möjlighet) eller
  3. Genom att stämpla handlingen elektroniskt, som intygar att man kontrollerade giltigheten innan stämpling. Detta eftersom den stämpelns äkthet i sin tur kontrolleras av en elektronisk stämpel, som även den kommer löpa ut och därmed kommer kräva omstämpling. Det innebär att den som stämplar därmed godkänner den tidigare gjorde stämplingen.

Att stämpla dokuments giltighet kan komma att stödjas av särskilda valideringstjänster som tillhandahålls av betrodda organisationer. Det finns ännu inga sådana godkända tjänster, men eIDAS-förordningen reglerar hur varje medlemsland ska hantera dem. Uppstår en tillräcklig efterfrågan på sådana valideringstjänster är det troligt att de kommer att erbjudas.

Nyhetsbrev

Sociala medier