Elektroniska underskrifter

Utan krav på säkerhet

Vid varje tillfälle du skriver under ett elektroniskt meddelande, skapar du en elektronisk underskrift. Det kan till exempel vara när du skriver under med ditt namn i ett vanligt e-postmeddelande. Utmärkande för den här typen av enklare elektroniska underskrifter är det ställs få eller inga säkerhetskrav på dem. Det går till exempel inte att låsa dokumentets innehåll till underskriften på ett säkert sätt. 

Krav på säkerhet

När vi i dagligt tal pratar om elektronisk underskrift menar vi ofta en avancerad elektronisk underskrift, exempelvis BankID eller Freja eID+. Det är en underskrift i elektronisk form som med kryptografiska tekniker knyter identiteten på en undertecknare till det undertecknade dokumentet. Detta innebär att man i efterhand kan verifiera vem som skrivit under och vad som skrivits under.

Det finns ingen förteckning över aktörer som tillhandahåller avancerade elektroniska underskrifter. Det enklaste sättet att veta om det rör sig om en avancerad elektronisk underskrift är att fråga tillhandahållaren. Även om tillhandahållare inte behöver anmäla sig till PTS, är de skyldiga att rapportera in incidenter. PTS kan granska tillhandahållare om det finns misstankar om att de inte uppfyller kraven i eIDAS.

Höga krav på säkerhet och tillförlitlighet

En kvalificerad underskrift är en avancerad underskrift med särskilda krav på hur undertecknaren ska kunna identifieras och hur underskriftsnycklar ska användas för att skydda underskriften mot förfalskning.

Samtliga krav regleras i eIDAS-förordningen. Endast företag som är kvalificerade tillhandahållare av betrodda tjänster har rätt att leverera en kvalificerad betrodd tjänst enligt eIDAS-förordningen. En kvalificerad elektronisk underskrift är en av flera betrodda tjänster som regleras i eIDAS-förordningen. I en del EU-länder finns krav på att en kvalificerad elektronisk underskrift måste användas i samband med vissa elektroniska förfaranden.

Verksamhetsbehov avgör val av underskrift

Nej, en kvalificerad elektronisk underskrift är inte alltid bättre, utan det beror på vad verksamheten har för behov, vilken tillförlitlighet som behövs och i vilken situation elektroniska underskrifter ska användas.

Kraven på kvalificerade elektroniska underskrifter är tydliga genom eIDAS-förordningens krav. Säkerhetskraven för en avancerad elektronisk underskrift är mer oklara. Om ni i er verksamhet använder, eller tar emot, avancerade elektroniska underskrifter behöver ni själva ta ställning till om ni kan lita på tjänsten för underskrifter. Ni behöver också ställa krav på att tjänsten uppfyller era verksamhetsbehov.

Betrodd tjänst kan kombineras med e-legitimation

En e-legitimation används för elektronisk legitimering, medan en betrodd tjänst används för att skriva under elektroniskt. Om du endast legitimerar dig med en e-legitimation så använder du inte en betrodd tjänst. Vissa tjänster, som exempelvis BankID och Freja eID+, tillhandahåller tjänster för både e-legitimation och elektroniska underskrifter. De utgör då betrodda tjänster.

Verksamhetens behov styr

Det finns inga generella regler som fastställer när en enkel, avancerad eller kvalificerad elektronisk underskrift ska användas. Däremot kan det finnas krav i författning på att avancerade elektroniska underskrifter ska användas. Utöver krav i författning så är det verksamhetens behov som är styrande för val av underskriftsmetod.

Inga lagkrav i Sverige

Nej, det finns i dagsläget inga lagkrav på att kvalificerade elektroniska underskrifter ska användas i Sverige. I en del EU-länder finns dock krav på att en kvalificerad elektronisk underskrift måste användas i samband med vissa elektroniska förfaranden.

PTS har ingen förteckning

Vi kan inte uttala oss om vilka tillhandahållare som är säkrast, eftersom vi inte har något mandat att utreda det. PTS har inte heller någon förteckning över vilka icke-kvalificerade tillhandahållare som finns, eftersom de inte är skyldiga att anmäla sig till oss. De är dock skyldiga att rapportera incidenter till oss, då vi är tillsynsmyndighet för icke-kvalificerade tillhandahållare.

eIDAS ger tydliga krav

Om ni väljer att upphandla kvalificerade elektroniska underskrifter så innehåller eIDAS-förordningen tydliga krav på kvalificerade elektroniska underskrifter. Det finns därtill krav i standarder som kan utgöra ett bra stöd i er kravställning. Tillitsinformation, med information om kvalificerade tillhandahållare och kvalificerade betrodda tjänster, publiceras av EU:s medlemsstater.

Myndigheten för digital förvaltning (Digg) har en vägledning för offentliga aktörer som vill skaffa en så kallad fristående underskriftstjänst. En underskriftstjänst enligt Diggs tekniska ramverk kan användas för att skapa såväl avancerade som kvalificerade elektroniska underskrifter. Det tekniska ramverket har hittills endast använts för avancerade elektroniska underskrifter. En fristående underskriftstjänst är en delkomponent i ett system för digital underskrift och kan användas i många olika typer av tillämpningar. Den är särskilt vanligt förekommande i myndighetstjänster som kräver att användare ska kunna skriva under olika handlingar och ansökningar med sin e-legitimation. Digg har även information om hur tjänsten kan anslutas till den nationella federationen Sweden Connect så att medborgare kan skriva under med sin existerande eID.

Tjänst validerar avancerade och kvalificerade elektroniska underskrifter

För att kontrollera en avancerad eller en kvalificerad elektronisk underskrift används normalt en tjänst eller programvara för att genomföra kontrollen (valideringen). Det kan vara en tjänst som verksamheten tillhandahåller eller en inbyggd funktion i till exempel en programvara för att läsa PDF-filer.

Valideringstjänsten kan även baseras på öppen källkod från myndigheten för digital förvaltning (Digg) eller EU-kommissionen.

EU-förteckning över kvalificerade tillhandahållare

Det finns flera sätt att ta reda på vilka elektroniska underskrifter som ni kan lita på. Det kan finnas en förteckning i er organisation över vilka tillhandahållare som ni har valt att lita på. Ni kan även ha valt att lita på de som finns listade i den programvara som ni använder för att kontrollera elektroniska underskrifter.

På vår webbplats finns en lista över vilka företag som i Sverige är så kallade kvalificerade tillhandahållare av betrodda tjänster. Här finns även EU:s lista över kvalificerade tillhandahållare.

Rätt att leverera en kvalificerad betrodd tjänst 

Endast företag som är kvalificerade tillhandahållare av betrodda tjänster har rätt att leverera kvalificerade betrodda tjänster enligt eIDAS-förordningen. För att få statusen som kvalificerad tillhandahållare behöver företaget och dess betrodda tjänster genomgå en prövning hos både ett ackrediterat certifieringsföretag och hos PTS.

EU-länder kan ställa krav på kvalificerad elektronisk underskrift

I en del EU-länder finns krav på att en kvalificerad elektronisk underskrift måste användas i samband med vissa elektroniska förfaranden, exempelvis för att elektroniskt kunna lämna anbud i offentliga upphandlingar.

Den vanligaste formen av elektronisk underskrift 

En elektronisk underskrift i en e-legitimation är den vanligaste formen av underskrift. Underskriftsfunktionen ingår i e-legitimationen.

När du använder en e-legitimation som underskriftslösning måste du som användare ha tillgång till programvara och utrustning som krävs för att skapa underskrifter.

Det kan vara en mobil lösning med e-legitimation i mobiltelefonen eller en lösning där e-legitimation och underskriftsfunktion finns på ett så kallat smart kort. Gemensamt för den här typen av lösningar är att du som användare själv har kontroll över den enhet och de nycklar som skapar den elektroniska underskriften.

DIGG:s information om e-legitimation.

Används ofta i myndighetstjänster

En fristående underskriftstjänst används ofta i myndighetstjänster som kräver att användare kan skriva under olika handlingar och ansökningar med sin e-legitimation. En fristående underskriftstjänst möjliggör att användaren kan identifiera sig med valfri e-legitimation inom ramen för de avtal om elektronisk identifiering som myndigheten har.

Myndigheten för digital förvaltning (Digg) har tagit fram ett tekniskt ramverk för fristående underskriftstjänster. En underskriftstjänst som följer Diggs ramverk kan användas för att skapa såväl avancerade som kvalificerade elektroniska underskrifter.

Underskriftstjänst (DIGG)

Skriva under i ett PDF-dokument 

En vanligt förekommande tjänst i dag är en underskriftstjänst där en eller flera undertecknare bjuds in att ”skriva under” ett PDF-dokument.

Den slutliga underskrivna handlingen förses med tjänstens stämpel i stället för undertecknarnas individuella underskrifter eller en kombination av underskrifter och en stämpel. Denna typ av tjänst används oftast för att skapa digitala avtal men används även för att skriva under årsredovisningar och andra typer av dokument i PDF-format.

Underskrift för juridiska personer

En elektronisk stämpel fungerar på samma sätt som en elektronisk underskrift, men den pekar ut en juridisk person (ett företag) istället för en fysisk person.

På samma sätt som en elektronisk underskrift har olika säkerhetsnivåer har även en elektronisk stämpel det. Det finns så kallade enkla elektroniska stämplar, avancerade elektroniska stämplar och kvalificerade elektroniska stämplar. Samtliga varianter regleras i eIDAS-förordningen.

Företag behöver inte anmäla till PTS

Det finns fler lösningar och tillhandahållare av tjänster för elektroniska underskrifter än de som vi informerar om här på vår webbplats.

PTS är tillsynsansvarig myndighet över de företag som är kvalificerade tillhandahållare av betrodda tjänster eftersom de måste granskas och anmäla sin verksamhet till myndigheten för att få status som kvalificerad tillhandahållare.

Företag som levererar andra typer av elektroniska underskrifter behöver inte anmäla sig eller sin verksamhet till PTS, vilket innebär att myndigheten inte känner till alla lösningar och tillhandahållare som finns på marknaden.