Elektroniska underskrifter

Vid varje tillfälle du skriver under ett elektroniskt meddelande, skapar du en elektronisk underskrift. Det kan till exempel vara när du skriver under med ditt namn i ett vanligt e-postmeddelande. Utmärkande för den här typen av enklare elektroniska underskrifter är det ställs få eller inga säkerhetskrav på dem. Det går till exempel inte att låsa dokumentets innehåll till underskriften på ett säkert sätt.

När vi i dagligt tal pratar om elektronisk underskrift menar vi ofta en avancerad elektronisk underskrift, exempelvis BankID eller Freja eID Plus. Det är en underskrift i elektronisk form som med kryptografiska tekniker knyter identiteten på en undertecknare till det undertecknade dokumentet. Detta innebär att man i efterhand kan verifiera vem som skrivit under och vad som skrivits under. Det finns ingen förteckning över aktörer som tillhandahåller avancerade elektroniska underskrifter. Det enklaste sättet att veta om det rör sig om en avancerad elektronisk underskrift är att fråga tillhandahållaren. Även om tillhandahållare inte behöver anmäla sig till PTS, är de skyldiga att rapportera in incidenter. PTS kan granska tillhandahållare om det finns misstankar om att de inte uppfyller kraven i eIDAS.

En kvalificerad underskrift är en avancerad underskrift med särskilda krav på hur undertecknaren ska kunna identifieras och hur underskriftsnycklar ska användas för att skydda underskriften mot förfalskning. Samtliga krav regleras i eIDAS-förordningen. Endast företag som är kvalificerade tillhandahållare av betrodda tjänster har rätt att leverera en kvalificerad betrodd tjänst enligt eIDAS-förordningen. En kvalificerad elektronisk underskrift är en av flera betrodda tjänster som regleras i eIDAS-förordningen. I en del EU-länder finns krav på att en kvalificerad elektronisk underskrift måste användas i samband med vissa elektroniska förfaranden.

Nej, en kvalificerad elektronisk underskrift är inte alltid bättre, utan det beror på vad verksamheten har för behov, vilken tillförlitlighet som behövs och i vilken situation elektroniska underskrifter ska användas. Kraven på kvalificerade elektroniska underskrifter är tydliga genom eIDAS-förordningens krav. Säkerhetskraven för en avancerad elektronisk underskrift är mer oklara. Om ni i er verksamhet använder, eller tar emot, avancerade elektroniska underskrifter behöver ni själva ta ställning till om ni kan lita på tjänsten för underskrifter. Ni behöver också ställa krav på att tjänsten uppfyller era verksamhetsbehov.

En e-legitimation används för elektronisk legitimering, medan en betrodd tjänst används för att skriva under elektroniskt. Om du endast legitimerar dig med en e-legitimation så använder du inte en betrodd tjänst. Vissa tjänster, som exempelvis BankID och Freja eID Plus, tillhandahåller tjänster för både e-legitimation och elektroniska underskrifter. De utgör då betrodda tjänster.

Det finns inga generella regler som fastställer när en enkel, avancerad eller kvalificerad elektronisk underskrift ska användas. Däremot kan det finnas krav i författning på att avancerade elektroniska underskrifter ska användas. Utöver krav i författning så är det verksamhetens behov som är styrande för val av underskriftsmetod.

Nej, det finns i dagsläget inga lagkrav på att kvalificerade elektroniska underskrifter ska användas i Sverige. I en del EU-länder finns dock krav på att en kvalificerad elektronisk underskrift måste användas i samband med vissa elektroniska förfaranden.

Vi kan inte uttala oss om vilka tillhandahållare som är säkrast, eftersom vi inte har något mandat att utreda det. PTS har inte heller någon förteckning över vilka icke-kvalificerade tillhandahållare som finns, eftersom de inte är skyldiga att anmäla sig till oss. De är dock skyldiga att rapportera incidenter till oss, då vi är tillsynsmyndighet för icke-kvalificerade tillhandahållare.

Myndigheten för digital förvaltning (Digg) har en vägledning för offentliga aktörer som vill skaffa en så kallad fristående underskriftstjänst. En underskriftstjänst enligt Diggs tekniska ramverk kan användas för att skapa såväl avancerade som kvalificerade elektroniska underskrifter. Det tekniska ramverket har hittills endast använts för avancerade elektroniska underskrifter. En fristående underskriftstjänst är en delkomponent i ett system för digital underskrift och kan användas i många olika typer av tillämpningar. Den är särskilt vanligt förekommande i myndighetstjänster som kräver att användare ska kunna skriva under olika handlingar och ansökningar med sin e-legitimation. Digg har även information om hur tjänsten kan anslutas till den nationella federationen Sweden Connect så att medborgare kan skriva under med sin existerande eID.

Om ni väljer att upphandla kvalificerade elektroniska underskrifter så innehåller eIDAS-förordningen tydliga krav på kvalificerade elektroniska underskrifter. Det finns därtill krav i standarder som kan utgöra ett bra stöd i er kravställning. Tillitsinformation, med information om kvalificerade tillhandahållare och kvalificerade betrodda tjänster, publiceras av EU:s medlemsstater.

För att kontrollera en avancerad eller en kvalificerad elektronisk underskrift används normalt en tjänst eller programvara för att genomföra kontrollen (valideringen). Det kan vara en tjänst som verksamheten tillhandahåller eller en inbyggd funktion i till exempel en programvara för att läsa PDF-filer. Valideringstjänsten kan även baseras på öppen källkod från myndigheten för digital förvaltning (Digg) eller EU-kommissionen.

Det finns flera sätt att ta reda på vilka elektroniska underskrifter som ni kan lita på. Det kan finns en förteckning i er organisation över vilka tillhandahållare som ni har valt att lita på. Ni kan även valt att lita på de som finns listade i den programvara som ni använder för att kontrollera elektroniska underskrifter. På vår webbplats finns en lista över vilka företag som i Sverige är så kallade kvalificerade tillhandahållare av betrodda tjänster. Här finns även EU:s lista över kvalificerade tillhandahållare som offentliga e-tjänster ska lita på.

Endast företag som är kvalificerade tillhandahållare av betrodda tjänster har rätt att leverera kvalificerade betrodda tjänster enligt eIDAS-förordningen. För att få statusen som kvalificerad tillhandahållare behöver företaget anmäla verksamheten till PTS.

I en del EU-länder finns krav på att en kvalificerad elektronisk underskrift måste användas i samband med vissa elektroniska förfaranden, exempelvis för att elektroniskt kunna lämna anbud i offentliga upphandlingar.

En elektronisk underskrift i en e-legitimation är den vanligaste formen av underskrift. Underskriftsfunktionen ingår i e-legitimationen. När du använder en e-legitimation som underskriftslösning måste du som användare ha tillgång till programvara och utrustning som krävs för att skapa underskrifter. Det kan vara en mobil lösning med e-legitimation i mobiltelefonen eller en lösning där e-legitimation och underskriftsfunktion finns på ett så kallat smart kort. Gemensamt för den här typen av lösningar är att du som användare själv har kontroll över den enhet och de nycklar som skapar den elektroniska underskriften.

En fristående underskriftstjänst används ofta i myndighetstjänster som kräver att användare kan skriva under olika handlingar och ansökningar med sin e-legitimation. En fristående underskriftstjänst möjliggör att användaren kan identifiera sig med valfri e-legitimation inom ramen för de avtal om elektronisk identifiering som myndigheten har. Myndigheten för digital förvaltning (Digg) har tagit fram ett tekniskt ramverk för fristående underskriftstjänster. En underskriftstjänst som följer Diggs ramverk kan användas för att skapa såväl avancerade som kvalificerade elektroniska underskrifter.

En vanligt förekommande tjänst i dag är en underskriftstjänst där en eller flera undertecknare bjuds in att ”skriva under” ett PDF-dokument. Den slutliga underskrivna handlingen förses med tjänstens stämpel i stället för undertecknarnas individuella underskrifter eller en kombination av underskrifter och en stämpel. Denna typ av tjänst används oftast för att skapa digitala avtal men används även för att skriva under årsredovisningar och andra typer av dokument i PDF-format.

En elektronisk stämpel fungerar på samma sätt som en elektronisk underskrift, men den pekar ut en juridisk person (ett företag) istället för en fysisk person. På samma sätt som en elektronisk underskrift har olika säkerhetsnivåer har även en elektronisk stämpel det. Det finns så kallade enkla elektroniska stämplar, avancerade elektroniska stämplar och kvalificerade elektroniska stämplar. Samtliga varianter regleras i eIDAS-förordningen.

Det finns fler lösningar och tillhandahållare av tjänster för elektroniska underskrifter än de som vi informerar om här på vår webbplats. PTS har kontroll över de företag som är kvalificerade tillhandahållare av betrodda tjänster eftersom de måste granskas och anmäla sin verksamhet till myndigheten för att få status som kvalificerad tillhandahållare. Företag som levererar andra typer av elektroniska underskrifter behöver inte anmäla till PTS, vilket innebär att myndigheten inte känner till alla lösningar och tillhandahållare som finns på marknaden.