Elektronisk attestering och signering Ola Ljungkrona, Umeå, 2014-09-11
Vad jag skall prata om Förhållande mellan Handlingar Vad har signatur för funktion Vad skall vi ha det till? Två dimensioner i Ladok Vad finns det för tjänster Vad är attestering (och hur fungerar det)? Vad är signering (och hur fungerar det)?
Förhållande mellan Handlingar Begrepp Beskrivning Elektronisk handling Upptagning för automatiserad behandling som utfärdaren har gett ett slutligt innehåll Elektronisk underskrift Elektronisk signatur En elektronisk motsvarighet till en underskrift på papper Elektronisk stämpel En motsvarighet till en elektronisk underskrift som inte är knuten till en fysisk person utan till en myndighet eller en annan organisation. Tidsstämpel Ett elektroniskt intyg om tidpunkten för en viss händelse. Elektroniskt undertecknad eller elektroniskt stämplad Försedd med en elektronisk underskrift eller en elektronisk stämpel. Elektroniskt original Elektroniskt dokument En elektronisk handling som har försetts med en elektronisk utställarangivelse så att det kan kontrolleras med ett tekniskt förfarande om handlingen är äkta. Elektronisk kopia En avbild av ett pappersoriginal eller ett elektroniskt original som avses visa både texten i originalet, originalets utseende och andra betydelsebärande element, t.ex. bilder som ingår som en del i framställningen. Elektronisk avskrift En elektronisk handling som återger hela eller delar av innehållet i ett pappersoriginal eller ett elektroniskt original utan att originalets utseende visas Bestyrkt elektronisk kopia En elektronisk kopia som försetts med ett elektroniskt undertecknat eller stämplat intyg om att kopian överensstämmer med orginalet Bestyrkt elektronisk avskrift En elektronisk avskrift som försetts med ett elektroniskt undertecknat eller stämplat intyg om att avskriften överensstämmer med hela eller delar av original-innehållet Bestyrkt elektroniskt original Ett elektroniskt original som har försetts med ett elektroniskt undertecknat eller stämplat intyg om att underskriften respektive stämpeln är äkta En elektronisk kopia som försetts med ett elektroniskt undertecknat eller stämplat intyg om att kopian överensstämmer med originalet
Exempel E-handling - Examensbevis När Examensbeviset skapas det en PDF, då säger man att – ”En E-handling av Handlingsslag Examenshandlingar och är av Handlingstyp Examensbevis, är framställd” När Examensbeviset E-signeras med en Extern signeringstjänst så är E-handlingen ett ”Elektroniskt original”
Jämförelse Elektroniska Original Pappersoriginal Kan finns i flera exemplar Kan återskapas utifrån samma uppgifter Kan skickas iväg och i efterhand tekniskt verifiera äktheten Finns bara som ett originalexemplar Finns papperskopior som behöver vidimeras Mer tradition att ”lita” på äkthet än realitet
Vad har E-signatur för funktion Juridisk effekt: samma funktioner som en fysisk signatur Identifiera beslutsfattare, avsikt med underskrift Garantera riktighet, dvs jag läser och intygar att det är korrekt Spårbarhet Teknisk effekt: säkerställa autenticitet, informationens integritet, och även konfidentialitet, säkerhetsaspekt Att i efterhand kunna garantera att signaturen och innehållet är äkta Källa CS
Vad skall vi med detta till? Minimera/minska pappershantering Förbättra/förenkla processtödet för beslutshandlingar Skapa förutsättningar för digitalt bevarande av orginalhandlingar
Två dimensioner i Nya Ladok Intern hantering, dvs handlingar som aldrig skall lämna myndigheten - Attestering Externa handlingar, dvs handlingar som skall lämna myndigheten – Signering Här kan det finnas interna handlingar som vi i ett bevarande och signeringsperspektiv kan hanteras på samma sätt som vi hanterar externa handlingar – jämför arkivlista Väldigt splittrad kravbild angående bevarande på lärosätena, vilket dessa två dimensioner hjälper till att lösa och avgränsa vad Ladok tillhandahåller.
Interna E-handlingar Myndigheten har kontroll över handlingen Bevarandekrav Spårbarhetskrav Identifiera användare Svårare med bevarandeaspekten Oklart om det juridiskt går att sätta upp en intern fullflödig signeringstjänst pga. Avtalsaspekter Komplex lösning att bygga – mycket krav ala ”certifiering”
Externa E-handlingar Bevarandekrav Spårbarhetskrav Identifiera användare Äkthet – det går inte att ”fippla” med handlingen Transportsäkring Verifiera E-handling utanför myndighetens vetskap Verifiera E-handling utan kontakt med Internet (kräver dock giltigt rot-cert) Varje lärosäte kan avropa en signeringstjänst
Vad finns för tjänster Det går att avropa tjänster inom E-förvaltningsstödjande tjänster 2010
Vad är attestering (och hur fungerar det)? Attestering är ett enklare sätt att internt i Nya Ladok dokumentera ett beslut eller bekräfta en inläggning etc. Används när det krävs ”lite mer” än att bara ”klicka” på en spara-knapp När man Attesterar sparas information om attesteringen tillsammans med beslutet eller inläggningen Att Attestera betyder att användaren får identifiera sig genom att ”logga in igen”
DEMODAX!!!
(Vad är attestering) och hur fungerar det? Demo! – Vi använder oss av lärosätets egna IdP och begär att användaren skall återautentisera sig igen. Vi tar hand om svaret och lägger viss information tillsammans med beslutet och ännu mer information i ”loggen”, dock lite oklart ännu eftersom vi endast gjort POC av tekniken https://ladok3-23.ladok.umu.se/gui/
E-attestering I Nya Ladok tänkt att använda för att dokumentera beslut Alla beslut relaterat till studieadministrationen ligger kvar i Ladok, dvs det är interna beslut Det behövs inte en extern signeringstjänst för beslut som är interna eftersom vi har kontroll på alla delar Vi använder oss av SWAMID Vi loggar i beslutet, vem, när, transaktions-ID etc. Enklare lösning utifrån än att använda en extern E-signatur-tjänst E-handlingen skall inte lämna myndigheten Bevarandet kan lösas genom att se utdrag av beslut på samma sätt som externa handlingar – tänk arkivlista
Vad är signering (och hur fungerar det)? Signering är mer avancerad och uppfyller samma juridiska krav som en underskrift Används för att visa att ett dokument är äkta och utsällt av en myndighet Lite krångligare än Attestering både tekniskt och användarmässigt När man signerar sparas information om signeringen i själva dokumentet Att signera betyder att användaren får identifiera sig genom att använda myndighetsstämpel, BankID eller liknande tjänster
DEMODAX!!!
(Vad är signering) och hur fungerar det)? Demo!! – jag använder mig av en extern tjänst och laddar upp ett orginalhandlingen som jag signerar med BankID och verifierar det sedan i Acrobat Reader. Alternativt så verifierar jag orginalhandlingen via tjänsten som signerade handlingen http://scrive.com/sv/ http://scrive.com/sv/verify
E-signering I Nya Ladok tänkt att använda för att signera externa dokument Beslut signeras inte utan de attesteras All signering och verifiering görs externt Klarar kraven för avancerad eller kvalificerad underskrift E-handlingen kan lämna myndigheten och verifieras oavsett om kontakt med myndigheten finns eller inte Bevarandet kan göras genom att lägga ett bevarandeexemplar utanför Nya Ladok Kan alltså vara själva orginalhandlingen – måste finnas en koppling mellan den som ligger i verksamhetssystem och den som ligger i bevarandesystemet
Bra sida som visar exempel http://service.secmaker.com/efrf/default.aspx
Frågor?