Kan signaturer förfalskas?

• Varje signatur sker med en nyckel som skapas just för tillfället. 
• Efter signaturen kastas nyckeln bort och kan alltså inte användas för andra signaturer.
• eduSIGN följer de standarder och rekommendationer som etablerats genom DIGGs tekniska ramverk.

Används molnet/Var körs tjänsten?

• Inga molntjänster används för eduid
• Alla delar av tjänsten körs av Sunet på Sunets egna servrar som är placerade i Sunet datacenter.

Lagras data i tjänsten?

• Nej!
• Uppladdade dokument finns endast i minnet medans signaturen genomförs. Om användaren inte laddar ner dokumentet försvinner det helt. 
•  Information om inloggade användare finns också bara i minnet medans signaturen genomförs - det skapas mao inga permanenta identiteter i tjänsten

Vilka attributkrav gäller för tjänsten?

• Signaturtjänsten består av två SPs (entityIDs): 
  • https://signservice.edusign.sunet.se/sigservice
  • https://edusign.sunet.se/shibboleth
• Följande attribut används av tjänsterna - samma attribut måste släppas till båda tjänsterna:
  • givenName
  • sn
  • mail
  • eppn
  • eduPersonAssurance (valfritt)
• Se även frågan om säkerhetskrav nedan

Vilka säkerhetskrav gäller för inloggning till tjänsten?

• SPn begär inloggning med AuthenticationContextClassRef "urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport"
• I framtiden kan tjänsten komma att höja säkerhetskraven.
• Se även frågan om styrkan i signaturen nedan

Hur säker är signaturen?

• Svaret på den frågan är komplext - tekniskt är signaturen väldigt säker: vi använder nycklar med hög säkerhet och återanvänder aldrig en nyckel för mer än en signatur tex.
• Säkerheten i signaturen beror också på hur mycket man litar på säkerheten i inloggningen.
• För närvarande finns inga hårda krav på högre förtroendenivå i tjänsten men information om vilken förtroendenivå som används (se tex SWAMID Assurance Profiles) kommer lagras i signaturen.

Kan användare logga in med BankID?

• Det går inte för närvarande och vi har heller inga konkreta planer på just BankID. Orsaken är att vi ser uppenbara risker med att bryta mot BankIDs licensvilkor som förbjuder sk identitetslänkning. Se vidare frågan om Svensk e-leg och eIDAS nedan.

Kan användare logga in med  Svensk e-legitimation och/eller eIDAS

• Det går inte för närvarande men vi har planer på att ansluta tjänsten till Sweden Connect vilket ger tillgång till eIDAS och alla e-legitimationer som finns i Valfrihetssystem 2017 (där dock BankID ej ingår).
• eduSign följer dock redan nu den definition av signaturer som eIDAS tagit fram som kallas Advanced electronic signature. Det pågår även arbete inom Géant att få till en Qualified electronic signature som skall kunna användas av eduSign också.
• Formaten på PDF och XML signaturer som genereras av eduSign överensstämmer även med eIDAS definitionerna.

Finns det något sätt att hantera användare utanför högskolesektorn?

• Det enklaste är att be användaren skaffa och logga in med eduid.se som är fritt för alla och kan erbjuda upp till LoA2-nivå på inloggningen.