Att gå från en process att manuellt skriva sin namnunderskrift på papper till att gå över till en digital process och använda e-signaturer kan kräva vissa förändringar för många organisationer. I grunden är det ofta samma funktion som eftersträvas men processerna behöver ofta ändras eller se något annorlunda ut. Nedan är några liknelser mellan namnunderskrifter för hand på papper och validering av e-signaturer för att skapa en större förståelse för hur det går att relatera till dessa nya processer. Sunet tjänst eduSign följer de rekommendationer som DIGG och PTS har i relation till digitala signaturer och validering, det går att läsa mer om det på PTS sida om Betrodda tjänster enligt eIDAS.
Vad är validering?
En validering av en e-signatur kan generellt jämföras med att ta ett dokument som har namnunderskrifter gjorda med penna på papper och kontakta alla personer som signerat och jämföra underskrifterna med deras signaturer på deras respektive identitetshandlingar.
Det är dock väldigt sällan som ovan jämförelse görs, så varför behöver vi då validera e-signaturer? Det är faktiskt inte säkert att det behövs. MEN om det uppstår en tvist eller oklarhet i relation till ett signerat dokument så är det fördelaktigt att det är väldigt enkelt att göra just denna jämförelse i relation till e-signaturer, dvs göra en validering av signaturen. En annan fördel med den digitala valideringen är att det även blir tydligt ifall integriteten på dokumentet är intakt, dvs ifall någon har ändrat något sedan dokumentet signerades.
Giltighet på certifikat av en signatur
En signatur i eduSign är generellt möjlig att validera under ett år efter signaturen gjordes. Detta kan jämföras med en ID-handling som också har en giltighetstid. Dvs om en person skulle behöva jämföra en namnunderskrift på ett papper mot en ID-handling så kan det ju finnas en risk att den ID-handlingen som personen ägde när namnunderskriften gjordes inte längre är giltig, det betyder ju dock nödvändigtvis inte att namnunderskriften i sig är ogiltig. På liknande sätt kan man tänka att t.ex. ett avtal inte nödvändigtvis blir ogiltigt för att en e-signatur inte längre går att validera.
Valideringintyg
Om det är viktigt att kunna validera signaturerna på ett dokument signerat med eduSign över en längre tid är det rekommenderat att skapa ett valideringsintyg. Ett valideringsintyg kan jämföras med att vidimera en namnunderskrift med penna på ett papper. Dvs om någon validerar ett dokument i Sunets valideringstjänst och sedan skapar ett valideringsintyg i den tjänsten kan det liknas med att Sunet vidimerar signaturerna. Detta gör att signaturerna går att validera i en mycket längre tid än ett år, ett valideringsintyg kan generellt valideras i ca 50 år.
Varför ser signaturen ogiltig ut i Adobe Acrobat/Reader?
- eduSIGN följer DIGGs tekniska ramverk för digitala signaturer för Svenska myndigheter.
- DIGGs ramverk fokuserar på säkra signaturer och följer CEF byggblock för signaturer inom EU som fungerar på annat sätt än Adobes egna signaturer.
- Inom projektet undersöker vi möjligheterna att koppla signaturerna till certifikat utfärdade av någon publik certifikatsfabrik
- Redan idag kan man välja att lista eduSIGNs certifikat som en betrodd certifikatsutfärdare i Adobe Acrobat/Reader
Signatursidan på slutet av min PDF är tom trots att jag signerat dokumentet!
- Detta fel beror sannolikt på att någon har "sparat" PDF:en genom att skriva ut den och välja alternativet "spara som fil".
- Att på detta sätt "spara" en PDF förstör de elektroniska signaturerna och dessa måste göras om för att vara giltiga.
- Om man laddar upp en sådan fil i valideringstjänsten kommer denna naturligtvis inte att godkänna signaturerna som giltiga.
Hur fungerar valideringstjänsten?
- Det finns ingen officiell standard till hur en PDF-fil ska signeras. Det skiljer mycket mellan olika programvaror i deras sätt att hantera signerade PDF:er.
- eduSign:s valideringstjänst validerar PDF-signaturer som gjorts i eduSign.
- Läs gärna följande informationsblad: Informationsblad Valideringstjänst
- En mer omfattande beskrivning av hur valideringstjänsten fungerar finns på denna youtube-video (för engelsk version klicka här: english).
- SUNET följer arbetet inom ETSI kring standardisering av validering av PDF-signaturer och eduSIGN kommer successivt att anpassas för att uppfylla denna standard.
- Valideringstjänsten kan även erbjuda ett sk valideringsintyg - detta är en elektronisk stämpel som placeras i dokumentet som intygar att validering skett vid ett visst klockslag. Detta syns i Valideringstjänsten när dokument med valideringsintyg laddas upp dit.
- Ett valideringsintyg kräver att dokumentet sparas från valideringstjänsten genom att klicka på knappen "Valideringsintyg" som visas efter att validering skett.
- Ett dokument med valideringsintyg kan arkiveras utan vidare åtgärd i minst 50 år - därefter kan ytterligare valideringar genomföras för att förlänga arkivbeständigheten.
Valideringstjänsten klagar på ett dokument som skrivits under genom en annan tjänst än eduSIGN
- Alla signaturtjänster är inte likvärdiga - vissa tjänster som använder begrepp som "digital underskrivt" och producerar PDF-filer använder inte ens digitala signaturer.
- De enda externa signaturer (dvs signaturer som producerats av andra tjänster än eduSIGN) som valideringstjänsten accepterar är äkta digitala PDF-signaturer från utfärdare som eduSIGN litar på.
- Kontakta oss gärna med synpunkter på vilka externa tjänster som valideringstjänsten litar på!
Valideringstjänsten klagar på en signatur som utfärdats av adobe sign
- Se svarat på frågan ovan
- Adobe har en lista på certifikatsutfärdare som får utfärda certifikat för signaturer som Adobe-produkter litar på
- Denna lista (AATL - Adobe Approved Trust List) är inte publik och får enligt Adobe inte användas utanför Adobes egna produkter.
- Det är alltså inte möjligt för eduSIGNs valideringstjänst eller någon annan tjänst som inte säljs av Adobe att validera PDF-signaturer på samma
Det står att signaturen är ogiltig i Acrobat! Vad betyder det?
- Signerade dokument måste valideras genom en sk valideringstjänst. En sådan är på väg att etableras inom ramen för edusign-tjänsten men det finns även en utredning kring frågan att etablera gemensamma valideringstjänster i statens regi.