Hopp til innhold
Du er her: Forsiden Teknisk Elektronisk signatur Elektronisk signatur Elektroniske signaturer
Sist oppdatert

Elektroniske signaturer

Nasjonal kommunikasjonsmyndighet (Nkom) er i følge lov om elektronisk signatur (esignaturloven) tilsynsorgan for alle utstedere av kvalifiserte sertifikater og etter selvdeklarasjonsordningen. Nkom har ansvar for å påse at hver registrerte sertifikatutsteder overholder de krav som stilles i esignaturloven, forskrift om krav til utstedere av kvalifiserte sertifikater mv., forskrift om frivillige selvdeklarasjonsordninger for sertifikatutstedere og den til enhver tid gjeldende Kravspesifikasjon for PKI i offentlig sektor.

Hva er en elektronisk signatur?

En elektronisk signatur er den generelle betegnelsen på ulike teknikker som kan benyttes til å "signere" digital informasjon, på samme måte som en håndskreven signatur benyttes til å undertegne et papirdokument. Disse teknikkene kan f.eks. være basert på biometriske kjennetegn som avlesning av iris-øye eller fingeravtrykk, det kan være avlesning av en elektronisk penn eller digitale signaturer basert på elektroniske nøkler og sertifikater.

Den tekniske realiseringen av elektroniske signaturer som kalles digital signatur er for tiden mest utbredt. Ved utforming av digitale signaturer bruker man kryptering som bygger på avanserte matematiske funksjoner.

Esignaturloven § 6 hjemler den elektroniske signaturens rettsvirkninger. Det fremkommer her at såfremt lovgivningen åpner for at en disposisjon kan gjennomføres elektronisk, vil et krav om underskrift eller signatur alltid være oppfylt av en kvalifisert elektronisk signatur. Bestemmelsen likestiller altså, under gitte forutsetninger, rettsvirkningene av en kvalifisert elektronisk signatur med håndskreven underskrift. Andre elektroniske signaturer kan også anses å tilfredsstille slikt krav om underskrift, men da ut i fra en konkret vurdering i det enkelte tilfelle, jf. prinsippet i norsk rett om fri bevisføring og fri bevisvurdering.   

Hva er kvalifisert elektronisk signatur og avansert elektronisk signatur?

I esignaturloven § 3 er de ulike definisjoner av elektronisk signatur å finne. Her er blant annet den generelle definisjonen av elektronisk signatur som: "data i elektronisk form som er knyttet til andre elektroniske data og som brukes som autentiseringsmetode". Definisjonen knytter altså elektroniske data til en fysisk person som sammen kan lage en elektronisk signatur.

Den avanserte elektroniske signaturen er i esignaturloven § 3 definert som en elektronisk signatur som er entydig knyttet til undertegneren, kan identifisere undertegneren, er laget ved hjelp av midler som bare undertegneren har kontroll over, og er knyttet til andre elektroniske data på en slik måte at det kan oppdages om disse har blitt endret etter signering.

Den kvalifiserte elektroniske signaturen er i esignaturloven § 3 definert som en avansert elektronisk signatur som er basert på et kvalifisert sertifikat og fremstilt av et godkjent sikkert signaturfremstillingssystem.

Den signaturen som brukes i Norge per 2012 er den avanserte elektroniske signaturen, da det per i dag ikke foreligger noe behov for en kvalifisert elektronisk signatur.

Hva er et elektronisk sertifikat?

For å kunne signere elektronisk må det foreligge en tilknytning mellom en fysisk person og elektronisk data. En digital signatur krever et elektronisk sertifikat som inneholder informasjon om undertegner og den offentlige nøkkelen, og på den måten identifiserer den som undertegner. Slike sertifikater kan også brukes til autentisering uavhengig av signaturen. Sertifikatets viktigste funksjon er å garantere koblingen mellom den private nøkkelen og undertegneren. Sertifikatutstederen signerer sertifikatet med sin egen private nøkkel.

Det finnes flere ulike typer sertifikater, men Nkom har kun tilsyn med utstedelse av kvalifiserte sertifikater, samt sertifikater utstedt under selvdeklarasjonsordningen. Esignaturloven stiller krav om innholdet til et slikt kvalifisert sertifikat og loven stiller strenge krav til den som utsteder slike sertifikater. Nærmere informasjon om hva et kvalifisert sertifikat skal inneholde er å finne i esignaturloven § 4.

Det er gjennom EU-regulering og norsk lov og forskrift stilt strenge krav til utstedere av kvalifiserte elektroniske sertifikater. Reguleringen er tilnærmet lik over hele Europa, slik at vi kan benytte elektroniske signaturer og kvalifiserte sertifikater også i kommunikasjon på tvers av landegrensene.

Hvorfor ønsker noen å benytte elektronisk signatur?

Bruk av elektronisk signatur skaper tillit mellom kjente og ukjente parter som har behov for å vite at den de kommuniserer med er den vedkommende gir seg ut for å være. En elektronisk signatur kan brukes som bekreftelse på hvem som sendte informasjonen, som sikkerhet for at elektronisk overført informasjon ikke har blitt endret underveis og som sikkerhet for at avsender ikke skal kunne benekte at han sendte den. Elektronisk signatur kan f.eks. brukes til å treffe avtaler, til elektronisk innrapportering og ved elektronisk dokumenthåndtering. Dessuten kan signaturen brukes ved betaling over Internett.

Hva er PKI og hvordan brukes elektronisk signatur?

Den som vil bruke en slik signatur får tildelt et elektronisk nøkkelpar som består av en offentlig og en privat nøkkel, og et sertifikat hvor undertegnerens identitet blir knyttet til den offentlige nøkkelen. Den offentlige nøkkelen kan distribueres til mottakerne av de signerte meldingene omtrent som man gjør med telefonnumre. Den private er strengt personlig, akkurat som koden til bankkortet. Det er altså kun én person som kan signere meldingen ved hjelp av den hemmelige private nøkkelen, mens det er mange som kan bekrefte denne signaturen ved hjelp av den offentlige nøkkelen. Dette systemet krever at det etableres en infrastruktur for distribuering av de offentlige nøklene. Denne infrastrukturen omtales gjerne som Public Key Infrastructure (PKI).

Når innehaveren av nøkkelparet koder en melding med sin private nøkkel, vil meldingen bare kunne dekodes ved hjelp av hans offentlige nøkkel. Meldingen blir kodet slik at innholdet sikres mot forandring underveis.

Den offentlige nøkkelen kan sendes mottaker sammen med den signerte meldingen. Mottaker bruker den offentlige nøkkelen til å stadfeste, eller verifisere, at det er innehaveren av den private nøkkelen som har sendt meldingen. Det vil også fremgå for mottaker dersom det er gjort den minste endring i meldingen etter signering.

Esignaturloven stiller krav om at den private nøkkelen skal være under sertifikatinnehavers kontroll. Sertifikatutstederne bruker ulike måter for å oppfylle dette kravet. Den private nøkkelen kan for eksempel lagres på . et plastkort med en datachip (smartkort). Den vanlige tekniske løsningen for bruk av smartkort er at man, for å få tilgang til den private nøkkelen, må sette kortet inn i en kortleser og taste inn en personlig kode (på samme måte som ved bruk av bankkort i minibank). I stedet for kode kan man muligens i fremtiden benytte seg av fingeravtrykk eller andre biometriske kjennetegn.

Skjema