Elektronisk signatur - en kulepenn

Elektroniske signaturer er i dag likestilt med håndskrevne signaturer. Hva skal til for å signere et dokument elektronisk, og hvordan kan man vite at den som har signert virkelig er den personen han eller hun utgir seg for å være?

I diskusjonen omkring elektroniske signaturer har det av og til blitt referert til den danske rettsavgjørelsen om bruk av kulepenner. Vi skal ikke lengre tilbake enn til 1958 hvor det ble reist spørsmål om signatur med kulepenn kunne likestilles med penn og blekk ved tinglysing av dokumenter. Retten kom til at kulepenn ble benyttet i et betydelig omfang, hvor det tidligere var benyttet penn og blekk slik at det "ikke findes at foreligge betænkligheter ved at anderkende underskrifter skrevet med kuglepenn".

I dag er elektroniske signaturer på full fart inn i vår hverdag og det er naturlig at slike signaturer møter noe av den samme skepsisen som vi kan se konturene av i kulepenn avgjørelsen. Avgjørelsen er en kuriositet, men tankevekkende. Det å signere et dokument har rettsvirkninger og samfunnet må ha tillit til den infrastruktur som ligger til grunn for en signatur.

Gjennom tidene har det festet seg en rettsoppfatning om at håndskrevne signaturer på papir gir rettsvirkninger, både for den som skal stole på signaturen og den som har underskrevet papiret. For å verifisere signaturen blir ofte den som har underskrevet avkrevet legitimasjon. Et førerkort eller et bankkort gir notoritet, og gir samfunnet en viss grad av trygghet i forhold til en underskrift.

Hva er elektronisk signatur

I lov om elektronisk signatur skilles det mellom tre typer elektroniske signaturer (i) elektronisk signatur, (ii) avansert elektronisk signatur og (iii) kvalifisert elektronisk signatur. I motsetning til håndskrevne signaturer på papir har vi altså fått forskjellige graderinger av elektroniske signaturer som vi må forholde oss til. Den enkleste varianten, elektronisk signatur, gir ikke mottakeren den samme beskyttelsen som de øvrige signaturene nevnt foran. Denne form for elektroniske signatur setter bare som villkår at de elektroniske data (selve signaturen) skal knyttes til det elektroniske dokumentet for å kontrollere at den elektroniske signaturen stammer fra den som fremstår som undertegner.

Avansert elektronisk signatur er en elektronisk signatur som kan knyttes til undertegneren og som i tillegg kan identifisere undertegneren. En slik signatur er laget med midler som bare undertegneren har kontroll over og er knyttet til det elektroniske dokumentet på en slik måte at det kan oppdages om det elektroniske dokumentet er blitt endret etter at det ble signert.

Den siste og sikreste elektroniske signaturen er kvalifisert elektronisk signatur. En slik signatur er basert på en avansert elektronisk signatur som i tillegg knyttes til et sertifikat som utstedes av en såkalt tiltrodd tredjepart Signaturen må videre være fremstilt av et signaturfremstillingssystem som er godkjent av offentlig myndighet (i dag er det EU som godkjenner disse). Ved å bruke denne type elektronisk signatur vil undertegneren ikke kunne benekte sin underskrift på dokumentet. Sertifikatet utgjør en form for legitimasjon som angir undertegnerens identitet.

Kryptering

Når du skal sende et viktig dokument over internett eller for eksempel kjøpe varer og betale for disse elektronisk ønsker du at dokumentene og transaksjonene er sikret mot misbruk. Utgangspunktet for kryptering er at elektroniske dokumenter kan utlegges i binært tallformat, altså tallet null og en. Krypteringen består i å forvrenge de binære tallene slik at ingen uvedkommende skal kunne bryte seg inn i oversendelsen og lese eller endre den. Dette skjer ved hjelp av en krypteringsalgoritme som både avsender og mottaker må ha.

Mottakeren kan dekryptere meldingen til opprinnelig tekst. Slik kryptering og dekryptering foregår ved hjelp av nøkler. Uvedkommende som vil forsøke å dekode meldingen må prøve seg frem med alle mulige nøkler. I en verden hvor 8hackere8 er en del av hverdagen kan det være mulig å skrive program som raskt leter igjennom alle mulige nøkler, dersom nøkkelen ikke er god nok. Dersom nøkkelen gjøres tilstrekkelig lang (for eksempel 128 bit) vil det med normal datakraft ta mange milliarder år før alle nøkler er prøvet. Dette er altså en relativt sikker nøkkel, men uvedkommende kan likevel stjele selve nøkkelen. Dette er et problem vi kjenner fra bankkort og pin-koder.

Selv om elektroniske signaturer etter hvert tas i bruk i det offentlige og private rom er det langt frem til hver og en ubesværet signerer dokumenter elektronisk. Samfunnets oppgave er å etablere en sikker infrastruktur og finne hensiktsmessige løsninger på betaling, personvern og beskyttelse av forretningshemmeligheter. Arbeidet er i gang men jeg tror håndskrevne signaturer på papir vil henge med oss i overskuelig fremtid.