Juridiske aspekter ved Digital Signatur (DS)

1. Juridiske aspekter ved Digital Signatur (DS) dato 030303 - Lars Buur – LRS@mail.dk

2. Agenda • Vigtige definitioner vedr. DS • Typer af certifikater • Løsningen i Danmark • Tidsbegrænset løsning? • Modernisering af eksisterende love • Internationale love

3. DS klar til brug i Danmark i starten af marts 2003 Den 6. februar 2003 underskrev videnskabsminister en kontrakt med TDC om levering af digitale signaturer til alle borgere i Danmark. Kontrakten betyder at alle borgere får mulighed for at få en gratis elektronisk underskrift til brug på nettet. Første mulighed kommer med selvangivelsen om godt en måned, så skatteyderne fremover kan rette i selvangivelsen på nettet med brug af digital signatur. Det certifikat som leveres af TDC til de danske borgere er et såkaldt OCES-certifikat.

4. Definitioner "elektronisk signatur": data i elektronisk form, der er vedhæftet eller logisk tilknyttet andre elektroniske data, og som anvendes som en autentifikationsmetode "avanceret elektronisk signatur": en elektronisk signatur, som opfylder følgende krav:a) den er entydigt knyttet til underskriverenb) den kan identificere underskriverenc) den genereres med midler, som underskriveren kan bevare den fulde kontrol med, ogd) den er knyttet til de data, som den vedrører, på en sådan måde, at en hvilken som helst senere ændring af disse data kan opdages

5. Definitioner (2) "underskriver": en person, der besidder et signaturgenereringssystem og handler på egne vegne eller på vegne af den fysiske eller juridiske person eller det organ, som vedkommende repræsenterer "certifikat": en elektronisk attestering, som knytter signaturverificeringsdata til en person og bekræfter denne persons identitet. Dette gør sig gældende ved det såkaldte OCES-certifikat "kvalificeret certifikat": et certifikat, som opfylder en række kravene og leveres af en certificeringstjenesteudbyder, som opfylder en række krav – særligt personligt fremmøde.

6. Krav til kvalificerede certifikater Kvalificerede certifikater skal indeholde: • angivelse af, at certifikatet er udstedt som et kvalificeret certifikat • den udstedende certificeringstjenesteudbyders identifikation og den stat som vedkommende er etableret i • underskriverens navn eller pseudonym; i sidstnævnte tilfælde skal det fremgå, at der er tale om et pseudonym • særlige oplysninger om underskriveren, der tilføjes, hvis det er relevant, afhængigt af formålet med certifikatet • de signaturverificeringsdata, som svarer til de signaturgenereringsdata, som er under underskriverens kontrol • certifikatets ikrafttrædelses- og udløbsdato • certifikatets identifikationskode • den udstedende certificeringstjenesteudbyders avancerede elektroniske signatur • eventuelle begrænsninger i certifikatets anvendelsesområde, og • eventuelle beløbsmæssige begrænsninger med hensyn til de transaktioner, for hvilke certifikatet kan anvendes.

7. OCES vs. Kvalificeret certifikat • Teknologisk og organisatorisk er OCES-certifikaterne lige så sikre som kvalificerede certifikater. • Sikkerhedsmæssigt er det alene metoden til at sikre brugerens identitet, der er forskellig. • Som alternativ til kravet om personligt fremmøde, dobbelttjekker OCES-certificeringscentrene brugerens identitet via CPR-registeret og ved at sende udstedelsesinformation gennem to forskellige kanaler – certifikatmodtagerens registrerede bopælsadresse samt via e-post eller anden elektronisk kommunikation. • OCES-certificeringscentrene kan begrænse deres erstatningsansvar overfor myndigheder og erhvervsdrivende virksomheder – dette kan de ikke ved et kvalificeret certifikat og dette gælder ikke over for den enkelte borger.

8. DS løsningen i DK Anvendelse af digital signatur forudsætter, at der etableres en it-sikkerhedsinfrastruktur - en såkaldt ”Public Key Infrastructure”, eller blot PKI. Det vil sige en sikkerhedsinfrastruktur, der består af følgende elementer: • Applikationer til kryptering og digital signering – pc baserede programmer, der sikrer uproblematisk anvendelse af krypterings- og signeringsfunktionalitet. • Digitale certifikater - en slags ”elektroniske pas” til entydig identifikation af indehaveren. • Et nøglecenter - en pålidelig tredjepart, der står inde for, at indehaveren af et certifikat er den, han udgiver sig for. Det er nøglecenteret, der udsteder og fornyer certifikater, og f.eks. sørger for at spærre certifikater, der er blevet misbrugt. • Procedurer eller faciliteter til sikker generering og opbevaring af den private nøgle – der skal være tillid til, at brugerens unikke ”stempel”, den private nøgle, er genereret på en sikker måde og opbevares forsvarligt hos nøglecentret. • Udløb af certifikat • En bindende underskrift er en underskrift som kan håndhæves • Juridisk bevis • Formelle krav til Notarius publicus ”tredje part”

9. Asymmetrisk kryptering

10. Opslag hos TDC directory

11. Tilbagekaldelses lister Årsager: • Kompromittering af privat nøgle • Ændring af originale oplysninger • Udløb

13. Vigtig tidsbegrænsning ved DS Det tidligere IT-sikkerhedsråd har anbefalet, at myndigheder ikke anvender digital signatur, hvis der er behov for at anvende meddelelser bevismæssigt længere end en 5-6 år. Det skyldes flere forhold: • Meddelelser med digital signatur kan ikke konverteres til et andet format, uden at signeringen går tabt • Certificeringscentrene gemmer ikke informationer om certifikater længere end 5 år ved kvalificerede certifikater, mens de ved OCES-certifikater slet ikke behøver at gemme dem • Algoritmerne, som signaturen er baseret på, må formodes at være blevet brudt

14. Strafansvar ved misbrug Hvad er misbrug – og hvordan sker det? • Forfalskning og svindel • En forfalsket underskrift skaber ikke en juridisk forpligtigelse for ejeren af certifikatet • Passivitet • Overtræderen er juridisk ansvarlig • Ejeren af et elektronisk certifikat kan være juridisk ansvarlig for et tab der er fremkommet ved at en part, i god tro, har stolet på en elektronisk signaturs validitet • Der kan yderligere være et juridisk ansvar for den tredje part.

15. Eksempel på at DS kræver modernisering af eksisterende love • Lovforslag L 139 har til formål at ændre eller ophæve formkrav i lejelovgivningen, som unødigt hindrer hensigtsmæssig brug af digital kommunikation. For at undgå enhver fortolkningstvivl slår lovforslaget fast, at digitale meddelelser efter aftale kan opfylde skriftlighedskravet i lejeloven, almenlejeloven og boligreguleringsloven. Det følger af lovforslaget, at hvis parterne ønsker at opfylde lejelovgivningens skriftlighedskrav ved fremsendelse af e-post, skal de indgå en aftale herom. Parterne kan også aftale, at visse bestemte meddelelser ikke skal kunne fremsendes som e-post, f.eks. varsel om lejestigning. • Parterne kan dog ikke aftale, at udlejers opsigelse af lejemålet, lejers indsigelse over udlejers opsigelse eller udlejers påkrav på grund af manglende betaling skal kunne fremsendes som e-post. Sådanne meddelelser skal således fortsat sendes i papirbaseret form. • For at lejeren hurtigt kan blive løst fra sin forpligtelse til at modtage meddelelser digitalt, kan en aftale om digital kommunikation opsiges uden varsel.

16. EU direktiv om DS siger • Medlemsstaterne sikrer, at avancerede elektroniske signaturer, der er baseret på et kvalificeret certifikat, og som er genereret af et sikkert signaturgenereringssystem, • opfylder retskravene til en signatur i forbindelse med data i elektronisk form, på samme måde som en håndskreven underskrift opfylder disse krav i forbindelse med papirbaserede data, og • kan godtages som bevismateriale under retssager. • Medlemsstaterne sikrer, at en elektronisk signatur ikke nægtes retlig gyldighed og anerkendelse som bevis under retssager alene af den grund, at den • er i elektronisk form, eller • ikke er baseret på et kvalificeret certifikat, eller • ikke er baseret på et kvalificeret certifikat udstedt af en akkrediteret certificeringstjenesteudbyder, eller • ikke er genereret af et sikkert signaturgenereringssystem.

17. EU direktivet DS siger derudover: Medlemsstaterne sikrer, at certifikater, der er udstedt som kvalificerede certifikater til offentligheden af en certificeringstjenesteudbyder, der er etableret i et tredjeland, anses for at være retligt ligestillede med certifikater, der er udstedt af en certificeringstjenesteudbyder, der er etableret inden for Fællesskabet. (Fra Europa-Parlamentets og Rådets direktiv 1999/93/EF af 13. december 1999 om en fællesskabsramme for elektroniske signaturer)

18. International lovgivning Der findes en lang række internationale love – nogle teknologi neutrale – og andre teknologi specifikke • UNCITRAL Uniform Rules on Electronic Signatures • EU Directive on Electronic Signatures • Electronic Signatures in Global and National • Commerce Act (E-Sign Act)

19. FN modellov om elektroniske signaturer Der er i FN regi blev vedtaget en ny modellov om elektroniske signaturer. Modelloven der formentlig vil blive anvendt som grundlag for lovgivningen på nationalt plan, er udformet med henblik på elektronisk aftaleindgåelse mellem kommercielle virksomheder. Titlen på modelloven er ”UNCITRAL Model Law on Electronic Signatures (2001)” og er vedtaget af FN's handelsretskommission, UNCITRAL. Hensigten med modelloven er, at sikre virksomhedernes tillid til den elektroniske signatur og herved fremme den elektronisk handel. Modelloven opstiller blandt andet en række forpligtelser for indehaveren af den elektroniske signaturnøgle (underskriveren), nøglecentret (udstederen af den elektroniske signaturnøgle) samt modtageren af den elektroniske signatur.

20. Spørgsmål? dato 030303 - Lars Buur – LRS@mail.dk