Den digitale signatur er den uforfalskelige ækvivalent til den håndskrevne underskrift. Forudsat at de digitalt genererede signaturer også overholder de regler, der er foreskrevet i eIDAS-forordningen. Så er den digitale signatur ikke kun forfalskningssikker, men også 100% juridisk gyldig.
For mange mennesker giver emnet dog stadig anledning til spørgsmål og usikkerhed. Er min underskrift sikker? Kan min underskrift forfalskes? Hvordan kan jeg sikre mig, at det er den rigtige person, der har skrevet under?
For at kunne besvare disse og andre spørgsmål vil vi i denne artikel beskæftige os med, hvordan et dokument kan underskrives gyldigt digitalt, og hvad der er nødvendigt for dette.
Sådan signerer du et elektronisk dokument sikkert digitalt
Afklaring af begreber:
- Digitale signaturer bruges til at godkende og validere dokumenter i elektronisk form. De bruger komplekse kryptografiske mekanismer til at autentificere digitale dokumenter og meddelelser, bekræfte underskrivernes identitet og beskytte data mod manipulation og korruption under overførslen.
Digitale signaturer er udstyret med back-end-værktøjer for at sikre, at kun en autoriseret person kan underskrive et dokument, og for at forhindre ændringer efter underskrivelsen.
En digital signatur oprettes med en unik digital identifikator kaldet et "digitalt certifikat" eller "offentligt nøglecertifikat". Digitale certifikater udstedes af akkrediterede certificeringsmyndigheder (CA) efter verificering af ansøgerens identitet.
En certificeringsmyndighed (CA) er en institution, der er autoriseret til at udstede digitale certifikater. Den fungerer som en betroet tredjepart (TTP), der verificerer identiteten på indehaveren af et certifikat. En certificeringsmyndighed certificerer også besiddelsen af en offentlig nøgle.
Et digitalt certifikat er et elektronisk pas, der identificerer deltageren i en PKI-sikret samtale og gør det muligt for enkeltpersoner og institutioner at udveksle data sikkert online. Data krypteres og dekrypteres ved hjælp af et par offentlige og private nøgler.
En offentlig nøgle er en unik numerisk identifikator, der bruges til at kryptere data eller verificere digitale signaturer. Den udstedes af en certificeringsmyndighed til en person eller organisation og er offentligt tilgængelig for alle, der har brug for den.
En privat nøgle er kun kendt af dens ejer. Den bruges til at dekryptere data, der er oprettet med den tilsvarende offentlige nøgle, eller til at generere digitale signaturer.
Digitale signaturer og digitale certifikater er tæt forbundne. Deres anvendelser afhænger af, hvordan disse systemer er implementeret, og hvordan den respektive PKI-infrastruktur fungerer. Et digitalt certifikat kaldes nogle gange et digitalt signaturcertifikat, fordi det bekræfter den offentlige nøgle (autenticitet) for den underskrivende enhed.
Hvorfor har jeg brug for en digital signatur og et certifikat?
Lad os starte med et simpelt eksempel. Alice og Bob ønsker at kommunikere sammen eller underskrive et dokument.
Scenarie 1: Indledende eksempel
Alice har to digitale kryptografiske nøgler - en offentlig nøgle (PA) og en privat/hemmelig nøgle (SA). Den offentlige nøgle kan gives videre. Den private nøgle skal dog holdes hemmelig og sikker af Alice.
Alice opretter et digitalt certifikat, der indeholder hendes offentlige nøgle og hendes e-mailadresse. Hun sender dette certifikat til Bob for at dele sin offentlige nøgle med Bob.
Alice kan nu underskrive et dokument med sin private nøgle og sende det til Bob. Bob kan så verificere, at Alices offentlige nøgle matcher den signatur, der er lavet med Alices private nøgle.
Privat og offentlig nøgle er derfor to sider af samme sag. Alt, der er signeret med en privat nøgle, kan verificeres med den matchende offentlige nøgle.
Dette sikrer nu, at kun Alice kan lave en signatur med sin private nøgle.
Der skal dog indføres endnu en sikkerhedsforanstaltning for at sikre, at forbindelsen mellem Alices offentlige nøgle og hendes bruger-ID (f.eks. e-mailadresse) rent faktisk bliver kontrolleret.
Scenarie 2: Hvad kan der ske, hvis certifikatet ikke kontrolleres?
Denne gang vil Mallory udgive sig for at være Alice og kommunikere med Bob. Mallory har hverken Alices eller Bobs private nøgle. Men han har sit eget private-offentlige nøglepar.
Mallory vil overbevise Bob om, at hans private nøgle tilhører Alice. For at gøre dette laver han et certifikat ud fra sin offentlige nøgle og Alices e-mail og sender det til Bob. Bob tror, at han har modtaget den offentlige nøgle fra Alice.
Nu kan Mallory underskrive dokumenter med sin private nøgle og sende dem til Bob. Bob kan tjekke signaturen igen med den offentlige nøgle og se, hvilke der matcher igen. Bob er nu overbevist om, at Alice har underskrevet beskeden. Men i virkeligheden var det Mallory.
Problemet her er, at Mallory har mulighed for at skabe et link mellem sin offentlige nøgle og Alices bruger-ID.
Men det vil vi gerne forhindre, og til det har vi brug for en tredjepart.
Scenarie 3: Hvordan gør man det rigtigt?
Trent er en betroet tredjepart, der sikrer, at linket mellem Alices offentlige nøgle og hendes bruger-ID er verificeret. Trent verificerer Alices identitet, f.eks. ved hjælp af ID-verifikation med Video Ident, og autentificerer det digitale certifikat.
Alice kan nu signere beskeder, og Bob kan være sikker på, at beskeden virkelig kommer fra Alice. På den måde lykkes det os at fremstille forfalskningssikre digitale signaturer!
Så to ting er vigtige her:
- For det første skal Alices identitet fastslås, og hendes UserID skal forbindes med en offentlig nøgle. Alice opbevarer altid den private nøgle i sikker forvaring. Enten selv eller gennem en sikker tredjepartsudbyder som sproof.
- For det andet, når der laves en signatur, skal underskriverens identitet verificeres, for eksempel ved en push-besked på din mobiltelefon.
På denne måde formår vi at producere digitale, kvalificerede signaturer, der er mindst lige så sikre som analoge signaturer.
Teknisk set er hver digital signatur, der oprettes til et specifikt dokument, unik og derfor ekstremt svær at forfalske. Digitale signaturers evne til at sikre integriteten og autenticiteten af elektroniske dokumenter og samtidig indikere underskriverens godkendelse gør det muligt for virksomheder, entreprenører og kunder at interagere online og dele information sikkert.
UDSTILLINGER
Digression: Hvem er Alice, Bob og Mallory?
Alice, Bob og Mallory er fiktive figurer, der fungerer som synonymer for de vigtigste aktører i kommunikationen og udvekslingen af data. I stedet for at tale om anonyme individer, personificeres disse mennesker ved hjælp af Alice, Bob og Mallory. Denne metode letter præsentationen af komplekse relationer og processer og gør dem lettere at forstå for læseren.
Hvem er Alice og BobAliceog Bob er repræsentative figurer for dem, der er involveret i en kommunikation mellem to parter. Alice fungerer som initiativtager, der sætter kommunikationen i gang. Bob påtager sig rollen som den person, der modtager beskeden. Det meste af tiden bestræber Alice sig på at formidle en besked til Bob, mens Bob venter på beskeden fra Alice.
Hvem er Mallory? Mallory er en aktiv angriber af en kommunikation, som ikke er bange for at blande sig i kommunikationen for at manipulere beskeder eller ændre data. Som en man-in-the-middle (MITM) er Mallory særlig farlig for Alice og Bob, men de kan bruge kryptografi til at beskytte sig mod ham. Uden brug af kryptografi ...
- ... er dataoverførsler sårbare over for manipulation fra tredjeparter. Mallory kunne f.eks. bruge opsnappede data til sine egne formål eller ændre dem uden at blive opdaget.
- ... Mallory kunne udgive sig for at være en anden person og dermed få adgang til fortrolige oplysninger.
- ... Alice kan uopdaget hævde, at visse data er blevet forfalsket af Mallory.
Det er dog vigtigt at understrege, at
- ... kryptografi IKKE er i stand til at forhindre Mallory i at ændre eller opsnappe data uden at blive opdaget.
- ... at det ikke er umuligt at afbryde eller forhindre forbindelser.
- ... brugen af kryptografi ikke desto mindre er en vigtig beskyttelsesmekanisme til at minimere risikoen for datamanipulation.
**Hvem er Trent?**Trent, afledt af det engelske "trusted entity", er en troværdig tredjepart. For eksempel som en Certificate Authority, forkortet CA.
Flere blogindlæg
Digital signatur 2.0 - kvalificeret signering uden grænser i hele EuropaInnovative løsninger til en bæredygtig fremtid: partnerskabet mellem sproof sign og Energie AG OberösterreichNIS-2-direktivet og digitale signaturer: et skridt i retning af større sikkerhed i den digitale verdenDigital underskrift og bæredygtighed: Hvad virksomheder skal vide om CSR-rapporteringsforpligtelsen i 2024Underskriv kontrakter lovligt online (og få dem underskrevet) - hvad du skal vide