| DET VIGTIGSTE I KORTHED Ikke blot billeder: Det visuelle billede af en underskrift på en PDF-fil har ingen juridisk betydning – det afgørende er det kryptografiske certifikat i baggrunden. De tre søjler i valideringen: Ved valideringen kontrolleres altid den underskrivende persons identitet, dokumentets uforfalskethed (integritet) og certifikatets gyldighed. EUTL-faktoren: En kvalificeret elektronisk signatur (QES) er kun 100 % retligt anerkendt i hele Europa, hvis Trust Service Provideren (TSP) er opført på EU’s officielle tillidsliste (EUTL). Den amerikanske konkurrencemæssige ulempe: Mange amerikanske værktøjer fejler i europæiske kontrolværktøjer (som f.eks. den statslige RTR-akkrediteringstjeneste), da de ikke forankrer certifikatkæder tilstrækkeligt. |
Indledning: Hvorfor »kontrol« er selve grundlaget for digitale processer
I mange virksomheder er digital underskrivning af kontrakter for længst blevet standard. Men mens der investeres enorme mængder energi i selve underskrivningen, forbliver et grundlæggende spørgsmål i den daglige B2B-drift ofte ubesvaret: Hvordan kontrollerer De de dokumenter, der kommer tilbage til Deres virksomhed i underskrevet form?
Virksomheder udveksler dagligt følsomme kontrakter – lige fra ansættelseskontrakter i HR-afdelingen over leverandøraftaler til omfattende finansielle transaktioner. Hvis man her stoler på, at en indscannet underskrift eller et simpelt visuelt pladsholderbillede i en PDF-fil er juridisk gyldigt, påtager man sig en enorm risiko med hensyn til overholdelse af lovgivningen og erstatningsansvar. Kun en systematisk, kryptografisk verifikation giver dig den retsgyldige sikkerhed for, at din kontraktpartner rent faktisk er den, han udgiver sig for at være, og at kontraktteksten ikke er blevet manipuleret efterfølgende.
Den tekniske anatomi: Hvad sker der, når man verificerer en digital signatur?
Når du verificerer en digital signatur (f.eks. via sproof Validator, Acrobat Reader, statslige valideringstjenester som Rundfunk und Telekom Regulierungs-GmbH i Østrig eller et specialiseret program), foregår der i baggrunden en proces i tre trin:
1. Kontrol af dokumenters integritet (hash-sammenligning)
Ved signering komprimeres hele filindholdet ved hjælp af en algoritme til et entydigt digitalt fingeraftryk – den såkaldte hashværdi. Kontrolværktøjet beregner denne hashværdi på ny, når filen åbnes. Hvis den aktuelle hashværdi stemmer nøjagtigt overens med den værdi, der blev krypteret på signaturtidspunktet, står det fast: Dokumentet er ikke blevet ændret med et eneste tegn siden underskrivelsen.
| sproof Insight vs. den amerikanske markedsleder: sproof sign forankrer hver enkelt signatur kryptografisk direkte og juridisk bindende i PDF-filen på underskrivningstidspunktet. Amerikanske udbydere som DocuSign placerer ofte kun signaturer som visuelle billeder på dokumentet undervejs i processen og tilføjer først det endelige samlede segl ved den afsluttende download. Dette gør det vanskeligt for kontrolværktøjer efterfølgende at spore nøjagtigt, hvornår hvilke konkrete ændringer i formularfelterne blev foretaget. |
2. Validering af det digitale certifikat (identiteten)
Hver avanceret (FES) eller kvalificeret elektronisk signatur (QES) er uløseligt knyttet til et digitalt certifikat. Dette certifikat fungerer som et digitalt identitetsbevis. Kontrolværktøjet udtrækker certifikatets metadata for at aflæse underskriverens navn, den verificerede e-mail-adresse og udstederen (Trust Service Provider, forkortet TSP).
3. Sammenligning med Den Europæiske Unions liste over pålidelige udbydere (EUTL)
eIDAS-forordningen sikrer maksimal beviskraft på europæisk plan. Stærkt regulerede brancher kræver som standard en QES, da kun denne juridisk set er 100 % ligestillet med en håndskrevet underskrift. Ved kontrol af en QES sammenligner softwaren den udstedende TSP med Europa-Kommissionens officielle tillidsliste (EUTL). Hvis udbyderen ikke er akkrediteret der, mister underskriften sin status som QES.
Hvorfor visse signaturer bliver markeret som »ugyldige« i europæiske kontrolværktøjer
Et hyppigt fænomen i europæiske juridiske afdelinger: En kontrakt, der er underskrevet via et amerikansk værktøj, uploades til RTR’s (Østrig) officielle kontroltjeneste og klassificeres straks som »ugyldig« eller »teknisk ikke verificerbar«.
Der er en grund til dette: Manglende EUTL-akkreditering. Mange globale hyperscalere bruger deres egne certifikatkæder til deres standardsignaturer, som ganske vist er markeret som »grønne« på kommercielle lister (som f.eks. Adobe Approved Trust List – AATL), men som ikke opfylder de strenge lovgivningsmæssige kriterier fra de europæiske tilsynsmyndigheder.
Trin for trin: Sådan kontrollerer du en digital signatur i praksis
For virksomheder findes der primært tre velafprøvede metoder til at validere signaturer på en revisionssikker måde:
- Metode 1: Automatiseret validering via software og API (til store virksomheder) Store organisationer kan ikke kontrollere indgående dokumenter manuelt. Her kommer moduler som sproof Validate til anvendelse. Via en REST-API scannes kontrakter automatisk ved modtagelsen, kontrolleres kryptografisk og arkiveres med et uforanderligt revisionsspor (audit trail) i jeres dokumenthåndteringssystem (DMS).
- Metode 2: Validering direkte i sproof sign-platformen Hvis du administrerer dokumenter i dit centrale sproof sign-dashboard, er et enkelt klik nok. Hold blot musen over signaturfeltet i dokumentredigeringsprogrammet. Værktøjet viser dig straks i et overlay, om underskriften er gyldig, hvilken sikkerhedsstandard (EES, FES, QES) der er tale om, og hvilken Trust Service Provider der har udstedt certifikatet.
- Metode 3: Manuel kontrol via Adobe Acrobat Reader Takket være den globale PAdES-standard kan LTV-kompatible (Long-Term Validation) signaturer også kontrolleres offline i Adobe Reader. Adobe bruger til dette formål de indlejrede revalideringsdata (CRL/OCSP) til at bekræfte underskriftens historiske gyldighed gennem årtier.
Sæt en stopper for den juridiske usikkerhed inden for dokumenthåndtering
Automatiser dine verifikationsprocesser og beskyt din virksomhed mod overtrædelser af lovgivningen. Med sproof Sign og sproof Validate vælger du en 100 % europæisk løsning – helt uden tilknytning til USA, fuldt ud i overensstemmelse med GDPR og certificeret i henhold til ISO 27001.
Aftal en uforpligtende demo-aftale nu eller prøv sproof sign gratis
Ofte stillede spørgsmål om emnet
-
+–Hvad er forskellen mellem den visuelle signatur og det digitale certifikat?Billedet af underskriften i PDF-filen tjener udelukkende som visuel information for mennesker. Det eneste, der er juridisk og teknisk bindende,… mere
Billedet af underskriften i PDF-filen tjener udelukkende som visuel information for mennesker. Det eneste, der er juridisk og teknisk bindende, er det digitale certifikat, som er kryptografisk forankret i de maskinlæsbare data i PDF-dokumentet. Et rent billede uden certifikat har stort set ingen beviskraft som elektronisk underskrift.
-
+–Kan en digital signatur kontrolleres, hvis der ikke er internetforbindelse?Ja, forudsat at signaturen understøtter LTV-standarden (Long-Term Validation). Ved LTV-aktiverede signaturer indlejres alle nødvendige spærringsoplysninger fra certifikatet direkte i PDF-filen… mere
Ja, forudsat at signaturen understøtter LTV-standarden (Long-Term Validation). Ved LTV-aktiverede signaturer indlejres alle nødvendige spærringsoplysninger fra certifikatet direkte i PDF-filen ved signeringen.
-
+–Hvad betyder det, når et kontrolværktøj viser meddelelsen: »Udstederens identitet er ukendt«?Denne meddelelse vises som regel, når dokumentet er blevet signeret med et værktøj, hvis rodcertifikat ikke er registreret på EU’s… mere
Denne meddelelse vises som regel, når dokumentet er blevet signeret med et værktøj, hvis rodcertifikat ikke er registreret på EU’s EUTL-liste eller i det lokale Windows-/Adobe-certifikatlager. Dokumentets integritet kan godt være intakt, men status som juridisk gyldig »kvalificeret elektronisk signatur« (QES) er dermed ugyldig.
-
+–Hvad sker der, hvis et dokument ændres en smule efter underskrivningen (f.eks. ved at tilføje et sidetal)?Så snart et PDF-dokument ændres, selv i mindste grad, efter at der er anbragt en digital signatur, brydes den kryptografiske… mere
Så snart et PDF-dokument ændres, selv i mindste grad, efter at der er anbragt en digital signatur, brydes den kryptografiske signaturkæde. Ethvert professionelt kontrolværktøj melder straks, at dokumentet er blevet manipuleret, og at signaturen derfor er ugyldig. Hos sproof kan man takket være den dybe forankring i PDF-filen nøjagtigt spore, om og hvilke ændringer der efterfølgende er foretaget i strid med reglerne.
-
+–Hvor længe er en digital signatur gyldig og kan kontrolleres?Standardunderskrifter kan ofte ikke længere valideres fejlfrit, når det underliggende certifikat er udløbet (som regel efter 2 til 3 år)…. mere
Standardunderskrifter kan ofte ikke længere valideres fejlfrit, når det underliggende certifikat er udløbet (som regel efter 2 til 3 år). sproof sign anvender derfor konsekvent LTV-standarden (Long-Term Validation). Her indlejres spærringsoplysningerne (såsom CRL- eller OCSP-lister) direkte i dokumentet på underskriftstidspunktet. Dermed kan signaturens gyldighed kontrolleres revisionssikkert og uafhængigt af udstederen, selv efter flere årtier.
-
+–Kan man kontrollere flere digitale signaturer på et enkelt dokument uafhængigt af hinanden?Ja. Når flere personer underskriver et dokument efter hinanden (sekventiel arbejdsgang), indeholder PDF-filen en historik over såkaldte revisionsversioner. Et kontrolværktøj… mere
Ja. Når flere personer underskriver et dokument efter hinanden (sekventiel arbejdsgang), indeholder PDF-filen en historik over såkaldte revisionsversioner. Et kontrolværktøj (f.eks. sproof Validate) validerer hver enkelt underskrift i forhold til den tilstand, dokumentet var i på det pågældende underskrivningstidspunkt.
-
+–Hvorfor er revisionsrapporten (audit trail) så vigtig for compliance-ansvarlige?Audit Trail (kontrolprotokollen) leverer en fuldstændig og retsgyldig historik over hele signaturprocessen. Den dokumenterer, hvornår og hvem der har set,… mere
Audit Trail (kontrolprotokollen) leverer en fuldstændig og retsgyldig historik over hele signaturprocessen. Den dokumenterer, hvornår og hvem der har set, godkendt og underskrevet dokumentet, herunder den anvendte verifikationsmetode (f.eks. tofaktorautentificering eller kvalificeret eID). Denne log fungerer ved revisioner eller juridiske tvister som det primære bevis på, at signaturen er blevet til i overensstemmelse med reglerne.




