{post_titel}

Verifiera digital signatur

{författarens_namn}

Senast ändrad den: 8 juli 2026
Kontrollera digitala signaturer: Så här validerar du på ett tillförlitligt sätt giltigheten hos elektroniska signaturer i B2B-sammanhang – sproof
DET VIKTIGASTE I KORTHET

Inte bara bilder: Den visuella avbildningen av en signatur på en PDF-fil har ingen juridisk betydelse – det avgörande är det kryptografiska certifikatet i bakgrunden.

De tre pelarna i verifieringen: Vid valideringen kontrolleras alltid den undertecknande personens identitet, dokumentets äkthet (integritet) och certifikatets giltighet.

EUTL-faktorn: En kvalificerad elektronisk signatur (QES) erkänns endast till 100 % i domstol i hela Europa om tillförlitlighetstjänstleverantören (TSP) finns med på EU:s officiella förteckning över betrodda tjänsteleverantörer (EUTL).

Den amerikanska konkurrensnackdelen: Många amerikanska verktyg klarar inte de europeiska kontrollverktygen (som den statliga RTR-ackrediteringstjänsten), eftersom de inte förankrar certifikatkedjorna tillräckligt.

Inledning: Varför ”granskning” utgör själva grunden för digitala processer

I många företag är digital signering av avtal sedan länge standard. Men samtidigt som enormt mycket energi läggs på själva signeringen förblir en grundläggande fråga i den dagliga B2B-verksamheten ofta obesvarad: Hur granskar ni de dokument som skickas tillbaka till ert företag efter att ha signerats?

Företag utbyter dagligen känsliga avtal – allt från anställningsavtal inom HR och leverantörsavtal till omfattande finansiella transaktioner. Den som här litar på att en inskannad signatur eller en enkel visuell platshållarbild i en PDF-fil är juridiskt bindande utsätter sig för en enorm risk vad gäller regelefterlevnad och ansvarsskyldighet. Endast en systematisk, kryptografisk verifiering ger er den rättsligt hållbara säkerheten att er avtalspartner verkligen är den han eller hon utger sig för att vara, och att avtalstexten inte har manipulerats i efterhand.

Den tekniska anatomin: Vad händer när man verifierar en digital signatur?

När du verifierar en digital signatur (till exempel med sproof Validator, Acrobat Reader, statliga valideringstjänster som Rundfunk und Telekom Regulierungs-GmbH i Österrike eller ett specialiserat program) pågår en process i tre steg i bakgrunden:

1. Kontroll av dokumentens integritet (hash-jämförelse)

Vid signeringen komprimeras hela filens innehåll med hjälp av en algoritm till ett unikt digitalt fingeravtryck – det så kallade hashvärdet. Verifieringsverktyget beräknar detta hashvärde på nytt när filen öppnas. Om det aktuella hashvärdet exakt stämmer överens med det värde som krypterades vid tidpunkten för signeringen, är det säkert: Dokumentet har inte ändrats med ett enda tecken sedan signeringen.

sproof Insight jämfört med den amerikanska marknadsledaren: sproof sign förankrar varje signatur direkt och juridiskt bindande kryptografiskt i PDF-filen vid signeringstillfället. Amerikanska leverantörer som DocuSign placerar ofta signaturer under processen endast som visuella bilder på dokumentet och lägger till den slutliga samlingsstämpeln först vid den avslutande nedladdningen. Detta gör det svårt för verifieringsverktyg att i efterhand exakt spåra vid vilken tidpunkt vilken konkret ändring i formulärfältet som gjordes.

2. Validering av det digitala certifikatet (identiteten)

Varje avancerad (FES) eller kvalificerad elektronisk signatur (QES) är oskiljaktigt kopplad till ett digitalt certifikat. Detta certifikat fungerar som ett digitalt ID-kort. Verifieringsverktyget extraherar certifikatets metadata för att läsa av undertecknarens namn, den verifierade e-postadressen och utfärdaren (Trust Service Provider, förkortat TSP).

3. Jämförelse med Europeiska unionens förteckning över betrodda leverantörer (EUTL)

eIDAS-förordningen säkerställer maximal bevisvärde inom EU. I starkt reglerade branscher krävs som standard en kvalificerad elektronisk signatur (QES), eftersom endast denna är juridiskt helt likställd med en handskriven underskrift. Vid kontroll av en QES jämför programvaran den utfärdande TSP:n med Europeiska kommissionens officiella förteckning över betrodda leverantörer (EUTL). Om leverantören inte är ackrediterad där förlorar signaturen sin status som QES.

Varför vissa signaturer klassas som ”ogiltiga” i europeiska verifieringsverktyg

Ett vanligt fenomen inom europeiska juridiska avdelningar: Ett avtal som undertecknats med ett amerikanskt verktyg laddas upp till RTR:s (Österrike) officiella granskningstjänst och klassificeras omedelbart som ”ogiltigt” eller ”tekniskt omöjligt att verifiera ”.

Det finns en anledning till detta: avsaknaden av EUTL-ackreditering. Många globala hyperscalers använder egna certifikatkedjor för sina standardsignaturer, som visserligen markeras som ”gröna” i kommersiella listor (som Adobe Approved Trust List – AATL), men som inte uppfyller de strikta regleringskriterierna från de europeiska statliga tillsynsmyndigheterna.

Steg för steg: Så här kontrollerar du en digital signatur i praktiken

För företag finns det i huvudsak tre beprövade metoder för att validera signaturer på ett revisionssäkert sätt:

  • Metod 1: Automatiserad validering via programvara och API (för stora företag) Stora organisationer kan inte kontrollera inkommande dokument manuellt. Här kommer moduler som sproof Validate till användning. Via ett REST-API skannas avtal automatiskt vid mottagandet, kontrolleras kryptografiskt och arkiveras med en oföränderlig revisionsspår (audit trail) i ert dokumenthanteringssystem (DMS).
  • Metod 2: Validering direkt i sproof sign-plattformen Om du hanterar dokument i din centrala sproof sign-instrumentpanel räcker det med ett enkelt klick. För bara muspekaren över signaturkortet i dokumentredigeraren. Verktyget visar omedelbart i ett överlägg om signaturen är giltig, vilken säkerhetsstandard (EES, FES, QES) som gäller och vilken Trust Service Provider som har utfärdat certifikatet.
  • Metod 3: Manuell kontroll via Adobe Acrobat Reader Tack vare den globala PAdES-standarden kan LTV-kompatibla (Long-Term Validation) signaturer även kontrolleras offline i Adobe Reader. Adobe använder för detta ändamål de inbäddade Revonations-uppgifterna (CRL/OCSP) för att bekräfta signaturens historiska giltighet över flera decennier.

Sätt stopp för rättslig osäkerhet inom dokumenthanteringen

Automatisera era verifieringsprocesser och skydda ert företag mot överträdelser av regler och föreskrifter. Med sproof sign och sproof Validate väljer ni en 100 % europeisk lösning – helt utan koppling till USA, fullständigt GDPR-kompatibel och certifierad enligt ISO 27001.

Boka en icke-bindande demonstrationstid nu eller testa sproof sign gratis

Vanliga frågor om ämnet

  • +
    Vad är skillnaden mellan den visuella signaturen och det digitala certifikatet?

    Bilden av signaturen i PDF-filen tjänar enbart som visuell information för människor. Det enda som är juridiskt och tekniskt bindande… mer

    Bilden av signaturen i PDF-filen tjänar enbart som visuell information för människor. Det enda som är juridiskt och tekniskt bindande är det digitala certifikatet, som är kryptografiskt inbäddat i de maskinläsbara uppgifterna i PDF-dokumentet. En ren bild utan certifikat har knappast någon bevisvärde som elektronisk signatur.

  • +
    Kan en digital signatur verifieras om det inte finns någon internetanslutning?

    Ja, förutsatt att signaturen stöder standarden LTV (Long-Term Validation). Vid LTV-aktiverade signaturer bäddas all nödvändig information om certifikatets giltighetstid in… mer

    Ja, förutsatt att signaturen stöder standarden LTV (Long-Term Validation). Vid LTV-aktiverade signaturer bäddas all nödvändig information om certifikatets giltighetstid in direkt i PDF-filen vid signeringen.

  • +
    Vad betyder det när ett kontrollverktyg visar meddelandet: ”Utfärdarens identitet okänd”?

    Det här meddelandet visas oftast när dokumentet har signerats med ett verktyg vars rotcertifikat inte finns med i EU:s EUTL-lista… mer

    Det här meddelandet visas oftast när dokumentet har signerats med ett verktyg vars rotcertifikat inte finns med i EU:s EUTL-lista eller i det lokala certifikatarkivet i Windows/Adobe. Dokumentets integritet kan visserligen vara intakt, men statusen som en rättsligt giltig ”kvalificerad elektronisk signatur” (QES) upphör därmed att gälla.

  • +
    Vad händer om ett dokument ändras något efter att det har undertecknats (t.ex. genom att man lägger till ett sidnummer)?

    Så snart ett PDF-dokument ändras, även om det bara är minimalt, efter att en digital signatur har lagts till, bryts… mer

    Så snart ett PDF-dokument ändras, även om det bara är minimalt, efter att en digital signatur har lagts till, bryts den kryptografiska signaturkedjan. Alla professionella verifieringsverktyg rapporterar omedelbart att dokumentet har manipulerats och att signaturen därmed är ogiltig. Hos sproof går det, tack vare den djupa integreringen i PDF-filen, att exakt spåra om och vilka ändringar som senare har gjorts i strid med reglerna.

  • +
    Hur länge är en digital signatur giltig och kan verifieras?

    Standardiserade signaturer kan ofta inte längre valideras felfritt efter det att det underliggande certifikatet har löpt ut (oftast efter 2… mer

    Standardiserade signaturer kan ofta inte längre valideras felfritt efter det att det underliggande certifikatet har löpt ut (oftast efter 2 till 3 år). sproof sign använder därför konsekvent LTV-standarden (Long-Term Validation). Här bäddas spärrinformationen (såsom CRL- eller OCSP-listor) in direkt i dokumentet vid tidpunkten för signeringen. På så sätt kan signaturens giltighet kontrolleras på ett revisionssäkert sätt även efter årtionden, oberoende av utfärdaren.

  • +
    Går det att verifiera flera digitala signaturer på ett och samma dokument oberoende av varandra?

    Ja. Om flera personer undertecknar ett dokument efter varandra (sekventiell arbetsflöde) innehåller PDF-filen en historik över så kallade revisionsversioner. Ett… mer

    Ja. Om flera personer undertecknar ett dokument efter varandra (sekventiell arbetsflöde) innehåller PDF-filen en historik över så kallade revisionsversioner. Ett kontrollverktyg (t.ex. sproof Validate) validerar varje signatur separat utifrån det dokumenttillstånd som gällde vid respektive undertecknandetillfälle.

  • +
    Varför är revisionsrapporten (audit trail) så viktig för compliance-ansvariga?

    Revisionsspåret (audit trail) ger en fullständig och rättsligt giltig historik över hela signaturprocessen. Den dokumenterar när och vem som har… mer

    Revisionsspåret (audit trail) ger en fullständig och rättsligt giltig historik över hela signaturprocessen. Den dokumenterar när och vem som har granskat, godkänt och undertecknat dokumentet, inklusive vilken verifieringsmetod som använts (t.ex. tvåfaktorsautentisering eller kvalificerad eID). Detta protokoll fungerar vid revisioner eller rättsliga tvister som primärt bevis på att signaturen har upprättats på korrekt sätt.

Denna webbplats är registrerad på wpml.org som en utvecklingswebbplats. Byt till en produktionswebbplatsnyckel för att remove this banner.