Begrenset levetid for digitale signaturer

- Digitale signaturer kan neppe påregnes å forbli gyldige lenger enn ti til femten år, skriver Anne Karen Seip i rapporten "Langtidslagring av digitalt signerte dokumenter" for Norsk Regnesentral. Myndighetene har ingen løsning på problemet.

Rapporten ble offentliggjort i november i fjor, og kan lastes ned fra Norsk Regnesentral. Framgangsmåten er ikke helt innlysende: Klikk på "publikasjoner" under "søk" i venstre spalte, og søk etter "Seip". Dokumentet på 161 sider er tilgjengelig i Postscript-format. Det kan også bestilles per telefon fra Norsk Regnesentral.

Norske utvalg om digitale signaturer avløser i disse tider hverandre. Fredag leverte nok et utvalg - Torvund-utvalget (oppkalt etter lederen, professor i rettsinformatikk Olav Torvund) sin innstilling "Elektroniske signaturer - Myndighetsroller og regulering av tilbydere av sertifikattjenester", formelt som rapport fra sekretariatet i Statskonsult. Rapporten fikk straks en etterfølger i form av et nytt utvalg fra Arbeids- og administrasjonsdepartementet (AAD), som skal utrede bruk av digital signatur i offentlig forvaltning. Kontinuiteten sikres blant annet ved at nestleder Katarina de Brisis i Torvund-utvalget får ledervervet i den nyeste kreasjonen og Anne Karen Seip er utnevnt til sekretær. Hennes fysiske arbeidsplass er Statskonsult.

Fjorårets rapport fra Seip slår fast en del egenskaper ved digitale signaturer som fortjener stor oppmerksomhet også i kommende utredninger. Hennes sentrale budskap er at med dagens teknologi er digitale signaturer egnet for transaksjoner, ikke for tilfeller der dokumenters signerthet skal vare i flere år.

Poenget er at digitale signaturer hører øyeblikket til. Seip forklarer dette slik: "Man lager en digital signatur ved å beregne et tall ut fra dokumentet og en privat nøkkel som bare signataren (den som signerer) har tilgang til. Den offentlige nøkkelen, som hører matematisk sammen med den private, er tilgjengelig slik at alle mottakere av dokumentet kan verifisere dets ekthet. En digital signatur er et dataelement som følger en elektronisk melding eller dokument, og som binder dokumentet til et individ eller en entitet (maskin, applikasjon eller menneske). Bindingen er slik at signaturen er praktisk umulig å forfalske. Den kan verifiseres av en mottaker eller en uavhengig tredjepart. Hvis en bit endres, vil den digitale signaturen ikke godkjennes. Digitale signaturer støtter ikke-benekting, det vil si at eieren av den private nøkkelen ikke kan avvise å ha signert dokumentet."

Seip presiserer at dette "ikke er en underskrift, men gir en kopling mellom innholdet og signataren." Hun legger til at en håndskreven underskrift er noe man er (biometri) og noe man kan (skrive), mens en digital signatur er noe man har (smartkort) og noe man vet (en PIN-kode).

Så er spørsmålet: Hva skjer over tid med signaturens fysiske egenskaper og infrastrukturen som sertifiserer samsvaret mellom offentlig og privat nøkkel?

Seip peker på at digitale signaturer er knyttet til formatet som dokumentet er lagret i. Proprietære formater som Microsoft Word kan kanskje gi en praktisk gyldighetstid på ti år. "Dersom representasjonsformatet som signeres er SGML, kan levetida kanskje vare i 15 år."

Et annet vesentlig moment er levetiden for krypteringsnøkler: "Forventet levetid for nøkler kan forkortes ved uforutsigbare 'kvantesprang' i forståelsen av hvordan den tilhørende algoritmen virker, innen matematikken og innen den teknologiske utviklingen."

Det tror vi så gjerne. Det som var sterk kryptering for noen år siden, er trivielt i dag. Om ti år vil det knapt være noen utfordring å forfalske et digitalt signert dokument fra i år, og umerket gjenopprette den opprinnelige signaturen.

Et tredje moment er infrastrukturen som kreves for at offentlige krypteringsnøkler skal kunne leve opp til forventningene. Etter hvert som tiden går, vil den nøyaktige oversikten som må føres over hvilke nøkler ble brukt hvor og når bli en stadig mer kompleks utfordring, og med tilsvarende økende muligheter for svakheter. Seip peker på at det vil bli spesielt vanskelig for privatpersoner å forholde seg til en slik infrastruktur: "Å bevise at man har sendt eller å bevise at man ikke har sendt en påstått melding, blir en mye større, og en helt annen, utfordring for enkeltindivider som ikke bruker digitale signaturer ofte."

Det skinner gjennom i Seips rapport at myndighetenes grep om disse problemene lider av vesentlige mangler, både teknologisk og juridisk. Hun skriver blant annet: "Gjeldende lovverk har ikke definert hvordan man autentiserer et dokument og en underskrift. Det bygger på skjønn og en ikke-dokumentert praksis. Dette gjør det vanskelig å definere krav til et system for elektronisk signatur. Når man går fra noe diffust til et elektronisk system, vil neppe det elektroniske systemet fange alle viktige aspekter fra en papirverden. Det skaper derfor usikkerhet hos meg som bruker at ingen har validert om man får det man er ute etter. Justisdepartementet [JD] skriver i sitt kartleggingsbrev av 15.3.99 at NHD [Nærings- og handelsdepartementet], AAD og JD har spesielt ansvar for å sikre at lovverket gir mulighet for å bruke digitale signaturer. Men brevet nevner ikke eksplisitt nødvendigheten av å vurdere om teknologien kan klare å dekke vesentlige funksjoner knyttet til håndskrevne underskrifter."

Seip peker videre på at "Det offentlige har tatt i bruk digitale signaturer som ekvivalent med håndskrevne underskrifter uten å

  • Vurdere hvilke begrensninger som informasjonsteknologi setter,
  • Bestemme hvem som har ansvar for å definere sammenhengen mellom dem
  • Vurdere ved testing om erstatningen er dekkende."

Ellers skriver hun:

  • Den offentlige norske kravspesifikasjonen Noark-4 for elektroniske arkivsystemer i offentlig forvaltning ikke har definert hvordan man skal garantere for at langtidslagrete dokumenter er ekte og autentiske.
  • Man har ikke utredet de juridiske konsekvensene av at man ikke kan autorisere innholdet av elektroniske dokumenter etter konvertering til nye lagringsformater.
  • De juridiske konsekvensene ved fravær av digitale signaturer ved arkivering er ikke utredet, og Riksarkivaren har ikke tatt opp problemet med manglende autorisasjon av innholdet når dokumenter arkiveres uten signatarens signatur.

En rask gjennomgang av Torvund-utvalgets innstilling viser at miljøet er klar over problemene som Seip tar opp i sin rapport. Men det synes ikke på utvalgets konklusjoner.

Derfor er det betryggende at Seip selv er sekretær i AADs nyeste utredningsutvalg.

Et EU-direktiv er en av grunnene til at Norge må tillempe digitale signaturer:


Norge utreder digitale signaturer i forvaltningen
Start for elektronisk saksbehandling
Dørum: - Digital signatur er bindende
Posten SDS tilbyr sikker digital underskrift
Tolv edsvorne leverandører
EU sa ja til digitale signaturer
EU vil legalisere digitale underskrifter

Til toppen