eFactory AS er et osloselskap som utvikler løsninger til privat og offentlig sektor for internettpublisering og e-handel og har blant annet gjort seg bemerket som pilotleverandør til LivsIT-prosjektet.
Les også
Onsdag gjennomførte selskapet, i nærvær av representanter for Telenor og Ski kommune, en første demonstrasjon av en løsning kalt eMobile PKI, for autentisering og digital signering over mobiltelefon.
PKI står for "Public Key Infrastructure" og betegner et system der individer eller organisasjoner tildeles to krypteringsnøkler hver, en som er offentlig tilgjengelig, og en som skal holdes skjult for omverdenen. Et digitalt dokument kan krypteres med den private nøkkelen, og dekrypteres med vedkommendes offentlige nøkkel. En vellykket dekryptering med den offentlige nøkkelen er følgelig et bevis på at dokumentet er blitt kryptert med den tilsvarende private nøkkelen. Det går ikke an å gjette seg til den private nøkkelen ut fra kjennskap til den offentlige nøkkelen.
eMobile PKI virker slik: Først må det genereres et digitalt fingeravtrykk av dokumentet som skal signeres (i fagsjargongen er dette å beregne en "hash-verdi"). Avtrykket er langt mindre enn dokumentet, samtidig som det genereres på en slik måte at selv den minste endringen av dokumentet fører til at også avtrykket endres. To dokumenter kan ikke ha samme hash-verdi uten å være absolutt helt identiske.
Dette avtrykket sendes over en sikker forbindelse (SSL) til Telenor Mobil AS (ZebSign AS) sammen med brukerens mobiltelefonnummer. Telenor reagerer med å sende en SMS-melding til brukeren. Når meldingen er mottatt, taster brukeren en PIN-kode på sin telefon. Koden aktiverer programvare nedfelt i telefonens SIM-kort. Programvaren sender en SMS-melding tilbake til Telenor. Denne meldingen er kryptert med brukerens private nøkkel som også er lagret i SIM-kortet. Telenor mottar meldingen, dekrypterer den med brukerens offentlige nøkkel, og får derved en bekreftelse på brukerens identitet.
På dette punktet er altså Telenor overbevist om at dokumentet det har mottatt som hash-verdi, hører sammen med identiteten som nettopp er sjekket. Telenor lagrer derfor hash-verdien av dokumentet i sin database, på en måte som knytter dokumentavtrykket til brukeren, og bekrefter overfor brukerens dokument- eller arkiveringssystem at dokumentet er korrekt "signert". Også denne meldingen fra Telenor til dokument- eller arkivsystemet går over en sikret SSL-forbindelse.
For ettertiden vil det framgå av det dokument- eller arkivsystemet som brukeren forholder seg til, at dokumentet er signert. Ønsker man en bekreftelse på at den digitale signaturen er gyldig, altså at det er samsvar mellom dokumentet slik det foreligger og personen som oppgis som underskriver, genererer man et nytt fingeravtrykk av dokumentet og sender det til Telenor. Hvis Telenor finner dokumentavtrykket i sin database, får man en bekreftelse på hvilken person dokumentet er knyttet til. Dersom hash-verdien ikke finnes i Telenors database, innebærer det at dokumentet har vært endret, og at signaturen må kjennes ugyldig.
Systemet innebærer at brukeren ikke trenger annet enn sin mobiltelefon for å signere dokumenter digitalt, slik at signeringsprosessen er uavhengig av hvilken terminal man arbeider ved. Ved å bruke et smartkort - SIM-kortet i mobiltelefonen - og en smartkortleser - selve mobiltelefonen - som "alle" allerede har, og som dessuten har innebygget trådløs kommunikasjon, slipper man å utstede millioner av nye smartkort og smartkortlesere for å få en PKI-ordning ut til folket. Det som gjenstår, er en ordning for å nedfelle den nødvendige programvaren og krypteringsnøkler i SIM-kortene.
Den samme framgangsmåten kan benyttes for å dele ut éngangspassord. Du oppgir mobilnummeret ditt til tjenesten du ønsker tilgang til, og legitimerer deg gjennom å utveksle SMS-meldinger med Telenor. Når tjenesten får en bekreftelse fra Telenor på at du er den du gir deg ut for å være, mottar du éngangspassordet over SMS.
Som det går fram av redegjørelsen ovenfor, må en ordning for digital signering knyttes til et arkivsystem eller et saksbehandlingssystem. eFactory har utviklet et produkt for elektroniske skjemaer der utfylte skjemaer kan signeres digitalt med denne løsningen.
PKI-ansvarlig Kristin Vestmo i Steria, en av de største IT-leverandørene til norsk offentlig sektor (tidligere kjent som Bull og Integris), sier til digi.no at grunnen til at det går så tregt med å innføre digitale signaturer i Norge, er at Staten bare utreder uten å ta noe praktisk grep, og gjerne gjentar de samme utredningene med noen års mellomrom.
- Forvaltningen driver med mange enkeltforsøk som fungerer bra i sine spesielle områder. Det gjelder innen noen kommuner, innen skatt, innen helse og så videre. Det som mangler er et samlet grep, og det er et ansvar Staten må ta på seg. Mønsteret er at forvaltningen stiller så enormt sterke krav, at det beste blir det godes fiende.
Vestmo mener at det trengs ordninger som gjør at brukerne selv kan ta initiativet til å levere digitalt signerte dokumenter til forvaltningen.
- Løsningen til Skatteetaten fungerer fordi de leverer ut koder til elektronisk registrering av selvangivelsen per brev til brukerne, sammen med selvangivelsen. Men det befolkningen trenger, er å kunne fylle ut og digitalt signere skjemaer til trygdeetaten, folkeregisteret og så videre, på eget initiativ, uten at etatene aner på forhånd at de vil gjøre det. For forvaltningen og brukerne vil dette være svært fordelaktig. Men så lenge man ikke tilbyr noen fungerende ordning for digitale signaturer, avviser man denne gevinsten.
Vestmo sier at ut fra beskrivelsen virker eFactory-løsningen brukbar, men at hun ikke kan uttale seg om hva slags innvendinger forvaltningen eller bankene eventuelt vil ha mot ordningen.
