Signere elektronisk?

Får vi nå endelig et skikkelig apparat for å inngå avtaler elektronisk? Teknisk har dette vært mulig i 20 år, men det er fortsatt en del ting som må falle på plass for teknikken kan bli utbredt.

Trykket i Nettverk & Kommunikasjon nr.4/2000
(c) Anders Fongen 2000

Anders Fongen er høgskolelektor ved Den Polytekniske Høgskolen i Bærum. Web-stedet hans er på www.fongen.no

Den håndskrevne signaturen har vært et bevismiddel i uminnelige tider. En skriftformel som ingen andre klarer å etterligne skal være et bevis på at du stiller deg bak noen utsagn som står på det samme papiret.

Med elektronisk kommunikasjon blir dette en vanskelig praksis å følge opp. Det har ikke den samme beviskraft å skanne inn en håndskrevet signatur og legge den inn som et bilde i dokumentet. Heller ikke har en fakset underskrift særlig beviskraft, fordi man kan klippe fra ett brev og sette på et annet uten at det synes på den mottatte telefaksen.

Man har derimot hele tiden gjort handel med E-post, gjort avtaler, sendt bestillinger og bekreftelser via elektroniske medier, inklusiv telefon. Tenk bare på valutameglerne, eiendomsmeglere, reisebyråer og skipsredere. Selv uten signatur har det vært en forståelse for at disse avtalene er bindene, og vurderingen av et bevis for avtalen har hatt mer interesse for muligheten av forfalskninger mer enn om partene har skjønt at de inngår forpliktelser ved sine meldinger.

Ingen formkrav

Norsk lov setter ingen såkalte formkrav til en avtale. Det er ikke nødvendig å bruke spesielle skjemaer eller spesielle medier (f.eks. papir) ved inngåelsen av en avtale. Heller ikke er det nødvendig å møtes personlig (unntatt ved inngåelse av ekteskap!). Det foreligger en avtale når partene er enige om at de har en (det foreligger et såkalt dispositivt utsagn). Usikkerheten kan ligge i hva som er egentlig er avtalt, f.eks. om avtaleteksten er endret i ettertid, og om partene har oppfattet sine utsagn som en avtaleinngåelse.

Derfor er det fornuftig å inngå avtaler slik at det kommer klart frem hva som er avtalt, og at formen på avtalen er slik at det er liten tvil om at det dreier seg om en forpliktelse mellom disse partene.

Jeg kommer som voksen person ikke langt med å si at "jeg skjønte ikke at en underskrift regnes som forpliktende". Det er alminnelig kunnskap at noen former for utsagn regnes som forpliktende, f.eks. signatur eller bruk av en PIN-kode. Om det er liten grunn til å tro at noen har forfalsket en signatur eller stjålet et passord, så regnes avtalen som bevist.

Og bevisførselen i norsk rett er såkalt "fri". Man kan legge frem ethvert materiale som bevis for at et utsagn er gitt, og dommeren vil vurdere sammen med alle andre påstander og bevis i saken.

Elektronisk signatur

Norsk lov er altså ganske åpen for inngåelse av avtaler på elektroniske medier, men slike avtaler blir "tryggere" dersom man vet at måten man gjør det på beskyttes av rettspraksisen. Derfor har man lenge ønsket seg en form for elektronisk signatur som er vanskelig å forfalske.

Og løsningen kommer fra den delen av matematikken som sysler med såkalt kryptografi, altså læren om kodesystemer. Noen forskere oppfant i 1978 en metode for såkalt offentlig nøkkel (også kalt asymmetrisk kryptering) som det kalte for RSA (etter sine egne forbokstaver, som en annen gutteklubb). Andre alternative metoder er "knekket" og ikke brukbare lenger.

RSA er i korthet en teknologi som lar hver person ha to nøkler som skal brukes ved overføring av hemmelige data: En nøkkel som brukes for å gjøre teksten uleselig for andre, og annen nøkkel som oversetter det uleselige tilbake til sin originale form. Den ene nøkkelen er såkalt "offentlig", og alle kan få vite om denne nøkkelen for å kunne sende hemmelige meldinger til personen. Den andre nøkkelen er "hemmelig", og brukes bare av personen selv. Den store fordelen med denne teknikken er at man sende hemmelig og beskyttet informasjon uten på forhånd å ha blitt enige om en nøkkel.

Et biprodukt ved RSA-metoden er at den er like god motsatt vei. Dersom jeg gjør et dokument uleselig med min egen private nøkkel, kan alle gjøre meldingen leselig igjen gjennom å låse opp med min offentlige nøkkel. Og når de leser dette dokumentet kan de samtidig være helt sikker på at det kommer fra meg. Da har jeg "signert" innholdet i dokumentet. I praksis signeres ikke hele dokumentet, men bare en sjekksum, som gjør teknikken raskere å bruke.

Nøkkeldistribusjon

Denne teknikken er god for signering, men forutsetter at alle mottagerne er sikre på at de har min virkelige offentlige nøkkel, og ikke en forfalsket en. For å sikre dette kreves det en omstendelig nøkkeldistribusjon. Denne oppgaven tas best vare på av en uhildet og nøytral tredjepart kalt "betrodd" (trusted third party, TTP). Dette har vært en av de store oppgavene for å få fart på bruken av elektronisk signatur: At teknologien skal bli såpass moden og brukervennlig at de "store" aktørene i IT-markedet fatter interesse for å bli TTP.

Det å bli TTP innebærer ikke bare å drifte noe programvare, det består også i å lage rutiner for oppretting, fornyelse og tilbaketrekking av nøkkelpar (i form av sertifikater, se faktarute) som skal være vanskelig å misbruke. Her må det være kvalitet i alle ledd, og i tillegg til å være uhildet er det viktig at en TTP har alminnelig tillit i markedet. For hvem er det som peker ut TTPer i Norge? Det gjør ingen, men det er selvfølgelig interessant å se hvem staten henvender seg til når de trenger TTP-tjenester til forvaltningen.

Forvaltningsnettet

Statens Forvaltningstjeneste, underlagt arbeids- og administrasjonsdepartementet (AAD), har gått ut med et anbud på TTP-tjenester, og har deretter inngått avtale med tre bedrifter om levering av slike tjenester: Posten/SDS, Telenor og Strålfors AS. Disse tre vil kunne utstede nøkler, og holde rede på sperrede og utgåtte nøkler gjennom en on-line katalogtjeneste.

Målet med dette anbudet er at hele forvaltningen skal benytte de samme TTPene og den samme teknologien, slik at den interne saksbehandlingen kan signeres på samme måte innen hele staten. Det dreier seg derfor ikke om et nasjonalt "standardiseringsarbeid" med tanke på offentlige publikumstjenester. Vi ser at skatteetaten snakker om elektronisk signerte selvangivelser, men slik vi forstår AADs arbeid, omfatter ikke det noen slike muligheter på dette tidspunktet.

Publikums ønsker

Vi er litt overrasket over at siktepunktet for AADs arbeid ikke settes noe høyere: At publikum skal kunne forholde seg til én type teknologi for å sende signerte dokumenter til forvaltningen. Det betyr at de valgte TTPene også setter seg i stand til å utstede nøkler til hele befolkningen (trenger en helt annen skala på apparatet sitt for dette).

I mangel av noe annet initiativ på dette området er det trolig at de TTPene og den teknologien som staten velger ligger fremst i løypa når det gjelder tilbud til publikum på et senere tidspunkt. Mangelen på horisont i AADs arbeid (publikumstjenester ikke vurdert) kan også medføre at andre forsøker å lage en standard på andre områder som senere kommer i konflikt med AADs arbeid.

Publikums opplagte behov for signaturtjenester er å bruke samme utstyr for all elektronisk kommunikasjon innenlands, både mot forvaltningen, i privat avtalevirksomhet og ved elektronisk handel og betaling. Men er det opplagt at alle vil være med å marsjere etter den samme trommeslageren?

Lov om elektronisk signatur

Det er altså mye som må falle på plass før e-signatur kommer i bruk "overalt", men et viktig bidrag til utviklingen er at det er kommet et forslag til ny lov om elektronisk signatur som nå er ute til høring. Loven foreslår at signatur med såkalt "kvalifisert sertifikat" skal gis den samme rettsvikrning som en håndskrevet signatur. Uttrykket "kvalifisert serifikat" brukes i forbindelse med nærmere bestemte krav til teknologien som brukes og til TTPen som utsteder sertifikatene. Loven foreslår også at det skal dannes et tilsyn med TTPene i Norge.

Faktarute: Elektronisk sertifikat

Sikkerheten ved offentlig nøkkel forutsetter at en kan forvisse seg om at nøkkelen ikke er "plantet" av andre, dvs. forfalsket. For å unngå dette problemet er det vanlig å utstyre nøkkelen med et sertifikat. Sertifikatet er en kombinasjon av personopplysninger og den offentlige nøkkelen, signert at en TTP. Gjennom å kjenne TTP'ens offentlige nøkkel (den kan være hardkodet i programvaren) kan du forvisse deg om at sertifikatet er utstedt av denne TTPen, som du stoler på ikke utsteder falske nøkler. Her kommer nettopp tilliten til TTPen inn som et forutsetning for at en elektronisk signatur skal oppfattes som god.

Ditt elektroniske sertifikat er noe som du leverer fra deg i forbindelse med at du lager en signatur med din private nøkkel. Sertifikatet er ikke hemmelig, så hva om noen bruker sertifikatet ditt i forsøk på å utgi seg for å være deg?

Det som da vil skje, er at motparten vil sende sine meldinger til skurken kryptert med din offentlige nøkkel, den som er ligger i sertifikatet. Disse meldingene kan bare leses av en som har din private nøkkel, og den ligger ikke i sertifikatet. Skurken kan altså ikke gjøre seg nytte av ditt sertifikat, fordi han ikke samtidig har skaffet seg din private nøkkel.

Faktarute: Privat nøkkel og lommebok på smart-kort

Klarer noen å stjele din private nøkkel, da har du tapt. Andre kan da inngå signerte avtaler i ditt navn, de kan handle for din regning og selge bilen din. Sikkerheten knyttet til den private nøkkelen er derfor så viktig at man verken vil la brukeren skrive den ned på papir (nøkkelen er så lang at ingen kan huske den i hodet) eller lagre den på en harddisk (hvor virus og annet herjer).

Løsningen som er valgt (utviklet av Posten/SDS og valgt som standard av en internasjonal sammenslutning av postvesen) ligger i å bruke et smart-kort, dvs. et plastkort med egen mikroprosessor og internminne. En hemmelig nøkkel som ligger lagret på et smart-kort kan aldri hentes ut av kortet, men brukes ved å mate verdiene som skal krypteres inn i kortet sammen med en PIN-kode. En som skal stjele nøkkelen din må derfor både stjele plastkortet og vite PIN-koden din. Kortet kan ikke kopieres. Bedre enn dette er det vanskelig å få det uten å ty til såkalte biometriske metoder, f.eks. avlesing av iris eller fingeravtrykk som et alternativ til PIN-kode(som teknisk sett er en mindre tilgjengelig metode).

På plastkortet ligger også ditt elektroniske sertifikat (se egen faktarute). For å bruke kortet stikker du det inn i en kortleser, og om du skal signere meldinger hjemmefra må du altså ha en kortleser på PCen din (koster 300-500 kr).

Løsningen med plastkort er interessant fordi kortet kan innholde mer enn bare nøkkelinformasjon. Man kan tenke seg en elektronisk lommebok (f.eks. Mondex E-purse) med elektroniske småpenger. Da kan du betale med plastkortet når du kjøper en kinobillett, en pølse eller en pornofilm. En elektronisk lommebok er spesielt interessant for dem som selger "følsomme" varer via nettet, og betalings-TV er interessert i slik teknologi hvor kjøpet skjer anonymt og det ikke sendes noen faktura. Også i de tilfeller hvor beløpet er lite er det en fordel med direkte betaling uten å lage en faktura.

Nyttige web-adresser

Postens elektroniske ID: http://peid.sds.no/

Mondex Electronic Cash: http://www.mondex.com/

Ny lov om elektronisk signatur: http://www.odin.dep.no/nhd/publ/2000/esign2/brev.html