Digital signatur fylder 10 år: Den digitale signatur i Danmark var oprindelig tænkt i en anden og mere striks form end den, vi har i dag.
De første eksperimenter med digital signatur indebar, at man personligt troppede op på posthuset og betalte 125 kroner for at få lov til at benytte den.
Sådan er loven om en kvalificeret digital signatur nemlig formuleret.
Det viste sig dog hurtigt, at være en besværlig model, som ikke tiltrak brugerne, og derfor blev kravene slækket.
Et af de afgørende argumenter for at undvige lovens bogstav var at undgå turen på posthuset.
Hellere en realistisk løsnng
"En kvalificeret løsning blev fravalgt til fordel for en realistisk løsning," fortæller Thomas Storm Petersen, der frem til 2006 var ansvarlig for opbygningen af infrastrukturen til digital signatur.
I dag er han direktør i Signaturgruppen.
Udgangspunktet for den digitale signatur var ellers en vision om det, der kaldes for en kvalificeret signatur.
Grundlaget for en kvalificeret signatur fremgår af et EU-direktiv fra 13. december 1999, der siden blev til loven om elektroniske signaturer i Danmark.
Den signatur, vi har levet med gennem det forgangne årti, lever dog ikke fuldt op til disse intentioner, selv om EU også har standardiseret kvalificeret signatur i flere niveauer, hvoraf nogle tillader opbevaring af signatur i software, som den nuværende OCES løsning.
Ny signaturmodel
For at gør løsningen mere brugervenlig og for at gøre den mere attraktiv for dem, som udbyder tjenester, der kan tilgås via signaturen, valgte man nemlig at neddrosle den kvalificerede løsning til en anden model, der kaldes for en OCES-løsning, som er en forkortelse for Offentlige Certifikater til Elektronisk Service.
En OCES-løsning er mindre restriktiv end en kvalificeret løsning.
Det betyder, at man ikke følger EU-direktivets intension om en kvalificeret løsning, men i stedet valgte en dansk model.
Begrundelsen var, at man ønskede en mere fleksibel ordning, der var let at bruge og derved hurtigt kunne få appel hos befolkningen. EU-direktivet rummer flere strikse krav til en kvalificeret digital signatur. Dem har man valgt at se bort fra i Danmark.
Ved en kvalificeret digital signatur skal brugeren som hovedregl personligt troppe op for at hente sin digitale signatur, og der skal kvitteres med en underskrift på et stykke papir. Det har man valgt fra i Danmark, hvor man sender disse informationer med posten.
Nøglebarn
En kvalificeret digital signatur stiller ligeledes krav om at brugeren, som den eneste, skal opbevare sin egen sikkerhedsnøgle. Det har man også fravalgt i Danmark. Med NemID bliver denne nøgle opbevaret på en central server.
For at opfylde visionen om hurtig og nem udbredelse af signaturen, har man således valgt, at se bort fra en kvalificeret signatur i Danmark til fordel for en model, der i næste generation tager yderligere et skridt væk fra den kvalificerede løsning, i form af en central nøgleserver.
At man har set bort fra loven understreges af, at folketingets Udvalget for Videnskab og Teknologi den 23. november 2009 stiller et spørgsmål til videnskabsminister Helge Sander om, hvorvidt OCES-certifikat-politikken følger principperne i lov om elektroniske signaturer.
Og svaret fra ministeren var klart.
"Der er på nuværende tidspunkt ikke udbydere i Danmark af kvalificerede signaturer, det vil sige signaturer, der er reguleret af loven."
Den beslutning har sat diskussionen i kog på mange debatsider, herunder også på computerworld.dk.
Kvalificeret signatur dur ikke
OCES-modellen er baseret på den samme grundlæggende teknologi som en kvalificeret signatur men adskiller sig på en række punkter fra det oprindelige grundlag for en kvalificeret signatur. Specielt på to områder har det haft afgørende betydning.
For det første giver OCES-certifikater mulighed for, at man kan sende adgangskoder til brugerne via postvæsnet. I det oprindelige oplæg til den digitale signatur var kravet, at man mødte personligt op og underskrev et stykke papir, der kvitterede for modtagelsen.
Grunden til det var, at man ville være sikker på, at den rigtige person fik den rigtige signatur.
"I vores første pilotprojekter skulle borgerne møde personligt på posthuset for at få mulighed for at anvende den digitale signatur, der ligeledes kostede 125 kroner. Det viste sig dog hurtigt, at den model ikke var gangbar," fortæller Morten Storm Petersen, der har været med til at udvikle OCES digital signatur, og i dag er direktør i Signaturgruppen.
Dansk model
Derfor lagde folk i videnskabsministeriet hovederne i blød for at finde nye veje, og det resulterede i en mere lempelig model.
"Vi har i Danmark en meget velfungerende registrering af befolkningen i form af et CPR-register og troværdige postadresser, hvilket gør det muligt, at identificere om det nu er den rigtige person, som modtager adgangen til en digital signatur. Derved kunne vi springe leddet med det personlige fremmøde, og identifikation med eksempelvis pas eller kørekort, over. Denne mulighed har man ikke haft i alle EU lande," fortæller han.
"I stedet kunne vi identificere borgeren centralt via CPR-nummeret og sende informationerne med posten, hvilket gør tilmelding nemmere for alle parter - ikke mindst brugerne."
I en lang række lande har man ikke CPR-registreret borgerne i samme grad som i Danmark, og det tager loven om elektroniske signaturer hensyn til.
"Vi kunne i Danmark opnå en tilstrækkelig sikker identifikation med anvendelse af den centrale CPR-identifikation af borgerne, og det har da heller ikke givet anledning til problemer," fortæller Morten Storm Petersen.
"I næste generation af digital signatur er identifikationsprocedurerne dog styrket, således at de er i overensstemmelse med hvidvaskningsloven. Dette vil blandt andet betyde, at brugeren som hovedregel vil skulle identificere sig med sygesikringsbevis og pas eller kørekort ved bestilling af digital signatur."
"Det er min klare vurdering, at vi således er på linje med de underliggende standarder, som ligger til grund for direktivet."
Centrale nøgler
Det andet store område, hvor den digitale signaturmodel i Danmark adskiller sig fra udgangspunktet, er i forbindelse med opbevaring af de krypteringsnøgler, som skal sikre borgerens informationer.
Ifølge loven om elektroniske signaturer skal borgeren selv opbevare nøglen, og der må ikke laves offentlige kopier af den. Det hensyn man ønsker at tilgodese er, at signaturen kun kan aktiveres af borgeren.
I den kommende NemID-løsning, der startes i sommeren 2010, er modellen stik modsat. Her bliver disse nøgler netop opbevaret på centrale servere, der administreres af DanID, som er det firma, der håndterer signaturen, og ikke hos brugeren af den digitale signatur.
Man har primært valgt den centrale opbevaring af nøglerne hos PBS ud fra argumenter om pris og sikkerhed.
Den oprindelige tanke fra EU var, at signaturen skulle ligge på et smart card. Udgangspunktet var, at den digitale signatur var et identitetskort på en chip, som brugeren fik udleveret, hvor nøglerne blev opbevaret hos brugeren.
"Problemet ved smartcard-modellen er, at den ikke er særlig brugervenlig og meget dyr at udbrede. Desuden er der også sikkerhedsproblemer i smartcard-modellen, såfremt brugeren anvender en computer, som er blevet hacket. Dette er nogle af overvejelserne, som førte til en anden udgave, der gjorde det nemmere for brugerne, hurtigere at få en fungerende løsning med mange tjenester," fortæller Morten Storm Petersen om processen.
"Vi fravalgte i sin tid en kvalificeret løsning til fordel for en mere realistisk løsning. Erfaringerne fra de lande, der forsøgte sig med kvalificerede løsninger, har siden vist, at vores model har været lettere at få op i omdrejninger. Vi formåede at få markedet til at udvikle sig fra et lidt simplere niveau," siger han.
"Når efterspørgslen er tilstrækkelig, vil man kunne indtroducere kvalificerede certifikater uden store investeringer hos de mange hundrede tjenesteudbydere, der anvender digital signatur i dag. Den nye digitale signatur har da også ambitioner i den retning, og der vil komme sideløbende udgaver, der er tættere på de strengere krav til en kvalificeret løsning. Interoperabiliteten og brugernes ensartede lette adgang til tjenesterne er kronjuvelen i infrastrukturen, som man kan bygge forskellige løsninger rundt om."
"Jeg opfatter stadig de kvalificerede løsninger som et mål for fremtiden. Det skal gerne ende med, at man kan bruge signaturen på tværs af grænser, men der er vi langt fra endnu. I Danmark har vi valgt en mere pragmatisk vej, men vi kan sagtens opfylde de europæiske krav på sigt, da de er baseret på præcis de samme standarder, som anvendes i den nuværende signatur," siger Morten Storm Petersen.
En smartcard-løsning er dog ikke nødvendigvis løsningen på alle sikkerhedsproblemer.
"Ikke alle computerbrugere er gode til at sørge for sikkerheden på den private computer. Derfor er der i den henseende nogle sikkerhedsmæssige fordele ved at opbevare informationerne på en ekstern server hos DanID, og det har været et af argumenterne for at gøre det på den måde."
Pilen peger mod Europa
Henrik Udsen er professor på Københavns universitet med speciale i blandt andet it-ret. Han har fået til opgave at se på tolkning af loven om elektroniske signaturer i forhold til den signaturmodel, vi har valgt i Danmark.
"Et af kravene for at måtte kalde det en kvalificeret signatur er ifølge lovens ordlyd, at certifikatudstederen ikke må opbevare eller kopiere en privat nøgle," siger han.
Et af spørgsmålene, han har beskæftiget sig med i forbindelse med en serverbaseret løsning, som der er planlagt til den nye generation af den digitale signatur, er om disse bestemmelser hindrer en kvalificeret løsning, der sandsynligvis er målet på længere sigt.
Retning mod EU
Henrik Udsen udtaler sig ikke om den konkrete DanID-/NemID-løsning, men han har udarbejdet et notat, der forholder sig til, om det er muligt at skabe en kvalificeret serverbaseret løsning.
"Mit arbejde er en teoretisk vurdering af, om det er muligt at lave en kvalificeret serverbaseret løsning. Det bliver relevant, hvis man ønsker at udvide den signatur, vi har i øjeblikket, til en kvalificeret løsning," siger han.
"Der er ikke noget sikkert svar på det, fordi der ikke er nogen retspraksis på området. Men min overordnede konklusion er, at det formentlig er muligt at lave en serverbaseret løsning som en kvalificeret løsning," vurderer professoren.
Hen begrunder sin vurdering med, at man ikke kun skal tage højde for lovens bogstav, der som tidligere beskrevet siger, at certifikatudstederen ikke må opbevare nøglen i en kvalificeret løsning, men også for lovens intention.
"I en løsning, hvor brugeren selv opbevarer krypteringsnøglen, er der ingen grund til at nøglecentret også har en kopi. Det er formentlig derfor, man i direktivet og loven har skrevet, at certifikatudstederen ikke må opbevare nøglen. De serverbaserede løsninger, såsom NemID, er en anden model, og dem har man næppe sigtet til, da bestemmelserne blev skrevet. Det er derfor min vurdering, at man formentlig ikke har ønsket at udelukke serverbaserede løsninger med direktivet og loven, dengang man formulerede teksten, hvilket også understøttes af, at det europæiske standardiseringsorgan CEN har lagt til grund, at direktivet ikke udelukker serverbaserede løsninger," siger Henrik Udsen om indholdet i det notat, han har udarbejdet.
Henrik Udsens tolkning tyder således på, at der er mulighed for at udbygge den danske serverbaserede signaturmodel til en kvalificeret løsning, der kan anvendes sammen med de øvrige medlemslande i EU.
Han ønsker dog ikke at forholde sig til den konkrete NemID-løsning, da en udbygning afhænger af en konkret vurdering af, om den i øvrigt overholder kravene.
