Flakkende kurs for digitale signaturer

Det danske Videnskabsministerium afgør i disse dage, hvilken af to konkurrerende løsninger, der skal realisere, at borgere kan underskrive digitalt i kontakten med den offentlige forvaltning. Valget i Danmark drejer sig om enten en TDC Internet-løsning, hvor brugeren installerer et decentralt certifikat på sin pc eller en bankløsning, der baserer sig på et fundament af 1,5 mio. netbankbrugere.

Det danske bankkonsortium, som består af PBS, KMD (det tidligere Kommunedata) og DMdata, har ved første blik flere praktiske trumfkort i sin løsning. Netbankkunder kan genbruge sine password, når de skal kommunikere med det offentlige. Bankerne har allerede identificeret sine kunder og kan med sikkerhed garantere deres digitale identitet. Endelig tilbyder bankerne mulighed for, at brugerens private nøgle, som anvendes til den digitale underskrift, kan deponeres på en central server, så brugeren ikke er bundet til at signere fra en enkelt pc. Dermed kan borgerne kommunikere sikkert fra en vilkårlig pc. Men løsningen med centralt deponerede nøgler er indtil videre afvist i både Sverige og Finland.

Finsk forsigtighed

Finland er et skandinavisk foregangsland, når det drejer sig om at realisere planerne om en digital signatur til borgerne. Allerede i slutningen af 1999 lancerede de finske myndigheder et finsk identitetskort med en indbygget digital signatur. Udrulningen er dog foregået trægt. Olavi Köngäs, leder af det finske Finansministeriums arbejdsgruppe for digitale signaturer bekræfter, at der indtil nu kun er udstedt 16.000 digitale identiteter i Finland.

»Det antal er lavere, end vi regnede med, og det er årsagen til, at vi det seneste års tid har kombineret den løsning med et bankbaseret certifikat. Det har lavere juridisk gyldighed, men sikrer at borgerne har mulighed for at få adgang til deres skatteoplysninger og andre offentlige informationer om dem selv,« siger Olavi Köngäs.

Han bekræfter, at den finske løsning fortsat kræver et smartcard-baseret id-kort, for at borgerne kan underskrive sig digitalt. Det offentlige Finland accepterer altså ikke, at brugernes identifikation er installeret på pc'en som softwarecertifikat - eller er deponeret på en central nøgleserver, sådan som bankerne i Danmark ellers lægger op til. Samtidig kan netbankløsninger i Finland udelukkende anvendes til at få adgang til alene at se de data om borgeren, som det offentlige ligger inde med. Vil borgere underskrive digital korrespondance, skal de fortsat anvende det smartcard-baserede identitetskort.

»Når vi har åbnet for, at 2,5 mio. netbankkunder kan anvende deres bankcertifikater, handler det overhovedet ikke om digitale signaturer. Det handler om certificering. Borgerne kan få adgang til deres informationer i offentligt regi. Vil borgerne underskrive deres korrespondance med det offentlige må de fortsat anskaffe et id-kort fra vores folkeregister,« understreger Olavi Köngäs.

I løbet af det seneste år er det kun nogle få tusinde finner, der har valgt at bruge den netbankbaserede løsning. I øjeblikket er der kun én offentlig udbyder, der understøtter netbankløsningen, nemlig en pensionsportal. Olavi Köngäs forventer dog en stigning i brugerne af netbankløsningen.

»I modsætning til den svenske løsning anvender vi ikke de såkaldte softwarecertifikater. Derfor kan vores borgere anvende systemet fra en vilkårlig pc. Efter min mening er det en rigtig dårlig idé, at have softwarecertifikater installeret på borgernes pc. Sikkerhedsmæssigt er det en dårlig løsning, men først og fremmest løser det ikke kravet om, at mange brugere skal kunne kommunikere sikkert med det offentlige fra flere forskellige pc'er,« siger han.

Olavi Köngäs understreger, at det elektroniske id-kort og netbankløsningerne kommer til at leve side om side i Finland. Han forventer, at flere banker efterhånden vil integrere det finske smartcard-baserede id-kort i sine løsninger.

Broget svensk løsning

Det svenske Riksskatteverket er en af de vigtigste dynamoer for udrulningen af en digital signatur til svenske borgere. Her er tiltroen til en integration med 3,5 mio. svenske netbankbrugere stor hos projektleder Dag Osterman.

»Vi har lavet rammeaftaler med de største banker i Sverige om, at deres kunder kan genbruge softwarecertifikater til at underskrive digitale dokumenter i forhold til det offentlige. I løbet af foråret vil der komme en række nye muligheder for elektronisk kommunikation med det offentlige,« siger Dag Osterman.

Borgerne har dog andre muligheder for at få et certifikat til den digitale signatur.

»Borgere, der ikke vil bruge sin netbank til kontakten med det offentlige, kan få et certifikat hos Telia eller Posten. Der vil også være situationer hvor en offentlig institution kan gå ind og udstede certifikater til en bestemt gruppe, for eksempel arbejdsløse,« siger han.

Heller ikke i Sverige er der umiddelbart interesse for at benytte en løsning med centralt placerede private nøgler, svarende til det danske bankkonsortiums tilbud til Videnskabsministeriet i Danmark.

»En central serverbaseret placering af borgerens private nøgle er teknisk interessant, fordi den i modsætning til de softwarecertifikater, vi anvender, gør det muligt at kommunikere med det offentlige fra flere forskellige pc'er. Men problemet med den løsning er, at den private nøgle ikke er unikt hos borgeren. Dermed lever løsningen ikke op til vores juridiske krav til et certifikat,« siger Dag Osterman.

I Sverige er det ikke alle banker, som er med i rammeaftalen. Sveriges tredjestørste bank SE-Banken deltager ikke i samarbejdet med den svenske stat. For Nordeas en mio. netbankkunder er der tale om en separat teknisk løsning, som i modsætning til de 2,5 mio. andre netbankkunder bygger på specialudviklet sikkerhedssoftware ude på brugerens pc. Dag Osterman vurderer, at den svenske stat i fremtiden vil være bundet til netbankløsningen.

»Hvis vi om to år har to mio. bankkunder, der har installeret et certifikat, så kan vi ikke slippe den kundebase. Rent praktisk er det ikke realistisk,« siger han.

Det mest dramatiske eksempel på farerne ved at binde sig til en samlet løsning for digitale signaturer har dog vist sig i en helt anden verdensdel. I Hong Kong fik en privat virksomhed, Tradelink, syv års eneret til signaturbaseret kommunikation mellem virksomheder og det offentlige. Endvidere var det et krav, at kommunikationen skulle gå igennem dette selskab, som til og med udviklede deres egen digitale signatur med et specifikt certifikat. Da kontrakten udløb, havde selskabet en enorm konkurrencefordel, fordi databasen med certifikaterne lå hos dem.