Nordisk uenighed om digitale signaturer

»Pheew!,« udbryder den finske embedsmand Olavi Köngäs bestyrtet i det finske Finansministerium i Helsinki, da han over telefonen bliver bedt om, at kommentere nogle af de danske bud på, hvordan borgernes elektroniske underskrifter skal håndteres i Danmark. Han har hidkaldt et par af sine medarbejdere fra sin arbejdsgruppe for elektroniske signaturer for at lytte med på det eksotiske telefonopkald fra Danmark.

Det danske sats på at undgå smartcard og satse på rene softwarecertifikater, der udstedes via et almindeligt brev, uden krav om personligt fremmøde, lyder nemlig fremmedartet for de finske ører. Det er ikke tilstrækkeligt til at være grundlaget for en sikker digital signatur, mener finnerne. I det skandinaviske broderland anvender man udelukkende lignende løsninger alene til sikker adgang til personlige informationer.

Baggrunden for den finske bestyrtelse er, at Finland kræver kvalificerede certifikater for at tillade digital signering. De kvalificerede certifikater kræver bl.a. personligt fremmøde, før de kan udstedes. I modsætning hertil er der ikke stillet krav om personligt fremmøde i den danske Oces-certifikatstandard, som er grundlaget for den danske digitale signatur. Desuden baserer den sig teknisk på software i modsætning til de smartcard, som finnerne kræver til digital signering.

Dårlig softwareløsning

Det danske sats på softwarecertifikater er en dårlig løsning, lyder det fra den finske centraladministration, som debuterede med en digital signatur i 1999.

»Softwarecertifikater til at underskrive accepterer vi ikke i Finland. Softwarecertifikater er en ringe løsning, fordi det binder brugeren til en enkelt pc. Til sikker adgang til borgerens private data anvender vi en sessionsnøgle. Så kan brugeren anvende alle mulige apparater til Internetadgang, de skal blot understøtte sikker Internetkommunikation med SSL. Til juridisk bindende signering er der kun én mulighed. At borgeren anskaffer vores smartcard, det elektronisk ID-kort,« siger Olavi Köngäs.

Han henviser til, at f.eks. ejendomshandler i den finske lovgivning kræver en elektronisk underskrift med en sikkerhed, som kun kan opnås via smartcard.

Den markante finske tolkning af det to år gamle EU-direktiv om en fællesramme for elektroniske signaturer vækker forbavselse hos det danske Videnskabsministerium.

»Det undrer mig, at finnerne har den holdning til brugbarheden af softwarecertifikater. Det er nyt, at nogen vil sige, at de danske Oces-certifikater ikke kan bruges til en juridisk fuldgyldig avanceret elektronisk signatur. Vi har fri bevisbyrde ved de danske domstole, så derfor kan en avanceret elektronisk signatur godt ligge til grund for en bindende aftale. Så her er vi uenige med finnernes fortolkning,« konstaterer chefkonsulent Palle H. Sørensen i Videnskabsministeriet.

De danske Oces-certifikater lever ikke op til EU-direktivets krav om, at en avanceret elektronisk signatur skal basere sig på et kvalificeret certifikat og være frembragt ved et sikkert signaturgenereringssystem. Men Oces-certifikaterne kan sagtens leve op til at være grundlaget for at underskrive digitalt med en fuldgyldig avanceret elektronisk signatur, vurderer Palle H. Sørensen:

»Der er vi på linie med stort set hele EU, bortset fra finnerne. Og den løsning har man også valgt i Sverige,« siger han.

Svenske smartcard

Hos det svenske Riksskatteverket bekræfter projektleder Dag Osterman, at den svenske bankløsning er baseret på softwarecertifikater, som kan anvendes til digital signering. Han understreger dog, at man på en række områder har valgt at øge sikkerheden ved at kombinere softwarecertifikater med smartcard.

»Flere tusinde ansatte i offentlige institutioner har i flere år været udstyret med adgangskort, som vi bruger til at øge sikkerheden både ved adgang til data og ved elektronisk signering. Det gælder eksempelvis i social- og sundhedssektoren,« siger han.

I Danmark er der ikke aktuelle planer om at styrke sikkerheden på samme måde. I Videnskabsministeriet henviser Palle H. Sørensen til, at fokus i det afsluttede udbud har været de eksterne muligheder for borgere og virksomheder. På sigt, når markedet, økonomien og teknologien er til det, vil man kunne skifte til mere sikker teknologi.

»Løsningerne i forbindelse med Oces-certifikatet er designet til at håndtere kvalificerede certifikater, hvis behovet opstår. Vi har senere mulighed for at genbruge Oces-certifikatet i hardwareløsninger, men vi har ingen konkrete planer,« siger Palle H. Sørensen.