Media center
Lokala nyheter

Signeringsteknik från CGI Sverige hjälper Europa med digitaliseringen

Stockholm, 12 april 2018 -  

En av de svåraste utmaningarna med EU:s regelverk för elektronisk identifiering på den internationella marknaden är hur man kan skapa säkra lösningar för elektroniska signaturer i ett land som sedan gäller även i de andra.

I Sverige har den svenska e-legitimationsnämnden arbetat i ett antal år med att ta fram en nationell standard och CGI har varit med under utvecklingen samt även tagit fram lösningar för e-underskrift redan 2014 för svenska myndigheter såsom Skatteverket. Det är den funktionen som används när svenskarna strax ska göra sina deklarationer på nätet.

Nu har CGI gjort en bearbetning av lösningen och anpassat den till eIDAS när det gäller till exempel vilka signeringsformat som stöds, men den är fortfarande baserad på den svenska nationella standarden för e-underskrifter. Den nya lösningen har leveransgodkännande av Kammarkollegiet/e-legitimationsnämnden sedan januari 2018.

Open source en viktig byggsten

Under utveckling av andra generationens CGI Signature Service så har CGI använt byggblock från open source-projektet CEF Building Blocks for eSignatures. Under arbetets gång har CGI även, helt enligt de regler som gäller för öppen källkod, laddat upp de förändringar och tillägg som gjorts så att dessa nu kommer att ingå i den officiella koden från och med version 5.3.

Förändringarna gjordes framför allt för att anpassa koden i CEF Building Blocks till den svenska standarden för signaturer.

“Den svenska standarden representerar ett helt nytt sätt att leverera tjänster för elektroniska underskrifter. Sverige har en mycket lång tradition av att använda digitala identiteter och de flesta svenska medborgarna använder redan digitala signaturer”, säger Gunnar Klintberg på CGI i Stockholm.

En svensk modell

Enligt Gunnar Klintberg har erfarenheterna från att arbeta med denna utveckling i ett av de länder som kommit längst med tekniken har också gett oss bred och djup kompetens kring hur man hanterar utmaningarna. Den kompetensen ligger till grund för den svenska e-signaturlösningen som är den enda beprövade standard som fungerar för signaturer mellan länder.

Den svenska standarden ändrar också hur man hanterar signeringstjänsten genom att dela upp signaturgenereringen I två delar. En del skapar kontrollsumman för dokumentet och den andra skapar den privata nyckeln (PKI) som signerar kontrollsumman och användarens certifikat och publika nyckel.

Den signerade kontrollsumma klistras sedan som sista steg på dokumentet efter ett antal kontroll steg. Det är, enligt Gunnar Klintberg som varit engagerad i en rad projekt på svenska myndigheter och företag, ett revolutionerande sätt att se på hur signaturtjänster ska utvecklas för att säkerställa att information som användaren skriver under inte hamnar i fel händer.

”Vi behöver en samsyn”

”Vi är mitt i en revolutionerande utveckling av signaturtjänster, men det finns många fallgropar och okunskap i ämnet. Framförallt saknas en samsyn i Sverige kring hur vi ska tolka begreppet betrodda tjänster som eIDAS förordningen definierar i kontexten för hur den svenska fristående underskrifttjänststandarden är skriven”.

CGI har valt att tolka kravställningen kring betrodda tjänster utifrån hur standardorganet ETSI definierat sin General Policy for Trusted Service Provider.

”Detta för att våra kunder samt dess slutanvändare ska känna trygghet och undvika obehagliga överraskningar framöver utifrån eventuella tydligare krav i Svensk Standard eller ny juridisk tolkning och vägledning. CGI levererar inte bara signaturer som bara följer nivån ’avancerad elektronisk underskrift’ och eIDAS genomförandeakt för elektroniska underskrifter, utan även anpassar sin tjänsteleverans till det man internationellt i Europa anser att tjänster inom eIDAS ska följa”, avslutar Gunnar Klintberg.