I Computer Sweden den 13 maj skriver Håkan Söderström en opinionsartikel om indirekta underskrifter. Han menar att en indirekt underskrift bara är en extra legitimering som ersätter en underskrift. Samt att man med sin e-legitimation kan både identifiera sig och skriva under.
Visst är det smidigt att bara skriva under med BankID, som vi gör när vi betalar räkningar eller swishar. Problemet uppstår när underskriften ska komma från en e-legitimation (EID) som saknar denna förmåga men likväl kan identifiera den som vill skriva under. I EU-sammanhang blir detta ett stort problem, eftersom vi då stänger ute medborgare från andra länder från tjänster som kräver en e-underskrift. Det finns redan lagkrav på att man ska kunna identifiera sig med EID från andra EU-länder, så kallade foreign EID, i e-tjänster som vänder sig till medborgare i Sverige. Och då ska man ju givetvis även kunna skriva under.
Att en e-legitimation är godkänd av svensk e-legitimation visar enbart hur bra den är på att identifiera personer och inget om huruvida den är lämpad för att framställa e-underskrifter, vilket i och för sig är helt rimligt.
En lösning för elektroniska underskrifter styrs inte längre av den svenska lag som togs ur bruk 2016 (även om vissa stora aktörer fortsatt pekar på den), utan av eIDAS-förordningen (nr 910/2014). Förordningen förklarar att det finns väldigt enkla e-underskrifter, avancerade e-underskrifter och kvalificerade e-underskrifter, men den pekar via kommissionens genomförandebeslut 2015/1506 också på ett antal befintliga standarder för hur man ska framställa avancerade och kvalificerade elektroniska underskrifter. För PDF-dokument anges PAdES från ETSI. För att kunna följa PAdES behövs personliga certifikat som kan bäddas in i PDF:ens DSS (document security store), vilket är omöjligt vid en direkt underskrift.
Den sortens underskrift som Söderström förespråkar, genom att ifrågasätta den fristående (tidigare kallad indirekta) underskriften, kan alltså inte följa EU-lagstiftningen om man vill skriva under PDF-dokument. Möjligen kan man skriva under enligt XAdES och få en XML-fil som följer standarden.
Tyvärr ser man ofta lösningar där en underskrift, i likhet med ovan, gjord med BankID (i XML format) läggs in som en bilaga i en PDF som sedan stämplas i enlighet med PAdES. Men att påstå att det är en underskrift gjord i enlighet med PAdES är felaktigt, eftersom det inte är personliga certifikat som sparats in enligt PAdES. Därför kan inte heller namnen på signatärerna visas i signaturpanelen i tex Adobe reader.
Söderström skriver också att det i många fall är svårt att ta del av det signerade originalet. Och det har han rätt i. Särskilt när en sådan underskrift som han förespråkar används. Då kan nämligen inte underskriften bäddas in i dokumentet som ska signeras på ett begripligt eller lagenligt sätt. Oftast finns underskrifter i en databaspost i det system som efterfrågade underskriften. Den kan inte tas ut för att du ska få ett underskrivet original eller för att diarieföra eller arkivera ett underskrivet dokument. Just bevarande av e-underskrifter och bevarandeformat på PDF:en inför underskrift är ett helt eget kapitel som de direkta underskrifterna inte heller förmår att hantera.
Om man inte förstår att en indirekt underskrift består av så mycket mer än en e-identitet så kanske man inte ska uttala sig i frågan. Indirekta underskrifter görs med certifikat och enligt de regelverk som finns i EU.
Om det finns en lösning för direkt underskrift som kan visa upp en arkivbeständig PDF med en avancerad eller kvalificerad elektronisk underskrift gjord med en svensk e-legitimation så ser jag fram emot att se den, men mig veterligen är det omöjligt.
Det som däremot finns är lösningar som kan leverera en PDF med en avancerad elektronisk underskrift. Det finns till och med lösningar där konvertering till en arkivbeständig PDF/A 1 hanteras automatiskt och där formatet efter signering håller för den tuffaste granskning. Det är verkligen inte många lösningar men de finns.
Jag ställer upp och granskar lösningar som använder direkt underskrift och anser att dom följer eIDAS, vilken dag som helst
Lena Lindström
Verksamhetsnära produktspecialist på Nexer Group
