Digitala signaturer
Digitala signaturer är en teknisk term för att med asymmetrisk kryptering och ett nyckelpar bestående av en publik och en privat nyckel kunna identifiera avsändare av information.
Begreppet blandas ofta ihop med den typ av digital signatur som juridiskt ska kunna ersätta en skriven underskrift, det som idag kallas elektronisk underskrift.
Digitala signaturer är en teknologi. Elektroniska underskrifter är resultatet när man använder teknologin kopplad till fysisk eller juridisk person för att utföra en juridisk handling – att skriva under något.
Digitala signaturer används i många olika sammanhang, vi har redan nämnt identfikation av programvaror och datorer.
Hur går det till?
Signaturen är alltid kopplad till en informationsmängd. Att signera något behöver inte betyda att informationen döljs, att den krypteras. Man måste skilja på signering och kryptering. Signering innebär att man kan identifiera avsändaren samt att man kan avgöra att informationen inte är förändrad på vägen från avsändaren.
1. Avsändaren beräknar kontrollsumma
En programvara beräknar med en känd formel en kontrollsumma utifrån den information som ska signeras. Det fungerar ungefär på samma sätt som sista siffran i personnumret, som är framräknad utifrån de nio första. Samma metod använder postgirot och banker för att enkelt kunna avgöra om kontonumret är ett korrekt nummer.
2. Avsändaren krypterar kontrollsumman med privat nyckel
Kontrollsumman (på amerikanska: checksum) krypteras sedan med avsändarens privata, hemliga, nyckel. Den krypterade informationen, checksumman, bifogas originalinformationen som inte är krypterad. Denna bilaga är en digital signatur.
3. Information och signatur publiceras eller överförs
Nu kan informationen och signaturen distribueras tillsammans. De kan skickas som e-post, publiceras som webbsida eller utgöra en programvara som distribueras över ett nätverk.
4. Mottagaren dekrypterar bilagan med kontrollsumma
En mottagare som vill säkerställa informationen kan dekryptera bilagan med avsändarens publika nyckel. Då får man fram en kontrollsumma.
5. Mottagaren beräknar ny kontrollsumma
Mottagaren (eller troligare: mottagarens programvara) beräknar en ny kontrollsumma utifrån informationen, givetvis med samma formel som avsändaren använde.
6. Kontrollsummorna jämförs
Den nya kontrollsumman jämförs med den man fått fram genom att dekryptera bilagan till informationen. Om dessa två värden stämmer överens har man kommit fram till två slutsatser. Den första är att avsändaren är den man tror det är (förutsatt att man kan lita på att den nyckel man använt är rätt nyckel) och att informationen inte förändrats.
Om värdena inte stämmer överens är informationen inte att lita på.
Båda sidor måste följa samma standard
För att det här ska fungera måste både sändare och mottagare följa samma standard, så att interoperabilitet uppnås. Det gäller både hur kryptering ska ske, hur nycklar kan kontrolleras och hur kontrollsumma beräknas.
För e-post finns standarderna PGP och S/MIME. Med dessa standarder kan man både kryptera och signera meddelanden.
Ett brev signerat med PGP kan inte tas emot av en användare som bara har e-postprogram med stöd för S/MIME och tvärtom.
Hur får man tag på publika nycklar?
Det här systemet förutsätter att man kan få tag på en avsändares publika nyckel och på något sätt få verifierat att den nyckeln verkligen tillhör användaren. Hur det kan gå till beskriver vi i ett kapitel längre fram, som handlar om infrastrukturer för distribution av publika nycklar, en Public Key Infrastrucure, PKI.
För mindre offentlig användning kan man använda många olika sätt att distribuera nycklar. Från utbyte av disketter, till att man skickar nyckeln som bilaga till e-post.
Elektroniska signaturer på arkiverade dokument
Många gånger när man diskuterar elektroniska signaturer pratar man om kortvariga dokument – inköpsorder, faktura eller orderbekräftelser.
Det finns många dokument som kommer att utgöra bokföringsmaterial och ska lagras 10 år. Andra dokument, till exempel livförsäkringsbrev, har en längre arkiveringstid, upp till 100 år.
Om ett sådant dokument undertecknas digitalt måste signaturerna kunna verifieras hela dokumentets livslängd. Hur detta ska ske är inte enkelt att lista ut. Originalsignaturerna bör finnas kvar, men dokumentet kan behöva omsigneras med en giltig nyckel med jämna mellanrum.