Standarder for elektroniske signaturer og elektroniske stempler

For at avanserte og kvalifiserte elektroniske signaturer og stempler skal være gyldige og anerkjente i hele Europa, må de baseres på en av de tre ETSI-standardene, i henhold til EU-kommisjonens gjennomføringsbeslutning 2015/1506: PAdES, XAdES, CAdES.

PAdES, XAdES og CAdES er alle like pålitelige og gyldige med hensyn til samsvar, men de varierer i bruksområder. Hver av dem har spesifikke fordeler og ulemper, som vi vil analysere nærmere i denne artikkelen

Bakgrunnsinformasjon: Hvorfor er signaturstandarder nødvendige?

EUs eIDAS-forordning – som gir det juridiske rammeverket for grensekryssende gyldighet av elektroniske signaturer og andre tillitstjenester – definerer de juridiske kravene som elektroniske signaturer og stempler må oppfylle for å anses som avanserte eller kvalifiserte.

Forordningen spesifiserer i imidlertid ikke de tekniske standardene som elektroniske signaturer og elektroniske stempler må bygge på for å oppfylle disse kravene..

Det ble delegert til EU-kommisjonen å vedta gjennomføringsbestemmelser for å definere slike tekniske standarder. I tillegg fastslo eIDAS at medlemslandene må anerkjenne og forutsette gyldigheten av avanserte elektroniske signaturer og stempler som er basert på disse standardene.

For å sikre et sikkerhetsnivå og interoperabilitet for elektronisk identifikasjon og tillitstjenester i hele EU, har Kommisjonen tatt hensyn til de tekniske spesifikasjonene utarbeidet av European Telecommunications Standards Institute (ETSI) – en uavhengig organisasjon som støtter utviklingen av globale standarder innen IT.

EU-kommisjonen oppfylte sitt mandat gjennom gjennomføringsbeslutning 2015/1506, som fastsetter at avanserte elektroniske signaturer og avanserte elektroniske stempler må være i samsvar med én av de tre ETSI-baseline-profilene:

  • PDF avansert elektronisk signatur (PAdES): Basert på PDF-signaturer
  • XML avansert elektronisk signatur (XAdES): Basert på XML-signaturer
  • CMS avansert elektronisk signatur (CAdES): Basert på Cryptographic Message Syntax (CMS)

PAdES: PDF Avansert Elektronisk Signatur

PAdES står for PDF Avansert Elektronisk Signatur og kan kun brukes til å signere PDF-dokumenter.

Når PAdES brukes for å signere et PDF-dokument, vil den resulterende signaturen være i PDF-format. Mer spesifikt vil signaturen bli direkte integrert i PDF-en, altså kodet inn i dokumentet.

Som en konsekvens vil det ikke være mulig å endre innholdet i PDF-en etter at den er signert. Det vil imidlertid være mulig å legge til en ekstra PAdES-signatur, noe som skaper en ny versjon av PDF-en som inneholder alle tidligere signaturer.

La oss anta at flere personer må signere et dokument:

  1. Underskriver 1 signerer det opprinnelige dokumentet, noe som resulterer i en ny versjon (Dokument V2). Dokument V2 inneholder innholdet fra Dokument V1 og Signer 1s PDF-signatur, som er innebygd i det.
  2. Underskriver 2 signerer deretter Dokument V2; dette skaper Dokument V3. Dokument V3 inneholder innholdet fra Dokument V2 med PDF-signaturene fra Signer 1 og Signer 2 innebygd.
  3. Underskriver 3 signerer Dokument V3, og Dokument V4 opprettes — og slik fortsetter det.
PAdES signatures

Som en konsekvens er det ikke mulig for flere personer å signere samtidig. Hvis flere prøver å signere samtidig eller i rask rekkefølge, må alle unntatt én vente.

Fordeler med å bruke PAdES:

Integrert signatur : PAdES-signaturer blir direkte brukt på PDF-en, altså kodet inn i dokumentet. Dette betyr at signaturene ikke kan mistes, siden de forblir en del av de selvstendige PDF-filene, som enkelt kan kopieres, lagres og distribueres som elektroniske filer.

Synlig grafisk signatur: PAdES lar deg legge til en synlig grafisk signatur i dokumentet, i tillegg til den kryptografiske signaturen.

Enkel tilgang: Den resulterende filen, som inneholder signaturen, er en PDF som kan åpnes og vises ved hjelp av enhver tilgjengelig PDF-leser.

Validering: PDF-signaturene kan valideres med offentlig tilgjengelige verktøy som Adobe Reader. Dette er spesielt nyttig når du signerer dokumenter for et bredt publikum, for eksempel i B2C- eller C2C-sammenhenger. Nedenfor er et eksempel på validering av PAdES-signatur med Adobe Reader.

PAdES signatures

PDF-signaturer kan også valideres ved hjelp av spesialtilpassede valideringsverktøy, som Penneos Validator, samt offisielle verktøy som EU-kommisjonens valideringsverktøy for digitale signaturtjenester (DSS) (DSS).

XAdES: XML Avansert Elektronisk Signatur.

XAdES står for XML Avansert Elektronisk Signatur.

Når XAdES-standarden brukes, er den resulterende signaturen i XML-format.

Bruksområder for XAdES-standarden:

XAdES kan brukes til å signere elektroniske dokumentformater basert på XML, noe som gjør den egnet for et bredt spekter av forretningsbehov. For eksempel kan et selskaps styre og revisor bruke XAdES-standarden til å signere dokumenter i iXBRL-format og oppfylle kravene for ESEF-rapportering ved innsending av regnskap til myndighetene.

XML-filer er både lesbare for mennesker og maskiner, noe som er optimalt for å lagre data på en strukturert måte og for å hente ut informasjon til andre systemer.

XAdES-signaturer krever imidlertidig spesifikke programvarer for validering, noe som gjør dem mindre egnet for dokumenter som skal deles med et bredt publikum – for eksempel i en B2C- eller C2C-kontekst. En mottaker som får en fil med en XAdES-signatur, vet kanskje ikke hvordan den skal valideres. Det er heller kke like enkelt å validere dokumenter signert med XAdES-signaturer. Det er imidlertid mulig å bruke EU DSS Validator for å bekrefte gyldigheten av individuelle XAdES-signaturer.

CAdES: CMS Avansert Elektronisk Signatur.

Akkurat som XAdES kan CAdES-standarden brukes til å signere de fleste filtyper. Selv om den er svært allsidig, har CAdES-signaturer en rekke ulemper:

  • Når CAdES-standarden brukes, er den resulterende signaturen i .p7m-format. Dette krever spesifikk programvare for å vise og validere signaturen.
  • Som med PAdES, og i motsetning til XAdES, er det ikke mulig for flere personer å signere samtidig, siden hver signatur oppretter en ny .p7m-konvolutt.
  • I motsetning til PAdES tillater ikke CAdES-standarden at en synlig grafisk signatur legges til i dokumentet.

Nedenfor finner du en mer detaljert oversikt over de tre signaturstandardene og deres egenskaper.

 PAdESXAdESCAdES
Står forPDF Avansert Elektronisk SignaturXML Avansert Elektronisk SignaturCMS Avansert Elektronisk Signatur
ETSI-standardPAdES Baseline Profile ETSI TS 103 172 v.2.2.2.XAdES Baseline Profile ETSI TS 103 171 v.2.1.1.CAdES Baseline Profile ETSI TS 103 173 v.2.2.1.
Filformat for e-signaturPDFXMLp7m
Signering av flere personer samtidigNEIJANEI
Lesbar for menneskerNEIJANEI
Lesbar for maskinerJAJAJA
Synlig representasjon av signaturen på dokumentetJANEINEI
Validering av signaturPAdES-signaturer kan valideres med Adobe Reader, Penneos Validator og EU DSS ValidatorSpesifikk programvare kreves for å åpne XML-filer. XAdES-signaturer kan valideres med EU DSS Validator og Penneos ValidatorSpesifikk programvare kreves for å åpne .p7m-filer og validere CAdES-signaturer.

Fordeler med å bruke ETSI-standarder

Juridisk gyldighet: eIDAS-forordningen fastslår at medlemslandene må anerkjenne og forutsette gyldigheten av avanserte elektroniske signaturer og stempler som er basert på ETSI-standardene.

Grensekryssende validering: PAdES, XAdES og CAdES er alle ETSI-standarder og er derfor anerkjent og brukt internasjonalt. Dette betyr at det er mulig å opprette en avansert elektronisk signatur basert på noen av disse standardene i et hvilket som helst medlemsland, og alle på tvers av landegrenser vil kunne validere signaturen.

Verifisering og registrering av sertifikatstatus: Når et sertifikat brukes som en del av signeringsprosessen, gir ETSI-standardene mulighet for å verifisere statusen til sertifikatet på tidspunktet for signering. Programvaren for digital signering sjekker om sertifikatet er gyldig, utløpt eller tilbakekalt, og resultatet av denne sjekken legges til den resulterende XAdES/PAdES/CAdES-signaturen

Langtidsvalidering (LTV): Den største fordelen med alle tre standardene er at de støtter langtidsvalidering (LTV), som sikrer at et signert dokuments gyldighet opprettholdes i årevis, eller til og med tiår, etter signering — selv om plattformen som opprettet dokumentet ikke lenger er tilgjengelig. Dokumenter signert med en av ETSI-standardene inneholder registreringer av sertifikatene som ble brukt, og deres gyldighet på signeringstidspunktet. I fremtiden, uavhengig av teknologiske fremskritt, vil det fortsatt være mulig å verifisere at signaturen var gyldig da den ble opprettet.

Innholdsintegritet: Hvis dokumentet redigeres etter at signeringsprosessen er fullført, blir signaturen ugyldig. En gyldig signatur fungerer derfor som bevis på både hvem som signerte og hva de signerte.

Hvilken signaturstandard bør du bruke?

PAdES, XAdES og CAdES er alle gyldige internasjonalt, men deres individuelle egenskaper gjør dem best egnet for spesifikke bruksområder.

Hvis du trenger å signere PDF-dokumenter, er PAdES det beste alternativet. Alle kan lese den endelige signerte PDF-en med en PDF-leser og validere signaturene med Adobe Reader. Dette er enklere sammenlignet med XML- eller .p7m-filer, som mottakere kanskje ikke vet hvordan de skal åpne.

Hvis du trenger å signere filer som ikke er i PDF-format, og ønsker enkel eksport av signaturdata til andre systemer, bør du velge XAdES eller CAdES.

Med tanke på fordeler og ulemper ved hver av disse signaturstandardene, velger noen leverandører av tillitstjenester å bruke både XAdES og PAdES i sine signeringsprosesser for å dra nytte av fordelene hver av dem tilbyr. Dette er for eksempel tilfellet med Penneo, som benytter begge standardene når elektroniske signaturer opprettes.

Hvilke standarder følger Penneo for oppretting av avanserte elektroniske signaturer?

Penneos avanserte elektroniske signaturer og elektroniske stempler er basert på XAdES- og PAdES-standardene.

Slik fungerer prosessen:

  1. PDF-dokumenter sendes for signering via Penneo til underskriverne
  2. Underskriverne kan se dokumentene som PDF-filer og gå videre for å signere dem
  3. Når underskriveren går videre til å signere dokumentene, genererer Penneo en XML-struktur av dokumentdetaljene, inkludert hashes av PDF-ene. Denne XML-filen blir deretter signert. Dersom flere dokumenter sendes til signering samtidig, gjøres dette samlet, slik at underskriverne bare trenger å signere én gang.
  4. Den resulterende signaturen er en XAdES-signatur, og det vil være like mange XAdES-signaturfiler som det er signaturer/underskrivere
  5. Penneo integrerer disse XAdES-signaturene i de opprinnelige PDF-dokumentene som vedlegg
  6. Penneo legger også til en visuell representasjon av signaturene på en dedikert side, som blir en integrert del av PDF-en som dens siste side. Signatursiden kan leses med hvilken som helst PDF-leser og skrives ut sammen med resten av dokumentet. Den visuelle signatursiden inneholder:

    • En grafisk fremstilling av signaturene.

    • Tilleggsinformasjon om hver underskriver, inkludert:

    • Navn, rolle og eventuell organisasjon de signerer på vegne av.

    • Delvis anonymisert IP-adresse.

    • Et tidsstempel for hver signatur, som er en digital registrering av tidspunktet signaturen ble brukt. Dette tidsstempelet er også kryptografisk bundet til dokumentet som en del av XML-signaturen.

    Nedenfor er et eksempel på hvordan den siste siden med den visuelle representasjonen av signaturene vil se ut.

    Visual representation of the signatures
  7. Penneo bruker vedleggsfunksjonen til å integrere en revisjonslogg i det endelige dokumentet/dokumentene — en fullstendig oversikt over aktivitetene frem til signeringsprosessen er avsluttet. Revisjonsloggen kan brukes som bevis (også i rettssaker), og ved å inkludere den i dokumentet blir den automatisk tilgjengelig for alle parter. Dette gjør det mulig å håndtere tvister uten ytterligere involvering fra Penneo.

    Du kan se revisjonsloggen som en .txt-fil ved å åpne dokumentet i Adobe Reader og klikke på binders-ikonet i venstre fane.


    XML signatures
  8. Når alle underskrivere har signert dokumentene, forsegler Penneo de signerte dokumentene med de integrerte XAdES-signaturene og revisjonsloggen i henhold til PAdES-standarden. Dette gjøres ved å bruke kvalifiserte elektroniske stempler – altså Penneos autoritetssignatur – som sikrer fordelene ved PAdES-standarden.

    Du kan se forseglingen ved å åpne dokumentene i Adobe Reader; den vises som en blå linje øverst.


    Sealed XML signatures

Penneos stempel

Ved å legge til det endelige stempelet på dokumentene i henhold til PAdES-standardene, fungerer Penneo som den siste og endelige underskriveren av dokumentene. Stempelet integreres direkte i de signerte PDF-ene – på samme måte som en blekksignatur blir en integrert del av et papirbasert dokument.

Dette sikrer at dokumentene aldri mister sin juridiske pålitelighet, siden de fullstendige, selvstendige PDF-filene inneholder alt som trengs for å verifisere signaturenes gyldighet og forblir gyldige over lang tid. Samtidig kan PDF-ene kopieres, lagres og distribueres som enkle elektroniske filer.

Slik kontrollerer du gyldigheten av signaturer og stempler basert på XAdES- og PAdES-standardene

Som forklart tidligere er dokumenter signert via Penneo PDF-filer med vedlagte XML-signaturer (basert på XAdES-standarden) og forseglet med et kvalifisert elektronisk stempel (basert på PAdES-standarden).

Gyldigheten av dokumenter signert via Penneo kan kontrolleres på følgende måter:

  • Adobe Reader: Dokumentene kan valideres direkte i Adobe Reader.
  • Penneos Validator: Penneo tilbyr en PAdES-kompatibel valideringsplattform som kan brukes for å bekrefte signaturens gyldighet.
  • EU DSS Validator: Brukere kan også laste opp dokumentene sine til EU DSS Validator for å få informasjon om signaturens status, omfang og tidspunkt, samt om sertifikatkjeden, tidsstempler og LTV (Langtidsvalidering).

Følg trinnene beskrevet i denne artikkelen for å sjekke gyldigheten av signaturene dine opprettet via Penneo.

Utforsk våre ressurser

Sikkerhet og tillit: Slik sikrer Penneo samsvar og beskytter data

Sikkerhet og tillit: Slik sikrer vi samsvar og beskytter data

LES MER

9 viktige funksjoner du bør vurdere i et digitalt signeringsverktøy

9 viktige funksjoner du bør vurdere i et digitalt signeringsverktøy

LES MER

Hvordan navigere i det komplekse landskapet av hvitvaskingsregler i regnskapsbransjen

Hvordan navigere i det komplekse landskapet av hvitvaskingsregler i regnskapsbransjen

LES MER