Verifisering av gyldigheten av digitale signaturer

Digitale signaturer er avgjørende for å bekrefte underskrivernes identitet og sikre integriteten til signerte dokumenter. Men hvordan kan du være sikker på at en digital signatur er gyldig? Ettersom flere virksomheter bruker digitale signaturer for dokumenter som ansettelseskontrakter, årsrapporter og oppdragsavtaler, har det aldri vært viktigere å kunne verifisere deres gyldighet.

I denne artikkelen guider vi deg gjennom de tre viktigste metodene for å verifisere gyldigheten av digitale signaturer opprettet via Penneo Sign.

Hva gjør en digital signatur gyldig?

Begrepet «digital signatur» brukes ofte for å beskrive både avanserte og kvalifiserte elektroniske signaturer. Under eIDAS-forordningen har kvalifiserte elektroniske signaturer samme juridiske verdi som håndskrevne signaturer.

Penneo Sign gjør det mulig for brukere å opprette både avanserte og kvalifiserte elektroniske signaturer:. Avanserte elektroniske signaturer kan opprettes ved hjelp av BankID, dansk MitID, svensk BankID, finsk Bank ID, og Mobiilivarmenne, mens kvalifiserte elektroniske signaturer kan opprettes ved hjelp av itsme®.

For at en digital signatur skal være gyldig, må to hovedbetingelser være oppfylt:

  • Signaturen må sikre at dokumentet ikke har blitt endret etter at det ble signert
  • Signaturen må støttes av et sertifikat som identifiserer underskriveren, og som kun underskriveren kan bruke til å lage signaturen.

Slik kontrollerer du gyldigheten av en digital signatur opprettet via Penneo Sign

Når du signerer et PDF-dokument via Penneo Sign, opprettes digitale signaturer i XML-format (basert på XAdES-standarden) med digitale sertifikater. Disse signaturene legges ved PDF-dokumentet, som deretter forsegles med en kvalifisert elektronisk forsegling (basert på PAdES-standarden).

Som et resultat inneholder den endelige PDF-en bevis på at de digitale sertifikatene var gyldige på signeringstidspunktet, og at de digitale signaturene er juridisk bindende.

Ved eventuelle tvister inneholder de signerte dokumentene all nødvendig dokumentasjon for å bevise både dokumentets og hver enkelt signaturs autentisitet.

Under kan du lese om tre metoder for å validere dokumenter signert digitalt (inkludert XAdES-baserte signaturer og PAdES-baserte forseglinger.

1. Verifisering av digitale signaturers gyldighet via en PDF-leser

De fleste moderne PDF-lesere, som Adobe Reader, har innebygde verktøy for å validere digitale signaturer.

Når du åpner det signerte dokumentet i en PDF-leser, vil du først legge merke til dokumentets forsegling. I Adobe Reader vises denne forseglingen som en blå linje øverst på skjermen.

Seal of the document

For dokumenter signert via Penneo Sign, er forseglingen en kvalifisert elektronisk forsegling utstedt avIntesi Group, en Kvalifisert Tillitstjenesteleverandør (QTSP) oppført på EU Trust List..

Forseglingen sikrer dokumentets juridiske gyldighet. Hvis dokumentet ikke er juridisk gyldig, vil den blå linjen vise følgende melding: Sertifisering av Penneo A/S er ugyldig.

Den kvalifiserte elektroniske forseglingen påføres av Penneo ved slutten av signeringsprosessen. Når underskriverne har signert dokumentet, forsegler Penneo det signerte dokumentet med de innebygde XML-signaturene i henhold til PAdES-standarden.

Ved å påføre den endelige forseglingen fungerer Penneo som den siste og endelige underskriveren av dokumentet. Forseglingen er integrert direkte i den signerte PDF-en, akkurat som en blekksignatur blir en integrert del av et papirbasert dokument.

Når du klikker på signaturikonet i venstre fane eller på signaturpanel-knappen vil du få få ytterligere detaljer om forseglingens juridiske gyldighet.

Signature panel

Du kan lese mer om hva Certified by Penneo A/S betyr – for eksempel at dokumentet ikke kan redigeres, at sertifikatet er utstedt av en kvalifisert Tillitstjenesteleverandør (QTSP), og lignende.

Du kan også klikke på sertifikatdetaljer for å lese informasjon om det digitale sertifikatet som er inkludert i dokumentet.

Certificate details

Hvis du ønsker å se de digitale signaturene i XML-format og tidsstemplene for hver signatur, kan du klikke på bindersikonet i venstre fane.

Signatures in XML format and timestamps

Her kan du også få tilgang til revisjonsloggen, der alle trinn i signeringsprosessen er registrert. Revisjonsloggen er i et menneskelig lesbart format, slik at den kan brukes som bevis i retten. Den viser tid og IP-adresse knyttet til hver aktivitet, fra åpning og visning av dokumentet til selve signeringen.

Audit trail

Selv om alle disse kryptografiske elementene er innebygd i PDF-en, kan de fremstå annerledes i andre PDF-lesere.

2. Verifisering av digitale signaturer via Penneos Validator

Du kan også bruke Penneo Validator til å sjekke gyldigheten av digitale signaturer opprettet via Penneo. Gå til valideringsplattformen og last opp det signerte dokumentet ved å klikke på Velg dokument for å sjekke. Penneo Validator validerer både de individuelle underskrivernes XAdES-signaturer og PAdES-signaturen (Penneos forsegling) i PDF-dokumentet.

Penneo Validator bekrefter også at hver XAdES-signatur tilhører det spesifikke PDF-dokumentet.

Hvis noen prøver å manipulere dokumentet (for eksempel ved å fjerne forseglingen, erstatte de vedlagte XAdES-signaturene med nye, og legge til en ny gyldig forsegling), vil Penneo Validator oppdage at dokumentet er kompromittert og erklære det ugyldig.

På samme måte er det ikke mulig å opprette et falskt signert dokument ved å kopiere en XAdES-signatur fra et legitimt signert dokument til et annet PDF-dokument, da Penneo Validator vil oppdage manipulasjonen og erklære dokumentet ugyldig

Choose document to check

Du vil deretter se valideringsresultatene. Gå gjennom resultatene og sammenlign dem med dokumentet ditt.

Validation results

Hvis validering av fødselsnummer (SSN) ble aktivert for en underskriver av avsenderen av dokumentet, kan du også validere underskriverens identitet ved å skrive inn fødselsnummeret deres i feltet «Sjekk underskriverens» identitet og klikke på «Sjekk».Hvis fødselsnummeret du skriver inn samsvarer med underskriverens fødselsnummer, vil boksen bli grønn, mens hvis det ikke samsvarer, vil boksen bli rosa

3. Verifisering av digitale signaturer via EUs valideringsplattform

Du kan bruke EU DSS Validator for å validere gyldigheten av PAdES- og XAdES-signaturer. For å validere et dokument signert via Penneo, last opp PDF-en til EU DSS Validator og klikk på Send inn.

EU Validator

Nedenfor vises et eksempel på en Enkel rapport, men du kan klikke på knappen Detaljert rapport for å lese mer informasjon om dokumentets juridiske.

Validation result

Når du validerer et dokument signert via Penneo gjennom EU DSS Validator, vil valideringsresultatet under Signaturstatus vise at det er én gyldig signatur på dokumentet – uavhengig av det faktiske antallet signaturer som er brukt.

Dette skyldes at en standard PDF-validerer, som EU DSS Validator, kun kan utføre en PAdES-validering på et PDF-dokument. Hvis vi sender inn signerte PDF-er produsert av Penneo til EU DSS Validator, vil alle XAdES-signaturene som er innebygd i PDF-en bli ignorert, og kun forfattersignaturen produsert av Penneo vil bli validert. Med andre ord vil det eneste validerte elementet være Penneos endelige (PAdES-baserte) forsegling.

Hvis du ønsker å validere de individuelle XAdES-signaturene som er inkludert i PDF-en, kan du følge prosessen forklart nedenfor:

  1. Last ned XML-signaturene — dette kan du gjøre ved å åpne den signerte PDF-en i Adobe Reader, klikke på bindersikonet, velge alle filene som har beskrivelser som ignatur for (Navn) og Signerte data for (Navn), og deretter laste dem ned.
    Download the XML signatures
  2. Valider hver signatur separat ved å laste opp filene i EU DSS Validator:
    • Bruk filenSignatur for (Navn) i feltet Signert fil.
    • Bruk filen Signerte data for (Navn) i feltet Original fil(er) fnår denne filen er tilgjengelig for underskriverenr (denne filen vil ikke være til stede ved bruk av visse signeringsmetoder, inkludert, men ikke begrenset til, QES via itsme®).
    Validate each signature separately
  3. Gå gjennom resultatene i rapporten, som vil vise deg om signaturene er gyldige.
    Inspect the resulting report
    • 3.1.Begrensninger: EU DSS Validator validerer at hver signatur er gyldig, men bekrefter ikke vat de faktisk tilhører det spesifikke PDF-dokumentet.SLa oss anta at forseglingen fjernes fra et signert dokument, signaturene (vedlagte XML-filer) erstattes med nye, og en ny gyldig forsegling legges til. Resultatet vil fortsatt se gyldig ut i EU DSS Validator (og i Adobe Reader). Dette skyldes at både den nye forseglingen og de nye signaturene er gyldige. Derimot vil Penneos Validator oppdage at dokumentet har blitt kompromittert, siden den også validerer det unike forholdet mellom hver XAdES-signatur (vedlagt XML-fil) og innholdet i PDF-dokumentet med PAdES-basert forsegling.
    • 3.2. Hvorfor oppfører EU DSS Validator og Penneos Validator seg forskjellig? Som nevnt ovenfor, utfører EU DSS Validator kun validering av PAdES-signaturer. Når du laster opp en signert PDF med vedlagte XML-signaturer og en PAdES-forsegling, vil EU DSS Validator kun vise gyldigheten til PAdES-forseglingen. Den eneste måten å validere gyldigheten av XML-signaturene er ved å følge den mer komplekse prosessen beskrevet tidligere, som likevel ikke sikrer at signaturene faktisk tilhører dokumentet. Derimot er Penneos Validator spesialbygd for å validere både PAdES-signaturen(e) i PDF-er produsert av Penneo og alle XAdES-signaturene som er innebygd i PDF-ene.. Selv om det finnes standarder for både XAdES- og PAdES-signaturer, og Penneo følger begge standardene fullt ut, er det ingen definert standard for hvordan XAdES-signaturer (XML-format) skal innebygges i et PAdES-dokument (PDF-format) for visuell fremstilling. Mange signaturleverandører gjør dette, men ofte på litt forskjellige måter, noe standard PDF-valideringsverktøy ikke tar hensyn til.

Utforsk våre ressurser

Sikkerhet og tillit: Slik sikrer Penneo samsvar og beskytter data

Sikkerhet og tillit: Slik sikrer vi samsvar og beskytter data

LES MER

9 viktige funksjoner du bør vurdere i et digitalt signeringsverktøy

9 viktige funksjoner du bør vurdere i et digitalt signeringsverktøy

LES MER

Hvordan navigere i det komplekse landskapet av hvitvaskingsregler i regnskapsbransjen

Hvordan navigere i det komplekse landskapet av hvitvaskingsregler i regnskapsbransjen

LES MER