Certifikatudbyder: Derfor skal din e-signatur ligge i skyen

Drop chip- og papkort. Fremtiden for digital identifikation ligger i skyen, mener udbyder.

Chiplæsere til computeren eller nøglekort er ikke vejen frem, når det handler om at signere og autentificere identitet elektronisk. I stedet skal din digitale underskrift opbevares i skyen, mener det polske softwarehus Certum.

Læs også: Snedigt certifikat gør det muligt at betale digitale abonnementer uden at afsløre kreditkortoplysninger

»Fremtiden er i skyen. I en serverside-signatur,« siger Marcin Szulga, der er chef for Certums R&D-afdeling, til Version2.

En cloudbaseret signatur skal basalt set gøre brugeren fri af specifikt udstyr til at læse et kort eller af en specifik computer med en lokal signatur.

»Jeg kan ikke bruge mit kryptokort med min iPad, men jeg kan altid bruge en cloudsignatur,« understreger Marcin Szulga.

Stadig to-faktor-sikkerhed

De fysiske chip- eller nøglekort har den fordel, at de stiller to sikkerhedskrav - du skal have kortet og kende koden. Men selvom kortet er lagt i skyen, kan man stadig have to-faktor-autentifikation, forklarer Marcin Szulga.

»Hvis du for eksempel vil underskrive dokumenter på din tablet, kan du med en engangskode på din telefon autentificere handlingen,« siger han og tilføjer:

»Selvfølgelig kan kunder vælge, at det er den samme enhed, der skal generere éngangskoden, som du bruger signaturen med. Men det anbefaler vi ikke.«

Læs også: Her er 63 holdninger til næste generation af NemID

Certum, der er en del af den internationale it-koncern Asseco, oplever stigende interesse for cloud-signaturen. Også fra kunder i Danmark, siger Marcin Szulga.

EU-lovgivning kræver fælles signaturer

Interessen kommer ikke mindst af, at EU’s såkaldte eIDAS-regulering træder i kraft til juli. Reglerne har til formål at nedbryde de digitale grænser og lave fælles standarder for elektronisk signatur og såkaldte trust services.

»I dag har vi et fragmenteret marked. Reguleringen skal gøre det nemmere at lave forretning og og skabe tillid på tværs af EU-lande,« fastslår Marcin Szulga.

Læs også: Nyt pilotprojekt skal teste brugen af NemID i resten af EU

Reguleringen dikterer langtfra, at alle skal bruge samme teknologi - en form for europæisk NemID. I stedet sætter reglerne krav op om, at certificerede signatur-teknologier skal være brugbare i alle medlemslande.

Reglementet tillader eksplicit cloud som en understøttende teknologi for eID. Det betyder, at lande, som ikke umiddelbart gør det - som Polen - skal acceptere løsningen, når reglerne træder i kraft.

Milliardbesparelse

EU forventer, at der kan være milliarder at spare, hvis medlemslandene kan nedbringe antallet af dokumenter, der sendes rundt, og i stedet bruge digitale signatur-løsninger. Besparelsen kan være op til 100 milliarder euro.

For virksomheder kan reglerne gøre det nemt at identificere og verificere udenlandske forretningspartnere. Med trust services kan elektroniske forsendelser underskrives, forsegles og tidsstemples. Noget, som også almindelige tech-brugere kan få glæde af, mener Marcin Szulga.

Læs også: Estland på vej til at blive verdens første cloud-baserede land

»Hvis du skriver en tekst, kan du signere den og timestampe den. Så kan du bevise, at det er din. Man kan også signere billeder, så man beskytter sin ophavsret,« forklarer han.

Og hvis signaturen ligger i skyen, behøver man ikke bøvle med flere former for identifikationskort, understreger Marcin Szulga.

»Det giver dig alle kort samlet ét sted. Med den her teknologi kan du samtidig lave en betalingsmodel, som lader brugeren betale alt efter, hvor meget signaturen bruges, i stedet for på års- eller månedsplan,« forklarer han.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Bjarne Nielsen

Jeg har det egentlig fint nok med, at der 'i skyen' findes en funktion, som kan skrive under 'til vitterlighed' på, at jeg er den faktiske underskriver af et dokument, men der to væsentlige forbehold:

  1. jeg starter med at skrive under
  2. når man stiller sig op som vitterlighedsvidne, så ifalder man ansvar, hvis underskriften viser at være falsk.

Begge punkter, men specielt pkt. 2 har disse luftige sky-løsninger ofte en tendens til at skrive sig ud af.

Og så ser vi igen en sammenblanding af signatur og identitet. Som jeg ser det, så er det som oftest ikke en egentlig underskrift, som man søger, men derimod et bekræftet login (authentification). Jeg mangler stadig at blive overbevist om, at en (fælles) signatur er den rette løsning, når man har et behov for autentifikation.

  • 4
  • 0
#5 Morten Brørup

Øhh...

Fungerer NemID ikke også netop ved at opbevare brugerens private nøgle centralt på certifikatudbyderens server / i skyen?

Så vidt jeg kan læse, er den primære fordel herved, at brugeren kan signere dokumenter osv. digitalt gennem certifikatudbyderens udstyr, og ikke behøver et chipkort for at udføre den kryptografiske beregning af dokumentfilen for at udregne den kryptografiske signatur.

Certum foreslår muligvis en anden prismodel og en anden ihændehavertoken (mobiltelefon med SMS-engangkode vs. papkort med fortrykte engangskoder), men adskiller Certums metode sig væsentligt fra den nuværende NemID-metode?

Med venlig hilsen

Morten Brørup CTO, SmartShare Systems

  • 7
  • 0
#6 Joe Sørensen

Spørgsmålet er vel ikke kun hvilken sky ens nøgle skal opbevares. Det er vel snarer hvem der bestemmer hvilken sky.

Hvis der var en løsning hvor man selv kunne bestemme hvilken sky, så kunne man fx selv gøre det, eller ( hvis man ikke har noget at skjule ) lade andre gøre det for en. Så slipper man for besværet.

  • 1
  • 1
#7 Maciej Szeliga

»Jeg kan ikke bruge mit kryptokort med min iPad, men jeg kan altid bruge en cloudsignatur,«

Jeg er helt sikker på at jeg har hørt det der et eller andet sted... nårh jo det er sådan NemID virker.

Har han en ide til hvordan man forhindrer et MITM angreb i den slags løsninger så vil jeg gerne høre det (MITM virker som bekendt fint mod NemID som dette medie har påvist).

  • 0
  • 0
Log ind eller Opret konto for at kommentere