Konkurstruet udbyder af digital underskrift open sourcer system til validering

Rovsingløsningen esignatur er konkurstruet, hvilket kunne true validiteten af de dokumenter, som er signeret med selskabets digitale underskriftsløsning. Men nu vil esignatur lægge valideringssystemet åbent frem.

Den danske leverandør af en løsning til digital underskrift, Rovsing Applications, er truet af konkurs.

Det har rejst spørgsmålet om, hvorvidt en række danske forsikringsselskaber, advokater og revisorer, der har anvendt signaturen, kaldet esignatur, er i fare for at stå med dokumenter og aftaler, hvis underskrift ikke længere kan valideres.

I så fald vil det være umuligt at efterprøve deres fulde gyldighed i tilfælde af f.eks. en retssag.

Det er flere erhvervsmedier, som har omtalt den truende konkurs.

Af medierne fremgår det, at Rovsings ledelse ifølge selskabets revisorer ikke har været i stand til at sandsynliggøre, at »selskabet vil være i stand til at betale sine forpligtelser som de forfalder og dermed, at selskabet kan fortsætte driften.«

Esignatur anvendes som digital underskriftsløsning af en række selskaber som Topdanmark, Rambøll, Widex, Nemadvokat, Datea og Magasin.

Ifølge esignaturs website sikrer »esignatur virksomheden en valid digital underskrift fra kunden igennem den systemtekniske infrastruktur.«

Derudover sikrer esignatur »aftaleparternes integritet på det tidspunkt, hvor underskriften er afgivet.«

Og det fremgår også af websitet, at »Aftaledokumentets juridiske validitet (…) derfor igennem den tekniske løsningsmodel til enhver tid [kan] bekræftes ved at indhente dokumentet fra det digitale arkiv.«

Spørgsmålet er, om validering til 'enhver tid' er mulig, hvis selskabet er gået konkurs.

Det er især værd at bemærke, at det fremgår på esignatures egen hjemmeside at: »For at kunne læse en SDO skal man bruge en esignatur-SDO viewer, som kan pakke XML-filen ud, således at indholdet kan valideres.«

esignatur: PDF Reader kan læse signaturindholdet og validere dokumentet

Et digitalt underskrevet dokument består af en XML-fil, som indeholder dokumentet, der er blevet underskrevet, informationer om, hvem der underskrev det, hvornår det blev underskrevet, og hvilket certifikat der blev underskrevet med (POCES eller MOCES)

»XML-filen består af et objekt kaldet SDO (Signed Data Object). Kan man ikke læse kode, er det ikke muligt at se eller forstå indholdet. Derfor sørger esignatur for at indlejre koden i en PDF, således at koden omdannes til bogstaver og indholdet (blandt andet underskriverne digitale signatur) kan læses af alle. Hele denne pakke bliver forseglet af esignatur med et PDF-signeringscertifikat og bliver til en PAdES-dokument (PDF Advanced Electronic Signatures),« fortæller esignaturs direktør Christian Jönsson.

Han fortæller, at PAdES-formatet på nuværende tidspunkt er det mest avancerede signaturformat, der er tilgængeligt, netop fordi det gør det muligt at læse indholdet og dermed validere dokumentet på en sikker måde.

Det eneste, man ifølge esignatur skal bruge, er en PDF Reader såsom Adobes.

»Der kan ikke manipuleres med indholdet af et digitalt dokument underskrevet med esignatur,« siger Christian Jönsson.

»PAdES-dokumentet er en forseglet fil, som validerer – i tilfælde af konflikt (retssag, tvist osv.) – at en bestemt person rent faktisk har underskrevet dokumentet. Desuden kan PAdES-formatet genkrypteres over tid, hvilket sikrer at underskriften og integritet af det signerede dokument opretholdes over tid.«

3. part ikke nødvendig

Normalt ville man efterlyse en 3. part, der kan validere dokumentet i tilfælde af, at signaturleverandøren er sat ud af spillet.

Men esignatur fastslår, at validering kan ske uden en 3. part:

»Med esignatur laves alle digitale signaturer med NemID. Det betyder at vi har Nets som tjenesteudbyder. Nets selv har heller ikke nogen validator til deres produkt, hvilket i og for sig heller ikke er nødvendigt, da validatoren ligger direkte i den forseglede PDF,« uddyber direktør Christian Jönsson.

Se her eksempel på et digitalt underskrevet dokument med forklaring på, hvordan man i PDF’en direkte kan se om en underskrift er gyldig

For at beskytte kunderne yderligere mod en situation, hvor validering ikke kan gennemføres hos esignatur, vil virksomheden lægge valideringsteknologien ud offentligt:

»Det er klart at vi kan ikke udbyde et produkt, der håndterer aftaler, som gælder på lang sigt, i mange tilfælde over flere år, hvis det udelukkende var afhængigt af virksomhedens eksistens. Det er der ingen kunder, der vil købe ind på,« uddyber Christian Jönsson.

»På vores hjemmeside kan et digitalt dokument underskrevet med esignatur valideres via vores SDO-viewer. Som en ekstra service, vil vi inden august gøre vores kode til validering af digitalt underskrevne dokumenter offentligt tilgængelig. Det er herefter op til underskriverne, om de ønsker at tilgå esignaturs SDO-viewer på vores hjemmeside eller uploade dokumentet på en offentlig hjemmeside, når det skal valideres,« siger Christian Jönsson.

Signeringsbevis til validering af dokument

Med et digitalt underskrevet dokument lavet via esignatur, følger et signeringsbevis.

Dette er pakket i XMLDSIG formatet og kan valideres simpelt med følgende kodestump (i C#):

var signedDocument = XDocument.Load(@"c:\sti\til\signeringsbevis.xml", LoadOptions.PreserveWhitespace);
var document = new XmlDocument { PreserveWhitespace = true };
document.LoadXml(signedDocument.ToString(SaveOptions.DisableFormatting));
var signedXml = new SignedXml(document);
signedXml.LoadXml(document.DocumentElement);
var isValid = signedXml.CheckSignature();

Diverse links
• Se eksempel på et digitalt underskrevet her, med forklaring på hvordan man i PDF’en direkte kan se om en underskrift er gyldig: https://www.esignatur.dk/media/70201/hvad-er-et-digitalt-underskrevet-dokument-underskrevet.pdf

• Link til esignaturs SDO-viewer: https://www.esignatur.dk/valid%C3%A9r-dokument

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jørgen Clausen

Okay, jeg er nok lidt teknisk udfordret her... Men det virker helt sort?

Hvordan kan man sige 3. part ikke er nødvendig for at bevise gyldigheden? Det eneste, som jeg forstår det Adobe Reader gør i det her tilfælde, er vel at sikre indholdet af den pdf fil er intakt... den siger vel absolut intet om beviserne, som er med i filen er korrekte, eller om det er mig eller min kone som har underskrevet?

Der skal man vel ned i de indeholdte filer, for at se?

Eller er der nogen der kan forklare, hvordan det hænger sammen?

  • 0
  • 0
Kim Achton

Hej Jørgen,
Beklager det lidt sene svar.

Når du underskriver med esignatur, bliver din underskrift gemt direkte i et dokument kaldet en PAdES-fil.
Kort fortalt betyder det, at man til enhver tid, kan se underskriften i dokumentet.

Underskriften er udbudt af NemID og det er altså dem, der sørger for underskriftens validitet.
Opstår der tvivl om, hvorvidt en underskrift er gyldig, er det altså NemID's ansvar at slå personen op i deres system. Her kan de se, hvorvidt denne person har skrevet under eller ej.

Derfor kan et dokument altid valideres - også i tilfælde af en eventuel konkurs.

Venlig hilsen,

Kim Achton
Marketing Manager // esignatur

  • 1
  • 0
Log ind eller Opret konto for at kommentere