Dokumentintegritet och digitala signaturer

En digital signatur förseglar det signerade dokumentet för att skydda det mot manipulering

Vad är dokumentintegritet?

Integritetsskydd är ett viktigt krav för både pappers- och digitala dokument. Man kan bevara ett pappersoriginal, men vem som helst kan enkelt manipulera ett elektroniskt dokument och hävda att det är originalet. Detta gör integritetsaspekten ännu viktigare när man använder elektroniska signaturer.

Dokumentintegritet innebär att man, vid en eventuell tvist, kan bevisa att:

  • ingen har ändrat originaldokumentet
  • det dokument man presenterar inte är en förfalskning

För att säkerställa integriteten så snart ett dokument är elektroniskt signerat, förseglar Scrive det med en digital signatur i samarbete med vår leverantör Guardtime. Guardtime använder en metod som kallas Keyless Signature Infrastructure (KSI), som bygger på blockkedjeteknik. När ett dokument har förseglats med KSI kan man verifiera dess integritet omgående, ett år senare eller årtionden senare.

Digital signatur kontra elektronisk signatur

Innan vi fortsätter, låt oss reda ut en vanlig förvirring:

  • En undertecknare av ett dokument, såsom en person som skriver under ett avtal, skapar en elektronisk signatur när de undertecknar dokumentet genom att klicka för att signera, eller genom att skriva sin signatur och sedan klicka för att signera.
  • En digital signatur kan liknas vid ett fingeravtryck som är unikt för det dokumentet. Guardtime använder en digital signatur när de förseglar ett Scrive-dokument för att göra det manipulations- och förfalskningsskyddat. I likhet med våra egna mänskliga fingeravtryck är det omöjligt att ett annat dokument skulle ha samma digitala signatur.

Vad en digital signatur inte är:

  • en metod för kryptering av dokument: vem som helst kan se ett förseglat dokument med en PDF-läsare
  • en metod för säker förvaring av dokument: säkerhetskopiering och lagring är ditt ansvar

Nyckellös säkerhet

Scrive har valt KSI framför PKI (Public Key Infrastructure), vilken är den vanligaste metoden.

PKI bygger på en modell där en betrodd part utfärdar certifikat och nycklar till andra parter som vill skydda integriteten i sina dokument. De utgivna nycklarna och certifikaten används för att försegla dokument. Dessa nycklar och certifikat kan spåras tillbaka till den betrodda parten och tillförlitlighet tilldelas den parten. Detta är ett välkänt och relativt enkelt sätt att försegla dokument.

En påfallande nackdel med PKI är att förseglingen blir mer känslig för förfalskning över tiden, eftersom möjligheten ökar för att någon matematiskt kan bryta förseglingen. Som jämförelse skulle en tjuv, som försöker komma åt någons bankkonto med hjälp av kontoinnehavarens bankomatkort, ha en ökande chans att lyckas om bankomaten inte begränsade dem till tre försök för att gissa den fyrsiffriga PIN-koden.

KSI är inte baserat på certifikat och nycklar, och därmed nyckellöst (keyless), och förlitar sig inte på tredje part. Och till skillnad från PKI blir KSI-förseglingarna starkare över tiden eftersom KSI bygger på blockkedjeteknik. Med KSI genereras ett unikt fingeravtryck för varje dokument och som sedan publiceras på ett sätt som gör att man med absolut säkerhet kan verifiera att ens dokument:

  • inte har manipulerats på något sätt
  • skapades på den dag och vid den exakta tidpunkts som anges på dokumentet