Elektronisk signering är nu så utbrett att vi e-signerar alla möjliga avtal utan att fundera på det. När du får ett e-signerat PDF-dokument från någon annan, hur kan du kontrollera att signaturen är äkta?
Processen för e-signering är mycket tydlig när du tecknar avtal och dessutom använder BankID för att identifiera dig. Själva signeringen är byggt så man inte kan fuska och du får en kopia av filen skickat till din epost.
När du behöver använda det signerade dokumentet som ett intyg eller en fullmakt, så ska en 3e part kunna verifiera att avtalet är giltigt. Den 3e parten kan vara en leverantör, en bank, en skiljeman eller någon annan som förlitar sig på det signerade dokumentet du visar fram.
En 3-e part behöver säkerställa framförallt två saker i avtalet:
1. Undertecknarens identitet - att signaturen tillhör kunden
2. Dokumentets integritet - att dokumentet inte har blivit ändrat efter signeringen
En digital signatur bekräftar båda delar, så länge den är giltig! Med det sagt, en BankID logga som ibland visas med en “id-nummer” på dokumentet räcker inte för att styrka att dokumentet har en digital signatur, för vem som helst kan sätta en logga på en PDF filen.
En digital signatur bygger på att hela dokumentets innehåll (som också inkluderar signeringen och tidpunkt) krypteras till en unik _hash-_kod. En vanlig kryptering är 256-bit hash som ger en kod på 64 symboler, oavsett dokumentets storlek.
Så fort något i dokumentet ändras så ändras hela _hash-_koden vilket upptäcks vid valideringen av e-signaturen.
Den Svenska BankID kan inte kontrolleras direkt eftersom den inte utfärdar någon krypterat nyckel för dokumentet som skrivs på. Dokumentets integritet kan inte verifieras och det som står där (inklusive namnet på den som skrivit under) kan ha ändrats i efterhand.
För att lösa det, ska man vända sig till tjänsten som erbjuder e-signaturen, och som i sin tur nyttjar BankID för att bekräfta identiteten.
Det enklaste är att öppna dokumentet i Acrobat Reader och se hur det ser ut där:
Tyvärr syns det inte för de vanligaste e-signering tjänster i Sverige, men de har egna sätt att validera en digital signatur på:
B - Get Accept har relativt nyligen bytt till samma standard på certifikat som Acrobat Reader kan avläsa (AATL - dessa är tillgängliga endast som en enterprise-feature). Har man ett dokument med GetAccept så ska man vända sig till deras tjänst: https://app.getaccept.com/verifydoc
C - Scrive använder blockchain teknik för att försegla dokumentet, vilket betyder att Acrobat inte kan se den heller. Återigen får man vända sig till deras egna tjänst: https://scrive.com/verify