Säker enhet för att skapa signaturer
En enhet för att skapa en säker signatur ( SSCD ) är en specifik typ av maskinvara eller programvara som används för att skapa en elektronisk signatur . För att tas i bruk som en säker signaturskapande enhet måste enheten uppfylla de rigorösa kraven som anges i bilaga II till förordning (EU) nr 910/2014 (eIDAS) , där den hänvisas till som en kvalificerad (elektronisk) signaturskapande enhet (QSCD). Att använda säkra enheter för att skapa signaturer hjälper till att underlätta affärsprocesser online som sparar tid och pengar med transaktioner som görs inom den offentliga och privata sektorn .
Beskrivning
Minimikraven som måste uppfyllas för att höja en enhet för att skapa elektroniska signaturer till nivån för en säker signaturskapande enhet finns i bilaga II till eIDAS. Med hjälp av lämpliga procedurmässiga och tekniska medel måste enheten rimligen garantera konfidentialitet för de data som används för att skapa en elektronisk signatur. Den måste vidare säkerställa att de uppgifter som används för att skapa en elektronisk signatur är unika och endast används en gång. Slutligen ska det endast tillåta en kvalificerad leverantör av betrodda tjänster eller certifikatutfärdare att skapa eller hantera en undertecknares elektroniska signaturdata .
För att säkerställa säkerheten måste signaturskapande data som används av SSCD för att skapa en elektronisk signatur ge rimligt skydd genom nuvarande teknik för att förhindra förfalskning eller duplicering av signaturen. Skapandets data måste förbli under sin undertecknares ensam kontroll för att förhindra obehörig användning. Själva SSCD är förbjudet att ändra signaturens medföljande data.
När en leverantör av betrodda tjänster eller certifikatutfärdare tar en SSCD i bruk måste de förbereda enheten på ett säkert sätt enligt bilaga II till eIDAS i full överensstämmelse med följande tre villkor:
- När SSCD används eller lagras måste den förbli säker.
- Vidare måste en reaktivering och deaktivering av SSCD ske under säkra förhållanden.
- Alla användaraktiveringsdata, inklusive PIN-koder, levereras separat från SSCD:n efter att ha förberetts på ett säkert sätt.
Internationella säkerhetskrav för SSCD:er
Den säkra signaturskapande enheten måste också uppfylla den internationella standarden för datorsäkerhetscertifiering, kallad Common Criteria for Information Technology Security Evaluation ( ISO/IEC 15408). Denna standard ger datorsystemanvändare möjlighet att specificera säkerhetskrav via skyddsprofiler (PP) för säkerhetsfunktionskrav (SFR) och säkerhetsförsäkringskrav (SAR). Förtroendetjänsteleverantören eller certifikatutfärdaren är skyldig att implementera de specificerade kraven och intyga produktens säkerhetsattribut. Ett testlaboratorium från tredje part utvärderar sedan enheten för att säkerställa att säkerhetsnivån är som leverantören hävdar.
Central autentiseringstjänst
När en säker signaturskapande enhet används som en del av en central autentiseringstjänst (CAS), kan den fungera som en CAS-server i flera nivåer av autentiseringsscenarier. Programvaruprotokollet CAS tillåter användare att autentiseras när de loggar in i en webbapplikation.
Det gemensamma schemat för ett CAS-protokoll inkluderar klientens webbläsare, en applikation som begär autentisering och CAS-servern. När autentisering behövs skickar applikationen en begäran till CAS-servern. Servern jämför sedan användarens autentiseringsuppgifter mot sin databas. Om informationen stämmer överens kommer CAS att svara att användaren har autentiserats.
Juridiska konsekvenser angående säkra signaturskapande enheter
eIDAS har tillhandahållit en stegvis metod för att fastställa de juridiska konsekvenserna av elektroniska signaturer. En signatur som har skapats med en säker signaturskapande enhet anses ha det starkaste bevisvärdet . Ett dokument eller meddelande som har undertecknats med en sådan enhet är inte ansedd , vilket innebär att undertecknaren inte kan förneka att de är ansvarig för skapandet av signaturen.
Förordning (EU) nr 910/2014 (eIDAS) utvecklades från direktiv 1999/93/EG, direktivet om elektroniska signaturer . Syftet med direktivet var att göra EU:s medlemsstater ansvariga för att skapa lagstiftning som skulle möjliggöra skapandet av Europeiska unionens elektroniska signeringssystem. eIDAS -förordningen krävde att alla medlemsstater skulle följa dess specifikationer för elektroniska signaturer senast den 1 juli 2016.