Standarden er den første af sin slags i Europa og er målrettet de Kvalificerede Trust Service Providers, der leverer og opbevarer europæernes elektroniske signaturer. Danske Cryptomathic har deltaget i udviklingen af standarden og har dermed sikret sig indflydelse på kravene.
En kvalificeret digital signatur er nøjagtig ligeså valid som en håndskreven signatur. Det slog den europæiske kommission i 2014 fast med eIDAS-forordningen om elektronisk identifikation og tillidstjenester for elektroniske transaktioner. Med den nye standard kommer der for første gang ensartede krav til serversystemer, der opbevarer og anvender digitale signaturer under brugerens kontrol.
- Hidtil har der ikke været ensartede krav til, hvordan man certificerer de enheder, som bruges af Trust Service Providers, der står for levering og opbevaring af signaturerne. Det betyder, at hvert land i dag frit kan vælge, hvordan kvaliteten vurderes, og markedet har således fulgt nationale bestemmelser. Med introduktionen af standarden bliver der i stedet lavet ensartede krav på tværs af de europæiske grænser. Det gør det lettere for virksomheder, der har aktiviteter på tværs af landegrænser, herunder eksempelvis større banker, fortæller Astrid Bækby Knudsen der er konsulent i informationssikkerhed hos Dansk Standard.Ny lov på vej
Standarden, der er på gaden 13. februar, er udviklet i det europæiske standardiseringsorgan, CEN. Den er indtil videre frivillig at bruge, men med en ny europæisk lov på området i sigte, kan det ifølge Jan Kjærsgaard, Senior Cryptography Manager i virksomheden Cryptomathic, der har været med til at udvikle standarden, være en god idé at skele til standarden allerede nu.
- Snart vil kvalitet være en del af lovgivningen på området. EU-Kommissionen arbejder nemlig på at opdatere en tidligere lov og her er det forventningen, at Kommissionen vil referere til EN 419 241-2 og på den måde gøre standarden obligatorisk, siger Jan Kjærsgaard.
Skal man lave kvalificerede elektroniske signaturer, skal underskriftsnøglen befinde sig i et modul, som er certificeret efter den nye standard og hvor modulet befinder sig og håndteres i et miljø, som er under kontrol af en Kvalificeret Trust Service Provider. På den måde vil det være de nationale tilsynsmyndigheder, som garanterer for sikkerheden af det samlede system.
En skabelon for kvalitet
Standarden består af en såkaldt Protection Profile, som er en slags skabelon, der definerer, hvordan man certificerer efter Common Criteria, fortæller Jan Kjærsgaard:
Standarden er en slags skabelon for kvalitet. Med den i hånden skal man ikke bekymre sig om, hvordan man lever op til kravene. Man følger ganske enkelt, hvad der står i standarden.
For at betegne en elektronisk signatur som værende kvalificeret, stiller standarden krav til det system, der aktiverer signaturnøglen, blandt andet til identificering af personen bag, det der underskrives og selve nøglen, der bliver brugt. Et system som ligner det vi har med NemID.
Kravet til et kvalificeret modul er også en del af den kommende afløser for NemID, NemLog-in3.
Spørger man Jan Kjærsgaard, er vi langt fremme i EU, hvilket både lovgivningen og standarden bidrager til. Faktisk så langt, at andre lande ser med.
- Internationalt kigger man på EU, fordi vi har lovgivning på området. Amerika, Asien, Norge og Schweiz følger området og mit gæt er, at standardens takter vil brede sig over EU’s grænser. Har man globale aktiviteter, er det en god idé at se nærmere på standarden, afslutter Jan Kjærsgaard.
Om den nye standard
Den nye standard hedder EN 419241-2 Trustworthy Systems Supporting Server Signing Part 2: Protection Profile for QSCD for Server Signing og er blevet til i en europæisk ekspertgruppe, som Cryptomathic har fået adgang til gennem Dansk Standards udvalg for informationssikkerhed.
Udvalget arbejder med udvikling af standarder for informationssikkerhed og relaterede teknologier så som cloud, biometri, signaturer og identifikation. Alle med interesse og viden om området kan deltage i arbejdet og dermed være med til at sætte præg på fremtidens standarder.
Læs mere her:
https://www.ds.dk/da/udvalg/kategorier/it/informationssikkerhed