Publikationen udleveres gratis Så længe lager haves, ved henvendelse til: Signatur- og systembevis Høringsnotat. Udgivet af: IT- & Telestyrelsen

Transkript

1 Høringsnotat

2 Signatur- og systembevis Høringsnotat Udgivet af: IT- & Telestyrelsen IT- & Telestyrelsen Holsteinsgade København Ø Telefon: Fax: Publikationen udleveres gratis Så længe lager haves, ved henvendelse til: IT- og Telestyrelsen. danmark.dk Telefon: Publikationen kan også hentes på It- & Telestyrelsens Hjemmeside: ISBN (internet): Tryk: Oplag: ISBN:

3 Signatur- og systembevis Høringsnotat IT- & Telestyrelsen marts 2008

4 Indhold > Introduktion 5 er til høringssvar 6 KMD Fejl! Bogmærke er ikke defineret. IBM Fejl! Bogmærke er ikke defineret. IntegrationsministerietFejl! Bogmærke er ikke defineret. Københavns kommunefejl! Bogmærke er ikke defineret. Region Syddanmark Fejl! Bogmærke er ikke defineret. ØKONOMI- OG ERHVERVSMINISTERIETFejl! Bogmærke er ikke defineret. Økonomistyrelsen Fejl! Bogmærke er ikke defineret.

5 Introduktion > Høringsperioden for Signatur- og systembevis blev afsluttet den 25/ Den 4/ var der indkommet 17 høringssvar fordelt således: 16 Offentlige Myndigheder: Integrationsministeriet, Ministeriet for Sundhed og Forebyggelse, Beskæftigelsesministeriet, Undervisningsministeriet, SKAT, Rigsarkivet, Økonomi- og Erhvervsministeriet (2 svar), Forsvarsministeriet, Digital Sundhed, Region Midtjylland, Miljøministeriet, Banedanmark, Datatilsynet, Direktoratet for FødevareErhverv og Domstolsstyrelsen 1 Leverandører til det offentlige: KMD. Signatur- og systembevis arbejdsgruppen har nu færdigbehandlet de indkomne svar til høringen, og giver med dette notat en reaktion på de fremsatte kommentarer og forslag vedr. Signatur- og systembevis vejledningen, der har været sendt i høring fra d 17/ til den 25/ Dette notat publiceres på hvor Signatur- og systembevis vejledningen ligeledes vil være at finde. Signatur- og systembevis arbejdsgruppen takker for den interesse, der har været for gruppens arbejde, og håber, at alle bidragydere fortsat vil være interesseret i at afgive høringssvar i forbindelse med andre høringer. Følgende myndigheder har meddelt, at de ikke har nogen kommentarer til Signaturog systembevis vejledningen: Integrationsministeriet, Ministeriet for Sundhed og Forebyggelse, Beskæftigelsesministeriet, SKAT, Økonomi- og Erhvervsministeriet (Koncern IT), Miljøministeriet, Domstolsstyrelsen. De resterende bidragsyderes høringssvar kommenteres i næste kapitel. 5

6 er til høringssvar > Nedenfor gennemgås høringssvarene punkt for punkt sammen med. Høringssvarene er redaktionelt opdelt i enkeltpunkter, dersom den indsendte tekst ikke måtte være det. Endvidere er nedenfor kun medtaget svar, der går på vejledningens indhold, og således ikke generelle støttetilkendegivelser eller mere almene betragtninger. Som konsekvens af høringssvarene er der planlagt en opdatering af vejledningen i en revideret udgave. Undervisningsministeriet Undervisningsministeriet savner i omtalen af systembevis den hybridmodel, der allerede i dag eksisterer mellem 'Model 2: Systembevis' og 'Model 4: Systembevis genereret af tredjepart' fsva. signerede mails. Modellen består i at signaturmodtager har udliciteret signaturvalidering, generering af systembevis, logning mv. til en tredjepart (f.eks. TDC). Tredjepart påstempler eller vedhæfter systembeviset på mailen, der derefter oversendes signaturmodtagers it-system (mail/esdh) i en sikret linje." Det er den måde vi arbejder på i dag og som gerne skulle "blåstemples". UVM ved faktisk ikke om domstolene vil godtage modellen - men det ved ITST heller ikke i og med der er fri bevisførelse i Danmark. Hensigten med vejledningen har været at beskrive en række generelle teknikker og problemstillinger ved håndtering af systembeviser og ikke gå ind i specifikke systemer som f.eks. s og ESDH systemer, herunder opsætning, drift og omkringliggende procedurer. Man vil aldrig undgå systemspecifikke overvejelser, når det skal besluttes, hvorledes man lokalt vil håndtere systembeviser, men da er det håbet, at vejledningen kan bruges som et katalog af løsningsforslag med tilhørende fordele og ulemper, som kan støtte dette arbejde. Som vejledningen nævner, vil det altid være op til en konkret vurdering i den enkelte sag, i hvor høj grad en signatur tillægges bevisværdi under en evt. retssag. Hensigten med de beskrevne teknikker til sikring af bevisværdi har været at vise, hvordan man ud fra en alt-andet-lige betragtning kan opnå en høj bevisværdi. 6

7 Rigsarkivet / Statens Arkiver I afsnittet Centrale begreber og terminologi er begrebet dokument defineret, og det er meget bredt som en samling af data, og uanset modtagelsesform. Eksempelvis vil nogle anse, at de blot har signeret, at dokumentet er afsendt af dem, men ikke at de dermed har underskrevet samtlige data, der kan omfatte egne erklæringer, andres erklæringer, bilag med mere. Oftest anvendes digital signatur som en del af forsendelsesformen, og adskillelse af forsendelse og de enkelte data er derfor svær. Endvidere kan den pågældende samling af data ofte bestå af, hvad man i en anden sammenhæng vil forstå som flere dokumenter, og terminologien dokument er dermed noget uheldig. Terminologien er anvendt for at opnå en simpel analogi til en papirbaseret signatur, og vi medgiver, at denne analogi ikke til fulde dækker kompleksiteten i den digitale verden. Dette er dog ikke væsentligt for vejledningens pointer. Vejledningen opdateres vedr. definitionen af begrebet dokument, så dette forhold bliver klarere. I afsnittet Modeller til sikring af bevisværdi beskrives model 2 Systembevis, der for en længere årrække stadig må anses at være den bedste model. Det er en central pointe i vejledningen, at den bedste model afhænger af de konkrete forhold. Der kan således være forhold hos Statens Arkiver, der medfører at systembeviser her er den meste velegnede metode, mens det for andre organisationer kan være andre metoder, der er mest hensigtsmæssige. Angående indholdet af et signaturbevis er det på side 15 vedr. FESD godt, at forhold vedr. identifikation af certifikatindehaver og af certifikat er blevet præciseret, men det er ikke godt, at det ikke er angivet, hvad der er obligatorisk indhold, herunder hvorledes certifikatindehaver identificeres (fx brug af pseudonym). Vejledningen anfører på side 14, at det er Subject Serialnumber der entydigt identificerer certifikatindehaveren for OCES certifikater, og at man derfor bør logge dette. Hensigten med vejledningen er desuden at opstille gode råd og ikke obligatoriske krav. Vejledningen angiver således, at man bør medtage mere information end edag2 og FESD angiver, hvilket er udmærket, men man bør huske dette i revision af vejledning 7

8 i edag2 og nye udgaver af FESD (FESD2). Det er ikke omtalt, at man agter at gøre dette. Det er tanken, at kommende projekter skal basere sig på denne vejledning i overvejelserne vedr. signatur- og systembevis. Der er ikke kendskab til konkrete planer om at opdatere FESD og edag2 vejledningerne. Økonomi- og Erhvervsministeriet Økonomi- og Erhvervsministeriet har modtaget ovenstående høring fra IT- og Telestyrelsen. Økonomi- og Erhvervsministeriet har sendt vejledningen i høring hos Erhvervs- og Selskabsstyrelsen. Erhvervs- og Selskabsstyrelsens Center for Kvalitet i ErhvervsRegulering (CKR) har følgende bemærkninger til den fremsendte høring: Vejledningen beskriver hvordan man som modtager af et signeret dokument kan sikre sig bevisværdien af den digitale signatur. Vejledningen henvender sig IT-kyndige i både til den offentlige og private sektor. Administrative konsekvenser CKR vurdere, at vejledningen kan medvirke til at udbrede anvendelsen af digital signatur i det private erhvervsliv, hvilket på sigt vil indebære en lettelse af virksomhedernes administrative omkostninger. Vejledningen vil ikke direkte have administrative konsekvenser for danske virksomheder. Styrelsen har ingen yderligere bemærkninger. Forsvarsministeriet Forsvarskommandoen skal anbefale, at overskriften for Appendix B ændres til "Verifikation af en OCES signatur", og at det samtidig overvejes at supplere vejledningen med et Appendix, der behandler verifikation i forhold til digital signatur generelt. I en internationaliseret "IKT-infrastruktur" (f.eks. mellem EU- eller NATOlandene) er det vigtigt, at verifikationsmetoderne kan rumme andre digitale signaturer end den, der er baseret på OCES. Overskriften på Appendiks B bliver ændret i den opdaterede udgave, da dette alene går på specialtilfældet OCES. 8

9 Da vejledningen er møntet på anvendelse af den danske OCES signatur, mener vi det er uden for rammerne at beskrive generel signaturvalidering. I stedet vil den opdaterede vejledning henvise til eksterne dokumenter, der behandler dette. Digital Sundhed Dokumentet behandler kun modtagers muligheder for at bevise, at der er modtaget et dokument fra afsender. Man burde måske nævne sikring af bevis for at noget er udført eller afsendt af en bestemt signerende person eller myndighed. I tilfælde af at en handling skal være udført eller en meddelelse afgivet inden en frist, kan dette være af stor betydning. Dette kan i nogle tilfælde gøres med signerede kvitteringer, men der er mange situationer, hvor dette ikke er muligt eller tilstrækkeligt. F.eks. hvis modtager ikke kan svare inden for kort tid. Vi er enige i, at de nævnte situationer også kan være relevante at afdække. Afgræsningen er således gjort af hensyn til omfanget af arbejdesopgaven med vejledningen, hvilket har medført en prioritering af de emner, der har kunnet behandles. Såfremt Digital Sundhed kender til best practice på dette område, vi vil gerne høre herom, således at dette kan indarbejdes i fremtidige udgaver af vejledningen. Model 1 første afsnit linie 2: "evt." bør muligvis slettes. Det tilhørende certifikat, eller alternativt en entydig reference til certifikatet, der gør det muligt at rekvirere certifikatet fra et passende arkiv, bør vel altid gemmes sammen med signaturen, så signaturen kan reproduceres/reverificeres. Ja! Vejledningen opdateres, så evt. slettes fra den omtalte sætning. Model 1, Ulemper, bullet 1. Det bør måske uddybes at holdbarheden retter sig mod signaturafgiverens mulighed for at påstå, at signaturmodtager har produceret en ny signatur med en beregnet privat nøgle (brud på uafviselighed). Ja, det er årsagen til, at holdbarheden er begrænset. Uddybningen vil blive medtaget i den opdaterede vejledning. Model 1, Ulemper, bullet 3, underbullet 2. At inkludere tidsangivelse i det dokument der signeres er en så væsentlig styrkelse at bevisværdien, at det bør trækkes frem. Det fungerer næsten på niveau med en tidsstemplingsservice, da afsenderen jo skriver under på tidsstemplets korrekthed. Det vil i øvrigt også kunne imødegå 9

10 sammensværgelses scenariet, der er nævnt overfor. Metoden nævnes også under "Fremtidige modeller",model 5, afsnit 2, som værende effektiv i en række situationer. Vi er enige i, at det er en vigtig metode, men vurderer, at den er angivet tydeligt nok i vejledningen. Model 1, Punkt 1 i listen der starter med "Tidspunkt for verifikation...". Det bør pointeres at tidspunktet skal være i UTC eller alternativt med eksplicit tidszoneangivelse. Dette er en god præcisering, som vi vil medtage i den opdaterede vejledning. Model 2, afsnittet "Indholdet af et signaturbevis". Afsnittet giver tre eksempler på, hvad andre projekter eller vejledninger peger på, at et signaturbevis skal indeholde. Hvis materialet skal være en teknisk vejledning, bør det pege mere præcist på, hvilke elementer der bør indgå, såfremt de er tilgængelige i det pågældende system. Hvordan forholder vejledningen sig præcist til det på edag2 anbefalede? Det anbefales at logge alle de nævnte data (fra tidligere vejledninger) samt de ekstra data, der er præciseret i den nye vejledning. Afsnittet Fremtidige modeller. Disse modeller er teoretisk interessante, men bør ikke være i den endelige vejledning, med mindre der er konkrete vejledninger for disse fremtidige modeller. Undtagelsen er den ovenfor nævnte beskrivelse i Model 5, afsnit 2 om brug af tidsstempler i det dokument, der underskrives. Punktet er vigtigt og har intet med fremtid at gøre. Modellerne vurderes ikke mere fremtidige, end at de kunne komme i spil på relativ kort sigt. Derfor har vi følt, at det var vigtigt, at medtage dem nu samt beskrive deres egenskaber, så de kan medtages i strategiske overvejelser. Hvad angår tidsstempling via tredjeparter er det opfattelsen, at der endnu ikke findes tidsstemplingsservices i Danmark, der opererer med en kryptografisk tidsstempling, som beskrevet i vejledningen. Kapitlet Sikring af logfilers integritet, Tilgængelighed, afsnit 2. Dette bør afvejes mod privacy-hensyn. 10

11 Dette er korrekt. Hvis loggen rummer personhenførbare eller følsomme data, bør der foretages en nøje afvejning. Dette tydeliggøres i den opdaterede vejledning. Region Midtjylland For at gøre materialet lettere tilgængeligt vil det være en fordel for læseren at have mulighed for at sætte sig ind i hvordan signering af dokumenter fungerer i praksis. Dette kunne fx. gøres via en passende reference (TDC har for nogle år siden lavet en pædagogisk fremstilling af dette). Der vil i den reviderede udgave blive henvist til introducerende dokumenter. Der bliver i vejledningen refereret til elementer som et OCES certifikat indeholder, fx. subject serial number. Det vil være en fordel med præcis reference til hvad OCES certifikatet indholder af dokumentation. Der henvises i vejledningen til OCES certifikatpolitikkerne, så dette er faktisk dækket. Afsnittet Model 1: Kryptografisk Signaturbevis: Der er behov for at uddybe modellen lidt mere evt. ved at vise et eksempel. Hvis man fx. i OpenOffice signerer et dokument digitalt, vil modtageren ved åbning af dette dokument kunne undersøge signeringen indefra OpenOffice, og signeringen vil falde bort hvis dokumentet ændres. Men hvad skal undersøges for at sikre bevis? og hvad skal gemmes? Det er udenfor rammerne af vejledningen at gå i dybden med specifikke produkter som f.eks. OpenOffice. Dette er klart relevant, men der har ikke været afsat ressourcer til dette område i første omgang. Endvidere skal det bemærkes, at vejledningen primært omhandler, hvordan IT systemer bør indrettes og ikke hvad personer evt. kan gøre. Region Midtjylland foreslår, at der i en sætning i samme afsnit ændres til følgende ordlyd: Dette skyldes, at bevisværdien ikke afhænger af signaturmodtagers evne til at godtgøre, at kun autoriseret adgang til bevisdata er mulig. 11

12 Vi er enige i, at denne omskrivning giver en lettere forståelig sætning, og vil medtage den i den opdaterede udgave af vejledningen. Banedanmark Det er positivt at vejledningen anbefaler at der skal laves en risikoanalyse. Vores forslag vil her være at indarbejde spørgsmål, som bør indgå i denne risikovurdering, som et bilag. Begrundelsen er at det ofte er de samme spørgsmål der skal tages stilling til, og det vil formentlig være et sammendrag af alle de mange (og gode) overvejelser som indgår i de forskellige afsnit. Det vil gøre vejledningen mere operationel og overskuelig. Det er en god pointé, som vi vil overveje i fremtidige udgaver af vejledningen. Der har i det nuværende arbejde ikke været afsat ressourcer til at identificere relevante spørgsmål til en risikoanalyse. For at gøre det nemmere for læseren, vil vi også anbefale at der laves en matrix over fordele/ulemper for de enkelte modeller. Igen en god pointe vi vil overveje i fremtidige udgaver af vejledningen. Vejledningen er fint afgrænset og tager således kun højde for de tekniske elementer. Men når man læser vejledningen får man den klare opfattelse at implementering ikke kun vil involvere en it-afdeling, men i høj grad også virksomhedens dokumenthåndtering, personalejurister, kontraktafdeling og sikkerhedsafdeling. Denne kunne måske indgå som et element i indledningen. Vi vil overveje at udbygge målgruppeafsnittet på side 4 i dokumentet. Datatilsynet Ved e-post af 17. december 2007 har IT- og Telestyrelsen sendt et udkast til ovennævnte vejledning i høring. Idet Datatilsynet forudsætter, at reglerne i persondataloven iagttages, har tilsynet ingen bemærkninger til vejledningen som sådan. 12

13 Datatilsynet skal gøre opmærksom på, at private virksomheder mv. ifølge persondatalovens 11, stk. 2, kun må behandle oplysninger om personnummer, når: 1) det følger af lov eller bestemmelser fastsat i henhold til lov, 2) den registrerede har givet sit udtrykkelige samtykke hertil eller 3) behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om videregivelse af oplysninger om personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder mv. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed. Datatilsynet skal i øvrigt for god ordens skyld bemærke, at der kan forekomme situationer, f.eks. i tilfælde af indsigtsbegæringer, hvor signaturmodtagerens indhentelse af personnummer hos et certificeringscenter ikke i sig selv frembyder den fornødne sikkerhed mod misbrug. Hvis personoplysninger, som der f.eks. anmodes om indsigt i, ikke er knyttet til et personnummer hos signaturmodtageren, kan det være nødvendigt supplerende at indhente oplysninger om signaturafgiverens postadresse i CPR-registret, for at sikre sig mod at personoplysninger udleveres til uvedkommende. Vi har ingen bemærkninger hertil. KMD IT&T høringsmaterialet er som teknisk vejledning betragtet - kortfattet og klar. KMD har ingen konkrete rettelser eller ændringsforslag hertil. Eftersom der er tale om en teknisk vejledning, der belyser sagen samt egenskaber ved forskellige metoder, forudsætter en systematisk og koordineret ibrugtagning i branchen, at vejledningen suppleres med konkrete pålæg (med angivelse af tidsplan for, hvornår det skal være overholdt) og anvisninger til hvilke metoder, som skal anvendes i specifikke sagssammenhænge. 13

14 Det er styrelsens holdning, at det er systemejernes eget ansvar at foretage en lokal risikovurdering og implementere nødvendige sikkerhedstiltag, herunder sikring af signaturers bevisværdi, som en del af det daglige arbejde med IT sikkerhed. Det forekommer således ikke hensigtsmæssigt at opstille konkrete påbud om konkrete metoder og mekanismer fra centralt hold, da de lokale forhold og risikovurderinger vil variere betragteligt. 14

15

16 < Overskrift Bagside kursiv tekst Bagside brødtekst