dumell.net/tidningsartiklar

Digitala ID-kort och underskrifter

Publicerad i Åbo Underrättelser 12.07.1997

I USA har vissa delstater redan ändrat sin lagstiftning så att digitala signaturer, till exempel i e-post meddelanden, är juridiskt jämställda med traditionella signaturer. Du kan alltså skriva under ett kontrakt eller testamente per e-post. Samma teknologi kan också användas för digitala id-kort så att du kan identifiera dig när du rör dig på nätet.

Ett hinder för handel på Internet har varit att kunder och försäljare inte kunna bevisa sin identitet för varandra. För att handeln på Internet och även i övrigt seriös användning av Internet företag emellan skall kunna fortsätta utvecklas krävs digitala identitetsbevis. De första identitetsbevisen har redan tagits i bruk och det finns ingen orsak att begränsa deras användning till Internet.

Allt är bara siffror

När du tar ibruk ett identifikationssystem skapar din webbläsare två långa sifferserier, ett s.k. nyckelpar. Den ena sifferserien kallas den "hemliga nyckeln" och den andra den "offentliga nyckeln". Dessa två "nycklar" står i ett avancerat matematiskt förhållande till varandra och utgör ett digitalt identitetsbevis som du kan använda för att signera texter eller identifiera dig när du rör dig på nätet. Den hemliga nyckeln lagras i din dator men den offentliga kan spridas ut över Internet. Om jag skrivit ett e-post meddelande som jag vill signera utför identifikationssystemet avancerade matematiska operationer utgående från den hemliga nyckeln och texten och resultatet blir en tredje sifferserie, min signatur, som läggs till i slutet av meddelandet. Om jag sänder denna text åt dig kan du kontrollera att det verkligen är min signatur med hjälp av den offentliga nyckeln som också sänts åt dig eller som hämtats från någon allmän nyckelserver på nätet. Identifikationssystemet i din dator utför en motsvarande avancerade matematiska operationer utgående från den offentliga nyckeln du fått, texten i meddelandet och signaturen och kan avgöra om signaturen skapats med hjälp av den hemliga nyckeln. Om texten signerats med någon annan nyckel än den du har paret till eller om en enda bokstav ändrats i texten efter att den signerats kommer underskriften inte att godkännas.

Men om programmet accepterar signaturen bevisar det bara att texten var signerad med paret till den nyckel du har en kopia av, det bevisar inte att det var mina nycklar. Vem som helst kan ha skapat nycklarna i mitt namn.

Vem litar du på?

Vanliga identitetshandlingar är på något vis knutna till innehavaren, till exempel genom ett fotografi, men så är inte fallet med digitala identitetssystem. För att bevisa att det är mina nycklar måste vi använda en betrodd tredje part. På samma vis som jag kan gå till polisstationen och få en stämpel i ett traditionellt identitetsbevis kunde man tänka sig att jag går till polisstationen med min offentliga nyckel och ber dem stämpla / signera den. Min offentliga nyckel är bara en sifferserie så den kan signeras precis som ett vanligt textmeddelande. En nyckel tillsammans med mitt namn signerat av polisen bevisar att nyckeln verkligen är min. Men hur kan du veta att polisens signatur verkligen är polisen? Vem som helst kan ju ha skapat det nyckelparet i polisens namn… Att signera nycklar med andra nycklar flyttar bara problemet, men det flyttar problemet uppåt i en hierarki tills vi hittar en signatur vi litar på.

Än så länge sköts det här inte av polisen utan av privatföretag som mot betalning signerar din nyckel. Dessa företag försöker naturligtvis bygga upp ett så gott rykte som möjligt men ingen har ännu prövat om det går att lura åt sig en signering under falskt namn. Vissa företag kräver att du personligen träffar en av deras representanter och identifierar dig med traditionella identitetsbevis innan de signerar ditt nyckelpar. Andra företag igen kräver inte mer än att du fyller i ditt namn och e-post adress i en blankett på deras webbsida. Med tiden lär vi få se vilka företag som är seriösa. Många företag konkurrerar om att fungera som betrodd tredje part och bland de mer intressanta finns amerikanska och kanadensiska postverket och IBM. Själv tror jag att åtminstone vi här i Europa kommer att få se statliga inrättningar, typ polisen, som kommer att sköta om detta.

Den förlorade anonymiteten

Nycklarna kan också fungera i din webbläsare som registerskylten på din bil. När du besöker en webbserver kan din läsare sända ut ett signerat slumpmässigt textmeddelande. På det här viset kan du identifiera dig för att få komma in på företagets intranet hemifrån eller för att komma in på en kommersiell webbserver för medlemmar som betalat en prenumerationsavgift.

Digitala identitetsbevis kommer att förändra Internet på gott och ont. Det kommer att dyka upp många nya kommersiella tjänster, en del gamla tjänster kanske kommer att börja kosta men framför allt kommer vi att se ännu mera direktreklam via e-post.

Många kloka människor har arbetat med tekniska frågor för att få digitala identitetsbevis att fungera men få har funderat på vilka sociala konsekvenser det kommer att ha, speciellt hotad är den personliga integriteten.

För någon vecka sedan hade jag möjlighet att delta i en konferens där John Barlow som grundade den amerikanska folkrättsgruppen Elektroniska Frihetsfronten (EFF) talade till Internetingenjörer. "Det är mer än tekniska lösningar ni åstadkommer. Den teknik ni introducerar idag kommer i morgon att utgöra ramarna inom vilka vi skall försöka förverkliga demokratin i informationssamhället och ramarna inom vilka morgondagens samhälle kommer att fungera."

Elektroniskt ID på kort

Genom att lagra den hemliga nyckeln i SmartCards, dvs kreditkortsliknande plastkort med en inbyggd liten processor och minne, så kan vi bära med oss det digitala identitetsbeviset i plånboken. Det pågår projekt för att standardisera kommande datorer så att de alla skulle ha en kortläsare för detta ändamål. På det här viset behöver du inte lagra den hemliga nyckeln på hårdskivan där hemma utan kan identifiera dig även om du använder datorn på jobbet eller på biblioteket.

Signaturer kan dessutom innehålla tilläggsinformation. Om polisen signerar din nyckel kan signaturen exempelvis innehålla information om att du har ett korkort och alla den information som idag står tryckt på körkortet.

Men precis som din plånbok idag är fylld med diverse identitetsbevis av olika slag, ett officiellt statligt, ett för arbetsplatsen, ett för biblioteket, ett för golfklubben och så vidare så kommer vi att ha många olika digitala identitetsbevis. På arbetsplatsen kanske du får ett smartcard som du använder som identitetskort och nyckel där signaturen anger vilka dörrar du kan öppna, vilka datorer du kan använda och hur stora varubeställningar du får göra i företagets namn.

Carl-Magnus Dumell