Signering

NemLog-ins nye signeringsløsning

NemLog-in udvikler en ny signeringsløsning, som erstatter den løsning, der er i NemLog-in i dag. Det betyder bl.a., at signering fremadrettet vil være baseret på underskrift med MitID eller brugerprofiler fra MitID Erhverv.

Som tjenesteudbyder skal I især være opmærksomme på:

• Nye signeringsformater
• Nye metoder for validering af signaturer
• Ændringer i opbevaring af signaturbeviser
• Ny integration

Nedenfor kan du læse mere om elementerne den nye signeringsløsning, hvad ændringerne betyder for jer som tjenesteudbyder og hvad I skal gøre for at komme i gang med løsningen.

Der er beta-dokumentation tilgængelig for den nye signeringsløsning. Find det via linket nedenfor. 

Gå til side for dokumentation

Klar senere end NemLog-in broker

NemLog-ins nye signeringsløsning er ikke med, når den offentlige MitID-broker, NemLog-in broker sættes i drift den 22. september 2021. Den nye signeringsløsning vil være klar den 6. december 2021. Indtil den nye løsning er klar, kan NemID med den nuværende signeringsløsning anvendes.

Tjenesteudbydere, der tilbyder signering, bør fortsat forberede sig på at understøtte både den nuværende og kommende signeringsløsning i en længere overgangsperiode.

• Nye signeringsformater

  Den nuværende signeringsløsning fra NemLog-in bruger såkaldt XMLdSig-format (OpenSign), ved underskrift af elektroniske dokumenter. Det bliver erstattet af nye formater: XAdES- og PAdES (XML Advanced Electronic Signatures og PDF Advanced Electronic Signatures).

  Skiftet af formater har betydning for jer, hvis I i dag tilbyder signering, særligt hvis I har systemer, der laver dyb teknisk integration med signaturen og læser specifikke elementer ud af det signerede dokument, som fx certifikatet.

  I skal beslutte hvilket input- og output-format I vil bruge. Der understøttes de samme input-formater i NemLog-in signering, som I NemID signering. Dvs. tekst, HTML, PDF eller XML. Output-formaterne ændrer sig derimod. I skal derfor beslutte, om I vil bruge XAdES eller PAdES. I kan vælge output-format uafhængigt af input-format. Hvis I anvender PAdES kan I med eksempelvis Adobe Acrobat Reader se, at dokumentet er signeret og af hvem.

  Hvis I i dag bruger NemLog-ins signeringsløsning via en it-leverandør, bør I forhøre jer hos leverandøren, om skift af signaturformat får betydning for jer som tjenesteudbyder. Hvis jeres leverandør fx har tilføjet et abstraktionslag mellem jeres tjeneste og selve den elektroniske signatur, kan det betyde, at I ikke selv skal foretage ændringer.

  Elektroniske signaturer, der er lavet i det nuværende format bliver ikke ugyldige. De opnår blot ikke de fordele, der er knyttet til de nye formater.

• Ny valideringsløsning

  Hvis I som tjenesteudbyder validerer elektroniske signaturer lavet med NemID i dag, skal I udvikle understøttelse af validering af signaturer med MitID og brugerprofiler fra MitID Erhverv. 

  I den nuværende NemLog-in signeringsløsning er validering indbygget. Med de nye PAdES- eller XAdES-dokumenter bliver det muligt at foretage validering på flere måder.

  I kan enten bruge NemLog-ins nye valideringstjeneste eller etablere jeres egen valideringsløsning ved at anvende EU’s DSS-bibliotek, som er open source. Begge muligheder er gratis.

  NemLog-ins nye valideringstjeneste vil bestå af en almindelig webgrænseflade og et API inspireret af OASIS DSS Validation-protokollen (både REST og SOAP).

  Med den nye valideringstjeneste sendes det signerede dokument til NemLog-in. Her skal man være opmærksom på beskyttelse af persondata. Valideringstjenesten foretager en validering af det signerede dokument og sletter det derefter.

• Ny opbevaring af signaturbeviser

  I dag bliver signaturbeviset gemt centralt i NemLog-in. Fremover vil signaturbeviset automatisk være en integreret del af det signerede dokument.

  Hvis I som tjenesteudbyder ønsker at opbevare en lokal kopi af signaturbeviset, skal I blot gemme en kopi af det signerede dokument.

• Ny integration

  Hvis i bruger NemLog-ins signeringsløsning I dag, integrerer jeres tjeneste til løsningen via webservices i NemLog-in. Med det nye NemLog-in vil integrationen foregå med SignSDK, der bliver tilgængeligt i Java og C#.

  I skal desuden integrere signeringsklienten direkte på jeres hjemmeside, i stedet for at anvende klienten i NemLog-ins signeringsløsning.  

  Den nye signeringsklient holder det dokument, som skal signeres, i brugerens browser uden at sende til den nye back-end.

• Ny model for identifikation af underskriver

  I dag fremgår det direkte i det signerede dokument, hvilken bruger der har skrevet under, idet brugeren umiddelbart kan identificeres med PID/CVR+RID i certifikatet.

  Den nye signeringsløsning understøtter en lignende model, hvor tilsvarende faste, unikke identifikatorer fremgår af signeringscertifikatet (CPR-UUID for private signaturer og et fast erhvervsbruger-UUID for erhvervsidentiteter).

  Derudover understøttes en mere privatlivsvenlig model, hvor der bliver dannet et nyt id hver gang bruger skriver under. Dermed kan det ikke umiddelbart udledes af to underskrevne dokumenter om det er samme bruger, der har skrevet under. I disse situationer vil det være nødvendigt at anvende de nye UUID-match tjenester, som er en del af opslagstjenesterne, for at identificere underskriver.

---

 

Serienummer i legacy-signeringstjeneste

Som følge af udfasning af OCES-attributterne, sker der også en mindre konsekvensændring i signeringstjenesten (legacy). Hidtil har en tjenesteudbyder kunne angive et certifikatserienummer som parameter til at verificere, at det er samme bruger som signerer, som loggede ind. Parameteren bortfalder som følge af attributudfasningen.

Hvis en tjenesteudbyder fortsat ønsker at tjekke underskriverens identitet kan de sammenligne PID / RID+CVR attributter i SAML Assertion fra log-in med indhold i brugercertifikatet, som returneres i svaret fra legacy-signering.