Signering

NemLog-ins nye signeringsløsning

NemLog-in udvikler en ny signeringsløsning, som erstatter den løsning, der er i NemLog-in i dag. Det betyder bl.a., at signering fremadrettet vil være baseret på underskrift med MitID eller brugerprofiler fra MitID Erhverv.

Som tjenesteudbyder skal I især være opmærksomme på:

• Nye signeringsformater
• Nye metoder for validering af signaturer
• Ændringer i opbevaring af signaturbeviser
• Ny integration

Nedenfor kan du læse mere om elementerne den nye signeringsløsning, hvad ændringerne betyder for jer som tjenesteudbyder og hvad I skal gøre for at komme i gang med løsningen.

Der er beta-dokumentation tilgængelig for den nye signeringsløsning. Find det via linket nedenfor. 

Gå til side for dokumentation

• Nye signeringsformater

  Den nuværende signeringsløsning fra NemLog-in bruger såkaldt XMLdSig-format (OpenSign), ved underskrift af elektroniske dokumenter. Det bliver erstattet af nye formater: XAdES- og PAdES (XML Advanced Electronic Signatures og PDF Advanced Electronic Signatures).

  Skiftet af formater har betydning for jer, hvis I i dag tilbyder signering, særligt hvis I har systemer, der laver dyb teknisk integration med signaturen og læser specifikke elementer ud af det signerede dokument, som fx certifikatet.

  I skal beslutte hvilket input- og output-format I vil bruge. Der understøttes de samme input-formater i NemLog-in signering, som I NemID signering. Dvs. tekst, HTML, PDF eller XML. Output-formaterne ændrer sig derimod. I skal derfor beslutte, om I vil bruge XAdES eller PAdES. I kan vælge output-format uafhængigt af input-format. Hvis I anvender PAdES kan I med eksempelvis Adobe Acrobat Reader se, at dokumentet er signeret og af hvem.

  Hvis I i dag bruger NemLog-ins signeringsløsning via en it-leverandør, bør I forhøre jer hos leverandøren, om skift af signaturformat får betydning for jer som tjenesteudbyder. Hvis jeres leverandør fx har tilføjet et abstraktionslag mellem jeres tjeneste og selve den elektroniske signatur, kan det betyde, at I ikke selv skal foretage ændringer.

  Elektroniske signaturer, der er lavet i det nuværende format bliver ikke ugyldige. De opnår blot ikke de fordele, der er knyttet til de nye formater.

• Ny valideringsløsning

  Hvis I som tjenesteudbyder validerer elektroniske signaturer lavet med NemID i dag, skal I udvikle understøttelse af validering af signaturer med MitID og brugerprofiler fra MitID Erhverv. 

  I den nuværende NemLog-in signeringsløsning er validering indbygget. Med de nye PAdES- eller XAdES-dokumenter bliver det muligt at foretage validering på flere måder.

  I kan enten bruge NemLog-ins nye valideringstjeneste eller etablere jeres egen valideringsløsning ved at anvende EU’s DSS-bibliotek, som er open source. Begge muligheder er gratis.

  NemLog-ins nye valideringstjeneste vil bestå af en almindelig webgrænseflade og et API inspireret af OASIS DSS Validation-protokollen (både REST og SOAP).

  Med den nye valideringstjeneste sendes det signerede dokument til NemLog-in. Her skal man være opmærksom på beskyttelse af persondata. Valideringstjenesten foretager en validering af det signerede dokument og sletter det derefter.

• Ny opbevaring af signaturbeviser

  I dag bliver signaturbeviset gemt centralt i NemLog-in. Fremover vil signaturbeviset automatisk være en integreret del af det signerede dokument.

  Hvis I som tjenesteudbyder ønsker at opbevare en lokal kopi af signaturbeviset, skal I blot gemme en kopi af det signerede dokument.

• Ny integration

  Hvis i bruger NemLog-ins signeringsløsning I dag, integrerer jeres tjeneste til løsningen via webservices i NemLog-in. Med det nye NemLog-in vil integrationen foregå med SignSDK, der bliver tilgængeligt i Java og C#.

  I skal desuden integrere signeringsklienten direkte på jeres hjemmeside, i stedet for at anvende klienten i NemLog-ins signeringsløsning.  

  Den nye signeringsklient holder det dokument, som skal signeres, i brugerens browser uden at sende til den nye back-end.

• Ny model for identifikation af underskriver

  I dag fremgår det direkte i det signerede dokument, hvilken bruger der har skrevet under, idet brugeren umiddelbart kan identificeres med PID/CVR+RID i certifikatet.

  Den nye signeringsløsning understøtter en lignende model, hvor tilsvarende faste, unikke identifikatorer fremgår af signeringscertifikatet (CPR-UUID for private signaturer og et fast erhvervsbruger-UUID for erhvervsidentiteter).

  Derudover understøttes en mere privatlivsvenlig model, hvor der bliver dannet et nyt id hver gang bruger skriver under. Dermed kan det ikke umiddelbart udledes af to underskrevne dokumenter om det er samme bruger, der har skrevet under. I disse situationer vil det være nødvendigt at anvende de nye UUID-match tjenester, som er en del af opslagstjenesterne, for at identificere underskriver.

---

 

Tekniske egenskaber

Den nye signeringsløsning er designet så den efterlever kravene i eIDAS forordningen. Det betyder bl.a., at signaturer i den nye løsning har samme retsvirkning i EU, som en almindelig håndskrevet underskrift.

Desuden er den nye løsning baseret på den nye CEN-standard for Remote Signing (EN 419 241-1 og EN 419 241-2), og producerer signeringsformater, som anerkendes af offentlige myndigheder i alle EU-lande. Løsningen er herudover baseret på kvalificerede engangscertifikater (korttidscertifikater), der vil blive udstedt af NemLog-ins nye Certificate Authority (CA).

Dokumenter, der bliver dannet via de nye formater vil være på Long-Term-Archival form (LTA). LTA sikrer, at certifikatets status og tidspunktet for signaturen gemmes digitalt i de underskrevne dokumenter.

I tabellen nedenfor kan du se et overblik over forskellene i de tekniske egenskaber for henholdsvis signering med NemLog-ins nuværende signeringsløsning eller andre, nuværende signeringsløsninger, og den nye NemLog-in signering.

Egenskab	NemID-signering	NemLog-in signering
Identifikationsmidler	NemID	Alle accepterede identifikationsmidler i NemLog-in (NSIS Betydelig)
Brugeroplevelse	iframe	iframe og godkendelse
Input	Tekst, HTML, PDF eller XML	Tekst, HTML, PDF eller XML
Outputformat	OpenSign (XML-Dsig)	XAdES eller PAdES (vælges uafhængigt af input). Kryptografisk tidsstempel indeholdt.
Signeringscertifikater	POCES2 eller MOCES2	Automatisk udstedte kvalificerede korttidscertifikater til person, medarbejder eller organisation, alene anvendt ved signering.
Validering	Lokalt hos TU (TU-pakken eller tilsvarende)	Valideringswebservice (API) eller lokalt (DSSbiblioteket, EUs referenceimplementering)
Værktøjer	TU-pakken (Java og C#)	SignSDK (Java og C#)

 

Serienummer i legacy-signeringstjeneste

Som følge af udfasning af OCES-attributterne, sker der også en mindre konsekvensændring i signeringstjenesten (legacy). Hidtil har en tjenesteudbyder kunne angive et certifikatserienummer som parameter til at verificere, at det er samme bruger som signerer, som loggede ind. Parameteren bortfalder som følge af attributudfasningen.

Hvis en tjenesteudbyder fortsat ønsker at tjekke underskriverens identitet kan de sammenligne PID / RID+CVR attributter i SAML Assertion fra log-in med indhold i brugercertifikatet, som returneres i svaret fra legacy-signering.