Den nye signeringsløsning
Med den nye signeringsløsning skiftes signaturformatet ud. Skiftet har især betydning for jer, hvis I i dag har systemer, der laver dyb, teknisk integration med signaturen og læser specifikke elementer ud af det signerede dokument, som fx certifikatet.
Det eksisterende signeringsformat XMLDSig-format, baseret på en ren dansk profil, erstattes af mere internationalt standardiserede PAdES- og XAdES-formater.
Signering vil foregå centralt i NemLog-in, uafhængigt af om der anvendes identifikationsmidler fra MitID eller Lokal IdP (NemLog-in-signering). Herudover vil der være mulighed for udstedelse af brugercertifikater (OCES eller kvalificerede), hvis man ønsker at signere lokalt.
Signaturerne kommer til at indeholde integreret signaturbevis (kryptografisk tidsstempel og certifikatstatus(OCSP)).
Fordele ved de nye signeringsformater
Signeringstjenesten i det nye NemLog-in vil benytte standardiserede formater, anerkendt af alle EU-medlemslande, i form af XAdES og PAdES (XML Advanced Electronic Signatures og PDF Advanced Electronic Signatures).
Disse giver mulighed for generel fortolkning, i modsætning til signaturformatet i NemID.
De dannede XAdES og PAdES dokumenter vil være på den såkaldte Long-Term-Validation form (LTV) der sikrer, at certifikatstatus og tidspunktet for signaturen gemmes digitalt i de underskrevne dokumenter.
Fordele er dermed at:
- Formaterne er bredt, internationalt accepteret og understøttet, fx er PAdES er understøttet af standardprodukter som fx Adobe Acrobat Reader.
- Formaterne understøtter indlejring af tidsstempling og certifikatstatusinformation (LTV).
- Formaterne anerkendes af alle EU-medlemslande i onlineløsninger, der kræver kvalificerede elektroniske signaturer.
Tidligere elektroniske signaturer lavet i det hidtidige XMLDSig-format bliver ikke ugyldige på baggrund af dette skift, men de opnår naturligvis ikke de fordele, der er knyttet til de nye og mere standardiserede formater.
Ændringer hos tjenesteudbyderen
Hvis du som tjenesteudbyder validerer elektroniske signaturer genereret med NemID, vil du skulle udvikle understøttelse af de nye formater, evt. via NemLog-ins valideringstjeneste.
Hvis du som tjenesteudbyder benytter NemID gennem kommercielle signeringsløsninger fra andre leverandører, bør du forhøre dig hos leverandøren om skift af signaturformat får betydning for dig som tjenesteudbyder. Hvis fx leverandøren har tilføjet et abstraktionslag mellem din løsning som kunde og selve den elektroniske signatur, vil det måske betyde, at du ikke selv skal foretage nogle ændringer i din egen løsning.
1. Validering
NemLog-in stiller en almindelig webgrænseflade og et API baseret på OASIS DSS Validation-protokollen (både REST og SOAP) til rådighed for verifikation af de nye signaturformater. Det er muligt at få en elektronisk signeret kvittering for foretaget validering.
Webgrænsefladen kan afvikles som en lokal klient, hvor signeringsteksten ikke sendes til NemLog-in. Hvis man benytter API’et, og hvis man har behov for en elektronisk signeret kvittering, skal man i højere grad overveje de mulige persondatabeskyttelsesmæssige konsekvenser, da den signerede tekst i disse tilfælde sendes til validering på serverne i NemLog-in’s valideringsservice.
2. Signaturbeviser
I dag gemmes signaturbeviser centralt i NemLog-in. Fremover vil signaturbeviset være en integreret del af det signerede dokument.
Det er tjenesteudbydernes eget ansvar at opbevare en lokal kopi af det signerede dokument, såfremt dette ønskes.
Tekniske egenskaber
I tabellen nedenfor kan du se et overblik over forskellene i de tekniske egenskaber for henholdsvis signering med NemLog-ins nuværende signeringsløsning eller andre, nuværende signeringsløsninger, og den nye NemLog-in signering.
| Egenskab | NemID-signering | NemLog-in signering |
| Identifikationsmidler | NemID | Alle accepterede identifikationsmidler i NemLog-in (NSIS Betydelig) |
| Brugeroplevelse | iframe | iframe og godkendelse |
| Input | Tekst, HTML, PDF eller XML | Tekst, HTML, PDF eller XML |
| Outputformat | OpenSign (XML-Dsig) | XAdES eller PAdES (vælges uafhængigt af input). Kryptografisk tidsstempel indeholdt. |
| Signeringscertifikater | POCES2 eller MOCES2 | Automatisk udstedte kvalificerede korttidscertifikater til person, medarbejder eller organisation, alene anvendt ved signering. |
| Validering | Lokalt hos TU (TU-pakken eller tilsvarende) | Valideringswebservice (API) eller lokalt (DSSbiblioteket, EUs referenceimplementering) |
| Værktøjer | TU-pakken (Java og C#) | SignSDK (Java og C#) |
Signering i migreringsperioden
I migreringsperioden vil der være en periode hvor tjenesteudbydere er migreret til det nye NemLog-in og dermed benytter den nye signeringsløsning, men hvor brugerne af tjenesten enten fortsat benytter deres NemID, benytter deres MitID eller begge dele.
Derfor, hvis tjenesteudbydere vil understøtte både signering med NemID erhverv og med de nye identifikationsmidler (MitID og Lokal IdP), skal de, parallelt, understøtte signering med NemID og med den nye NemLog-in signering.
Signering for borgere i migreringsperioden
Ikke-migrerede borgere, der kun har NemID, vil kunne benytte både tjenester, der anvender signering med NemID og tjenester, der anvender den nye NemLog-in signering.
Derimod vil migrerede borgere, med deres MitID, kun kunne benytte tjenester, der anvender den nye NemLog-in signering. Grunden til dette er, at den nye signeringsløsning kræver NSIS niveau Betydelig og dermed, at medarbejderen benytter et identifikationsmiddel fra det nye NemLog-in eller MitID. Migrerede brugere vil samtidigt kunne benytte deres NemID til signering, da det vil være gyldigt under hele migreringsperioden.
Se figuren nedenfor, som illustrerer signering for borgere i migreringsperioden. Du kan klikke på billedet, for at åbne det i større format, i et nyt vindue.
Signering for medarbejdere i migreringsperioden
Medarbejdere, der arbejder i en myndighed eller virksomhed der ikke er migreret til det nye NemLog-in, kan ikke anvende tjenester, der anvender den nye signeringsløsning. Grunden til dette er, at den nye signeringsløsning kræver NSIS niveau Betydelig og dermed, at medarbejderen benytter et identifikationsmiddel fra det nye NemLog-in eller MitID.
Ligeledes kan medarbejdere, der arbejder i en virksomhed eller myndighed, der er migreret, ikke anvende tjenester, der ikke er migreret til den nye signeringsløsning. Migrerede brugere vil samtidigt kunne benytte deres NemID til at logge ind med, da det vil være gyldigt under hele migreringsperioden
Se figuren nedenfor, som illustrerer signering for medarbejdere i migreringsperioden. Du kan klikke på billedet, for at åbne det i større format, i et nyt vindue.
