Subject: Re: Använda QR-koder för att skriva under kontrakt?

Re: Använda QR-koder för att skriva under kontrakt?

From: Magnus Sandberg <mem_at_netnod.se>
Date: Tue, 22 May 2012 10:06:47 +0200

Hej Mattias!

Att använda en binärfil är inte framtidssäkert. Vem kan läsa min
Amiga-disketter idag? Eller min RLL-disk till MS-DOS-Hedenhös. Tyvärr är
papper det mest framtidssäkra vi har.

Jag har tidigare jobbat på Arbetsförmedlingen, då bl.a i ett projekt
gällande elektronisk arkivering och hur Stadsarkivet ska arkivera
elektroniska dokument för ALL framtid (japp myndigheters handlingar
skall arkiveras för all framtid).

Vissa hävdar att vi kommer få en 75-100 årig lucka i historien under den
tid vi trodde att elektronisk lagring var framtidssäkert. Alltså från
1950-, 1960-talet fram tills den dag då vi återgår till stentavlor,
pergamentsrullar och papper för arkivering.

Ojdå det blev ett långt stickspår, åter till det du skrev.

Att jämföra med e-id eller BankId är både rätt och fel. Det är rätt ur
ett teoretiskt perspektiv.

Men vilka är det som ger ut och använder E-id och BankId? Jo det är
bankerna, Skatteverket, Försäkringskassan mfl. Försök att bevisa att
banken eller Försäkringskassan manipulerat din banktransaktion eller
anmälan om vård av barn. Du som kund eller medborgare får på sin höjd en
webbsida eller PDF att spara/skriva ut. Det du ser är inte samma data
som sparats i deras databaser. Du ser en genererad presentation av det
som finns i databasen. Du kan alltså inte genererar en hash som du sedan
kan få verifierad. Inte heller visar denna hemsida eller PDF hashen som
finns i deras databas. Så om hashen i database ändras vid ett senare
tillfälle, därför att någon ändrat i databasen, så har du inget att
använda som bevis. Banken eller myndigheten kan hävda att du manipulerat
det du valt att spara eftersom båda parter inte har tillgång till samma
grunddata.

Vad gäller banker och myndigheter har vi som kunder och medborgare bara
att rätta oss efter deras lösningar om vi vill vara kund eller laglydig
medborgare. Och vad gör du ifall du upptäcker att ditt BankID är skapat
och signerat med ett DigiNotar-certifikat. Hur revokerar du ditt BankID
för att du tror att någon annan genererat ett falsk certifikat i ditt
namn? Så vi sitter i knät på bankerna på alla sätt. Att använda dem blir
mest ett dåligt exempel.

Det blev mycket svammel från min sida men jag vill visa att dessa saker
är betydligt svårare än vad man först tror. Som sagt var jag har jobbat
både med elektronisk arkivering och tjänstemanna-eid (skrivit
Arbetsförmedlingens remissvar till Kammarkollegiet för några år sedan).

PS. Jag vet att du inte skrev BankID men det är i princip samma sak som
E-id idag.

// Mem

Den 2012-05-22 09:23, Mattias Ekholm skrev:
> Hej
>
> jag tror det är enklast att använda sig av binärfilen av flera orsaker,
> dels finns "ingen" risk att tolka data/texten fel samt att filen kan
> innehåller bilder eller t ex vara ett "komprimerat tar arkiv".
> För mig känns det lite som om man har hashvärdet på varje sida som
> signeras är lite liknande som en del i sina mail har med att mailet är
> "certified virus free by ACME virus scanner" :)
>
> På sidan man signerar ska det såklart framgå att det är ett hashvärde
> som representerar det kontrakt som ingås. Mer *borde* inte behöva stå på
> signeringspappret. För en bestridande motpart "räcker" det att visa att
> det finns minst två binärfiler som ger samma hashvärde, vilket idag
> anses omöjligt...
> Jämför t ex med e-id som används vitt och brett som ersättning för
> handskrivna signaturer... Det är nog rätt få som vet ens vilka
> algoritmer som används.
>
> Själv är jag inte heller jurist...
>
> mvh
>
> -----Ursprungligt meddelande----- From: Magnus Sandberg
> Sent: Monday, May 21, 2012 11:12 AM
> To: FOSS-folk i Stockholm
> Subject: Re: Använda QR-koder för att skriva under kontrakt?
>
> Den 2012-05-18 15:11, Johan Thelin skrev:
>
>> 2012/5/18 Mattias Ekholm <mattias_at_ekholm.se>:
>>> QR-koden innehåller hash värdet som är unikt för det dokument du ska
>>> skriva
>>> under, stämmer inte hash värdet på det papper du får stucket under
>>> näsan med
>>> det hash värde du har skapat hemmavid så härrör de från olika dokument.
>>
>> Hur ser man skillnad på en QR-kod som är skapad från dokumentet i
>> fråga, och en som är skapad från ett annat dokument (t.ex. det man
>> tror sig skriva på)?
>>
>> Personligen tycker jag att man inte ska göra affärer med motparter som
>> man misstänker byter ut dokument under processen. Det känns som en
>> enklare lösning på problemet :-)
>>
>> /J
>
> Hej!
>
> Först och främst, jag är lekman och inte jurist.
>
> Det känns som att någon vill skapa en teknisk lösning utan att veta
> exakt vad man åstadkommer.
>
> Hur gör man idag om man vill vara juridiskt säkert på att båda parter
> skrivit under samma dokument. Jo, man har två identiska dokument där
> båda parter signerar varje sida, inkl sista sidan. Sedan skriver man
> under dokumentet, vanligen på sista sidan.
>
> På detta sätt finns både namnteckning och signatur för båda parter på en
> sida. På övriga sidor finns båda parters signaturer.
>
>
> För att lösa samma scenario "elektroniskt" måste det antigen finnas en
> standard för hur man gör detta eller så måste båda parter vid ett
> kontraktstillfälle vara överens om hur den "matematiska" processen går
> till, så att det finns en standard eller överenskommelse att falla
> tillbaka på när man blir oense.
>
> Först och främst måste man veta hur hash-värdet räknas ut, både
> datamängden som omfattas och formeln som används. Till exempel är
> hash-värdet hashen av textmängden med eller utan formatering, vilken
> teckenkodning gäller osv. Troligen borde det vara den oformaterade
> texten i Latin-1 eller UTF-8 eller motsvarade. På detta sätt kan man
> verifiera texten förhand utan att ha tillgång till originalfilen (genom
> att OCR-skanna eller skriva in förhand i lämplig texteditor).
>
> Sedan är det bara en smaksak om hash-värde skrivs i HEX-format eller QR.
> Denna hash/qr måste sedan finnas på varje sida i enlighet med signaturen
> så att man vet vilka sidor som ingick i det man skrev under.
>
>
> Det krävs helt enkelt betydligt mer jobb än att ta fram en mobilapp som
> kan avkoda en QR-kod och tala om vilket dokument det gäller. För att
> detta ska vara juridiskt hållbart behöver hela kedjan och processen vara
> beskriven och det behöver styrkas/bevisas att parterna av överens om
> tekniken och processen. Eftersom det inte finns någon vedertagen
> standard för detta behövs troligen en bilaga till dokumentet/kontraktet
> som beskriver den tekniska lösningen.
>
> Jag tror bläckpennan och signering av varje sida kommer leva kvar ett
> tag till.
>
> // Mem

_______________________________________________
http://www.foss-sthlm.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2012-05-22