Ett juridiskt sidospår... I Sverige har vi något som kallas fri
bevisprövning. Det innebär att alla indicier, eller spår du kan hitta
kan läggas fram i en domstolen. Det krävs inga formella uppfyllandekrav
för att en elektronisk signatur skall vara giltig (tex kvalificerade
signaturer som är populära på kontinenten). Det spelar ingen roll hur du
kommit över dina bevis heller (inte som man ser i amerikanska filmer att
bevis blir ogiltigförklarade).
Det är sedan uppp till domstolen att bedöma hur starkt bevisvärdet är.
Om du kan lägga fram flera oberoende indicier, email, papper etc så är
det troligen starkare än en enda sak.
I fallet med skatteverket finns troligen en auditlog lagrad någonstans
där din signatur finns med som bevis på vad "du skickat in". Vad som
sedan lagras i databasen kan som sagt vara något helt annat.
För att återgå till kontraktskrivning vill man väl åstadkomma att båda
parter har en likadan kopia av det signerade dokumentet. De kan sedan
jämföras vi en eventuell tvist.
I fallet med skattemyndigheteen skulle man kanske vilja ha en signerad
kopia själv av det man skickat in, med skattemyndighetens
"mottagarsignatur" så man kan bevisa vad man faktiskt skickat in.
Det skulle vara mer jämförbart, ett kontrakt signeras ju oftast av fler
än en part.
Magnus, ur lagrandeperspektiv borde väl då QR-koder på papper vara
oslagbart?
Mvh,
Tomas
On 05/22/2012 09:06 AM, Magnus Sandberg wrote:
> Hej Mattias!
>
> Att använda en binärfil är inte framtidssäkert. Vem kan läsa min
> Amiga-disketter idag? Eller min RLL-disk till MS-DOS-Hedenhös. Tyvärr är
> papper det mest framtidssäkra vi har.
>
> Jag har tidigare jobbat på Arbetsförmedlingen, då bl.a i ett projekt
> gällande elektronisk arkivering och hur Stadsarkivet ska arkivera
> elektroniska dokument för ALL framtid (japp myndigheters handlingar
> skall arkiveras för all framtid).
>
> Vissa hävdar att vi kommer få en 75-100 årig lucka i historien under den
> tid vi trodde att elektronisk lagring var framtidssäkert. Alltså från
> 1950-, 1960-talet fram tills den dag då vi återgår till stentavlor,
> pergamentsrullar och papper för arkivering.
>
> Ojdå det blev ett långt stickspår, åter till det du skrev.
>
> Att jämföra med e-id eller BankId är både rätt och fel. Det är rätt ur
> ett teoretiskt perspektiv.
>
> Men vilka är det som ger ut och använder E-id och BankId? Jo det är
> bankerna, Skatteverket, Försäkringskassan mfl. Försök att bevisa att
> banken eller Försäkringskassan manipulerat din banktransaktion eller
> anmälan om vård av barn. Du som kund eller medborgare får på sin höjd en
> webbsida eller PDF att spara/skriva ut. Det du ser är inte samma data
> som sparats i deras databaser. Du ser en genererad presentation av det
> som finns i databasen. Du kan alltså inte genererar en hash som du sedan
> kan få verifierad. Inte heller visar denna hemsida eller PDF hashen som
> finns i deras databas. Så om hashen i database ändras vid ett senare
> tillfälle, därför att någon ändrat i databasen, så har du inget att
> använda som bevis. Banken eller myndigheten kan hävda att du manipulerat
> det du valt att spara eftersom båda parter inte har tillgång till samma
> grunddata.
>
> Vad gäller banker och myndigheter har vi som kunder och medborgare bara
> att rätta oss efter deras lösningar om vi vill vara kund eller laglydig
> medborgare. Och vad gör du ifall du upptäcker att ditt BankID är skapat
> och signerat med ett DigiNotar-certifikat. Hur revokerar du ditt BankID
> för att du tror att någon annan genererat ett falsk certifikat i ditt
> namn? Så vi sitter i knät på bankerna på alla sätt. Att använda dem blir
> mest ett dåligt exempel.
>
> Det blev mycket svammel från min sida men jag vill visa att dessa saker
> är betydligt svårare än vad man först tror. Som sagt var jag har jobbat
> både med elektronisk arkivering och tjänstemanna-eid (skrivit
> Arbetsförmedlingens remissvar till Kammarkollegiet för några år sedan).
>
> PS. Jag vet att du inte skrev BankID men det är i princip samma sak som
> E-id idag.
>
> // Mem
>
>
>
> Den 2012-05-22 09:23, Mattias Ekholm skrev:
>> Hej
>>
>> jag tror det är enklast att använda sig av binärfilen av flera orsaker,
>> dels finns "ingen" risk att tolka data/texten fel samt att filen kan
>> innehåller bilder eller t ex vara ett "komprimerat tar arkiv".
>> För mig känns det lite som om man har hashvärdet på varje sida som
>> signeras är lite liknande som en del i sina mail har med att mailet är
>> "certified virus free by ACME virus scanner" :)
>>
>> På sidan man signerar ska det såklart framgå att det är ett hashvärde
>> som representerar det kontrakt som ingås. Mer *borde* inte behöva stå på
>> signeringspappret. För en bestridande motpart "räcker" det att visa att
>> det finns minst två binärfiler som ger samma hashvärde, vilket idag
>> anses omöjligt...
>> Jämför t ex med e-id som används vitt och brett som ersättning för
>> handskrivna signaturer... Det är nog rätt få som vet ens vilka
>> algoritmer som används.
>>
>> Själv är jag inte heller jurist...
>>
>> mvh
>>
>> -----Ursprungligt meddelande----- From: Magnus Sandberg
>> Sent: Monday, May 21, 2012 11:12 AM
>> To: FOSS-folk i Stockholm
>> Subject: Re: Använda QR-koder för att skriva under kontrakt?
>>
>> Den 2012-05-18 15:11, Johan Thelin skrev:
>>
>>> 2012/5/18 Mattias Ekholm<mattias_at_ekholm.se>:
>>>> QR-koden innehåller hash värdet som är unikt för det dokument du ska
>>>> skriva
>>>> under, stämmer inte hash värdet på det papper du får stucket under
>>>> näsan med
>>>> det hash värde du har skapat hemmavid så härrör de från olika dokument.
>>>
>>> Hur ser man skillnad på en QR-kod som är skapad från dokumentet i
>>> fråga, och en som är skapad från ett annat dokument (t.ex. det man
>>> tror sig skriva på)?
>>>
>>> Personligen tycker jag att man inte ska göra affärer med motparter som
>>> man misstänker byter ut dokument under processen. Det känns som en
>>> enklare lösning på problemet :-)
>>>
>>> /J
>>
>> Hej!
>>
>> Först och främst, jag är lekman och inte jurist.
>>
>> Det känns som att någon vill skapa en teknisk lösning utan att veta
>> exakt vad man åstadkommer.
>>
>> Hur gör man idag om man vill vara juridiskt säkert på att båda parter
>> skrivit under samma dokument. Jo, man har två identiska dokument där
>> båda parter signerar varje sida, inkl sista sidan. Sedan skriver man
>> under dokumentet, vanligen på sista sidan.
>>
>> På detta sätt finns både namnteckning och signatur för båda parter på en
>> sida. På övriga sidor finns båda parters signaturer.
>>
>>
>> För att lösa samma scenario "elektroniskt" måste det antigen finnas en
>> standard för hur man gör detta eller så måste båda parter vid ett
>> kontraktstillfälle vara överens om hur den "matematiska" processen går
>> till, så att det finns en standard eller överenskommelse att falla
>> tillbaka på när man blir oense.
>>
>> Först och främst måste man veta hur hash-värdet räknas ut, både
>> datamängden som omfattas och formeln som används. Till exempel är
>> hash-värdet hashen av textmängden med eller utan formatering, vilken
>> teckenkodning gäller osv. Troligen borde det vara den oformaterade
>> texten i Latin-1 eller UTF-8 eller motsvarade. På detta sätt kan man
>> verifiera texten förhand utan att ha tillgång till originalfilen (genom
>> att OCR-skanna eller skriva in förhand i lämplig texteditor).
>>
>> Sedan är det bara en smaksak om hash-värde skrivs i HEX-format eller QR.
>> Denna hash/qr måste sedan finnas på varje sida i enlighet med signaturen
>> så att man vet vilka sidor som ingick i det man skrev under.
>>
>>
>> Det krävs helt enkelt betydligt mer jobb än att ta fram en mobilapp som
>> kan avkoda en QR-kod och tala om vilket dokument det gäller. För att
>> detta ska vara juridiskt hållbart behöver hela kedjan och processen vara
>> beskriven och det behöver styrkas/bevisas att parterna av överens om
>> tekniken och processen. Eftersom det inte finns någon vedertagen
>> standard för detta behövs troligen en bilaga till dokumentet/kontraktet
>> som beskriver den tekniska lösningen.
>>
>> Jag tror bläckpennan och signering av varje sida kommer leva kvar ett
>> tag till.
>>
>> // Mem
>
> _______________________________________________
> http://www.foss-sthlm.se/
> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
_______________________________________________
http://www.foss-sthlm.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2012-05-22