Mao behövs det standardiseras som en öppen standard, så alla vet vad som
gäller :-)
Mvh,
Tomas
On 05/22/2012 01:20 PM, Magnus Sandberg wrote:
> Hej Tomas!
>
> Jodå, jag känner till den fria bevisprövningen i Sverige och jag
> misstror inte Skatteverket eller andra myndigheter. Det jag ville visa
> på är att BankID eller på det sätt andra E-ID används idag så sitter vi
> i knät på drakarna.
>
> Jag har inget emot QR-koden på ett papper. Problemet är ju att bevisa
> vad QR-koden står för och hur den har skapats samt hur den ska
> verifieras. Om detta också ska beskrivas så antar jag att bilagan som
> beskriver både hash-beräkningen och vad en QR-kod är så blir detta mer
> omfattande än kontraktet QR-koden ska styrka.
>
> Du måste ju även beskriva hur QR-figuren genererats eller hänvisa till
> tillräckligt statiska dokument som beskriver QR-koden som teknik. Ur det
> perspektivet är en HEX-sträng lättare att beskriva.
>
> // Mem
>
>
>
> Den 2012-05-22 10:27, Tomas Gustavsson skrev:
>>
>> Ett juridiskt sidospår... I Sverige har vi något som kallas fri
>> bevisprövning. Det innebär att alla indicier, eller spår du kan hitta
>> kan läggas fram i en domstolen. Det krävs inga formella uppfyllandekrav
>> för att en elektronisk signatur skall vara giltig (tex kvalificerade
>> signaturer som är populära på kontinenten). Det spelar ingen roll hur du
>> kommit över dina bevis heller (inte som man ser i amerikanska filmer att
>> bevis blir ogiltigförklarade).
>> Det är sedan uppp till domstolen att bedöma hur starkt bevisvärdet är.
>> Om du kan lägga fram flera oberoende indicier, email, papper etc så är
>> det troligen starkare än en enda sak.
>>
>> I fallet med skatteverket finns troligen en auditlog lagrad någonstans
>> där din signatur finns med som bevis på vad "du skickat in". Vad som
>> sedan lagras i databasen kan som sagt vara något helt annat.
>>
>> För att återgå till kontraktskrivning vill man väl åstadkomma att båda
>> parter har en likadan kopia av det signerade dokumentet. De kan sedan
>> jämföras vi en eventuell tvist.
>> I fallet med skattemyndigheteen skulle man kanske vilja ha en signerad
>> kopia själv av det man skickat in, med skattemyndighetens
>> "mottagarsignatur" så man kan bevisa vad man faktiskt skickat in.
>> Det skulle vara mer jämförbart, ett kontrakt signeras ju oftast av fler
>> än en part.
>>
>> Magnus, ur lagrandeperspektiv borde väl då QR-koder på papper vara
>> oslagbart?
>>
>> Mvh,
>> Tomas
>>
>>
>> On 05/22/2012 09:06 AM, Magnus Sandberg wrote:
>>> Hej Mattias!
>>>
>>> Att använda en binärfil är inte framtidssäkert. Vem kan läsa min
>>> Amiga-disketter idag? Eller min RLL-disk till MS-DOS-Hedenhös. Tyvärr är
>>> papper det mest framtidssäkra vi har.
>>>
>>> Jag har tidigare jobbat på Arbetsförmedlingen, då bl.a i ett projekt
>>> gällande elektronisk arkivering och hur Stadsarkivet ska arkivera
>>> elektroniska dokument för ALL framtid (japp myndigheters handlingar
>>> skall arkiveras för all framtid).
>>>
>>> Vissa hävdar att vi kommer få en 75-100 årig lucka i historien under den
>>> tid vi trodde att elektronisk lagring var framtidssäkert. Alltså från
>>> 1950-, 1960-talet fram tills den dag då vi återgår till stentavlor,
>>> pergamentsrullar och papper för arkivering.
>>>
>>> Ojdå det blev ett långt stickspår, åter till det du skrev.
>>>
>>> Att jämföra med e-id eller BankId är både rätt och fel. Det är rätt ur
>>> ett teoretiskt perspektiv.
>>>
>>> Men vilka är det som ger ut och använder E-id och BankId? Jo det är
>>> bankerna, Skatteverket, Försäkringskassan mfl. Försök att bevisa att
>>> banken eller Försäkringskassan manipulerat din banktransaktion eller
>>> anmälan om vård av barn. Du som kund eller medborgare får på sin höjd en
>>> webbsida eller PDF att spara/skriva ut. Det du ser är inte samma data
>>> som sparats i deras databaser. Du ser en genererad presentation av det
>>> som finns i databasen. Du kan alltså inte genererar en hash som du sedan
>>> kan få verifierad. Inte heller visar denna hemsida eller PDF hashen som
>>> finns i deras databas. Så om hashen i database ändras vid ett senare
>>> tillfälle, därför att någon ändrat i databasen, så har du inget att
>>> använda som bevis. Banken eller myndigheten kan hävda att du manipulerat
>>> det du valt att spara eftersom båda parter inte har tillgång till samma
>>> grunddata.
>>>
>>> Vad gäller banker och myndigheter har vi som kunder och medborgare bara
>>> att rätta oss efter deras lösningar om vi vill vara kund eller laglydig
>>> medborgare. Och vad gör du ifall du upptäcker att ditt BankID är skapat
>>> och signerat med ett DigiNotar-certifikat. Hur revokerar du ditt BankID
>>> för att du tror att någon annan genererat ett falsk certifikat i ditt
>>> namn? Så vi sitter i knät på bankerna på alla sätt. Att använda dem blir
>>> mest ett dåligt exempel.
>>>
>>> Det blev mycket svammel från min sida men jag vill visa att dessa saker
>>> är betydligt svårare än vad man först tror. Som sagt var jag har jobbat
>>> både med elektronisk arkivering och tjänstemanna-eid (skrivit
>>> Arbetsförmedlingens remissvar till Kammarkollegiet för några år sedan).
>>>
>>> PS. Jag vet att du inte skrev BankID men det är i princip samma sak som
>>> E-id idag.
>>>
>>> // Mem
>>>
>>>
>>>
>>> Den 2012-05-22 09:23, Mattias Ekholm skrev:
>>>> Hej
>>>>
>>>> jag tror det är enklast att använda sig av binärfilen av flera orsaker,
>>>> dels finns "ingen" risk att tolka data/texten fel samt att filen kan
>>>> innehåller bilder eller t ex vara ett "komprimerat tar arkiv".
>>>> För mig känns det lite som om man har hashvärdet på varje sida som
>>>> signeras är lite liknande som en del i sina mail har med att mailet är
>>>> "certified virus free by ACME virus scanner" :)
>>>>
>>>> På sidan man signerar ska det såklart framgå att det är ett hashvärde
>>>> som representerar det kontrakt som ingås. Mer *borde* inte behöva stå på
>>>> signeringspappret. För en bestridande motpart "räcker" det att visa att
>>>> det finns minst två binärfiler som ger samma hashvärde, vilket idag
>>>> anses omöjligt...
>>>> Jämför t ex med e-id som används vitt och brett som ersättning för
>>>> handskrivna signaturer... Det är nog rätt få som vet ens vilka
>>>> algoritmer som används.
>>>>
>>>> Själv är jag inte heller jurist...
>>>>
>>>> mvh
>>>>
>>>> -----Ursprungligt meddelande----- From: Magnus Sandberg
>>>> Sent: Monday, May 21, 2012 11:12 AM
>>>> To: FOSS-folk i Stockholm
>>>> Subject: Re: Använda QR-koder för att skriva under kontrakt?
>>>>
>>>> Den 2012-05-18 15:11, Johan Thelin skrev:
>>>>
>>>>> 2012/5/18 Mattias Ekholm<mattias_at_ekholm.se>:
>>>>>> QR-koden innehåller hash värdet som är unikt för det dokument du ska
>>>>>> skriva
>>>>>> under, stämmer inte hash värdet på det papper du får stucket under
>>>>>> näsan med
>>>>>> det hash värde du har skapat hemmavid så härrör de från olika
>>>>>> dokument.
>>>>>
>>>>> Hur ser man skillnad på en QR-kod som är skapad från dokumentet i
>>>>> fråga, och en som är skapad från ett annat dokument (t.ex. det man
>>>>> tror sig skriva på)?
>>>>>
>>>>> Personligen tycker jag att man inte ska göra affärer med motparter som
>>>>> man misstänker byter ut dokument under processen. Det känns som en
>>>>> enklare lösning på problemet :-)
>>>>>
>>>>> /J
>>>>
>>>> Hej!
>>>>
>>>> Först och främst, jag är lekman och inte jurist.
>>>>
>>>> Det känns som att någon vill skapa en teknisk lösning utan att veta
>>>> exakt vad man åstadkommer.
>>>>
>>>> Hur gör man idag om man vill vara juridiskt säkert på att båda parter
>>>> skrivit under samma dokument. Jo, man har två identiska dokument där
>>>> båda parter signerar varje sida, inkl sista sidan. Sedan skriver man
>>>> under dokumentet, vanligen på sista sidan.
>>>>
>>>> På detta sätt finns både namnteckning och signatur för båda parter på en
>>>> sida. På övriga sidor finns båda parters signaturer.
>>>>
>>>>
>>>> För att lösa samma scenario "elektroniskt" måste det antigen finnas en
>>>> standard för hur man gör detta eller så måste båda parter vid ett
>>>> kontraktstillfälle vara överens om hur den "matematiska" processen går
>>>> till, så att det finns en standard eller överenskommelse att falla
>>>> tillbaka på när man blir oense.
>>>>
>>>> Först och främst måste man veta hur hash-värdet räknas ut, både
>>>> datamängden som omfattas och formeln som används. Till exempel är
>>>> hash-värdet hashen av textmängden med eller utan formatering, vilken
>>>> teckenkodning gäller osv. Troligen borde det vara den oformaterade
>>>> texten i Latin-1 eller UTF-8 eller motsvarade. På detta sätt kan man
>>>> verifiera texten förhand utan att ha tillgång till originalfilen (genom
>>>> att OCR-skanna eller skriva in förhand i lämplig texteditor).
>>>>
>>>> Sedan är det bara en smaksak om hash-värde skrivs i HEX-format eller QR.
>>>> Denna hash/qr måste sedan finnas på varje sida i enlighet med signaturen
>>>> så att man vet vilka sidor som ingick i det man skrev under.
>>>>
>>>>
>>>> Det krävs helt enkelt betydligt mer jobb än att ta fram en mobilapp som
>>>> kan avkoda en QR-kod och tala om vilket dokument det gäller. För att
>>>> detta ska vara juridiskt hållbart behöver hela kedjan och processen vara
>>>> beskriven och det behöver styrkas/bevisas att parterna av överens om
>>>> tekniken och processen. Eftersom det inte finns någon vedertagen
>>>> standard för detta behövs troligen en bilaga till dokumentet/kontraktet
>>>> som beskriver den tekniska lösningen.
>>>>
>>>> Jag tror bläckpennan och signering av varje sida kommer leva kvar ett
>>>> tag till.
>>>>
>>>> // Mem
>>>
>>> _______________________________________________
>>> http://www.foss-sthlm.se/
>>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>>
>> _______________________________________________
>> http://www.foss-sthlm.se/
>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>>
> _______________________________________________
> http://www.foss-sthlm.se/
> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
_______________________________________________
http://www.foss-sthlm.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2012-05-22