2012/5/22 Tomas Gustavsson <tomas_at_primekey.se>:
>
> Ett juridiskt sidospår... I Sverige har vi något som kallas fri
> bevisprövning. Det innebär att alla indicier, eller spår du kan hitta kan
> läggas fram i en domstolen. Det krävs inga formella uppfyllandekrav för att
> en elektronisk signatur skall vara giltig (tex kvalificerade signaturer som
> är populära på kontinenten). Det spelar ingen roll hur du kommit över dina
Så vitt jag vet krävs en kvalificerad elektronisk signatur i Sverige
för att få samma juridiska värde som en signatur på papper, se SFS
2000:832 [1] 2 § för definitionen av kvalificerad eletronisk signatur
samt 17 § för kravet på sådan.
Jag är förvisso inte heller jurist, men den texten har jag svårt att
se hur den kan feltolkas.
[1] http://www.riksdagen.se/sv/Dokument-Lagar/Lagar/Svenskforfattningssamling/_sfs-2000-832/
> bevis heller (inte som man ser i amerikanska filmer att bevis blir
> ogiltigförklarade).
> Det är sedan uppp till domstolen att bedöma hur starkt bevisvärdet är. Om du
> kan lägga fram flera oberoende indicier, email, papper etc så är det
> troligen starkare än en enda sak.
>
> I fallet med skatteverket finns troligen en auditlog lagrad någonstans där
> din signatur finns med som bevis på vad "du skickat in". Vad som sedan
> lagras i databasen kan som sagt vara något helt annat.
>
> För att återgå till kontraktskrivning vill man väl åstadkomma att båda
> parter har en likadan kopia av det signerade dokumentet. De kan sedan
> jämföras vi en eventuell tvist.
> I fallet med skattemyndigheteen skulle man kanske vilja ha en signerad kopia
> själv av det man skickat in, med skattemyndighetens "mottagarsignatur" så
> man kan bevisa vad man faktiskt skickat in.
> Det skulle vara mer jämförbart, ett kontrakt signeras ju oftast av fler än
> en part.
>
> Magnus, ur lagrandeperspektiv borde väl då QR-koder på papper vara
> oslagbart?
>
> Mvh,
> Tomas
>
>
>
> On 05/22/2012 09:06 AM, Magnus Sandberg wrote:
>>
>> Hej Mattias!
>>
>> Att använda en binärfil är inte framtidssäkert. Vem kan läsa min
>> Amiga-disketter idag? Eller min RLL-disk till MS-DOS-Hedenhös. Tyvärr är
>> papper det mest framtidssäkra vi har.
>>
>> Jag har tidigare jobbat på Arbetsförmedlingen, då bl.a i ett projekt
>> gällande elektronisk arkivering och hur Stadsarkivet ska arkivera
>> elektroniska dokument för ALL framtid (japp myndigheters handlingar
>> skall arkiveras för all framtid).
>>
>> Vissa hävdar att vi kommer få en 75-100 årig lucka i historien under den
>> tid vi trodde att elektronisk lagring var framtidssäkert. Alltså från
>> 1950-, 1960-talet fram tills den dag då vi återgår till stentavlor,
>> pergamentsrullar och papper för arkivering.
>>
>> Ojdå det blev ett långt stickspår, åter till det du skrev.
>>
>> Att jämföra med e-id eller BankId är både rätt och fel. Det är rätt ur
>> ett teoretiskt perspektiv.
>>
>> Men vilka är det som ger ut och använder E-id och BankId? Jo det är
>> bankerna, Skatteverket, Försäkringskassan mfl. Försök att bevisa att
>> banken eller Försäkringskassan manipulerat din banktransaktion eller
>> anmälan om vård av barn. Du som kund eller medborgare får på sin höjd en
>> webbsida eller PDF att spara/skriva ut. Det du ser är inte samma data
>> som sparats i deras databaser. Du ser en genererad presentation av det
>> som finns i databasen. Du kan alltså inte genererar en hash som du sedan
>> kan få verifierad. Inte heller visar denna hemsida eller PDF hashen som
>> finns i deras databas. Så om hashen i database ändras vid ett senare
>> tillfälle, därför att någon ändrat i databasen, så har du inget att
>> använda som bevis. Banken eller myndigheten kan hävda att du manipulerat
>> det du valt att spara eftersom båda parter inte har tillgång till samma
>> grunddata.
>>
>> Vad gäller banker och myndigheter har vi som kunder och medborgare bara
>> att rätta oss efter deras lösningar om vi vill vara kund eller laglydig
>> medborgare. Och vad gör du ifall du upptäcker att ditt BankID är skapat
>> och signerat med ett DigiNotar-certifikat. Hur revokerar du ditt BankID
>> för att du tror att någon annan genererat ett falsk certifikat i ditt
>> namn? Så vi sitter i knät på bankerna på alla sätt. Att använda dem blir
>> mest ett dåligt exempel.
>>
>> Det blev mycket svammel från min sida men jag vill visa att dessa saker
>> är betydligt svårare än vad man först tror. Som sagt var jag har jobbat
>> både med elektronisk arkivering och tjänstemanna-eid (skrivit
>> Arbetsförmedlingens remissvar till Kammarkollegiet för några år sedan).
>>
>> PS. Jag vet att du inte skrev BankID men det är i princip samma sak som
>> E-id idag.
>>
>> // Mem
>>
>>
>>
>> Den 2012-05-22 09:23, Mattias Ekholm skrev:
>>>
>>> Hej
>>>
>>> jag tror det är enklast att använda sig av binärfilen av flera orsaker,
>>> dels finns "ingen" risk att tolka data/texten fel samt att filen kan
>>> innehåller bilder eller t ex vara ett "komprimerat tar arkiv".
>>> För mig känns det lite som om man har hashvärdet på varje sida som
>>> signeras är lite liknande som en del i sina mail har med att mailet är
>>> "certified virus free by ACME virus scanner" :)
>>>
>>> På sidan man signerar ska det såklart framgå att det är ett hashvärde
>>> som representerar det kontrakt som ingås. Mer *borde* inte behöva stå på
>>> signeringspappret. För en bestridande motpart "räcker" det att visa att
>>> det finns minst två binärfiler som ger samma hashvärde, vilket idag
>>> anses omöjligt...
>>> Jämför t ex med e-id som används vitt och brett som ersättning för
>>> handskrivna signaturer... Det är nog rätt få som vet ens vilka
>>> algoritmer som används.
>>>
>>> Själv är jag inte heller jurist...
>>>
>>> mvh
>>>
>>> -----Ursprungligt meddelande----- From: Magnus Sandberg
>>> Sent: Monday, May 21, 2012 11:12 AM
>>> To: FOSS-folk i Stockholm
>>> Subject: Re: Använda QR-koder för att skriva under kontrakt?
>>>
>>> Den 2012-05-18 15:11, Johan Thelin skrev:
>>>
>>>> 2012/5/18 Mattias Ekholm<mattias_at_ekholm.se>:
>>>>>
>>>>> QR-koden innehåller hash värdet som är unikt för det dokument du ska
>>>>> skriva
>>>>> under, stämmer inte hash värdet på det papper du får stucket under
>>>>> näsan med
>>>>> det hash värde du har skapat hemmavid så härrör de från olika dokument.
>>>>
>>>>
>>>> Hur ser man skillnad på en QR-kod som är skapad från dokumentet i
>>>> fråga, och en som är skapad från ett annat dokument (t.ex. det man
>>>> tror sig skriva på)?
>>>>
>>>> Personligen tycker jag att man inte ska göra affärer med motparter som
>>>> man misstänker byter ut dokument under processen. Det känns som en
>>>> enklare lösning på problemet :-)
>>>>
>>>> /J
>>>
>>>
>>> Hej!
>>>
>>> Först och främst, jag är lekman och inte jurist.
>>>
>>> Det känns som att någon vill skapa en teknisk lösning utan att veta
>>> exakt vad man åstadkommer.
>>>
>>> Hur gör man idag om man vill vara juridiskt säkert på att båda parter
>>> skrivit under samma dokument. Jo, man har två identiska dokument där
>>> båda parter signerar varje sida, inkl sista sidan. Sedan skriver man
>>> under dokumentet, vanligen på sista sidan.
>>>
>>> På detta sätt finns både namnteckning och signatur för båda parter på en
>>> sida. På övriga sidor finns båda parters signaturer.
>>>
>>>
>>> För att lösa samma scenario "elektroniskt" måste det antigen finnas en
>>> standard för hur man gör detta eller så måste båda parter vid ett
>>> kontraktstillfälle vara överens om hur den "matematiska" processen går
>>> till, så att det finns en standard eller överenskommelse att falla
>>> tillbaka på när man blir oense.
>>>
>>> Först och främst måste man veta hur hash-värdet räknas ut, både
>>> datamängden som omfattas och formeln som används. Till exempel är
>>> hash-värdet hashen av textmängden med eller utan formatering, vilken
>>> teckenkodning gäller osv. Troligen borde det vara den oformaterade
>>> texten i Latin-1 eller UTF-8 eller motsvarade. På detta sätt kan man
>>> verifiera texten förhand utan att ha tillgång till originalfilen (genom
>>> att OCR-skanna eller skriva in förhand i lämplig texteditor).
>>>
>>> Sedan är det bara en smaksak om hash-värde skrivs i HEX-format eller QR.
>>> Denna hash/qr måste sedan finnas på varje sida i enlighet med signaturen
>>> så att man vet vilka sidor som ingick i det man skrev under.
>>>
>>>
>>> Det krävs helt enkelt betydligt mer jobb än att ta fram en mobilapp som
>>> kan avkoda en QR-kod och tala om vilket dokument det gäller. För att
>>> detta ska vara juridiskt hållbart behöver hela kedjan och processen vara
>>> beskriven och det behöver styrkas/bevisas att parterna av överens om
>>> tekniken och processen. Eftersom det inte finns någon vedertagen
>>> standard för detta behövs troligen en bilaga till dokumentet/kontraktet
>>> som beskriver den tekniska lösningen.
>>>
>>> Jag tror bläckpennan och signering av varje sida kommer leva kvar ett
>>> tag till.
>>>
>>> // Mem
>>
>>
>> _______________________________________________
>> http://www.foss-sthlm.se/
>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>
>
> _______________________________________________
> http://www.foss-sthlm.se/
> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
_______________________________________________
http://www.foss-sthlm.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2012-05-22