Subject: Re: Använda QR-koder för att skriva under kontrakt?

Re: Använda QR-koder för att skriva under kontrakt?

From: Daniel Bosk <daniel.bosk_at_gmail.com>
Date: Wed, 23 May 2012 09:44:30 +0200

2012/5/23 Tomas Gustavsson <tomas_at_primekey.se>:
> On 05/22/2012 07:54 PM, Daniel Bosk wrote:
>>
>> 2012/5/22 Tomas Gustavsson<tomas_at_primekey.se>:
>>>
>>>
>>> Ett juridiskt sidospår... I Sverige har vi något som kallas fri
>>> bevisprövning. Det innebär att alla indicier, eller spår du kan hitta kan
>>> läggas fram i en domstolen. Det krävs inga formella uppfyllandekrav för
>>> att
>>> en elektronisk signatur skall vara giltig (tex kvalificerade signaturer
>>> som
>>> är populära på kontinenten). Det spelar ingen roll hur du kommit över
>>> dina
>>
>>
>> Så vitt jag vet krävs en kvalificerad elektronisk signatur i Sverige
>> för att få samma juridiska värde som en signatur på papper, se SFS
>> 2000:832 [1] 2 § för definitionen av kvalificerad eletronisk signatur
>> samt 17 § för kravet på sådan.
>>
>> Jag är förvisso inte heller jurist, men den texten har jag svårt att
>> se hur den kan feltolkas.
>>
>> [1]
>> http://www.riksdagen.se/sv/Dokument-Lagar/Lagar/Svenskforfattningssamling/_sfs-2000-832/
>
>
> Jag tolkar paragraf 17 helt annorlunda.
>
> 1. En kvalificerad signatur skall anses ha samma juridiska värde som en
> signatur på papper (om inte en myndighet har bestämt något annat).
> 2. Det står _inte_ att en icke kvalificerad signatur inte har detta
> bevisvärde.

Helt sant. När jag tittat vidare finns några lagar som uttryckligen
endast kräver en avancerad elektronisk signatur, exempelvis SFS
2010:1846 [1] 43 § och SFS 2005:551 [2] 13 §.

Med detta borde alltså alla regleringar i SFS 2000:832 för utfärdande
och hantering av signaturhjälpmedel försvinna eftersom att dessa
endast gäller kvalificerade certifikat. Det enda jag då kan se att vi
kan luta oss tillbaka på är 2 § punkt c: "är skapad med hjälpmedel som
endast undertecknaren kontrollerar".

>
> Mao tror jag det är fritt fram för en domstol att godkänna även en icke
> kvalificerad signatur (som tex BankId). Efter moget övervägande förståss :-)
> (Det rimmar även väl med FNs modellag för elektroniska signaturer som jag
> haft förmånen att lyssna på en föreläsning om).

Enligt BankID själva är de endast en avancerad elektronisk signatur
[3]. BankID har de nog inga problem med att godta, de måste ju godta
den. Frågan är hur de gör med exempelvis PGP-signaturer, som också
diskuterats i tråden, är ju frågan var gränsen går för 2 § punkt b:
"gör det möjligt att identifiera undertecknaren".

[1] http://www.riksdagen.se/sv/Dokument-Lagar/Lagar/Svenskforfattningssamling/Konsumentkreditlag-20101846_sfs-2010-1846/

[2] http://www.riksdagen.se/sv/Dokument-Lagar/Lagar/Svenskforfattningssamling/Aktiebolagslag-2005551_sfs-2005-551/

[3] http://bankid.com/sv/Vad-ar-BankID/Test/

>
> I sverige har kvalificerade signaturer i princip ingen användning alls,
> eftersom myndiheterna inte kräver detta.
> Jag känner bara till en enda användning av kvalificerade signaturer i
> Sverige, och det är mellan myndigheter, och ej för allmänheten.
>
> PS: jag är naturligtvis inte heller Jurist, men jag har lyssnat på ett par
> stycken.
>

P.S. Du råkar inte veta vilken myndighet som utsetts som
tillsynsmyndighet för detta? Jag har inget minne av att ha läst detta
någonstans.

>
>>
>>> bevis heller (inte som man ser i amerikanska filmer att bevis blir
>>> ogiltigförklarade).
>>> Det är sedan uppp till domstolen att bedöma hur starkt bevisvärdet är. Om
>>> du
>>> kan lägga fram flera oberoende indicier, email, papper etc så är det
>>> troligen starkare än en enda sak.
>>>
>>> I fallet med skatteverket finns troligen en auditlog lagrad någonstans
>>> där
>>> din signatur finns med som bevis på vad "du skickat in". Vad som sedan
>>> lagras i databasen kan som sagt vara något helt annat.
>>>
>>> För att återgå till kontraktskrivning vill man väl åstadkomma att båda
>>> parter har en likadan kopia av det signerade dokumentet. De kan sedan
>>> jämföras vi en eventuell tvist.
>>> I fallet med skattemyndigheteen skulle man kanske vilja ha en signerad
>>> kopia
>>> själv av det man skickat in, med skattemyndighetens "mottagarsignatur" så
>>> man kan bevisa vad man faktiskt skickat in.
>>> Det skulle vara mer jämförbart, ett kontrakt signeras ju oftast av fler
>>> än
>>> en part.
>>>
>>> Magnus, ur lagrandeperspektiv borde väl då QR-koder på papper vara
>>> oslagbart?
>>>
>>> Mvh,
>>> Tomas
>>>
>>>
>>>
>>> On 05/22/2012 09:06 AM, Magnus Sandberg wrote:
>>>>
>>>>
>>>> Hej Mattias!
>>>>
>>>> Att använda en binärfil är inte framtidssäkert. Vem kan läsa min
>>>> Amiga-disketter idag? Eller min RLL-disk till MS-DOS-Hedenhös. Tyvärr är
>>>> papper det mest framtidssäkra vi har.
>>>>
>>>> Jag har tidigare jobbat på Arbetsförmedlingen, då bl.a i ett projekt
>>>> gällande elektronisk arkivering och hur Stadsarkivet ska arkivera
>>>> elektroniska dokument för ALL framtid (japp myndigheters handlingar
>>>> skall arkiveras för all framtid).
>>>>
>>>> Vissa hävdar att vi kommer få en 75-100 årig lucka i historien under den
>>>> tid vi trodde att elektronisk lagring var framtidssäkert. Alltså från
>>>> 1950-, 1960-talet fram tills den dag då vi återgår till stentavlor,
>>>> pergamentsrullar och papper för arkivering.
>>>>
>>>> Ojdå det blev ett långt stickspår, åter till det du skrev.
>>>>
>>>> Att jämföra med e-id eller BankId är både rätt och fel. Det är rätt ur
>>>> ett teoretiskt perspektiv.
>>>>
>>>> Men vilka är det som ger ut och använder E-id och BankId? Jo det är
>>>> bankerna, Skatteverket, Försäkringskassan mfl. Försök att bevisa att
>>>> banken eller Försäkringskassan manipulerat din banktransaktion eller
>>>> anmälan om vård av barn. Du som kund eller medborgare får på sin höjd en
>>>> webbsida eller PDF att spara/skriva ut. Det du ser är inte samma data
>>>> som sparats i deras databaser. Du ser en genererad presentation av det
>>>> som finns i databasen. Du kan alltså inte genererar en hash som du sedan
>>>> kan få verifierad. Inte heller visar denna hemsida eller PDF hashen som
>>>> finns i deras databas. Så om hashen i database ändras vid ett senare
>>>> tillfälle, därför att någon ändrat i databasen, så har du inget att
>>>> använda som bevis. Banken eller myndigheten kan hävda att du manipulerat
>>>> det du valt att spara eftersom båda parter inte har tillgång till samma
>>>> grunddata.
>>>>
>>>> Vad gäller banker och myndigheter har vi som kunder och medborgare bara
>>>> att rätta oss efter deras lösningar om vi vill vara kund eller laglydig
>>>> medborgare. Och vad gör du ifall du upptäcker att ditt BankID är skapat
>>>> och signerat med ett DigiNotar-certifikat. Hur revokerar du ditt BankID
>>>> för att du tror att någon annan genererat ett falsk certifikat i ditt
>>>> namn? Så vi sitter i knät på bankerna på alla sätt. Att använda dem blir
>>>> mest ett dåligt exempel.
>>>>
>>>> Det blev mycket svammel från min sida men jag vill visa att dessa saker
>>>> är betydligt svårare än vad man först tror. Som sagt var jag har jobbat
>>>> både med elektronisk arkivering och tjänstemanna-eid (skrivit
>>>> Arbetsförmedlingens remissvar till Kammarkollegiet för några år sedan).
>>>>
>>>> PS. Jag vet att du inte skrev BankID men det är i princip samma sak som
>>>> E-id idag.
>>>>
>>>> // Mem
>>>>
>>>>
>>>>
>>>> Den 2012-05-22 09:23, Mattias Ekholm skrev:
>>>>>
>>>>>
>>>>> Hej
>>>>>
>>>>> jag tror det är enklast att använda sig av binärfilen av flera orsaker,
>>>>> dels finns "ingen" risk att tolka data/texten fel samt att filen kan
>>>>> innehåller bilder eller t ex vara ett "komprimerat tar arkiv".
>>>>> För mig känns det lite som om man har hashvärdet på varje sida som
>>>>> signeras är lite liknande som en del i sina mail har med att mailet är
>>>>> "certified virus free by ACME virus scanner" :)
>>>>>
>>>>> På sidan man signerar ska det såklart framgå att det är ett hashvärde
>>>>> som representerar det kontrakt som ingås. Mer *borde* inte behöva stå
>>>>> på
>>>>> signeringspappret. För en bestridande motpart "räcker" det att visa att
>>>>> det finns minst två binärfiler som ger samma hashvärde, vilket idag
>>>>> anses omöjligt...
>>>>> Jämför t ex med e-id som används vitt och brett som ersättning för
>>>>> handskrivna signaturer... Det är nog rätt få som vet ens vilka
>>>>> algoritmer som används.
>>>>>
>>>>> Själv är jag inte heller jurist...
>>>>>
>>>>> mvh
>>>>>
>>>>> -----Ursprungligt meddelande----- From: Magnus Sandberg
>>>>> Sent: Monday, May 21, 2012 11:12 AM
>>>>> To: FOSS-folk i Stockholm
>>>>> Subject: Re: Använda QR-koder för att skriva under kontrakt?
>>>>>
>>>>> Den 2012-05-18 15:11, Johan Thelin skrev:
>>>>>
>>>>>> 2012/5/18 Mattias Ekholm<mattias_at_ekholm.se>:
>>>>>>>
>>>>>>>
>>>>>>> QR-koden innehåller hash värdet som är unikt för det dokument du ska
>>>>>>> skriva
>>>>>>> under, stämmer inte hash värdet på det papper du får stucket under
>>>>>>> näsan med
>>>>>>> det hash värde du har skapat hemmavid så härrör de från olika
>>>>>>> dokument.
>>>>>>
>>>>>>
>>>>>>
>>>>>> Hur ser man skillnad på en QR-kod som är skapad från dokumentet i
>>>>>> fråga, och en som är skapad från ett annat dokument (t.ex. det man
>>>>>> tror sig skriva på)?
>>>>>>
>>>>>> Personligen tycker jag att man inte ska göra affärer med motparter som
>>>>>> man misstänker byter ut dokument under processen. Det känns som en
>>>>>> enklare lösning på problemet :-)
>>>>>>
>>>>>> /J
>>>>>
>>>>>
>>>>>
>>>>> Hej!
>>>>>
>>>>> Först och främst, jag är lekman och inte jurist.
>>>>>
>>>>> Det känns som att någon vill skapa en teknisk lösning utan att veta
>>>>> exakt vad man åstadkommer.
>>>>>
>>>>> Hur gör man idag om man vill vara juridiskt säkert på att båda parter
>>>>> skrivit under samma dokument. Jo, man har två identiska dokument där
>>>>> båda parter signerar varje sida, inkl sista sidan. Sedan skriver man
>>>>> under dokumentet, vanligen på sista sidan.
>>>>>
>>>>> På detta sätt finns både namnteckning och signatur för båda parter på
>>>>> en
>>>>> sida. På övriga sidor finns båda parters signaturer.
>>>>>
>>>>>
>>>>> För att lösa samma scenario "elektroniskt" måste det antigen finnas en
>>>>> standard för hur man gör detta eller så måste båda parter vid ett
>>>>> kontraktstillfälle vara överens om hur den "matematiska" processen går
>>>>> till, så att det finns en standard eller överenskommelse att falla
>>>>> tillbaka på när man blir oense.
>>>>>
>>>>> Först och främst måste man veta hur hash-värdet räknas ut, både
>>>>> datamängden som omfattas och formeln som används. Till exempel är
>>>>> hash-värdet hashen av textmängden med eller utan formatering, vilken
>>>>> teckenkodning gäller osv. Troligen borde det vara den oformaterade
>>>>> texten i Latin-1 eller UTF-8 eller motsvarade. På detta sätt kan man
>>>>> verifiera texten förhand utan att ha tillgång till originalfilen (genom
>>>>> att OCR-skanna eller skriva in förhand i lämplig texteditor).
>>>>>
>>>>> Sedan är det bara en smaksak om hash-värde skrivs i HEX-format eller
>>>>> QR.
>>>>> Denna hash/qr måste sedan finnas på varje sida i enlighet med
>>>>> signaturen
>>>>> så att man vet vilka sidor som ingick i det man skrev under.
>>>>>
>>>>>
>>>>> Det krävs helt enkelt betydligt mer jobb än att ta fram en mobilapp som
>>>>> kan avkoda en QR-kod och tala om vilket dokument det gäller. För att
>>>>> detta ska vara juridiskt hållbart behöver hela kedjan och processen
>>>>> vara
>>>>> beskriven och det behöver styrkas/bevisas att parterna av överens om
>>>>> tekniken och processen. Eftersom det inte finns någon vedertagen
>>>>> standard för detta behövs troligen en bilaga till dokumentet/kontraktet
>>>>> som beskriver den tekniska lösningen.
>>>>>
>>>>> Jag tror bläckpennan och signering av varje sida kommer leva kvar ett
>>>>> tag till.
>>>>>
>>>>> // Mem
>>>>
>>>>
>>>>
>>>> _______________________________________________
>>>> http://www.foss-sthlm.se/
>>>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>>>
>>>
>>>
>>> _______________________________________________
>>> http://www.foss-sthlm.se/
>>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>>
>>
>> _______________________________________________
>> http://www.foss-sthlm.se/
>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>
>
> _______________________________________________
> http://www.foss-sthlm.se/
> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm

_______________________________________________
http://www.foss-sthlm.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2012-05-23