Subject: Re: Använda QR-koder för att skriva under kontrakt?

Re: Använda QR-koder för att skriva under kontrakt?

From: Tomas Gustavsson <tomas_at_primekey.se>
Date: Wed, 23 May 2012 08:56:27 +0100

<snip>

> P.S. Du råkar inte veta vilken myndighet som utsetts som
> tillsynsmyndighet för detta? Jag har inget minne av att ha läst detta
> någonstans.

I Sverige är det PTS som är tillsynsmyndighet. Vad jag vet utövar de
ingen kontroll, utan har bara hand om en lista där en utgivare kan
anmäla sig och hävda att man utger kvalificerade certifikat.

http://www.pts.se/sv/Bransch/Internet/Elektroniska-signaturer/Fragor-och-svar/Kvalificerat-certifikat/

Mvh,
Tomas

>
>>
>>>
>>>> bevis heller (inte som man ser i amerikanska filmer att bevis blir
>>>> ogiltigförklarade).
>>>> Det är sedan uppp till domstolen att bedöma hur starkt bevisvärdet är. Om
>>>> du
>>>> kan lägga fram flera oberoende indicier, email, papper etc så är det
>>>> troligen starkare än en enda sak.
>>>>
>>>> I fallet med skatteverket finns troligen en auditlog lagrad någonstans
>>>> där
>>>> din signatur finns med som bevis på vad "du skickat in". Vad som sedan
>>>> lagras i databasen kan som sagt vara något helt annat.
>>>>
>>>> För att återgå till kontraktskrivning vill man väl åstadkomma att båda
>>>> parter har en likadan kopia av det signerade dokumentet. De kan sedan
>>>> jämföras vi en eventuell tvist.
>>>> I fallet med skattemyndigheteen skulle man kanske vilja ha en signerad
>>>> kopia
>>>> själv av det man skickat in, med skattemyndighetens "mottagarsignatur" så
>>>> man kan bevisa vad man faktiskt skickat in.
>>>> Det skulle vara mer jämförbart, ett kontrakt signeras ju oftast av fler
>>>> än
>>>> en part.
>>>>
>>>> Magnus, ur lagrandeperspektiv borde väl då QR-koder på papper vara
>>>> oslagbart?
>>>>
>>>> Mvh,
>>>> Tomas
>>>>
>>>>
>>>>
>>>> On 05/22/2012 09:06 AM, Magnus Sandberg wrote:
>>>>>
>>>>>
>>>>> Hej Mattias!
>>>>>
>>>>> Att använda en binärfil är inte framtidssäkert. Vem kan läsa min
>>>>> Amiga-disketter idag? Eller min RLL-disk till MS-DOS-Hedenhös. Tyvärr är
>>>>> papper det mest framtidssäkra vi har.
>>>>>
>>>>> Jag har tidigare jobbat på Arbetsförmedlingen, då bl.a i ett projekt
>>>>> gällande elektronisk arkivering och hur Stadsarkivet ska arkivera
>>>>> elektroniska dokument för ALL framtid (japp myndigheters handlingar
>>>>> skall arkiveras för all framtid).
>>>>>
>>>>> Vissa hävdar att vi kommer få en 75-100 årig lucka i historien under den
>>>>> tid vi trodde att elektronisk lagring var framtidssäkert. Alltså från
>>>>> 1950-, 1960-talet fram tills den dag då vi återgår till stentavlor,
>>>>> pergamentsrullar och papper för arkivering.
>>>>>
>>>>> Ojdå det blev ett långt stickspår, åter till det du skrev.
>>>>>
>>>>> Att jämföra med e-id eller BankId är både rätt och fel. Det är rätt ur
>>>>> ett teoretiskt perspektiv.
>>>>>
>>>>> Men vilka är det som ger ut och använder E-id och BankId? Jo det är
>>>>> bankerna, Skatteverket, Försäkringskassan mfl. Försök att bevisa att
>>>>> banken eller Försäkringskassan manipulerat din banktransaktion eller
>>>>> anmälan om vård av barn. Du som kund eller medborgare får på sin höjd en
>>>>> webbsida eller PDF att spara/skriva ut. Det du ser är inte samma data
>>>>> som sparats i deras databaser. Du ser en genererad presentation av det
>>>>> som finns i databasen. Du kan alltså inte genererar en hash som du sedan
>>>>> kan få verifierad. Inte heller visar denna hemsida eller PDF hashen som
>>>>> finns i deras databas. Så om hashen i database ändras vid ett senare
>>>>> tillfälle, därför att någon ändrat i databasen, så har du inget att
>>>>> använda som bevis. Banken eller myndigheten kan hävda att du manipulerat
>>>>> det du valt att spara eftersom båda parter inte har tillgång till samma
>>>>> grunddata.
>>>>>
>>>>> Vad gäller banker och myndigheter har vi som kunder och medborgare bara
>>>>> att rätta oss efter deras lösningar om vi vill vara kund eller laglydig
>>>>> medborgare. Och vad gör du ifall du upptäcker att ditt BankID är skapat
>>>>> och signerat med ett DigiNotar-certifikat. Hur revokerar du ditt BankID
>>>>> för att du tror att någon annan genererat ett falsk certifikat i ditt
>>>>> namn? Så vi sitter i knät på bankerna på alla sätt. Att använda dem blir
>>>>> mest ett dåligt exempel.
>>>>>
>>>>> Det blev mycket svammel från min sida men jag vill visa att dessa saker
>>>>> är betydligt svårare än vad man först tror. Som sagt var jag har jobbat
>>>>> både med elektronisk arkivering och tjänstemanna-eid (skrivit
>>>>> Arbetsförmedlingens remissvar till Kammarkollegiet för några år sedan).
>>>>>
>>>>> PS. Jag vet att du inte skrev BankID men det är i princip samma sak som
>>>>> E-id idag.
>>>>>
>>>>> // Mem
>>>>>
>>>>>
>>>>>
>>>>> Den 2012-05-22 09:23, Mattias Ekholm skrev:
>>>>>>
>>>>>>
>>>>>> Hej
>>>>>>
>>>>>> jag tror det är enklast att använda sig av binärfilen av flera orsaker,
>>>>>> dels finns "ingen" risk att tolka data/texten fel samt att filen kan
>>>>>> innehåller bilder eller t ex vara ett "komprimerat tar arkiv".
>>>>>> För mig känns det lite som om man har hashvärdet på varje sida som
>>>>>> signeras är lite liknande som en del i sina mail har med att mailet är
>>>>>> "certified virus free by ACME virus scanner" :)
>>>>>>
>>>>>> På sidan man signerar ska det såklart framgå att det är ett hashvärde
>>>>>> som representerar det kontrakt som ingås. Mer *borde* inte behöva stå
>>>>>> på
>>>>>> signeringspappret. För en bestridande motpart "räcker" det att visa att
>>>>>> det finns minst två binärfiler som ger samma hashvärde, vilket idag
>>>>>> anses omöjligt...
>>>>>> Jämför t ex med e-id som används vitt och brett som ersättning för
>>>>>> handskrivna signaturer... Det är nog rätt få som vet ens vilka
>>>>>> algoritmer som används.
>>>>>>
>>>>>> Själv är jag inte heller jurist...
>>>>>>
>>>>>> mvh
>>>>>>
>>>>>> -----Ursprungligt meddelande----- From: Magnus Sandberg
>>>>>> Sent: Monday, May 21, 2012 11:12 AM
>>>>>> To: FOSS-folk i Stockholm
>>>>>> Subject: Re: Använda QR-koder för att skriva under kontrakt?
>>>>>>
>>>>>> Den 2012-05-18 15:11, Johan Thelin skrev:
>>>>>>
>>>>>>> 2012/5/18 Mattias Ekholm<mattias_at_ekholm.se>:
>>>>>>>>
>>>>>>>>
>>>>>>>> QR-koden innehåller hash värdet som är unikt för det dokument du ska
>>>>>>>> skriva
>>>>>>>> under, stämmer inte hash värdet på det papper du får stucket under
>>>>>>>> näsan med
>>>>>>>> det hash värde du har skapat hemmavid så härrör de från olika
>>>>>>>> dokument.
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> Hur ser man skillnad på en QR-kod som är skapad från dokumentet i
>>>>>>> fråga, och en som är skapad från ett annat dokument (t.ex. det man
>>>>>>> tror sig skriva på)?
>>>>>>>
>>>>>>> Personligen tycker jag att man inte ska göra affärer med motparter som
>>>>>>> man misstänker byter ut dokument under processen. Det känns som en
>>>>>>> enklare lösning på problemet :-)
>>>>>>>
>>>>>>> /J
>>>>>>
>>>>>>
>>>>>>
>>>>>> Hej!
>>>>>>
>>>>>> Först och främst, jag är lekman och inte jurist.
>>>>>>
>>>>>> Det känns som att någon vill skapa en teknisk lösning utan att veta
>>>>>> exakt vad man åstadkommer.
>>>>>>
>>>>>> Hur gör man idag om man vill vara juridiskt säkert på att båda parter
>>>>>> skrivit under samma dokument. Jo, man har två identiska dokument där
>>>>>> båda parter signerar varje sida, inkl sista sidan. Sedan skriver man
>>>>>> under dokumentet, vanligen på sista sidan.
>>>>>>
>>>>>> På detta sätt finns både namnteckning och signatur för båda parter på
>>>>>> en
>>>>>> sida. På övriga sidor finns båda parters signaturer.
>>>>>>
>>>>>>
>>>>>> För att lösa samma scenario "elektroniskt" måste det antigen finnas en
>>>>>> standard för hur man gör detta eller så måste båda parter vid ett
>>>>>> kontraktstillfälle vara överens om hur den "matematiska" processen går
>>>>>> till, så att det finns en standard eller överenskommelse att falla
>>>>>> tillbaka på när man blir oense.
>>>>>>
>>>>>> Först och främst måste man veta hur hash-värdet räknas ut, både
>>>>>> datamängden som omfattas och formeln som används. Till exempel är
>>>>>> hash-värdet hashen av textmängden med eller utan formatering, vilken
>>>>>> teckenkodning gäller osv. Troligen borde det vara den oformaterade
>>>>>> texten i Latin-1 eller UTF-8 eller motsvarade. På detta sätt kan man
>>>>>> verifiera texten förhand utan att ha tillgång till originalfilen (genom
>>>>>> att OCR-skanna eller skriva in förhand i lämplig texteditor).
>>>>>>
>>>>>> Sedan är det bara en smaksak om hash-värde skrivs i HEX-format eller
>>>>>> QR.
>>>>>> Denna hash/qr måste sedan finnas på varje sida i enlighet med
>>>>>> signaturen
>>>>>> så att man vet vilka sidor som ingick i det man skrev under.
>>>>>>
>>>>>>
>>>>>> Det krävs helt enkelt betydligt mer jobb än att ta fram en mobilapp som
>>>>>> kan avkoda en QR-kod och tala om vilket dokument det gäller. För att
>>>>>> detta ska vara juridiskt hållbart behöver hela kedjan och processen
>>>>>> vara
>>>>>> beskriven och det behöver styrkas/bevisas att parterna av överens om
>>>>>> tekniken och processen. Eftersom det inte finns någon vedertagen
>>>>>> standard för detta behövs troligen en bilaga till dokumentet/kontraktet
>>>>>> som beskriver den tekniska lösningen.
>>>>>>
>>>>>> Jag tror bläckpennan och signering av varje sida kommer leva kvar ett
>>>>>> tag till.
>>>>>>
>>>>>> // Mem
>>>>>
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> http://www.foss-sthlm.se/
>>>>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>>>>
>>>>
>>>>
>>>> _______________________________________________
>>>> http://www.foss-sthlm.se/
>>>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>>>
>>>
>>> _______________________________________________
>>> http://www.foss-sthlm.se/
>>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>>
>>
>> _______________________________________________
>> http://www.foss-sthlm.se/
>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>
> _______________________________________________
> http://www.foss-sthlm.se/
> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm

_______________________________________________
http://www.foss-sthlm.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2012-05-23