Subject: Re: Använda QR-koder för att skriva under kontrakt?

Re: Använda QR-koder för att skriva under kontrakt?

From: Tomas Gustavsson <tomas_at_primekey.se>
Date: Wed, 23 May 2012 14:31:26 +0100

Tillbaks till ursprungsämnet.

Jag besöker just konferensen SDW2012 i London och pratade med ett
företag som heter Pagemark Technology. De gör QR-koder (pelta) som kan
innehålla gömd (covert) information. Han började prata om iden att
använda QR-koden som signatur på dokument. Det är mao många som funderar
på samma sak just nu, så idén ligge helt klart i tiden.

http://www.pagemarktechnology.com/home/

PS: jag har ingen koppling till detta företag.

Mvh,
Tomas

On 05/22/2012 11:03 PM, Tomas Gustavsson wrote:
> On 05/22/2012 07:54 PM, Daniel Bosk wrote:
>> 2012/5/22 Tomas Gustavsson<tomas_at_primekey.se>:
>>>
>>> Ett juridiskt sidospår... I Sverige har vi något som kallas fri
>>> bevisprövning. Det innebär att alla indicier, eller spår du kan hitta
>>> kan
>>> läggas fram i en domstolen. Det krävs inga formella uppfyllandekrav
>>> för att
>>> en elektronisk signatur skall vara giltig (tex kvalificerade
>>> signaturer som
>>> är populära på kontinenten). Det spelar ingen roll hur du kommit över
>>> dina
>>
>> Så vitt jag vet krävs en kvalificerad elektronisk signatur i Sverige
>> för att få samma juridiska värde som en signatur på papper, se SFS
>> 2000:832 [1] 2 § för definitionen av kvalificerad eletronisk signatur
>> samt 17 § för kravet på sådan.
>>
>> Jag är förvisso inte heller jurist, men den texten har jag svårt att
>> se hur den kan feltolkas.
>>
>> [1]
>> http://www.riksdagen.se/sv/Dokument-Lagar/Lagar/Svenskforfattningssamling/_sfs-2000-832/
>>
>
> Jag tolkar paragraf 17 helt annorlunda.
>
> 1. En kvalificerad signatur skall anses ha samma juridiska värde som en
> signatur på papper (om inte en myndighet har bestämt något annat).
> 2. Det står _inte_ att en icke kvalificerad signatur inte har detta
> bevisvärde.
>
> Mao tror jag det är fritt fram för en domstol att godkänna även en icke
> kvalificerad signatur (som tex BankId). Efter moget övervägande förståss
> :-)
> (Det rimmar även väl med FNs modellag för elektroniska signaturer som
> jag haft förmånen att lyssna på en föreläsning om).
>
> I sverige har kvalificerade signaturer i princip ingen användning alls,
> eftersom myndiheterna inte kräver detta.
> Jag känner bara till en enda användning av kvalificerade signaturer i
> Sverige, och det är mellan myndigheter, och ej för allmänheten.
>
> PS: jag är naturligtvis inte heller Jurist, men jag har lyssnat på ett
> par stycken.
>
>>
>>> bevis heller (inte som man ser i amerikanska filmer att bevis blir
>>> ogiltigförklarade).
>>> Det är sedan uppp till domstolen att bedöma hur starkt bevisvärdet
>>> är. Om du
>>> kan lägga fram flera oberoende indicier, email, papper etc så är det
>>> troligen starkare än en enda sak.
>>>
>>> I fallet med skatteverket finns troligen en auditlog lagrad
>>> någonstans där
>>> din signatur finns med som bevis på vad "du skickat in". Vad som sedan
>>> lagras i databasen kan som sagt vara något helt annat.
>>>
>>> För att återgå till kontraktskrivning vill man väl åstadkomma att båda
>>> parter har en likadan kopia av det signerade dokumentet. De kan sedan
>>> jämföras vi en eventuell tvist.
>>> I fallet med skattemyndigheteen skulle man kanske vilja ha en
>>> signerad kopia
>>> själv av det man skickat in, med skattemyndighetens
>>> "mottagarsignatur" så
>>> man kan bevisa vad man faktiskt skickat in.
>>> Det skulle vara mer jämförbart, ett kontrakt signeras ju oftast av
>>> fler än
>>> en part.
>>>
>>> Magnus, ur lagrandeperspektiv borde väl då QR-koder på papper vara
>>> oslagbart?
>>>
>>> Mvh,
>>> Tomas
>>>
>>>
>>>
>>> On 05/22/2012 09:06 AM, Magnus Sandberg wrote:
>>>>
>>>> Hej Mattias!
>>>>
>>>> Att använda en binärfil är inte framtidssäkert. Vem kan läsa min
>>>> Amiga-disketter idag? Eller min RLL-disk till MS-DOS-Hedenhös.
>>>> Tyvärr är
>>>> papper det mest framtidssäkra vi har.
>>>>
>>>> Jag har tidigare jobbat på Arbetsförmedlingen, då bl.a i ett projekt
>>>> gällande elektronisk arkivering och hur Stadsarkivet ska arkivera
>>>> elektroniska dokument för ALL framtid (japp myndigheters handlingar
>>>> skall arkiveras för all framtid).
>>>>
>>>> Vissa hävdar att vi kommer få en 75-100 årig lucka i historien under
>>>> den
>>>> tid vi trodde att elektronisk lagring var framtidssäkert. Alltså från
>>>> 1950-, 1960-talet fram tills den dag då vi återgår till stentavlor,
>>>> pergamentsrullar och papper för arkivering.
>>>>
>>>> Ojdå det blev ett långt stickspår, åter till det du skrev.
>>>>
>>>> Att jämföra med e-id eller BankId är både rätt och fel. Det är rätt ur
>>>> ett teoretiskt perspektiv.
>>>>
>>>> Men vilka är det som ger ut och använder E-id och BankId? Jo det är
>>>> bankerna, Skatteverket, Försäkringskassan mfl. Försök att bevisa att
>>>> banken eller Försäkringskassan manipulerat din banktransaktion eller
>>>> anmälan om vård av barn. Du som kund eller medborgare får på sin
>>>> höjd en
>>>> webbsida eller PDF att spara/skriva ut. Det du ser är inte samma data
>>>> som sparats i deras databaser. Du ser en genererad presentation av det
>>>> som finns i databasen. Du kan alltså inte genererar en hash som du
>>>> sedan
>>>> kan få verifierad. Inte heller visar denna hemsida eller PDF hashen som
>>>> finns i deras databas. Så om hashen i database ändras vid ett senare
>>>> tillfälle, därför att någon ändrat i databasen, så har du inget att
>>>> använda som bevis. Banken eller myndigheten kan hävda att du
>>>> manipulerat
>>>> det du valt att spara eftersom båda parter inte har tillgång till samma
>>>> grunddata.
>>>>
>>>> Vad gäller banker och myndigheter har vi som kunder och medborgare bara
>>>> att rätta oss efter deras lösningar om vi vill vara kund eller laglydig
>>>> medborgare. Och vad gör du ifall du upptäcker att ditt BankID är skapat
>>>> och signerat med ett DigiNotar-certifikat. Hur revokerar du ditt BankID
>>>> för att du tror att någon annan genererat ett falsk certifikat i ditt
>>>> namn? Så vi sitter i knät på bankerna på alla sätt. Att använda dem
>>>> blir
>>>> mest ett dåligt exempel.
>>>>
>>>> Det blev mycket svammel från min sida men jag vill visa att dessa saker
>>>> är betydligt svårare än vad man först tror. Som sagt var jag har jobbat
>>>> både med elektronisk arkivering och tjänstemanna-eid (skrivit
>>>> Arbetsförmedlingens remissvar till Kammarkollegiet för några år sedan).
>>>>
>>>> PS. Jag vet att du inte skrev BankID men det är i princip samma sak som
>>>> E-id idag.
>>>>
>>>> // Mem
>>>>
>>>>
>>>>
>>>> Den 2012-05-22 09:23, Mattias Ekholm skrev:
>>>>>
>>>>> Hej
>>>>>
>>>>> jag tror det är enklast att använda sig av binärfilen av flera
>>>>> orsaker,
>>>>> dels finns "ingen" risk att tolka data/texten fel samt att filen kan
>>>>> innehåller bilder eller t ex vara ett "komprimerat tar arkiv".
>>>>> För mig känns det lite som om man har hashvärdet på varje sida som
>>>>> signeras är lite liknande som en del i sina mail har med att mailet är
>>>>> "certified virus free by ACME virus scanner" :)
>>>>>
>>>>> På sidan man signerar ska det såklart framgå att det är ett hashvärde
>>>>> som representerar det kontrakt som ingås. Mer *borde* inte behöva
>>>>> stå på
>>>>> signeringspappret. För en bestridande motpart "räcker" det att visa
>>>>> att
>>>>> det finns minst två binärfiler som ger samma hashvärde, vilket idag
>>>>> anses omöjligt...
>>>>> Jämför t ex med e-id som används vitt och brett som ersättning för
>>>>> handskrivna signaturer... Det är nog rätt få som vet ens vilka
>>>>> algoritmer som används.
>>>>>
>>>>> Själv är jag inte heller jurist...
>>>>>
>>>>> mvh
>>>>>
>>>>> -----Ursprungligt meddelande----- From: Magnus Sandberg
>>>>> Sent: Monday, May 21, 2012 11:12 AM
>>>>> To: FOSS-folk i Stockholm
>>>>> Subject: Re: Använda QR-koder för att skriva under kontrakt?
>>>>>
>>>>> Den 2012-05-18 15:11, Johan Thelin skrev:
>>>>>
>>>>>> 2012/5/18 Mattias Ekholm<mattias_at_ekholm.se>:
>>>>>>>
>>>>>>> QR-koden innehåller hash värdet som är unikt för det dokument du ska
>>>>>>> skriva
>>>>>>> under, stämmer inte hash värdet på det papper du får stucket under
>>>>>>> näsan med
>>>>>>> det hash värde du har skapat hemmavid så härrör de från olika
>>>>>>> dokument.
>>>>>>
>>>>>>
>>>>>> Hur ser man skillnad på en QR-kod som är skapad från dokumentet i
>>>>>> fråga, och en som är skapad från ett annat dokument (t.ex. det man
>>>>>> tror sig skriva på)?
>>>>>>
>>>>>> Personligen tycker jag att man inte ska göra affärer med motparter
>>>>>> som
>>>>>> man misstänker byter ut dokument under processen. Det känns som en
>>>>>> enklare lösning på problemet :-)
>>>>>>
>>>>>> /J
>>>>>
>>>>>
>>>>> Hej!
>>>>>
>>>>> Först och främst, jag är lekman och inte jurist.
>>>>>
>>>>> Det känns som att någon vill skapa en teknisk lösning utan att veta
>>>>> exakt vad man åstadkommer.
>>>>>
>>>>> Hur gör man idag om man vill vara juridiskt säkert på att båda parter
>>>>> skrivit under samma dokument. Jo, man har två identiska dokument där
>>>>> båda parter signerar varje sida, inkl sista sidan. Sedan skriver man
>>>>> under dokumentet, vanligen på sista sidan.
>>>>>
>>>>> På detta sätt finns både namnteckning och signatur för båda parter
>>>>> på en
>>>>> sida. På övriga sidor finns båda parters signaturer.
>>>>>
>>>>>
>>>>> För att lösa samma scenario "elektroniskt" måste det antigen finnas en
>>>>> standard för hur man gör detta eller så måste båda parter vid ett
>>>>> kontraktstillfälle vara överens om hur den "matematiska" processen går
>>>>> till, så att det finns en standard eller överenskommelse att falla
>>>>> tillbaka på när man blir oense.
>>>>>
>>>>> Först och främst måste man veta hur hash-värdet räknas ut, både
>>>>> datamängden som omfattas och formeln som används. Till exempel är
>>>>> hash-värdet hashen av textmängden med eller utan formatering, vilken
>>>>> teckenkodning gäller osv. Troligen borde det vara den oformaterade
>>>>> texten i Latin-1 eller UTF-8 eller motsvarade. På detta sätt kan man
>>>>> verifiera texten förhand utan att ha tillgång till originalfilen
>>>>> (genom
>>>>> att OCR-skanna eller skriva in förhand i lämplig texteditor).
>>>>>
>>>>> Sedan är det bara en smaksak om hash-värde skrivs i HEX-format
>>>>> eller QR.
>>>>> Denna hash/qr måste sedan finnas på varje sida i enlighet med
>>>>> signaturen
>>>>> så att man vet vilka sidor som ingick i det man skrev under.
>>>>>
>>>>>
>>>>> Det krävs helt enkelt betydligt mer jobb än att ta fram en mobilapp
>>>>> som
>>>>> kan avkoda en QR-kod och tala om vilket dokument det gäller. För att
>>>>> detta ska vara juridiskt hållbart behöver hela kedjan och processen
>>>>> vara
>>>>> beskriven och det behöver styrkas/bevisas att parterna av överens om
>>>>> tekniken och processen. Eftersom det inte finns någon vedertagen
>>>>> standard för detta behövs troligen en bilaga till
>>>>> dokumentet/kontraktet
>>>>> som beskriver den tekniska lösningen.
>>>>>
>>>>> Jag tror bläckpennan och signering av varje sida kommer leva kvar ett
>>>>> tag till.
>>>>>
>>>>> // Mem
>>>>
>>>>
>>>> _______________________________________________
>>>> http://www.foss-sthlm.se/
>>>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>>>
>>>
>>> _______________________________________________
>>> http://www.foss-sthlm.se/
>>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>>
>> _______________________________________________
>> http://www.foss-sthlm.se/
>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>
> _______________________________________________
> http://www.foss-sthlm.se/
> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm

_______________________________________________
http://www.foss-sthlm.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2012-05-23