Sådan fungerer signeringsløsningen

Med Den Danske Stats signeringsløsning er det muligt at underskrive dokumenter eller aftaler med MitID, MitID Erhverv eller en Lokal IdP. Løsningen understøtter kvalificerede signaturer i henhold til eIDAS-forordningen.

Løsningen:

• overholder kravene i eIDAS-forordningen
• understøtter kvalificerede signaturer i henhold forordningen.

Det betyder blandt andet, at signaturer med MitID, MitID Erhverv eller Lokal IdP, har samme retsvirkning i EU som en almindelig håndskrevet underskrift.

Signeringsløsningen er baseret på CEN-standard for Remote Signing (EN 419 241-1 og EN 419 241-2) og producerer signeringsformater, som anerkendes af offentlige myndigheder i alle EU-lande.

Dokumenter, der bliver dannet, er på "Long-Term-Archival form" (LTA). LTA sikrer, at certifikatets status og tidspunktet for signaturen gemmes digitalt i de underskrevne dokumenter.

• Inputformat: Hvilke formater understøttes til signering?

  Input-formaterne er:

  • tekst
  • HTML
  • PDF
  • XML.
• Outputformat: Hvilket format har signaturen fra Den Danske Stats signeringsløsningen?

  Den Danske Stats signeringsløsning bruger følgende output-formater. I kan frit vælge et af formaterne uafhængigt af inputformat.

  • XAdES (XML Advanced digital Electronic Signatures)
  • PAdES (PDF Advanced digital Electronic Signatures).

  PAdES gør det muligt, at man fx med Adobe Acrobat Reader kan se,

  • om dokumentet er signeret
  • hvem der har signeret dokumentet.

  Begge formater indeholder kryptografisk tidsstempel.

• Brugeroplevelse: Hvordan kan brugerne underskrive i singeringsløsningen?

  Signeringsløsningen integreres i jeres it-system eller applikation via iframe.

  Brugerne kan underskrive ved at godkende med:

  • MitID
  • MitID Erhverv
  • Lokal IdP.
• Identifikationsmidler: Hvad skal man bruge til signering?

  Alle accepterede identifikationsmidler i NemLog-in, som har minimum National Standard for Identiteters Sikringsniveau (NSIS) Betydelig.

  Det betyder, at det er muligt at bruge følgende identifikationsmidler til signering:

  • MitID
  • MitID Erhverv
  • Lokal IdP (Lokal identitetsudbyder godkendt efter NSIS-sikringsniveau Betydelig eller højere)

  Læs mere NSIS her:

  Digitaliseringsstyrelsen: National Standard for Identiteters Sikringsniveauer (NSIS)

• Integration: Hvordan skal I integrere signeringsløsningen i jeres it-system/applikation?

  For at integrere Den Danske Stats signeringsløsningen i jeres it-system/applikation skal I følgende.

  • SignSDK implementeres i jeres it-system/applikation
  • signeringsklienten skal integreres direkte i jeres it-system/applikation.

  SignSDK er tilgængeligt i 2 forskellige formater:

  • Java
  • .Net

  Signerede dokumenter sendes ikke til back-enden, men forbliver i brugerens browser.

  Læs nærmere om, hvordan man integrere Den Danske Stats signeringsløsningen i jeres it-system/applikation her:

  Sådan implementer I signeringsløsningen

• Signaturbeviser: Hvordan kan I dokumentere signaturens ægthed og validitet?

  Ved signering med Den Danske Stats signeringsløsning vil signaturbeviset automatisk være en integreret del af det signerede dokument.

  Hvis I har behov for signaturbeviser på et senere tidspunkt, skal I opbevare en lokal kopi af de signerede dokumenter.

• Signeringsprofiler: Hvordan digitale signaturer i Den Danske Stats signeringsløsning er opsat?

  Signeringsprofilerne er beskrevet i Den Danske Stats certifikatprofiler.

  Den Danske Stat Tillidstjenester: Efterlevelseserklæringer: Profiler

• Identifikation af underskriver som privatperson

  Når en privat person har signeret et dokument, som bruger Den Danske Stats signeringsløsning, får it-udbyderen det underskrevne dokument retur. Det er som regel nødvendigt for it-systemudbyderen at kontrollere identiteten af underskriver.

  Personsignaturer anvender et af følgende UUID'er: 

  • Sessionsspecifikt UUID: Der udstedes et nyt UUID for hver signatur, en person afgiver. Hvis en person underskriver 2 forskellige dokumenter, tildeles hvert dokument sit eget unikke UUID. En udenforstående vil ikke kunne se, at disse UUID’er tilhører samme person.
  • Globalt UUID: Der anvendes samme UUID, hver gang en person signerer.

  For at identificere underskriveren anvendes opslags- og matchtjenester i NemLog-in.

  I kan bruge følgende til at fremsøge underskriverens identitet.

  • SubjectMatchesSigner: Denne metode kræver, at brugeren logger ind hos samme it-systemudbyder, inden brugeren underskriver et dokument. Metoden er relevant, når brugeren alligevel skal logge ind på it-systemet, før brugeren signerer.
  • CPRUUIDMatchesSigner: Hvis tjenesteudbyderen har kendskab til underskrivers CPRUUID ved tidligere login med OIOSAML3, kan det også bruges i et match-opslag. Offentlige it-systemudbydere kan have kendskab til CPRUUID fra Datafordeler.
  • CPRMatchesSigner: Dette opslag svarer til PID-CPR match og kan anvendes af alle it-systemudbydere. Opslaget afgør, om UUID fra signeringscertifikatet (globalt eller sessionsspecifikt) tilhører en person med et givet CPR-nummer.

  Hvis it-systemet udfører myndighedsopgave, kan I også anvende:

  • global identifikator i signeringscertifikat, og lav efterfølgende et direkte opslag i Datafordeler med globalt UUID (CPRUUID)

  Bemærk, at it-systemer, der udfører myndighedsopgave, kan oprettes i NemLog-in, hvis I er:

  • en offentlig myndighed (statslig administrativ enhede, region og kommune)
  • et offentligretligt organ eller en privat organisation, der har anmodet om og er blevet godkendt til at oprette et sådant it-system.

  Læs mere om, hvordan I skal anmode om det, under "2. Ansøg om rettighed til at oprette it-system, hvorfra der udføres myndighedsopgave" på følgende side:

  NemLog-in.dk: Private organisationer

  Få yderligere information om opslags- og matchtjenester:

  NemLog-in.dk: Dokumentation og vejledning: Opslags- og matchtjenester

  Få yderligere information om Datafordeler:

  Datafordeler.dk