Elektroniska signaturer : hur upplevs dess påstådda brister?

Franzen, Jonas

January 2002

<p>För att informationsöverföring över publika nät ska kunna utföras på ett säkert sätt krävs identifiering, signering och kryptering, vilka är grundstenarna i en elektronisk signatur. Dessa delar i kombination ger oss bl.a. säker e-handel. Som plattform för detta ligger PKI (Public Key Infrastructure), vilket är samlingsnamnet för lösningar där man med hjälp av en speciell krypteringsteknologi skapar system för identifiering, kryptering och integritetskontroll (Halvarsson & Morin, 2000). Systemen kan användas för att till exempel skapa elektroniska signaturer för olika typer av avtal, säkra elektroniska transaktioner, identifiering av användare, säker e-post, och olika typer av säker kommunikation över publika nätverk.</p><p>Tekniken lovordas till stor del, men även dess brister förs fram av kritikerna. Det gäller exempelvis rutiner för utgivande av certifikat, vem ett certifikat verkligen tillhör etc. Detta arbete syftar till att ta reda på huruvida de påstådda bristerna upplevs hos sakkunniga i ämnet genom litteraturstudier och intervjuer. Resultatet pekar på att brister föreligger, men att de inte upplevs vara i den omfattning som kritikerna menar.</p>

PKI

digitala signaturer

elektroniska signaturer

smart card

certifikat

Computer and systems science

Data- och systemvetenskap

Skriftligt formkrav : det digitala dokumentet

Aho, Sina

January 2010

This thesis seeks to investigate how an agreed written form requirement is met in an electronic environment. Swedish Contract law is applied since Sweden lack specific regulation for electronically closed agreements. Since contractual freedom prevails in Swedish law, it is up to the parties themselves to decide if the formal requirements to be applied. In order to assess whether the written requirement is fulfilled in the electronic environment, a purpose-oriented analysis should be made. When the purpose of why a written form requirement applies has been clarified, the analysis continues to assess whether the objective can be achieved with the modern form of communication. The method is called functional equivalence and means that when an electronic media fulfill the same functions as the paper medium so will the electronic medium as a starting point to give the same legal effect as if it were the case of a written paper document. This is in accordance with the UNCITRAL Model Law on Electronic Commerce. The international debate on electronic contracting are way ahead of Sweden, therefore, the international regulations DCFR, UNCITRAL, UNIDROIT and CISG had been significant. The traditional handwritten document has for a long timed been having a probative value. A paper document can be summed up in its constituent elements, security, accessibility and confidentiality. Security is measured by the courts to give it a certain probative value. The probative value is given when only the integrity and traceability can be ensured. In summary, it can be said that the above criteria gives thus writing its great importance. These criteria are met by the electronic document; therefore, there is nothing to suggest that the writing is not met in the electronic communications media. Finally, the electronic document provides the same high probative value as a paper document.

skriftlighetskrav

avtalslagen

elektroniska kommunikationsmedier

digitala signaturer

formkrav

Contract law

Allmän avtalsrätt

Elektroniska signaturer : hur upplevs dess påstådda brister?

Franzen, Jonas

January 2002

För att informationsöverföring över publika nät ska kunna utföras på ett säkert sätt krävs identifiering, signering och kryptering, vilka är grundstenarna i en elektronisk signatur. Dessa delar i kombination ger oss bl.a. säker e-handel. Som plattform för detta ligger PKI (Public Key Infrastructure), vilket är samlingsnamnet för lösningar där man med hjälp av en speciell krypteringsteknologi skapar system för identifiering, kryptering och integritetskontroll (Halvarsson &amp; Morin, 2000). Systemen kan användas för att till exempel skapa elektroniska signaturer för olika typer av avtal, säkra elektroniska transaktioner, identifiering av användare, säker e-post, och olika typer av säker kommunikation över publika nätverk. Tekniken lovordas till stor del, men även dess brister förs fram av kritikerna. Det gäller exempelvis rutiner för utgivande av certifikat, vem ett certifikat verkligen tillhör etc. Detta arbete syftar till att ta reda på huruvida de påstådda bristerna upplevs hos sakkunniga i ämnet genom litteraturstudier och intervjuer. Resultatet pekar på att brister föreligger, men att de inte upplevs vara i den omfattning som kritikerna menar.

PKI

digitala signaturer

elektroniska signaturer

smart card

certifikat

Information Systems

Elliptic Curve Digital Signatures in RSA Hardware / Digitala signaturer över elliptiska kurvor på RSA-hårdvara

Krisell, Martin

January 2012

A digital signature is the electronic counterpart to the hand written signature. It can prove the source and integrity of any digital data, and is a tool that is becoming increasingly important as more and more information is handled electronically. Digital signature schemes use a pair of keys. One key is secret and allows the owner to sign some data, and the other is public and allows anyone to verify the signature. Assuming that the keys are large enough, and that a secure scheme is used, it is impossible to find the private key given only the public key. Since a signature is valid for the signed message only, this also means that it is impossible to forge a digital signature. The most well-used scheme for constructing digital signatures today is RSA, which is based on the hard mathematical problem of integer factorization. There are, however, other mathematical problems that are considered even harder, which in practice means that the keys can be made shorter, resulting in a smaller memory footprint and faster computations. One such alternative approach is using elliptic curves. The underlying mathematical problem of elliptic curve cryptography is different to that of RSA, however some structure is shared. The purpose of this thesis was to evaluate the performance of elliptic curves compared to RSA, on a system designed to efficiently perform the operations associated with RSA. The discovered results are that the elliptic curve approach offers some great advantages, even when using RSA hardware, and that these advantages increase significantly if special hardware is used. Some usage cases of digital signatures may, for a few more years, still be in favor of the RSA approach when it comes to speed. For most cases, however, an elliptic curve system is the clear winner, and will likely be dominant within a near future. / En digital signatur är den elektroniska motsvarigheten till en handskriven signatur. Den kan bevisa källa och integritet för valfri data, och är ett verktyg som blir allt viktigare i takt med att mer och mer information hanteras digitalt. Digitala signaturer använder sig av två nycklar. Den ena nyckeln är hemlig och tillåter ägaren att signera data, och den andra är offentlig och tillåter vem som helst att verifiera signaturen. Det är, under förutsättning att nycklarna är tillräck- ligt stora och att det valda systemet är säkert, omöjligt att hitta den hemliga nyckeln utifrån den offentliga. Eftersom en signatur endast är giltig för datan som signerades innebär detta också att det är omöjligt att förfalska en digital signatur. Den mest välanvända konstruktionen för att skapa digitala signaturer idag är RSA, som baseras på det svåra matematiska problemet att faktorisera heltal. Det finns dock andra matematiska problem som anses vara ännu svårare, vilket i praktiken innebär att nycklarna kan göras kortare, vilket i sin tur leder till att mindre minne behövs och att beräkningarna går snabbare. Ett sådant alternativ är att använda elliptiska kurvor. Det underliggande matematiska problemet för kryptering baserad på elliptiska kurvor skiljer sig från det som RSA bygger på, men de har en viss struktur gemensam. Syftet med detta examensarbete var att utvärdera hur elliptiska kurvor presterar jämfört med RSA, på ett system som är designat för att effektivt utföra RSA. De funna resultaten är att metoden med elliptiska kurvor ger stora fördelar, även om man nyttjar hårdvara avsedd för RSA, och att dessa fördelar ökar mångfaldigt om speciell hårdvara används. För några användarfall av digitala signaturer kan, under några år framöver, RSA fortfarande vara fördelaktigt om man bara tittar på hastigheten. För de flesta fall vinner dock elliptiska kurvor, och kommer troligen vara dominant inom kort.

Cryptography

Digital Signatures

Elliptic Curves

ECC

ECDSA

ECIES

RSA

Kryptering

Digitala signaturer

Elliptiska kurvor

ECC

ECSDA

ECIES

RSA

Digitala signaturer : ett verktyg för säkerhet?

Rynmark, Anneli, Almkvist, Inger Lison

January 2002

Statliga myndigheter använder i allt större utsträckning öppna system, så som Internet, i sin kommunikation med medborgare, företag och andra myndigheter, därmed ställs allt högre krav på säkerhet och tillit. I takt med den ökade användningen av elektronisk kommunikation uppstår nya problem. Några av dessa är att vi inte med säkerhet vet vem vi kommunicerar med, vem som beställer tjänster och att vi inte kan vara säkra på att information kommer till rätt person eller har ändrats på vägen. Verktyg som finns för att lösa dessa problem och öka säkerheten är digitala signaturer och elektronisk identifiering. Med detta som bakgrund ställde vi oss följande frågor, vilken teknik ska statliga myndigheter använda för elektronisk identifiering och signering? Vilken teknik ska användas för att uppfylla kraven på säker elektronisk överföring? Kan statliga myndigheter ersätta traditionella namnunderskrifter med kvalificerade elektroniska signaturer? Syftet med vår uppsats blir därför att i första hand redogöra för hur statliga myndigheter avser att ersätta traditionella namnunderskrifter med kvalificerade elektroniska signaturer. Genom litteraturstudierna skaffade vi oss kunskaper om både teknik och användningsområden för digitala signaturer och genom att beskriva dessa tekniker får läsarna en introduktion i ämnet. Våra intervjuer gav oss en övergripande bild av hur statliga myndigheter avser att ersätta traditionella namnunderskrifter och hur de tänker förse medborgare med elektroniska identitetshandlingar så att myndigheternas e-tjänster kan användas. Vid intervjuerna framkom också att lagen om kvalificerade elektroniska signaturer föreskriver Public Key Infrastructure, PKI, och inte accepterar några andra tekniska lösningar, därför har myndigheterna valt denna teknik. För att se hur statliga myndigheter, i verkligheten, har ersatt traditionella namnunderskrifter med kvalificerade elektroniska signaturer och hur kraven på säker elektronisk identifiering och överföring uppfylls har vi gjort en fallstudie på Riksskatteverket, RSV. Vi intervjuade en projektledare på RSVs IT- enhet och ansvarig på statskontorets enhet för IT- infrastruktur och såg att RSV har försett företag med elektroniska identitetshandlingar. Med hjälp av dessa handlingar kan företag lämna sin månatliga skattedeklaration, via Internet. Genom PKI har myndigheterna de tekniker och metoder som behövs för elektronisk identifiering, signering, kryptering och säker elektronisk överföring. Med PKI kan myndigheterna med säkerhet identifiera avsändare, signera elektroniskt, kryptera dokument och ersätta traditionella namnunderskrifter med elektroniska signaturer. Trots att alla ingredienser finns så kan myndigheterna i dagsläget inte nå den höga säkerhetsnivån som krävs för att kunna ersätta traditionella namnunderskrifter med kvalificerade elektroniska signaturer.

Digitala signaturer

elektroniska signaturer

elektronisk identifiering

kryptering

kvalificerade elektroniska signaturer

Public Key Infrastructure

Computer Sciences

Datavetenskap (datalogi)

Pappershantering leder till underskriftssjuka : En studie av myndigheters införande av digitala signaturer / Paper Management Results in a Signing Frenzy : A study of implementations of digital signatures in Swedish government agencies

Lundstedt, Rickard

January 2019

Digital signatures is a small and relatively new subject in digital preservation. There has been substantial research made in how to technically preserve a digital signature. However the research regarding the implementation and surrounding practices are relatively unexplored. This thesis analyses documentation from Swedish public sector about digital signature, develop models that express practices, and evaluate them against current normative frameworks within the field of digital preservation. Different government agencies were queried for documentation, which were analysed with Grounded Theory and Policy analysis. This generated a set of models which can be used to implement digital signatures into an organisation. Here we find models for managing user identities, selecting signatures on the basis of document type, researching legal questions, managing personal information and user rights, and for organisation of an implementation project.  This is a two years master’s thesis in Archival Science.

Digital preservation

digital signatures

archival science

Digitalt bevarande

digitala signaturer

arkivvetenskap

Other Humanities not elsewhere specified

Övrig annan humaniora

GitBark : A Rule-Based Framework for Maintaining Integrity in Source Code Repositories / GitBark : Tillhandahållandet av trovärdighet och integritet i källkod

Bonnici, Elias

January 2023

In today’s digital landscape, maintaining the integrity of source code is crucial for delivering reliable and trustworthy software solutions. However, the increasing prevalence of attacks targeting source code repositories and version control systems (VCSs) poses significant challenges to source code integrity. Unauthorized access to source code repositories can lead to various security risks, including the introduction of malicious code or unauthorized approvals for pull requests. Security measures implemented on the remote server hosting the repository are typically insufficient to detect these types of attacks, resulting in changes potentially remaining undetected and becoming part of the deployed artifact. To address those issues, this study proposes GitBark, a framework that employs cryptographic methods to verify the integrity of a source code repository. GitBark achieves this by enforcing rules and policies on the commits made to the repository. Specifically, the study demonstrates that by formulating rules that utilize digital signatures, GitBark can effectively identify unauthorized changes and approvals. Moreover, GitBark prioritizes maintaining the local repository in a consistent and trustworthy state, reducing reliance on the remote server. Even if changes violating established rules are introduced to the remote repository, GitBark prevents their integration into the local repository. Consequently, users of GitBark can have confidence that their local repository remains a consistent and trustworthy version of the source code, without needing to place full trust on a remote server. An evaluation of GitBark, along with the devised rules, demonstrates its effectiveness in mitigating the threats identified in this study. Additionally, in terms of performance, GitBark incurs a modest overhead, both in time and storage. / I dagens digital värld, så är det viktigare än någonsin att källkodens integritet upprätthålls. Detta är kritiskt för att kunna leverera tillförlitlig och kvalitativ mjukvara. Den ständigt ökade förekomsten av attacker som riktar sig mot källkodsrepon och versionshanteringssystem gör dock upprätthållandet av källkodens integritet svårt. Obehörig åtkomst till källkodsrepo ger upphov till flera säkerhetsrisker såsom inkluderandet av skadlig kod eller obehöriga godkännanden av nya ändringar. De säkerhetsåtgärder som finns implementerade på värdserven där källkodsrepot lagras kan generellt sätt inte detektera dessa typer av attacker, vilket resulterar i att dessa typer av ändringar oftast förblir oupptäckta. För att adressera dessa problem, så presenterar denna studie GitBark, ett verktyg som utnyttjar kryptografiska medel för att verifiera integriteten av ett källkodsrepo. GitBark gör detta genom att kräva regler för commits som görs till källkodsrepot och validera att de upprätthålls. Mer specifikt, så visar att studien att genom att formulera regler som uttnyttjar digitala signaturer så kan GitBark effektivt identifiera oauktoriserade ändringar och godkännanden. Dessutom, prioriterar GitBark att alltid bibehålla det lokala källkodsrepot i ett konsekvent och trovärdigt tillstånd, för att minska beroendet på en remoteserver. Även ifall ändringar som inte uppfyller reglerna introduceras på remote-källkodsrepot så ser GitBark till att dessa ändringar aldrig integreras i det lokala repot. Följaktligen så kan användare av GitBark känna sig säkra i att det lokala källkodsrepot alltid förblir i ett konsekvent och trovärdigt tillstånd i relation till dem etablerade reglerna, utan att behöva förlita sig på en remoteserver. En evaluering av GitBark, tillsammans med de skapade reglerna påvisar dess effektivitet i att adressera de identifierade hoten i denna studie. Dessutom, vad gäller prestanda så har GitBark en liten påverkan både i tid och utrymme.

Source Code Integrity

Version Control System

Git

Threat modeling

Digital signatures

Källkodsintegritet

Versionshanteringssystem

Git

Hotmodellering

Digitala signaturer

Computer and Information Sciences

Data- och informationsvetenskap

Modernizing forms at KTH : Using Digital Signatures

Engström, Pontus

January 2016

Today both government agencies and companies struggle to keep up with the pace of the continuous change of technology. With all new technology there are benefits, but new problems might also occur. Implementing new technology for certain tasks may increase both efficiency and security, resulting in a more sustainable work environment. One technology that is increasingly adopted is digital signatures. Instead of using classical handwritten signatures on documents, a digital signature can be more time efficient and have higher security. In order to implement a digital signature technology some security aspects must be addressed and certain properties ensured. In the document signature process, each time an individual verifies a signature attached onto a document a log entry is created. This log contains information about who verified which document, does it have multiple parts that have been signed, does it need multiple signatures in order to be valid, and at what time and date was the document signed. Logs help to ensure the validity of the document and thereby increase the security provided by the digital signatures. At KTH, a student must sign an application form with a regular ink-written signature to start a thesis project. This process can in most cases delay the start up to two weeks. This study aims to implement digital signatures for one specific form, an application form for a thesis project. The hypothesis at the start of the project was that the use of digital signature would decrease the time of waiting significantly. Personnel at KTH using digital signature would facilitate their work efficiency, due to less printing and archiving of papers as well fewer meetings. This study will provide the reader with the necessary fundamental knowledge of cryptography and how digital signatures use this underlying technology. The methodology used in this study was to identify and modify certain software settings, as well collect data from students and personnel at KTH. The collected data was based on time measurements of digital signature processes from students and a faculty member. The results show digital signatures are faster than the current signing process with traditional ink-written signatures. Additionally, the use of digital signatures is expected to reduce the need for printing, transport, and sorting of paper documents. The resulting reduction in use of physical paper should provide environmental benefits. / Dagens myndigheter och företag har det svårt att ständigt följa den tekniska utvecklingen. Ny teknik skapar oftast nya fördelar och andra förmåner men kan ibland också orsaka problem. Att implementera ny teknik för specifika ändamål kan öka både effektivitet och säkerhet, vilket resulterar i en mer effektiv arbetsplats. En teknik som introduceras allt mer på sistone är digitala signaturer. Istället för att signera dokument med en handskriven signatur kan en digital signatur vara mer tidseffektiv och ha en högre säkerhet. För att implementera tekniken bakom digitala signaturer måste särskilda säkerhetsaspekter adresseras och specifika inställningar säkerställas. I signaturprocessen måste varje individ verifiera signaturen som är bifogad på dokumentet, denna verifiering skapar även en logg. En logg innehåller bland annat information om vem som verifierade dokumentet, om dokumentet har fler än en bifogad signatur, behöver dokumentet fler signaturer för att vara giltigt och vilken tid och datum var dokumentet signerat. En logg säkerställer validiteten av dokumentet och ökar därmed säkerheten för digitala signaturer. På KTH krävs en skriftlig ansökan för att påbörja ett examensarbete. Med nuvarande process kan det i vissa fall leda till en försenad projektstart med upp till två veckor. Den här studien syftar till att implementera digitala signaturer för ett specifikt formulär, en ansökningsblankett för att påbörja ett examensarbete. Hypotesen vid projektstart var att användning av digitala signaturer skulle kunna förminska väntetiden signifikant. Anställda på KTH som utnyttjar digitala signaturer skulle kunna förbättra deras arbetseffektivitet på grund av färre pappersutskrifter, mindre pappersarkivering och färre möten. Den här studien kommer att förse läsaren med de mest nödvändiga kunskaperna av kryptografi och hur digitala signaturer använder krypteringsfenomenet. Metodiken som användes syftade till att identifiera och modifiera specifika mjukvaruinställningar samt samla in data från studenter och personal på KTH. Den insamlade datan baserades på tidsmätningar av digitala signatursprocesser från studenter, studievägledare och handledare. Resultatet från studien visade att digitala signaturer skulle ge en snabbare signeringsprocess än nuvarande formulär. Det kan dessutom förväntas att med digitala signaturer skulle pappersutskrifter, papperstransporter och sortering av dessa dokument reduceras. Resultatet av minskad användning av fysiskt papper kommer att generera arbetsfördelar.

Authentication

cryptography

digital signature

digital certificate

X.509

Adobe Acrobat

LDAP

application form

Autentisering

kryptografi

digitala signaturer

digitala certifikat

X.509

Adobe Acrobat

LDAP

ansökningsblankett

Communication Systems

Kommunikationssystem