...
- För användartjänsten räcker det med att det går att logga in till tjänsten om IdPn uppfyller kraven som tjänsterna ställer.
- För infrastrukturstjänsten - dvs om man vill köra en egen instans av edusign - behöver en hel del tekniska förberedelser göras. Se dokumentationen nedaninformationen under teknisk dokumentation.
Vilka får använda tjänsten?
- Alla som är kunder till eduSign och har skrivit på avtal får använda tjänsten. Avtal krävs även om din organisation vill köra en egen instans av tjänsten.
- Rent praktiskt kan alla som är med i SWAMID logga in på tjänsten och bli inbjudna att signera dokument. Det krävs dock ett avtal med Sunet att använda eduSign för att kunna ladda upp egna dokument och bjuda in andra att signera dem.
Just nu är användningen helt öppen dock - alla i Sunet kan rent tekniskt använda tjänsten oavsett om man har avtal eller ej.- Detta kommer ändras i releasen som släpps den 27/9 2021. Efter det datumet kommer det krävas att en organisation har avtal med Sunet för att logga in via sin IdP och signera dokument. Under en kortare övergångsperiod kommer det dock fortfarande att gå att logga in med eduID och signera dokument.
- ladda upp dokument för att signera dem.
Hur fungerar detta?
- Tjänsten består av tre delar:
- en e-tjänst (edusign.sunet.se) där användaren kan logga in, ladda upp ett dokument, få det signerat och ladda ner det signerade dokumentet.
- en infrastrukturtjänst (signservice.edusign.sunet.se) som hanterar själva signeringen.
- en valideringstjänst som kan verifiera att elektroniska signaturer är giltiga (eller ej).
- edusign.sunet.se "kan" PDF och XML och i framtiden ev. andra dokumentformat
- signservice.edusign.sunet.se "kan" bara signera digitala objekt och har ingen information om det som signeras
- validator.edusign.sunet.se sköter validering och utfärdande av sk valideringsintyg
- Signerade dokument innehåller både en digital signatur och en sista sida där informationen om den som signerat dokumentet visas upp.
- I den digitala signaturen finns all information om den som genomförde signaturen.
...
- Logga in på edusign.sunet.se
- Ladda upp ett dokument för signering
- Förhandsgranska dokumentet och godkänn för signering
- Klicka på signera-knappen
- Du blir skickad till samma IdP som du loggade in på och får logga in en gång till för att genomföra signaturen på signservice.edusign.sunet.se
- Du blir skickad tillbaka till edusign.sunet.se där det signerade dokumentet visas upp och kan laddas ner.
Är signerade dokument juridiskt bindande?
...
- Ni tecknar avtal med Sunet om användandet av tjänsten. Kontakta steli@sunet.se om ni är intresseradeSe mer information på Sunet hemsida för eduSign och kontakta tjänsteförvaltaren om ni har frågor.
Räknas dokument som skickas till tjänsten som inkomna handlingar?
...
Jag har en ide om en ny feature!
- Skicka ett mail till steli@sunet.se !till tjänsteförvaltaren som anges som kontaktperson på Sunet hemsida för eduSign.
Jag får felet "Batch Upload Failed". Vad betyder det?
- Detta är ett mycket dålig felmeddelande som eg betyder att din inloggningsession gått ut. Ladda om sidan och logga in igen.
För tekniker och integratörer
Kan jag köra en egen instans av edusign.sunet.se?
- Ja det är möjligt men det krävs en del förberedelser. Läs Teknisk Dokumentation för att få en uppfattning om insatsen.
- OBS att olika instanser har olika signerings-certifikat och av säkerhetsskäl finns det fn ingen rutin för att olika instanser ska kunna signera varandras dokument. Dokument som signeras av fler parter måste alltså för närvarande signeras inom samma instans.
Hur håller jag min egen instans i synk med Sunets version?
- Så länge denna tjänst finns i Sunet tjänsteportfölj så kommer Sunet erbjuda alla tillgång till samma programvara som vi själva kör - sedan är det upp till var och en att hålla sin version uppdaterad.
Finns det ett API till tjänsten?
- Det finns ett internt lågnivå-API till signeringstjänsten baserat på OASIS DSS - detaljerna finns beskrivet i tekniskt ramverk för Svensk e-legitimation. Vi rekommenderar inte detta API för annat än mycket avancerade användare. Kontakta oss för detaljer.
- Det finns ett Java-baserat högnivå-API (kallas även integrations-API): API:et finns på: https://github.com/idsec-solutions/signservice-integration-api och Java-impl finns på https://github.com/idsec-solutions/signservice-integration. Detta API kan användas av Java-baserade applikationer men vi rekommenderar att de flesta applikationer väntar in det kommande REST-gränssnittet till detta API
- Vi planerar för ett REST-gränssnitt till ovanstående Java-API. Dokumentation och länkar kommer!
Säkerhet och identifiering av användare
Kan signaturer förfalskas?
- Varje signatur sker med en nyckel som skapas just för tillfället.
- Efter signaturen kastas nyckeln bort och kan alltså inte användas för andra signaturer.
- eduSIGN följer de standarder och rekommendationer som etablerats genom DIGGs tekniska ramverk.
Används molnet/Var körs tjänsten?
- Inga molntjänster används för eduid
- Alla delar av tjänsten körs av Sunet på Sunets egna servrar som är placerade i Sunet datacenter.
Lagras data i tjänsten?
- Nej!
- Uppladdade dokument finns endast i minnet medans signaturen genomförs. Om användaren inte laddar ner dokumentet försvinner det helt.
- Information om inloggade användare finns också bara i minnet medans signaturen genomförs - det skapas mao inga permanenta identiteter i tjänsten
Vilka attributkrav gäller för tjänsten?
- Signaturtjänsten består av två SPs (entityIDs):
- Följande attribut används av tjänsterna - samma attribut måste släppas till båda tjänsterna:
- givenName
- sn
- eppn
- eduPersonAssurance (valfritt)
- Se även frågan om säkerhetskrav nedan
Vilka säkerhetskrav gäller för inloggning till tjänsten?
- SPn begär inloggning med AuthenticationContextClassRef "urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport"
- I framtiden kan tjänsten komma att höja säkerhetskraven.
- Se även frågan om styrkan i signaturen nedan
Hur säker är signaturen?
- Svaret på den frågan är komplext - tekniskt är signaturen väldigt säker: vi använder nycklar med hög säkerhet och återanvänder aldrig en nyckel för mer än en signatur tex.
- Säkerheten i signaturen beror också på hur mycket man litar på säkerheten i inloggningen.
- För närvarande finns inga hårda krav på högre förtroendenivå i tjänsten men information om vilken förtroendenivå som används (se tex SWAMID Assurance Profiles) kommer lagras i signaturen.
Kan användare logga in med BankID?
- Det går inte för närvarande och vi har heller inga konkreta planer på just BankID. Orsaken är att vi ser uppenbara risker med att bryta mot BankIDs licensvilkor som förbjuder sk identitetslänkning. Se vidare frågan om Svensk e-leg och eIDAS nedan.
Kan användare logga in med Svensk e-legitimation och/eller eIDAS
- Det går inte för närvarande men vi har planer på att ansluta tjänsten till Sweden Connect vilket ger tillgång till eIDAS och alla e-legitimationer som finns i Valfrihetssystem 2017 (där dock BankID ej ingår).
- eduSign följer dock redan nu den definition av signaturer som eIDAS tagit fram som kallas Advanced electronic signature. Det pågår även arbete inom Géant att få till en Qualified electronic signature som skall kunna användas av eduSign också.
- Formaten på PDF och XML signaturer som genereras av eduSign överensstämmer även med eIDAS definitionerna.
Finns det något sätt att hantera användare utanför högskolesektorn?
- Det enklaste är att be användaren skaffa och logga in med eduid.se som är fritt för alla och kan erbjuda upp till LoA2-nivå på inloggningen.
Validering av signaturer
Validering av signaturer
Vad innebär en validering?
- Att gå från en process att manuellt skriva sin namnunderskrift på papper till att gå över till en digital process och använda e-signaturer kan kräva vissa förändringar för många organisationer. I grunden är det ofta samma funktion som eftersträvas men processerna behöver ofta ändras eller se något annorlunda ut. Nedan är några liknelser mellan namnunderskrifter för hand på papper och validering av e-signaturer för att skapa en större förståelse för hur det går att relatera till dessa nya processer. Sunet tjänst eduSign följer de rekommendationer som DIGG och PTS har i relation till digitala signaturer och validering, det går att läsa mer om det på PTS sida om Betrodda tjänster enligt eIDAS.
...
- En validering av en e-signatur kan generellt jämföras med att ta ett dokument som har namnunderskrifter gjorda med penna på papper och kontakta alla personer som signerat och jämföra underskrifterna med deras signaturer på deras respektive identitetshandlingar.
Det är dock väldigt sällan som ovan jämförelse görs, så varför behöver vi då validera e-signaturer? Det är faktiskt inte säkert att det behövs. MEN om det uppstår en tvist eller oklarhet i relation till ett signerat dokument så är det fördelaktigt att det är väldigt enkelt att göra just denna jämförelse i relation till e-signaturer, dvs göra en validering av signaturen. En annan fördel med den digitala valideringen är att det även blir tydligt ifall integriteten på dokumentet är intakt, dvs ifall någon har ändrat något sedan dokumentet signerades.
...
Vad spelar giltigheten på certifikat av en signatur för roll?
- En signatur i eduSign är generellt möjlig att validera under ett år efter signaturen gjordes. Detta kan jämföras med en ID-handling som också har en giltighetstid. Dvs om en person skulle behöva jämföra en namnunderskrift på ett papper mot en ID-handling så kan det ju finnas en risk att den ID-handlingen som personen ägde när namnunderskriften gjordes inte längre är giltig, det betyder ju dock nödvändigtvis inte att namnunderskriften i sig är ogiltig. På liknande sätt kan man tänka att t.ex. ett avtal inte nödvändigtvis blir ogiltigt för att en e-signatur inte längre går att validera.
Vad är ett Valideringintyg?
- Om det är viktigt att kunna validera signaturerna på ett dokument signerat med eduSign över en längre tid är det rekommenderat att skapa ett valideringsintyg. Ett valideringsintyg kan jämföras med att vidimera en namnunderskrift med penna på ett papper. Dvs om någon validerar ett dokument i Sunets valideringstjänst och sedan skapar ett valideringsintyg i den tjänsten kan det liknas med att Sunet vidimerar signaturerna. Detta gör att signaturerna går att validera i en mycket längre tid än ett år, ett valideringsintyg kan generellt valideras i ca 50 år.
Varför ser signaturen ogiltig ut i Adobe Acrobat/Reader?
...
- Detta fel beror sannolikt på att någon har "sparat" PDF:en genom att skriva ut den och välja alternativet "spara som fil".
- Att på detta sätt "spara" en PDF förstör de elektroniska signaturerna och dessa måste göras om för att vara giltiga.
- Om man laddar upp en sådan fil i valideringstjänsten kommer denna naturligtvis inte att godkänna kunna validera signaturerna som giltiga.
Hur fungerar valideringstjänsten?
...
- Alla signaturtjänster är inte likvärdiga - vissa tjänster som använder begrepp som "digital underskrivtunderskrift" och producerar PDF-filer använder inte ens digitala signaturer.
- De enda externa signaturer (dvs signaturer som producerats av andra tjänster än eduSIGN) som valideringstjänsten accepterar är äkta digitala PDF-signaturer från utfärdare som eduSIGN eduSign litar på.
- Kontakta oss gärna med synpunkter på vilka externa tjänster som valideringstjänsten litar på!
...
- Signerade dokument måste valideras genom en sk valideringstjänst. En sådan är på väg att etableras inom ramen för edusigneduSign-tjänsten men det finns även en utredning kring frågan att etablera gemensamma valideringstjänster i statens regi.
Säkerhet och identifiering av användare
Kan signaturer förfalskas?
- Varje signatur sker med en nyckel som skapas just för tillfället.
- Efter signaturen kastas nyckeln bort och kan alltså inte användas för andra signaturer.
- eduSIGN följer de standarder och rekommendationer som etablerats genom DIGGs tekniska ramverk.
Används molnet/Var körs tjänsten?
- Inga molntjänster används för eduSign
- Alla delar av tjänsten körs av Sunet på Sunets egna servrar som är placerade i Sunet datacenter.
Lagras data i tjänsten?
- Nej!
- Uppladdade dokument finns endast i minnet medans signaturen genomförs. Om användaren inte laddar ner dokumentet försvinner det helt.
- När en användare bjuder in andra att signera så finns dokumentet på Sunets servrar temporärt fram tills dess att alla har svarat på inbjudan eller den som bjuder in andra att signera tar bort dokumentet.
- Information om inloggade användare finns också bara i minnet medans signaturen genomförs - det skapas mao inga permanenta identiteter i tjänsten
Vilka attributkrav gäller för tjänsten?
- Signaturtjänsten består av två SPs (entityIDs):
- Följande attribut används av tjänsterna - samma attribut måste släppas till båda tjänsterna:
- givenName
- sn
- eppn
- eduPersonAssurance (valfritt)
- Se även frågan om säkerhetskrav nedan
Vilka säkerhetskrav gäller för inloggning till tjänsten?
- SPn begär inloggning med AuthenticationContextClassRef "urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport"
- I framtiden kan tjänsten komma att höja säkerhetskraven.
- Se även frågan om styrkan i signaturen nedan
Hur säker är signaturen?
- Svaret på den frågan är komplext - tekniskt är signaturen väldigt säker: vi använder nycklar med hög säkerhet och återanvänder aldrig en nyckel för mer än en signatur tex.
- Säkerheten i signaturen beror också på hur mycket man litar på säkerheten i inloggningen.
- För närvarande finns inga hårda krav på högre förtroendenivå i tjänsten men information om vilken förtroendenivå som används (se tex SWAMID Assurance Profiles) kommer lagras i signaturen.
Kan användare logga in med BankID?
- Det går inte för närvarande och vi har heller inga konkreta planer på just BankID. Orsaken är att vi ser uppenbara risker med att bryta mot BankIDs licensvilkor som förbjuder sk identitetslänkning. Se vidare frågan om Svensk e-leg och eIDAS nedan.
Kan användare logga in med Svensk e-legitimation och/eller eIDAS
- Det går inte för närvarande men vi har planer på att ansluta tjänsten till Sweden Connect vilket ger tillgång till eIDAS och alla e-legitimationer som finns i Valfrihetssystem 2017 (där dock BankID ej ingår).
- eduSign följer dock redan nu den definition av signaturer som eIDAS tagit fram som kallas Advanced electronic signature. Det pågår även arbete inom Géant att få till en Qualified electronic signature som skall kunna användas av eduSign också.
- Formaten på PDF och XML signaturer som genereras av eduSign överensstämmer även med eIDAS definitionerna.
Finns det något sätt att hantera användare utanför högskolesektorn?
- Det enklaste är att be användaren skaffa och logga in med eduid.se som är fritt för alla och kan erbjuda upp till LoA2-nivå på inloggningen.
För tekniker och integratörer
Kan jag köra en egen instans av edusign.sunet.se?
- Ja det är möjligt men det krävs en del förberedelser. Läs Teknisk Dokumentation för att få en uppfattning om insatsen.
- OBS att olika instanser har olika signerings-certifikat och av säkerhetsskäl finns det fn ingen rutin för att olika instanser ska kunna signera varandras dokument. Dokument som signeras av fler parter måste alltså för närvarande signeras inom samma instans.
Hur håller jag min egen instans i synk med Sunets version?
- Så länge denna tjänst finns i Sunet tjänsteportfölj så kommer Sunet erbjuda alla tillgång till samma programvara som vi själva kör - sedan är det upp till var och en att hålla sin version uppdaterad.
Finns det ett API till tjänsten?
- Det finns ett internt lågnivå-API till signeringstjänsten baserat på OASIS DSS - detaljerna finns beskrivet i tekniskt ramverk för Svensk e-legitimation. Vi rekommenderar inte detta API för annat än mycket avancerade användare. Kontakta oss för detaljer.
- Det finns ett Java-baserat högnivå-API (kallas även integrations-API): API:et finns på: https://github.com/idsec-solutions/signservice-integration-api och Java-impl finns på https://github.com/idsec-solutions/signservice-integration. Detta API kan användas av Java-baserade applikationer men vi rekommenderar att de flesta applikationer använder REST-gränssnittet till detta API. Se Teknisk dokumentation för mer information.