Grein um rafrænar undirskriftir, Mbl. 24.05.2001
Valgerður Sverrisdóttir,
iðnaðar- og viðskiptaráðherra
Lög um rafrænar undirskriftir
grein sem birt var í Morgunblaðinu 24. maí 2001.
Í upphafi vorþings lagði ég fram á Alþingi frumvarp til laga um rafrænar undirskriftir. Hinn 27. apríl 2001 var frumvarpið samþykkt sem lög frá Alþingi. Mikið framfaraskref hefur þannig verið stigið fyrir framgang rafrænna viðskipta og samskipta hér á landi.
Þörf fyrir löggjöf á innlendum vettvangi
Kannanir hafa sýnt að menn telja að öryggi skorti í rafrænum samskiptum og stundi þau því í minna mæli en ella. Áhyggjurnar stafa af því að í viðskiptum á Netinu standa menn ekki augliti til auglitis. Sú staðreynd getur m.a. leitt til að sendandi hafi möguleika á að hafna því að hafa sent upplýsingar og að óvissa ríki um hvort upplýsingum hafi verið breytt í sendingu milli aðila.
Erfitt getur verið að koma í veg fyrir öll þau vandamál sem skapast við samskipti í opnu kerfi. Hins vegar er nú talið að rafrænar undirskriftir séu mjög til þess fallnar að byggja upp traust í rafrænum samskiptum og geti þannig orðið til þess að þau nái þeirri útbreiðslu sem vonir standa til. Fyrirsjáanlegt er að rafrænar undirskriftir verði grundvöllur innleiðingar á rafrænni opinberri stjórnsýslu, flutnings ákveðinna verkefna út á land og öruggri sendingu gagna á milli tölva í opnu kerfi. Þá er unnt að hugsa sér að þær geti stuðlað að rafrænum samskiptum á sviði opinberra útboða, skattamála, viðskipta, félagslegrar aðstoðar, heilbrigðismála og réttarfars.
Þar sem rafrænar undirskriftir eru taldar forsenda þess að hægt sé að skapa nauðsynlegt öryggi í rafrænum viðskiptum er mikilvægt að lagagrundvöllur þeirra sé fullnægjandi. Að sama skapi er mikilvægt að ekki sé vafi á að heimilt sé að nota rafrænar undirskriftir þegar formkröfur í lögum gera kröfu um undirskrift eða sambærilegar kröfur. Með lögunum um rafrænar undirskriftir hafa þessi atriði verið tryggð.
Skýringar á hugtökum
Mikilvægt er að gera sér grein fyrir hvað felist í hugtakinu rafræn undirskrift eins og það er notað í lögunum. Í hugtakinu felst ekki skönnuð mynd af handritaðri undirskrift, heldur er átt við þau gögn sem verða til þegar tiltekinn búnaður eða aðferð er notuð til þess að brengla efni sendingar með ákveðnum hætti. Í brenglunarferlinu er fyrst notuð svokölluð tæting og síðar dulritun. Hin rafrænu gögn sem koma út úr því ferli teljast hin rafræna undirskrift.
Hvernig fer dulritun fram?
Sendandi notar sérstakan dulritunarlykil til að dulrita tiltekin gögn. Þegar móttakandi hefur móttekið gögnin notar hann sérstakan dulritunarlykil sinn til að koma því yfir á læsilegt form, þ. e. dulráða það. Ef sami lykill er notaður bæði við dulritun og dulráðningu telst dulritunin samhverf. Ef sinn hvor lykillinn er notaður telst dulritunin ósamhverf.
Sú tækni sem mest er notuð nú um stundir í tengslum við rafrænar undirskriftir og dulritun er svokallað dreifilyklakerfi (e. PKI:Public Key Infrastructure). Það er ósamhverft dulritunarkerfi. Í því er öðrum lyklinum alltaf haldið leyndum og nefnist hann einkalykill (e. private key). Ef eigandi einkalykilsins vill opna fyrir dulrituð samskipti við marga aðila gerir hann hinn lykil sinn opinberan með einhverjum hætti. Sá lykill er nefndur dreifilykill (e. public key). Þannig getur hann dulritað sendingar með einkalykli sínum, sem móttakendur geta dulráðið með dreifilyklinum.
Þá geta þeir sem senda upphaflega sendandanum gögn dulritað þau með dreifilykli hans, sem hann síðar dulræður með einkalykli sínum. Þannig er tryggt að einungis réttur móttakandi geti lesið gögnin.
Hvað gera vottunaraðilar?
Móttakandi hefur enga tryggingu fyrir því að sendandi eigi raunverulega dreifilykilinn sem hann notar til að dulráða sendinguna. Ef sendandi og móttakandi gætu hist og skipst á dreifilyklum og þannig gengið úr skugga um eignarhald á viðkomandi lyklum, væri vandamálið úr sögunni. Það er hins vegar ekki alltaf mögulegt þegar menn eiga samskipti á Netinu. Því hafa vottunaraðilar hlutverki að gegna við notkun rafrænna undirskrifta. Vottunaraðilar eru þeir aðilar sem segja fyrir um hverjir nota tiltekna lykla, með því að gefa út sérstök vottorð þar að lútandi. Vottorð inniheldur tiltekinn dreifilykil og staðfestingu á hver sé réttur notandi hans.
Meginefni laganna
Lögin um rafrænar undirskriftir fjalla að meginstefnu til um svokallaðar fullgildar rafrænar undirskriftir, þ. e. undirskriftir sem fullnægja tilteknum ströngum öryggiskröfum. Lögin kveða á um þá meginreglu að fullgild rafræn undirskrift skuli ætíð vera jafngild handritaðri, þegar lög, stjórnsýslufyrirmæli eða annað mælir fyrir um að handrituð undirskrift sé forsenda réttaráhrifa. Þá mæla lögin fyrir um þær ströngu kröfur sem slíkar fullgildar rafrænar undirskriftir skulu fullnægja. Einnig segja þau til um þær kröfur sem gerðar eru til vottunaraðila sem gefa út vottorð sem styðja slíkar undirskriftir. Loks kveða þau á um það eftirlit sem Löggildingarstofa mun hafa með slíkum vottunaraðilum og bótaábyrgð þeirra aðila.
Það er sannfæring mín að með hinum nýsamþykktu lögum sé kominn grundvöllur fyrir traust í rafrænum viðskiptum sem lengi hefur verið beðið eftir. Ég vona að íslenskir aðilar muni nýta sér lögin til fulls, bæði þeir sem starfa munu sem vottunaraðilar samkvæmt lögunum og þeir sem munu nýta sér lögin til að tryggja betur þau rafrænu samskipti sem þeir stunda.