Digitalt certifikat
Ett digitalt certifikat är en datafil som består av användaruppgifter och kryptonycklar. Certifikatet kan användas för kryptering, digitala signaturer och autentisering. Certifikat utfärdas av en certifikatauktoritet, CA.
Det finns särskilda certifikat för olika ändamål, exempelvis:
- olika typer av e-legitimationer,
- TLS-certifikat (f.d. SSL-certifikat) som bland annat används för säker webbsurfning via protokollet HTTPS,
- VPN-certifikat för säker fjärranslutning till Intranät och företagsnät via Internet.
Ofta krävs att användaren uppger ett lösenord eller en PIN-kod för att certifikatet ska kunna användas. Ett mjukt certifikat är en fil som kan användas även om det kopieras till en annan dator, vilket innebär en säkerhetsrisk om någon gör dataintrång och dessutom kommer över användarens PIN-kod. Ett hårt certifikat kräver fysisk tillgång till en specifik enhet där certifikatet ligger lagrat, exempelvis ett bankdosa eller ett chipkort såsom mobilens SIM-kort eller ett bankkort.
Vid mjuka certifikat innehåller certifikatet vanligen den publika kodnyckeln som behövs för public key infrastructure (PKI) och asymmetrisk kryptering, men inte motsvarande privata nyckel, som istället lagras på annat vis och inte är tänkt att överföras. Ett digitalt certifikat innehåller i det fallet bland annat:
- Identitet på ägaren, till exempel namn
- Ägarens publika nyckel
- Giltighetsperiod
- Löpnummer på certifikatet (inom CA)
- Användningsområde
- Utfärdarens identitet
- Utfärdarens elektroniska signatur
Lagstiftning
EU
Den 30 november 1999 antogs Europaparlamentets och rådets direktiv 1999/93/EG av den 13 december 1999 om ett gemenskapsramverk för elektroniska signaturer. Direktivet trädde i kraft den 19 januari 2000 och skulle vara genomfört i medlemsstaterna senast den 19 juli 2001. [1][2]
Sverige
I Sverige genomfördes direktivet genom lagen (2000:83) om kvalificerade elektroniska signaturer som trädde i kraft 2002-01-01.[3]
Lagen gäller sådana certifikatutfärdare som är etablerade i Sverige och som utfärdar kvalificerade certifikat till allmänheten.[3] En certifikatutfärdare som avser att utfärda kvalificerade certifikat till allmänheten är skyldig att anmäla detta hos Post- och telestyrelsen, som är tillsynsmyndighet.[3] Tillsynsmyndigheten får meddela de förelägganden och förbud som behövs för efterlevnaden av lagen.[3]
Tillsynsmyndighetens beslut får överklagas hos allmän förvaltningsdomstol.[3]
Noter
- ^ http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31999L0093:SV:HTML
- ^ http://www.riksdagen.se/Webbnav/index.aspx?nid=37&dok_id=GN03117
- ^ [a b c d e] ”Arkiverade kopian”. Arkiverad från originalet den 24 oktober 2011. https://web.archive.org/web/20111024210006/https://lagen.nu/2000:832#. Läst 30 december 2011.