hej,
intressant, dock har jag sett liknande från ett annat företag, där krävdes
det att man prenumererade på en tjänst där verifiering av signaturerna
gjordes mot deras server.
Skulle sätta ena tummen på att det är linkande med pelta, och den andra på
att de utnyttjar felkorrigeringen för att lagra sin covert information (som
*inte* kan vara covert)...
/M
-----Ursprungligt meddelande-----
From: Tomas Gustavsson
Sent: Wednesday, May 23, 2012 3:31 PM
To: foss-sthlm_at_cool.haxx.se
Subject: Re: Använda QR-koder för att skriva under kontrakt?
Tillbaks till ursprungsämnet.
Jag besöker just konferensen SDW2012 i London och pratade med ett
företag som heter Pagemark Technology. De gör QR-koder (pelta) som kan
innehålla gömd (covert) information. Han började prata om iden att
använda QR-koden som signatur på dokument. Det är mao många som funderar
på samma sak just nu, så idén ligge helt klart i tiden.
http://www.pagemarktechnology.com/home/
PS: jag har ingen koppling till detta företag.
Mvh,
Tomas
On 05/22/2012 11:03 PM, Tomas Gustavsson wrote:
> On 05/22/2012 07:54 PM, Daniel Bosk wrote:
>> 2012/5/22 Tomas Gustavsson<tomas_at_primekey.se>:
>>>
>>> Ett juridiskt sidospår... I Sverige har vi något som kallas fri
>>> bevisprövning. Det innebär att alla indicier, eller spår du kan hitta
>>> kan
>>> läggas fram i en domstolen. Det krävs inga formella uppfyllandekrav
>>> för att
>>> en elektronisk signatur skall vara giltig (tex kvalificerade
>>> signaturer som
>>> är populära på kontinenten). Det spelar ingen roll hur du kommit över
>>> dina
>>
>> Så vitt jag vet krävs en kvalificerad elektronisk signatur i Sverige
>> för att få samma juridiska värde som en signatur på papper, se SFS
>> 2000:832 [1] 2 § för definitionen av kvalificerad eletronisk signatur
>> samt 17 § för kravet på sådan.
>>
>> Jag är förvisso inte heller jurist, men den texten har jag svårt att
>> se hur den kan feltolkas.
>>
>> [1]
>> http://www.riksdagen.se/sv/Dokument-Lagar/Lagar/Svenskforfattningssamling/_sfs-2000-832/
>>
>
> Jag tolkar paragraf 17 helt annorlunda.
>
> 1. En kvalificerad signatur skall anses ha samma juridiska värde som en
> signatur på papper (om inte en myndighet har bestämt något annat).
> 2. Det står _inte_ att en icke kvalificerad signatur inte har detta
> bevisvärde.
>
> Mao tror jag det är fritt fram för en domstol att godkänna även en icke
> kvalificerad signatur (som tex BankId). Efter moget övervägande förståss
> :-)
> (Det rimmar även väl med FNs modellag för elektroniska signaturer som
> jag haft förmånen att lyssna på en föreläsning om).
>
> I sverige har kvalificerade signaturer i princip ingen användning alls,
> eftersom myndiheterna inte kräver detta.
> Jag känner bara till en enda användning av kvalificerade signaturer i
> Sverige, och det är mellan myndigheter, och ej för allmänheten.
>
> PS: jag är naturligtvis inte heller Jurist, men jag har lyssnat på ett
> par stycken.
>
>>
>>> bevis heller (inte som man ser i amerikanska filmer att bevis blir
>>> ogiltigförklarade).
>>> Det är sedan uppp till domstolen att bedöma hur starkt bevisvärdet
>>> är. Om du
>>> kan lägga fram flera oberoende indicier, email, papper etc så är det
>>> troligen starkare än en enda sak.
>>>
>>> I fallet med skatteverket finns troligen en auditlog lagrad
>>> någonstans där
>>> din signatur finns med som bevis på vad "du skickat in". Vad som sedan
>>> lagras i databasen kan som sagt vara något helt annat.
>>>
>>> För att återgå till kontraktskrivning vill man väl åstadkomma att båda
>>> parter har en likadan kopia av det signerade dokumentet. De kan sedan
>>> jämföras vi en eventuell tvist.
>>> I fallet med skattemyndigheteen skulle man kanske vilja ha en
>>> signerad kopia
>>> själv av det man skickat in, med skattemyndighetens
>>> "mottagarsignatur" så
>>> man kan bevisa vad man faktiskt skickat in.
>>> Det skulle vara mer jämförbart, ett kontrakt signeras ju oftast av
>>> fler än
>>> en part.
>>>
>>> Magnus, ur lagrandeperspektiv borde väl då QR-koder på papper vara
>>> oslagbart?
>>>
>>> Mvh,
>>> Tomas
>>>
>>>
>>>
>>> On 05/22/2012 09:06 AM, Magnus Sandberg wrote:
>>>>
>>>> Hej Mattias!
>>>>
>>>> Att använda en binärfil är inte framtidssäkert. Vem kan läsa min
>>>> Amiga-disketter idag? Eller min RLL-disk till MS-DOS-Hedenhös.
>>>> Tyvärr är
>>>> papper det mest framtidssäkra vi har.
>>>>
>>>> Jag har tidigare jobbat på Arbetsförmedlingen, då bl.a i ett projekt
>>>> gällande elektronisk arkivering och hur Stadsarkivet ska arkivera
>>>> elektroniska dokument för ALL framtid (japp myndigheters handlingar
>>>> skall arkiveras för all framtid).
>>>>
>>>> Vissa hävdar att vi kommer få en 75-100 årig lucka i historien under
>>>> den
>>>> tid vi trodde att elektronisk lagring var framtidssäkert. Alltså från
>>>> 1950-, 1960-talet fram tills den dag då vi återgår till stentavlor,
>>>> pergamentsrullar och papper för arkivering.
>>>>
>>>> Ojdå det blev ett långt stickspår, åter till det du skrev.
>>>>
>>>> Att jämföra med e-id eller BankId är både rätt och fel. Det är rätt ur
>>>> ett teoretiskt perspektiv.
>>>>
>>>> Men vilka är det som ger ut och använder E-id och BankId? Jo det är
>>>> bankerna, Skatteverket, Försäkringskassan mfl. Försök att bevisa att
>>>> banken eller Försäkringskassan manipulerat din banktransaktion eller
>>>> anmälan om vård av barn. Du som kund eller medborgare får på sin
>>>> höjd en
>>>> webbsida eller PDF att spara/skriva ut. Det du ser är inte samma data
>>>> som sparats i deras databaser. Du ser en genererad presentation av det
>>>> som finns i databasen. Du kan alltså inte genererar en hash som du
>>>> sedan
>>>> kan få verifierad. Inte heller visar denna hemsida eller PDF hashen som
>>>> finns i deras databas. Så om hashen i database ändras vid ett senare
>>>> tillfälle, därför att någon ändrat i databasen, så har du inget att
>>>> använda som bevis. Banken eller myndigheten kan hävda att du
>>>> manipulerat
>>>> det du valt att spara eftersom båda parter inte har tillgång till samma
>>>> grunddata.
>>>>
>>>> Vad gäller banker och myndigheter har vi som kunder och medborgare bara
>>>> att rätta oss efter deras lösningar om vi vill vara kund eller laglydig
>>>> medborgare. Och vad gör du ifall du upptäcker att ditt BankID är skapat
>>>> och signerat med ett DigiNotar-certifikat. Hur revokerar du ditt BankID
>>>> för att du tror att någon annan genererat ett falsk certifikat i ditt
>>>> namn? Så vi sitter i knät på bankerna på alla sätt. Att använda dem
>>>> blir
>>>> mest ett dåligt exempel.
>>>>
>>>> Det blev mycket svammel från min sida men jag vill visa att dessa saker
>>>> är betydligt svårare än vad man först tror. Som sagt var jag har jobbat
>>>> både med elektronisk arkivering och tjänstemanna-eid (skrivit
>>>> Arbetsförmedlingens remissvar till Kammarkollegiet för några år sedan).
>>>>
>>>> PS. Jag vet att du inte skrev BankID men det är i princip samma sak som
>>>> E-id idag.
>>>>
>>>> // Mem
>>>>
>>>>
>>>>
>>>> Den 2012-05-22 09:23, Mattias Ekholm skrev:
>>>>>
>>>>> Hej
>>>>>
>>>>> jag tror det är enklast att använda sig av binärfilen av flera
>>>>> orsaker,
>>>>> dels finns "ingen" risk att tolka data/texten fel samt att filen kan
>>>>> innehåller bilder eller t ex vara ett "komprimerat tar arkiv".
>>>>> För mig känns det lite som om man har hashvärdet på varje sida som
>>>>> signeras är lite liknande som en del i sina mail har med att mailet är
>>>>> "certified virus free by ACME virus scanner" :)
>>>>>
>>>>> På sidan man signerar ska det såklart framgå att det är ett hashvärde
>>>>> som representerar det kontrakt som ingås. Mer *borde* inte behöva
>>>>> stå på
>>>>> signeringspappret. För en bestridande motpart "räcker" det att visa
>>>>> att
>>>>> det finns minst två binärfiler som ger samma hashvärde, vilket idag
>>>>> anses omöjligt...
>>>>> Jämför t ex med e-id som används vitt och brett som ersättning för
>>>>> handskrivna signaturer... Det är nog rätt få som vet ens vilka
>>>>> algoritmer som används.
>>>>>
>>>>> Själv är jag inte heller jurist...
>>>>>
>>>>> mvh
>>>>>
>>>>> -----Ursprungligt meddelande----- From: Magnus Sandberg
>>>>> Sent: Monday, May 21, 2012 11:12 AM
>>>>> To: FOSS-folk i Stockholm
>>>>> Subject: Re: Använda QR-koder för att skriva under kontrakt?
>>>>>
>>>>> Den 2012-05-18 15:11, Johan Thelin skrev:
>>>>>
>>>>>> 2012/5/18 Mattias Ekholm<mattias_at_ekholm.se>:
>>>>>>>
>>>>>>> QR-koden innehåller hash värdet som är unikt för det dokument du ska
>>>>>>> skriva
>>>>>>> under, stämmer inte hash värdet på det papper du får stucket under
>>>>>>> näsan med
>>>>>>> det hash värde du har skapat hemmavid så härrör de från olika
>>>>>>> dokument.
>>>>>>
>>>>>>
>>>>>> Hur ser man skillnad på en QR-kod som är skapad från dokumentet i
>>>>>> fråga, och en som är skapad från ett annat dokument (t.ex. det man
>>>>>> tror sig skriva på)?
>>>>>>
>>>>>> Personligen tycker jag att man inte ska göra affärer med motparter
>>>>>> som
>>>>>> man misstänker byter ut dokument under processen. Det känns som en
>>>>>> enklare lösning på problemet :-)
>>>>>>
>>>>>> /J
>>>>>
>>>>>
>>>>> Hej!
>>>>>
>>>>> Först och främst, jag är lekman och inte jurist.
>>>>>
>>>>> Det känns som att någon vill skapa en teknisk lösning utan att veta
>>>>> exakt vad man åstadkommer.
>>>>>
>>>>> Hur gör man idag om man vill vara juridiskt säkert på att båda parter
>>>>> skrivit under samma dokument. Jo, man har två identiska dokument där
>>>>> båda parter signerar varje sida, inkl sista sidan. Sedan skriver man
>>>>> under dokumentet, vanligen på sista sidan.
>>>>>
>>>>> På detta sätt finns både namnteckning och signatur för båda parter
>>>>> på en
>>>>> sida. På övriga sidor finns båda parters signaturer.
>>>>>
>>>>>
>>>>> För att lösa samma scenario "elektroniskt" måste det antigen finnas en
>>>>> standard för hur man gör detta eller så måste båda parter vid ett
>>>>> kontraktstillfälle vara överens om hur den "matematiska" processen går
>>>>> till, så att det finns en standard eller överenskommelse att falla
>>>>> tillbaka på när man blir oense.
>>>>>
>>>>> Först och främst måste man veta hur hash-värdet räknas ut, både
>>>>> datamängden som omfattas och formeln som används. Till exempel är
>>>>> hash-värdet hashen av textmängden med eller utan formatering, vilken
>>>>> teckenkodning gäller osv. Troligen borde det vara den oformaterade
>>>>> texten i Latin-1 eller UTF-8 eller motsvarade. På detta sätt kan man
>>>>> verifiera texten förhand utan att ha tillgång till originalfilen
>>>>> (genom
>>>>> att OCR-skanna eller skriva in förhand i lämplig texteditor).
>>>>>
>>>>> Sedan är det bara en smaksak om hash-värde skrivs i HEX-format
>>>>> eller QR.
>>>>> Denna hash/qr måste sedan finnas på varje sida i enlighet med
>>>>> signaturen
>>>>> så att man vet vilka sidor som ingick i det man skrev under.
>>>>>
>>>>>
>>>>> Det krävs helt enkelt betydligt mer jobb än att ta fram en mobilapp
>>>>> som
>>>>> kan avkoda en QR-kod och tala om vilket dokument det gäller. För att
>>>>> detta ska vara juridiskt hållbart behöver hela kedjan och processen
>>>>> vara
>>>>> beskriven och det behöver styrkas/bevisas att parterna av överens om
>>>>> tekniken och processen. Eftersom det inte finns någon vedertagen
>>>>> standard för detta behövs troligen en bilaga till
>>>>> dokumentet/kontraktet
>>>>> som beskriver den tekniska lösningen.
>>>>>
>>>>> Jag tror bläckpennan och signering av varje sida kommer leva kvar ett
>>>>> tag till.
>>>>>
>>>>> // Mem
>>>>
>>>>
>>>> _______________________________________________
>>>> http://www.foss-sthlm.se/
>>>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>>>
>>>
>>> _______________________________________________
>>> http://www.foss-sthlm.se/
>>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>>
>> _______________________________________________
>> http://www.foss-sthlm.se/
>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>
> _______________________________________________
> http://www.foss-sthlm.se/
> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
_______________________________________________
http://www.foss-sthlm.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
_______________________________________________
http://www.foss-sthlm.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2012-05-23