Hvernig rafræn undirritun virkar árið 2026

Kynning

Rafræn undirritun er í dag kjarninn í stafrænu umbreytingu fyrirtækja: árið 2025 höfðu yfir 70% stórra evrópskra samtaka henni samþætt í að minnsta kosti einu samningarferli (heimild: Gartner, Digital Process Automation Survey 2025). Engu að síður eru fáir ákvarðanatakendur sem skilja nákvæmlega hvernig aðferðir gera hana löglega gilda og tæknilega óbætanlega. Að skilja hvernig rafræn undirritun virkar tæknilega — dulritun, PKI, skírteini — gerir kleift að velja réttu lausn, draga úr lagalegum áhættum og flýta fyrir innleiðingu innan stofnunar. Þessi grein leiðir þig, þrep fyrir þrep, í gegnum tæknilega arkitektúr og staðla sem stjórna rafrænum undirritun árið 2026.

---

Dulritunarbasi rafrænnra undirritana

Rafræn undirritun byggir á sannreyndum dulritunarkerfum. Að skilja þessa aðferð er að skilja hvers vegna hún er áreiðanlegri en skannaðar eiginhandarundirritanir.

Ósamhverf dulritun: opinber lykill og einkalykill

Grundvallarreglan er ósamhverf dulritun, sem var fundin upp á áttunda áratugnum og staðlað með reikniritum eins og RSA (Rivest–Shamir–Adleman) eða sporangum ellips-bogum (ECDSA). Hver undirritari á tvo stærðfræðilega tengda lykla:

• Einkalykillinn: geymður leynilega af undirritara, á öruggu tæki (snjallkorti, HSM-merki, eða verndað hugbúnaðareiningu). Hann er notaður til að búa til undirritunina.
• Opinberi lykillinn: dreifður frjálslega, innifalinn í stafrænni vottorði. Hann er notaður til að sannreyna undirritunina.

Öryggisreglan byggir á ósamhverfri reiknigetu: það er stærðfræðilega einfalt að sannreyna undirritun með opinbera lyklinum, en praktískt ómögulegt að endurkonstruera einkalyklilinn út frá opinbera lyklinum (stök logaritmavandamál eða þáttagreiningu stórra heiltalna).

Kjaka-aðgerðir: stafræn fingirför skjalsins

Áður en undirritun, reiknar kerfið dulritunarfingirför skjalsins með kjaka-aðgerð (SHA-256 eða SHA-3 árið 2026). Þess fingirför, kallað hash eða útdráttur, er strengur af fastri stærð (256 bitar fyrir SHA-256) sem táknar einstaklega innihald skjalsins.

Nauðsynleg eign: breyting á einu einasta stöfum í skjalinu framleiðir allt annan hash. Þetta tryggir heilleika undirritaðs skjals: allar breytingar eftir undirritun eru strax aftekjanlegar.

Rafræn undirritun sjálf er því dulritun þessa hash með einkalykli undirritara. Við sannprófun, gerir viðtakandi:

1. Dulritun undirritana með opinbera lyklinum til að endurheimta upprunalega hash;
2. Endurreiknar sjálfur kjaka-gildið skjalsins sem móttekinn var;
3. Ber það saman: ef það er eins, er undirritunin gild.

---

Opinbera lyklaaðstaða (PKI): traust keðja

Dulritun ein dugar ekki: einnig þarf að sanna að opinberi lykillinn tilheyri þeim sem heldur því fram að nota hann. Þetta er hlutverk PKI (Public Key Infrastructure) — eða Aðstöðu opinberra lykla.

Vottunaryfirvaldia (CA)

Vottunarjöfnuður (AC eða CA) er traust þriðji aðili með réttindi sem gefur út stafrænir vottorð. Stafrænt vottorð er staðlað skjal (snið X.509) sem inniheldur:

• Auðkenni handhafa (nafn, stofnun, e-póstur);
• Opinberi lykill hans;
• Gildistímabil;
• Stafræn undirritun CA sjálfs.

Í Evrópu eru hæfar AC-ar skráðar í Trusted Lists sem birtar eru af hverju aðildlandi ESB samkvæmt reglugerð eIDAS. Í Frakklandi gefur ANSSI út og viðheldur þessari lista. Hæfir þjónustuaðilar trausts (QTSP) — eins og CertSign, Certigna, eða Universign — eru háðir reglulegum eftirliti samkvæmt staðlinum ETSI EN 319 401.

Vottunarkeðja og afturköllun

PKI starfar á stigveldis líkani:

• Rót AC (Root CA) sjálf-undirritað, geymt ótengd á netinu við hámarksöryggisaðstæður;
• Milliliggjandi AC-ar sem gefa út vottorð fyrir lokagarnagnaðir notendur.

Afturköllun vottorða er mikilvæg aðferð: ef einkalykill er í hættu, birtir AC ógildi hans í gegnum CRL (Certificate Revocation List) eða gegnum samskiptareglu OCSP (Online Certificate Status Protocol), sem leyfir rauntiðarprófun.

Fyrir hæfa rafræna undirritun samkvæmt eIDAS, verður einkalykillinn að vera búinn til og geymdur í QSCD (Qualified Signature Creation Device) — vottað vélbúnaði CC EAL4+ eða hærra, svo sem snjallkorti eða HSM (Hardware Security Module).

---

Þrír stig undirritana samkvæmt eIDAS

Evrópska reglugerðin eIDAS nr. 910/2014 (og þróun hennar eIDAS 2.0 sem er í gangi) skilgreinir þrjú stig undirritana, þar sem hver byggir á vaxandi tæknilegum tryggingum. Til að dýpka þennan regluverk, farðu á okkar heildstæða handbók um eIDAS-reglugerðina.

Einföld rafræn undirritun (SES)

Einföld undirritun er minnst þvinglandi form tæknilega. Það getur verið eins einfalt og hakakassi, OTP-kóði (One-Time Password) sendur með SMS, eða mynd af handskrifuðri undirritun. Það felur ekki endilega í sér hæft vottorð.

Dæmigerð notkun: samþykki tilboða, markaðssamþykkir, samningar með litlum áhættu.

Áhætta: takmörkuð sönnunargild ef útilokað. Sönnunarábyrgðin hvílir á þeim sem byggir á undirritunu.

Framúrkominni rafræn undirritun (AdES)

Framúrkominni undirritun uppfyllir fjórar nákvæmar tæknilegar kröfur (kafli 26 eIDAS):

1. Hún er tengd undirritara á einkvæman hátt;
2. Hún gerir kleift að auðkenna undirritara;
3. Hún er búin til úr gögnum undir einkaeftirliti undirritara;
4. Hún gerir kleift að greina allar breytingar á skjalinu síðar.

Í reynd þýðir þetta notkun persónulegs stafræns vottorða og áreiðanlegrar auðkenningaraðferðar. Staðlaðar sniðmátin eru skilgreind af ETSI: PAdES (fyrir PDF), XAdES (XML), CAdES (tvíundar gögn) og JAdES (JSON), öll staðlöð í ETSI EN 319 100 röðinni.

Hæf rafræn undirritun (QES)

Hæf undirritun er hæsta stig. Hún krefst:

• Hæfs vottorðs gefið út af QTSP með eIDAS-leyfi;
• QSCD fyrir undirritun.

Hún nýtur löglegrar forsendu áreiðanleika og jafngildis við eiginhandarundirritun í allri Evrópusambandinu (kafli 25 eIDAS). Þetta er stig sem krafist er fyrir rafræna lögregluskjöl, tiltekin lögregluskjöl, eða viðkvæm opinber verslun.

Okkar samanburður á lausnum rafrænnra undirritana greinir hagnýta mun á þessum stigum til að hjálpa þér að velja.

---

Heildstæð ferli rafrænnrar undirritana skref fyrir skref

Hér er hvernig rafræn undirritun á SaaS-vettvangi eins og Certyneo fer fram í raun:

Skref 1: undirbúningur og sending skjals

Undirritun-hefja aðili hleðir upp skjalinu (samningur, breyting, innkaupapöntun) á vettvanginn. Kerfið myndar strax hash SHA-256 á upprunalegri skrá, tímastimpla og geymd óbreytanlegri. Þessi fingirför verður notað fyrir allar auðkenningarprófanir í framtíðinni.

Skref 2: auðkenning undirritara

Eftir því hvert stig undirritana er valinn, auðkenning er mismunandi:

• SES: e-póstur + undirritun tengill;
• AdES: sterk auðkenning (OTP SMS, fartæk forrit FIDO2);
• QES: auðkenning á auðkenningu fyrirfram (augliti-til-augliti eða myndskjái IDV), útgáfa hæfs vottorðs til einum nota eða viðvarandi.

Skref 3: myndun dulritunarundirritana

Undirritari framkallar undirritun. Vettvangurinn (eða QSCD):

1. Reiknar hash skjalsins;
2. Dulritun þessa hash með einkalykli undirritara;
3. Sameina undirritun og vottorð í skjalið (PDF undirritað á PAdES-LTV sniði til langtíma geymslu).

Skref 4: hæf tímastimpla

Hæf tímastimpla þjónusta (TSA) samkvæmt RFC 3161 staðlinum setur stafræn timestamp, sem sannar að undirritun var til á nákvæmum tíma. Þetta verndar gegn gervitímum og tryggir sönnunargildi með tímanum — jafnvel þótt vottorð undirritara rennist út síðar.

Skref 5: sönnunarskrásöfnun

Undirritað skjal er geymt með heilum endurskoðunarslóðum: auðkenni undirritara, IP-tala, tímastimpla, hash skjalsins, vottorð sem notuð voru. Þessi sönnun (audit trail) er nauðsynleg ef til deilna kemur. Lausnir sem eru samhæfar eIDAS halda þessum sönnun á PAdES-LTV (Long-Term Validation) sniði sem felur í sér samprófunaruppraun til að gera kleift að sannreyna ár eftir undirritun.

Til að skilja hvernig á að samþætta þessa ferli í starfsmennileg flæði, kannaðu okkar rafræn undirritun fyrir HR-lausn og okkar samningasniðmát til niðurhals.

Gildandi lagasetning rafrænnra undirritana

Rafræn undirritun er innan margþætts regluverks sem samhæfir innlenda borgaralög og samvæmdan evrópsk lög.

Frönsku borgaralög

Grein 1366 borgaralaga setur grundvallarreglu: „Rafræn rithöfn hefur sama sönnunargild og rithöfn á pappíri, þó skal vera hægt að auðkenna með réttum hætti þann sem henni stafar og hún skal vera gerð og geymd með aðstæðum sem tryggir heilleika." Grein 1367 skýrir að rafræn undirritun „samanstendur af notkun áreiðanlegrar auðkenningaraðferðar sem tryggir tengingu hennar við athöfnina sem henni fylgir".

Tilskipun nr. 2017-1416 frá 28. september 2017 skilgreinir forsendu áreiðanleika fyrir hæf og framúrkominni undirritun samkvæmt eIDAS.

Reglugerð eIDAS nr. 910/2014

Hornsteinn evrópsk lög um stafrænt traust, reglugerðin eIDAS (electronic IDentification, Authentication and trust Services) stofnar sameinað lagaleg ramma fyrir rafrænar undirritanir, stafrænar innsiglur, hæfan tímastimpla, bestar sendingarþjónustur og vottorð fyrir sannprófun vefsíðna. Kafli hennar 25, málsgr. 2, gefur hæfri undirritun lagalega forsendu jafngildis við eiginhandarundirritun um allt ESB.

Reglugerðin eIDAS 2.0 (í gangi um 1. Q1 2026) styrkir þessar ákvæði með evrópsku stafræna auðkenni eignasafn (EUDIW) og nær til fjármála- og heilbrigðisþjónustu markaða.

ETSI staðlar

Undirritunarsniðin eru staðluð af ETSI:

• ETSI EN 319 132 (XAdES), EN 319 122 (CAdES), EN 319 102 (PAdES) skilgreina tæknileg snið framúrkominni og hæfra undirritana;
• ETSI EN 319 421 stýrir stefnum hæfra tímastimpla þjónustu.

GDPR og gagnavernd

Afgreiðsla auðkennis gagna innan rafrænnra undirritana (nafn, e-póstur, lífmæri fyrir auðkenningu) eru háð GDPR nr. 2016/679. Gagnasafn verðir að: hafa lagalegan grundvöll (lögmæt hagsmunir eða samningsframkvæmd), beita lágmarks-gagnareglunni, og tryggja öryggi með viðeigandi tæknilegum aðgerðum (dulritun, dulnefning).

NIS2 tilskipun

NIS2 tilskipun (2022/2555/ESB), sem var flutt í frönsk lög frá október 2024, leggur auknar kröfur á rekstraraðila nauðsynlegra þjónustu og veitendur stafrænna þjónustu (þar með talið veitendur rafrænnra undirritana) um netöryggistæki, áhættustjórnun og tilkynningum um atvik innan 24 klukkustunda. Vanefni ber með sér viðurlög sem geta náð allt að 10 milljónum evra eða 2% af heimsmarkaðsinn.

Raunveruleg notkunartilfelli rafrænnra undirritana

Dæmi 1: lögfræðistofa viðskiptalaga sjálfvirkja undirritun umboðs

Lögfræðistofa viðskiptalaga með um 12 samstarfsmenn var meðhöndla að meðaltali 120 umboð fyrir framsetningu á mánuði. Pappírsferlið fólst í prentun, póstsendingi eða persónulegri afhendingu, síðan skanningu skjala sem skilað var — sem skapaði að meðaltali 4,5 virka daga seinkun á skrá og um 8% gleypingu skjala.

Með því að beita framúrkominni rafrænnri undirritun (AdES) með OTP auðkenningu, nam stofu seinkunina til undir 4 klukka að meðaltali, minnkaði óeðlilega gögn til innan við 1%, og spóruðu um 2.200 € á ári í póstkostnaði og prentun. Endurskoðunarslóðin sem mynduð var sjálfkrafa einföld einnig tvö umboðsdeilur, með því að leggja fram óumdeilanlega tímastimpla sönnun. Kannaðu okkar lausn fyrir lögfræðistofur.

Dæmi 2: lítil iðnaðarfyrirtæki stafræna samninga birgi

Lítil iðnaðarfyrirtæki með um 200 birgi samninga á ári (almennir kaupkjör, verðbreytingar, NDA) þjáðist af undirritunaseinkunum sem gætu farið yfir þrjár vikur fyrir milli-landamæra samtal með birgjum frá Þýskalandi og Spáni. Munur á lagalegum kerfum og skortur á gagnkvæmri viðurkenningu hægðu á samningaviðræðum.

Með því að taka upp hæfa undirritun (QES) gefna út af QTSP með eIDAS-leyfi, viðurkennd í öllum þremur löndum, nýtti lítla fyrirtækið sjálfkrafa lagalega viðurkenningu án viðbótar lögfræðiúttekts. Meðalseinkun milli-landamæra undirritun fór úr 18 dögum til 2,5 daga. Rafræn undirritun í fyrirtæki lýsir þessum ávinningi fyrir innkaupa teymi.

Dæmi 3: sjúkrahús hópur tryggir upplýst samþykki sjúklinga

Sjúkrahús hópur með um 800 rúm varðu til að safna upplýstu samþykki sjúklinga fyrir rannsóknarsamskiptum. Pappír stjórnun skapaði GDPR reglubundið áhættu (skjöl illa geymd, dögur ekki rekja) og lét heilbrigðis starfsmenn til stjórn verkefna.

Með því að samþæta einfalda rafræna undirritun með auðkenningu með SMS-kóða — næg fyrir athafnir ekki háð hæfu kröfu — skapaði hópurinn sjálfvirka söfnun, geymslu og slóðum samþykkis. Stjórnunar tími á sjúkling fór úr 12 mínútum til innan við 2 mínútu, leysir um 800 heilbrigðis stundir á ári. Öll skjöl eru geymd með hæfum tímastimpla, fullnæg CNIL kröfum. Kannaðu okkar undirritun lausn fyrir heilbrigðis.

Ályktun

Að skilja hvernig rafræn undirritun virkar tæknilega — frá ósamhverfri dulritun til PKI, frá hæfum vottorðum til hæfir tímastimpla sönnunar — er ómissandi til að taka skilningsríkar ákvarðanir varðandi reglufylgni og rekstrar skilvirkni. Þrjú eIDAS stig (einföld, framúrkominni, hæf) svara mismunandi þörfum, og val ætti alltaf að vera stýrt af greining á lagalegri áhættu og væntri sönnunargildinu.

Certyneo fer með þér í þessari breytingu með SaaS-vettvang sem samhæfist eIDAS, hæfir QTSP og einföld samþætting inn í núverandi ferli. Meta hugsanleg hagnaði fyrir stofnun með okkar ROI reiknivél rafrænnrar undirritana, eða byrjaðu beint með því að skoða okkar tilboð og verðlagningu. Reglufylgni og afköst eru ekki lengur málamiðlun.