26.2.2011   

SV

Europeiska unionens officiella tidning

L 53/66

KOMMISSIONENS BESLUT

av den 25 februari 2011

om fastställande av minimikrav för behandling över gränserna av dokument som signerats elektroniskt av behöriga myndigheter i enlighet med Europaparlamentets och rådets direktiv 2006/123/EG om tjänster på den inre marknaden

[delgivet med nr K(2011) 1081]

(Text av betydelse för EES)

(2011/130/EU)

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DETTA BESLUT

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europarlamentets och rådets direktiv 2006/123/EG av den 12 december 2006 om tjänster på den inre marknaden (1), särskilt artikel 8.3, och

av följande skäl:

(1)

Tjänsteleverantörer vars tjänster omfattas av direktiv 2006/123/EG måste via gemensamma kontaktpunkter och på elektronisk väg kunna fullgöra förfaranden och formaliteter som krävs för tillträde till och utövande av deras verksamheter. Inom de gränser som fastställs i artikel 5.3 i direktiv 2006/123/EG kan det fortfarande finnas tillfällen då tjänsteleverantörer måste skicka originalhandlingar, bestyrkta kopior eller auktoriserade översättningar för att fullgöra förfaranden och formaliteter. Tjänsteleverantörerna kan då behöva skicka dokument som signerats elektroniskt av behöriga myndigheter.

(2)

Gränsöverskridande användning av avancerade elektroniska signaturer som stöds av ett kvalificerat certifikat underlättas av kommissionens beslut 2009/767/EG av den 16 oktober 2009 om åtgärder som underlättar användningen av förfaranden på elektronisk väg genom gemensamma kontaktpunkter i enlighet med Europaparlamentets och rådets direktiv 2006/123/EG om tjänster på den inre marknaden (2), som bland annat ålägger medlemsstaterna att utföra riskbedömningar innan dessa elektroniska signaturer krävs från tjänsteleverantörer och fastställer regler för medlemsstaternas godkännande av avancerade elektroniska signaturer baserade på kvalificerade certifikat, med eller utan en säker anordning för skapande av signaturer. Beslut 2009/767/EG behandlar dock inte de elektroniska signaturernas format i dokument utfärdade av behöriga myndigheter som måste lämnas in av tjänsteleverantörer för att fullgöra relevanta förfaranden och formaliteter.

(3)

Eftersom behöriga myndigheter i medlemsstaterna för närvarande använder avancerade elektroniska signaturer av olika format för att signera sina dokument elektroniskt kan de mottagande medlemsstaterna som måste behandla dokumenten ställas inför tekniska svårigheter till följd av den mångfald av signaturformat som används. För att möjliggöra för tjänsteleverantörer att fullgöra förfaranden och formaliteter över gränserna på elektronisk väg är det nödvändigt att se till att åtminstone ett visst antal format av avancerade elektroniska signaturer kan stödjas tekniskt av medlemsstaterna när de erhåller dokument som signerats elektroniskt av behöriga myndigheter i andra medlemsstater. Ett fastställande av ett antal format för avancerade elektroniska signaturer som måste stödjas tekniskt av den mottagande medlemsstaten skulle möjliggöra större automatisering och förbättra interoperabiliteten över gränserna.

(4)

Medlemsstater vars behöriga myndigheter använder elektroniska signaturer av andra format än de som stöds normalt kan ha implementerat valideringsmetoder som gör det möjligt att verifiera deras signaturer även över gränserna. Om så är fallet och för att de mottagande medlemsstaterna ska kunna förlita sig på valideringsverktygen måste informationen om dessa verktyg göras tillgänglig på ett lättåtkomligt sätt, såvida inte den nödvändiga informationen inkluderas direkt i de elektroniska dokumenten, i de elektroniska signaturerna eller i de medier som innehåller de elektroniska dokumenten.

(5)

Detta beslut påverkar inte medlemsstaternas fastställande av vad som utgör en originalhandling, en bestyrkt kopia eller en auktoriserad översättning. Syftet är endast att underlätta verifieringen av elektroniska signaturer om de används i originalhandlingar, bestyrkta kopior eller auktoriserade översättningar som tjänsteleverantörer måste lämna in via gemensamma kontaktpunkter.

(6)

För att göra det möjligt för medlemsstaterna att implementera de nödvändiga tekniska verktygen bör beslutet tillämpas från och med den 1 augusti 2011.

(7)

De åtgärder som föreskrivs i detta beslut är förenliga med tjänstedirektivkommitténs yttrande.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Referensformat för elektroniska signaturer

1.   Medlemsstaterna ska tillämpa nödvändiga tekniska medel som gör det möjligt för dem att behandla elektroniskt signerade dokument som tjänsteleverantörer lämnar in i samband med fullgörandet av förfaranden och formaliteter via gemensamma kontaktpunkter, så som aviserades i artikel 8 i direktiv 2006/123/EG, och som signeras av behöriga myndigheter i andra medlemsstater med en avancerad elektronisk XML-, CMS- eller PDF-signatur i BES- eller EPES-format, som uppfyller de tekniska specifikationerna i bilagan.

2.   Medlemsstater vars behöriga myndigheter signerar de dokument som omnämns i punkt 1 med hjälp av elektroniska signaturer i ett annat format än de som omnämns i samma punkt ska till kommissionen anmäla de existerande valideringsmöjligheterna så att andra medlemsstater ska kunna validera mottagna elektroniska signaturer på Internet, kostnadsfritt och på ett sätt som är begripligt för personer med ett annat modersmål, såvida inte den nödvändiga informationen redan finns i dokumentet, i den elektroniska signaturen eller i de medier som innehåller de elektroniska dokumenten. Kommissionen gör den informationen tillgänglig för alla medlemsstater.

Artikel 2

Tillämpning

Detta beslut ska tillämpas från och med den 1 augusti 2011.

Artikel 3

Adresser

Detta beslut riktar sig till medlemsstaterna.

Utfärdat i Bryssel den 25 februari 2011.

På kommissionens vägnar

Michel BARNIER

Ledamot av kommissionen

(1)  EUT L 376, 27.12.2006, s. 36.

(2)  EUT L 274, 20.10.2009, s. 36

BILAGA

Specifikationer för att en avancerad elektronisk XML-, CMS- eller PDF-signatur ska kunna stödjas tekniskt av den mottagande medlemsstaten

Nyckelorden MÅSTE, FÅR INTE, OBLIGATORISK, SKA, SKA INTE, BÖR, BÖR INTE, REKOMMENDERAD, FÅR och VALFRI ska i den nedanstående delen av dokumentet tolkas i enlighet med RFV 2119 (1).

AVSNITT 1 –   XAdES-BES/EPES

Signaturens format ska följa W3C:s specifikationer för XML-signaturer (2)

Signaturen MÅSTE ha signaturformatet XAdES-BES (eller -EPES) i enlighet med specifikationerna för XAdES i Etsi TS 101 903 (3) och även uppfylla samtliga nedanstående specifikationer:

 

Den ds:CanonicalizationMethod som specificerar den kanoniseringsalgoritm som tillämpas på SignedInfo-elementet innan signaturberäkning utförs identifierar endast en av följande algoritmer:

Canonical XML 1.0 (utesluter kommentarer)

:

http://www.w3.org/TR/2001/REC-xml-c14n-20010315

Canonical XML 1.1 (utesluter kommentarer)

:

http://www.w3.org/2006/12/xml-c14n11

Exclusive XML Canonicalization 1.0 (utesluter kommentarer)

:

http://www.w3.org/2001/10/xml-exc-c14n#

 

Andra algoritmer eller versioner ”med kommentarer” av ovan nämnda algoritmer BÖR INTE användas för att skapa signaturer, men BÖR stödjas för fortsatt interoperabilitet vid signaturverifieringen.

 

MD5 (RFC 1321) FÅR INTE användas som en digest algorithm. Undertecknare hänvisas till gällande nationell lagstiftning, och för riktlinjer till Etsi TS 102 176 (4) och till rapporten ECRYPT2 D.SpA.x (5) för ytterligare rekommendationer om algoritmer och parametrar som är möjliga för elektroniska signaturer.

Användningen av transforms begränsas till nedanstående lista:

 

Kanoniseringstransformer: se relaterade specifikationer ovan.

 

Base64-kodning (http://www.w3.org/2000/09/xmldsig#base64).

 

Filtrering:

XPath (http://www.w3.org/TR/1999/REC-xpath-19991116): av kompatibilitetsskäl och för överensstämmelse med XMLDSig.

XPath Filter 2.0 (http://www.w3.org/2002/06/xmldsig-filter2): som en efterföljare till XPath på grund av prestandaproblem.

 

Enveloped signature-transform: (http://www.w3.org/2000/09/xmldsig#enveloped-signature).

 

XSLT (stilmall) transformer.

ds:KeyInfo-elementet MÅSTE inkludera undertecknarens digitala X.509 v3-certifikat (dvs. dess värde och inte en referens till det).

Signaturegenskapen signerad med ”SigningCertificate” MÅSTE innehålla checksumman (CertDigest) och IssuerSerial för undertecknarens certifikat som lagras i ds:KeyInfo och det valfria URI i fältet ”SigningCertificate” FÅR INTE användas.

SigningTime för den signerade signaturegenskapen finns och innehåller UTC uttryckt som xsd:dateTime (http://www.w3.org/TR/xmlschema-2/#dateTime).

DataObjectFormat-elementet MÅSTE finnas och innehålla MimeType-underelementet.

Om de signaturer som medlemsstaterna använder baseras på ett kvalificerat certifikat kan de PKI-objekt (certifikatkedjor, återkallningsdata, tidsstämplar) som ingår i signaturerna verifieras med hjälp av den tillförlitliga förteckningen, i enlighet med kommissionens beslut 2009/767/EG, av den medlemsstat som övervakar eller ackrediterar den CSP som utfärdat undertecknarens certifikat.

I tabell 1 sammanfattas de specifikationer som en XAdES-BES/EPES-signatur måste uppfylla för att stödjas tekniskt av den mottagande medlemsstaten.

Tabell 1

Image

AVSNITT 2 –   CAdES-BES/EPES

Signaturen överensstämmer med specifikationerna för CMS-signatur (Cryptographic Message Syntax) (6)

Signaturen använder de signaturattribut för CAdES-BES (eller -EPES) som specificeras i CAdES-specifikationerna i Etsi TS 101 733 (7) och uppfyller de övriga specifikationerna i tabell 2.

Alla CAdES-attribut som ingår i hashberäkningen av tidsstämpeln i arkivet (Etsi TS 101 733 V1.8.1 Annex K) MÅSTE vara DER-kodade och övriga kan vara i BER för att förenkla enstegsbearbetning av CAdES.

MD5 (RFC 1321) FÅR INTE användas som en digest algorithm. Undertecknare hänvisas till gällande nationell lagstiftning, och för riktlinjer till Etsi TS 102 176 (8) och till rapporten ECRYPT2 D.SpA.x (9) för ytterligare rekommendationer om algoritmer och parametrar som är möjliga för elektroniska signaturer.

De undertecknade attributen MÅSTE inkludera en referens till undertecknarens digitala X.509 v3-certifikat (RFC 5035) och fältet SignedData.certificates MÅSTE inkludera dess värde.

Signeringsattributet SigningTime MÅSTE finnas och MÅSTE innehålla UTC uttryckt som i http://tools.ietf.org/html/rfc5652#section-11.3.

Signeringsattributet ContentType MÅSTE finnas och innehålla id-data (http://tools.ietf.org/html/rfc5652#section-4) där datainnehållstypen är avsedd att hänvisa till arbiträra oktettsträngar, t.ex. UTF-8-text eller zip-container med MimeType-underelement.

Om de signaturer som medlemsstaterna använder baseras på ett kvalificerat certifikat kan de PKI-objekt (certifikatkedjor, återkallningsdata, tidsstämplar) som ingår i signaturerna verifieras med hjälp av den tillförlitliga förteckningen, i enlighet med beslut 2009/767/EG, av den medlemsstat som övervakar eller ackrediterar den CSP som utfärdat undertecknarens certifikat.

Tabell 2

Image

AVSNITT 3 –   PAdES-PART 3 (BES/EPES)

Signaturen MÅSTE ha signaturformatet PAdES-BES (eller -EPES) i enlighet med specifikationerna för PAdES-Part3 i Etsi TS 102 778 (10) och även uppfylla samtliga nedanstående specifikationer:

MD5 (RFC 1321) FÅR INTE användas som en digest algorithm. Undertecknare hänvisas till gällande nationell lagstiftning, och för riktlinjer till Etsi TS 102 176 (11) och till rapporten ECRYPT2 D.SpA.x (12) för ytterligare rekommendationer om algoritmer och parametrar som är möjliga för elektroniska signaturer.

De undertecknade attributen MÅSTE inkludera en referens till undertecknarens digitala X.509 v3-certifikat (RFC 5035) och fältet SignedData.certificates MÅSTE inkludera dess värde.

Tiden för undertecknandet anges genom värdet på M-registreringen i signaturkatalogen.

Om de signaturer som medlemsstaterna använder baseras på ett kvalificerat certifikat kan de PKI-objekt (certifikatkedjor, återkallningsdata, tidsstämplar) som ingår i signaturerna verifieras med hjälp av den tillförlitliga förteckningen, i enlighet med beslut 2009/767/EG, av den medlemsstat som övervakar eller ackrediterar den CSP som utfärdat undertecknarens certifikat.

(1)  IETF RFC 2119: ”Key words for use in RFCs to indicate Requirements Levels”.

(2)  W3C, XML Signature Syntax and Processing, (Version 1.1), http://www.w3.org/TR/xmldsig-core1/.

W3C, XML Signature Syntax and Processing, (Second Edition), http://www.w3.org/TR/xmldsig-core/

W3C, XML Signature Best Practices, http://www.w3.org/TR/xmldsig-bestpractices/.

(3)  Etsi TS 101 903 v1.4.1: XML Advanced Electronic Signatures (XAdES).

(4)  Etsi TS 102 176: Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; del 1: Hash functions and asymmetric algorithms; del 2: ”Secure channel protocols and algorithms for signature creation devices”.

(5)  Senaste versionen är D.SpA.13 ECRYPT2 Yearly Report on Algorithms and Key sizes (2009–2010), av den 30 mars 2010 (http://www.ecrypt.eu.org/documents/D.SpA.13.pdf).

(6)  IETF, RFC 5652, Cryptographic Message Syntax (CMS), http://tools.ietf.org/html/rfc5652.

IETF, RFC 5035, Enhanced Security Services (ESS) Update: Adding CertID Algorithm Agility, http://tools.ietf.org/html/rfc5035.

IETF, RFC 3161, Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP), http://tools.ietf.org/html/rfc3161.

(7)  Etsi TS 101 733 v.1.8.1: CMS Advanced Electronic Signatures (CAdES).

(8)  Etsi TS 102 176: Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; del 1: Hash functions and asymmetric algorithms; del 2: ”Secure channel protocols and algorithms for signature creation devices”.

(9)  Senaste versionen är D.SpA.13 ECRYPT2 Yearly Report on Algorithms and Key sizes (2009–2010), av den 30 mars 2010 (http://www.ecrypt.eu.org/documents/D.SpA.13.pdf).

(10)  Etsi TS 102 778–3 v1.2.1: PDF Advanced Electronic Signatures (PAdES), PAdES Enhanced – PAdES-Basic Electronic Signatures and PAdES-Explicit Policy Electronic Signatures Profiles.

(11)  Etsi TS 102 176: Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; del 1: Hash functions and asymmetric algorithms; del 2: ”Secure channel protocols and algorithms for signature creation devices”.

(12)  Senaste versionen är D.SpA.13 ECRYPT2 Yearly Report on Algorithms and Key sizes (2009–2010), av den 30 mars 2010 (http://www.ecrypt.eu.org/documents/D.SpA.13.pdf).