Choose language
← Vad är vad?

Vad är försegling?

Ett avtal som signeras idag ska kunna granskas och godkännas även om tjugo år av människor som aldrig hört talas om vår tjänst, i en organisation som kanske har bytt arkivsystem flera gånger sedan dess. För att det ska fungera räcker det inte med att veta vem som skrev under. Avtalet måste också kunna bevisa, för en framtida läsare med vanliga verktyg, att ingenting har ändrats sedan underskriften. Det är det försegling är till för.

Vi avser här den försegling som ingår i eAvtals Premium-paket men resonemanget gäller seriösa lösningar för långsiktig digital signering i allmänhet.

 

Vad försegling är

Försegling är ett tekniskt skikt som läggs ovanpå signeringen, efter att alla parter har signerat. Den moderna standardvarianten i EU heter PAdES-LTA (PDF Advanced Electronic Signatures, Long-Term Archive) och beskrivs i ETSI TS 103 172.

PAdES-LTA består av fyra lager som tillsammans gör ett signerat dokument hållbart över tid:

  1. Själva underskriften — vem som skrev under, med en kryptografisk koppling till just det här innehållet
  2. En tidsstämpel — bevis för exakt när underskriften gjordes
  3. Valideringsdata (LTV) — OCSP-svar och spärrlistor som visar att signeringscertifikatet var giltigt vid signeringstillfället, inbäddade direkt i PDF:en så att de inte kan försvinna
  4. En arkivtidsstämpel från en kvalificerad tjänsteleverantör (QTSP) — en tidsstämpel ovanpå hela paketet, utfärdad av en aktör som finns på EU:s förteckning över betrodda tjänster

Det fjärde lagret är det som gör skillnad på lång sikt. Även om det ursprungliga signeringscertifikatet löper ut, även om utgivaren av certifikatet upphör, så fortsätter arkivtidsstämpeln att intyga att paketet såg ut precis så här vid en viss tidpunkt — och att en QTSP under EU-tillsyn stod bakom det intyget.


Vad försegling inte är

Det är lätt att blanda ihop försegling med tre andra begrepp som ofta dyker upp i samma upphandlingsdokument:

  • Försegling är inte samma sak som signering. Signering bevisar vem som skrev under. Försegling bevisar att ingenting har ändrats efter underskriften. Båda behövs, det ena ersätter inte det andra.
  • Försegling är inte samma sak som kryptering. Kryptering döljer innehållet för obehöriga. Försegling skyddar inte innehållet från insyn, den signerade handlingen är fortfarande öppen och läsbar för var och en som har filen. Det försegling skyddar är bevisvärdet: att handlingens innehåll är oförändrat sedan undertecknandet.
  • Försegling är inte samma sak som arkivering. Arkivering handlar om hur ett dokument bevaras — lagring, sökbarhet, åtkomst, behörigheter, gallring. Försegling handlar om vad som gör arkiveringen meningsfull. Utan försegling går det inte att med säkerhet avgöra om filen i arkivet är samma fil som faktiskt signerades. Med försegling kan ett signerat avtal lämnas över till ett separat arkivsystem — till exempel ett kommunalt e-arkiv — utan att förlora sitt bevisvärde.

 

Vad offentlig sektor kräver

För dig som arbetar med upphandling eller informationsförvaltning i offentlig sektor är försegling och PAdES-LTA relevanta i flera regelverk samtidigt:

  • eIDAS-förordningen (EU 910/2014) — definierar elektronisk tidsstämpling med kvalificerad status (kvalificerad tidsstämpel, utfärdad av en QTSP) och elektroniska sigill för organisationer.
  • ETSI TS 103 172 — den tekniska europeiska standarden för PAdES-baseline-profilerna, däribland PAdES-LTA som är avsedd för långtidsarkivering.
  • Riksarkivets RA-FS 2009:2 (gällande föreskrift) — godtar PDF/A-1 för arkivering av elektroniska handlingar.
  • Riksarkivets RA-FS 2021:Y (utkast, ej i kraft per juni 2026) — i utkastets avsnitt 1.1.9 anges att en signerad handling som ska bevaras långsiktigt ska innehålla originalinnehållet, underskriften, certifikatkedjan, spärrdata och valideringsresultatet "i ett och samma tekniska skick". Det är just det PAdES-LTA gör.
  • SKR har rekommenderat PAdES-LTA-profilen för långtidsvalidering av e-signerade handlingar i kommunala upphandlingar.
  • DIGG har riktlinjer för arkivering inom offentlig förvaltning där standarder för långtidsvalidering ofta åberopas.

Sammantaget pekar regelverket åt samma håll: en signerad handling som ska gälla över decennier behöver ett tekniskt skikt som binder ihop innehåll, underskrift, validering och tidsstämpel — och som inte är beroende av att en viss leverantör finns kvar.


Hur säkerställer ni att försegling håller?

Det enkla testet: be om en signerad PDF, öppna den i Adobe Acrobat och kontrollera att (a) en grön bock visas i sidans överkant och (b) signaturpanelen anger att signaturerna följer PAdES-LTA. Komplettera gärna med en validering i EU DSS-valideraren, EU-kommissionens offentliga valideringsverktyg. Det avgörande är att verifieringen fungerar utan att kontakta leverantören, utan särskild programvara och utan att läsaren ska behöva lita på leverantörens webbtjänst för att avgöra om dokumentet är äkta.


Vill ni veta mer?

eAvtals försegling stödjer PAdES-LTA med arkivtidsstämpel från en kvalificerad tjänsteleverantör (QTSP).

Försegling ingår i eAvtals Premium-paket.

Om långsiktig verifierbarhet är ett krav i er upphandling eller informationsförvaltningsplan visar vi gärna hur det fungerar i praktiken.

Kontakta oss så berättar vi mer.

 

Kontakta oss Läs mer om eAvtal