Vad är PKI (Public Key Infrastructure)?

PKI, eller Public Key Infrastructure, är den infrastruktur av teknik, roller och regler som gör att vi kan lita på digitala identiteter och elektroniska underskrifter. Den bygger på två matematiskt sammanlänkade nycklar och på certifikat som kopplar en nyckel till en viss person eller organisation. PKI är grunden under BankID, elektroniska underskrifter och försegling, även om begreppet sällan syns för användaren.

Begreppet dyker upp i tekniska krav och säkerhetsdiskussioner men förklaras sällan. Här går vi igenom vad PKI är, hur förtroendekedjan fungerar och varför det är grunden för e-signering.

Hur fungerar PKI?

PKI bygger på asymmetrisk kryptering. Varje användare har ett nyckelpar: en privat nyckel som hålls hemlig och en publik nyckel som får spridas fritt. Det som skapas med den privata nyckeln kan kontrolleras med den publika, men ingen kan räkna ut den privata nyckeln från den publika.

Vid en elektronisk underskrift används den privata nyckeln för att signera. Vem som helst kan sedan kontrollera underskriften med den publika nyckeln. Eftersom bara undertecknaren har den privata nyckeln går det att binda underskriften till en bestämd person.

PKI står för Public Key Infrastructure, på svenska infrastruktur för publika nycklar. En certifikatutfärdare (Certificate Authority, CA) är den part som utfärdar certifikat. Spärrdata (på engelska CRL och OCSP) är information om certifikat som har dragits tillbaka i förtid.

Certifikat och förtroendekedjan

En publik nyckel säger i sig inte vem den tillhör. Det är där certifikatet kommer in. Ett certifikat kopplar ihop en publik nyckel med en identitet, till exempel en person eller en organisation. Certifikatet utfärdas och signeras av en certifikatutfärdare (CA), som går i god för kopplingen.

Ni litar på ett certifikat därför att ni litar på den CA som utfärdat det. CA:erna bildar en kedja: ett certifikat signeras av en CA, vars eget certifikat i sin tur signeras högre upp, ända till en betrodd rot. Inom EU samlas de betrodda aktörerna på offentliga förteckningar, EU:s lista över betrodda tjänster.

Det betyder att ni kan kontrollera ett certifikat utan att förlita er på oss som leverantör. Förtroendet vilar på den publika infrastrukturen, inte på en enskild aktör.

Vad händer när ett certifikat ska sluta gälla?

Ett certifikat har en giltighetstid och slutar gälla när den löper ut. Det kan också behöva dras tillbaka i förtid, till exempel om en privat nyckel kommit på avvägar. Då publiceras spärrdata som visar att certifikatet inte längre är giltigt. Vid kontroll av en underskrift går det att se om certifikatet var giltigt vid signeringstillfället.

Varför PKI är grunden för e-signering

En elektronisk underskrift är i grunden en PKI-operation. Den privata nyckeln skapar underskriften. Certifikatet visar vems nyckel det var. Förtroendekedjan gör att vem som helst kan kontrollera den. Ju starkare krav på certifikatet, desto högre nivå når underskriften.

För en kvalificerad elektronisk signatur (QES) krävs ett kvalificerat certifikat enligt eIDAS Artikel 28, utfärdat av en kvalificerad tjänsteleverantör (QTSP) på EU:s betrodda lista. Skillnaden mellan signaturnivåerna går vi igenom i Vad är AES och QES?.

Hur eAvtal använder PKI

PKI finns med i varje steg, även om ni sällan ser det. När en part signerar med BankID sker det med en certifikatbaserad identitet. När ett avtal förseglas, vilket ingår i Premium-paketet, används ett certifikat från en betrodd certifikatutfärdare. Då bäddas spärrdata och certifikatkedja in i filen. Det gör att avtalet kan kontrolleras långt efter signeringen, oberoende av oss som leverantör. Hur det säkerställs över tid beskriver vi i Vad är försegling? (PAdES-LTA).

Vill ni veta mer?

Möter ni krav på certifikat, betrodda tjänster eller PKI i en upphandling, och vill veta vad det innebär i praktiken? Hör av er till oss så förklarar vi gärna, eller läs mer om eAvtal på produktsidan.