TDT4730 Informasjonssystemer. Elektronisk ID og lommebøker

Størrelse: px
Begynne med side:

Download "TDT4730 Informasjonssystemer. Elektronisk ID og lommebøker"

Transkript

1 TDT4730 Informasjonssystemer Elektronisk ID og lommebøker Christian Svehagen 26 november, 2004 Hovedveileder: Claude Marie Davidsen

2 Sammendrag EID åpner for økte sikkerhet i tjenester i åpne nettverk. Noe av det som bremser opp bruksutviklingen av e-handel manglende sikre betalingsformer. EID gir sikker kommunikasjon. EID gir også sikre betalingsformer. EID er basert på elektroniske sertifikater og PKI. DEt finnes i hovedsak to leverandører av EID i Norge. Man ser antydninger til fler og fler prosjekter som eksperimenterer med EID. Fordelen ved bruk av EID er mange. Men EID-strukturen, slik den er idag er ikke helt feil fri. Utbyggelse PKIstrukturen er ett viktig punkt. Suksessbildet er nyansert 3

3 Forord Denne rapporten er resultatet av fordypningsprosjekt i informasjonssystemer høsten 2004 ved Norges Tekniske- og Naturvitenskapelige Universitet. Prosjektet er et litteraturstudium i elektronisk ID, i hovedsak i forbindelse med anvendt nytte i elektronisk betaling og sikker kommunikasjon. Oppgaven vil del være en forfase til diplomoppgaven for våren 2005, da jeg har fattet interesser i området. Jeg vil takke veiledere Lillian Hella og Claude Marie Davidsen ved Institutt for Datateknikk og Informatikk for hjelp underveis. Christian Svehagen Trondheim, 26 november

4 Introduksjon 1 Teknologisk plattform 2 Symmetrisk kryptering 3 Sertifikatstandarder 5 Smartkort 6 Betalingssystemer 8 Dagens situasjon 9 Nasjonal standard 10 Lov om elektronisk signatur og standard 10 BankID 11 Zebsign 12 EID-prosjekter i Norge 12 AltInn 13 Oppdal kommune 13 Det Digitale Trøndelag 14 Buypass 14 Mondex Kapittel 4 - Muligheter 16 Autentisering 16 Integritet 16 Autorisering 16 Forhindre fornekting 17 Konfidensialitet 17 Sikker E-handel 18 Andre implikasjoner for E-handel 18 Kanalstrategier 18 Utfordringer og forutsetninger 19 Innføring og integrering 19 Bruk 19 Inngangskostander for privatpersoner. 19 Standarder 20 Samtrafikk 20 Utfordringer hos brukerne 20 Forutsetninger 21 EID i lommebok 23 Antagelser 23 EID og betaling 23 EID og legitimasjon 23 Konklusjon og Videre arbeid 25 Referanser 27 Forkortelser 29 1

5 1 Introduksjon Elektronisk handel(e-handel) og andre tjenester på Internett trenger sikker kommunikasjon mellom deltakende parter. Hvordan man kan tilfredsstille sikker kommunikasjon mellom to parter er ikke å se på som svart magi og vil forklares grundigere i kapittel2. Problemene kommer først når man oppskalere systemet slik at flere parter som ikke kjenner hverandre skal kommunisere, som for eksempel i en e-handelssituasjon. Vesentlig i slikt et tilfelle er bruk av elektronisk identifikasjon, EID. EID vil gi nye tjenestemuligheter og spesielt for e-handel vil dette ha betydning. Utviklingen av e-handel har lenge stagnert på grunn av kundenes oppfatning av manglende sikkerhet i elektronisk betalingssystemer[1]. Sikker e-handel vil gjøre at flere tør å betale elektronisk for eksempel på Internett. Det er i den sammenheng interessant å se på hvordan EID kan skape slike sikre tjenester, deriblant elektroniske betalingssystemer. For å gjøre det brukes en elektronisk lommebok som en sammenkobling av funksjoner for blant annet betaling og legitimasjon. Det er hensiktsmessig å se på bruk av EID i flere kommunikasjonkanaler, som for eksempel mobile systemer, Internett og andre åpne nettverk. Hovedprinsippene for EID like i forskjellige kanaler og det er derfor ikke lagt vekt på å beskrive EID på forskjellig vis i ulike kommunikasjonskanaler. Internett er en bra kommunikasjonskanal for å demonstrere eksempler i og med at den er velkjent for det fleste. I kapittel 2 defineres og utdypes sentrale begreper i forbindelse med EID. Det er flere begreper å uttrykk som det er viktig å holde styr på. Videre beskrive, i kapittel 3, situasjonen slik den er i Norge i dag. Det finnes flere utenlandske prosjekter innen EID 1, men de er ikke blitt beskrevet grundigere her da de har mange fellestrekk med EID i Norge. I kapittel 4 kobles EID nærmere til e-handel og andre potensielle bruksområder og i kapittel 5 belyses problemene som ligger foran EID. I kapittel 6 gåes det mer konkret inn på hvordan EID kan legge til rette for sikker e-handel. EID vil da bli brukt i en elektronisk lommebok. 1. For eksempel TrustID, GTA, BELPIC 2

6 2 Teknologisk plattform Dette kapittelet er ment å øke forståelsen for problemer som diskuteres senere. For å forstå diskusjon og statusbeskrivelse kreves det kjennskap til et et teknologisk begrepsapparat. EID forklares nærmere og hva som ligger i en elektronisk lommebok forklares.. Hva er EID? Før man svarer på det kan det være naturlig å gi en forklaring på hva som menes med sikker handel. Sikker handel har ifølge Tepfers og Davidsen fem prinsipper[20]: Autentisering - En mekanisme som gjør at man ved sikkerthet vet hvem man kommuniserer med Integritet - Man må kunne stole på at beskjeder man har mottat ikke er blitt endret etter at de ble sendt. Autorisering - Man ønsker at en personer som vil gjøre endringer i et system har rettigheter til å gjøre det. Forhindre fornekting - Har man sendt en melding skal man ikke kunne nekte for å ha gjort det etterpå. Konfidensialitet - Meldingen som blir utvekslet i et system skal holdes hemmelig for andre. Elektronisk ID er en elektronisk form for legitimasjon og signatur. Denne kan benyttes i åpne system, for eksempel på Internett for å bevise at man er den man utgir seg for å være. Elektronisk sertifikat er den tekniske betegnelsen på en elektronisk ID som inneholder navn og annen informasjon om innehaverene samt hvem som har utstedt sertifikatet. Elektroniske sertifikat forklares nærmere nedenfor. Når man kan legitimere seg og signere avtaler over Internett åpnes det for en lang rekke tjenester man tidligere måtte ha personlig oppmøte for å gjennomføre 1. EID kommer fra utviklingen av kryptografi. Kryptografi Kryptografi er en måte å skjule innholdet i skriftlige meddelelser. De første krypteringsmetodene gikk ut på å forskyve bokstavene i alfabetet et visst antall plasser. Moderne kryptografi bruker avanserte matematiske funksjoner for å forvrenge innhold i dokumenter og meldinger. Det er vanlig at man bruker en nøkkel til å for

7 vrenge innholdet i en melding. Så trenger man en nøkkel for å kunne trekke ut innholdet i meldingen. Det finnes to forskjellige hovedtyper kryptografi, symmetrisk og asymmetrisk kryptering[20]: Symmetrisk kryptering Symmetrisk kryptering baserer seg på at nøkkelen som brukes til å kryptere og dekryptere meldinger er hemmelig. Den samme nøkkelen brukes til begge formål.. Hovedproblemet med denne metoden er at de som ønsker å lese meldingen må ha nøkkelen som ble brukt til å kryptere. Man må dermed finne en måte å distribuere nøkkelen på. Det er ikke trygt å sende nøkkelinformasjon på Internett. Nøkkelen må overleveres fysiskt. Problemet blir følgelig hvordan man skal organisere denne nøkkelfordelingen slik at flere parter skal kunne kommunisere. Spesielt viktig er hvordan fra før ukjente parter skal kunne kommunisere sikkert. Noe av dette løses gjennom. Asymmetrisk kryptering. Asymmetrisk kryptering baserer seg på par av nøkler. Et annet navn for asymmetrisk kryptering er offentlig-nøkkel-kryptering. Den ene nøkkelen er privat og den andre nøkkelen er offentlig. Asymmetrisk kryptering har flere anvendelser. Hvis man ønsker å sende en hemmelig melding til person A sender krypterer man meldingen med den offentlige nøkkelen til person A. Da er det bare person A som kan lese meldingen. Dette løser prinsippet om konfidensialitet som nevnt over. På motsatt vis kan man oppnå autentisering. En en person B krypterer meldingen med sin private nøkkel. Mottaker av meldingen dekrypterer den ved hjelp av den offentlige nøkkelen til person B. Mottakeren kan da være sikker på at det er person B som har sendt meldingen. Dette kalles en elektronisk signatur. Når man er sikker på at person B er den han utgir seg for å være kan person B gis autorisasjon til å utføre handlinger. Hvis scenariet er en nettbankordning, kan person B feks gis tilgang til å overføre penger. Fordi person B har benyttet en elektronisk signatur kan han ikke senere benekte for å ha sendt melding og krypteringsordningen har forhindret fornekting. Vesentlig for suksessen til offentlig-nøkkel-kryptografi er utviklingen RSA-algoritmen( av Rivest, Shamir, Adleman). RSA ble utviklet i 1978 og genererer et nøkkelpar til bruk asymmetrisk kryptering[20]. Idag brukes fremdeles varianter av denne. Elektroniske signaturer Elektroniske signaturer ble mulig da Diffie og Hellmann oppfant offentlig nøkkelkryptografi på midten av 70-tallet[15]. Elektroniske signaturer er, som nevnt over, 4

8 en måte å benytte asymmetrisk kryptografi på. Elektroniske signaturer skal gi sikkerhet for at det er den rette personen som har sendt meldingen og at ingen uvedkommede har endret meldingens innhold underveis. Offentlig-nøkkel-metoden brukes gjerne sammen med en hashing-algoritme[20]. En hashingalgorimte gjøre en streng med vilkårlig lengde om til en streng med konstant lengde, altså den lager et sammendrag. Kryptering av store datamengder vil ta lang tid og man lager derfor et sammendrag av teksten[18]. Utifra dette sammendrag produserer hash-algoritmen så et tall. Ingen meldinger vil få det samme sammendraget og dermed heller ikke likt tall Hvis man endrer en melding vil sammendraget bli annerledes. Dette sammendraget krypteres og man har det som kalles en digital signatur. Hvis mottakeren ikke klarer å dekryptere en hash-verdi ved hjelp av den offentlige nøkklen til avsender betyr det for eksempel at noen har forsøkt å forfalske et dokument. Elektroniske signaturerer er et upresist og overordnet fellesbegrep. Begrepet dekker for eksepel siganturteknikker som signatur av dokumentet ved hjelp av for eksempel mus eller spesialpenn. Derfor finnes noe som heter kvalifiserte signaturer. I lov om elektronisk signatur, kapittel 1, 3[11] defineres eletronisk signatur som; data i elektronisk form som er knyttet til andre elektroniske data og som brukes som autentiseringsmetode. Avansert elektronisk sigantur er en elektronisk signatur som a) er entydig knyttet til undertegneren b) kan identifisere undertegneren c) er laget ved hjelp av midler som bare undertegneren har kontroll over, og d) er knyttet til andre elektroniske data på slik en måte at det kan oppdages om disse har blitt endret etter signering. En avanserte digitale signaturen er juridisk likestilt med håndskrevne signaturer. Offentlige nøkler gir i seg selv ingen informasjon om innehaverens identitet. En digital signatur girr isolert sett ingen kobling til en person i Folkeregisteret. For å få noe slikt til må digitale sertifikater tas i bruk. Elektroniske Sertifikat Elektroniske sertifikat er en ordning som garanterer at en offentlig og privat nøkkel tilhører en bestemt person. Et digitalt sertifikat er en offentlig nøkkel som er godkjent av myndigheter på området. skriver Tepfers og Davidsen[20]. Certificate authority, CA, er benevnelsen på denne typen myndigheter. CA sine hovedoppgaver er å utstede EID, vedlikeholde en organisering av utstedte sertifikater og gjøre backup av systemet. En CA er en tiltrodd tredjepart, TTP. Som TTP garanterer man for at innehaveren av et sertifikat er den personen som innehaveren utgir seg for å være. Zebsign er eksempel på en TTP som har ansvar for, og rettigheter til, å utstede ele- 5

9 ktronisk ID[20]. På samme måte er Posten utsteder en TTP for Postens legitimasjonskort. Posten garanterer for at innehaveren av Postens legitimasjonskort er riktig person i forhold til offentlige registre. På samme måte garanterer Zebsing for at eieren av en Zebsign ID er riktig person. Videre vil innholdet i et elektronisk sertifikat for eksempel være eierens navn, offentlig nøkkel, gyldighetsperiode, serienummer og utsteders digitale sigantur for verifisering av utsteder. Bruk av elektroniske sertifikater i stor skala, for eksempel i e-handelssammenheng, involverer mange ukjente parter. Hvordan skal man så man så vite om en signatur er til å stole på? Public Key Infrastructure, PKI, er svaret Sertifikatstandarder X.509 er den mest utbredte standarden for digitale sertifikat[6]. Det er en del av X.500 standarden for opplysningstjenester. Altså en oppslagstjeneste som kobler navn til attributt. CCITT og ISO står bak denne standarden. X.509 binder en offentlig nøkkel til en entitet kalt subject. Denne bindingen er signaturen. X.509 definerer også gyldighetensperidoden til et sertifikat ved å oppgi datoer for når sertifikatet kan brukes. PKI Normalt kreves Public Key Infrastructure, PKI, for å få til en hensiktigsmessig bruk av elektroniske sertifikater. En stjerneformet topologi hvor alle deltakere kommuniserer sikkert gjennom en sentral instans vil ikke kreve PKI[15]. Med mange tjenesteleverandører er denne modellen vanskelig å gjennomføre. PKI er infrastrukturen som organiserer EID. Aktørene i PKI er Public Key Infrastructure er et opplegg for elektronisk legitimasjon og signatur. For å kunne benytte digitale signaturer i stor skal, det vil si med mange ukjente deltagere i elektronisk samhandling, må utstedelser av sertifikater og nøkler organiseres på en hensiktsmessig måte. Det er her PKI kommer inn. PKI blir da en organisering av enhetene i en elektronisk identifiseringsprosess 2. I grunnleggende PKI er det fire sentral aktører som vist i figur 1: Sertifikatutsteder, CA - Leverandøren av en type sertifikat. Sertifikatutstederen skal være en juridisk person i henhold til lov om elektronisk signatur

10 Registreringsenhet, RA - Instansen de som ønsker å skaffe seg et sertifikat må henvende seg til for å registrere seg. Sertifikateiere - Den fysiske eller juridiske personen som bruker EID til å identifisere seg selv. Sertifikatbrukere - Brukerstedet som ønsker å kontrollere en bruker opp mot sertifikatutsteder. Smartkort Figur 1 Smartkort er kort med datachip istedenfor magnetstripe. Man kan da lagre informasjon, altså data, slik at det er mulig å lagre data rett på smartkortet istedenfor på en konto, slik man må med magnetstripekort. Elektroniske sertifikater kan dermed lagres på smartkort. Når man så har skal bruke sertifikatene i en EID-prosess må man sette smartkortet i forbindelse med for eksempel en PC. Kortet beskyttes av passord eller PIN-kode Et smartkort er transportabelt og kan benyttes på mange steder. Løsninger som ikke benytter smartkort knytter signeringsfunksjonen til en bestemt PC. Ulempen med 7

11 smartkort er at man i dag trenger en egen smartkortleser. Det er ikke standard på PCer ennå. Elektronisk lommebok En elektronisk lommebok er kort fortalt en elektronisk gjengivelse av en vanlig lommebok. Hovedfunksjonene til en elektronisk lommebok vil være de samme som i en vanlig lommebok. For eksempel kan en vanlig lommebok inneholde innholde kredittkort, kontanter og sjekkhefte. En elektronisk lommebok kan tilsvarende inneholde betalingsmidler som ecash og Mondex betalinsgløsning. Mer om dette nedenfor. En vanlig lommebok kan inneholde førerkort, lånekort på biblioteket og pass 3. En elektronisk lommebok kan tilsvarende inneholde ulike typer sertifikater til forskjellig bruk. En elektronisk lommebok er ikke en betalingsmåte i seg selv, men integrerer betalingsmåter som beskrevet over. En elektronisk lommebok kan for eksempel være lagret på en brukers datamaskin, en sentral webtjener, en PDA, en mobiltelefon eller på et smartkort. I denne oppgaven velger jeg dog å ikke knytte elektronisk lommebok til noe foretrukket lagringsmedium. For å gi et inntrykk av hva en elektronisk lommebok kan omfatte kan man se på Tepfers og Davidsen sitt forslag til funksjonalitet[20]: Passordhåndtering. Lommeboken hjelper brukeren med å huske passord til bruk på flere forskjellige nettsider. Kvitteringshåndtering. Lommeboken samler kvitteringer fra butikker hvor man har utført handel. Ifølge kjøpsloven er kundens kvittering/bankutskrift ofte eneste bevis på at en handel mellom to parter er utført. Elektroniske regninger. efaktura. Personlige shoppingagenter. Lommeboken blir et verktøy for shopping som tar imot ordre og lærer av tidligere kjøp. Lojalitetsprogram. Lommeboken blir en beholder for eticks. Oppsamling for mikrotransaksjoner. Små transaksjoner blir samlet opp til en stor sum periodevis for å unngå mange transaksjonkostnader. Det er vanlig med nettbutikker som har egne e-lommebøker. Multi-site-lommebøker er lommebøker som man kan bruke i flere forskjellige butikker som har inngått avtaler med lommebokprodusenten. Eksempler er ewallet og Instabuy. En lommebok kan ligge på en webtjener eller på datamaskinen til brukeren. En lommebok plassert på datamskinen til brukeren kan vanskeliggjøre brukeraksepten siden det forhindrer kunden i å gjennomføre transaksjoner fra andre steder denne ene datamaskinen. 3. Tre typer identifikasjon med forskjellig krav til sikkerhet. 8

12 Betalingssystemer Eksisterenede betalingssystmeer til bruk i e-handel kan i følge Abrazhevich[1] klassifiseresto i to hovedgrupper. Elektroniske valutasystemer og kredit-debit-sytemer.se Figur 2. Elektroniske valutasystemer tilsvarer nærsagt kontanter. To parter utveksler enheter som symboliserer en verdi akkurat som en seddel symboliserer en verdi. Kredit-debit-systemer vil si betalingssystmere hvor verdiene opptrer som tall på konto. Overføringer av verdier, altså betalinger, skjer ved at et summen på en konto blir redusert med et gitt beløp, og vice versa blir summen på an annen konto større. En videre inndeling spalter elektronisk valutasystemer inn i smartkortsystemer og online kontantsystemer. Forsjellen på disse to er at online kontantsystemer bare eksisterer i Internett. Kredit-debit-systemer kan på sin side deles inn i kredit- og debitsystemer og spesialiserte systemer som for eksempel bruker e-post til transaksjoner. Betalingssystemene blir kategorisert under i figur... Figur 2:. Elektroniske betalingssystemer[1] 9

13 3 Dagens situasjon I dette kapittelet beskrives situasjonen for EID i Norget i dag. Her nevnes eksempler på til- og foretak som har tatt i bruk EID. Kapittelet beskriver også elektroniske betalingssystemer, men i mindre grad siden de ikke utgjør hovedsaken i oppgaven. Dette kapittelet vil jeg så bruke til å identifisere hva EID kan tilføre e-lommebok i kapittel 6. Dagens situasjon for e-handel Som nevnt i introduksjonen hemmes utviklingen i e-handel av manglende tillit til betalingssystem.eksisterenede betalingssystmeer er sålangt ikke optimale for brukere og deltagere i e-handel. Brukere har problemer med å ta i bruk betalingssystemer på grunn av mangledne tillit og sikkerhet. Kredittkort er et eksempel[1]. De har god utbrededelse på Internett, men likevel er mange tilbakeholdne med å bruke dem. For å heve pengestrømmen på Internett må man demonstrere sikkerhet. I tillegg vil lave kostnader ha mye å si[20]. Kostnader betyr innbærer økonomiske kostnader samtidig som kostnaden i tid som det tar å lære seg og ta i bruk systemet. Systemer med høy sikkerhet og lav kostnad er per dags dato et paradoks fordi å tilby et system med høy sikkerhetsnivå er kostnadskrevende i økonomisk og tidsmessig. Mobile nøkkelbærere. Smartpay. Fordeler siden mobiler er mye utbredt. Tilrettelegging for EID I 1999 kom EU-dirketiv om et rammeverk for elektronisk signatur. Elektronisk signatur hadde så smått begynt å bli et satsningområde. Dette direktivet skulle legge til rette for juridisk aksept av elektroniske signaturer i tillegg til å fremme den europeiske satsningen på elektroniske siganturer. Direktivet beskriver hvilke krav til som skal stilles til tilbydere og konstanterer at tilbydere av kvalifiserte sertifikater må holdes under oppsyn[18]. Som følge av EU-direktivet ble lov om elektronisk sigantur fremmet for Stortinget i oktober 2000 og vedtatt påfølgende desember(lov- EN).Direktivet førte til at European Electronic Signature Standardization Initiative, EESSI, ble initiert. Målet her var en felles europeisk standard for elektronisk signatur. Samarbeidende parter var European Telecommunication Standards Institute, ETSI, og det europeiske standardiseringsorganet, CEN. Rammeverket utviklet 10

14 gjennom EESSI beskriver setter krav til kvalifiserte sertifikater, krav til utsteder av kvalifiserte sertifikater, krav tilsignaturfremstillingssystemer og gir anbefalinger for sikker signaturverifisering. Som følge av EU-direktivet ble lov om elektronisk sigantur fremmet for Stortinget i oktober 2000 og vedtatt påfølgende desember. Nasjonal standard Problemet med gjeldende internasjonale standarder. slik som den som beskrives ovenfor, er at de ikke er presise nok til at man unngår ulike tolkninger av de samme standardene 1. Internasjonale profilstandarder vil, per dags dato, derfor ikke garantere enkel operabilitet og samtrafikk på tvers av markedet. Nærings- og handelsdepartementet og Arbeids- og administrasjonsdepartementet har tatt initiativ til og lagt til rette for utviklingen av en norsk standard og sertifikatprofil. Samarbeidsprosjekt om EID og e-signatur(seid) skal utvikle en norsk standard for elektronisk ID. Målet for SEID er å sikre samfunnsinfrastruktur for elektroniske siganturer. De samarbeidende partene er: Nordea Bank Norge, DnB NOR, Sparebank1 gruppen, Terra-Gruppen, Fokus Bank, Telenor, NetCom, Buypass, Posten Norge, IBM Norge, Microsoft Norge, Det Norske Veritas og Uninett Norid. At de er så mange understreker viktigheten av arbeidet. Samarbeidet er nå i første fase og har kommet med første leveranse som er en anbefaling av sertifikatprofiler for personsertifikater og virksomhetssertifikater. Lov om elektronisk signatur og standard Som følge av EU-direktivet, beskrevet over, ble lov om elektronisk sigantur fremmet for Stortinget i oktober 2000 og vedtatt påfølgende desember[18]. Bakgrunnen for lovforslaget ligger forutsetningen om behov for regulering av elektronisk signatur for å legge til rette for elektronisk handel og elektroniske tjenester. Et av hovedpunktene i loven er sidestillingen av elektronisk signatur og signatur skrevet, for eksempel med blekk, på papir. Tjenestetilbydere Idag finnes det i hovedsak to tilbydere av elektronisk ID i Norge. Disse to er BankID og Zebsign. EID som disse to leverer kan brukes til å fremstille kvalifisert elektronisk signatur nevnt ovenfor

15 BankID BankID er et samarbeid om EID og signaturtjenester mellom et antall finansielle aktører i Norge. Tilsvarende samarbeid om BankID finnes også i andre land for eksempel i Sverige 2. BankID er basert på en samordnet infrastruktur som grunnlag for utstedelse og bruk. BankID-prosjektet ble etablert i 1999 av banknæringen i regi av Finansnæringens Hovedorganisasjon og Sparebankforeningen 3. Første fase av prosjektet ble avsluttet høsten 2000 og det er nå opprettet en felles operativ PKI. Den felles infrastrukturen omfatter[20]: Regler/policy. Interbank-regler om BankID Avtaler til bruk mellom kunde og bank Felles merkevare Teknisk infrastruktur Standarder Interbankreglene for BankID vil si at utlevering av BankId til bankkunden skal skje ved personlig oppmøte i banken eller samarbeidspartnere som plikter å kontrollere bankkundens identitet. Bankene har lovpålagt ansvar om å forhindre misbruk av bankkonti i henhold til finansavtaleloven, og de er dermend nødt til å følge strenge rutiner for utstedelse av BankID Hovedtjenestene til BankID er autentisering. Det brukes når man for eksempel logger seg på et brukersted som benytter seg av BankID. Fordelen med BankID-infrastrukturen er at man ved hjelp av en BankID 4 kan logge seg på forekjsllige nettbankløsninger. Elektronisk Signering brukes når man benytter BankID til å lage en personlig signatur, for eksempel når man inngår en personlig avtale med et Bank- ID brukersted. BanklID er lagt opp til et høyt sikkerhetsnivå som forutsetter bruk av tre separate nøkler. Hver nøkkel er for henholdsvis autentisering, signering og kryptering. Hver innehaver av BankID får oppgitt en unik identifikasjonsnummer. Dette identifikasjonsnummeret vil som et personnummer inneholde vesentlig informasjon om innehaveren. Første fase av prosjektet har lagt hovedfokus å muliggjøre sikker meldingsutveksling mellom en bank og kunde. Dette gjøres ved at det er utviklet rutiner for autentisering, integritet, kryptering og digital signatur. Første fase brukte myke sertifikater. Fase to av prosjektet skal involvere en bredere infrasturktur gjennom bruk av tiltrodde tredjeparter for elektronisk kommunikasjon. Fase to tok i bruk harde sertifikater lagret på for eksempel smartkort[18].som følge av infrastrukturen i BankID, trenger en sertifikatbruker bare å inngå avtale med sin egen En BankID er en EID 12

16 bankforbindelse. Da kan alle BankID-innehavere ta i bruk tjeneste til denne sertifikatbrukeren. Det vil si at en BankID kan brukes i flere nettbanker. Zebsign Zebsign er den andre hovedeverandøren av elektroniske ID. Frem til mai 2004 var Zebsign Norges eneste leverandør av kvalifiserte sertifikater[13], men nå har Bank- ID også kommet på banen. Zebsign ble til gjennom en fusjon av Telenoreide Zebrasign AAS og Postens Ergosign AS. Ergogroup lanserte sin elektroniske ID-tjeneste i Kortet gav kunden et sett med sertifikater lagret i et smartkort, og kunne i tillleg tjene som vanlig visuell ID, akkurat som Postens ID-kort. Telenor på sin side startet tilbydelse av TTP-tjenester allerede i Zebsign gir en elektronisk signatur som fungerer på tvers av applikasjoner og aksessystemer. Det vil si at akkurat som i for BankID trenger brukeren trenger kun en EID til å identifisere seg hos forskjellige nettsteder og tjenesteytere. Zebsigns elektroniske sertifikater kan lagres enten på PC, mobiltelefon eller smartkort. Zebsign leverer følgende tjenester: Zebsing ID - ID for enkeltpersoner Zebsign Community ID - ID for personer ansatt i bedrifter Zebsign Virksomhetsertifikater - ID for virksomheter Zebsign Oppslagstjeneste, fødselsnummer -Tjeneste for brukersted som ønsker å innhente fødselsnummer til bruker. Det er kun spesielt autoriserte brukersteder som får anledning til dette. Alt i henhold til datatilsynets rettningslinjer. Zebsign Oppslagstjeneste, katalog - Tjeneste for å hente ut sertifikater fra Zebsign ID-er. Dette kan brukes til å kalle tilbake utgåtte sertifikater. Zebsign Valideringstjeneste OCSP - Valideringstjeneste for brukersertifikater Zebsing Sikker Drift - Tjeneste hvor Zebsign påtar seg driften av en virksomhets PKI-løsning Zebsign markedsfører sine produkter og tjenester gjennom samarbeidspartnere og kanaler 5. Disse partnerene bruker Zebsigns EID i sine egne tjenester slik at resultatet blir en verdiøkninge(konsumentkrigen) og at kunder blir tilbudt komplette elektroniske tjenester. Et eksempel på dette er Buypass som leverer smarkortløsning med EID og betalingssystem. EID-prosjekter i Norge

17 EID er etterhvert blitt brukt i flere norske prosjekter. Nedenfor beskrives et lite utvalg av disse for å gi en orientering om bruksnytten og at dette er teknologi som med noen forbehold kan brukes idag. AltInn Altinn er en portal hvor man kan levere inn offentlige skjemaer over Internett 6. Denne portalen er et samarbeid mellom Skatteetaten, Statistisk Sentralbyrå, Brønnøysundregistrene, Lånekassen og Konkurransetilsynet. Hovedtanken bak denne portalen er at skjemaetater skal ha et system for innelvering av skjemaer istedenfor mange egne systemer. Alle skjemaer er konstruert på felles måte slik at brukerne slipper å forholde seg til ulike typer grensesnitt og utformelse[2]. Statens Lånekasse, som er en av initiativtagerne til samarbeidet har nå tatt i bruk EID for signering av gjeldsbrev over Internett[5]. Tidligere har Lånekassen tilbudt studenter å søke om studeilån på deres nettsider. Man fikk da tilsendt et gjeldsbrev i posten på vanlig vis som man så måtte signere for hånd. Denne tjenesten har vært beskyttet av PIN-kode. Krav til sikkerhet ved signering av gjeldsbrev over Internett er mye høyre og derfor må personer som ønsker å benytte seg av tjenesten gå til anskaffelse av EID med høyt sikkerhetsnivå. Eneste mulighet da er å bruke Buypass sin EID-løsning. Denne skaffer man seg ved å bli nettspiller hos Norsk-tipping. Gjeldsbrevtjenesten har bare vært tilgjengelig for studenter ved noen univeristet og høyskoler men er planlagt å gjelde for alle studenter i Norge i løpet av Altinn vil mulgigjøre enorge-målsettingen om døgnåpen forvaltning hvor menigmann skal ha tilgang til offentlige tjenester på Internett. Skattedirektoratets tjeneste for forhåndsutfylt selvangivelser som et eksempel på utvikling av nye tjenestemuligheter med EID. Til å begynne med kunne skatteytere ved hjelp av en PIN-basert autentisering få tilgang til et visst utvalg informasjon og operasjoner. I 2001 kom en PKI-løsning uten digitale siganturer. Dette gav økt sikkerhet i forhold til PIN-autentisering som gav utslag i at Skattedirektoratet kunne tilby flere personaliserte tjenester. Ved bruk av digitale Signaturer kan man tilby en fullstendig selvangivelsestjeneste[18]. Oppdal kommune Oppdal kommune har vært regjeringens satsningskommune på innen elektronisk forvaltning(e-forvaltning)og har gjort et utvalg kommunale tjenester tilgjengelig på Internett 7. I Oppdal kommune kan man levere kommunale søknader, for eksempel byggesøknader, på Internett. Biblioteket i Oppdal tilbyr utlån registrert på smartkortet, og kommunalt ansatt kan logge på PC-er og betale mat i kantina ved hjelp av

18 smartkortet. Også tjenestene i Oppdal kommune baserer seg på smartkortet til Buypass som fås gjennom norsk tipping. Det Digitale Trøndelag Oppdal kommune er en foregangsfigur innen praktisk bruk av EID og nå følger flere kommuner etter. Det Digitiale Trøndelag(DDT) er et samarbeidsprosjekt mellom Trondheim, Malvik, Stjørdal, Levanger, Frosta, Verdal og Steinkjer samt Nord- og Sør-Trøndelag fylkeskommune 8. DDT skal tilgjengeliggjøre felles nettbaserte tjenester og effektivisere administrasjonen av disse.hovedtanken med DDT er å fremme e-handel i kommunene, sikker legitimering og kommunikasjon. Prosjektet var ferdig i november Alle kommunene i prosjektet har startet med kommunale innkjø gjennom markedsplassen.no som samler alle leverandørene. Lommebok Det finnes idag ikke mange elektroniske lommebøker på markedet som fulgt ut følger definisjonen beskrevet i kapittel 2. BankID har betalingsfunksjonalitet og EID. Ellers er buypass en kombinert løsning av EID og elektronisk betalingssystem. Denne benytter seg av Zebsign ID og Mondex betalingssystem. Buypass Norsk tipping har nylig lansert et en tjeneste de kaller nettspill.(www.norsk-tipping.no) Som nettspiller kan man levere spill til Norsk Tipping hjemmefra, uten å måtte oppsøke en kommisjonær. Som nettspiller mottar man så et smartkort med Buypass betalingsløsning og en smartkorleser som man kobler til hjemme-pcen. Dette smartkortet fungere som en EID i tillegg til å være en lommebok med plass til opptil 2500 kroner. Når man så ønsker å spille på et av Norsk Tippings tilbudte spill, betaler man med smartkortet. Dette smartkortet er beskyttet av en pinkode. Årsabonnent koster 79 kroner. Når man har registrert seg får man tilsendt gratis smartkort og gratis smartkortleser som man kobler til pc-en. Disse er subsidiert av norsk-tipping for å øke utbredelsen av teknologien..hvis man mister utstyret man har fått utdelt av Norsk Tipping må man betale 199,- kroner for et nytt kort og 349,- for kortleser 9. Mondex Mondex er laget av britiske banker og britiske televerket og er et betalingskort. Dette kortet kan brukere overføre penger til via telefon, minibank eller Internett

19 Kortet kan brukes til å betale for varer og tjenester på Internett eller overføre penger til andre kortholdere. Overføringen skjer umiddelbart som om det skulle være cash[20]. 16

20 4 Muligheter I dette kapittelet vil hvilke muligheter og fordeler som ligger i bruk av EID drøftes. EID vil i første omgang knyttes opp mot prinsippene for sikker handel som er beskrevet kapittel 1 - introduksjon, og dette vil synliggjøre videre implikasjoner. Elektroniske ID Autentisering Tidligere, og nåværende, adganskontroll-løsninger har brukt passordkontroll og for eksempel en kodekalkulator. Tjenester kunne da til en viss grad identifisere en kunde som logget inn. Denne brukeren kan dog ikke med sikkerthet identifiseres. Passordet kan være stjålet og da brukerene registrerte seg kan det hende han brukte falske opplysninger. Med EID kan man med sikkerhet bestemme identiteten til en kunde. EID-en er knyttet opp til folkeregister og fødselsnummer. Det vil si at man med en EID kan identifisere seg overfor flere mulig tjenester på Internett. En bank- ID kan eksempelvis brukes i flere nettbanker 1. Når en kunde idag skal gjennomføre en handel er han ofte nødt til å gå gjennom en registreringsprosess. Dersom han ønsker å å kjøpe nye produkter hos en forhandler kan han være nødt til å måtte registrere seg på nytt. Og hvis han ønsker å kjøpe produkter hos forskjellige forhandlere må han registrere seg flere ganger. Med en elektronisk ID vil kjøperen kunne identifiseres hos forskjellige forhandlere, gjennom å være registrert hos en instans, altså CA. Forhandlerne kjører tjenester opp mot for eksempel Zebsign for å hente ut nødvendig informasjon om kjøperen. Dette kan for eksempel være adressen hvor varen skal sendes. En kunde sparerer altså tid på registreringsprosesser. Nielsen og Herstad[12] forteller at kjøp av tjenester på mobil ofte er preget av impuls. Lave tidskostnader i forbindelse med registering vil altså være til nytte. Integritet Signaturmuligheten i en EID gjør at partene i e-handel kan være sikre på at innholdet i en melding ikke er forandret av andre. Dette er beskrevet i kapittel 2. Medlingsintegritet åpner spesielt for mulgiheter i forhold til autorisering. Autorisering Autorisering er også avhengig av autentisering. Med et høyt sikkerhetsnivå i forhold til meldingsintegritet og autentisering vil man åpne for flere tjenester. Muligheten til nettbank er en velkjent. Med høy grad av sikkerhet i autorisering vil en bruker ha større albuerom. Dette er kort og godt fordi tjenestetilbyderene med sikkerhet vet

21 hvem som har sendt en melding og hva han vil med meldingen. Lånekassen som er nevnt i Kapittel 3, kan åpne for signering av gjeldsbrev fordi det vet hva studenten vil, og de vet hvem studenten er. Videre vil sikker identifikasjon av kommuniserende parter åpne for nye tjenester innen forvaltning. E-forvaltning er en av grunnene til at myndighetene er pådrivere av EID[18]. Elektronisk saksbehandling, økonomiforvaltning, offentlige innkjøp og innrapportering mellom etater og farvaltningsnivåer kan være viktige bruksområder innen staten som viktige områder innenfor staten. E-forvaltning vil føre til effektivisering for myndighetene. Det vil bli kortere behandlingstid på for eksempel søknader og det vil bli billigere. I Østerrike bruker finansdepartementet og justisdepartemenetet årlig 50 millioner Euro på postrelaterte kostnader[16]. Med elektronisk forvaltning vil det værestor penger å spare her. Norge har en tre ganger så stor befolkning som Østerrike 1 så postrelaterte kostnader vil være høye også i Norge. Brukerne av slike tjenester får enklere søknadsprosess og kortere responstid[18]. Døgnåpen forvaltning er en annen fordel, og er mye brukt i festtalene om offentlig sektor og EID. Forhindre fornekting Andre fordeler for en leverandør av kommersielle tjenester er at han med sikkerhet kan identifisere kunden og hva kunden ville. En ordre som er signert elektronisk kan ikke benektes,som nevnt i kapittel 3. Kunden har dermed ikke mulighet til å nekte for at en ordre er sendt. I Lånekassens tilfelle betyr det studenten ikke har noen mulighet til å nekte for at han signerte gjeldsbrevet. Konfidensialitet E-post er en mye brukt kommunikasjonform over Internnett. EID gir mulighter til å krytpere innholdet i e-post i tillegg til å garantere for avsender og innholdet i e- posten er riktig. Per dags data sendes mye epost ukryptert. ved å benytte krypteringsmulighetene som ligger i EID kan man sende hemmelige beskjer i form av elektronisk post. Mange bedrifter har ansatte som jobber på andre steder enn kontoret. Med EID vil disse kunne kommunisere med den kontorenheten på en sikker måte[4]. Prinsipenne for sikker handel er ikke bare viktige i e-handelssammenheng og forvaltning. De er generelle prinsipper for sikker kommunikasjon. Patel et al[14]. viser en alternativ applikasjon av Public Key Infrastructure til flykontroll. Det er strenge krav til sikkerhet i kommunikasjonslenken mellom flyvetårn og fly og fly. Federal Aviation Administration ser på PKI som en mulig løsning i neste generasjons kommunikasjonssytem mellom fly og bakke

22 E-handel Sikker E-handel Sikkerhet er viktig del av e-handel. En kunde vil at betalingsopplysningene han gir fra seg ved gjennomføring kjøp er trygge. Ingen skal kunne utnytte de senere for å svindle ham for penger. Med EID vil man kunne sette opp sikre forbindelser med tjenesteleverandører og for eksempel vareforhandlere. Dette vil gi sikker utveksling av betalingsinformasjon. I tillegg gjør EID det mulig å utvikle og bruke sikre betalingssystemer. Tippekortet til Norsk Tipping og Buypass, i kapittel 3, er et eksempel på dette. Mange av de nye betalingsystemene som kommer frem er avhengige av sikker identifikasjon. For en tilbyder av e-handelstjenester vil en sikker måte å betale på øke antall mennesker som er villig til å kjøpe akkurat denne forhandlerens tjenester. Andre implikasjoner for E-handel I åpne system på Internett finnes det en rekke tjenester hvor det kreves at man identifiserer seg. EID vil være en entydig identifiseringsmetode for brukere av en tjeneste. Et eksempel på tjenester kan være nettbanktjenester. Nettbanktjenester vil for eksempel være en av hovedområdene til BankID 1. Noen mener de økonomiske konsekvensene av bruk av BankID i sum vil være positive[8]. Kredittkortselskapene tar provisjoner på mellom to og fire prosent og dette får forhandlere til å velge andre løsninger, for eksempel postoppkrav. Kanalstrategier Tepfers og Davidsen beskriver viktigheten av å kommunisere med kunder gjennom flere kanaler[19].utviklingen av EID åpner for handel i ulike kanaler. For mange kunder er sikkerhetsproblematikken årsak til at de helst vil handle varer over disk i butikken og betale i kontanter, som nevn over. Med EID vil forhandleren ha flere sikre kanaler å nå kunden med

23 5 Utfordringer og forutsetninger Mulighettene med EID er mange som beskrevet i kapittel 4. Men EID står overfor en rekke utfordringer før det blir en standard sikkerhetsteknologi i kommunikasjonskanaler som for eksempel Internett. En ting er de praktiske utfordringer som skal til for å realisere teknologien. Det vil si de forutsetningene som gjør det mulig for å ta i bruk teknologien. I tillegg er det forutsetninger som ligger til grunne for at teknologien skal taes i bruk. Det er for eksempel liten vits i å tilby personer elektroniske ID-kort hvis de ikke har noen steder å bruke det. Det må finnes organ som kan ordne samspill mellom ulike EID-løsningerer. I dette kapittelet vil det diskuteres utfordringer i forbindelse med mulighetene fra foregående kapitler. Økonomiske utfordringer Innføring og integrering Infrastrukturen er kostbar. Både når det gjelder oppbygging og drift. For det første vil introduksjonen av teknologien koste penger. Det samme vil integreringen av PKI med eksisterende datasystemer[18]. Opprettholdese av infrastrukturen er kostbart, og disse utgiftene vil som regel falle på tjenestetilbyderne, for eksempel Zebsign eller BankID. Hvordan disse EID-tilbydere vil betale for kostnadene er ved å ta seg betalt for bruken. Bruk Det finnes flere prismodeller for eksempel å ta seg betalt for utstedelse, bruk, og periodiske avgifter.prosessering av en transaksjon med digitale signaturer er en omfattende prosess, for eksempel fordi man må sjekke om gjeldende sertifikat fortsatt er gyldig eller om det er tilbaketrukket. Myndigheter i Sverige betaler ca 2 kroner per signaturkontroll til BankID i Sverige[3]. Det krever ressurser å prosesser gyldigheten til en elektronisk signatur. Kommuner som tilbyr mange forskjellige elektroniske tjenester kan få opp mot 20 sikre identifisering i uken per barnefamilie. I løpet av et år vil det dreie seg om 2000 kroner pr barnefamilie. I folkerrike kommuner vil dette bety nye millionkostnader. Inngangskostander for privatpersoner. Prisen for et smartkort med ID ligger på rundt 200 kroner 1. En kortleser, som forøvirg ikke er standard PC-utstyr, ligger på 350 kroner. Dette er mye penger for men- 1. https://www.prod.buypass.no/bporder/pages/html/pricentlayoutnt.html 20

24 nesker som ikke ser den umiddelbare nytten. Disse kostnadene vil i noen tilfeller bli betalt av de som ønsker at du skal benytte kortene for eksempel Norsk Tipping 1. Standarder Som følge av Eu-direktivet om rammeverk for elektronisk sigantur er det utviklet gjeldende internasjonale standarder. Problemet med disse er at de ikke er presise nok til å unngå ulike tolkninger av de samme standardene, som beskrevet i kapittel 3. Denne standarden er forholdsvis fersk og det er viktig at den blir opptatt av andre CA enn bare myndigheten som den er tiltenkt i første omgang. Samtrafikk Slik situasjonen i er nå kan man få flere leverandører av EID i markedet. Utfordringen blir samtrafikk mellom de ulike leverandørene, for eksempel BankID og Zebsign. Det vil si at brukere av den ene typen ID-er ikke får begrensede bruksmuligheter som følge at de ikke valgte den andre ID-leverandøren. En signaturbruker må kunne vite om sertifikatet er gyldig. Elektroniske sertifikater har en gitt levetid og når de ikke lenger gyldigmå man ha en ordning for å opplyse sertifikatbrukerne om det. I en fremtidig åpen struktur med flere aktører som hver utsteder sertifikater til ulike målgrupper, er man nødt til å ha en struktur som godkjenner og gir tillit til sertifikattilbyderne[18]. Å vite gyldigheten til en EID innebærer også at man må ha kjennskap til den aktuelle offentlige nøkkelen.. Samtrafikk er ikke bare nødvendig nasjonalt, men også internasjonalt. Når stater etterhvert utvikler egne profiler og standarder så blir utfordringen samspillet mellom disse internasjonalt. En god andel norske statsborgere befinner seg i uttlandet og trenger mange av de samme tjenesten som norske statsborgere bosatt i Norge. Søknader om opphold- og arbeidstillatelse vil også gå på tvers av landegrenser og gjeldende PKI. Utfordringer hos brukerne Lioy et. al. [10] rapporterer at hovedproblemet for brukerne av PKI har vært manglende teknisk kunnskap om PKI og hvordan det fungerer. Dette skal ha gitt den gjennomsnittlige bruker problemer med. Manglende lettfattelige brukergrensesnitt har fungert dårlig med manglende PKI-kunnskap. Videre nevnes problemer med mobilitet. Lokallagrede sertifikat på en brukers datamaskin gjør at han bare får tilgang til PKI-tjenester gjennom den datamaskinen. Bærbare sertifiaktholdere, for eksempel et smartkort, vil løse dette problemet, men per dag dato er ikke utbredelsen av nødvendige kortlesere stor som nevnt over. For å få fri tilgang til sikre

25 tjenester fra en hvilken som helst datamaskin må brukeren pakke ikke bare smartkort, men også kortleser og installasjon-cd i toalettmappen. Den teknisk uskolerte gjennomsnittsbrukeren, nevnt over, får altså flere prøvelser i nytt og ukjent datautstyr. Abrazhevich[1] trekker frem brukervennlighetsproblematikken når han beskriver hvorfor Chipnik og Chipper milsyktes. Chipnik og Chipper er to nederlandske betalingssystmer baserter på EID og smartkort. Applikasjonene var for få. Dessuten ble de sikkerhetsmessig undervurdert av brukerne. For handelsmennene representerte disse kortene store transaksjonskostnader. Personvern Elektronisk ID inneholde inneholder direkte og direkte viktige personsopplysninger. EID skal entydig koble sertifikatinnehaver til fødselsnummer i folkeregisteret. Sensitiv informasjon vil foreligge i EID, og ikke alle skal ha tilgang til denne som stadfestet i Personopplysningsloven[9]. En av Zebsigns tjenester er oppslagsfunksjoner for personopplysninger. En sertifikatbruker kan for eksempel få opplyst fødselsnummeret til sertifikateieren. Dette er selvfølgelig ikke forbehold alle sertifikatbrukere, men instanser som forsikringsselskap og helsevesen. Hvis man ser på EID som en bestanddel i en elektronisk lommebok vil anonymitet og betaling være viktig for privatlivet. Det finnes betalingssytemer som opprettholder anonymitet i forhold til forhandleren, men spørsmålet er hvor hyppig de brukes i forhold til betalingssystemer hvor forhandleren identifiserer brukeren. Og brukeren må være klar over dette. En tenkt bruk av EID autentisering på til alle mulige tjenester vil føre til at man legger fra seg mange elektroniske spor, og man kan da med sikkerhet slå fast hva en person har gjort. En unik identifikator i et sertifikat gjør det enklere å knytte en digital signatur til en person enn å søke etter navneinformasjon i teksten i en melding[18]. En bruker som innehar ett smartkort og én EID vil bruke det for flere typer tjenester. Forutsetninger Det er altså mange utfordringer som ligger foran utbredt bruk av EID. Nærings og handelsdepartementet mener at spredningsuksessen av elektroniske signaturer i Norge står overfor følgende utfordringer[13]: 1. Bred satsning på teknologi i forbindelse med elektronisk innrapportering fra næringslivet, feks ved at Altinnportalen tilbyr en slik funksjonalitet. 2. Utnyttelse av rammeavtaler i helsenett. 22

26 3. Leverandørens vilje og evne til å ta i bruk felles standarder som man er blitt enige om, vil være avgjørende for hvor brukervennlige de tilgjengelige e-sgianturløsningene vil bli. 4. Samordning og gjenbruk av offentlige etaters løsninger vil også være avgjørende. Stor utbredelse av den EID forutsetter også at befolkningen tar i bruk EID. Om dette skjer raskt vil flere aktører komme på banen og tilby tjenester. Kostnader er nevnt i kapittel 4 som et hinder for dette. I BELPIC-prosjektet i Belgia[7], vil myndighetene gå over til å utstede Smartkort med visuell legitimasjon og EID, istedenfor vanlig identifikasjon. Belgiske myndigheter står også for introduksjon og drift av nødvendig PKI. De som ønsker å tilby tjenester basert på EID slipper altså å bygge ut og administrere egen PKI. 23

27 6 EID i lommebok Dette kapittelet bruker EID til å underbygge funksjonalitet og sikkerhet i en elektronisk lommebok. Store utfordringer i e-handel er sikkerhet og betaling. Den elektroniske lommeboken beskrevet i kapittel 2 inneholder funksjoner for passordhåndtering og betaling. Passordhåndtering er som beskrevet i kapittel 4, en av mange applikasjoner for EID. Derfor vil en slik en elekronisk lommebok være et hjelpemiddel for elektronisk handel. Til grunne for hvordan dette skal gjøres ligger noen forutsetninger implisert i forrige kapittel. Den elektroniske lommeboken krever noen antagelser for å kunne realiseres. Antagelser Det er nødvendig å gjøre endel antagelser for denne lommeboken. Det er sett på hvordan den elektroniske lommeboken håndterer funksjoner. Problematikken rundt samtrafikk er dermed ignorert. Det må også antas at en nasjonal standard policy for elektronisk signatur er innarbeidet. Det er blitt sett bort ifra lagringsmediet til den elektroniske lommeboken. Det antas at det er en mobil slik at brukeren kan aksessere mulighetene i lommeboken fra flere steder. Kort oppsummert så vil altså de underliggende forutsetningene for bruk av EID være godt etablert. EID og betaling En elektronisk lommebok vil innehold flere typer betalingssystemer. Disse benyttes opp mot samme EID. Buypassløsningen er et eksempel på en slik lommebok. Den består av en en EID og betalingsløsningen Mondex. Hva så når den samme EID samtidig kan benyttes til betaling med bankkonto? Da har man to betalingsmåter på samme elektroniske lommebok. Mange forskjellige elektroniske betalingsmidler kan bør kunne inkluderes i lommeboken. Med en elektronisk lommebok vil brukere være godt rustet til elektronisk handel. EID og legitimasjon Lommeboken hjelper brukeren med å huske passord til bruk på flere forskjellige nettsider. En EID har autoriseringsmekanisme. Det vil si at man ikke trenger å huske passord og brukernavn for å få tilgang til sider. Ulike tjenester krever ulik grad av sikkerhet. Derfor har den elektroniske lommeboken flere forskjellige typer sertifikater. Man trenger sjelden pass og fødselsattest for å komme inn på fest med gjesteliste. På samme måte kan man ha sertifikater for autentisering hos myndigheter og sertifikater for autentisering hos mindre seriøse aktører for eksempel i underholdningsøyemed. Kjøper man livsforsikring må nødvendigvis for- 24

28 sikringsselskapet vite at man er riktig person. I tillegg vil forsikringsselskapet vite hvilke sykdommer kunden kan ha. Denne informasjonen er beskyttet av høy sikkerhet og krever den salgs sertifikater. Mange Internettbrukere autentiserer seg overfor sider som ikke krever personopplysninger. Dette kan for eksempel være chattjenester og newsgrupper. Med standardsertifikater uten personopplysninger kan lommeboken gi tilgang til mange forskjellig slike tjenester uten at den elektroniske lommebokens innehaver trenger å huske mange passord. Ønsker man å kjøpe noe fra slike sider bruker man mondex for eksempel. 25

29 7 Konklusjon og Videre arbeid Konklusjon Manglende grad av sikkerhet er hemmende for tjenestetilbudet på Internett og i andre kommunikasjonskanaler. Dette gjelder spesielt for e-handel hvor det er nødvendig med sikre elektroniske betalingssystemer. Manglende sikkerhet i forbindelse med disse er en reell heming for utviklingen av e-handel. Man ser at elektronisk ID kan og vil være en fremtidig løsninge på dette. EID i som sikker betalingsmiddel og EID som sikker legitimasjon minker gapet mellom kunde og forhandler i elektronisk handel. Idag kommer det nye tjenestetilbydere på banen og spesielt bankene og myndighetene tar i bruk EID for å effektivisere og øke tjenestetilbudet. Videre arbeid gjenstår likevel. Standardisering vil være viktig fremover spesielt for samtrafikk. Mange aktører øker spredningsprosessen. Hovedproblemet med EID den underliggende mekanismen for bruken. Hvor lang tid det vil ta før EID er matnyttig for størsteparten av befolkninge står og faller på hvor stor satsning som forekommer. Man må veie nytte med kostnader. Nytten er på lang sikt vil være mulighetene. På kort sikt vil nytteverdien være mye mindre. For mange vil da kostnadene overgår den øyeblikkelige nytteverdien. Videre arbeid Sentralt i å komme videre for EID ligger det å forsere flaskehalsene. Utfordringene må overkommes. Hvordan kan problemer med samtrafikk løses? Ligger det svakheter i PKIstrukturen slik den benyttes idag? Man kan gjøre en nærmer studie prosjekter som bruker EID i ulike øyemed. Man kan fokusere på e-forvaltning eller e-handel. Hvilke strategier brukes? Fra brukeres ståsted, hva hvordan skal men hanskes med utfordingene der? Man kan også gå grundigere til verks i å se på funksjonaliteten til EID. Man kan undersøke videre hvordan EID kan samspille i elektronisk lommebok. 26

Erfaringer med elektronisk ID og signatur. Mari Holien, Steinkjer kommune

Erfaringer med elektronisk ID og signatur. Mari Holien, Steinkjer kommune Erfaringer med elektronisk ID og signatur Mari Holien, Steinkjer kommune Filmen - To prosjekter, mange kommuner, én framtidsrettet region Mål om modernisering, effektivisering og bedre tjenester Behov

Detaljer

Norwegian Ministry of Modernisation. Nytt fra PKI-forum. Kristian Bergem, Symposiet elandet Norge, 19.10.2004

Norwegian Ministry of Modernisation. Nytt fra PKI-forum. Kristian Bergem, Symposiet elandet Norge, 19.10.2004 Norwegian Ministry of Modernisation Nytt fra PKI-forum Kristian Bergem, Symposiet elandet Norge, 19.10.2004 Norwegian Ministry of Modernisation Hva skjer Endring i departementene Koordineringsorganet for

Detaljer

blir enda viktigere en før fordi tjenestene bllir meget tilgjengelige på Internett

blir enda viktigere en før fordi tjenestene bllir meget tilgjengelige på Internett " %$ # " >9 : B D 1. Åpne og lukkede nettverk - Internett og sikkerhet 2. Krav til sikre tjenester på Internett 3. Kryptografi 4. Kommunikasjonssikkerhet og meldingssikkerhet 5. Elektronisk legitimasjon

Detaljer

Derfor trenger du BankID på nettstedet ditt

Derfor trenger du BankID på nettstedet ditt Derfor trenger du BankID på nettstedet ditt 2 400 000 Over 2,4 millioner nordmenn bruker allerede BankID daglig i nettbanken nordmenn kan bruke BankID på ditt nettsted BankID installert på ditt nettsted

Detaljer

Sikkerhetsportalen det nye verktøyet for det offentlige sin bruk av eid og sikker kommunikasjon på internett SDF 2006-03-14

Sikkerhetsportalen det nye verktøyet for det offentlige sin bruk av eid og sikker kommunikasjon på internett SDF 2006-03-14 Sikkerhetsportalen det nye verktøyet for det offentlige sin bruk av eid og sikker kommunikasjon på internett SDF 2006-03-14 Sverre Bauck SP verktøy med felles PKI-tjenester for offentlig sektor Autentisering

Detaljer

Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt

Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt Standardiseringsrådsmøte 23.-24. november 2011 Prioriterings/informasjons -sak Om forprosjektet sett på de mest aktuelle anvendelsesområdene

Detaljer

ID-Porten bruk av elektronisk ID i offentlige tjenester på nett

ID-Porten bruk av elektronisk ID i offentlige tjenester på nett ID-Porten bruk av elektronisk ID i offentlige tjenester på nett NorStellas eid-gruppe Oslo, 22. juni 2010 Jon Ølnes, eid-programmet, Difi Difis mandat Etablere en felles infrastruktur for bruk av elektronisk

Detaljer

Status for arbeidet med ID-Porten, eid i markedet

Status for arbeidet med ID-Porten, eid i markedet Status for arbeidet med ID-Porten, eid i markedet Felles infrastruktur for eid i offentlig sektor Tor Alvik og Jon Ølnes, eid-programmet, Difi Difis mandat Etablere en felles infrastruktur for bruk av

Detaljer

Avtalevilkår for bestilling og bruk av Commfides Virksomhetssertifikat

Avtalevilkår for bestilling og bruk av Commfides Virksomhetssertifikat Avtalevilkår for bestilling og bruk av Commfides Virksomhetssertifikat 1. Kort beskrivelse av sertifikatstjenesten Commfides Virksomhetssertifikat er en elektronisk offentlig godkjent legitimasjon av en

Detaljer

Nye felles løsninger for eid i offentlig sektor

Nye felles løsninger for eid i offentlig sektor Nye felles løsninger for eid i offentlig sektor BankID konferansen 2010 Tor Alvik Tor.alvik@difi.no Difi skal Bidra til å utvikle og fornye offentlig sektor Styrke samordning og tilby fellesløsninger Målet

Detaljer

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN 1.1 Sikkerhetskravene bygger på at det til enhver tid skal være et 1 til 1-forhold mellom det som er registrert i Virksomhetens

Detaljer

Teori om sikkerhetsteknologier

Teori om sikkerhetsteknologier Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Tomas Holt 22.8.2007 Lærestoffet er utviklet for faget LN479D/LV473D Nettverksikkerhet Innhold 1 1 1.1 Introduksjon til faget............................

Detaljer

Elektronisk signatur, sertifikater og tilhørende tjenester begrepsavklaringer mv

Elektronisk signatur, sertifikater og tilhørende tjenester begrepsavklaringer mv Elektronisk signatur, sertifikater og tilhørende tjenester begrepsavklaringer mv Advokat dr. juris Rolf Riisnæs WIKBORG REIN rri@wr.no Arbeidsgruppen for revisjon av tinglysingsloven 20. november 2009

Detaljer

Nasjonalt ID-kort og eid Sikker e-forvaltning

Nasjonalt ID-kort og eid Sikker e-forvaltning Nasjonalt ID-kort og eid Sikker e-forvaltning Statens dataforum 8.12.2009 eid på sikkerhetsnivå 4 Hva er PKI? = Public Key Infrastructure eid-er som muliggjør: Autentisering Elektronisk signatur Medlingskryptering

Detaljer

Tillit og troverdighet på nett. Tillit. troverdighet. på nett. Cato Haukeland, 2007

Tillit og troverdighet på nett. Tillit. troverdighet. på nett. Cato Haukeland, 2007 Tillit og troverdighet på nett Tillit OG troverdighet på nett Bacheloroppgave ibacheloroppgave nye medier i nye medier av Cato Haukeland, Universitetet i Bergen 2007 Cato Haukeland, 2007 1 Innhold 1 Forord

Detaljer

Digitalt førstevalg Norge

Digitalt førstevalg Norge Digitalt førstevalg Norge Den norske regjeringen har en strategisk målsetning om at fornying av offentlig sektor skal være mer velferd og mindre administrasjon. Ett virkemiddel for å redusere omfanget

Detaljer

Bankenes bidrag til digitalisering av arbeidsprosesser i næringslivet og det offentlige. v/direktør Eldar Skjetne, SpareBank1

Bankenes bidrag til digitalisering av arbeidsprosesser i næringslivet og det offentlige. v/direktør Eldar Skjetne, SpareBank1 Bankenes bidrag til digitalisering av arbeidsprosesser i næringslivet og det offentlige v/direktør Eldar Skjetne, SpareBank1 Fra kontor til applikasjon Internett har revolusjonert all tjenestedistribusjon

Detaljer

Brukerveiledning for identifisering med BankID

Brukerveiledning for identifisering med BankID Brukerveiledning for identifisering med BankID Innledning Denne brukerveiledningen tar kun for seg identifisering med BankID med sikkerhetskort. Brukerveiledningen vi ikke inneholde beskrivelse av alle

Detaljer

Forord. Jeg vil takke Claude Marie Davidsen ved Institutt for Datateknikk og Informatikk for veiledning i forbindelse med oppgaven.

Forord. Jeg vil takke Claude Marie Davidsen ved Institutt for Datateknikk og Informatikk for veiledning i forbindelse med oppgaven. Forord Denne rapporten er resultatet av en masteroppgave ved NTNU på linjen for datateknikk. Oppgaven har blitt utført vårsemesteret 2005. Oppgaven har utviklet seg til i hovedsak å undersøke innholdsmessig

Detaljer

Autentisering av ansatte

Autentisering av ansatte Autentisering av ansatte Øivind Grinde, Difi Norstella eid fagutvalg 20.3.2014 Strategi for ID-porten Mandat Levere en strategi med besluttbare tiltak og løsningsalternativer på identifiserte områder.

Detaljer

NORGE. Patentstyret (12) SØKNAD (19) NO (21) 20101728 (13) A1. (51) Int Cl. G06Q 20/00 (2006.01)

NORGE. Patentstyret (12) SØKNAD (19) NO (21) 20101728 (13) A1. (51) Int Cl. G06Q 20/00 (2006.01) (12) SØKNAD (19) NO (21) 1728 (13) A1 NORGE (1) Int Cl. G06Q /00 (06.01) Patentstyret (21) Søknadsnr 1728 (86) Int.inng.dag og søknadsnr (22) Inng.dag.12. (8) Videreføringsdag (24) Løpedag.12. () Prioritet.03.04,

Detaljer

DE ER NOEN JEG ALDRI HAR MØTT SOM TAR SEG AV PENGENE JEG ALDRI HAR SETT.

DE ER NOEN JEG ALDRI HAR MØTT SOM TAR SEG AV PENGENE JEG ALDRI HAR SETT. DE ER NOEN JEG ALDRI HAR MØTT SOM TAR SEG AV PENGENE JEG ALDRI HAR SETT. penger, sikrer verdier, lagrer informasjon og tilbyr sikker elektronisk identifisering og signering. Tjenester du bruker hver dag

Detaljer

Sammendrag Evaluering

Sammendrag Evaluering Sammendrag Evaluering Utarbeidet av Norconsult Seksjon IKT & Sikkerhet Evaluering av BankID Med fokus på kundens kontroll over privat nøkkel Dato 2010-09-14 Versjon 1.0 Dokument referanse NO-5100770-ETR

Detaljer

Brukerdokumentasjon. Adresseregisteret Om Adresseregisteret

Brukerdokumentasjon. Adresseregisteret Om Adresseregisteret Brukerdokumentasjon Adresseregisteret Om Adresseregisteret FORORD FORORD Adresseregisteret er et felles nasjonalt register for presis adressering ved utveksling av helseopplysninger som sendes elektronisk

Detaljer

ID-porten Utviklingsplan 2016

ID-porten Utviklingsplan 2016 ID-porten splan 2016 Endringer i denne versjon Oppdatert informasjon om bruk av ID-porten for antall virksomheter og tjenester Oppdatert med tiltak rettet mot eidas Oppdatert med tiltak rettet mot mobile

Detaljer

1. Krypteringsteknikker

1. Krypteringsteknikker Krypteringsteknikker Olav Skundberg Opphavsrett: Forfatter og Stiftelsen TISIP Lærestoffet er utviklet for faget 1. Krypteringsteknikker 1.1. Fire formål med sikker kommunikasjon Aller først, pålitelig

Detaljer

1 INNLEDNING... 2. 1.1 Om Altinn... 2. 1.2 Skjemaer som støttes... 2 2 INSTALLASJON OG OPPSTART... 3. 2.1 Nedlasting... 3. 2.2 Registrering...

1 INNLEDNING... 2. 1.1 Om Altinn... 2. 1.2 Skjemaer som støttes... 2 2 INSTALLASJON OG OPPSTART... 3. 2.1 Nedlasting... 3. 2.2 Registrering... INNHOLD Mamut for Altinn INNHOLD 1 INNLEDNING... 2 1.1 Om Altinn... 2 1.2 Skjemaer som støttes... 2 2 INSTALLASJON OG OPPSTART... 3 2.1 Nedlasting... 3 2.2 Registrering... 5 2.3 Opprett en bruker... 7

Detaljer

Statens legemiddelverk. Generelt om Altinn. EYRA - Digital samhandling med Statens legemiddelverk

Statens legemiddelverk. Generelt om Altinn. EYRA - Digital samhandling med Statens legemiddelverk Statens legemiddelverk Generelt om Altinn EYRA - Digital samhandling med Statens legemiddelverk 10467siwox 03.05.2012 Innhold Hva er Altinn?... 3 Hvorfor benytte Altinn?... 3 Videre utviklingsplan for

Detaljer

(12) PATENT (19) NO (11) 330271 (13) B1 NORGE. (51) Int Cl. Patentstyret

(12) PATENT (19) NO (11) 330271 (13) B1 NORGE. (51) Int Cl. Patentstyret (12) PATENT (19) NO (11) 3271 (13) B1 NORGE (1) Int Cl. G06Q /00 (06.01) Patentstyret (21) Søknadsnr 08 (86) Int.inng.dag og søknadsnr (22) Inng.dag.03.04 (8) Videreføringsdag (24) Løpedag.03.04 () Prioritet

Detaljer

Brukerdokumentasjon. Adresseregisteret Om Adresseregisteret

Brukerdokumentasjon. Adresseregisteret Om Adresseregisteret Brukerdokumentasjon Adresseregisteret Om Adresseregisteret FORORD FORORD Adresseregisteret er et felles nasjonalt register for presis adressering ved utveksling av helseopplysninger som sendes elektronisk

Detaljer

Teknologien: Fra digitale signaturer til offentlig-nøkkel infrastruktur

Teknologien: Fra digitale signaturer til offentlig-nøkkel infrastruktur Teknologien: Fra digitale signaturer til offentlig-nøkkel infrastruktur Jon Ølnes (NR) Jon.Olnes@nr.no Seminar om elektronisk kommunikasjon med digitale signaturer Statskonsult, 4/4 2000 Innhold Hva kan

Detaljer

Signant Avansert elektronisk signatur

Signant Avansert elektronisk signatur Signant Avansert elektronisk signatur 1 1879 2 1874 - William Stanley Jevons Multiplikasjon av heltall er enkelt, men å finne primtallsfaktorene er vanskelig 3 De kryptiske 1970 - årene 1973(97) Ellis,

Detaljer

Alt du trenger å vite om digital postkasse. Informasjon til ansatte i offentlig sektor

Alt du trenger å vite om digital postkasse. Informasjon til ansatte i offentlig sektor Alt du trenger å vite om digital postkasse Informasjon til ansatte i offentlig sektor «Digital postkasse er enkelt for innbyggerne og fjerner tidstyver og kostnader i det offentlige. Innbyggerne får post

Detaljer

Hvordan få tilgang til journalopplysning fra andre virksomheter

Hvordan få tilgang til journalopplysning fra andre virksomheter Hvordan få tilgang til journalopplysning fra andre virksomheter Avdelingssjef, KITH Tema Løsninger for utlevering og tilgang til helseopplysninger Utlevering ved hjelp av web-publisering Samhandlingsarkitektur

Detaljer

Juridiske problemstillinger ved avskaffelsen av papirskjema

Juridiske problemstillinger ved avskaffelsen av papirskjema Juridiske problemstillinger ved avskaffelsen av papirskjema Dette dokumentet beskriver de juridiske problemstillingene ved overgang til elektronisk avgitt egenerklæring, og avskaffelse av erklæring ved

Detaljer

FUNNKe Regionalt kompetanseløft innen elektronisk samhandling. Begreper ved Lars-Andreas Wikbo

FUNNKe Regionalt kompetanseløft innen elektronisk samhandling. Begreper ved Lars-Andreas Wikbo FUNNKe Regionalt kompetanseløft innen elektronisk samhandling Begreper ved Lars-Andreas Wikbo Norsk Helsenett: Et lukket nettverk for elektronisk kommunikasjon og samhandling i helse- og sosialsektoren

Detaljer

2013 Aditro AS 1 (24)

2013 Aditro AS 1 (24) 1.0. Rutine for Altinn innsending og Altinn retur... 2 1.1. Om Altinn... 2 1.2. Roller og rettigheter i Altinn... 2 1.3. Opprette datasystem-id og passord i Altinn.... 4 1.4 Sette opp Huldt & Lillevik

Detaljer

BIOMETRI OG IDENTIFISERING BRUK AV BIOMETRI FOR IDENTIFISERING AV PERSON/VERIFISERING AV ID SIKKERHET OG PERSONVERN MARS 2006/MA

BIOMETRI OG IDENTIFISERING BRUK AV BIOMETRI FOR IDENTIFISERING AV PERSON/VERIFISERING AV ID SIKKERHET OG PERSONVERN MARS 2006/MA BIOMETRI OG IDENTIFISERING BRUK AV BIOMETRI FOR IDENTIFISERING AV PERSON/VERIFISERING AV ID SIKKERHET OG PERSONVERN MARS 2006/MA BAKTEPPE STARTEN: 11. September 2001 LØSNING: biometri i pass mv. DAGENS

Detaljer

Arkivmessige forhold og elektroniske skjemaer Gjennomgang for Oslo kommune v/ Byarkivet 29.10.09

Arkivmessige forhold og elektroniske skjemaer Gjennomgang for Oslo kommune v/ Byarkivet 29.10.09 Arkivmessige forhold og elektroniske skjemaer Gjennomgang for Oslo kommune v/ Byarkivet 29.10.09 Martin.bould@ergogroup.no Telefon 99024972 Martin Bould,ErgoGroup 1 Anbefaling Bruk elektroniske skjemaer

Detaljer

Offentlig identitet og private personalia

Offentlig identitet og private personalia Offentlig identitet og private personalia Gunnar Nordseth, leder Kantega Digital Identitet Kantega AS Utgangspunkt Digital identitet - aspekter knyttet til en fysisk person, tilgjengelig i digital form

Detaljer

Elektroniske spor. Innsynsrett, anonymitet. Personvernutfordringer. Innsynsrett. Informasjonsplikt og innsynsrett

Elektroniske spor. Innsynsrett, anonymitet. Personvernutfordringer. Innsynsrett. Informasjonsplikt og innsynsrett Elektroniske spor Innsynsrett, anonymitet Kirsten Ribu Kilde: Identity Management Systems (IMS): Identification and Comparison Study Independent Centre for Privacy Protection and Studio Notarile Genghini

Detaljer

ABONNENTAVTALENS HOVEDDEL (DEL 1 AV 4)

ABONNENTAVTALENS HOVEDDEL (DEL 1 AV 4) ABONNENTAVTALE BUYPASS VIRKSOMHETSSERTIFIKATER ABONNENTAVTALENS HOVEDDEL (DEL 1 AV 4) 1 INNLEDNING Dette dokumentet (Del 1) utgjør sammen med Registreringsskjema (Del 2), Bestillingsskjema for Virksomhetssertifikater

Detaljer

IT-PERSPEKTIVET I FINANSNÆRING. FINANCEWORLD 2014 Idar Kreutzer, adm. dir. Finans Norge

IT-PERSPEKTIVET I FINANSNÆRING. FINANCEWORLD 2014 Idar Kreutzer, adm. dir. Finans Norge IT-PERSPEKTIVET I FINANSNÆRING FINANCEWORLD 2014 Idar Kreutzer, adm. dir. Finans Norge En høyproduktiv næring Finansbedriftene har erfaring med digitalisering og nødvendig samordning for å få effekt i

Detaljer

PKI og ikke-fornekting

PKI og ikke-fornekting Kryptografi MSc in Information Security PKI og ikke-fornekting Mats Byfuglien, mats@byfuglien.net Norwegian Information Security Laboratory NISlab Department of Computer Science and Media Technology Gjøvik

Detaljer

Oppmøte på konsulatet

Oppmøte på konsulatet Søknadsprosess for norsk påtegning av nasjonalt sertifikat for dekksoffiser og maskinoffiser. Fyll ut elektronisk skjema Oppmøte på konsulatet Svar på søknaden Søker eller bemanningsagenten fyller ut elektronisk

Detaljer

PKI strategi, status, utfordringer

PKI strategi, status, utfordringer PKI strategi, status, utfordringer Hvem er jeg? Godt spørsmål. Noen flere? Navn: Eirik Mangseth Stilling: Seniorrådgiver i Helsedirektoratet, avdeling for IT-strategi Jobbet med programvareutvikling/design/arkitektur

Detaljer

Enklere bank. snn.no/bruk

Enklere bank. snn.no/bruk Enklere bank Internett, telefon eller mobil er i praksis din nærmeste bank. Her finner du en oversikt over hvordan du enkelt kan logge inn i nettbank og mobilbank, sjekke saldo, betale regninger og avtale

Detaljer

Offentlige informasjonsinfrastrukturer

Offentlige informasjonsinfrastrukturer Offentlige informasjonsinfrastrukturer INF 3290 høst 2015 Endre Grøtnes, Difi Dagens agenda 1. Offentlig sektor En heterogen blanding av virksomheter, oppgaver og teknologi 2. Spesielle utfordringer ved

Detaljer

NORSK EDIEL BRUKERVEILEDNING. bruk av SMTP. for. Versjon: 1.0 Revisjon: E Dato: 3. Mars 2008

NORSK EDIEL BRUKERVEILEDNING. bruk av SMTP. for. Versjon: 1.0 Revisjon: E Dato: 3. Mars 2008 NORSK EDIEL BRUKERVEILEDNING for bruk av SMTP Versjon: 1.0 Revisjon: E Dato: 3. Mars 2008 Systemstøtte for Ediel / Norsk Ediel Ekspertgruppe Side: 1 INNHOLDSFORTEGNELSE 1 Bakgrunn... 3 2 Referanser...

Detaljer

Innholdsstandard (meldinger) ebxml-rammeverk (innpakking, adressering, transportkvittering, kryptering, autentisering, virksomhetssignatur)

Innholdsstandard (meldinger) ebxml-rammeverk (innpakking, adressering, transportkvittering, kryptering, autentisering, virksomhetssignatur) NOTAT Fra KITH v/bjarte Aksnes m.fl. Dato 29.03.06 Samhandlingsarkitektur for helsesektoren En viktig forutsetning for at aktører i helsesektoren skal kunne samhandle elektronisk på en god måte er at alle

Detaljer

Eksempel: Rutine for utstedelse av sterk autentisering gjennom Feide

Eksempel: Rutine for utstedelse av sterk autentisering gjennom Feide Rutine for utstedelse av sterk autentisering gjennom Feide Dokumenthistorikk Versjon Dato Forfatter Kommentarer 1.0 Juli 2015 HV, SL Første versjon basert på rutiner utarbeidet i pilotprosjektet. Innholdsfortegnelse

Detaljer

Feide Nøkkel til den digitale skolen

Feide Nøkkel til den digitale skolen Feide Nøkkel til den digitale skolen Narvik, 2008-04-24 Snorre Løvås www.uninettabc.no Digitale tjenester. 2 Digitale tjenester krever pålogging 3 Hva vi ser Større tilfang av tjenester Tjenester til ansatte,

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Personvern og sikkerhet

Personvern og sikkerhet Personvern og sikkerhet Formålet med personvern er å verne om privatlivets fred, den personlige integritet og sørge for tilstrekkelig kvalitet på personopplysninger. Behandlingen av personopplysninger

Detaljer

FINANSDEPARTEMENTET 2. JULI 2009

FINANSDEPARTEMENTET 2. JULI 2009 FINANSDEPARTEMENTET 2. JULI 2009 HØRINGSNOTAT FORSLAG OM LOVHJEMLER FOR SKATTEETATEN TIL Å GJØRE OPPGAVER MED FORHÅNDSUTFYLTE OPPLYSNINGER TILGJENGELIG FOR MOTTAKERNE 1. INNLEDNING Finansdepartementet

Detaljer

Avtalevilkår for PersonBankID

Avtalevilkår for PersonBankID Avtalevilkår for PersonBankID 1. Kort beskrivelse av tjenesten PersonBankID er ett eller flere elektronisk(e) sertifikat(er) som en sertifikatholder (heretter benevnt Kunden) kan benytte for å lage elektroniske

Detaljer

Med selvbetjening når vi ut til kundene med nye muligheter som setter nye trender.. More Software Solutions AS

Med selvbetjening når vi ut til kundene med nye muligheter som setter nye trender.. More Software Solutions AS Med selvbetjening når vi ut til kundene med nye muligheter som setter nye trender.. More Software Solutions AS 80% av alle forretningsdokumenter er skjema (Gartner og PWC) I stedet for å spørre hva det

Detaljer

Offentlig digitalisering i siget

Offentlig digitalisering i siget Offentlig digitalisering i siget BankID-seminaret Hans Christian Holte, Difi 35 minutter tre tema Offentlig digitalisering Felles løsninger BankID I siget I siget? Dato Direktoratet for forvaltning og

Detaljer

Kunnskapsdepartementet ønsker en sikker identifisering av elever og lærere. Løsningen er Feide (Felles Elektronisk IDEntitet)

Kunnskapsdepartementet ønsker en sikker identifisering av elever og lærere. Løsningen er Feide (Felles Elektronisk IDEntitet) Kunnskapsdepartementet ønsker en sikker identifisering av elever og lærere Løsningen er Feide (Felles Elektronisk IDEntitet) Senter for IKT i utdanningen har et ansvar for innføring av Feide i grunnopplæringa

Detaljer

BankID 2.0. Rune Synnevåg, Uni Pluss AS

BankID 2.0. Rune Synnevåg, Uni Pluss AS BankID 2.0 Rune Synnevåg, Uni Pluss AS First Hotel Marin 27. - 28. oktober 2014 BankID 2.0 Hva er BankID, og hva kan det brukes til? Signere.no AS Hvorfor BankID 2.0? Hvordan fungerer det? BankID 2.1 Demo

Detaljer

FOR 2004-06-25 nr 988: Forskrift om elektronisk kommunikasjon med og i forvaltnin...

FOR 2004-06-25 nr 988: Forskrift om elektronisk kommunikasjon med og i forvaltnin... Page 1 of 7 HJEM RESSURSER TJENESTER HJELP LENKER OM LOVDATA KONTAKT OSS SØK FOR 2004-06-25 nr 988: Forskrift om elektronisk kommunikasjon med og i forvaltningen (eforvaltningsforskriften) Skriv ut DATO:

Detaljer

Digitaliseringsprogrammet - hva blir utfordringene for arkivet?

Digitaliseringsprogrammet - hva blir utfordringene for arkivet? Digitaliseringsprogrammet - hva blir utfordringene for arkivet? Geir Magnus Walderhaug leder av Norsk Arkivråds Region Øst Norsk Arkivråds seminar 5. november 2012 En erkjennelse Jeg er kunde hos Norsk

Detaljer

Full kontroll? Hva er folk bekymret for, og har de opplevd å miste kontroll over egne personopplysninger?

Full kontroll? Hva er folk bekymret for, og har de opplevd å miste kontroll over egne personopplysninger? Full kontroll? Hva er folk bekymret for, og har de opplevd å miste kontroll over egne personopplysninger? Delrapport 1 fra personvernundersøkelsen 2013/2014 Februar 2014 Innhold Innledning og hovedkonklusjoner...

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 2 (U-02) Oppdatert: 2014-02-03 E-post Kryptering av e-postoverføring Beskrivelse av grunnleggende tiltak for sikring av overføring av e-post mellom

Detaljer

Full kontroll? - Hva er folk bekymret for og har de opplevd å miste kontroll over egne personopplysninger?

Full kontroll? - Hva er folk bekymret for og har de opplevd å miste kontroll over egne personopplysninger? Full kontroll? - Hva er folk bekymret for og har de opplevd å miste kontroll over egne personopplysninger? Delrapport fra personvernundersøkelsen november 2013 Februar 2014 Innhold Hva er du bekymret for?...

Detaljer

ya Shopping: 21 tips for smart og sikker shopping på nett

ya Shopping: 21 tips for smart og sikker shopping på nett ya Shopping: 21 tips for smart og sikker shopping på nett Hvordan vet du egentlig at du gjør den beste og tryggeste handelen på nett? Det finnes enormt mange nettbutikker, og det er ikke alltid like lett

Detaljer

Forskrift om register over opplysninger om valutaveksling og overføring av betalingsmidler inn og ut av Norge (valutaregisterforskriften)

Forskrift om register over opplysninger om valutaveksling og overføring av betalingsmidler inn og ut av Norge (valutaregisterforskriften) Forskrift om register over opplysninger om valutaveksling og overføring av betalingsmidler inn og ut av Norge (valutaregisterforskriften) Fastsatt av Finansdepartementet 6. desember 2004 med hjemmel i

Detaljer

Rettslige krav til informasjonssikkerhet i offentlig forvaltning

Rettslige krav til informasjonssikkerhet i offentlig forvaltning Rettslige krav til informasjonssikkerhet i offentlig forvaltning Advokat dr. juris Rolf Riisnæs WIKBORG REIN rri@wr.no DRI1010 11. mars 2010 1 Informasjonssikkerhet Hvem, hva og hvorfor Det velkjente og

Detaljer

OBC FileCloud vs. Dropbox

OBC FileCloud vs. Dropbox OBC FileCloud vs. Dropbox Whitepaper Innledning: utfordringer Ansatte tyr stadig oftere til usikrede, forbrukerrettede fildelingstjenester i nettskyen for å få tilgang til arbeidsdokumenter fra flere utstyrsenheter

Detaljer

PRODUKTBESKRIVELSE INFRASTRUKTUR. NRDB Internett

PRODUKTBESKRIVELSE INFRASTRUKTUR. NRDB Internett PRODUKTBESKRIVELSE INFRASTRUKTUR NRDB Internett Versjon 3.0 11/10/04 Nasjonal referansedatabase AS 15/10/04 Page 1 of 10 Innholdsfortegnelse 1 INNLEDNING...3 1.1 NUMMERPORTABILITET...3 1.2 VIDERESALG TELEFONI...3

Detaljer

Avtalevilkår for PersonBankID

Avtalevilkår for PersonBankID 1. januar 2013 Avtalevilkår for PersonBankID 1. Kort beskrivelse av tjenesten PersonBankID er ett eller flere elektronisk(e) sertifikat(er) som en sertifikatholder (heretter benevnt Kunden) kan benytte

Detaljer

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt».

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt». Personvern vilkår Om Velkommen til Hoopla, Hoopla AS ( Selskapet, Vi og/eller Vår ) gjør det mulig for mennesker å planlegge, promotere og selge billetter til et Arrangement. Vi gjør det enkelt for alle

Detaljer

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper: Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede

Detaljer

Kunnskapsdepartementet ønsker en sikker identifisering i utdanningssektoren. De har valgt Feide (Felles elektronisk identitet)

Kunnskapsdepartementet ønsker en sikker identifisering i utdanningssektoren. De har valgt Feide (Felles elektronisk identitet) Kunnskapsdepartementet ønsker en sikker identifisering i utdanningssektoren De har valgt Feide (Felles elektronisk identitet) UNINETT ABC har et ansvar for innføring av Feide i grunnopplæringa Hva er Feide?

Detaljer

UNIK - Academic Forum on Security. Invitert presentasjon: BankID - noen myter og sannheer August 2008

UNIK - Academic Forum on Security. Invitert presentasjon: BankID - noen myter og sannheer August 2008 UNIK - Academic Forum on Security Invitert presentasjon: BankID - noen myter og sannheer August 2008 BankID 2004 2008 Kontekst: BankID og BSK BSK: = Bankenes Standardiseringskontor Etablert 1994 på bakgrunn

Detaljer

Semantikkregisteret for elektronisk samhandling (SERES): I hvilken grad er personvernet en hindring?

Semantikkregisteret for elektronisk samhandling (SERES): I hvilken grad er personvernet en hindring? Semantikkregisteret for elektronisk samhandling (SERES): I hvilken grad er personvernet en hindring? NOKIOS onsdag 15. oktober 2008 Ståle Rundberg Direktør Erik Fossum Info-stab Plan- og og utviklingsavdelingen

Detaljer

Regler om straksoverføringer Fastsatt 03.05.2012 av Bransjestyre betalingsformidling og infrastruktur i FNO Servicekontor

Regler om straksoverføringer Fastsatt 03.05.2012 av Bransjestyre betalingsformidling og infrastruktur i FNO Servicekontor Regler om straksoverføringer Fastsatt 03.05.2012 av Bransjestyre betalingsformidling og infrastruktur i FNO Servicekontor 1 Reglenes omfang og virkeområde Reglene gjelder for kreditoverføringer i norske

Detaljer

IKT utvikling i samfunnet.

IKT utvikling i samfunnet. IKT utvikling i samfunnet. Hvordan påvirkes de med lav IKT-kunnskaper, av dagens IKT-bruk i samfunnet. Og hvordan påvirker det folk med lave IKT-kunnskaper av dagens utvikling av datasystemer? Forord Abstrakt

Detaljer

DRI2001 / FINF september Utvikling av en offentlig nettjeneste: MinSide. 21. september 2006 Marius Pellerud 1

DRI2001 / FINF september Utvikling av en offentlig nettjeneste: MinSide. 21. september 2006 Marius Pellerud 1 DRI2001 / FINF4001 21. september 2006 Utvikling av en offentlig nettjeneste: MinSide 21. september 2006 Marius Pellerud 1 1 Tema i forelesningen Hva skal MinSide bli? Faser i prosjektet Eksempel på strategi

Detaljer

Hvorfor digitalisere innkjøpsprosessen? Knut Riise Seniorrådgiver, Difi

Hvorfor digitalisere innkjøpsprosessen? Knut Riise Seniorrådgiver, Difi Hvorfor digitalisere innkjøpsprosessen? Knut Riise Seniorrådgiver, Difi Fra: Omfattende papirdokumentasjon i tilbud Til: Innsending av elektroniske dokumenter Til: Utveksling av strukturert informasjon

Detaljer

Sikker digital kommunikasjon

Sikker digital kommunikasjon Sikker digital kommunikasjon Fra ord til handling Stavanger 2015-05-21 v/odd Gunnar Ludvigsen 1 Tema Tilbakeblikk Fylkesarkivet Våre overordnede krav og vurderte tekniske løsninger Difi konsept strategiske

Detaljer

Brukermanual. VPN tilgang til Norsk Helsenett

Brukermanual. VPN tilgang til Norsk Helsenett Brukermanual VPN tilgang til Norsk Helsenett Utgitt av Daniel Nygård Dato: 28.10.2010 Forord Dette dokumentet er en brukermanual og beskriver hvordan en får tilgang til Norsk Helsenett og Helseregister.no

Detaljer

Hva løser ID-porten?

Hva løser ID-porten? Eksempler på sentrale tiltak Hva løser ID-porten? Avdelingsdirektør Tone Bringedal tbr@difi.no Digitalt førstevalg Uttrykker høye ambisjoner Fra papirbasert til elektroniske tjenester Gir store gevinster

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

Hvordan gjennomføres id-tyverier og hva kan gjøres. Tore Larsen Orderløkken Leder NorSIS

Hvordan gjennomføres id-tyverier og hva kan gjøres. Tore Larsen Orderløkken Leder NorSIS Hvordan gjennomføres id-tyverier og hva kan gjøres Tore Larsen Orderløkken Leder NorSIS 1 Noen definisjoner Identitetstyveri Uautorisert innsamling, besittelse, overføring, reproduksjon eller annen manipulering

Detaljer

Symmetrisk En hemmelig nøkkel ( passord ) som brukes både ved kryptering og dekryptering.

Symmetrisk En hemmelig nøkkel ( passord ) som brukes både ved kryptering og dekryptering. 1 Hva? Hva er informasjonssikkerhet? Information security encompasses the study of the concepts, techniques, technical measures, and administrative measures used to protect information assets from deliberate

Detaljer

Hvem kan sende elektronisk søknad om personlig sertifikat?

Hvem kan sende elektronisk søknad om personlig sertifikat? Veiledning til elektronisk søknad Sjøfartsdirektoratet har utviklet et nytt system for elektroniske søknader og elektronisk innrapportering. Målsetning er å tilby brukere enklere, raskere og mer effektiv

Detaljer

Anbefalinger og standarder for PKI i helsesektoren

Anbefalinger og standarder for PKI i helsesektoren Anbefalinger og standarder for PKI i helsesektoren Versjon 1.1 Dato: 14.10.2004 KITH Rapport 13/04 ISBN 82-7846-230-5 KITH-rapport TITTEL Anbefalinger og standarder for PKI i helsesektoren Forfatter(e):

Detaljer

Altinn, Difi og MinSide. Samarbeid og grenseoppgang. Altinndagen - Hallstein Husand

Altinn, Difi og MinSide. Samarbeid og grenseoppgang. Altinndagen - Hallstein Husand Altinn, Difi og MinSide. Samarbeid og grenseoppgang Altinndagen - Hallstein Husand To aktører med roller for felles offentlige eforvaltningsløsninger. Altinn (BR) eid og MinSide (Difi) Videreutvikling

Detaljer

OVERORDNET BILDE AV NORSK FINANSNÆRING OG UTFORDRINGER I ET IT-PERSPEKTIV

OVERORDNET BILDE AV NORSK FINANSNÆRING OG UTFORDRINGER I ET IT-PERSPEKTIV OVERORDNET BILDE AV NORSK FINANSNÆRING OG UTFORDRINGER I ET IT-PERSPEKTIV Finansnæringens digitaliseringskonferanse 10. juni 2014 adm. direktør Idar Kreutzer, Finans Norge Finansnæringen tok tidlig i bruk

Detaljer

Offentlige informasjonsinfrastrukturer

Offentlige informasjonsinfrastrukturer Offentlige informasjonsinfrastrukturer Utfordringer og løsninger på offentlig II INF3290 17. oktober 2014 Endre Grøtnes Direktoratet for forvaltning og IKT endre.grotnes@difi.no Hva er spesielt med å utvikle

Detaljer

Kristian Bergem. Direktoratet for forvaltning og IKT 05.11.2012

Kristian Bergem. Direktoratet for forvaltning og IKT 05.11.2012 Kristian Bergem Direktoratet for forvaltning og IKT 05.11.2012 Regjeringens mål Et bedre møte med offentlig sektor Frigjøre ressurser til de store oppgavene Norge skal ligge i front internasjonalt 2 På

Detaljer

Generell Feide-arkitektur

Generell Feide-arkitektur Generell Feide-arkitektur Introduksjon Feide er i stor grad innført i universitets- og høgskolesektoren, og blir nå innført i grunnopplæringen. Samtlige fylkeskommuner er enten ferdige eller godt i gang

Detaljer

Status for PKI i Norge ved utgangen av 2004

Status for PKI i Norge ved utgangen av 2004 Status for PKI i Norge ved utgangen av 2004 Jon Ølnes, IBM (ITS) Dokument: Status for PKI i Norge ved utgangen av 2004 Side 1 av 43 Innholdsfortegnelse Innholdsfortegnelse... 2 1. Innledning... 4 2. Lovgivning

Detaljer

BankID-seminar 24. april 2013. Odd Erling Håberget og Hege Steinsland, BankID Norge

BankID-seminar 24. april 2013. Odd Erling Håberget og Hege Steinsland, BankID Norge BankID-seminar 24. april 2013 Odd Erling Håberget og Hege Steinsland, BankID Norge 26.04.2013 Uformingskrav Prosessflyt Identifisering Signering BankAxess Skjermbilder Feilmeldinger 2 26.04.2013 3 Uformingskrav

Detaljer

EN PRAKTISK INNFØRING I KRYPTERT E-POST FRA UDI

EN PRAKTISK INNFØRING I KRYPTERT E-POST FRA UDI EN PRAKTISK INNFØRING I KRYPTERT E-POST FRA UDI Asylavdelingen (ASA) i UDI forbereder seg til høsten 2010 der avdelingen skal begynne med fullelektronisk saksbehandling (esak). UDI har innført en løsning

Detaljer

Forhåndsstilte spørsmål

Forhåndsstilte spørsmål Forhåndsstilte spørsmål Hvor mange Aksesspunkter og meldingsformidlere finnes i dag? Ett Aksesspunkt er under etablering i Norge. (Pilot: Ehandelsplattformen v/ Capgemini). Det ikke finansielle nettverket

Detaljer