Vedlegg - om anvendelser og standarder Forprosjektrapport - Standarder for anvendelse av elektronisk ID med og i offentlig sektor

Transkript

1 Vedlegg - om anvendelser og standarder Forprosjektrapport - Standarder for anvendelse av elektronisk ID med og i offentlig sektor Versjon oktober 2011

2 Innhold 1 Innledning 2 2 Om anvendelser av e-id Autentisering / innlogging Realiserte løsninger Andre forhold rundt autentisering og sikkerhet Signering Typer esignatur og realiserte løsninger Sikring av elektronisk kommunikasjon TLS og SSL IPsec Andre realiserte løsninger Kryptering Prinsipper for kryptering Krypterte kommunikasjonskanaler Meldingskryptering Kryptering av deler av melding 14 3 Aktuelle enkeltstandarder 15 1

3 1 Innledning Dette vedlegget til forprosjektrapport «Standarder for anvendelse av elektronisk ID med og i offentlig sektor» er ment som utdypende tilleggsinformasjon til det som er omhandlet i rapporten. Vedlegget gir utdypende forklaring på noen av anvendelsene/anvendelsesområdene, og omhandler enkeltstandarder i noe større grad enn i selve rapporten. 2

4 2 Om anvendelser av e-id 2.1 AUTENTISERING / INNLOGGING En hovedanvendelse av e-id er sikker innlogging/autentisering mot offentlige tjenester på nett. En borger skal for eksempel autentisere seg mot et eller flere offentlige brukersteder. Denne type anvendelse karakteriseres ofte av at en borger med tilgang til en web-leser setter opp en web-sesjon mot en offentlig web-basert applikasjon. Denne applikasjonen trenger å verifisere brukerens oppgitte identitet. Brukeren autentiserer seg med sin personlige e-id. Figur 1 Innlogging mot offentlig tjenester Realiserte løsninger Et stadig økende antall offentlige brukersteder har egne innloggingsløsninger for publikum. Disse vil, avhengig av løsning og e-id benyttet til autentisering, gi brukeren tilgang til personlige tjenester på brukerstedet. Det gås ikke nærmere inn på hver enkelt løsning, men eksempler på mye brukte publikumstjenester med innloggingsløsninger med e-id er: Altinn, Skattetaten, Lånekassen og NAV. Mot disse tjenestene kan brukeren ofte selv velge hvilken e-id som skal benyttes til formålet. 3

5 Figur 2 Eksempel på innloggingsbilde mot en offentlig tjeneste Ulike e-id, gjerne med forskjellig sikkerhetsnivå, vil kunne gi forskjellig nivå av tilgang til tjenester hos aktuell offentlig tjeneste. Innlogging til tjenester med personsensitive data som for eksempel helsetjenester, vil kunne kreve at det benyttes en e-id på sikkerhetsnivå 4, mens det for andre tjenester kan være tilstrekkelig å benytte e-id på et lavere sikkerhetsnivå Andre forhold rundt autentisering og sikkerhet Autentiseringstjenester skal gjøre det mulig for innehaver av en e-id å få tilgang til elektroniske tjenester. Tjenesteeier skal på sin side få verifisert brukerens identitet, med et spesifisert og forstått nivå av tiltro (autentiseringsnivå). PKI-basert autentisering foregår ved en protokoll der sertifikatinnehaveren signerer en utfordring fra motparten med privat nøkkel, og denne signaturen verifiseres med sertifikatet. En slik autentisering kan for så vidt etterfølges av kommunikasjon over en åpen kanal, men det vil ofte være ønskelig å bruke en sikker kommunikasjonskanal dersom det er slik at sikkerhetsbehovene krever en PKI-basert autentisering. Sikker kommunikasjonskanal i denne sammenhengen kan etableres med TLS/SSL-protokollen. TLS/SSL krever autentisering av tjenersiden med SSL serversertifikat, og en sikker kanal kan settes opp initiert av tjenersiden alene (ensidig TLS). Transport Layer Security (TLS) og Secure Socket Layer (SSL) er kryptografiske protokoller som primært tilbyr ende-til-ende kryptering mellom en klient og en server. Autentisering også av brukersiden (tosidig TLS) er valgfritt i TLS/SSL protokollen. Ved bruk av tosidig TLS oppnås høynet sikkerhet siden begge sider autentiseres i forbindelse med oppsettet av den sikre kommunikasjonskanalen. Aktuelle anvendelser kan være: Pålogging til et brukersted der personsertifikat eller virksomhetssertifikat brukes til TLS-brukerautentisering. Oppsett av sikker kommunikasjonskanal mellom IT-systemene til to 4

6 virksomheter (privat-offentlig eller offentlig-offentlig) der brukerautentisering gjøres med et virksomhetssertifikat. EV SSL Extended Validation SSL sertifikater. Som et sikkerhetstiltak i forbindelse med trafikk mot et brukersted over https, bør det vurderes bruk av EV SSL sertifikat for brukerstedet. Extended Validation SSL-sertifikater gir nettlesere informasjon om et webområdes organisatoriske identitet. Bruk av EV-sertifikater gir grønt adressefelt (green bar) i nettleseren, og visualiserer dermed tydelig overfor besøkende at nettstedet er sikret med EV SSL-sertifikat. EV SSL sertifikater bygger på X.509 sertifikatprofil, men setter ekstra valideringskrav til utstedere av slike sertifikater. Kriteriene for å utstede EV SSL sertifikater er gitt bl.a. av CA/Browser forum i Guidelines For The Issuance And Management Of Extended Validation Certificates. Dokumentet kan lastes ned her: Det anbefales nærmere utredning av fordeler og ulemper ved evt. å sette krav til bruk av EV SSL ved offentlige brukersteder. Vurderinger i forhold til dette antas å være vel så mye av kommersiell art som teknisk, og er ikke omhandlet ytterligere her i dette dokumentet. 2.2 SIGNERING Formålet med dette kapitlet er å kartlegge behov og standarder knyttet til bruk av elektronisk signatur (esignatur). Figur 3 - esignatur 5

7 2.2.1 Typer esignatur og realiserte løsninger Esignaturloven definerer tre typer signatur: Elektronisk signatur (eller enkel signatur ), avansert elektronisk signatur, kvalifisert elektronisk signatur: Elektronisk signatur En elektronisk signatur, eller enkel signatur kan fremstilles på flere måter, med bruk av ulike typer e-id. For eksempel kan bruk av MinID i kombinasjon med andre mekanismer som logging etc. være en elektronisk signatur. Avansert elektronisk signatur En avansert elektronisk signatur er en elektronisk signatur som a) er entydig knyttet til undertegneren, b) kan identifisere undertegneren, c) er laget ved hjelp av midler som bare undertegneren har kontroll over, og d) er knyttet til andre elektroniske data på en slik måte at det kan oppdages om disse har blitt endret etter signering. Kravspesifikasjon for PKI i offentlig sektor setter krav til at sertifikat/nøkkelpar som skal benyttes for å lage en avansert elektronisk signatur skal være et kvalifisert sertifikat. Kravspesifikasjonen stiller også krav til realisering av signeringstjenester basert på avansert elektronisk signatur, herunder krav til signaturfremstillingsapplikasjon (for eksempel programvare på sluttbrukers PC). En Avansert elektronisk signatur realisert i tråd med Kravspesifikasjon for PKI i offentlig sektor, er ment å skulle tilfredsstille krav til uavviselighet på sikkerhetsnivå 4 i henhold til Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor. Avansert elektronisk signatur tilsvarer den type esignatur som tilbys av blant annet BankID, Buypass og Commfides i dag. Kvalifisert signatur En kvalifisert elektronisk signatur er i utgangspunktet en avansert elektronisk signatur - basert på et kvalifisert sertifikat og et sikkert signaturfremstillingssystem. De overordnede kravene til kvalifiserte signaturer settes av EU direktivet. En avansert signatur, kan altså med visse tilleggskrav være en kvalifisert elektronisk signatur. Signaturen skal lages ved å benytte et sikkert signaturfremstillingssystem, som er godkjent i henhold til 9 i esignaturloven Signaturfremstillingssystemet skal benyttes i et signeringsmiljø som tilfredsstiller eventuelle krav og forutsetninger som ligger til grunn for godkjenningen. Ytterligere krav til kvalifiserte elektroniske signaturer ved kommunikasjon med og i offentlig sektor er gitt av kravspesifikasjon for PKI i offentlig sektor En kvalifisert elektronisk signatur realisert i tråd med Kravspesifikasjon for PKI i offentlig sektor kunne tilfredsstille krav til uavviselighet på sikkerhetsnivå 4 som definert i Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor. Kvalifisert signatur er ikke i bruk i Norge i dag (tilbys ikke av noen norske aktører pr. i dag). Sikkert signaturfremstillingssystem defineres i Esignaturloven som programvare eller maskinvare som benyttes til å fremstille elektronisk signatur ved hjelp av signaturfremstillingsdata. 6

8 For å fremstille en kvalifisert elektronisk signatur kreves altså et sikkert signaturfremstillingssystem, dvs. et system som både oppfyller kravene i 8 i esignaturloven og som i tillegg er godkjent i henhold til 9 i esignaturloven: 1. Ved godkjennelse gitt av utnevnt organ, 2. Ved godkjennelse gitt av et tilsvarende organ i en annen stat som er part i EØS-avtalen, eller 3. Ved å være i samsvar med de standarder for elektroniske signaturprodukter som Europakommisjonen fastsetter og offentliggjør. Signeringsformater og standarder Som tidligere omtalt er standardisering innen elektroniske signaturløsninger svært omfattende. Eksempler på de mest utbredte signeringsformater er bl.a.: XML DSIG PKCS #7 CMS PDF (Opprinnelig Adobe implementasjon) PAdES XAdES CAdES SEID SDO signeringsformat I dette forprosjektet vektlegges identifisering av standarder som også kan håndtere PDF signering, ettersom dette er en voksende anvendelse, og antas for å være det området med størst behov for identifisering av mulige nye forvaltningsstandarder. Denne anvendelsen er karakterisert av at et offentlig brukersted produserer et PDF dokument. Brukeren skal signere dette dokumentet elektronisk med sin personlige e-id. Signaturen vil inngå i PDF dokumentet ( PDF-signatur ). Anvendelser hvor det skal signeres andre dokumentformater enn PDF kan selvsagt også være aktuelle. Signering av ASCII tekst, et XML dokument eller binære data er funksjonalitet som det også kan være behov for ved offentlige brukersteder. Som et resultat av EU direktivets krav til elektroniske signaturer, har AdES familien av standarder blitt utviklet (av ETSI ESI arbeidsgruppen). XAdES og CAdES er standarder som tidligere er utviklet for signering av flere typer data. Siste tilvekst til disse er PAdES, som er en egen standard kun for PDF signering. Det anbefales at disse standardene sees spesielt på i en videre vurdering. I figuren under er det vist en overordnet sammenligning av de AdES-familien standarder: 7

9 Figur 4 Sammenligning PAdES, XAdES og CAdES 2.3 SIKRING AV ELEKTRONISK KOMMUNIKASJON Det finnes et utall realiserte løsninger som tilbyr sikkerhet ved bruk av kryptografiske metoder. Kryptografiske protokoller for beskyttelse av kommunikasjon med og i offentlig forvaltning kan deles inn et mindre knippe sentrale løsninger. - IPsec (med støtte for IPv4 og IPv6) - TLS og SSL (https) - S/MIME - WS-Security - XML-Encryption (XML-Enc) 8

10 IPsec og TLS/SSL er de mest brukte VPN teknologiene benyttet med og i offentlig forvaltning TLS og SSL Transport Layer Security (TLS) og Secure Socket Layer (SSL) er kryptografiske protokoller som primært tilbyr ende-til-ende kryptering mellom en klient og en server. TLS og SSL benytter symmetrisk krypto til å kryptere nettverkstrafikken og Message Authentication Code (MAC) for dataintegritet. Endepunktsautentisering (typisk av en server) tilbys også ved bruk av asymmetrisk krypto (sertifikater). TLS benytter to forskjellige metoder for nøkkelgenerering og nøkkeldistribusjon av de symmetriske nøklene brukt i en sesjon. De to metodene er enten Diffie-Hellman (DH) nøkkelgenerering eller RSA nøkkeltransport. I TLS Handshake protokollen blir det mellom klient og server avtalt hvilken krypteringsalgoritme og hashfunksjon som skal benyttes til den sikre kommunikasjonssesjonen. I tabellen under beskrives noen av de kryptoalgoritmer som blir støttet i TLS versjon 1.2. Brukte algoritmer Beskrivelse RSA RSA brukes i TLS til nøkkeldistribusjon og autentisering DSA DSA brukes i TLS til autentisering ECDSA ECDSA brukes i TLS til autentisering RC4 RC4 brukes i TLS til transportkryptering Triple DES Triple brukes i TLS til transportkryptering AES AES brukes i TLS til transportkryptering MD5 MD5 brukes i TLS til meldingsautentisering (data integritet), som hashed MAC (HMAC) algoritme SHA SHA brukes i TLS til meldingsautentisering (data integritet), som hashed MAC (HMAC) algoritmer HTTP benytter TLS til å sikre kommunikasjon mellom klient og webserver. Denne kombinasjonen kalles HTTPS og er kanskje den mest utbredte implementasjonen av TLS IPsec IPsec er en samling av protokoller designet for å sikre IP-basert nettverkskommunikasjon ved å tilby autentisering og kryptering. IPsec er i stor grad brukt til å etablere VPN-forbindelser, og er en integrert del av IPv6. IPsec tilbyr to sikkerhetsmekanismer; Authencitation Header (AH) sørger for autentisering og integritet beskyttelse av IP-pakke, og Encapsulating Security Payload (ESP) sørger for kryptering av IP-pakkene. (Disse sikkerhetsmekanismene er spesifisert i IETF RFC 4305). IPsec kan operere i to forskjellige moduser; i 9

11 transport mode og tunnel mode. Tunnel mode kan beskrives som «IP-i-IP», og fungerer slik at den IPsecbeskyttede IP-pakken blir puttet inn i en ny IP-pakke. I Transport mode brukes det opprinnelige IP-hodet. Valg av kryptografiske algoritmer benyttet av IPsec blir forhandlet frem ved hjelp av for eksempel Internet Key Exchange (IKE), eller valg kan utføres manuelt. IPsec støtter blant annet følgende algoritmer: Brukte algoritmer Beskrivelse DES DES støttes i IPsec (men bør ikke brukes) Triple DES Triple brukes i IPsec til ESP kryptering AES AES brukes i IPsec til ESP kryptering og MAC MD5 MD5 brukes i IPsec til meldingsautentisering (data integritet), som hashed MAC (HMAC) algoritme SHA SHA brukes i IPsec til meldingsautentisering (data integritet), som hashed MAC (HMAC) algoritme Det er viktig å merke seg at man i oppsett av en IPsec-tunnel må gjøre dette på en slik måte at en ikke tillater at en applikasjon kan forhandle seg ned til et lavere sikkerhetsnivå enn det som er ønskelig/nødvendig. 2.4 ANDRE REALISERTE LØSNINGER Andre realiserte løsninger for sikker samhandling med og i offentlig forvaltning inkluderer blant annet følgende sentrale kryptografiske protokoller (ikke uttømmende): - S/MIME for e-post sikkerhet, - XML-Enc for kryptering av XML data, - WS-Security for sikring av SOAP baserte web servicer Disse kryptografiske protokollene, sammen med IPsec (og IPv6), TLS og SSL er meget sentrale protokoller for beskyttelse av sensitiv informasjon sendt til og fra offentlige forvaltningen. Videre finnes det et stort antall protokoller og løsninger som baserer seg på kryptografi for å tilby diverse sikkerhetstjenester (OpenPGP for en realisert løsning av offentlig nøkkel kryptografi, DNSSEC for sikkerhetstillegg til DNS, EFS for krypterte filsystemer, osv.). Felles for disse løsningene er at de baserer seg på et knippe kryptografiske metoder og algoritmer. Disse er ikke behandlet videre i dette dokumentet. For nærmere om dette vises det til rapport «Standardisering av krypto i offentlig sektor» som omhandler kryptoalgoritmer og protokoller for kryptering, samt til NSMs veiledninger på området. 10

12 2.5 KRYPTERING Formålet med dette kapittelet er å beskrive de anvendelsesområdene som er relevante for e-id knyttet til kryptering. e-id benyttes normalt ikke til selve krypteringen, men den vil i mange tilfeller være påkrevet for administrasjon av kryptografiske nøkler. Behov for sikring av konfidensialitet i forvaltningen ved hjelp av kryptering kan være gitt av lov og forskrift eller kan bygge på egne risikobetraktninger. Eksempler på relevante lover og forskrifter er taushetsplikten i forvaltningsloven, unntaksbestemmelser i offentlighetsloven samt bestemmelser i personopplysningsloven Kryptering benyttes både ved lagring og ved kommunikasjon. Ved kommunikasjon i og med offentlig sektor, er følgende kommunikasjonsveier relevante: 1. Kryptering fra Brukersted til Sluttbruker 2. Kryptering fra Sluttbruker til Brukersted 3. Kryptering fra Brukersted til Brukersted 4. Kryptering fra Sluttbruker til Sluttbruker Figur 5: Kryptering og kommunikasjonsveier De ulike tilfellene baserer seg på at en aktør (Brukersted eller Sluttbruker) skal kommunisere en melding, og at konfidensialiteten skal sikres ved hjelp av kryptering. En melding i denne sammenhengen kan være i form av tekst (Word, PDF, skjema) eller andre filtyper. I dette dokumentet er type 1, 2 og 3 vurdert, mens type 4 (kryptering mellom sluttbrukere) er utelatt Prinsipper for kryptering I forhold til kryptering ved kommunikasjon er det 3 generelle prinsipper som gjelder: Krypterte kommunikasjonskanaler Meldingskryptering Kryptering av felter/deler av en melding 11

13 I tillegg er en viktig anvendelse kryptering av lagret informasjon. Denne anvendelsen er ikke omhandlet i denne rapporten. For vurderinger i forhold til lagringskryptografi henvises det til rapport for Standardisering av krypto i offentlig sektor Krypterte kommunikasjonskanaler Også kalt sesjonskryptering eller transportkryptering. Beskriver en løsning som krypterer og dekrypterer trafikk ved endepunktene i en kommunikasjonslinje. En melding vil i dette tilfellet beskyttes av en kryptert kommunikasjonskanal for eksempel mellom brukerens nettleser og sentral meldingsboks (det utføres ingen meldingskryptering av selve meldingen). Meldingen eksisterer i klartekst ved inngangen og utgangen til den krypterte kommunikasjonskanalen. SSL/TLS og IPsec er eksempler på implementasjoner for krypterte kommunikasjonskanaler. TLS og SSL Transport Layer Security (TLS) og Secure Socket Layer (SSL) er kryptografiske protokoller som primært tilbyr ende-til-ende kryptering mellom en klient og en server. TLS og SSL benytter symmetrisk krypto til å kryptere nettverkstrafikken og Message Authentication Code (MAC) for data integritet. Endepunkts autentisering (typisk av serveren) tilbys også ved bruk av asymmetrisk krypto (sertifikater). TLS benytter to forskjellige metoder for nøkkelgenerering og nøkkeldistribusjon av de symmetriske nøklene brukt i en sesjon, enten Diffie-Hellman (DH) nøkkelgenerering eller RSA nøkkeltransport. IPsec IPsec er en samling av protokoller designet for å sikre IP-basert nettverkskommunikasjon ved å tilby autentisering og kryptering. IPsec er i stor grad brukt til å etablere VPN forbindelser, og er en integrert del av IPv6. IPsec tilbyr to sikkerhetsmekanismer, Authentication Header (AH) sørger for autentisering og integritet beskyttelse av IP-pakker, og Encapsulating Security Payload (ESP) sørger for kryptering av IP-pakkene. (Disse sikkerhetsmekanismene er spesifisert i IETF RFC 4305). IPsec kan operere i to forskjellige moduser, i transport mode og tunnel mode. Tunnel mode kan beskrives som IP inni IP, og fungerer slik at den IPsec beskyttede IP-pakken blir puttet inn i en ny IP pakke. I Transport mode brukes det opprinnelige IP hodet Meldingskryptering Meldingskryptering sikrer konfidensialiteten gjennom hele transporten av en melding. Bruk av meldingskryptering vil minimere risiko og behov for andre kompenserende tiltak siden meldingen ikke eksisterer i klartekst på noe punkt under transporten. Brukersteder kan for eksempel benytte dette til å distribuere sensitive personopplysninger. Meldinger må krypteres og dekrypteres i en sikret sone hvor sensitive personopplysninger kan behandles. Man må her være bevist på at kryptering på denne måten gjør det mulig å sende data som ikke er sjekket inn i sikker sone, og at slike sjekker må utføres der hvor dataene dekrypteres. Anvendelser: e-post Filkryptering via meldingsboks Kryptering av meldinger ved system til system kommunikasjon med web-services. Eksempler på meldingskryptering av en melding til en Sluttbruker med e-id kan være: 12

14 Kryptering av e-post. Brukersted sender en kryptert e-post til Sluttbruker som inneholder meldingen Filkryptering. Brukersted krypterer meldingen i en fil. Denne filen overleveres til Sluttbrukeren gjennom en nettbasert meldingsboks eller som vedlegg til en e-post. En overordnet meldingsflyt for de to alternativene er gitt i figur under. Figur 6: Kryptering av meldinger fra Brukersted til Sluttbruker. Kommunikasjon av kryptert informasjon fra Sluttbruker til Brukersted kan utføres med andre mekanismer enn med en personlig e-id (for eksempel ved at Sluttbrukeren har tilgang til brukerstedets virksomhetssertifikat). Dvs. at man ikke nødvendigvis må kryptere til én spesiell person i virksomheten, men kan kryptere med et virksomhetssertifikat som kan dekryptere på vegne av virksomheten. Dette er et sertifikat flere i virksomheten kan ha mulighet til å benytte, eller som en maskin i virksomheten kan benytte og som ikke er personlig. Figur 7 beskriver en overordnet meldingsflyt for to alternativer: 1. Kryptert e-post: Sluttbruker krypterer en e-post som sendes til Brukersted 2. Sluttbruker logger på brukerstedets meldingsboks, og laster opp en kryptert melding Figur 7: Kryptering fra Sluttbruker til Brukersted Kommunikasjon av kryptert informasjon fra en Sluttbruker til en annen Sluttbruker kan utføres med samme verktøy som beskrevet over, eksempelvis meldingsboks på nett eller e-post. 13

15 Eksempler på implementasjoner for meldingskryptering er S/MIME for e-post og SOAP og ebxml for meldingskommunikasjon mellom systemer: S/MIME. Secure/Multipurpose Internet Mail Extensions, S/MIME, kan håndtere flere krypto sikkerhetstjenester for e-post applikasjoner. S/MIME er ikke begrenset til e-post, men kan benyttes til alle transportmekanismer for MIME data (som for eksempel HTTP). SOAP. SOAP er en protokollspesifikasjon for utveksling av strukturert informasjon mellom elektroniske systemer basert på web-services. Det finnes spesifikasjoner for kryptering av meldingen samt autentisering av endepunktene. ebxml. ebxml er en familie XML-baserte standarder sponset av OASIS og FN/CEFACT. Hensikten med standarden er å tilrettelegge for sikker utveksling av elektronisk forretningsinformasjon mellom handelspartnere. ebxml standarden inneholder en seksjon for meldingstjenester som er et overbygg til SOAP Kryptering av deler av melding I mange situasjoner er det kun deler av en melding som er sensitiv, og det vil være gunstig å kun kryptere denne delen. I praksis krever dette at melding er bygget opp strukturert, og XML er en relevant standard for slike strukturerte meldinger. Den finnes en standard XML-Enc for kryptering av enkeltelementer i en XML basert melding. I Altinn benyttes eksempelvis XML-Enc for å kryptere sensitive felter i et skjema. XML-Enc (XML encryption) er en spesifikasjon utarbeidet av W3C som definerer hvordan et XML element skal krypteres. 14

16 3 Aktuelle enkeltstandarder Listen under gir en opplisting av de viktigste standardene som er identifisert. Listen er ikke uttømmende, men identifiserer standarder det anbefales å ha med i utredning(er) på området. Noen av disse standardene kan ha varianter som er utviklet av ulike standardiseringsorganisasjoner eller sammenslutninger. Utredning som gjøres innen de ulike områdene må derfor ta høyde for å omfatte flere varianter av «samme» standard. Det kan også være tilfeller av «bransjeløsninger» som er aktuelle å utrede, men som ikke nødvendigvis er en egen standard i så måte (eksempel på dette er EV SSL sertifikater). Anvendelsesområde Standard Tittel / Organisasjon Signering PDF signering PAdES standarden består av 6 deler: Part 1: PAdES Overview a framework document for PAdES Part 2: PadES Basic Profile based on ISO Part 3: PadES Enhanced PadES-BES and PadES-EPES Profiles Part 4: PadES Long Term PadES-LTV Profile Part 5: PadES for XML Content Profiles for XadES signatures of XML content in PDF files Part 6: Visual Representations of Electronic Signatures PDF Advanced Electronic Signature Profiles (ETSI) Signering XML signering / kryptering XadES XML Advanced Electronic Signatures 15

17 (ETSI) Signering XML signering / kryptering XML Signature (W3C) Signering XML signering / kryptering ebxml Electronic Business using extensible Markup Language (OASIS) Signering CMS signering CaDES CMS Electronic Signature Formats (ETSI) Signering Signering og langtidsvalidering SEID SDO Dataobjekt for langtidslagring og utveksling av elektroniske signaturer Sikring av elektronisk kommunikasjon XML kryptering XML Enc XML Encryption (W3C) Sikring av elektronisk kommunikasjon Sikre kommunikasjonskanaler og VPN løsninger EV SSL Extended Validation SSL sertifikater Sikring av elektronisk kommunikasjon Sikre kommunikasjonskanaler og VPN løsninger ISO/IEC Securing communications across networks using virtual private networks Sikring av elektronisk kommunikasjon Kryptering e-post S/MIME Secure/Multipurpose Internet Mail Extensions Sikring av elektronisk kommunikasjon Web services SOAP Simple Object Access Protocol Protokollspesifikasjon for utveksling av strukturert informasjon mellom elektroniske systemer basert på web-services 16

18 Sikring av elektronisk kommunikasjon Web services UDDI Universal Description, Discovery and Integration Service Sikring av elektronisk kommunikasjon Web services WS-Security (OASIS) Identitetshåndtering Autorisasjons-tjenester XACML 3.0 extensible Access Control Markup Language (OASIS) Identitetshåndtering Attributt-tjenester ID-WSF Identity Web Services Framework (Kantara (tidligere drevet frem av Liberty Alliance)) Identitetshåndtering Attributt-tjenester OAuth Open Authorization (IETF) Identitetshåndtering Attributt-tjenester OpenID (The OpenID Foundation) 17