Status for PKI i Norge ved utgangen av 2004

Transkript

1 Status for PKI i Norge ved utgangen av 2004 Jon Ølnes, IBM (ITS) Dokument: Status for PKI i Norge ved utgangen av 2004 Side 1 av 43

2 Innholdsfortegnelse Innholdsfortegnelse Innledning Lovgivning og regulering Målsetning og områder for regulering Om behovet for digital signatur Lovverket Lov om elektroniske signaturer og kvalifisert nivå Digital signatur og rettsvirkninger Internasjonale forhold Offentlig strategi og prosjekter Innledning Forvaltningsnettsamarbeidet NOUen «Uten penn og blekk» PKI Forum PKI Forums strategirapport Moderniseringsdepartementet og koordinering i forvaltningen Felles kravspesifikasjoner for forvaltningen Samarbeidsprosjektet for elektronisk ID og signatur (SEID) Prosjekter og initiativer i offentlig sektor Oppsummering offentlige aktører Markedsaktører, privat sektor Innledning ZebSign Posten og ErgoGroup Buypass og Norsk Tipping Telenor Mobil Telenor utenom mobil BankID-samarbeidet NetCom Skandiabanken IBM Validsign og DNV Andre aktører Pilotprosjekter og initiativer i privat sektor Vurdering av dagens situasjon Innledning Dokument: Status for PKI i Norge ved utgangen av 2004 Side 2 av 43

3 5.2 Norge og Norden Forretningsmodeller åpen, avtalebasert og lukket PKI OASIS-rapporten om hindringer for PKI Risiko ved PKI som samfunnsinfrastruktur Programvare og interoperabilitetsproblemer Kost/nytte problemer Problemer med forståelse av PKI Teknologifokus mot fokus på behov PKI-leverandørenes risiko Historiske suksesshistorier og feil Innledning Forvaltningen BankID-samarbeidet ZebSign (med omgivelser) Utviklingstrender for PKI i Norge Dokument: Status for PKI i Norge ved utgangen av 2004 Side 3 av 43

4 1. Innledning UNINETT Norid A/S 1 deltar i «Samarbeidsprosjektet for elektronisk ID og signatur» (SEID-prosjektet, se avsnitt 3.8) og ønsket i denne sammenhengen å få en oversikt over PKI-området i Norge. Norid ga derfor IBM Norge (ITS) oppdraget med å utarbeide et notat (dette notatet) om dette temaet. Notatet er ikke formelt behandlet av Norid, og det inneholder derfor ikke offisielle synspunkter fra Norid. Dette notatet oppsummerer, i rimelig full bredde, status innen PKI-området i Norge. Følgende tema er dekket: Lovgivning og regulering (kapittel 2). Offentlig strategi, koordinering og prosjekter (kapittel 3). Markedsaktører, privat sektor (kapittel 4). Vurdering av dagens situasjon (kapittel 5). Utviklingstrender for PKI i Norge (kapittel 6). Kapittel 2 og 3 er i stor grad basert på notatet «Digitale signaturer, sertifikater, tillit og TTP-tjenester 2» fra PKI Consulting Services AS, oppdatert til dagens status. Øvrige kapitler er nyskrevet for dette notatet. En del påstander i dette notatet kan være kontroversielle, spesielt blant enkelte markedsaktører. Bakgrunnsmateriale og konkrete saksopplysninger skal være korrekte så langt jeg 3 har hatt tilgang til informasjon, og dette er forsøkt gjengitt så objektivt som mulig. Imidlertid vil en vurdering av status, framtidsutsikter og utviklingstrender for PKI i Norge nødvendigvis i stor grad bestå av subjektive vurderinger. Oversikt over markedsaktører og deres produkter og tjenester, og oversikt over offentlige og private prosjekter, er ikke skrevet ut fra noe systematisk kartleggingsarbeid. En del referansemateriale er brukt, men det er nok riktig å peke på at det kan være ting som er utelatt, og som burde vært med, og at noen punkter kan være feil gjengitt eller misforstått. En PKI (public key infrastructure) er en infrastruktur bestående av en eller flere samarbeidende utstedere av sertifikater/elektronisk ID iht. definerte sertifikatpolicyer. Infrastrukturen er basert på administrasjon av nøkkelpar (private/offentlige nøkler) innen offentlig-nøkkel kryptografi. Offentlige nøkler distribueres i sertifikater som utstedes av en tiltrodd sertifikatautoritet, og som binder den offentlige nøkkelen til eierens navn (eller evt. rettigheter eller roller eieren har, men slik bruk diskuteres ikke nærmere i dette notatet). Sertifikatene er digitalt signert av sertifikatautoriteten. PKIer kan ha forskjellig kvalitetsnivå og forskjellige anvendelsesområder, f.eks. bedriftsintern. Fokus for dette notatet er PKI som samfunnsinfrastruktur i det norske samfunnet. En elektronisk ID består av 1-3 nøkkelpar (privat + offentlig) og tilhørende sertifikater. Der det brukes flere nøkkelpar/sertifikater, har disse forskjellige (kombinasjoner av) bruksområder autentisering, kryptering, signatur. En elektronisk ID utstedes under ett og vil oppfattes som en enhet av brukerne. For diskusjonene i dette notatet spiller ikke antallet nøkkelpar/sertifikater noen rolle. I dette notatet brukes derfor begrepene elektronisk ID og sertifikat litt om hverandre. Et PKI-system består av en rekke forskjellige roller knyttet til utstedelse, administrasjon og bruk av nøkler og sertifikater: Sertifikatautoritet (utstederrollen), registreringsautoritet, sertifikatbruker (eller eier), sertifikatmottaker og eventuelt flere. Programvare for bruk av elektronisk ID (til autentisering, signering, kryptering) trenger ikke å være en del av et PKI-system, men et PKI-system vil ofte stille krav til slik programvare. 1 Registreringsautoriteten for.no domenet, i resten av notatet omtalt bare som «Norid» Pronomenet «jeg» er brukt i dette notatet for å markere at dette i stor grad er en subjektiv analyse. Spesielt må det presiseres at de synspunktene som framføres, heller ikke nødvendigvis deles av andre personer i IBM Norge, og at dette notatet ikke må oppfattes som IBM Norges offisielle synspunkter på PKI i Norge. Dokument: Status for PKI i Norge ved utgangen av 2004 Side 4 av 43

5 PKI som samfunnsinfrastruktur i Norge er drevet fram primært av forvaltningens behov og er forankret bl.a. i Regjeringens IT-strategi. Samfunnsinfrastrukturen skal bygges basert på kommersielle tjenester i et fungerende marked. Kanskje det viktigste problemet en står overfor er at de løsningene som i dag tilbys i markedet, er designet og satt i drift for spesifikke tjenester og ikke har fokus på gjenbruk i en samfunnsinfrastruktur. Forvaltningens krav er synliggjort gjennom Moderniseringsdepartementets kravspesifikasjon (se 3.7) fra november En ser at vesentlige aktører i markedet må gjøre tilpasninger i sine løsninger for å møte denne kravspesifikasjonen. Vil leverandørene gjøre slike tilpasninger på egen risiko, eller vil det måtte ligge et økonomisk insitament fra forvaltningens side for å få dem til å tilpasse seg? Er det en risiko for at leverandørene ikke vil følge opp kravspesifikasjonen, men isteden fortsette salg av sine nåværende løsninger? 2. Lovgivning og regulering 2.1 Målsetning og områder for regulering Elektronisk kommunikasjon har et potensiale for enorm effektivisering i forhold til papirbasert kommunikasjon. Forvaltningen i Norge har selvfølgelig innsett dette, men for at bruk av elektronisk kommunikasjon med og i forvaltningen skal være mulig, må de juridiske forholdene legges til rette. Det er et uttalt politisk mål i Norge at elektronisk korrespondanse skal være like pålitelig og juridisk bindende som korrespondanse ved bruk av papir 4. Et omfattende arbeid er derfor gjennomført innen lovgivning og regulering. I stor grad er dette arbeidet ferdig, men noen hindringer for elektronisk kommunikasjon finnes fortsatt. Siden det er en lang rekke krav om signatur i lover, forskrifter og regelverk, må lovgivning og regulering for elektronisk kommunikasjon også omhandle elektroniske signaturer 5. Her er Norge også forpliktet til å følge EUs direktiv 6 for elektroniske signaturer gjennom å implementere dette i nasjonal lovgivning 7. Direktivet introduserer begrepene «kvalifisert signatur» og «avansert elektronisk signatur» som begge i dag bare kan realiseres ved hjelp av offentlig-nøkkel kryptografi og PKI. Det er i svært liten grad gjort arbeid med regulering av annen bruk av PKI, som autentisering og kryptering. Det offentliges fokus har generelt vært rettet mot signeringsegenskapene. Regulering innen området elektroniske signaturer er aktuelt på tre områder: Internt i offentlig sektor, dvs. forvaltningens egen, interne bruk. Grenseflaten mellom offentlig og privat sektor, dvs. krav som skal stilles til private aktører (enkeltpersoner eller virksomheter) for at de skal kunne benytte elektroniske signaturer for korrespondanse mot offentlig sektor, og krav som en offentlig etat må oppfylle for å kunne kommunisere på denne måten mot sine brukere. Rent privat sektor, der kommunikasjon er mellom enkeltpersoner, mellom personer og virksomheter, eller mellom virksomheter. Det er ikke noe ønske om å regulere rent privat sektor, bortsett fra områder som er dekket av spesielle lover og forskrifter. For de to andre områdene er det opplagt at det offentlige må stille krav. EUs direktiv, og til en viss grad også norsk regulering, definerer flere nivåer for elektronisk signatur: 4 Samferdselsdepartementet: «Den norske IT-veien, bit for bit», rapport fra Statssekretærutvalget for IT, ISBN , Elektronisk signatur er et teknologinøytralt begrep som brukes i lover og regelverk. Digital signatur er elektronisk signatur framstilt ved bruk av offentlig-nøkkel kryptografi. 6 EU: «Community framework for electronic signatures», Directive 1999/93/EC of the European Parliament and of the Council, 7 Lov om elektronisk signatur: Dokument: Status for PKI i Norge ved utgangen av 2004 Side 5 av 43

6 Elektronisk signatur per se kan realiseres ved ulike teknologier. Vanlig tolkning er at en kombinasjon av autentisering og logging kan gjelde som signatur. I Norge er dette innarbeidet praksis f.eks. for selvangivelse på Internett med bruk av PIN-koder. Avansert elektronisk signatur brukes om signaturer som tilfredsstiller visse kvalitetskrav. I praksis kan disse i dag bare oppfylles ved bruk av digital signatur 8 (offentlig-nøkkel kryptografi). Kvalifisert signatur er en avansert signatur med tilleggskrav og har en spesiell status i EUs direktiv (og dermed også i norsk lovgivning). En kvalifisert signatur skal garanteres å gi samme rettsvirkning som en håndskrevet signatur. Jeg kommer tilbake til dette i Om behovet for digital signatur Arbeidet både i EU og Norge spesifiserer elektroniske signaturer som erstatning for håndskrevne. Dette er i hvert fall til en viss grad basert på en antagelse om at elektronisk kommunikasjon skal følge samme mønster som papirbasert kommunikasjon. En slik antagelse kan nok være fornuftig i mange tilfeller på kort sikt, bl.a. for å sikre aksept for og tillit til elektronisk kommunikasjon, men det er allment anerkjent i fagmiljøer at en overgang til elektronisk kommunikasjon bør medføre en gjennomgang av prosedyrene for å sikre at effektivitetsgevinster virkelig blir realisert. Ett eksempel fra forvaltningen er innrapportering fra næringslivet. Dette er i dag knyttet til faste skjema som skal sendes inn, mens en ved elektronisk innrapportering kanskje bare kan rapportere de nødvendige, definerte informasjonselementene (delvis) frikoplet fra skjema. Det ville i en slik sammenheng være naturlig å se på behovet for signaturer også, f.eks. om en trenger å signere over hvert enkelt skjema, eller om det kan trekkes ut en del nøkkelinformasjon som er grunnlag nok for signering. En annen grunn til å spesifisere elektronisk signatur som erstatning for håndskrevet er at dette gjør det forholdsvis enkelt å endre eller tolke eksisterende lover og regelverk. Når f.eks. en lov har krav om signering, er det vesentlig enklere å endre (tolkningen av) loven til å omfatte elektronisk signatur enn å foreta en grundig vurdering av om det i det hele tatt er nødvendig med signaturer for elektronisk kommunikasjon for formålet, og i tilfelle under hvilke betingelser signatur kan utelates. Det er rimelig klart at sesjonslogging og transaksjonslogging for elektronisk kommunikasjon kan gi en helt annen nøyaktighet i sporbarheten enn det en vanligvis har ved papirkorrespondanse. Sikkerhetsmessig er avanserte (dvs. digitale) signaturer først og fremst viktig der det er et element av mistro mellom partene, enten ved at avsender mistenker mottaker for å ville tukle med informasjonen, eller ved at mottaker trenger et meget sterkt bevis sterkere enn vanlig logging for hva avsenderen ga fra seg. F.eks. har vi tradisjonelt i Norge høy grad av tillit til at forvaltningen behandler informasjonen vår skikkelig, og i de fleste tilfeller vil antagelig en offentlig etat kunne samle tilstrekkelig bevis i et gjennomarbeidet loggesystem, selv uten digitale signaturer. Men digitale signaturer vil selvfølgelig kunne være en fordel. Krav om digitale signaturer (avansert eller kvalifisert elektronisk signatur) er/vil komme fra både juridiske og sikkerhetsmessige kilder. Juridisk sett kan det være krav til avansert elektronisk signatur for visse formål (Finansavtalelovens krav til elektronisk avtaleinngåelse er ett eksempel) i lover og forskrifter. Sikkerhetsmessig vil krav være knyttet til sensitivitet av informasjon og/eller operasjoner. Ett eksempel er selvangivelse, der Skattedirektoratet har definert forskjellige klasser for informasjon. Dagens ordning med bruk av PIN-koder dekker bare spesifiserte informasjonselementer, og det skal ikke så mye ekstra til før en må levere på papir. Ved bruk av digital signatur uten spesielt strenge sikkerhetskrav (f.eks. lagring av private nøkler i programvare) kan en dekke opp flere informasjonstyper. For å kunne levere alle mulige opplysninger i en elektronisk selvangivelse må en ha en avansert elektronisk signatur med bruk av smartkort eller liknende (men ikke nødvendigvis kvalifisert signatur). En risikomessig utredning vil antagelig konkludere med at de aller fleste tjenester kan tilbys ved hjelp av teknologier som brukernavn og passord kombinert med logging. Grunnen til at digitale signaturer likevel er så mye i fokus er at denne teknologien har potensial til store forbedringer når det gjelder helelektronisk 8 En digital signatur er en kryptografisk sjekksum som bare kan produseres vha. en privat nøkkel som har en definert eier, men som kan verifiseres av hvem som helst basert på eierens offentlige nøkkel. En digital signatur kan derfor spores unikt til eieren, og den medfører integritetsbeskyttelse ved at endringer i signeringsgrunnlaget vil oppdages. Dokument: Status for PKI i Norge ved utgangen av 2004 Side 6 av 43

7 forretningsdrift, brukervennlighet, brukeradministrasjon, sikkerhet og sporbarhet ved elektronisk kommunikasjon. Når en fungerende infrastruktur er på plass, og brukerne har muligheten til å signere digitalt på en enkel måte, er det ingen grunn til ikke å bruke digital signatur i stort volum også for formål der teknologien ikke er absolutt nødvendig. Dette må sees i sammenheng med brukervennlighet og gjenbruk av samme elektroniske ID mot flere tjenester kontra forskjellige brukernavn og passord mot forskjellige tjenester. Merk at det finnes noen få, men potensielt meget viktige, områder der helelektroniske tjenester ikke kan realiseres uten avansert elektronisk signatur (f.eks. full selvangivelse og i hvert fall visse finansavtaler, ref. 3.9 om gjeldsbrev for Lånekassen). Selv om de fleste tjenester kan realiseres gjennom autentisering ved brukernavn/passord og logging, vil det uten digital signatur være vesentlige elementer som mangler f.eks. for elektroniske tjenester fra forvaltningen. Men i de fleste tilfeller må bruk av digitale signaturer (og annen bruk av PKI) begrunnes i kost/nytte og i ikke i absolutte krav. Det er sannsynlig at behovet for digitale signaturer vil øke i takt med innføring av mer «avanserte» elektroniske prosesser/verdikjeder. Dersom verdikjeden, slik den vanligste situasjonen er i dag, kun er et forhold mellom to parter (typisk tjenesteyter og bruker), er det relativt stor sannsynlighet for at partene kan oppnå tilstrekkelig sikkerhetsnivå gjennom autentisering og logging. Hvis vi derimot ser på prosesser som involverer flere, uavhengige parter, er digital signatur identifisert som en nøkkelteknologi for å møte sterke sikkerhetskrav (spesielt til sporbarhet). Dette gjelder både for manuelle operasjoner og for systemintegrasjon mellom aktører (f.eks. ved Web Services). Grunnen er at digitale signaturer kan forutsettes å være bestandige og validerbare over tid uavhengig av i hvilket system de opprinnelig var skapt, og uavhengig av hvor og hvordan de kan tenkes brukt i en ukjent framtid. Et digitalt signert dokument utgjør et bevis i seg selv, og beviset må kunne valideres av (i prinsippet) hvem som helst. Dette er en unik funksjonalitet ved digitale signaturer. Merk at det i slike verdikjeder er urimelig å stille krav om at alle (nåværende og framtidige) parter skal ha samme løsning, og dette stiller sterke krav til samspill mellom forskjellige løsninger for PKI og digital signatur. 2.3 Lovverket Det er gjennomført et kartleggingsprosjekt over samtlige lover, forskrifter og instrukser for å avdekke hindringer for elektronisk kommunikasjon og elektroniske signaturer 9. Prosjektet fortsatte som eregelprosjektet i regi av Nærings- og handelsdepartementet (NHD) fram til 1. januar 2002 med formål å fjerne flest mulig av disse hindringene. Ett eksempel på hindring kan være at det i en (gammel) lov står en formulering som nevner papir og håndskrevet signatur, mens intensjonene i loven kan oppfylles like godt ved elektroniske dokumenter og elektronisk signatur. Det ble valgt en prosedyre der alle slike punkter endres i lovtekster, og det ble identifisert behov for ca. 100 lovendringer. Endringene ble vedtatt samlet gjennom en egen lov 10 som trådte i kraft 1. januar 2002, og lister endringer i spesifikke andre lover. Sammen med loven om elektroniske signaturer (se 2.4) fjerner dette de aller fleste formelle hindringer for elektronisk kommunikasjon og elektroniske signaturer i Norge. Det finnes visse hindringer som det kanskje ikke er ønskelig å fjerne. Dette dreier seg om dokumenter med sterke formkrav, der testamente er ett eksempel. Testamente må fortsatt være på papir iht. norsk lov. Det finnes også noen andre gjenværende punkter, der tinglysning antagelig er det viktigste. Det arbeides med tilrettelegging for elektronisk tinglysning. Et annet gjenværende punkt som er under arbeid, er retningslinjer i forhold til elektronisk kommunikasjon og signaturer og Hvitvaskingsloven/-forskriften. 9 Nærings- og handelsdepartementet: «Kartleggingsprosjektet: Kartlegging av bestemmelser i lover, forskrifter og instrukser som kan hindre elektronisk kommunikasjon», Prosjektrapport K-0628, juni Lov om endringer i diverse lover for å fjerne hindringer for elektronisk kommunikasjon, se Dokument: Status for PKI i Norge ved utgangen av 2004 Side 7 av 43

8 En viktig endring var eksplisitt tilrettelegging av Forvaltningsloven for elektronisk kommunikasjon i forvaltningssaker. Forskrift om elektronisk kommunikasjon med og i forvaltningen 11 trådte i kraft 1. juli 2002 (fornyet uten vesentlige endringer sommeren 2004), og sier ganske mye om bruk av elektronisk signatur. Et annet eksempel på en endring som er gjennomført, er Finansavtaleloven. Sommeren 2000 ble det lovlig å inngå elektroniske finansavtaler som gjeldsbrev og avtaler om kundeforhold med bank, men under forutsetning av elektronisk signatur, og med en tolkning der dette i praksis betyr digital signatur. Dette er én grunn til at bankene er aktive innen PKI-området. 2.4 Lov om elektroniske signaturer og kvalifisert nivå EU-direktivet om elektroniske signaturer definerer et kvalifisert sertifikat som et sertifikat som kan understøtte en elektronisk signatur som kan betraktes som ekvivalent til en håndskrevet signatur (kvalifisert elektronisk signatur) innen et nærmere angitt lovområde. Det stilles særskilte krav til innholdet i sertifikatene, til tilbydere av sertifikattjenester, og til utstyr/programvare som skal produsere eller verifisere kvalifiserte signaturer. Tekniske krav utarbeides av de europeiske standardiseringsorganene CEN og ETSI. Medlemslandene i EU, og Norge gjennom EØS-avtalen, er forpliktet til å justere sine lovverk og til å vedta en egen lov 12 i tråd med EU-direktivet. Digital signatur er i dag eneste teknologi som kan oppfylle kravene til kvalifisert elektronisk signatur. Det var lenge diskusjoner om hva slags krav som skulle stilles vedrørende kvalifiserte signaturer, mest pga. avveininger mellom sikkerhetskrav og praktisk anvendbarhet (dette er diskutert nærmere i det PKI CS notatet som det refereres til i kapittel 0). Høsten 2003 publiserte endelig EU spesifikasjoner som stiller eksplisitte krav til «signature creation device» i praksis et smartkort slik dette er spesifisert, men selvfølgelig med åpning for å få godkjent også andre løsninger. Det gis bare anbefalinger, ikke obligatoriske krav, når det gjelder «signature creation application», som er programmene (f.eks. på en PC) som viser fram et dokument og produserer signeringsgrunnlaget (hash-verdi), som signeres i «signature creation device». I tillegg må signaturen understøttes av et kvalifisert sertifikat. Kravet til smartkort (eller annen «device») er at dette er evaluert etter CEN CWA Dette er en beskyttelsesprofil på nivå EAL4+ (evaluation assurance level, skala fra 1-7) etter ISO Siden en sertifikatutsteder oftest har hånd om deler av prosessen rundt smartkort, stilles det også tilleggskrav til utstedere av kvalifiserte sertifikater. Det er gitt en anbefaling, men ikke et krav (fordi det uansett vil være umulig å kontrollere at kravet er oppfylt), om at «signature creation application» bør følge CEN CWA , og at programvaren hos mottakeren av en signatur bør følge CEN CWA Merk at det ikke er noe krav om at et kvalifisert sertifikat bare skal kunne brukes til kvalifiserte signaturer. Et kvalifisert sertifikat kan understøtte andre signaturer (der krav til omgivelser ikke er oppfylt). Det er ikke full enighet om det har mening å referere til kvalifisert nivå for sertifikater som støtter andre formål enn signaturer (kryptering og autentisering/pålogging). Norsk lov om elektroniske signaturer trådte i kraft 1. juli Loven dekker bare kvalifiserte signaturer og kvalifiserte sertifikater og kommer dermed ikke i betraktning for anvendelser der en bruker andre former for signaturer/sertifikater, bortsett fra at loven slår fast at også slike signaturer/sertifikater kan gis rettsvirkning. Utstedere av kvalifiserte sertifikater skal registreres hos Post- og teletilsynet og må godta at Post- og teletilsynet kan overvåke driften. Andre sertifikattjenester er ikke omfattet av tilsyn Lov om elektronisk signatur: 13 CEN: «Secure signature creation devices EAL4+», CEN Workshop Agreement CWA 14169, mars ISO: «Evaluation criteria for IT security», ISO del 1-3, 1999 (også kalt Common Criteria CC) 15 CEN: «Security requirements for signature creation applications», CEN Workshop Agreement CWA 14170, juli CEN: «Procedures for electronic signature verification», CEN Workshop Agreement CWA 14171, juli Dokument: Status for PKI i Norge ved utgangen av 2004 Side 8 av 43

9 Merk at vi i Norge (og de fleste andre europeiske land) har fri avtaleslutning og fri bevisførsel ved tvister. Det er derfor ikke snakk om at kvalifiserte sertifikater/signaturer skal være eneste løsning, eller at andre former for elektronisk korrespondanse med eller uten signaturer ikke vil være «gyldig». Fordelen med kvalifisert signatur er at den skal gi en garantert rettsvirkning på linje med en håndskrevet signatur. Dersom elektronisk korrespondanse er lov for et bestemt formål, skal en kvalifisert signatur betraktes på samme måte som innarbeidet praksis for en håndskrevet signatur for formålet. Med andre signaturer er rettsvirkningen mer usikker og vil måtte være gjenstand for vurdering av domstol eller annen rettsinstans. En kvalifisert signatur skal også være «ikke-diskriminerende». Det vil si at dersom en aktør aksepterer elektronisk kommunikasjon og signaturer, skal denne aktøren alltid akseptere en kvalifisert signatur, uavhengig av forhold som f.eks. hvem som har utstedt sertifikatene som støtter signaturen 17. For andre signaturer kan aktørene selv avgjøre hvilke signaturer (sertifikater ol.) som en ønsker å akseptere. Merk at ikke-diskriminering gjelder kvalifiserte signaturer og ikke kvalifiserte sertifikater. En aktør kan selv velge hvilke sertifikater og utstedere kvalifiserte eller ikke som en ønsker å akseptere, bortsett fra i det tilfellet der et kvalifisert sertifikat brukes for en kvalifisert signatur, som alltid må aksepteres. I Norge er ZebSign (se 4.2) eneste utsteder av kvalifiserte sertifikater. Dette gjelder personsertifikater 18 til privatpersoner og «CommunityID» som er rettet mer mot bedriftsmarkedet (opprettet i forbindelse med rammeavtalen med Rikstrygdeverket, se 3.9). CommunityID tilbys både med smartkort og med en programvareløsning med lokal installasjon. Med bare programvare vil ikke kvalifisert signatur være mulig. Løsninger basert på ZebSign personsertifikat og smartkort (ala Norsk Tippings løsning, se 4.4), eller CommunityID med smartkort, eller mobiltelefon (Telenor Mobils løsning, se 4.5) antas alle å være svært nær å oppfylle kravene til signeringsomgivelser, men formell sertifisering til EAL4+ nivå mangler. Det finnes derfor per dato for dette notatet ikke løsninger for kvalifisert signatur i det norske markedet. Jeg kjenner ikke til at det er planer om å gjennomføre sertifisering. NetCom (se 4.8) har uttalt at de oppfyller alle krav til kvalifisert sertifikat, og at de kan registrere seg hos PT når (eller hvis) de finner det formålstjenlig. BankID (se 4.7) har valgt å legge seg på ikke-kvalifisert nivå. Siden BankID ikke har noen publisert sertifikatpolicy, er det uklart hvor store avvik BankID har i forhold til kravene (manglende publisering er i seg selv et avvik). Andre løsninger er ikke-kvalifiserte. Trenden i Norge ser ut til å være at en legger liten vekt på kvalifisertstempelet. Noen aktører har reist krav/ønske om kvalifisert signatur (bl.a. Lånekassen i forbindelse med gjeldsbrev), men stort sett ønsker aktørene å gjøre en selvstendig vurdering av hvilke løsninger som ansees som gode nok. Dette underbygges ved at bankene eksplisitt har valgt et ikke-kvalifisert nivå. Selv for aktører som i praksis oppfyller kravene til kvalifisert nivå, kan det være fristende å unnlate å bruke kvalifisertbegrepet for å unngå kostnader til registrering hos PT og til sertifisering av løsninger (og ikke minst kunne slakke litt på krav til ansvar/erstatning som en er pålagt som utsteder av kvalifiserte sertifikater). Moderniseringsdepartementets (MOD) felles kravspesifikasjoner for elektronisk ID og elektronisk signatur for forvaltningen (se 3.7) stiller ikke krav om kvalifisert signatur (det ville da også vært urimelig siden dette ikke leveres i det norske markedet), men har definert to nivåer for personsertifikater: «Person-Høyt» er kvalifisert nivå mens «Person-Standard» stiller relativt små kvalitetskrav. Person-Høyt tenkes krevd for helseopplysninger og enkelte andre former for svært sensitiv informasjon (med funksjoner for både autentisering for tilgang, signering og kryptering). De aller fleste formål innen forvaltningen vil kunne oppfylles ved bruk av Person-Standard som kan sies å være på nivå for «avansert elektronisk signatur», men ikke på kvalifisert nivå. 17 Dette betyr ikke at en alltid er nødt til f.eks. å gjøre en handel med motparten, men da skal et avslag ha en annen begrunnelse enn at en ikke vil akseptere motpartens kvalifiserte signatur. Det er en viss uenighet rundt denne påstanden. F.eks. vil de fleste norske banker antagelig stritte kraftig i mot et krav om å akseptere en kvalifisert signatur som støttes av et ZebSign-sertifikat, selv om min tolkning er at de faktisk i prinsippet er nødt til å gjøre det. Men det vil etter min mening være rimelig å ekskludere løsninger som i prinsippet oppfyller kravene til kvalifisert signatur, men som er basert på teknologi som stiller krav (og dermed kostnader) til tilpasninger på mottakersiden for aksept av signaturene. 18 Samme sertifikatpolicy gjelder for smartkort, mobil PKI (SIM-kort i mobiltelefoner) og nettsentrisk løsning (basert på Java applet, men i liten grad i bruk i dag). Dokument: Status for PKI i Norge ved utgangen av 2004 Side 9 av 43

10 2.5 Digital signatur og rettsvirkninger Det er mer komplisert å framlegge digital signatur som bevis i en rettssak (eller i annen sammenheng) enn å framlegge et papirdokument med håndskrevet underskrift. Det er flere hensyn som må ivaretas for å kunne vise at signaturen er gyldig, eller at den var gyldig på det tidspunktet signaturen ble produsert. I tillegg til gyldighet må beviset den digitale signaturen tillegges en kvalitet. Dette er avhengig av signeringsomgivelsene som ble brukt, kvaliteten på sertifikater osv. For kvalifisert signatur er det lovbestemt at dette skal gi samme rettsvirkning som en håndskrevet signatur, og at en skal støtte seg på eksisterende praksis. Men det gjenstår å se hvor stor utbredelse kvalifiserte signaturer vil få, og hvilke vurderinger domstolene faktisk vil gjøre dersom en kvalifisert signatur blir ført som bevis. For andre signaturer må en gjøre en vurdering av sikkerheten i IT-systemene og tilliten til programvare og utstyr som er brukt. I en rettssak vil en typisk bruke uavhengige eksperter til å uttale seg om dette, eller partene kan føre egne eksperter som vitner. Per dato for dette notatet har vi ikke i Norge, og så vidt jeg vet heller ikke i andre land, rettspraksis på området digitale signaturer. Det kan tenkes at den avgjørelsen en dommer tar, er farget av i hvilken grad dommeren forstår teknologien og anvendelsene av den og er i stand til å tolke uttalelsene til eventuelle eksperter som føres som vitner. Dette kan være et forbigående problem inntil digitale signaturer er blitt en godt innarbeidet teknologi, men på kort sikt kan en ikke forvente tilstrekkelig kompetanse og utrustning i rettsapparatet. Dette betyr at de første som fører tvister om elektroniske dokumenter og digitale signaturer for retten, løper en betydelig risiko. Men merk at en digital signatur normalt ikke vil stå alene som bevis signaturen vil være en del av en større beviskjede. Merk at bevisførsel ikke trenger å være i forbindelse med rettssak ol. Ett eksempel er et digital signert gjeldsbrev som grunnlag for begjæring om inkasso. Her må en namsmann eller liknende kunne ta stilling til om grunnlaget for å gå til innkreving er til stede. Det vil enda gå forholdsvis lang tid til namsmenn og rettsapparatet ellers har tilgjengelig alt som skal til for selv å validere digitale signaturer og deres styrke. Det vil si at rettsapparatet vil være nødt til å forholde seg til utsagn fra eksterne parter som godtgjør egenskapene og kvaliteten av digitale signaturer og sertifikater. Dette kan være mottakeren av den digitalt signerte meldingen dersom tilliten til denne er høy nok, men det kan være ønskelig at dette er en utenforstående part. Notartjenester 19 kan tilby tiltrodd lagring og/eller validering av elektroniske dokumenter. Slike tjenester finnes i liten grad operativt i det norske markedet per dato for dette notatet, men det finnes aktører som arbeider med planer for etablering av slike tjenester. 2.6 Internasjonale forhold Det finnes i liten grad regelverk for internasjonal samordning for digitale signaturer og sertifikater, f.eks. hvordan et norsk sertifikat skal kunne godkjennes/brukes i utlandet eller omvendt. Men norske myndigheter har et utstrakt samarbeid med aktører i andre land i Europa, spesielt i Norden. Området er også overvåket og kartlagt av EU-systemet 20. Det er ingenting i norske lover og regelverk som hindrer en norsk borger (eller norsk bedrift) fra å benytte tjenester fra en sertifikattjeneste i utlandet, eller hindrer en norsk sertifikattjeneste å tilby sine tjenester internasjonalt, og slike hindringer er da heller ikke ønsket av noen. Men de juridiske forholdene rundt ansvar mm. må være tilfredsstillende avklart før norske myndigheter kan akseptere noe annet enn en norsk sertifikatutsteder for kommunikasjon mot offentlig sektor. I praksis vil det si at utstederen skal forholde seg til norsk lovgivning selv om den fysiske installasjonen ligger i utlandet. I andre sammenhenger bør en utenlandsk utsteder kunne fungere like godt som en norsk. Det er et eksplisitt krav at 19 Må ikke forveksles med Notarius Publicus som er strengt regulert i norsk lov med klar definisjon av hvilke aktører som skal kunne ta rollen. 20 Se «The legal and market aspects of electronic signatures» (The Leuven study): Dokument: Status for PKI i Norge ved utgangen av 2004 Side 10 av 43

11 landskoden i navnet til en utsteder av kvalifiserte sertifikater (tilsvarende «.no» for domenenavn) skal angi det landet der sertifikattjenesten juridisk sett er etablert. Et spesifikt problem for forvaltningen (og noen andre aktører, som banker) er behovet for fødselsnummer for identifikasjon av personer og aksess til tjenester. En utenlandsk sertifikatutsteder vil kunne ha problemer med å få adgang til norsk fødselsnummer. Det er et spørsmål om dette egentlig strider mot EUs prinsipper om fri flyt av tjenester, men så lenge situasjonen er den samme i alle medlemsland, blir dette akseptert. I prinsippet skal en kvalifisert signatur (når dette kan leveres) aksepteres overalt innen EU-/EØS-området. I praksis skaper dette både teknologiske, forretningsmessige og organisatoriske/politiske problemer, men som en målsetting på sikt er dette en god ide. 3. Offentlig strategi og prosjekter 3.1 Innledning Forvaltningens holdning til PKI og elektronisk signatur kan oversiktsmessig oppsummeres som: Det er et klart behov for teknologien både på grenseflaten mellom offentlig og privat sektor (innrapportering, søknader, saksbehandling, helsevesenet) og internt i forvaltningen. Lover, forskrifter og regelverk må tilrettelegges (se kapittel 2). God utnyttelse av teknologien krever storskala utbredelse og dermed en samfunnsinfrastruktur. Myndighetene 21 ønsker ikke å bygge ny infrastruktur i statlig regi, men vil etablere infrastruktur ved hjelp av private aktører og konkurranse i et fungerende marked. Moderniseringsdepartementet (MOD) har fra sommeren 2004 tatt et klart initiativ når det gjelder koordinering og målsetting for forvaltningens bruk av elektronisk ID og elektronisk signatur. Dette vil innebære felles kravspesifikasjoner og felles rammeavtaler og kan innebære en viss styring (og ikke bare koordinering) når det gjelder de enkelte forvaltningsorganers arbeid innen området. Målsettingen er en fungerende infrastruktur og god utbredelse av teknologien i løpet av Fram til etableringen av MOD må situasjonen sies å ha vært preget av at det foregikk koordinerende arbeid med lav forpliktelse, men med meget kompetent personell i de berørte departementene Nærings- og handelsdepartementet (NHD) og Arbeids- og administrasjonsdepartementet (AAD). Det har i praksis vært helt opp til det enkelte forvaltningsorgan om, og i tilfelle hvordan, elektronisk ID og elektronisk signatur skulle tas i bruk, og forskjellige forvaltningsorganer har valgt vidt forskjellige og ukoordinerte tilnærminger. Konsekvensene av disse politiske holdningene diskuterer jeg i I resten av dette kapitlet ser jeg nærmere på de forskjellige delene av offentlig engasjement innen PKI-området (unntatt lover og regelverk som ble dekket i kapittel 2) uten å gjøre særlig mange vurderinger underveis. Innholdet i kapitlet dekker både historikk og nåværende situasjon (per dato for dette notatet). 3.2 Forvaltningsnettsamarbeidet I regi av Forvaltningsnettsamarbeidet ble det sommeren 1999 inngått rammeavtaler for leveranse av tjenester for utstedelse av sertifikater og for smartkort, kortlesere, programvare og elektronikk for digital signatur og meldingskryptering. Det ble utarbeidet detaljert kravspesifikasjon for løsningene, og det ble skrevet en egen sertifikatpolicy som skulle tilfredsstille forvaltningens strenge krav til kvalitet. Disse avtalene gjaldt sertifikater som knytter en person til en jobb i en offentlig virksomhet. 21 I hvert fall den nåværende, borgerlige regjeringen, men antagelig er det relativt bred politisk enighet om dette. Dokument: Status for PKI i Norge ved utgangen av 2004 Side 11 av 43

12 Det ble aldri noen etterspørsel over rammeavtalene, og konklusjonen må vel være at markedet på dette tidspunktet ikke var modent. Men arbeidet har på mange måter pekt ut retningen for norske aktører innen området og bidratt sterkt til aktivitet og interesse både internt i forvaltningen og hos andre aktører. Rett før utløp av rammeavtalene (i 2001) ble det satt i gang arbeid med revisjon av kravspesifikasjonene med tanke på en ny utlysning. Dette arbeidet ble stoppet da ny politisk ledelse i AAD valgte å terminere Forvaltningsnettsamarbeidet og andre sentrale innkjøpsavtaler. Spesifikasjonsarbeidet ble gjort ferdig (men ikke kvalitetssikret) som et forslag til grunnlagsdokumenter for offentlige anskaffelser innen området, men dette arbeidet ble ikke fulgt opp videre. Felles kravspesifikasjoner for forvaltningen har vært etterlyst av mange parter, og i november 2004, tre år etter at Forvaltningssamarbeidets reviderte spesifikasjoner var ferdige (minus kvalitetssikring og høring), kom slike kravspesifikasjoner i regi av MOD (se 3.7). 3.3 NOUen «Uten penn og blekk» En NOU (Norsk Offentlig Utredning) om bruk av digitale signaturer i elektronisk samhandling med og i forvaltningen 22 var ferdig i mars Dette arbeidet analyserte området i full bredde og kom fram til en del anbefalinger. Det anbefales tre kvalitetsnivåer for digitale signaturer og sertifikater: 1. Kvalifisert nivå med bruk av smartkort eller tilsvarende (nivå 3). 2. Høyt nivå (dvs. avansert) med filbasert lagring av nøkler og samme krav til sertifikatutstedelse som for smartkortnivået (nivå 2). 3. Alt annet (nivå 1). Tanken var at kravspesifikasjoner skulle ta utgangspunkt i disse nivåene, men dette ble ikke fulgt opp. Det anbefales ikke å opprette en egen, offentlig sertifikatutsteder slik det bl.a. er gjort i Finland. Isteden anbefales det at forvaltningen skal satse på avtaler med de kommersielle aktørene i Norge, og det foreslås å bidra med penger for å få på plass tjenester på ønsket nivå. Anbefalingen om å bidra med penger er ikke fulgt opp i seinere statsbudsjett, men fom har det blitt bevilget mindre summer til et koordineringsorgan for PKI i forvaltningen (se 3.6) og til SEID-prosjektet (se 3.8). Det gis forslag til retningslinjer for bruk av digitale signaturer i forvaltningen, med arbeidsprosedyrer og regler for når person og/eller virksomhet skal signere. Denne delen av NOUen dannet grunnlag for den seinere «Forskrift om elektronisk kommunikasjon med og i forvaltningen». For samtrafikk (sømløs bruk av elektronisk ID fra forskjellige utstedere) anbefales det en egen samtrafikktjeneste basert på sertifikatvalidering (se 4.10). Det anbefales også å etablere kryssertifiseringsordninger slik det ble implementert for leverandørene til Forvaltningsnettsamarbeidet. Samtrafikk er utredet videre i regi av PKI Forum (se 3.4), men er ellers i liten grad fulgt opp bortsett fra opprettelsen av SEID-prosjektet (se 3.8). Imidlertid har MODs kravspesifikasjoner (se 3.7) klare krav når det gjelder samtrafikk. 3.4 PKI Forum For å følge opp «Uten penn og blekk» tok NHD på ettersommeren 2001 initiativet til etablering av PKI Forum 23 som skal samle alle interesserte aktører i Norge. PKI Forum har ca. 150 personer som (mer eller mindre) aktive medlemmer, og disse representerer forvaltningen (departementer, etater, kommuner, reguleringsmyndigheter, tjenesteytere), tilbydere av tjenester og produkter relatert til PKI, interesseorga- 22 Statens Forvaltningstjeneste: «Uten penn og blekk: Bruk av digitale signaturer i elektronisk saksbehandling med og i forvaltningen», NOU 2001:10, mars Dokument: Status for PKI i Norge ved utgangen av 2004 Side 12 av 43

13 nisasjoner (som Abelia og eforum) og konsulenter. MOD (fra høsten 2004, tidligere NHD) bidrar med sekretariat og et forholdsvis lite driftsbudsjett. PKI Forum har ingen formell myndighet, heller ikke overfor MOD. Medlemskap er gratis og personlig (ikke bedrift). Det arrangeres normalt fire plenumsmøter i året med foredrag og demonstrasjoner etc. PKI Forum har i 2004 endret fokus på sitt arbeid i retning av informasjon og kunnskapsspredning med tanke på utbredelse og forståelse av teknologien og dens muligheter, med spesielt fokus på brukerperspektivet. Denne kursendringen var en følge av etableringen av SEID-prosjektet og koordineringsorganet for PKI i forvaltningen (se 3.6 og 3.8). Fokusgrupper (se nedenfor) består omtrent som før. Opprinnelig mandat for PKI Forum var å bidra til etablering av en samfunnsinfrastruktur for PKI og elektronisk signatur, og i første omgang var forvaltningen primær adressat for innspill. Arbeidet ble organisert i fokusgrupper for strategi, jus og regelverk, samtrafikk og forbruker (grupper for best praksis og informasjon kom aldri ordentlig i gang). Samtlige aktive fokusgrupper har levert rapporter innen sine områder (tilgjengelige fra PKI Forums nettsted). Strategirapporten (se 3.5, strategigruppa ble lagt ned etter fullført jobb) er spesielt viktig, og har direkte og indirekte hatt stor politisk innflytelse. 3.5 PKI Forums strategirapport PKI Forums strategirapport 24 ble overlevert til NHD juni 2002 og ble meget godt mottatt. Som en direkte følge av rapporten satte enorge-planen 25 økt bruk av elektronisk signatur og elektronisk ID som viktige mål, og regjeringens IT-strategi 26 lister PKI og elektroniske signaturer som ett av tre prioriterte områder. Dette er ytterligere fulgt opp ved etableringen av MOD, der elektronisk ID og signatur er markert som ett av de viktigste områdene for å muliggjøre overgang til elektroniske forvaltningstjenester. PKI Forums strategirapport beskriver forskjellige, alternative strategier, der ytterpunktene er fri konkurranse uten offentlig innblanding og full offentlig kontroll gjennom regulering og eventuelt etablering av en sertifikattjeneste i offentlig regi. Strategirapporten anbefaler en mellomvei med konkurranse i markedet, men der forvaltningen samordnet bruker sin kraft som kunde til å presse fram løsninger med samtrafikk. Det ønskede målet er da relativt få tilbydere av sertifikattjenester, men definitivt ikke noe monopol. I Norge skal en PKI-samfunnsinfrastruktur bygges ved utnyttelse av de kommersielle tjenestene som finnes i markedet. Dette er i tråd med strategier i en del andre land, men avviker fra land som Finland (offentlig sertifikatutstedelse til borgerne i regi av Folkeregisteret) og Danmark (offentlig rammeavtale med én leverandør av elektronisk ID til danske borgere). Det er selvfølgelig en risiko for at den norske tilnærmingen fører til løsninger som ikke kan spille sammen. En risikerer også at forskjellige deler av forvaltningen ender opp med inkompatible løsninger. Forvaltningen må derfor koordinere sin innsats. PKI Forums strategirapport peker på brukernytte som hovedgrunnlaget for en samfunnsinfrastruktur. Det anbefales sterkt at offentlige og private tjenestetilbydere (mottakere av sertifikater og digitale signaturer) etablerer samarbeid med tanke på å samordne krav til sertifikatleverandører og andre leverandører. En infrastruktur skal bestå av åpne sertifikattjenester, i den forstand at sertifikater enkelt skal kunne brukes til mange formål, og det skal være reell valgfrihet for brukerne med hensyn på valg av sertifikatleverandør. Strategirapporten setter fokus på et lite antall områder som «fyrtårn» i arbeidet med å få en infrastruktur på plass (se 3.9 og 4 for mer informasjon om initiativer innen områdene). Dette er: Offentlig innrapportering, der det er mange eksempler på signaturkrav, og der det er et enormt innsparingspotensial ved elektronisk innrapportering. Søknader og oppfølging av saksbehandling og vedtak. De fleste elektroniske søknader kan realiseres uten bruk av digitale signaturer, men signaturer vil være en fordel i mange tilfeller. Det 24 PKI Forum: «Strategi for en samfunnsinfrastruktur for elektronisk signatur og elektronisk ID i Norge», juni Nærings- og handelsdep.: «enorge 2005», mai Dokument: Status for PKI i Norge ved utgangen av 2004 Side 13 av 43

14 er også en del eksempler på søknader som må inneholde svært sensitiv informasjon, og der sterkere mekanismer enn brukernavn og passord vil være helt nødvendig. Innen helsevesenet, og kanskje spesielt primærhelsetjenesten, vil det være meget store innsparinger ved å gå over til elektronisk meldingsutveksling. Sektoren karakteriseres av et stort antall distribuerte aktører som utveksler mer eller mindre standardiserte meldinger med til dels meget høye sikkerhetskrav, inkludert krav om signatur. Arbeid pågår i regi av både Rikstrygdeverket, helseregionene og KITH 27 (Kompetansesenteret for IT i Helsevesenet). Bank- og finansnæringen har sterkt fokus på elektroniske løsninger, og potensialet for digitale signaturer og autentisering basert på elektronisk ID er stort. BankID-samarbeidet (se 4.7) adresserer dette området. For spill kan elektronisk ID og digitale signaturer gi det sikkerhetsnivået som egentlig er nødvendig for å spille på Internett. Norsk Tipping har allerede en løsning på plass (se 4.4). Posttjenester og mobile løsninger er andre områder som ansees som viktige. 3.6 Moderniseringsdepartementet og koordinering i forvaltningen Høsten 2003 opprettet AAD et koordineringsorgan for PKI i offentlig sektor, inkludert et sekretariat bemannet med to personer. Koordineringsorganet hadde ingen myndighet, men var et sted hvor aktører innen forvaltningen kunne møtes, utveksle synspunkter og eventuelt bli enige om felles standpunkter. Koordineringsorganets første oppgave var en kartlegging av situasjonen innen PKI i forvaltningen. Koordineringsansvaret og sekretariatet er nå overført til MOD som fra og med høsten 2004 har satt et betydelig trykk på arbeidet med å få PKI i bruk som en infrastruktur i samfunnet. Det vesentligste elementet i dette arbeidet er felles kravspesifikasjoner for forvaltningen (se 3.7). Som et nytt element i MODs handlingsplaner er «minside.no» lansert som en portal for tilgang til personlig informasjon tilpasset den enkelte borger. Elektronisk ID er et vesentlig element i dette. MOD har opprettet en ny «Gruppe for teknologiovervåkning og esignatur» under «Avdeling for IT-politikk» (sentrale deler av denne avdelingen er overført fra NHD ved opprettelsen av MOD). Opprettelsen av denne gruppa omfatter også overføring av aktiviteter og personell innen PKI og elektronisk signatur fra NHD og AAD til MOD, inkludert koordineringsorganet og forankringen av PKI Forum og SEID-prosjektet. Også MODs strategier forutsetter at de enkelte forvaltningsorganer skal ta utgiftene ved innføring og bruk av elektronisk ID og digital signatur i offentlige tjenester. Sentrale midler bevilges til koordinering, ikke til innføring. Imidlertid kan det være rom for ekstrabevilgninger over statsbudsjettet til forvaltningsorganer i prosjektsammenheng. Brønnøysundregisterne har fått en bevilgning på ca. 30 millioner kroner til videreutvikling av Altinn-tjenesten i 2005, og innføring av PKI og elektronisk signatur i Altinn er et vesentlig element i dette (og i MODs handlingsplaner sammen med tiltak rundt minside.no). Forsvarsdepartementet har i desember 2004 gitt klarsignal til å starte prosjekt for etablering av PKI for Forsvaret med en ramme på rundt 40 millioner kroner. Det er åpnet for (men ikke besluttet) at MOD skal kunne ha en instruksmyndighet overfor forvaltningsorganer når det gjelder anvendelse av felles spesifikasjoner og rammeavtaler. Dette skal sikre både at felles kravspesifikasjoner blir brukt, og at det faktisk blir omsetning på rammeavtalene. Rammeavtaler medfører ellers en betydelig risiko for leverandørene ved at det ikke er noen garantert omsetning. 27 Mer informasjon finnes hos KITH på Oversikt over prosjekter innen informasjonssikkerhet i helsesektoren på Dokument: Status for PKI i Norge ved utgangen av 2004 Side 14 av 43

15 3.7 Felles kravspesifikasjoner for forvaltningen MOD offentliggjorde 22. november 2004 felles kravspesifikasjoner 28. for elektronisk ID og elektronisk signatur som grunnlag for felles rammeavtaler for forvaltningen. Rammeavtaler forventes inngått i mars Kravspesifikasjonene er utarbeidet av en arbeidsgruppe 29 bestående av ti statsetater, tre departementer (bl.a. MOD som leder av arbeidet) og en storkommune (Trondheim). Spesifikasjonene har vært behandlet i en referansegruppe bestående av fem statsetater, to departementer og en storkommune (Oslo). Tre myndigheter (tilsyn) med ansvar innen området har vært observatører. Kravspesifikasjonene skal dekke behovet for elektronisk ID og signatur, og for konfidensialitet der dette behovet ikke dekkes på annen måte, i statlig og kommunal forvaltning i forbindelse med elektroniske tjenester (til borgere og næringsliv), innrapportering, dokumentutveksling (inkludert sikker epost) internt i det offentlige eller mellom offentlige og private, tilgang til data i sentrale grunndataregistre og saksbehandling i offentlige virksomheter. Det er lagt spesiell vekt på å dekke behovene til Altinn og helsenett. Eksisterende produkter og tjenester fra sertifikatutstedere bør ikke utelukkes av kravspesifikasjonen, men det er også viktig å følge internasjonale standarder og anbefalinger fra SEID-prosjektet (se 3.8). Gradert informasjon iht. Sikkerhetsloven skal ikke dekkes 30, og heller ikke bruk av PKI for attributtsertifikater, signering av programkode og sikring av nettverk. Det skal inngås rammeavtaler med en eller flere tilbydere. Hele offentlig sektor og noen private instanser (f.eks. som del av offentlig tjenesteyting) skal kunne benytte rammeavtalene. Etater som ønsker å gå ut med egne forespørsler, bør (men ikke skal) legge kravspesifikasjonene til grunn. Det kan også tenkes en godkjenningsordning der sertifikater og sertifikattjenester godkjennes i forhold til offentlig sektors krav. Det legges opp til ett kvalitetsnivå for virksomhetssertifikater (krav lagt nært opp til kvalifisert nivå) og to nivåer (ikke tre nivåer, se 3.3) for personsertifikater: «Person-Høyt» er kvalifisert sertifikat med smartkort el., mens «Person-Standard» kan være en ren programvareløsning som ikke krever personlig oppmøte for utlevering (kan gjøres ved post til registrert adresse i Folkeregisteret eller elektronisk ved eksisterende autentiseringsmekanisme), men som krever sjekk mot Folkeregisteret. Rammeavtaler må dekke to forhold: Innkjøp av sertifikater og tilhørende tjenester (f.eks. valideringstjeneste) til offentlig sektor selv hvilke sertifikater og tjenester skal forvaltningen selv benytte? Betingelser for aksept av sertifikater utstedt til andre, f.eks. til privatpersoner eller virksomheter i Norge hvilke sertifikater skal forvaltningen akseptere fra andre? Kravene til sertifikater er de samme, men det siste punktet dekker forvaltningen i rollen som sertifikatmottaker, jfr. diskusjon om åpne, avtalebaserte eller lukkede forretningsmodeller i 5.3. Kravspesifikasjonene legger implisitt (men ikke eksplisitt) opp til avtalebasert PKI ved at brukersteder har avtaler med sertifikatutstederne vedrørende bruk (mottak) av sertifikater. Brukersteder har behov for å kunne akseptere sertifikater fra alle sertifikatutstedere som har rammeavtale. Dette innebærer samtrafikk, og på dette punktet sier kravspesifikasjonene 31 at en offentlig tjenestetilbyder fortrinnsvis skal ha kun én avtalepart: Enten en sertifikatutsteder som igjen tar seg av avtaleforhold med andre sertifikatutstedere, eller en uavhengig valideringstjeneste. Det er vanskelig å se for seg at en sertifikatutsteder skal kunne ta en slik rolle uten at det etableres kryssertifisering mellom alle aktuelle sertifikatutstedere. Kryssertifisering ble 28 Se 29 Se og innledningskapitlet i selve kravspesifikasjonen for mer informasjon. 30 Nasjonal Sikkerhetsmyndighet (NSM) har utarbeidet en veiledning i PKI for graderingsnivåer opp tom. HEMMELIG. Se: Forsvarets PKI-prosjekt vil forholde seg til denne veiledningen framfor MODs kravspesifikasjoner. 31 Kravspesifikasjonene refererer til notat fra en workshop i SEID-prosjektet for samtrafikkmodeller. Se: Kun to av modellene, de som opererer med én avtalepart, aksepteres. Dokument: Status for PKI i Norge ved utgangen av 2004 Side 15 av 43

16 prøvd i Forvaltningsnettsamarbeidet (se 3.2), og erfaringene er slik at jeg anser det som helt urealistisk 32 å få til et altomfattende kryssertifiseringsregime i det norske markedet. For samtrafikk står en da igjen med valideringstjenester som foretrukket løsning. DNV og IBM (se 4.10) er de aktørene som først og fremst har markedsført denne type tjenester, men også andre aktører har liknende ideer. Det legges vekt på enkel systemintegrasjon og brukervennlige løsninger, og det stilles sikkerhetskrav til omgivelser hos bruker og brukersted. Kvalifisert signatur er opsjon siden dette i dag ikke leveres i det norske markedet. Enkel integrasjon med applikasjoner skal være mulig, men det stilles så vidt jeg kan se ikke absolutt krav om standard grensesnitt og protokoller. Sikker epost skal kunne støttes. For samtrafikk stilles det krav om at brukersteder skal kunne forholde seg til færrest mulig integrasjonspakker og helst har bare en integrasjon og ett grensesnitt til den ene PKI-leverandøren (se over) som brukerstedet har avtale med. Integrasjon inkluderer tilgang til kataloger og oppslagstjenester for sertifikater og tilbakekallingsinformasjon. Den eneste svakheten jeg finner ved kravspesifikasjonene er manglende fokus på systemintegrasjon. Fokus ligger primært på brukeraksess til tjenester og informasjon. Stikkord for systemintegrasjon er Web Services der informasjon sikres ved opprettelse av SSL-forbindelse mellom systemene og/eller utveksling av signerte og evt. krypterte XML-dokumenter. Anvendelser er f.eks. tilgang til grunndata der en tjeneste (offentlig eller privat) trenger sikker tilgang til informasjon i offentlige registre for i sin tur å betjene brukerne. Virksomhetssertifikater bør brukes her. Kravspesifikasjonene hindrer ikke dette, men en burde nok ha fokusert eksplisitt også på denne typen kommunikasjon. Jeg har ikke gjort noen grundig analyse av i hvor stor grad aktørene i markedet må gjøre endringer i sine nåværende løsninger for å oppfylle kravspesifikasjonene. Det som er klart, er at løsninger må være ganske åpne i forhold til tilgjengelighet av informasjon og integrasjonsløsninger. Spesifikasjonene tvinger aktørene til å samarbeide med tanke på å forenkle situasjonen for brukerstedene, enten dette gjøres gjennom felles integrasjonspakker lokalt i brukerstedene (et alternativ som imidlertid ikke oppfyller kravet om én avtalepart) eller gjennom integrasjon mot valideringstjenester som igjen integrerer med brukerstedene. Dette krever langt mer åpne forretningsmodeller enn sentrale aktører har i dag (se kapittel 5 for diskusjon), men det er uklart i hvor stor grad det krever endringer i tekniske løsninger. Støtte for sikker epost kan kreve endringer i en del eksisterende sertifikattjenester. Det store, åpne spørsmålet er da om leverandørene er villige til å tilpasse seg kravspesifikasjonene, og i tilfelle hvilke betingelser de kan tenkes å stille for å gjøre det (f.eks. økonomisk kompensasjon)? Alternativt kan leverandører tenkes å satse på å få til rammeavtaler selv for løsninger som ikke oppfyller kravspesifikasjonene godt nok, eller de kan (lite sannsynlig) la være å svare på den kommende utlysningen fra MOD. Det vil også bli spennende å se om andre enn dagens sentrale aktører kommer til å engasjere seg. Ett eksempel kan være Skandiabanken som faktisk har sertifikater i markedet på en løsning som er nær å oppfylle krav til «Person-Standard». 3.8 Samarbeidsprosjektet for elektronisk ID og signatur (SEID) PKI Forums strategirapport (se 3.5) inneholdt ikke noen brukbar handlingsplan for privat sektor, og det ble derfor nedsatt en «midlertidig prosjektgruppe» som leverte en handlingsplan i februar 2003 (se PKI Forums nettsted). Denne konkluderer med et samarbeidsprosjekt for å komme fram til hva som bør/må være felles for forskjellige løsninger med tanke på en sømløs samfunnsinfrastruktur. (Handlingsplanen peker også på behov for å utarbeide kriterier for hva som menes med åpne løsninger, og for tiltak for å øke utbredelsen av PKI uavhengig av et samarbeidsprosjekt. Det siste er fulgt opp gjennom å dreie fokus for PKI Forum selv mot informasjon og kunnskapsspredning.) Som oppfølging til dette tok NHD initiativ til opprettelsen av et samarbeidsprosjekt med deltagelse fra NHD og AAD (MOD har nå tatt over ansvaret) og de viktigste PKI-aktører (14 stykker) i privat sektor. Deltagerne bidrar med enten kr eller arbeidsinnsats tilsvarende denne summen, og NHD og AAD bidrar med økonomisk støtte. Det er opprettet et sekretariat lokalisert til MOD (opprinnelig NHD). 32 Se (kapittel fra NOUen «Uten penn og blekk») for argumentasjon. Dokument: Status for PKI i Norge ved utgangen av 2004 Side 16 av 43

17 Prosjektet har fått navnet Samarbeidsprosjekt for elektronisk ID og signatur (SEID 33 ). De tre første aktivitetene er: 1. Utarbeide forslag til norsk profil for (primært kvalifisert) personsertifikat og for virksomhetssertifikat (levert sommeren 2004, se SEIDs nettsted). 2. Utarbeide felles spesifikasjoner for tilgang til sertifikatstatusinformasjon, kataloger og tilleggsinformasjon, spesielt fødselsnummer (under publisering på tidspunkt for dette notatet). 3. Utarbeide norsk profil for signert objekt (påbegynt oktober 2004). Sertifikatprofiler for eksisterende løsninger i markedet spriker en del, og SEIDs anbefalte profiler gir derfor både enkelte valgmuligheter og forslag til overgangsordninger for å migrere eksisterende løsninger til anbefalt profil. Kvalifiserte sertifikater skal enten inneholde fødselsnummer eller en unik identifikator som entydig kan oversettes til fødselsnummer. Det siste alternativet unngår publisering av fødselsnummer sammen med sertifikatene og brukes av både BankID og ZebSign. Arbeidsgruppa for oppgave to konkluderte raskt med at det ikke var behov for ytterligere norske spesifikasjoner for tilgang til sertifikatstatus fordi internasjonale standarder er fullt dekkende og allerede brukt av eksisterende løsninger i Norge. Det samme gjelder (teknisk sett) tilgang til kataloger. Spesifikasjoner for tilgang til fødselsnummer basert på unik identifikator i sertifikater er utarbeidet. Arbeidsgruppe 3 tar utgangspunkt i spesifikasjoner fra ETSI og i BankIDs spesifikasjon av signert objekt. SEID-prosjektet utfører viktig arbeid som bl.a. er lagt til grunn for MODs kravspesifikasjoner, men prosjektet har også noen viktige begrensninger: SEID-prosjektet omhandler kun teknologi, ikke forretningsmodeller. Siden det er fullt mulig å etablere lukkede løsninger basert på åpen teknologi, er ikke SEID noen garanti for åpenhet. Samtrafikkløsninger er eksplisitt utenfor SEIDs mandat. Teknisk standardisering kan være en forutsetning for å oppnå samtrafikk, men samtrafikk forutsetter også forretningsmodeller som tillater samarbeid med konkurrerende leverandører. SEID-prosjektet utvikler ikke teknologi. Det er opp til hver enkelt aktør å følge opp spesifikasjonene i sine tjenester. SEID er et konsensusprosjekt, slik at det ikke vil bli fattet avgjørelser som i praksis ekskluderer løsninger fra enkelte aktører. Når det gjelder samtrafikk og samfunnsinfrastruktur, er det også delte meninger om i hvor stor grad løsningene trenger å ha felles spesifikasjoner. Noen aktører (i hovedsak DNV og IBM, se 4.10) hevder at en samfunnsinfrastruktur bør bestå av egne (validerings-)tjenester som kan håndtere heterogene løsninger. Dette forutsetter at aktørene har rimelig åpne løsninger både teknisk og forretningsmessig, og at tilgang til sertifikatstatus er mulig, men gir ellers større rom for individuelle variasjoner enn f.eks. løsninger med kryssertifisering eller broer Prosjekter og initiativer i offentlig sektor I det følgende presenteres en oversikt over prosjekter og initiativer i forvaltningen. Dette er ikke noen komplett liste, og det er heller ikke mulig å garantere at all informasjon er 100 % korrekt. Rikstrygdeverket har inngått en rammeavtale med ErgoGroup om levering av elektronisk ID og programvare for signering og kryptering for bruk i hele helsesektoren. Denne avtalen førte til at ZebSign etablerte sin CommunityID tjeneste (se 4.2). Det har vært svært liten omsetning på rammeavtalen, bl.a. fordi Legeforeningen protesterte mot at legene skulle betale for programvare og utstyr og nærmest nedla 33 Se 34 En diskusjon om tillitsmodeller er utenom rammene av dette notatet. Se f.eks. rapporten fra PKI Forums samtrafikkgruppe (PKI Forums nettsted), PKI CS Notat 3/2002 (se fotnote i 0), eller kapittel i NOUen «Uten penn og blekk»: Dokument: Status for PKI i Norge ved utgangen av 2004 Side 17 av 43

18 veto mot innkjøp fra legenes side. Det er i oktober 2004 tatt beslutning om en tilleggsbevilgning for å dekke (deler av) kostnadene for legene. Det er dokumentert behov for digitale signaturer for en hel rekke anvendelser innen helsesektoren. Rikstrygdeverket og helsesektoren ellers har kjørt flere pilotprosjekter, bl.a. for legeregninger fra primærleger til Rikstrygdeverket og for sykemeldinger. Elektroniske resepter er et annet aktuelt område. KITH (Kompetansesenteret for IT i Helsevesenet) har gjort utrednings- og spesifikasjons-arbeid for PKI i helsesektoren. Statens Lånekasse for Utdanning har gjort beregninger som viser et potensial på ca. 16 millioner kr. i årlig innsparing ved en helelektronisk saksbehandling (i tillegg kommer innsparinger på de enkelte universiteter og høgskoler bl.a. ved at en slipper utlevering av papirer). Dette forutsetter at elektronisk gjeldsbrev er implementert, og dette bør innebære (etter Lånekassens oppfatning) kvalifisert signatur. Det er kjørt pilotprosjekter (elektronisk søknad i 2002 og gjeldsbrev høsten 2003) ved høgskolen på Lillehammer (i 2002 også Gjøvik) i samarbeid med ErgoGroup og Buypass. Piloten har brukt en smartkortløsning basert på den teknologien som brukes for Norsk Tipping. Lånekassens mottakssystem er utviklet i tilknytning til Altinn (se nedenfor). Lånekassen hadde annonsert at elektronisk avtaleinngåelse skulle settes i produksjon for studenter ved Høgskolen på Lillehammer, Universitetet i Oslo og BI Sandvika vårsemesteret 2005, men dette er utsatt til høsten Den eneste løsningen (med utbredelse) i markedet som tilfredsstiller Lånekassens krav, er Norsk Tippings spillekort, og antagelig ble det til slutt ansett som «politisk uakseptabelt» å be studentene om å skaffe seg spillekort for å signere gjeldsbrev elektronisk. Som ett av flere alternativer er det sannsynlig at spillekortet vil være akseptabelt. Lånekassens piloter peker i retning av smartkort-studiekort. Dette har også vært utredet av Uninett AS i FEIDE-prosjektet 35, men sonderingene rundt muligheter for en felles kortløsning for norske universiteter og høgskoler har ikke ført til noen konkrete løsninger. Det brukes smartkort ved en del læresteder, men ikke med elektronisk ID (småpengesystemer er viktigste anvendelse). Arbeid med elektronisk ID ser ut til å få større oppmerksomhet i FEIDE framover, og en nyopprettet stipendiatstilling ved NTNU (delfinanisert av Microsoft) har som ett av sine formål å samarbeide med FEIDE om løsninger. FEIDE-prosjektet går fra nyttår 2005 over til å hete «FEIDE apparatet» for å markere overgang fra prosjekt til (primært) drift. Offentlig innrapportering er et område der det er dokumentert behov for digitale signaturer for en del typer rapporter. Mye kan gjøres med bare autentisering (f.eks. elektronisk selvangivelse med PIN-kode), men med kun en slik mekanisme vil det gjenstå en god del områder (f.eks. mange felter i papirselvangivelsen) som ikke kan gjøres elektronisk. Altinn-prosjektet (Skattedirektoratet, Brønnøysundregisterne, SSB) var spesifisert som et PKI-prosjekt, men av prishensyn ble det i første omgang valgt en løsning uten PKI (Accenture og Microsoft er leverandører). Brønnøysundregisterne har overtatt forvaltningsansvaret for Altinn 36, og det er i statsbudsjettet for 2005 gitt en bevilgning på ca. 20 millioner kroner som i stor grad skal gå til etablering av PKI-løsning for Altinn. Patentstyret har et system (levert av ErgoGroup og ZebSign) for elektroniske patentsøknader og oppfølging av søknader. Brukerne er patentkontorene, ikke patentsøkerne selv. Forsvaret har kjørt pilotprosjekter innen PKI, til dels sammen med Nasjonal Sikkerhetsmyndighet (NSM). Det er identifisert klare behov for elektronisk ID i Forsvaret, bl.a. i omstillingsaktivitetene i «Program Golf». I desember 2004 ser det ut til at Forsvarsdepartementet gir grønt lys for et PKI-prosjekt med oppstart i 2005 og rammer (over flere år) på rundt 40 millioner kroner. Betydning av dette prosjektet i en samfunnskontekst er avhengig av i hvor stor grad Forsvaret legger opp til samtrafikk (fra systemer for sikkerhetsgradert informasjon) mot sivile systemer. Det brukes en del løsninger for hjemmekontor med VPN og elektronisk ID, og til dels smartkort. Stortinget er en aktør som har en slik løsning i bruk (med smartkort). Statens Forvaltningstjeneste har etablert en fellesløsning for et antall departementer og andre offentlige virksomheter over hele landet. Det finnes en rekke pilotprosjekter, noen av dem har karakter av offisielle tjenester, innen kommunesektoren. Sektoren er det beste eksempelet på at prosjekter innen elektronisk ID og signatur har foregått ukoordinert: Dokument: Status for PKI i Norge ved utgangen av 2004 Side 18 av 43

19 Oppdal Kommune har vært pilotkommune for Postens løsninger, først basert på ZebSigns nettsentriske løsning med lokal bruk (se 4.2) og seinere med bruk av smartkort. Erfaringene er gode når det gjelder brukervennlighet og funksjonalitet, men borgerne bruker kommunale tjenester såpass sjelden at nytteverdien oppfattes som for liten av den enkelte. «Det Digitale Trøndelag» (DDT) omfatter en rekke kommuner i Trøndelags-fylkene (inkludert Trondheim) pluss begge fylkeskommunene i regionen og har valgt å basere seg på BankID (se 4.7). Dette arbeidet har vært støttet av Høykom-programmet til Norges Forskningsråd, og erfaringsrapporter fra prosjektet finnes på Høykoms sider 37. DDT har også stått bak integrasjon av BankID mot den elektroniske markedsplassen for offentlig sektor 38 (drevet av IBX AS på oppdrag fra Statens Forvaltningstjeneste det er IBX som samarbeider med BankID). En del andre kommuner og regioner, bl.a. interkommunalt samarbeid i Numedal og på Fosenhalvøya, har også basert sine løsninger på BankID. Oslo Kommune har kjørt en pilot med Validsign-teknologi (før Validsign ble kjøpt av IBM, se 4.10) der formålet var å finne ut om en gjennom en egen valideringstjeneste kunne få til en løsning som var åpen med tanke på bruk av forskjellige elektroniske IDer. Pilotbrukerne brukte Norsk Tippings smartkort (med noe tilleggsprogramvare), Skandiabankens nettbanksertifikater, Telenors mobil-pki og Postens eid gjennom et felles grensesnitt for pålogging og digital signatur mot et par testtjenester. Folloregionen startet med samarbeid med Telenor Mobil om løsninger både for kommunalt ansatte og for tjenester for kommunenes innbyggere basert på mobil-pki (se 4.5). Dette er seinere bygd ut til å dekke også andre PKI-løsninger. Løsningen likner på den som er prøvd ut av Oslo Kommune. Leverandør er Efactory. Stavanger kommune tester ut løsninger som tillater bruk av både BankID og ZebSign-løsninger gjennom tilleggsprogramvare som installeres lokalt i de enkelte systemene. Stavanger deltar ellers som en av mange kommuner (Bergen er også med) i interkommunalt samarbeid på Vestlandet innen området. En del kommuner ønsker at elektronisk ID og signatur skal håndteres gjennom Altinn. Det finnes antagelig også flere initiativer enn dette i kommunesektoren Oppsummering offentlige aktører Når jeg ser bort fra aktører som bare er brukere/kunder for (pilot-)prosjekter innen PKI, kan jeg oppsummere de viktigste offentlige aktørene innen PKI slik: MOD: Koordinering av PKI i forvaltningen bl.a. gjennom felles kravspesifikasjoner og rammeavtaler, PKI Forum sekretariat, sekretariat for SEID-prosjektet, enorge koordinering, regjeringens IT-strategi. Post- og teletilsynet: Tilsyn med utstedere av kvalifiserte sertifikater, standardisering. Rikstrygdeverket: Rammeavtale for PKI i helsesektoren, pilotprosjekter, innrapportering. Brønnøysundregisterne: Offentlig innrapportering (Altinn, Oppgaveregisteret). Statens Lånekasse: Viktig premissgiver for bl.a. bruk av kvalifisert nivå. I tillegg kommer aktører som Norsk Akkreditering (tidsstempling fra Justervesenet, sertifiseringsordninger), Nasjonal Sikkerhetsmyndighet (inkludert SERTIT for sertifisering av produkter og utstyr), Standard Norge (standardisering), Justisdepartementet (elektroniske pass mm.), flere aktører innen F6ED Dokument: Status for PKI i Norge ved utgangen av 2004 Side 19 av 43

20 helsevesenet (Sosial- og helsedepartementet, helseregionene/helsenettene, enkelte sykehus) og Forsvaret. Flere initiativer er diskutert, f.eks. tjenester fra Tolletaten, Politiet, Vegdirektoratet og andre. 4. Markedsaktører, privat sektor 4.1 Innledning Det er to store konstellasjoner innen PKI i Norge med henholdsvis ZebSign og BankID-samarbeidet som tyngdepunkt. ZebSign utsteder elektronisk ID fra sin infrastruktur, men opptrer ikke selv som leverandør i markedet. Rollen er som underleverandør, primært med eierne, Telenor og Posten (ErgoGroup), som leverandører. Merk også Buypass, eid 45 % av ErgoGroup og 45 % av Norsk Tipping. BankIDsamarbeidet er et standardiseringsprosjekt, men tilbyr også en operativ infrastruktur gjennom BBS. Markedskanal (mot sertifikatbrukere og for tjenester basert på BankID) er de enkelte bankene, som også formelt står som utstedere av BankIDer. Jeg ser på grupperingene rundt ZebSign og BankID i dette kapitlet og presenterer også andre aktører i det norske markedet, som NetCom, Skandiabanken, DNV og IBM. DNV og IBM samarbeider om løsninger spesifikt for brukersteder (sertifikatmottakere) og har ingen tjeneste for utstedelse av elektronisk ID. Merk at det er nærmest umulig å skille beskrivelsen av selve PKI-løsningene fra beskrivelsen av tjenestene som bygger på PKI-løsningene. PKI-løsninger markedsføres i dag så godt som utelukkende som deler av et tjenestetilbud, og oftest slik at PKI-løsningen i det hele tatt ikke nevnes (Telenor selger mobil ehandel, ikke mobil-pki, Norsk Tipping selger tipping på nett, ikke elektronisk ID i smartkort, bankene selger banktjenester, ikke BankID). Dette tror jeg er en fornuftig strategi i utgangspunktet fordi brukere ikke er interessert i, eller ønsker å forholde seg til, sertifikater og nøkler. Brukerne ønsker tjenester, og en PKI-løsning er brukervennlig når den forsvinner i tjenestene. Dette betyr ikke at jeg er for en låsing av PKI-løsningene til de spesifikke anvendelsene. En tjeneste (f.eks. banktjenester eller tipping) kan godt brukes til å få elektronisk ID ut til brukerne på en hensiktsmessig måte, men det betyr ikke at brukerne bør påføres restriksjoner i bruken. Når brukerne har fått sin elektroniske ID, er min holdning at denne bør kunne gjenbrukes i flest mulig sammenhenger (se 5.3 og 5.7 for noe mer diskusjon). Innholdet i resten av notatet reflekterer min grunnholdning på dette området. 4.2 ZebSign Både Telenor (først gjennom daværende Telenor Forskning, seinere kommersielle deler av Telenor) og Posten (ved SDS, seinere ErgoGroup 39 ) var meget tidlig ute med innsats innen PKI og tjenester basert på dette. Begge overvurderte nok markedet. Telenor hadde også noen satsninger som i ettertid har vist seg å være mislykket, spesielt basert på «nettsentrisk PKI med lokal bruk 40» ved en videreutvikling av Entrusts TruePass produkt. Denne PKI-løsningen skulle være en vesentlig komponent i portalen Doorstep som Telenor utviklet sammen med en del andre aktører. Doorstep feilet totalt uten at valg av PKI-løsning hadde noe med det å gjøre. 39 I november 2004 fusjonerte selskapene Ergo Solutions, Ergo Integration og Ergo Ephorma til ett selskap, ErgoGroup. Jeg bruker det nye navnet i dette notatet. 40 Basert på kryptert lagring av elektronisk ID (inkludert privat nøkkel) på en sentral server. Gjennom en dialog som bl.a. involverer et engangspassord sendt til brukerens mobiltelefon og tastet inn av brukeren i et web-grensesnitt, kan brukeren få overført elektronisk ID til lokal nettleser i form av en Java applet (via brukerstedet pga. begrensninger i rettigheter som normalt kan tilordnes en applet). Lokalt dekrypteres elektronisk ID vha. et statisk passord. Løsningens store svakhet er at den krever store tilpasninger på brukerstedene. Den store styrken er full mobilitet der brukeren kan benytte en vilkårlig maskin med nettleser (forutsetter Java), og at det ikke legges igjen spor på den maskinen brukeren benytter. Dokument: Status for PKI i Norge ved utgangen av 2004 Side 20 av 43