PKI. Obligatorisk oppgave 1 i INF5210. Gruppe 3. Torstein Risnes Kjersti Vormedal Rasmus Andersen Rune Kristian Viken

Transkript

1 PKI Obligatorisk oppgave 1 i INF5210 Gruppe 3 Torstein Risnes Kjersti Vormedal Rasmus Andersen Rune Kristian Viken

2 Innhold: INNLEDNING... 3 PKI-INFRASTRUKTURENS MÅL, BAKGRUNN OG HISTORISKE UTVIKLING... 3 TJENESTER OG FUNKSJONER... 8 AUTENTISERING... 8 SIGNATURER... 9 KONFIDENSIALITET... 9 GJELDENDE RAMMEVERK OG PLANLAGT UTVIKLING AV PKI BEGRUNDELSE AF, HVORFOR PKI ER EN INFORMATIONS INFRASTRUKTUR: ANT ANALYSE AV UTVIKLINGEN AV INFRASTRUKTUREN AKTØR NETVÆRK OBLIGATORISK PASSAGEPUNKT ANALYSEN AKTØRERNE Udviklere Tjenesteudbydere Brugere KFP Staten PKI NETVÆRKET LITTERATUR:... 22

3 Innledning Vi har valgt å skrive om PKI i Norge. Vi har sett på infrastrukturens mål, bruksområder og utvikling. Vi har beskrevet PKIs mulige tjenester, funksjonalitet og andre bruksmessige egenskaper, samt kartlagt eventuelle brukergrupper. Videre har vi skrevet om infrastrukturens tekniske oppbygging, egenskaper og standarder. Vi har også sett på hvilket rammeverk PKI i Norge er knyttet til i dag, og litt om planlagt utvikling. Til sist har vi foretatt en analyse, der vi forklarer hvorfor PKI er en infrastruktur. Vi har også brukt ANT (Actor Network Theory) som et verktøy for å analysere utviklingen av infrastrukturen. Kildematerialet vårt er i stor grad basert på artikler hentet fra PKI-Forum 1. Vi har intervjuet Endre Grøtnes, som arbeider i prosjektgruppen Koordineringsorgan for PKI i offentlig sektor. Endre Grøtnes holdt og en forelesning i inf5210 som omhandlet tekniske aspekter ved PKI og planlagt innføring av PKI i Norge. Vi har benyttet disse forelesningsnotatene i oppgaven, som et supplement til intervjuet. PKI-Infrastrukturens mål, bakgrunn og historiske utvikling PKI er et opplegg for elektronisk legitimasjon og signatur. Når vi kan legitimere oss og signere avtaler over Internet på en sikker måte kan vi få tilbud om en lang rekke tjenester som vi i dag må møte opp personlig for å få gjennomført 2. Fornyelse og effektivisering har lenge vært tilstedeværende på den politiske dagsorden. Blant viktige tiltak for å fornye offentlig sektor fremheves døgnåpen forvaltning som et sentralt virkemiddel. Døgnåpen forvaltning skal levere offentlige tjenester på en kostnadseffektiv måte og på brukernes premisser uavhengig av tid og sted 3. For å kunne nyttiggjøre seg av overgangen til en døgnåpen, elektronisk forvaltning, er det behov for å gjøre elektronisk dokumentbehandling like sikker som samhandling ved hjelp av

4 papirdokumenter. Noen vil hevde at en fornyelse er en gyllen mulighet til å faktisk bedre sikkerheten i forhold til papirbasert samhandling. Et offentlig utvalg ble i 2000 utnevnt for å utrede bruk av digitale signaturer i elektronisk samhandling med og i forvaltningen. Utredningen som ble lagt frem i mars 2001 foreslo enkelte sentrale fellestiltak i tillegg til en rekke tiltak på frivillig basis som den enkelte virksomhet i utgangspunktet må dekke selv. Blant annet ble det anbefalt å opprette et nytt utvalg for å samordne for forvaltningens felles behov. Det ble også anbefalt en etablering av et Forum for digitale signaturer for forvaltning, næringsliv og leverandører i tillegg til at det ble et mål om å få inngått avtaler med aktører i markedet om utstedelse av sertifikater. Muligheten for å åpne for stimuleringsmidler for å fremme bruken av digitale signaturer i elektronisk samhandling med og i offentlig forvaltning. Begrunnelsen for disse forslagene var å bidra til at hele området for sikker elektronisk forvaltning og kommunikasjon kan hjelpes fram, uavhengig av tid og geografi. Utvalget hevdet at gjennomføringen av disse tiltakene ville føre til bedre og mer effektiv tilgang til sikre elektroniske tjenester fra det offentlige både for enkeltpersoner og næringsliv, og bety en effektivisering for det offentlige selv. Utvalget ønsker videre et demokratisk tilbud som alle kan ta del i slik at man unngår en situasjon hvor løsningene bare blir nyttige for ressurssterke. Elektronisk saksbehandling og elektroniske tjenester vil ifølge utvalget ha nytteeffekter knyttet både til innsparinger for forvaltningen selv og for kommunikasjonspartnere samtidig som kvaliteten på offentlige tjenester vil bli bedret. Med kvalitetsforbedringer menes det først og fremst raskere saksbehandling og bedre tilgjengelighet uavhengig av sted og åpningstid. Det blir også hevdet at det i mange tilfeller vil elektroniske tjenester innebære mindre risiko for feil for eksempel i datagrunnlaget for en saksavgjørelse. Utredningen peker på at det finnes tjenester som ikke bør tilbys elektronisk uten digitale signaturer og sertifikater, og at det i andre tilfeller er snakk om vesentlige kvalitetsmessige forbedringer for tjenester tilknyttet til bruk av digitale signaturer.

5 Det er imidlertid ikke bare tilbudet det offentlige må ta hensyn til. Kostnadseffektivitet er et begrep som også forvaltningen må ta i betraktning. Elektroniske offentlige tjenester er avhengige av et visst volum når det gjelder bruk for å være kostnadseffektive. Innsparingene gjennom mer effektiv behandling og mindre volum på manuelle rutiner rundt papirhåndtering må overskride kostnadene ved å tilby tjenestene elektronisk. Et problem når det gjelder å øke volumet har vært at utbredelsen av konkrete løsninger har gått langsomt. Man håper at elektroniske tjenester tilbudt fra det offentlige kan gi større etterspørsel etter sertifikattjenester og det blir pekt på at en del offentlige institusjoner er langt fremme(fx skatteetaten og Rikstrygdeverket). Det er en politisk målsetting at forvaltningen fornyes og effektiviseres innen rimelig kort tid, men at det må gjøres på en forsvarlig og kostnadsmessig måte. I lys av dette må en anse forvaltningen som en målbevisst, men samtidig noe forsiktig pådriver. Det offentlige er ikke bare interessert i fornyelse når det gjelder en samhandling som er nevnt over. Bruk av elektronisk handel i det offentlige skal bidra til at kostnadene ved anskaffelser synker betraktelig og at kvaliteten i de offentlige anskaffelsesprosessene heves. Det er derfor tatt et sentralt initiativ for å opprette en markedsplass for det offentlige. I en stortingsmelding(nr 41) fra om elektronisk handel og forretningsdrift pekes det på mulighetene til at offentlige initiativ og iverksetting av elektronisk handel innen det offentlige kan ha positive ringvirkninger også for privat sektor. Det offentlige går til anskaffelser for milliarder årlig. Når mye av dette etter hvert blir gjort gjennom elektronisk handel, vil dette føre til at flere private aktører som er interessert i å ha det offentlige som kunder, vil bli nødt til å komme i gang med ehandel for i det hele tatt være aktuelle tilbydere.. Dette uttrykkes i regjeringens enorge2005 som noe som vil fremme anvendelsen av elektronisk handel med det offentlige som en krevende kunde. På markedsplassen ehandel.no vil det bli lagt til rette for bruk av sertifikater og PKI-baserte sikkerhetsløsninger for å autentisere brukere på Markedsplassen ehandel.no på virksomhetsnivå. Et mål er at 50% av alle offentlige

6 kjøpstransaksjoner skal gjennomføres ved elektroniske anskaffelsesprosesser innen utgangen av Det understrekes ved forskjellige anledninger at det offentlig bruk og tilrettelegging av PKI er et middel for at privat sektor skal komme tidligere og raskere med i utviklingen av en infrastruktur. PKI gjør det mulig for en samfunnsmessig effektivisering for alle elektroniske tjenester, men der er selvsagt utfordringer for at PKI skal kunne lønne seg. Det er blant annet problematisk å gjøre eid og elektronisk signatur allment tilgjengelig innen rimelig tid samtidig med at et stort nok antall tjenester tar dette i bruk. En kritisk masse av brukere bør raskt kunne oppnåes raskt for å dekke investeringskostnader. Siden nytten er størst hvis alle kan benytte samme infrastruktur, anbefaler PKI-forum at man koordinerer innføringen av kommersielt tilgjengelige, standardbaserte løsninger i tilstrekkelig mange elektroniske tjenester med god appell og nytteverdi for brukere. Brukere er definert som bedrifter, borgere og andre. For å prøve å unngå ulemper som vanligvis hefter seg ved monopoler, ønsker man at der er konkurranse om tilbydelsen av PKI-løsninger. Veien å gå ifølge PKI-forum, er en middelvei i forhold til ukoordinert eller tung offentlig styrt utvikling. Stimulering av aktuelle aktører blir gjort bl.a. ved finansiering av utvikling av løsninger. Denne finansieringen er åpen for dem som ønsker å tilby PKI-løsninger. Det blir imidlertid da krevd av aktørene at de retter seg etter de standarder som staten mener er fordelaktig. Dersom taktikken med å få private tilbydere av PKI.løsninger ikke lykkes og myndighetene ønsker en rask innføring av PKI på grunn av samfunnsmessige konsekvenser, er muligheten til stede å bruke Det Norske Forsvars ekspertise på området for å innføre løsninger kjapt og koordinert. Markedet og interessen innen privat sektor er utvilsomt til stede. Ifølge undersøkelsen IT Security Priorities in a Brave New World 5, setter 72 prosent av europeiske og nordiske virksomheter sikkerhet øverst på listen over viktige it-anliggender. It-sikkerhet

7 gir dessuten mulighet til å utvikle nye tjenester, spesielt når det dreier seg om e-business. Tilbakemeldingene fra selskapene viser også at de mener it-sikkerhet kan lede til nye utviklingsmuligheter, spesielt når det dreier seg om e-business. Store organisasjoner ønsker dessuten å bruke it-sikkerhet for å styrke sin profil i markedet. Internasjonal politikk har også innvirkning på de valg som må taes vedrørende PKIinfrastruktur. OECD (Organisation for Economic Co-operation and Development) vedtok i 1997 retningslinjer for kryptopolitikk. Disse utgjør ikke bindende rettsregler; de har en veiledende status. I disse retningslinjene er bruk av krypto knyttet til spørsmål om tillit til krypto, brukernes valg av kryptometoder, markedsdrevet utvikling, standarder, personvern, rettshjemlet adgang til kryptert materiale, ansvar og internasjonalt samarbeid. Gjennom retningslinjene har de 29 medlemslandene i OECD understreket betydningen av at man på global basis har felles normer for bruk av krypto. Målet er at retningslinjene skal få en normativ rolle og samtidig fungere som god veiledning, og gi grunnlag for tiltak i de enkelte land og over landegrensene. Målgruppen er primært offentlige myndigheter, men med en forventning om at retningslinjene vil bli bredt lest og fulgt i både privat og offentlig sektor. Nærings- og handelsdepartementet anser retningslinjene som viktige, og anbefaler at de blir lest og tatt i aktiv bruk 6. Noen av de sentrale anbefalingene er at medlemslandene samrår, samordner og samarbeider på nasjonalt og internasjonalt plan om iverksettingen av Retningslinjene, videre at de fjerner utilbørlige hindringer for internasjonal handel og utviklingen av informasjons- og kommunikasjonsnettverk eller unngår at kryptopolitikk i seg selv skaper slike hindringer. Retningslinjene til OECD er altså rådgivende, mens Norges nåværende situasjon gjør at vi må følge resolusjoner som blir vedtatt i EU. Norge har ikke muligheten til å være med direkte med i utformingen av disse og har heller ikke tilgang til de fora der beslutninger angående PKI blir vedtatt. Våre nordiske naboer, og da spesielt Danmark er vår informasjonskanal og talerør i disse prosessene. Direktivene er imidlertid rammeverk som av noen er blitt oppfattet som en diktering av utviklingen av en PKI-infrastruktur i 6

8 Norge. Etter hvert har det vist seg at direktivene på de fleste områder er ganske romslige rammeverk som gir rom for nasjonale hensyn. Tjenester og funksjoner En PKI kan tilby flere tjenester og funksjoner. De viktigste er autentisering, digitale signaturer samt kryptert kommunikasjon. Disse tjenestene kan igjen brukes ved tjenestetilbud fra både det offentlige og det private over internett og andre kommunikasjonsmedier. Eksempler som kan nevnes er selvangivelse over nett og nettbanktjenester. PKI slik det er tenkt implementert i Norge baserer seg på det man kaller sertifikater - nærmere bestemt x509-sertifikater. Disse har en offentlig og en privat del. Den offentlige delen deles med hele verden, mens den private delen holdes godt skjult hos den/de som har fått den utstedt. Det er gjennom avansert matematikk og samspillet mellom disse sertifikatene at man får de forskjellige tjenestene. Mer om dette i eget avsnitt. Autentisering Autentisering vil si at noen beviser at de er den de utgir seg for å være - eksempelvis tradisjonellt sett ved hjelp av et brukernavn og et passord. Dette kan være problematisk da passord kan være enkle å gjette seg til, samt at man gjerne har forskjellige passord for forskjellige tjenester. Ved autentisering presenterer man et sertifikat som er signert av en sertifikatutsteder sitt sertifikat. Sertifikatutsteder garanterer på den måten at du er den du utgir deg for å være. Videre vil den man autentiserer seg ovenfor sjekke sertifikatet mot sertifikatutsteder, for å finne ut om det er blitt trukket tilbake eller ei.

9 De som har bruk for autentisering er potensiellt sett mange. Faktisk alle som kan ha bruk for å med sikkerhet fastslå hvem som forsøker å benytte seg av tjenesten - eksempelvis banker, forsikringsselskap, lånekassen, studieregistreringstjenester, og mange andre. Signaturer Som tidligere nevnt er PKI basert på sertifikater - hvor den ene delen er offentlig og den andre delen er privat. Ved hjelp av kryptografi kan man lage en såkalt "hash" av meldingen som signeres og kryptere denne med det private sertifikatet - den krypterte hashen blir så lagt med meldingen som er signert. En mottaker kan deretter dekryptere hashen ved hjelp av den offentlige nøkkelen, og sjekke om denne matcher den hashen man selv får ved å lage en hash av meldingen. Hvis den gjør det har man fått en garanti for at meldingen er signert av den som innehar et visst sertifikat. Signaturer kan blant annet benyttes av enhver som ønsker å forsikre andre om at han er avsender av visse s, det kan benyttes for å (bindende) signere dokumenter elektronisk. "Alle" kan ha behov for begge deler. Konfidensialitet Informasjon som utveksles kan i mange tilfeller være av konfidensiell karakter - og bør ikke kunne åpnes av andre enn mottakeren. Eksempler på dette er pasientjournaler, finansdata og tilsvarende. Dette løses ved å kryptere informasjonen før den sendes. Man krypterer informasjonen med mottakerens offentlige sertifikat, noe som fører til at den eneste som kan åpne informasjonen er mottakeren med sitt private sertifikat. Områder hvor dette vil være nyttig er som tidligere nevnt helsevesen og finans, men også rettsvesen, konfidensielle dokumenter hos forskjellige firmaer, og så videre. En privatperson vil kanskje ønske å kryptere deler av sin egen harddisk.

10 Gjeldende rammeverk og planlagt utvikling av PKI På det nåværende tidspunkt finnes det relativt få leverandører av PKI-løsninger og bruken av digitale signaturer er lite utbredt. De fleste anvendelser av PKI i Norge i dag er en form for lukket PKI. Hovedgrunnen til dette er at markedet og løsningene for en åpen PKI ikke er godt nok kjent eller utviklet. Måten PKI er etablert på i Norge i dag, er slik at markedet fungerer som utsteder av sertifikater, ikke de offentlige etatene. Dette oppmuntres av det offentlige, som ønsker en markedsstyrt utvikling. Hovedaktørene i dagens marked er Posten, Telenor og bankvesenet. Norsk Tipping har også et pilotprosjekt der noen pilotbrukere tipper via internett. Helsesektoren arbeider også med innføring av PKI. Siden det ikke finnes noen direktiver for utviklingen av PKI, vil det derfor også finnes ulike løsninger. Dette vil ikke umiddelbart få konsekvenser for markedet, men det er et uttalt mål at løsningene skal være så like som mulig slik at offentlige myndigheter kan motta alle signaturer. Det finnes en rekke retningslinjer og krav for bruk av signatur i lover, forskrifter og regelverk. Lov om elektronisk signatur 7, som trådte i kraft 1. juli 2001, har lagt til rette for sikker og effektiv bruk av digitale signaturer og fjernet en del av hindringene knyttet til dette. Loven gjelder for sertifikatutstedere som er etablert i Norge og regulerer rammebetingelsene for bruk av kvalifiserte elektroniske signaturer. Blant mye annet tar også loven for seg krav til virksomheten. Lovens 10 sier at Utstedere av kvalifiserte sertifikater skal utøve og administrere virksomheten på en forsvarlig måte slik at den kan tilby sikre, pålitelige og velfungerende sertifikattjenester. Sertifikatutstederen skal til enhver tid ha tilstrekkelige økonomiske ressurser til å kunne drive virksomheten i henhold til kravene som er stilt. Et annet viktig dokument er Forskrift om elektronisk kommunikasjon 8 med og i forvaltningen, fastsatt 28. juni Denne forskriftens formål er å legge til rette for sikker og effektiv bruk av elektronisk kommunikasjon med og i forvaltningen. Den tar sikte på å fremme forutsigbarhet og fleksibilitet og legge til rette for samordning av sikre og hensiktsmessige tekniske løsninger

11 Med disse lovvedtak finnes det ikke lenger noen store, juridiske hindringer for å ta i bruk elektronisk kommunikasjon med elektronisk signatur i Norge, Dette er derfor en essensiell del av det rammeverket som setter betingelser for innføringen og bruken av PKI. Utviklingen av informasjonsteknologi i Norge er underlagt EUs direktiver og rammeverk. Vi er ikke beslutningstakere når det gjelder internasjonal utvikling av informasjonssamfunnet. Det betyr at arbeidet med å innføre PKI vil måtte rette seg etter de internasjonale standarder som blir bestemt. Regjeringens overordnete IT-politikk beskrives i enorge 2005-planen 9. Planen ble lagt fram av Nærings- og handelsdepartementet, som er ansvarlig for IT-koordineringen mellom ulike sektorer. Hovedmålet i denne planen er at innen utgangen av 2005 skal forholdene være lagt til rette for en allmenn bruk av standardbaserte elektroniske signaturer. Regjeringen skal videre arbeide for etableringen av en samfunnsinfrastruktur for elektroniske signaturer i Norge. Det er en generell oppfatning at Norge bør være en del av det globale informasjonssamfunnet. Planen enorge er derfor en direkte oppfølger av EU sin eeurope plan, som er en viktig del av EUs strategi for utvikling av det europeiske informasjonssamfunnet. Mye av ansvaret for utviklingen av enorge er lagt til PKI-forum 10. Dette forumet er et dialog- og samarbeidsforum for de ulike aktørene i næringslivet og forvaltningen som kan dra nytte av innøringen av elektronisk ID og signaturer. PKI-forums overordnete mål er å fremme alle de tjenestene PKI kan muliggjøre, ikke PKI-teknologien i seg selv. De ønsker å sette fokus på nytteverdien av PKI med økt verdiskapning, konkurranseevne og mer effektiv ressursbruk. For å oppnå denne forståelsen av hva PKI kan tilføre samfunnet, er det nødvendig at alle egnede tjenester, både private og offentlige, skal tilbys elektronisk. Det er og viktig at alle, forbrukere,

12 bedrifter og offentlig forvaltning, skal kunne bruke elektroniske løsninger på en enkel måte og med riktig sikkerhetsnivå til de ulike tjenester. PKI-forum publiserte 20. juni 2002 rapporten Strategi for en samfunnsinfrastruktur for elektronisk signatur og elektronisk ID i Norge 11. Denne rapporten beskriver en handlingsplan for å etablere en samfunnsinfrastruktur for elektronisk signatur og eid i Norge. En slik samfunnsinfrastruktur er grunnleggende for at teknologien skal kunne utnyttes fullt ut til økt verdiskapning og styrket konkurranseevne. Det er en rekke faktorer som må avklares for å få til en vellykket innføring av PKI i Norge. En av disse er å skape tillit og etterspørsel etter PKI, dvs. å skape et marked. Økt tilgang til elektronisk ID og signatur vil styrke konkurransekraften og gjøre det mer akseptert å bruke elektroniske hjelpemidler i verdiskapning. For å skape et velfungerende marked kreves det en åpen infrastruktur som er sikker og kan bidra til utvikling av markedet, slik at det preges av konkurranse og et mangfold av aktører og tjenester. Utformingen av en samfunnsinfrastruktur for eid og signatur bør være basert på hensynet til brukernytte. Når offentlige sektor og sentrale aktører i markedet samarbeider om å utvikle en infrastruktur skal dette foregå på frivillig og forretningsmessig bakgrunn. Denne infrastrukturen skal støtte en åpen PKI med interoperabilitet og samtrafikk for eid og signatur. Alle som ønsker å være en aktør i dette markedet må være innstilt på bruk av åpne, internasjonale standarder. Sertifikatutstedere må ha nødvendig tillit, noe som bl.a. kan oppnås gjennom registrering hos Post- og teletilsynet. En av de største utfordringene vil være å finne en markedsmessig tilnærming som fremmer ett interessefelleskap mellom tilbydere av løsninger og brukere, basert på åpenhet, frivillighet og en vinn-vinn situasjon for alle parter. Det vil være naturlig å utvikle ulike forretningsmodeller for ulike tjenester. I noen tilfeller kan det være hensiktsmessig å tilby et årsabonnement for bruk av PKI-tjenester. I andre sammenhenger er det mer interessant at tjenesten koster hver gang den blir brukt. Et essensielt punkt er å finne tjenester egnet for PKI som også er interessante for brukerne. Det er viktig å 11

13 klassifisere ulike tjenester, slik at de kan samordnes og gjenbrukes. En motivasjonsfaktor for de private aktørene er at hvis de klarer å samordne sine tjenester er myndighetene villige til å kjøpe pakken. I PKI-forums strategirapport belyses en del hindringer som kan forsinke innføringen av PKI i Norge. Først og fremst finnes det en del økonomiske aspekter. PKI innebærer ny teknologi, rammeverk, dokumentasjon osv. Dette vil kreve mye ressurser og en utfordring er å vise at det går an å implementere en fullt funksjonell PKI i løpet av kort tid. Problematikken vedrørende kritisk masse er også en faktor. Hvordan få mange nok til å bruke PKI, slik at det blir lønnsomt. Høna og egget-problemstillingen er relevant. Vil potensielle sertifikatinnehavere anskaffe sertifikater før de har nok interessante bruksmuligheter? Samtidig vil ingen tjenesteleverandører investere i åpne PKI-løsninger før det finnes nok brukere som vil benytte tjenestene deres. Det finnes også tekniske hindre. Det meste av PKI programvaren inneholder proprietære løsninger, slik at brukere ofte må binde seg til en enkelt leverandør av programvare og tjenester. Bruk av PKI kan ofte kreve spesiell programvare hos brukeren og det stilles høye krav til brukerens datautstyr. For å oppnå en fleksibel PKI løsning kreves ofte kjernesystemer som er komplekse, og dermed kan være dyre i drift og kostbare å anskaffe seg. Kunnskapsmessige hindre finnes også. Mange av de potensielle brukerne vil ikke forstå PKI-teknologien. Dette fører til utrygghet og motvilje til å bruke mulighetene PKI gir. En annen faktor er mangel på kompetanse i organisasjoner som vurderer å innføre PKI. Disse vil da kanskje heller velger trygge løsninger. PKI-forums strategirapport nevner også en del faktorer som kan fremme bruk av PKI. Statlige initiativer inkluderer enklere offentlig innrapportering, en kontinuerlig jobbing for å bedre infrastrukturen og rammebetingelsene, opplæring i PKI ved norske universiteter og en synliggjøring ovenfor beslutningstakere av fordelene ved PKI. Ved å sette fokus på åpenhet og oppmerksomhet rundt sikkerhetstrusler vil det særegne og fordelaktige ved PKI komme tydeligere fram. Det vil også forsøkes å stimulere ulike

14 markedsmessige forhold, bl.a. ved konkurranse blant tjeneste- og PKI-leverandører. I tillegg vil nytten av PKI-løsninger bli fremhevet. Siden PKI er i startfasen i Norge har det kontinuerlig vært fokus på hva som skal gjøres og planene framover. Arbeidet med innføringen av PKI fortsetter hele tiden. PKI-forum har opprettet ulike arbeidsgrupper med forskjellige målsetninger. Strategigruppa vil utvikle strategier og handlingsplaner for å få til en harmonisert bruk av PKI-baserte løsninger som gir flest mulig nyttige tjenester for brukere i Norge. Kommunikasjonsgruppa vil bidra til å øke kunnskapen om og tilliten til PKI-løsninger i samfunnet. Kunnskapen skal tilrettelegges for ulike målgrupper, i et samarbeid mellom myndighetene, eid og tjenesteleverandører. En gruppe vil ta seg av forbrukerspørsmål, dvs. å kartlegge nåværende og framtidige forbrukerinteresser og behov. Samtrafikkgruppa har som mål å fremme samarbeid slik at interoperabilitet og gode samtrafikksløsninger oppnås så fort som mulig. Juss- og regelverksgruppa vil gi innspil til myndigheter vedrørende behov for regulering som vil bidra til gode og forutsigbare regler og rammeverk for sikker elektronisk samhandling og bruk av PKI. Begrundelse af, hvorfor PKI er en informations infrastruktur: For at begrunde hvorfor PKI er en infrastruktur må vi starte med en definition af, hvad en informations infrastruktur er. Til det formål vil vi trække på de argumenter der er blevet fremført i undervisningen. Hvad er en Informaitons Infrastruktur (II)? A substructure or underlying foundation basic installations &facilities to support various ICT applications Includes various type of hardware, basic software, also general information, as standards and classification codes; furthermore people and organisation resources that support the infrastructure. Hanseth (1997,1998 and 2002, 1) illustrates that information infrastructures are characterized by being open in the sense that there is no limit to the number of users, shared within a community of people, evolving in that they reinforce themselves through growth in numbers of users, number of sub-structures etc., standardized through allowing different solutions working on different sub-levels connecting them with gateways (Figure 2) and heterogeneous in the

15 sense that it is a multidimensional through allowing ecologies of infrastructures to interact, being technical or non-technical participants in the underlying foundation. 12 For at PKI kan betegnes som en II må den altså opfylde følgende betingelser: Den skal være en substruktur eller en underlæggende basis, der støtter diverse IKT applikationer. Strukturen indeholder både software, hardware, mennesker, organisationer og regler der støtter infrastrukturen. Hele ideen med PKI Norge er at der bare skal være en fælles standard til verificering af indentitet. Denne struktur gør det muligt for udviklere af tjenester der kræver personlig identificering, at udvikle software baseret på strukturen. På den måde undgår de at bruge ekstra ressourcer på at udvikle specifikke identifikationsapplikationer. For den almindelige bruger betyder strukturen at det kun er nødvendigt med ganske få nøgler til identificering, og således er det lettere for brugerne at anvende forskellige applikationer fordi de ikke skal have nye nøgler. For at en Informationsinfrastruktur som PKI kan oprettes kræves der en række aktører for at holde den kørende. Således består Infrastrukturen både af software til konstruktion af den, hardware til udbredelse af den (netværk, pc ere, routere osv), mennesker til at benytte den, organisationer til at udvikle den og en række love og regler som forhindrer misbrug og sætter standarder for PKI. Ole Hanseth har en række karakteristika for Informations Infrastrukturer vi vil i det følgende afsnit gennemgå kriterierne punkt for punkt. Åben Delt Under udvikling Standardiseret Heterogen Åben: Den eneste begrænsning der ligger på PKI Norge er at brugerne skal være norske statsborgere, der er ikke grænser for antallet af brugere. 12 Foiler fra gruppetimen - df

16 Delt: Infrastrukturen er delt på den måde at den knytter forskellige brugergrupper sammen. Således muliggør PKI f.eks. at et telefonselskab kan tilbyde sine kunder onlinetjenester, der før f.eks. krævede en signatur og kan på den måde dele forskellige informationer med kunderne. Under udvikling: udbredelsen af strukturen afhænger i høj grad af den udvikling der sker indenfor den. Hvis der hele tiden bliver udviklet nye tjenester der benytter PKI vil antallet af potentielle og reelle brugere også stige, hvilket igen gør det attraktivt for firmaer at udvikle applikationer til infrastrukturen. Standardiseret: Ideen med PKI Norge er at lave en standardiseret nøgle til identifikation af personer. En standard nøgle vil gøre det betydeligt at udvikle applikationer hvor personlig identifikation er nødvendig. Under brugerniveau kan flere forskellige varianter af standarden eksistere uden at infrastrukturen falder sammen af den grund. Heterogen: Som II bevæger PKI sig på flere forskellige niveauer dels det programtekniske hvor den anvendes som gateopener i samarbejde med applikationer, men også på humant plan hvor Infrastrukturen tjener som kommunikations agent mellem forskellige netværk. Man kan således ikke hævde at PKI er en ren teknisk infrastruktur, lige så vel som man ikke kan hævde at den er en personlig infrasturktur. Den trækker på elementer fra begge dele og kan interagere med infrastrukturer fra begge steder. ANT analyse av utviklingen av infrastrukturen Før analysen påbegyndes vil vi komme med en redegørelse for vores opfattelse af de centrale begreber Aktør, Netværk og Obligatorisk Passagepunkt Aktør Elementerne i et netværk kaldes for aktanter, eller aktører, afhængig af deres status i interaktionen:

17 We use actant to mean anything that acts and actor to mean what is made the source of an action. 13 Begreberne er inspireret fra semiotikken og er ikke begrænset til at beskrive mennesker. Begrebet aktør er her ikke nødvendigvis lig med et handlende subjekt for ANT forsøger at finde frem til et vokabular, der ikke privilegerer humane elementer frem for nonhumane elementer og omvendt. Aktanter er derfor alt, som kan handle eller præge handling, og aktører bliver skabt, når man omtaler noget som kilden til handling. Ozonlaget bliver på den måde en aktør i det øjeblik, man gør den til en partner i debatten om global økologi 14 Netværk Dette begreb dækker over en mere abstrakt forståelse for sammenhænge og mediering og har intet med den mere populære og tekniske forståelse af ordet at gøre. Begrebet var tænkt som en måde at komme uden om strukturelle begreber som samfund og institution. I forbindelse med udbredelsen af Internettet synes alle mennesker efterhånden at forstå begrebet ud fra den tekniske/populære brug af ordet. Den populære opfattelse af begrebet bygger på ideen om, at computere (eksempelvis) i netværk har umiddelbar og simultan adgang til informationen i netværket. Netværket er en delt ressource, hvor information transporteres uden deformation, og alle derfor har umediereret adgang til netværkets information. Når man taler om netværk inden for ANT, så har begrebet nærmest den modsatte betydning. Grundlæggende bygger begrebet på Deleuze og Guattar s begreb rhizome, som for dem betyder en serie af transformationer 15. Netværk betegner således alle de medieringer eller transformationer, som er med til at generere netværket. Det har ingen udstrækning i rum, ingen spatialitet, men skal forstås som en kæde af transformationer, der binder de elementer, det består af, sammen. 13 Slutnote 11 i Latour 1992 p Latour 1994, p Latour 1999, p. 15

18 Man kan altså ikke løsrive begreberne netværk og aktør/aktant fra hinanden, da de på mange måder er del af den samme proces. Netværket er ikke en struktur, hvori aktørerne er placeret, og som bestemmer deres adfærd på makroniveau. I stedet genereres netværket i kraft af relationer eller transformationer imellem aktører, medens disse på samme tid kun bliver til bestemte entiteter i kraft af deres placering i denne kæde af transformationer. Netværk betegner det, der producerer aktører som effekter af transformation. En anden sociolog, John Law, siger i en beskrivelse af ANT følgende om netværk og aktører:..an actor is a patterned network of heterogeneous relations, or an effect produced by such a network 16 Begrebet skal derfor ikke tænkes som en del af den klassiske sociologiske distinktion imellem struktur og agent, eller imellem makro og mikro, men nærmere som et forsøg på at vige uden om disse klassiske skel. En aktør kan ligeledes i sig selv være et netværk af andre aktører, som igen er netværk af aktører. Ved at anvende denne anskuelse har man mulighed for at zoome ind og ud i netværket alt efter hvilken aktør man ønsker at beskrive. 17 Obligatorisk Passagepunkt Obligatory passage point defineres som en aktør, hvis position i netværket gør den uundværlig for en eller flere andre aktører i relation til en helt tredje aktør. Betydningen af et obligatory passage point kan altså læses ud af de relationer, som den indgår i på et givent tidspunkt 18. Et eksempel på et sådant kunne være en fangevogter. Hvis denne mand er i besiddelse af den eneste nøgle til et fangehul, så er han et obligatory passage point for folk, der vil ind eller ud af fangehullet. Men for kongen - som har ansat fangevogteren har han ikke denne status. Kongen kan jo bare fyre fangevogteren og/eller inddrage nøglen, hvis han vil ind i fangehullet. Kongen er derimod et obligatory passage point for fangevogteren i forhold til hans tilhørsforhold til fangehullet. 16 Law (1992). 17 Ciborra et al. (2001) p Latour 1987, p.129

19 Obligatory passage points beskriver altså de (magt)relationer, der kan findes i et netværk på et givent tidspunkt og fra en given vinkel. Analysen udarbejdes med udgangspunkt i Koordineringsorganet for PKI i den offentlige sektor (KFP) og ser på dets position i netværket. Først en opgørelse over forskellige aktører i netværket. Aktørerne Udviklere: Her tænkes der på de toneangivende udviklere dvs. de udviklere der har størst sandsynlighed for at få deres version af PKI gennemføre Endre Grøtenes anser det ikke for sandsynligt at der bare bliver en enkelt udvikler af PKI teknologien - der er for stor uenighed om placering af ansvar både juridisk og økonomisk til at det kan lade sig gøre, men KFP vil arbejde for at der bliver så få producenter af teknologien som muligt for at sikre en mere enkel infrastruktur. I øjeblikket er de udviklere der er længst fremme med PKI teknologien post, tele og banksektoren, der udvikler hver sin standard. Tjenesteudbydere: Tjenesteudbydere er alle de firmaer der udvikler artefakter der benytter sig af PKI s infrastruktur. En udvikler kan også godt være tjenesteudbyder, men en tjenesteudbyder kan ikke være udvikler. Det kan sammenlignes med Microsoft, der laver et styresystem og samtidig en række applikationer der benytter styresystemet som base andre firmaer kan også udvikle til Microsofts styresystem hvis de overholder de standarder som Microsoft har lagt ind, men de kan ikke udvikle styresystemet. Brugere: Alle der har adgang til Internettet vil i princippet også have adgang til den informationsinfrastruktur PKI tilbyder, hvis de ellers opfylder de kriterier der fremstilles af udbydere det være sig softwaremæssigt, hardwaremæssigt, juridisk e.l. Konstant tilvækst af nye brugere er en forudsætning for fortsat udvikling af infrastrukturen, da flere bruger avler flere udbudte tjenester, der igen avler flere brugere osv. KFP: Koordineringsorganet for PKI i den offentlige sektor er et udvalg der blev nedsat med det erklærede mål at undersøge infrastrukturens muligheder og at udnytte de

20 kommercielle tiltag til at få offentlige tjenester indført. På den norske stats vegne skal gruppen forsøge at trække udviklingen af PKI i en retning der gavner staten og dermed også borgerne mest muligt et led i dette forsøg er at minimere antallet af udviklede certificeringsmetoder. Staten: Som vi tidligere skrev, så kan man ikke adskille begreberne aktør og netværk fordi de er en og samme ting Den norske stat kan både ses som aktør og som aktørnetværk en aktør i dette netværk er f.eks. KFP der er nedsat af staten. En anden aktør indenfor staten er de love og regler den lovfæster. Disse love er med til at danne en ramme for udformningen af PKI. F.eks. for hvornår det er nødvendigt at benytte en personlig signatur og hvilke personlige oplysninger denne signatur må indeholde. PKI: Her set som aktør ud fra et teknologisk synspunkt PKI er en sammensat aktør, der består af forskellige programdele der arbejder sammen. Således er den digitale signatur ikke bare en enkelt software stump, men summen af en række aktører der indgår alliancer og danner netværk. Netværket For at en Informations Infrastruktur som PKI-Norge kan opstå kræves det at en lang række aktører både humane og nonhuman indgår i alliancer. Ud af de forhandlinger der sker i alliancerne dannes netværket/infrastrukturen som hverken kan siges at være rent menneskelig eller rent teknisk. Som vi tidligere har anført, så må der software, hardware, love og regler til at skabe en informations infrastruktur. Set ud fra at aktør netværks synspunkt udgør disse aktører dog kun en del af netværket omkring PKI, da en II uden udviklere, tjenesteudbydere og brugere er ligesom en vej uden biler. Den er et middel ikke et mål. KPF s mission i netværket er at indgå alliancer med så mange som muligt af udviklerne for at kunne styre udviklingen af PKI i retningen af en brugbare løsning for den norske stat, så staten kan udbyde tjenester der understøttes af infrastrukturen. I nogle henseender kan man sige, at KPF er et obligatorisk passagepunkt mellem staten og de kommercielle

21 udviklere hvis udvikleren vil have statsstøtte til udvikling af PKI må de gå igennem KPF, ligesom staten ved nedsættelsen af KPF lader kommunikation omhandlende PKI gå igennem KPF. Denne magtposition kan KPF udnytte til at bevæge udviklingen af PKI i en for staten ønskværdig retning. Det er nemlig attraktivt for en udvikler hvis staten tilbyder tjenester der understøttes af udviklerens infrastruktur det sikrer en større tilgang af brugere, der igen gør det til en god forretning at videreudvikle strukturen. På baggrund af dette kan det konkluderes at Infrastrukturens udvikling ikke bare sker på det maskinelle plan det sker i hele aktør netværket.

22 Litteratur: Ciborra, Claudio et al: From Control to Drift The Dynamics of corporate information infrastructures Oxford University Press 2001 Latour, Bruno: Latour, Bruno: Latour, Bruno: Latour, Bruno: Law, John: On Recalling ANT. Law, J. & Hassard, J.(Ed.). Actor Network Theory and After. Blackwell Publishers, Oxford, 1999 Science in Action. How to Follow Scientists and Engineers through Society Harvard, MA: Harvard University Press, 1987 Shaping Technology/Building Society: Studies in Sociotechnical Change Where are the Missing Masses? The Sociology of a Few Mundane Artifacts. Massachusetts:MIT Press, 1992 Pragmatogonies A Mythical Account of How Humans and Nonhumans Swap Properties American Behavioral Scientist vol 36, no. 6, 1994 Notes on the Theory of the Actor Network: Ordering Strategy and Heterogeneity. Lancaster University,