Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt

Transkript

1 Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt Standardiseringsrådsmøte november 2011 Prioriterings/informasjons -sak

2 Om forprosjektet sett på de mest aktuelle anvendelsesområdene for e-id i og med offentlig sektor, hvor det er behov for forvaltningsstandarder Der hvor enkelt standarder peker seg ut i vesentlig grad, er disse omhandlet i rapporten på et overordnet nivå, drøftet betydningen av standardisering innen de ulike anvendelsesområdene anbefalt en prioriterte liste basert på poeng/score til hvert anvendelsesområde, for videre utredning Direktoratet for forvaltning og IKT

3 Vurderingskriteriene som benyttes er: Antatt effekt av å anbefale spesifikke standarder på området for offentlig sektor. Antatt effekt av å anbefale spesifikke standarder for brukere av offentlig sektor og samarbeidspartnere Standardenes modenhet Anslag på størrelsen av utredningsjobben

4 Avgrensninger For PKI-baserte e-id-er omhandles løsninger på sikkerhetsnivå 3 & 4 Ikke-PKI baserte e-id-er som statiske passord, engangspassord, biometriske løsninger omhandles ikke, da disse løsningene er ofte proprietære Av Ikke-PKI basert e-id-er er kun Idporten (MinID) omhandlet. Denne løsningen har stor utbredelse i Norge. (nivå 3) Spesialanvendelser som for eksempel signering av programvare, kryptering av lagringsmedier (harddisk på PC etc.) er aktuelle anvendelser som kan innebefatte bruk av e-id. Disse er imidlertid såpass begrensede og spesifikke at de ikke er omhandlet spesielt i denne rapporten

5 Vedlegg Innen områder der det særlig peker seg ut noen aktuelle standarder, er det i tillegg gjort en vurdering av disse i et eget vedlegg til denne rapporten. På noen områder er realiserte løsninger også omhandlet Dato Direktoratet for forvaltning og IKT

6 Aktuelle anvendelsesområder Autentisering for e-id Signering Kryptering Dato Direktoratet for forvaltning og IKT

7 Aktuelle anvendelsesområder for e-id - autentisering -Identitetshåndtering- Ulike e-id-er kan brukes (Ikke-PKI eller PKI basert) for å få tilgang til tjenester på forskjellig sikkerhetsnivå. For PKI basert e-id personsertifikat (fysisk person) virksomhetssertifikat (en juridisk person = et rettssubjekt som for eksempel en etat, kommune, aksjeselskap etc.) Autentisering kan gjøres ensidig (server) eller tosidig (klientserver) En sikker kanal opprettes, gjerne ved bruk av SSL/TLS Dato Direktoratet for forvaltning og IKT

8 Aktuelle anvendelsesområder for e-id - -Identitetshåndtering- Videreformidling av identitet mellom brukersteder Når en bruker har autentisert seg mot et offentlig brukersted, kan vedkommende omdirigeres til andre brukersteder uten å måtte autentisere seg på nytt Bruker ønsker selv å videresendes til andre offentlige web-tjenester Et brukersted omdirigerer en autentisert bruker til et annet brukersted Andre web-baserte identitetstjenester/funksjoner Deling av attributter (under brukerens kontroll) utføre spørringer etter spesifikke data (kalenderinformasjon) Stort potensiale for gjenbruk Autorisasjonstjenester Dato Direktoratet for forvaltning og IKT

9 Aktuelle standarder for e-id - -Identitetshåndtering- SAML2.0 er i stor grad brukt i løsninger av denne typen funksjonalitet Altinn Feide ID-porten Samme standard, men forskjellige profiler Samhandler ikke uten spesielle tilpasninger Ulike implementeringer Arkitekturvalg (distribuert vs. sentralisert)

10 Aktuelle anvendelsesområder for e-id -Signering- E-signatur benyttes for elektroniske løsninger som knytter en person (fysisk eller juridisk) til et dokument eller en handling. kan fremstilles på flere måter med bruk av ulike typer e-id-er passord og brukernavn, passordkalkulatorer, biometri, PKI Esignaturloven har definert 3 typer e-signaturer

11 Aktuelle anvendelsesområder for e-id -Signering- Elektronisk signatur (eller enkel signatur ) kan fremstilles på flere måter, med bruk av ulike typer e-id. For eksempel kan bruk av MinID i kombinasjon med andre mekanismer som logging etc. være en elektronisk signatur. Avansert elektronisk signatur er entydig knyttet til undertegneren kan identifisere undertegneren er laget ved hjelp av midler som bare undertegneren har kontroll over er knyttet til andre elektroniske data på en slik måte at det kan oppdages om disse har blitt endret etter signering. Kravspesifikasjon for PKI i offentlig sektor setter krav til sertifikat/nøkkelpar som skal benyttes for å lage en avansert elektronisk signatur

12 Aktuelle anvendelsesområder for e-id Kvalifisert elektronisk signatur -Signering- En kvalifisert elektronisk signatur er i utgangspunktet en avansert elektronisk signatur - basert på et kvalifisert sertifikat og et sikkert signaturfremstillingssystem. De overordnede kravene til kvalifiserte signaturer settes av EU direktivet.. En avansert signatur, kan med visse tilleggskrav være en kvalifisert elektronisk signatur. Kvalifisert signatur er ikke i bruk i Norge i dag (tilbys ikke av noen norske aktører pr. i dag).

13 Aktuelle anvendelsesområder for e-id -Signering- Mange signeringsformater og standarder XML DSIG PKCS #7 CMS PDF (Opprinnelig Adobe implementasjon) PAdES XAdES CAdES SEID SDO signeringsformat Forprosjektet har vektlagt PDF-signering og signering av XMLdata, ettersom disse områdene er i vekst

14 Aktuelle anvendelsesområder for e-id Signering av PDF-filer -Signering- et offentlig brukersted produserer et PDF dokument bruker signerer dokumentet elektronisk med sin personlige e-id PAdES er en aktuell standard Ivaretar behovet for langtidsvalidering Grensesnitt mot bruker eksisterer (visning av dokument) Signering og kryptering av XML-data XML er et bredt akseptert format for utveksling av data, og er plattform- og datauavhengig En XML-basert digital signatur kan brukes til å sikre dataene i XML-dokumenter. XML Signature (W3C), XAdES, ebxml er aktuelle standarder Dato Direktoratet for forvaltning og IKT

15 Aktuelle anvendelsesområder for e-id -Sikring av elektronisk kommunikasjon / sikre kommunikasjonskanaler - I forhold til kryptering ved kommunikasjon er det 3 generelle prinsipper som gjelder: Meldingskryptering Krypterte kommunikasjonskanaler (tunneller) Kryptering av felter/deler av en melding

16 Aktuelle anvendelsesområder for e-id -Sikring av elektronisk kommunikasjon / sikre kommunikasjonskanaler - Meldingskryptering Sikrer konfidensialitet gjennom hele transporten av en melding Brukersteder kan for eksempel benytte dette til å distribuere sensitive personopplysninger Noen anvendelser for meldingskryptering: E-post Filkryptering via meldingsboks Kryptering av meldinger ved system til system kommunikasjon med webservices Må sees i sammenheng med annet arbeid i Difi Løsningskonsept for meldingskryptering - Difi-notat 2011:2 Meldingsboks BEST

17 Aktuelle anvendelsesområder for e-id -Sikring av elektronisk kommunikasjon / sikre kommunikasjonskanaler - Krypterte kommunikasjonskanaler/vpn også kalt sesjonskryptering eller transportkryptering - krypterer og dekrypterer trafikk ved endepunktene i en kommunikasjonslinje Meldingen eksisterer i klartekst ved inngangen og utgangen til den krypterte kommunikasjonskanalen. SSL/TLS og IPsec er eksempler på protokoller som benyttes for krypterte kommunikasjonskanaler Kryptering av skjema/skjemafelter på web Gunstig å bruke hvor deler av et XML dokument skal krypteres XML-Enc (W3C)

18 Konklusjoner (prioritert liste) 1. PDF-signering. Fokus på standarder som kan gi støtte for langtidsvalidering. PAdES standardene er spesielt aktuelle. 2. XML-signering og kryptering. Hovedvekt på XAdES standarder og på standarder med støtte for langtidsvalidering for signering, samt standarder for kryptering av skjema/skjemafelter på web. Fokus også på løsninger for system-system kommunikasjon og signering (spesielt ebxml og helsevesenets løsninger) 3. Standarder for oppsett av sikre kommunikasjonskanaler og for bruk av VPN i offentlig sektor. 4. Meldingskryptering. Utredning av standarder knyttet til løsninger for meldingskryptering. Utredning anbefales å ta utgangspunkt i rapport: Løsningskonsept for meldingskryptering - Difinotat 2011:2 samt forprosjektrapport Standardisering av krypto i offentlig sektor. 5. Identitetshåndtering. Videreformidling av identitet mellom brukersteder (SAML). Fokusere på behov for å utarbeide egen nasjonal profil. Utredning anbefales også å inkludere vurderinger i forhold til behov for standardisering av attributt-tjenester (bl.a. ID-WSF). Ettersom ID-porten allerede delvis håndterer dette, prioriteres denne noe ned i forhold til de andre områdene (selv om anvendelsen i seg selv kan anses som vel så viktig som de andre). Dato Direktoratet for forvaltning og IKT

19