Evolution of MinID and the ID portal

Like dokumenter
ID-Porten bruk av elektronisk ID i offentlige tjenester på nett

Status for arbeidet med ID-Porten, eid i markedet

Nye felles løsninger for eid i offentlig sektor

Public roadmap for information management, governance and exchange SINTEF

Den europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo,

Samordning på tvers av land gjennom europeisk prosjektsamarbeid

Unit Relational Algebra 1 1. Relational Algebra 1. Unit 3.3

Prosjektet Digital kontaktinformasjon og fullmakter for virksomheter Digital contact information and mandates for entities

Information search for the research protocol in IIC/IID

Improving Customer Relationships

Horisont 2020 EUs forsknings- og innovasjonsprogram. Brussel, 6. oktober 2014 Yngve Foss, leder, Forskningsrådets Brusselkontor

Elektronisk innlevering/electronic solution for submission:

Little Mountain Housing

Elektroniske MEG! Hvordan Difi bidrar til utvikling av elektroniske tjenester. Servicekonferansen 2010

Monitoring water sources.

Administrasjon av postnummersystemet i Norge Post code administration in Norway. Frode Wold, Norway Post Nordic Address Forum, Iceland 5-6.

EN Skriving for kommunikasjon og tenkning

Emneevaluering GEOV272 V17

Hvordan føre reiseregninger i Unit4 Business World Forfatter:

Baltic Sea Region CCS Forum. Nordic energy cooperation perspectives

Du kan bruke det vedlagte skjemaet Egenerklæring skattemessig bosted 2012 når du søker om frikort.

Uke 5. Magnus Li INF /

Den som gjør godt, er av Gud (Multilingual Edition)

SUPPLIER UPDATE. September 23, 2015

Trådløsnett med. Wireless network. MacOSX 10.5 Leopard. with MacOSX 10.5 Leopard

KIS - Ekspertseminar om BankID

Endelig ikke-røyker for Kvinner! (Norwegian Edition)

2A September 23, 2005 SPECIAL SECTION TO IN BUSINESS LAS VEGAS

Elektronisk fakturering mellom bedrifter

TEKSTER PH.D.-KANDIDATER FREMDRIFTSRAPPORTERING

Standardiseringsrådet 17.3

Skjema for spørsmål og svar angående: Skuddbeskyttende skjold Saksnr TED: 2014/S

MID-TERM EXAM TDT4258 MICROCONTROLLER SYSTEM DESIGN. Wednesday 3 th Mars Time:

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

The Future of Academic Libraries the Road Ahead. Roy Gundersen

TEKSTER PH.D.-VEILEDERE FREMDRIFTSRAPPORTERING DISTRIBUSJONS-E-POST TIL ALLE AKTUELLE VEILEDERE:

Familieeide selskaper - Kjennetegn - Styrker og utfordringer - Vekst og nyskapning i harmoni med tradisjoner

Software applications developed for the maritime service at the Danish Meteorological Institute

En praktisk anvendelse av ITIL rammeverket

Digital Transformasjon

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Gaute Langeland September 2016

Søker du ikke om nytt frikort/skattekort, vil du bli trukket 15 prosent av utbetalingen av pensjon eller uføreytelse fra og med januar 2016.

Residency at Arts Printing House for Performing Artists

Søker du ikke om nytt frikort, vil du bli trukket 15 prosent av din pensjonsutbetaling fra og med januar 2014.

Øystein Haugen, Professor, Computer Science MASTER THESES Professor Øystein Haugen, room D

of color printers at university); helps in learning GIS.

Microsoft Dynamics C5 Version 2008 Oversigt over Microsoft Reporting Services rapporter

Norsk (English below): Guide til anbefalt måte å printe gjennom plotter (Akropolis)

Kartleggingsskjema / Survey

Han Ola of Han Per: A Norwegian-American Comic Strip/En Norsk-amerikansk tegneserie (Skrifter. Serie B, LXIX)

Jørn Kristiansen MET Norway.

Alt du trenger å vite om digital postkasse. Informasjon til ansatte i offentlig sektor

Gol Statlige Mottak. Modul 7. Ekteskapsloven

Ph.d-utdanningen. Harmonisering av krav i Norden

Praktisk bruk av BankID som signeringsfunksjon «Erfarte utfordringer og potensielle muligheter» Bedre, enklere og sikrere anbudskonkurranser

Bostøttesamling

SRP s 4th Nordic Awards Methodology 2018

Trust in the Personal Data Economy. Nina Chung Mathiesen Digital Consulting

Invitation to Tender FSP FLO-IKT /2013/001 MILS OS

Bestille trykk av doktoravhandling Ordering printing of PhD Thesis

Personvernreglenes betydning for stordata, analyse, AI, agreggerte data, etc

Trådløst nett UiT Feilsøking. Wireless network UiT Problem solving

EXAM TTM4128 SERVICE AND RESOURCE MANAGEMENT EKSAM I TTM4128 TJENESTE- OG RESSURSADMINISTRASJON

ATO program for Renewal of IR, Class or Type-rating

1 User guide for the uioletter package

Oppsummering av 1. call, hovedtrekk i 2. call

Stipend fra Jubileumsfondet skoleåret

Slope-Intercept Formula

Er du nysgjerrig på om det er mulig...

6350 Månedstabell / Month table Klasse / Class 1 Tax deduction table (tax to be withheld) 2012

Issues and challenges in compilation of activity accounts

Bærekraftig FM til tiden/ Bærekraftig FM på tid

PETROLEUMSPRISRÅDET. NORM PRICE FOR ALVHEIM AND NORNE CRUDE OIL PRODUCED ON THE NORWEGIAN CONTINENTAL SHELF 1st QUARTER 2016

European Crime Prevention Network (EUCPN)

Erfaringer fra en Prosjektleder som fikk «overflow»

Multimedia in Teacher Training (and Education)

UNIVERSITETET I OSLO ØKONOMISK INSTITUTT

Utfordringer med feil adresser

Smart High-Side Power Switch BTS730

Trådløsnett med Windows Vista. Wireless network with Windows Vista

Status for IMOs e-navigasjon prosess. John Erik Hagen, Regiondirektør Kystverket

Døgnopen forvaltning med MinID og ID-porten. Olav Skarsbø - olav.skarsbo@difi.no

CEF Digital Norge. Informasjonsdag 2015 Oslo, 25/2/2015. Tor Alvik

Exercise 1: Phase Splitter DC Operation

The regulation requires that everyone at NTNU shall have fire drills and fire prevention courses.

Hybrid Cloud and Datacenter Monitoring with Operations Management Suite (OMS)


TEKSTER PH.D.-KANDIDATER FREMDRIFTSRAPPORTERING

Fullmakt. Fornavn Etternavn. Statsborgerskap Fødselsdato. DUF Sted/Dato. Signatur søker Signatur verge (hvis søkeren er under 18 år)

Hva løser ID-porten?

Ny personvernlovgivning er på vei

Digitization of archaeology is it worth while?

HONSEL process monitoring

Trigonometric Substitution

UNIVERSITETET I OSLO ØKONOMISK INSTITUTT

Rapporterer norske selskaper integrert?

(see table on right) 1,500,001 to 3,000, ,001pa to 250,000pa

Forbruk & Finansiering

Dean Zollman, Kansas State University Mojgan Matloob-Haghanikar, Winona State University Sytil Murphy, Shepherd University

Transkript:

Evolution of MinID and the ID portal Jon Ølnes, jon.olnes@difi.no Difi Agency for Public Management and egovernment, Norway AF Security seminar, University of Oslo, 25 th January 2012

Difi og e-id-programmet

Difi skal Bidra til å utvikle og fornye offentlig sektor Styrke samordning og tilby fellesløsninger Målet vårt er At offentlig sektor skal ta i bruk Difi sine kunnskaper, virkemiddel og verktøy, noe vi bare kan oppnå i samhandling og dialog Godt samarbeid med resten av forvaltningen er den viktigste forutseningen for at vi skal lykkes Difi har et spesielt ansvar for fornying og utvikling av offentlig sektor på områdene IKT, anskaffelser, kommunikasjon, organisering, virkemiddelbruk og opplæring Direktoratet for forvaltning og IKT

Fra Difis mandat: Etablere ein felles infrastruktur for bruk av elektronisk ID (eid) i offentleg sektor Direktoratet for forvaltning og IKT

Digitalt førstevalg Samhandling med offentlig sektor skal som hovedregel være digitalisert. Egnede offentlige tjenester skal tilbys som digitale tjenester. Digitale tjenester skal være utformet etter brukerbehov og være effektive og sikre. Direktoratet for forvaltning og IKT

Store økonomiske besparelser Innbyggerens digitale henvendelser til offentlige virksomheter koster en brøkdel av telefonisk, personlig eller e-post henvendelse. Noen eksempler: Lånekassen - har halvert behandlingstiden fra 16 til 8 dager, antall telefoner har gått ned fra 1,5 mill. til 460.000. Altinn - Offentlige ansatte har sluppet å taste inn 50 millioner skjemaer som er sendt inn via Altinn siden 2004. Skatteetaten - 800 årsverk spart inn på forhåndsutfylte selvangivelser. Arendal kommune - én søknad om ambulerende skjenkebevilling koster 580 kroner. Digital behandling av samme søknad koster 40 kroner Digital behandling reduserte ventetiden fra 14 til 2 dager

eid the broad perspective A person s electronic identity is the collection of all electronic information that can be attributed to the person Identity management: Public agencies what information do they have? How is the information and information access secured? How is information management conducted? How can the information be re-used or not re-used across the public sector? How can I view (correct, delete) the information? How can I give consent (accept or deny) to use of the information?

A more narrow perspective (today s eid-programme) An eid proves your name For public services in Norway: Personal identification number from the National Population Register Uniform risk and quality levels 1-4 from merely identification to highest level PKI-based eid PKI-based eid can be used for: Authentication (verified identity) Signing and signature verification Encryption and decryption

eid in Norway (pop. < 5 million) MinID (MyID) Difi s common egov eid (open source) > 2.6 million users, used via ID-porten (the ID portal) One-time password based, medium security (level 3 of 4) BankID common solution for all banks > 2,7 million users, > 300 services (mainly bank, finance, payment) PKI-based, closed, proprietary solution, high security (level 4) Buypass smart card solutions > 2 million cards, mostly National Lottery cards, many services National Lottery cards issued at security level 3 (3DES, non-pki) Cards are easily upgraded to PKI-based (level 4), about 350.000 users Main model: Closed, proprietary but also open solutions Commfides small actor, open (and open source) solutions Aiming particularly at employee eid using USB sticks (level 4)

Federations ID-porten (the ID portal) About 800 services from 200 public service owners Supports MinID, Buypass, Commfides Authentication only at present Signicat portal Komplett.no and posten.no and more Supports MinID, BankID, Buypass, Commfides and several eids from Scandinavia and Northern Europe Authentication, signing and archive Nets portal Similar to Signicat Authentication, signing and archive focuses a lot on the two latter FEIDE common eid in higher education Password-based (level 2) Kalmar-2 union across Nordic countries

Have used Internet last 3 months, Norwegian population (Q2 2010) 100 90 80 70 60 50 40 30 20 10 0 Men Women Menn Kvinner 16-24 år 25-34 år 35-44 år 45-54 år 55-64 år 65-74 år Source: Statistics Norway

ID-porten and MinID

ID-porten (the ID-portal) common authentication to egov services Nasjonalt ID-kort National ID-card with eid is a future option Currently no agreement on use of BankID ID-porten authentication portal About 800 services from about 200 public agencies (about 130 federations)

Authentication via ID-porten Service SAML token identifying user, eid used and assurance level of eid Redirect to ID-porten Back-channel between service and ID-porten ID-porten Autenticate Set session cookie to enable single sign-on eid

Service requiring level 3 eid

Service requiring level 4 eid

Per month: Growth in use of ID-porten 3 500 000 3 000 000 2 500 000 2 000 000 1 500 000 2008 2009 2010 2011 1 000 000 500 000 0 Januar Februar Mars April Mai Juni Juli Aug. Sept. Okt Nov Des

100 % MinID % coverage by age 90 % 80 % 70 % 60 % 50 % 40 % 30 % 20 % 10 % 0 % 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 65 67 69 71 73 75 77 79 81 83 85 87

- bruksmønster use per hour of day 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

Experiences 14 million authentications in 2010 By end August 2011: 17 million authentications 17 million / 2.6 million users = average 6.5 per user Extrapolate to end of year: average 10 per user in 2011 Add services not yet using ID-porten Add expected potential for further growth egovernment services: Average use 20-25 times per year (?) Provided good, user friendly services And simple authentication with uniform user experience (does not have to be centralised)... and we used to learn egov just 2-3 times per year? Implications food for thought: Business case for government issued eid and for private eid issuers with agreement for use for public services? Business case for egovernment services?

Signatures

No common solution for Norwegian govenment EU e-signature Directive and Norwegian law defines three types of signatures: - Electronic signature (any way of proving consent) - Advanced signature (in practice PKI-based) - Qualified signature (advanced with additional requirements, e.g. SSCD Secure Signature Creation Device) Qualified signature has a guaranteed legal effect Other signatures MAY have a legal effect

Need for advanced signatures Qualified signature is not available in Norway (no SSCD) National level: No problem European level: Problematic ± 95 % of electronic processes can be completed by click to consent (with logging/audit requirements) ± 5 % of processes need advanced electronic signature Paper based process Paper process risk analysis Handwritten signature by person (only entity that can sign by hand) Digital process Digital process risk analysis Proper consent mechanism by the relevant entity (person or other)

Signing in ID-porten Should be a common service: - Send document from service to signing service - Redirect user - User selects eid to use and signs - Document sent back to service - User redirected bac - (With variants) Even better if signing service does not get to see document content but more complicated

Message encryption

Architecture, concept published July 2011, Difi note Encryption on user s equipment, decryption in systems of public agency as receiver Encryption in public agency, decryption on user s equipment Use in particular to transfer sensitive (personal) information by use of common components/services (reporting portals with form filling, mailboxes)

Kryptering hos offentlig virksomhet e-id-lev. 1 Katalog Sertifikat for fødselsnummer xxxxxxx? Offentlig virksomhet e-id-lev. 2 Katalog Innb. sertifikat Oppslagstjeneste ID-porten Alle gyldige sertifikater for f.nr. xxxxxxx Klartekst dokument, evt. signert Beskjed til innbygger Meldingsboks Legg i meldingsboks Krypter (i sak-/ arkivsystem?) Felleskomponent eller intern i virksomheten

Dekryptering hos innbygger Autentisering, pålogging til Meldingsboks ID-porten Applettjeneste e-id-lev. 1 ID-porten e-id-lev. 2 Applet Meldingsboks Dekrypter Last ned Java applet fra samme e-idleverandør som ved autentisering eid Lesebekreftelse sendes offentlig virksomhet

Kryptering fra innbygger til offentlig -- Hele skjema eller enkeltfelter fylles ut i applet hos brukeren -- Vedlegg ( brev ) på brukerens PC kan legges ved Vedlegg Applet Virk.- sertifikat Innsending, skjemaportal Velg mottaker Skjema Kryptert melding sendes til innsendingsløsning og videre til offentlig virksomhet. Skjemaportal har ikke innsyn i innhold. eid Krypter med virk. sert. Krypter også til egen e-id Kryptering til egen e-id muliggjør kryptert mellomlagring

Dekryptering hos offentlig virksomhet Dekryptering i fagsystem Offentlig virksomhet Dekryptering på grensen til off. virksomhet Fra innbygger Innsending Sak-/arkivsystem, fagsystem Database

Gevinster og utfordringer Sikrer lagret informasjon før utlevering lagring og overføring Kryptert lagring i meldingsboks (eller annet system) Skaden ved innbrudd/kompromittering begrenses systemer kan ha mye informasjon om mange personer Beskytter mot innsyn hos eksterne leverandører Leverandører av meldingsboks, eksterne nettverk, portalleverandører, driftsoperatører Reduserer kompleksiteten av databehandleravtaler Bidrar til beskyttelse mot innsyn fra interne angripere Brukerens meldingsboks som meldingslager over tid? Når brukerens e-id utløper, blir meldingen i utgangspunktet uleselig Utfordringer knyttet til virussjekk, brannmurer og liknende Hos virksomhet og ved levering til brukeren Brukervennlighet kan være en utfordring

Hvordan kan dette se ut? SLUTTBRUKER MOTTAR KRYPTERT MELDING

VARSEL

Innlogging til meldingsboks meldingsboks

Sluttbruker går inn i meldingsboks og trykker på lenken Vedtak sak 2011-0312 Ulest Kryptert Slett 01.06.2011 fra Andeby Skole Overstyr tilgang

Dokument og applet lastes ned i nettleser. Lås opp Lås opp dokument Sett Dokumentet inn smartkort er kryptert i kortleseren må låses opp med din e-id Åpne

Bruker taster PIN for å dekryptere Lås opp Lås opp dokument Tast PIN kode for å låse opp dokument Åpne

Dokument er dekryptert, og bruker kan lese det Lås opp Les dokument Sett Dokumentet inn smartkort er låst i kortleseren opp. Les

Bruker leser dokument Andeby Skole Til Donald Duck 0999 Andeby Doffen Duck 1931 70 2011

Hvordan kan dette se ut? SLUTTBRUKER KRYPTERER MELDING

Kryptering i skjema Det må finnes funksjon for kryptering og innsending. Presentasjon for bruker kan løses på ulike måter. Visuelt kan dette framgå som en integrert del av skjemaet, som under. Mine skjema Skjema, side 3/3: <Her fyller jeg inn sensitive personopplysninger i applet. Skjemaet er konfigurert slik at informasjonen krypteres med NAV som mottager>. Fortset t

Kryptering av vedlegg Samme konsept benyttes for innsending/videresending av filer (eks. legeerklæring er mottatt i meldingsboks, bruker dekrypterer og legger erklæringen som vedlegg i skjema til NAV). Lås opp Sett inn smartkort i kortleseren Send inn dokument Dra og slipp dokumentene du skal sende inn Bla gjennom

Kryptering av vedlegg (forts.) Lås opp Trykk fortsett for å sende inn Sett Dokumentet inn smartkort er kryptert i kortleseren og klart til å sendes inn Fortset t

Innsending Mine skjema Kryptering og forsendelse av skjema 2011-0312 var vellykket. Til bake til Mine skjema

Handling foreign users

The CIP ICT PSP LSP Projects Competitiveness and Innovation Programme ICT Policy Support Programme Large Scale Pilots Pilot A projects: Government agencies main participants participation from private sector allowed in some projects Not research but piloting of cross-border e-government services STORK: Identity (authentication, attributes) across Europe PEPPOL: Public procurement across Europe SPOCS: Supports Services Directive for services in open market (epsos: Health services across Europe) (ecodex: ejustice services across Europe) Norway: Co-ordinates PEPPOL Participates in epsos Active observer in SPOCS Not in STORK and ecodex Not in STORK means the scenarios shown will not be implemented in the short term Main challenge: Business case for cross-border services. Implementable today

Status of CIP LSP Contributions Many components necessary for cross-border services exist! Some important gaps limit operation may have to leave out some countries, user groups or services Main challenge: Quality and sustainability! 1. Quality (including security) of operational components and software varies from production quality to prototype quality. 2. Is continued existence and support (governance) of components after end of a CIP pilot project firmly settled? 3. Are specifications stable or subject to changes? 4. Who are the (commercial or other) actors supporting the solution? 5. Are alternative implementations available or just one?

The Main Gaps for Cross-Border Services 1. No cross-border, standardised naming (including identifier) of persons persistent, unique identification is needed 2. No cross-border, standardised naming (identifier) for enterprises this should be simpler than naming of persons 3. No standardised mapping of persons to roles and authorisations, e.g. business register interoperability is limited 4. Still a risk of incompatible requirements across countries, e.g. technical requirements that are difficult to fulfil from other countries 5. Still a risk of legal incompatibilities between countries?

STORK authentication and attributes process flow PEPS approach Middleware approach not described here ID-porten not shown 1) User (from Belgium) Altinn (in Norway) 2) User > (via ID-porten to) Norwegian PEPS, asks where are you from > Belgian PEPS > Authentication Portal in Belgium 3) User authenticates in Belgium using local eid 4) Belgian PEPS (or Authentication Portal) may add attributes (from Attribute Providers) 5) SAML token with ID and attributes from Belgian PEPS > Norwegian PEPS, to ID-porten, transforms to Norwegian SAML > Service Provider 6) User authenticated to service, attributes delivered

Relationship between ID-porten and Norwegian PEPS Public agency, service owner Service in Altinn Norwegian or foreign user? Altinn service platform Altinn portal Authenticate foreign user Authenticate any user Authenticate Norwegian user Norwegian PEPS, STORK system ID-porten authentication portal User

Authenticating (with attributes) foreign user step 1, initiating STORK Public agency, service owner Service in Altinn New user, must register Altinn service platform Altinn portal Request authentication with selected attributes Foreign user ID-porten authentication portal Foreign user, which country? Norwegian PEPS, STORK system Foreign user To home country

Authenticating (with attributes) foreign user step 2, STORK response Public agency, service owner Service in Altinn Altinn service platform User registration, pre-filled form from attributes Altinn portal Modified ID-porten SAML with foreign identifier and attributes ID-porten authentication portal Norwegian PEPS, STORK system Foreign user From home country PEPS

Mapping foreign identifier to D-number Update based on D-number Public agency, service owner Service in Altinn Altinn service platform Altinn portal Register of Business Enterprises SAML with D-number and possibly attributes Authenticated foreign user, possibly with attributes ID-porten authentication portal Foreign user From home country PEPS Population Register New user: Request D- number and establish mapping from foreign identifier attributes may be Existing used user: Map foreign identifier to D-number

Considerations 1. Consider each remote country individually: Is the necessary information (e.g. persistent identifier) available for handling users and/or enterprises from this country? May be countries that cannot be covered. 2. Increase number of countries handled as assessments are done. 3. Do not use for critical services for a start! Quality is uncertain, including security and availability. 4. Make a slow start and practice learning by doing.

Handling documents signed by foreign users Public agency, service owner WS interface Service in Altinn Altinn service platform Process signature in Altinn Altinn portal Upload signed document(s) for service Assess eid validity and quality by PEPPOL validation service PEPPOL VCD or SPOCS OCD doc. Package? Foreign user

Validation Service from PEPPOL specs. Official EU system in place but with some deficiencies Trust status list service Qualified CAs OCSP (or CRL) Other CAs Signer s CA Validation Service XKMS Validation Service Response signed by local VS XKMS Web Service, eid validation Signer Country 1 Norway 56 Altinn

Agency signs Public response agency, and service uploads owner to Altinn WS interface Sending document to foreign user in Altinn User logs on to retrieve message User s message box in Altinn Altinn service platform Altinn portal Authenticated user, foreign identifier Request authentication (no attributes) Foreign user ID-porten authentication portal Foreign user, which country? Norwegian PEPS, STORK system Foreign user esignature verification To home country

Public agency, service owner Agency signs response and uploads to Altinn WS interface Sending to foreign user via transport infrastructure User s message box in Altinn Altinn service platform User s profile set to forwarding Altinn Access Point Transport Infrastructure (BusDoX) Altinn portal Service Metadata Locator Message routing Service Metadata Publisher Country B User s message box in home country Foreign user esignature verification Access Point, secure delivery, user s home country Log on in home country to retrieve

Receive signed document from user via infrastructure Public agency, service owner WS interface Public agency s message box in Altinn Altinn service platform esignature verification Altinn portal Altinn Access Point Service Metadata Publisher Message routing Signed document from user (e.g. receipt confirmation) Transport Infrastructure (BusDoX) Service Metadata Locator Country B User s message box in home country Foreign user Access Point, secure delivery, user s home country

Authenticating (with attributes) Norwegian user to foreign service STORK Attribute Providers Population Register Register of Business Enterprises Other registers Authenticate using Norwegian eid ID-porten authentication portal Norwegian PEPS, STORK system Norwegian user Authenticated user with attributes Norwegian user from service (via PEPS) in other country

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding