1 / 33

969

969. PKI – hva er det og hva kan det brukes til? Litt om åpne standarder mv. Katarina de Brisis Avdelings for IT-politikk. Nettverkssamfunnet. Norge har en svært nettorientert befolkning. Share of households with Internet-connection

zalika
Télécharger la présentation

969

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 969 PKI – hva er det og hva kan det brukes til? Litt om åpne standarder mv. Katarina de Brisis Avdelings for IT-politikk

  2. Nettverkssamfunnet Norge har en svært nettorientert befolkning Share of households with Internet-connection Source: OECD, ICT database and Eurostat, Community Survey on ICT usage in households 2002, June 2003. Included in the OECD Information Technology Outlook 2004

  3. eNorge 2009 - offensiv politikk for IT-samfunnet • Enkeltmennesket i det digitale Norge • En samordnet og brukertilpasset offentlig sektor • Innovasjon og vekst i norsk næringsliv

  4. En samordnet og brukertilpasset offentlig sektor • Kommunikasjon internt i det offentlige skal skje elektronisk • Felles og forpliktende politikk for bruk av åpne standarder • Felles og obligatorisk sikkerhetsportal og standard for bruk av PKI

  5. Asymmetrisk kryptografi - digital signatur AVSENDER MOTTAKER Sender Signerer Verifiserer Avtale om.. Med hilsen Avtale om.. Med hilsen Offentlig signeringsnøkkel Privat signeringsnøkkel Sender Signerer Verifiserer 23700yyGhNNjZZ0868 Sender tilbake Privat autentiseringsnøkkel Offentlig autentiserinsgnøkkel Sender Krypterer gZZ45xxxCYY 9i6hhbg Dekrypterer Avtale om.. Med hilsen Offentlig krypteringsnøkkel Privat krypteringsnøkkel

  6. Hvordan virker digital signatur

  7. P Sertifi-serings- autoritet Nøkkel- generator Katalog forespørsel om sertifisering kort Kortutsteder kort m/ sertifikat eller kun sertifikat kort P Registrerings- autoritet Navneautoritet Leverandør av kortleser kort m/sertifikat Lokalt system med kortleser P=personalisering

  8. Åpen PKI tillitsmodell Tilsyn Sertifikatutsteder Statusinfor-masjon om utsteder Sertifikat status informasjon Et sikkert system Sertifikatpolicy, profil (standard) Sjekk utsteder- status Sjekk sertifikat- status Sertifikat Peker til sertifikatpolicy (OID)= tillitsnivå Mottaker eller valideringstjener Signatar/ avsender Signatur Sert. Nøkkellager, programvare for bruk av EID Nøkkellager, programvare for bruk av EID

  9. Kommunikasjons- behov Sertifikatmottaker (Tjenestetilbyder) Sertifikatholder Tjenesteavtale Tjenesteavtale Interbank regler VA-forespørsel Bank (Sertifikatkontroll) BankID-infrastruktur

  10. Hvorfor elektronisk ID og –signatur (PKI)? • Det har blitt stadig klarere at en infrastruktur for elektronisk ID og signatur er avgjørende for å realisere mange nye elektroniske tjenester. • Det er vanskelig og dyrt å rulle ut og vedlikeholde nye sikkerhetsmekanismer, og offentlige virksomheter kan ikke gjøre dette hver for seg. • Borgere har allerede altfor mange passord og PIN-koder å forholde seg til. Dette må forenkles. • Elektronisk ID og signatur er den sikkerhetsmekanismen som møter fremtidens krav til sikkerhet og funksjonalitet.

  11. Anvendelsesområder Person- sertifikater Virksomhets- sertifikater • Web-tjenester for publikum, autentisering og signering, formidling av vedtak fra forvaltningen • E-post fra publikum til forvaltning • Utveksling av informasjon/dokumenter mellom offentlige virksomheter • Pålogging som ansatt eller som profesjonell • Signering av meldinger, som ansatt eller som profesjonell, direkte eller indirekte Virksomhets- sertifikater Virksomhets- sertifikater Person- sertifikater anskaffet i yrkes-sammenheng

  12. Web-tjenester for publikum Sjekk av nettstedets SSL-sertifikat Pålogging / autentisering Signering Offentlig nettsted Borger Sesjon som sikres (krypteres) med SSL Personsertifikat brukt til autentisering mot web-tjeneste og evt. signering

  13. Personsertifikat brukt til pålogging på nettsted eller signering av epost Mottagers virksomhetssertifikat eller SSL brukes for kryptering E-post mellom publikum og forvaltning Offentlig nettsted Signert/ autentisert Melding over web Borger Signert og kryptert Melding som epost Postmottak/ ekspedisjon

  14. Eget Virksomhets- sertifikat (privat signeringsnøkkel) Eget Virksomhets- sertifikat (privat krypteringsnøkkel) Sikker utveksling av informasjon og dokumenter mellom offentlige virksomheter Postmottak/ ekspedisjon Postmottak/ ekspedisjon Signert og kryptert melding ( epost ) Saksbehandler Saksbehandler Adresseliste m. mottageres Sertifikater (offentlig krypterings nøkkel) Eksempel 1 :Manuell bruk av sertifikat i ekspedisjon og postmottak Signeres med avsenders Virksomhetssertifikat, krypteres med mottagers.

  15. Sikker utveksling av informasjon og dokumenter mellom offentlige virksomheter Arkiv-/ saksbehandlingssystem Arkiv-/ saksbehandlingssystem Saksbehandler Saksbehandler Signert og kryptert melding Modul for automatisert sikker postgang Modul for automatisert sikker postgang (epost / web services / filutveksling) Adresseliste m. mottageres sertifikater (offentlig krypterings nøkkel) Eget Virksomhets- sertifikat (privat signeringsnøkkel) Eget Virksomhets- sertifikat (privat krypteringsnøkkel) Eksempel 2: System-til-system kommunikasjon. Automatisert og integrert med virksomhetens arkiv- og saksbehandlingssystemer.

  16. PKI som sikkerhetsmekanisme internt i virksomheten PKI-basert pålogging Til flere systemer Single SignOn Autentisering Autentisering Citrix Applikasjoner/ fagsystemer i virkosmheten PKI-basert pålogging til tynne klienter Ansatt med sertifikat autorisert av virksomheten til internt bruk Signering Applikasjoner/ fagsystemer som krever den ansattes e-signering ”Ansatt”-sertifikat brukt til autentisering mot interne systemer og evt. signering

  17. Strategi for elektronisk ID og signatur (utbredelse av PKI i offentlig sektor) • Rammeavtale om en felles sikkerhetsportal for offentlige elektroniske tjenester (2005). Obligatorisk for statlige virksomheter, anbefalt i kommunene. • Offentlige godkjenningsordning(er) for leverandører av eID og e-signatur på nivå Høyt og Standard samt Virksomhet (ultimo 2005) • Rammeavtaler om elektronisk ID og signatur for virksomheter og personer til bruk internt i offentlig sektor (2006) • Rammeavtaler inngåes og forvaltes av Brønnøysundregistrene, på vegne av staten og kommunene Godkjent av regjeringen 28.2.2005.

  18. Sikkerhetsnivåer – eID og e-signatur • Person Høyt: kvalifisert sertifikat, to-faktor autentisering for tilgang til privat nøkkel, nøkkel lagret i sikker modul, som en server i nettet eller et smartkort • Person Standard: SEID-serifikat, utlevering til adresse fra folkeregisteret, enkel autentisering for tilgang til privat nøkkel, nøkkel lagret i programvare, kan ha tidsbegrenset bruk • Virksomhet: SEID-sertifikat, utlevering som for kvalifisert sertifikat, tilgangskontroll til privat nøkkel på server, kan også finnes i en sikker modul

  19. Bruk av tjenester sikret med PKI-baserte ID-funksjoner • Sikker signert/kryptert e-post Brukere (Ansatte, privatpersoner, bedrifter) Verdikjede – PKI markedet Brukersteder (Offentlig sektor, bedrifter) • Bruk av PKI-baserte ID-tjenester • Sikring av IT-systemer • Tilby tjenester som krever høy sikkerhet • Sluttprodukt • Betydelig verdiøkning gjennom bl.a.: • Merkevare/branding • Policy for bestilling og utlevering av sertifikater • Distribusjon/bærere • Utvidede garantier, support • Sperring • Høye variable kostnader Leverandører av PKI-baserte ID-tjenester • Halvfabrikata/”råvare” • Teknologisk infrastruktur som danner grunnlag for bruk av digitale signaturer og sertifikater • Meget høye faste kostnader • CA-tjenester • Sertifikatutstedelse • Hvis formell utsteder: Garantist overfor brukerstedet • Vedlikehold og sperring av sertifikater • Sperrelister PKI-Fabrikk Felles Operasjonell Infrastruktur (FOI)

  20. Aktøroversikt Norge 2005 Brukere Sluttbrukermarked Brukersteder Bank 1 Bank n Telenor ErgoGroup/ Posten Andre (Buypass, Commfides) Leverandør av PKI baserte ID-tjenester BBS (BankID, ZebSign ID, Community ID og eventuelle andre brandede sertifikater ) Andre (Nasjonale/ utenlandske) PKI-fabrikk

  21. eID lev. 1 eID lev. 2 Andre Sikkerhetsportal Reg. tjeneste Integrasjonsmodul Etater/ kommuner Min side AltInn Borgere og næringsliv eID/e-signatur Felles sikkerhetsportal

  22. Felles sikkerhetsportal - forutsetninger • eID-leverandørene sørger for utrulling av eID til borgere og brukere i næringslivet; disse løsninger skal kunne gjenbrukes mot offentlige elektroniske tjenester • eID-leverandørenes løsninger skal være godkjent mhp at de oppfyller Kravspesifikasjon for PKI i offentlig sektor • Leverandøren av sikkerhetsportalen skal sørge for å integrere / omfatte flest mulig leverandører av eID i det norske markedet som er godkjent, og som kan tilby konkurransedyktige prisvilkår • Leverandøren av sikkerhetsportalen skal påta seg totalansvaret for tjenester som tilbys, også fra underleverandører (av eID), både juridisk og teknisk • Leverandøren av sikkerhetsportalen skal forplikte seg til en tidsplan for levering av alle tjenester som er spesifisert i Konkurransegrunnlaget

  23. Felles sikkerhetportal - tjenester • Autentisering med eID mot webtjenester (med Person Høyt, Person Standard og Virksomhet) • Formidling av elektronisk identitet mot webtjenester (single sign-on / felles pålogging) • Autentisering med eID fra fagsystemer • Autentisering med eID utstedt under RTVs rammeavtale og med eID som benyttes i Altinn i dag • Signering av brev, skjema og filer • Signering og kryptering av e-post • Kryptering generelt • Titrodd digitalt arkiv (over signerte dokumenter) • Bestillingstjeneste for Person Standard, Person Høyt og Virksomhet Tjenester fremhevet i rødt skal leveres innen 15.12.05.

  24. Felles sikkerhetsportal - status • Kontrakt tildelt 17.6.05 til Bankenes betalingssentral AS • Avtalen signert 1.7.05 • Pågående dialog med bankene med henblikk på å integrere BankID i portalen • Arbeidet med etablering av nødvendig infrastruktur i BBS og hos pilotbrukere pågår. • Pilotbrukere: Altinn med tilknyttede etater, MinSide med tilknyttede etater; en kommune? • Prosjektet rettet mot etablering av en bestillingstjeneste for Person Standard startet opp (kartlegging av eksisterende autentiseringsløsninger hos ulike etater) • MOD har 7.6.05 avsendt et brev om sikkerhetsportalen til 1400 statlige virksomheter

  25. Godkjenningsordninger • Ny forskrift til Lov om elektronisk signatur fra NHD, hjemlet i ny §16a om frivillige selvdeklarasjonsordninger for sertifikatutstedere – er på høring tom 30.9.05 • Endring i eForvaltningsforskriften (Forskrift om elektronisk kommunikasjon med og i forvaltningen), §27. Det skal innføres et nytt ledd, 27-4, med krav om deltakelse i ordningen etablert med NHDs nye forskrift - sendt på høring av MOD med frist 30.9.05 • MOD arbeider for øvrig med prinsipper for forvaltning av Kravspesifikasjonen for PKI • MOD og NHD tar sikte på at nødvendige beslutninger er på plass senest 15.12.2005

  26. Åpne standarder og åpen kildekode - målsetninger i eNorge 2009 • 2006: forvaltningsstandarder for data- og dokumentutveksling er etablert • 2006: bruk av åpne standarder, tjenesteorientert arkitektur og åpen kildekode er innarbeidet i planverk • 2008: data- og dokumentutveksling tilfredsstiller forvaltningsstandardene • 2008: alle skjemaer bygger på felles brukergrensesnitt • 2009: alle nye IT-systemer i offentlig sektor bruker åpne standarder

  27. Åpne standarder vs. åpen kildekode • Åpen standard: • er anerkjent og vedlikeholdt av en ikke-kommersiell organisasjon, transparent prosess for vedlikehold • er publisert, tilgjengelig for alle mot en mindre avgift • er ikke patentbeskyttet • kan gjenbrukes uten forbehold. (de jure standarder og de facto standarder) • Åpen kildekode: • tar utgangspunkt i Open Source Initiative med ulike typer lisenser for bruk av kildekoden • har ingen spesielle begrensninger for bruksmåten • kan tilpasses til eget formål/videreutvikles • Kan spres til andre brukere (fritt eller mot avgift), med samme bruksbetingelser

  28. Utredningsarbeid • Arbeidsgruppe nedsatt av MOD i samråd med Koordineringsorganet for eForvaltning (KoeF) • Bred sammensetning av arbeidsgruppe og referansegrupper • Oppstart 17.03.05, rapport levert 21.06.05 • Høringsfrist 15. september • Nær 80 uttalelser ”Bruk av åpne IT-standarder og åpen kildekode i offentlig sektor”

  29. Kort om rapportens forslag • Standardiseringsarbeid må prioriteres høyt • Videre forsøk med åpen kildekode – avventende og pragmatisk holdning • Helhetlig arkitekturtenkning (tjenesteorientering) • Flere nivåer av interoperabilitet (teknisk, semantisk, organisatorisk) • Organisering: standardiseringsråd i tilknytning til KoeF • 24 forslag til tiltak

  30. Høringsuttalelsene:Hovedpunkter i tilbakemeldingene • Initiativet ønskes velkommen, med en viss utålmodighet… • Behov for å behandle åpne standarder og åpen kildekode separat • Åpne standarder oppfattes som viktigere enn åpen kildekode • Betydelig polarisering i synet på åpen kildekode • Behov for bedre økonomibetraktninger og tydeliggjøring av sammenhenger mellom overordnete mål og virkemidler • Fremdriftsplan er ambisiøs, men riktig

  31. Høringsuttalelsene:Spesifikt om åpne standarder • Ulike definisjoner av åpenhet • Uenighet om åpenhet som absolutt kriterium • Ulike oppfatninger om strengheten i et fremtidig regime (muligheter for unntak?) • Generell tilslutning til et fremtidig standardiseringsråd underlagt KoeF • Faktisk arbeid med standarder kan gjøres i/med miljøer som sitter tett på problemstillingene (domenevis) • Behov for tett samarbeid med internasjonale standardiseringsprosesser • Høyest prioritert tiltak: etablering av katalog over forvaltningsstandarder

  32. Høringsuttalelsene:Spesifikt om åpen kildekode • Hovedsyn 1 (forkjempere): Monopolbekjempelse; prinsipielt valg; kostnadseffektivt; stimulans for norsk IKT-næring • Hovedsyn 2 (pragmatikere): beste løsning bør velges; åpen k.k. er noen ganger best; bestrider kostnadskalkyler; sårbarhet (kompetanse) • Høyest prioritert tiltak: utarbeide veiledning for offentlige virksomheter om bruk av åpen kildekode • Tiltaket ”erfaringsbasert prosjekt” får blandet tilbakemelding (kan være forsinkende)

  33. Oppfølging? • Katalog over forvaltningsstandarder • Standardiseringsråd for IT i offentlig sektor • Forankring av standardene – regelverk, veiledninger, insentivordninger mv.

More Related