Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

SEID – Leveranse 1 - Sertifikatprofiler

PublisertJulie Didriksen Endret for 9 år siden

Liknende presentasjoner

Presentasjon om: "SEID – Leveranse 1 - Sertifikatprofiler"— Utskrift av presentasjonen:

1 SEID – Leveranse 1 - Sertifikatprofiler
Tor Hjalmar Johannessen Telenor R&D 16. Februar 2006

2 SEID 1 Oppgave / Leveranse:
Anbefalte sertifikatprofiler for personsertifikater og Virksomhetssertifikater ( NB, unikt for Norge !!!) Versjon 1.02 Status: Godkjent Dato:

3 Sertifikat – Hva det dreier seg om
Et dataobjekt hvis ekthet kan valideres via matematiske teknikker, og som er bærer av en brukers elektroniske ID  et elektronisk identitetsbevis Generelt: som inneholder og binder sammen Utsteders identitet (for eksempel ZebSign, BankID osv) en brukers identitet (”subject info”), som kan bestå av mange deler (Navn, -adresse, Fødselsnr..) anvendelse, via nøkler som kan a) brukes for å bevise en brukers elektronisk signerte handlinger (transaksjoner, filer, SMS, etc) b) brukes for å bevise en brukers identitet (autentisering) ved for eksempel pålogging, c) brukes for å etablere sesjonsnøkler for å kryptere kommunikasjon eller lagrede data (filer) administrasjonsdata (som gyldighet, revokeringmetode (sperring), algoritmer,… ) andre ting som (MÅ ha ) Policy: dvs regelverk som definerer rammeverket for sertifikatet (KAN ha ) en brukers autorisasjoner (rollesertifikat – lege/advokat/sivilingeniør/.. ) Attributtsertifikater: ref: (approved by IESG) eller bruksbegrensinger, osv osv (extended fields  men skreddersøm kan vanskelig standardiseres) Sertifikatet er essensielt for elektronisk samhandling (eCommerce, eVoting, eInvoicing, eDitten & eDatten) Har juridisk kraft basert på lovgiving.

4 Sertifikatet er sentralt I dag: X.509 v3.
4 CA Troverdig utsteder (Certifikate Authority) Sign - Folkeregister - Ansattregister og lignende. Relasjon(er) Relasjon(er) Policy (Cert.regler) Krypto algoritme Bruks - begrensing - periode Jon’s unike ID (eID) og Org. Jons personsertifikat m/ offentlig nøkkel og ID Juridisk binding (Entydig korrespondanse) Jon Jons private nøkkel (kun tilgjengelig for Jon) Jons sertifikat alment tilgjengelig(?)

5 X.509v3 Eksempel 1024 bits ”public” nøkkel ca 179……
(ialt et 308-sifret tall)

6 Noen begreper: Et Sertifikat er IKKE en (e)Signatur
Derimot inneholder sertifikatet det som skal til for å validere en eSignatur. En signatur tilsvarer blekkunderskrift på papir, binder sammen innhold og info som dato, signators navn osv., Signatur utføres normalt ved to prosesser: 1) ”hashing” av digitalt innhold + 2) kryptering av hashverdien. Kryptering utføres med en ”privat” nøkkel som entydig korresponderer med den ”offentlige” i sertifikatet. Sertifikatet er selv et signert objekt (signert av utsteder) En avansert signatur (Jfr. EU-direktivet) har også eksplisitt en referanse til et entydig korresponderende sertifikat. Et kvalifisert sertifikat er et personsertifikat utstedt etter definerte regler (gitt av ETSI og IETF) En kvalifisert signatur er utført med en SSCD (Secure Signature Creation Device – definert av CEN/CWA) i praksis et smartkort

7 Hvorfor det ? Enkelt: a) Verden er blitt digitalisert
 slutt med papir, penn og blekk.  nå snakker vi om filer (enten dette er skrift, bilder, lyd, filmer osv), eller SMS osv. b) blekk fester dårlig til digitale media

8 eSignatur ??

9 PKI – Public Key Infrastructure?
Kryss-sertifisering CA Sertifikater/ CRLs Sertifikat-katalog (X.500) kontroll CA Sperre-lister (CRL/OCSP) PKI Offentlige Registre RA RA RA Personlige registreringer Personlige hemmeligheter Sertifikater/CRL /OCSP) PKI-brukere E-kunder (klienter) Signering av SMS etc. signerte meldinger Bruker-sfære (e-kunder og tjenesteytere) E-kunder (klienter) Autentisering/ signering) PC/ internet e-Tjeneste-servere: Websider /eHandel - Multimedia-distribusjon - TVAnytime Tjenestespekter: Ende-til-ende- - Autentisering - Signering - Kryptering Digital TV/ Media Autentisering/ signering)

10 For hva og hvem B2G, B2C, G2C, G2B, B2G & U2
Som har behov for lovpålagte signaturer Som har behov forpliktende signaturer: Vi snakker om Finans, Forvaltning, alskens eHandel, ePass, osv osv osv. Nasjonalt og Internasjonalt

11 Future opportunities e-Invoicing… Registered Email… Digital Accounting
Greater companies do 90% of invoicing with partner or controlled companies The production (print + storage) of paper invoices is currently made only for compliance The overall cost of a printed invoice varies from € 2 up to € 10 per invoice The overall cost of an e-Invoice is less then € 0,2 Registered … Origin authentication Proof of delivery Long term availability Digital Accounting Paper based accounting is currently made only for compliance to fiscal regulation: even in SMs Enterprises the accounting is software-based Paper was ineffective in all major accounting frauds Digital accounting supported by a Trusted Third Party is more resilient and trustworthy… (Courtesy Riccardo Ghengini, ETSI ESI Chairman)

12 1998 1999 2000 2001 2002 Time Worldwide 2002 : ETSI: CEN CWA:
Some PKI Initiatives, CA-Policies and Framework Development PRE-SEID ERA: Worldwide 2002 : ~78% av nasjonene Med el.sign lover. IETF RFC 2527 Internet X.509 PKI Certificate Policy and Certification Practices Framework IETF RFC 3039 Qualified Certificate Profile Various defacto-standards, Mostly US Verisign (US) CP/CPS Gov. Pub NoU 10:2001 ”Uten Penn og Blekk” ZebSign Qualified Cert. Policy (Telenor & Post) FinEID (Finland ) Norw. Law 2001 ( Electronic. Sign ) SEIS S10 (Sweden) BankID EU-directive 99/ 93 Electronic SIgnatures (Qualified Certificates) ETSI: Qualified CP Non-Qualified CP CEN CWA: SSCD: Signature Creation Device 1998 1999 2000 2001 2002 Time

13 Kvalifisert Sertifikat (QC)
Finland Estland Østerrike Belgia …………………. siste ( ): England 200X  : Borger-ID-kort EU Directive 2001/115/EC, into effect on Jan to enable self-billing and eInvoicing &VAT purposes between EU states 2004: eInvoicing EU-directive 99/ 93 Electronic SIgnatures Kvalifisert Sertifikat (QC) Oppdrag om definisjon av QC gitt til ETSI (European Telecommunications Standardization Institute Bygger på X.509. V3 definert av IETF Egenskaper: Kun utstedbart til fysiske personer Krav til fysisk oppmøte for å vise identitet (Registrering) Primært til signaturbruk (Content Commitment / Non-Repudiation, men kan : autentisere) Spesielle krav til utsteder Privat signaturnøkkel kan lagres i sw eller hw (SIM / Smartkort) Mål: Interoperabelt også internasjonalt. Ønske om åpen tilgang til sertifikatkatalogene, men ikke eksplisitt krav.

14 SEID (I) Bygge på etablerte std., eg., ETSI TS 102 280
Definere detaljer i sertifikatene: Regler for eier-navn (såkalt subject) Personnr ? SEID II, Signaturformater  SEID III Bruksområde (KeyUsage: Signatur, Autentisering, krypto..) Oppdatert layout og elementer i henhold til siste oppdateringer i standarder fra ETSI og IETF, f.eks: Qualified Certificate Statement:, Revokerings (sperring) metode: CRL (åpen katalog) / OCSP (Lukket katalog) Bygge på etablerte std., eg., ETSI TS Ta hensyn til viktige aktører i det norske markedet.

15 SEID avvik fra ETSI Std.

16 Spesielle SEID I –diskusjonspunkter
Basis sertifikatfelt / Sertifikatutvidelser • Issuer: Norsk ? Sertifikatinnehavers organisasjonsnummer slik det er registrert i det norske enhetsregisteret skal angis: a) alene i attributtet serialNumber, eller b) organizationName • Subject - Bankene har spesielle krav til identifikasjon (etter sine standarder - Skal personnr i folkereg oppgis ? • Key Usage  jo flere nøkler jo mer admin, kan samme en nøkkel brukes til flere oppgaver? (signatur (a) alene eller i kombinasjon med autentisering (b) og hva med kryptering (c)? Avklart: QC = a eller a+b., C krever backup av nøkkel og holdes separat. (i tråd med ETSI & IETF) (for (a) vet bruker hva som signeres, men ikke for (b) – kjent svakhet – bruker kan lures.) • Extended Key Usage Dette feltet anvendes bla. for SSL/TLS serversertifikater

17 Spesielle SEID I –diskusjonspunkter (forts)
• Subject Alternative Name  Konsekvenser for Sikker ePost (S/MIME) - En del Microsoft-applikasjoner krever -addresse inngår - Microsoft Outlook og Microsoft Outlook Express.) • CRL Distribution Point (sperreinfo: Går på metode: CRL (ETSI Anbefaling) eller OCSP (BankID)) • Authority Information Access  benyttes for OSCP (alternativ til CRL) • Qualified Certificate Statement (Nytt fra ETSI 2005 ! overgangsordninger ) Kan også angi kvalifiserte signaturer.)

18 Norske spesialiteter (i SEID)
Virksomhetssertifikater ID = i henhold til virksomhetsregisteret (organisasjoner, kommersielle bedrifter,….)  Ingen parallell i EU, men sterkt ønske/behov og diskutert i ETSI.

19 Spesialiteter i EU-Direktivet:
Avansert elektronisk signatur. ”Signatur med entydig binding til signator” Tolkning: Signaturen må inkludere sertifikatet eller en referanse til det. Secure Signature Creation Device (SSCD) – (signaturfremstillingsutstyr  SEID III) med konsekvenser for SEID (I) (qCstatement) (2 mill. SSCD i Italia pr. Q1 2006)

20 ETSI ESI – viktige oppgaver NÅ
Lage internasjonal Liste over approberte CA som utsteder QC Internasjonal harmonisering. EU = OK (  USA, Asia) Nye profiler for å dekke EU’s behov Bl. A. fokus pt. på eInvoicing (eFaktura) i henhold til EU-direktiv. (EU Directive 2001/115/EC, i operasjon fra Januar 2004) 3 møter pr. år, neste i Barcelona i Mars formann, Riccardo Ghengini er advokat (Italia) Tidligere formann, Györgyi Enderz var forskningssjef hos Telia (Sverige) Mandat fra EU-kommisjonen. Medlemmene representerer myndigheter, telcos, universiteter og bedrifter som Microsoft Telenor representerer Norge. Fikk i gjennom én sak forrige møte.  Det er lenge siden PKI var et rent teknisk anliggende..

21 Aktive ETSI Task Forces (STF)
STF International harmonisation of ETSI Electronic Signature Standards STF Joint ESI-W3C WG on XML Advanced Electronic Signatures STF Relying Party Access to TSP Status List STF298 - Profiles for ETSI TS and TS Electronic Signatures Formats

22 Forretningselementer
Post & Teletilsynet har forvaltningsansvaret for norsk offentlig PKI, Myndighetene har ellers overlatt operativ PKI til markedsaktører, (omvendt i Danmark) og med det elementene: Hvem skal drive Sertifikatfabrikken (CA) som er kjernen i PKI og med det administrasjon av publikums eID (ZebSign, BankID, …) Hvem skal operere Valideringsfunksjonene for signaturer? Hva med Sikkerhetsportalen…? Hvilke medier skal benyttes som Nøkkel-, og sertifikatbærere ? Smartkort, Mobilen (SIM), SW.. ? STORT DISKUSJONSPUNKT: skal sertifikatkatalogene og sperreinformasjon (CRL/OCSP) være åpent tilgjengelige eller lukkede ????  Konsekvenser for nasjonal og spesielt internasjonalt samtrafikk, Forvaltningen ellers: Lovet å bistå med RA-funksjoner, Sekretariat for SEID. Foreløpig åpent mht. effekt: MinSide / Sikkerhetsportalen. Joker pga. bruksomfang: BankID.

Laste ned ppt "SEID – Leveranse 1 - Sertifikatprofiler"

Liknende presentasjoner

Astrid Øksenvåg Rådgiver EKOR AS

Astrid Øksenvåg Rådgiver EKOR AS
21.06.2014 1 Fremtidens IKT-løsninger i plan og byggeprosessen en demonstrasjon.

Fremtidens IKT-løsninger i plan og byggeprosessen en demonstrasjon.
Antalis-HQ BRUKERVEILEDNING FOR BESTILLINGER. Antalis, Europas ledende distributør av papir, emballasjeløsninger og dekor & display produkter, presenterer.

Antalis-HQ BRUKERVEILEDNING FOR BESTILLINGER. Antalis, Europas ledende distributør av papir, emballasjeløsninger og dekor & display produkter, presenterer.
Virksomhetssertifikater i kommunene Erfaringer og utfordringer

Virksomhetssertifikater i kommunene Erfaringer og utfordringer
Progress ”Transparent Data Encryption”

Progress ”Transparent Data Encryption”
Programvare fra Uni Pluss

Programvare fra Uni Pluss
Business og elektronisk signering i Gassco Booking System

Business og elektronisk signering i Gassco Booking System
KOSTRA KOmmune STat RApportering

KOSTRA KOmmune STat RApportering
03.04.2017.

e20 - Det papirløse energiselskap

e20 - Det papirløse energiselskap
Sikkerhet - bakgrunn og introduksjon til kryptosystemer

Sikkerhet - bakgrunn og introduksjon til kryptosystemer
Standardavtale for utveksling av eHandelsmeldinger 1. april 2008 Jon-Ivar Paulsen, Orkla ASA.

Standardavtale for utveksling av eHandelsmeldinger 1. april 2008 Jon-Ivar Paulsen, Orkla ASA.
eFakturaportal Brukerveiledning Logg på eFaktura B2B Tilgang til eFaktura-løsningen finner du på www.sandnes-sparebank.no/bedriftwww.sandnes-sparebank.no/bedrift.

eFakturaportal Brukerveiledning Logg på eFaktura B2B Tilgang til eFaktura-løsningen finner du på
Strategiske tiltak til gode for norske banker

Strategiske tiltak til gode for norske banker
Strategi -og system workshop HiL Tor Holmen, Gunnar Bøe HiL, 2013-02-05.

Strategi -og system workshop HiL Tor Holmen, Gunnar Bøe HiL,
Statens legemiddelverk og Legemiddelindustriforeningen (LMI)

Statens legemiddelverk og Legemiddelindustriforeningen (LMI)
Bruk av PKI på elektroniske resepter Jon Hareide Aarbakke Systemarkitekt eReseptprogrammet

Bruk av PKI på elektroniske resepter Jon Hareide Aarbakke Systemarkitekt eReseptprogrammet
Leif Erik Nohr leif.erik.nohr@telemed.no Juridiske rammer for utveksling av helseinformasjon - et nordisk overblikk Leif Erik Nohr leif.erik.nohr@telemed.no.

Leif Erik Nohr Juridiske rammer for utveksling av helseinformasjon - et nordisk overblikk Leif Erik Nohr
Public Key Infrastructure Fra ref Torben P. Pedersen[2 Avsnitt 3 ]

Public Key Infrastructure Fra ref Torben P. Pedersen[2 Avsnitt 3 ]
NAV sin erfaring med eSignatur i helsesektoren Øyvind Gjørven, NAV IKT

NAV sin erfaring med eSignatur i helsesektoren Øyvind Gjørven, NAV IKT

Liknende presentasjoner

Annonser fra Google