1 / 22

SEID – Leveranse 1 - Sertifikatprofiler

SEID – Leveranse 1 - Sertifikatprofiler. Tor Hjalmar Johannessen Telenor R&D 16. Februar 2006. SEID 1. Oppgave / Leveranse: Anbefalte sertifikatprofiler for personsertifikater og Virksomhetssertifikater (  NB, unikt for Norge !!!) Versjon 1.02 Status: Godkjent Dato: 03.02.2005

graceland
Download Presentation

SEID – Leveranse 1 - Sertifikatprofiler

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. SEID – Leveranse 1 - Sertifikatprofiler Tor Hjalmar Johannessen Telenor R&D 16. Februar 2006

  2. SEID 1 Oppgave / Leveranse: • Anbefalte sertifikatprofiler for personsertifikater og Virksomhetssertifikater ( NB, unikt for Norge !!!) Versjon 1.02 Status: Godkjent Dato: 03.02.2005 http://www.npt.no/iKnowBase/FileServer/SEID_Leveranse_1_v1.02.pdf?documentID=44961

  3. Sertifikat – Hva det dreier seg om • Et dataobjekt hvis ekthet kan valideres via matematiske teknikker, og som er bærer av en brukers elektroniske ID  et elektronisk identitetsbevis • Generelt: som inneholder og binder sammen • Utsteders identitet(for eksempel ZebSign, BankID osv) • en brukers identitet (”subject info”), som kan bestå av mange deler (Navn, email-adresse, Fødselsnr..) • anvendelse, via nøkler som kan • a) brukes for å bevise en brukers elektronisk signertehandlinger (transaksjoner, filer, SMS, etc) • b) brukes for å bevise en brukers identitet (autentisering) ved for eksempel pålogging, • c) brukes for å etablere sesjonsnøkler for å kryptere kommunikasjon eller lagrede data (filer) • administrasjonsdata (som gyldighet, revokeringmetode (sperring), algoritmer,… ) • andre ting som • (MÅ ha ) Policy: dvs regelverk som definerer rammeverket for sertifikatet • (KAN ha ) en brukers autorisasjoner (rollesertifikat – lege/advokat/sivilingeniør/.. )Attributtsertifikater: ref: http://www.ietf.org/internet-drafts/draft-ietf-pkix-acpolicies-extn-08.txt (approved by IESG) • eller bruksbegrensinger, osv osv (extended fields  men skreddersøm kan vanskelig standardiseres) • Sertifikatet er essensielt for elektronisk samhandling (eCommerce, eVoting, eInvoicing, eDitten & eDatten) • Har juridisk kraft basert på lovgiving.

  4. Sertifikatet er sentraltI dag: X.509 v3. Troverdig utsteder (Certifikate Authority) - Folkeregister- Ansattregister og lignende. Relasjon(er) CA Relasjon(er) Policy (Cert.regler) Sign Krypto algoritme (Entydig korrespondanse) Bruks - begrensing - periode Jons personsertifikat m/ offentlig nøkkel og ID Jons sertifikat alment tilgjengelig(?) Jon’s unike ID (eID) og Org. 4 Juridisk binding Jon Jons private nøkkel(kun tilgjengelig for Jon)

  5. X.509v3 Eksempel 1024 bits ”public” nøkkel ca 179…… (ialt et 308-sifret tall)

  6. Noen begreper: • Et Sertifikater IKKE en (e)Signatur • Derimot inneholder sertifikatet det som skal til for å validere en eSignatur. • En signatur tilsvarer blekkunderskrift på papir, binder sammen innhold og info som dato, signators navn osv., • Signatur utføres normalt ved to prosesser: 1) ”hashing” av digitalt innhold + 2) kryptering av hashverdien. Kryptering utføres med en ”privat” nøkkel som entydig korresponderer med den ”offentlige” i sertifikatet. • Sertifikatet er selv et signert objekt (signert av utsteder) • En avansert signatur (Jfr. EU-direktivet) har også eksplisitt en referanse til et entydig korresponderende sertifikat. • Et kvalifisertsertifikat er et personsertifikat utstedt etter definerte regler (gitt av ETSI og IETF) • En kvalifisert signatur er utført med en SSCD (Secure Signature Creation Device – definert av CEN/CWA) i praksis et smartkort

  7. Hvorfor det ? Enkelt: a) Verden er blitt digitalisert  slutt med papir, penn og blekk.  nå snakker vi om filer (enten dette er skrift, bilder, lyd, filmer osv), eller SMS osv. b) blekk fester dårlig til digitale media

  8. eSignatur ??

  9. PKI – Public Key Infrastructure? Kryss-sertifisering CA Sertifikater/ CRLs Sertifikat-katalog (X.500) CA Sperre-lister (CRL/OCSP) kontroll PKI OffentligeRegistre RA RA RA Personlige registreringer Personlige hemmeligheter Sertifikater/CRL /OCSP) PKI-brukere E-kunder (klienter) Signering av SMS etc. signerte meldinger Bruker-sfære (e-kunder og tjenesteytere) E-kunder(klienter) Autentisering/ signering) PC/internet Tjenestespekter: Ende-til-ende- - Autentisering - Signering - Kryptering • e-Tjeneste-servere: • Websider /eHandel • - Multimedia-distribusjon- TVAnytime Digital TV/ Media Autentisering/ signering)

  10. For hva og hvem • B2G, B2C, G2C, G2B, B2G & U2 • Som har behov for lovpålagte signaturer • Som har behov forpliktende signaturer: • Vi snakker om Finans, Forvaltning, alskens eHandel, ePass, osv osv osv. • Nasjonalt og Internasjonalt

  11. Future opportunities • e-Invoicing… • Greater companies do 90% of invoicing with partner or controlled companies • The production (print + storage) of paper invoices is currently made only for compliance • The overall cost of a printed invoice varies from € 2 up to € 10 per invoice • The overall cost of an e-Invoice is less then € 0,2 • Registered Email… • Origin authentication • Proof of delivery • Long term availability • Digital Accounting • Paper based accounting is currently made only for compliance to fiscal regulation: even in SMs Enterprises the accounting is software-based • Paper was ineffective in all major accounting frauds • Digital accounting supported by a Trusted Third Party is more resilient and trustworthy… (Courtesy Riccardo Ghengini, ETSI ESI Chairman)

  12. Some PKI Initiatives, CA-Policies and Framework Development PRE-SEID ERA: Worldwide 2002 : ~78% av nasjonene Med el.sign lover. IETF RFC 2527 Internet X.509 PKI Certificate Policy and Certification Practices Framework IETF RFC 3039 Qualified Certificate Profile Various defacto-standards, Mostly US Verisign(US)CP/CPS Gov. Pub NoU 10:2001 ”Uten Penn og Blekk” ZebSign Qualified Cert. Policy (Telenor & Post) FinEID (Finland ) Norw. Law 2001 ( Electronic. Sign ) SEIS S10 (Sweden) BankID EU-directive 99/ 93 Electronic SIgnatures (Qualified Certificates) ETSI: Qualified CP Non-Qualified CP CEN CWA: SSCD: Signature Creation Device 1998 1999 2000 2001 2002 Time

  13. EU Directive 2001/115/EC, • into effect on Jan. 1 2004. • to enable self-billing and eInvoicing &VAT purposes between EU states • Finland • Estland • Østerrike • Belgia …………………. • siste (13.1.06): England 2004: eInvoicing 200X  : Borger-ID-kort Kvalifisert Sertifikat (QC) EU-directive 99/ 93 Electronic SIgnatures Kvalifisert Sertifikat (QC) • Oppdrag om definisjon av QC gitt til ETSI • (European Telecommunications Standardization Institute • Bygger på X.509. V3 definert av IETF • Egenskaper: • Kun utstedbart til fysiske personer • Krav til fysisk oppmøte for å vise identitet (Registrering) • Primært til signaturbruk (Content Commitment / Non-Repudiation, men kan : autentisere) • Spesielle krav til utsteder • Privat signaturnøkkel kan lagres i sw eller hw (SIM / Smartkort) • Mål: Interoperabelt også internasjonalt. • Ønske om åpen tilgang til sertifikatkatalogene, men ikke eksplisitt krav.

  14. SEID (I) • Definere detaljer i sertifikatene: • Regler for eier-navn (såkalt subject) • Personnr ? SEID II, Signaturformater  SEID III • Bruksområde (KeyUsage: Signatur, Autentisering, krypto..) • Oppdatert layout og elementer i henhold til siste oppdateringer i standarder fra ETSI og IETF, f.eks: • Qualified Certificate Statement:, • Revokerings (sperring) metode: CRL (åpen katalog) / OCSP (Lukket katalog) • Bygge på etablerte std., eg., ETSI TS 102 280 • Ta hensyn til viktige aktører i det norske markedet.

  15. SEID avvik fra ETSI Std.

  16. Spesielle SEID I –diskusjonspunkter Basis sertifikatfelt / Sertifikatutvidelser • Issuer: Norsk ?Sertifikatinnehavers organisasjonsnummer slik det er registrert i det norske enhetsregisteret skal angis:a) alene i attributtet serialNumber, eller b) organizationName • Subject - Bankene har spesielle krav til identifikasjon (etter sine standarder - Skal personnr i folkereg oppgis ? • Key Usage  jo flere nøkler jo mer admin, kan samme en nøkkel brukes til flere oppgaver? (signatur (a) alene eller i kombinasjon med autentisering (b) og hva med kryptering (c)? Avklart: QC = a eller a+b., C krever backup av nøkkel og holdes separat. (i tråd med ETSI & IETF) (for (a) vet bruker hva som signeres, men ikke for (b) – kjent svakhet – bruker kan lures.) • Extended Key Usage Dette feltet anvendes bla. for SSL/TLS serversertifikater

  17. Spesielle SEID I –diskusjonspunkter (forts) • Subject Alternative Name Konsekvenser for Sikker ePost (S/MIME) - En del Microsoft-applikasjoner krever email-addresse inngår - Microsoft Outlook og Microsoft Outlook Express.) • CRL Distribution Point (sperreinfo: Går på metode: CRL (ETSI Anbefaling) eller OCSP (BankID)) • Authority Information Access  benyttes for OSCP (alternativ til CRL) • Qualified Certificate Statement (Nytt fra ETSI 2005 ! overgangsordninger ) Kan også angi kvalifiserte signaturer.)

  18. Norske spesialiteter (i SEID) • Virksomhetssertifikater • ID = i henhold til virksomhetsregisteret(organisasjoner, kommersielle bedrifter,….)  Ingen parallell i EU, men sterkt ønske/behov og diskutert i ETSI.

  19. Spesialiteter i EU-Direktivet: • Avansert elektronisk signatur. • ”Signatur med entydig binding til signator” • Tolkning: Signaturen må inkludere sertifikatet eller en referanse til det. • Secure Signature Creation Device (SSCD) – (signaturfremstillingsutstyr  SEID III) med konsekvenser for SEID (I) (qCstatement) (2 mill. SSCD i Italia pr. Q1 2006)

  20. ETSI ESI – viktige oppgaver NÅ • Lage internasjonal Liste over approberte CA som utsteder QC • Internasjonal harmonisering. EU = OK (  USA, Asia) • Nye profiler for å dekke EU’s behov • Bl. A. fokus pt. på eInvoicing (eFaktura) i henhold til EU-direktiv. (EU Directive 2001/115/EC, i operasjon fra Januar 2004) • 3 møter pr. år, neste i Barcelona i Mars • formann, Riccardo Ghengini er advokat (Italia) Tidligere formann, Györgyi Enderz var forskningssjef hos Telia (Sverige) • Mandat fra EU-kommisjonen. • Medlemmene representerer myndigheter, telcos, universiteter og bedrifter som Microsoft • Telenor representerer Norge. Fikk i gjennom én sak forrige møte.  Det er lenge siden PKI var et rent teknisk anliggende..

  21. Aktive ETSI Task Forces (STF) • STF 288 - International harmonisation of ETSI Electronic Signature Standards • STF 289 - Joint ESI-W3C WG on XML Advanced Electronic Signatures • STF 290 - Relying Party Access to TSP Status List • STF298 - Profiles for ETSI TS 101 733 and TS 101 903 Electronic Signatures Formats

  22. Forretningselementer Post & Teletilsynet har forvaltningsansvaret for norsk offentlig PKI, Myndighetene har ellers overlatt operativ PKI til markedsaktører,(omvendt i Danmark) og med det elementene: • Hvem skal drive Sertifikatfabrikken (CA) som er kjernen i PKI og med det administrasjon av publikums eID (ZebSign, BankID, …) • Hvem skal operere Valideringsfunksjonene for signaturer? Hva med Sikkerhetsportalen…? • Hvilke medier skal benyttes som Nøkkel-, og sertifikatbærere ? Smartkort, Mobilen (SIM), SW.. ? • STORT DISKUSJONSPUNKT: skal sertifikatkatalogene og sperreinformasjon (CRL/OCSP) være åpent tilgjengelige eller lukkede ????  Konsekvenser for nasjonal og spesielt internasjonalt samtrafikk, • Forvaltningen ellers: Lovet å bistå med RA-funksjoner, Sekretariat for SEID.Foreløpig åpent mht. effekt: MinSide / Sikkerhetsportalen. • Joker pga. bruksomfang: BankID.

More Related