Net iD Service
 

Notiser i all korthet

- Nysläppta Net iD Access 6.6 för iOS fungerar med ännu mer nysläppta iOS 10

- När folk säger att Microsoft nu har stöd för plugins i Edge så är det en sanning med modifikation. Edge har stöd för "extensions". Vi kan inte se hur det Microsoft exponerar skulle kunna låta oss kommunicera med t.ex. en kortläsare och ett kort från en extension.
https://developer.microsoft.com/en-us/microsoft-edge/platform/documentation/extensions/api-support/supported-apis/

- När folk säger att Google nu har stöd för plugins i Chrome så är det en sanning med modifikation. Chrome har stöd för "extensions". Vi kan inte se hur det  exponerar skulle kunna låta oss kommunicera med t.ex. en kortläsare och ett kort från en extension. Nu finns förstås PPAPI men det verkar inte riktigt ta oss ända fram till kortet. Dessutom, Mozilla vill inte stödja PPAPI.

- Dessutom, med handen på hjärtat, detta med plugins är minst sagt på dekis. Så om du vill logga in på en webbsida och även kunna signera så kan det vara dags att släppa tanken på dubbelriktad TLS och signaturer med plugin. Varför inte istället använda Net iD Access som stödjer både inloggning och signering (PKCS#7 samt RAW).

 

Net iD Access 6.6 för iOS släppttt

Net iD Access for Tactivo - SecMaker AB

 

Net iD Enterprise 6.5 för SITHS släppt

Net iD Enterprise 6.5.0.17 för SITHS släpptes den 22 augusti. Logga in för att ladda ner!

 

Kul finess vid drivrutinsuppdatering

Säg att en verksamhet kör Windows Hello med fingeravtrycksinloggning på några tusen laptops. Personalen glömmer med tiden sina lösenord och kör uteslutande med fingeravtryck. En råkall men slaskig måndag i februari skjuter IT ut en drivrutins-uppdatering. Det var bara det att det uppdateringen visade sig göra lite mer...

 

 

Alla ska ge ut e-legitimationer!

EDIT: En klok och insatt person har efter detta inläggs publicering upplyst mig om att man för att vara godkänd utfärdare av LoA3-identiteter i Sambi förutsätts det att man är godkänd utfärdare av svensk e-legitimation. Det må väl kanske vara hänt, men det är inte riktigt så det framställs i alla sammanhang.

En av mina kollegor var idag (27/5 2016) på Offentliga Rummet 2016 i Malmö. Under anförandet:

"Vad händer med Svensk e-legitimation? Hur står vi rustade inför framtiden?"

...får jag en fråga på mail:

De på scenen pratar om Huddinge kommun som nu är godkända som utfärdare av e-leg till sin personal. De uppmanar nu kommuner att bli egna utfärdare av e-leg. Vad har jag missat, är det inte befängt?!?!

Hmm, tänker jag, och anar att den frågande kollegan är lite skeptisk. Men faktum är att även jag är lite skeptisk, såhär svarade jag:

*********************************************************************************************************

När jag började på iD2 Technologies den 1:a april 2000 var tidsandan: (lite raljant uttryckt)

”Alla företag och alla organisationer ska ha varsin CA. Inte nödvändigtvis bara för internt bruk. Att ha en egen CA skänker en inre frid och är den grund varpå samhället vilar”

(Min kollega Magnus (CTO på SecMaker), som också jobbade på iD2 kanske skriker nu, men jag satt en våning upp på sälj och marknad och där lät det så i mina öron)

På den tiden var det förstås inte så mycket snack om federationer/SAML… så vissa hävdade att trust mellan olika parter skulle lösas enkelt via ”bridged CAs” Det gick ju som det gick med det där och några år senare föddes i Sverige SITHS, dvs motsatsen till att alla ska ha en egen CA, man samsas helt enkelt i de fall där så är möjligt och kompletterar med ett visst eget utfärdande av certifikat för interna grejer. Det interna utfärdandet har förstås underlättats av att MS CA blivit bättre och bättre med åren samt fått trevliga frontsystem, t.ex. Net iD Card Portal, i den mån de inbyggda verktygen från Microsoft kommit till korta.

Men sedan några år tillbaka råder en federationshysteri...
(av samma psykologiska typ som hysterin för 16 år sedan men av en annan teknisk art)
...där man fokuserar på att ”gömma” alla dessa CAs eller andra typer av autentiseringsmetoder bakom en federation:

a) Icke desto mindre står och faller hela förtroendet för denna nationella federation med att ALLA medlemmar som utfärdar olika typer av elektroniska ID-handlingar (med olika säkerhetsnivåer) gör det på ett grannlaga sätt och att någon med rimlig regelbundenhet kontrollerar deras arbete. T.ex. besöker Huddinge Kommun och skärskådar deras teknik och processer. Har Huddinge råd med detta? Är det rimligt? Hade skattemedel för lösningar och revisioner kunnat sparas genom samverkan även på PKI/CA/ID- sidan? (Svar JA, skulle jag gissa)

b) En gammal kritik mot PKI är att det är så himla jobbigt att skriva dessa policys och CPS-dokument som externa parter kan granska, även detta med viss möda. I den nya ljuva federationsvärlden har man snarast ökat mängden ”lättläst” dokumentation. Bara för att man lägger på ett federationslager så innebär det ju inte att underliggande PKI kan hanteras lite hipp som happ.

c) Vidare undrar jag personligen vad de anställda på dessa kommuner ska med sina e-leg till…. Antag att jag jobbar på Finnpörtemansbo kommuns IT-avdelning som projektledare, jag får ett kort som jag förstås använder till att logga in i min dator med och får lite blandad SSO mot interna system i urval. Sen åker jag hem till mitt radhus och vill betala räkningarna… Installerar jag då först en kortläsare och dess drivrutin och sedan en PKI-klient för att därpå… vadå? Logga in på Swedbank via federationen med mitt e-leg? Knappast, då Swedbank inte lär släppa in SAML-tickets utfärdade baserat på nån för dem okänd Kommun-PKI. Nåväl, jag kan ju istället logga på Försäkringskassan och anmäla vård av sjukt barn tack vare att mitt Finnpörtemansbo-leg ingår i federationen. Knappast, även om det tekniskt fungerar! Jag använder förstås mitt Mobila BankID både mot FK och Swedbank.

d) Men hallå, invänder då vän av ordning; Kommuner samarbetar/samverkar ju och även mellan kommun <-> landsting och kommun <-> myndighet. Är det inte i det läget bra med en federationslösning som stödjer massor av olika bakomliggande CAs och inloggningslösningar på ett enkelt sätt? Jovisst är det bra, särskilt i en värld som helt gått över till webbapplikationer. Ser världen ut så?
Nej, den är ett sammelsurium av olika typer av kopplingar och applikationstyper där federationstekniken inte sällan är svårare att klämma in.

e) Låt oss nu leka med tanken att kamratföreningen "Kött, knark och utpressning" via ett helt legalt aktiebolag, Helylle ID-handlingar AB, ansöker om att få vara med i federationen baserat på en PKI-lösning som utfärdar ID-handlingar på en trevlig USB-pinne med chip. Aktiebolaget lyckas uppfylla alla villkor och krav som framställs och börjar därefter utfärda ID-handlingar som är betrodda i federationen vilket ger användarna möjlighet att anmäla VAB, deklarera, betala in moms, ansöka om bygglov etc. Men nu justerar aktiebolagets styrelse i tysthet verksamhetens inriktning och man börjar medvetet att utfärda falska ID-handlingar från en betrodd CA. ID- handlingarna ingår i federationen…. Nu blir det verkligt roligt ett tag. Ända tills den dag då revisionssystemet tuggat sig igenom BankID, Telia, CGI, Pressbyrån, OKQ8 och 290 kommuners PKI:er och till slut kommer fram till Helylle ID-handlingar AB…. Men vid det laget finns inte ens en brevlåda kvar, bara spår till några målvakter på en parkbänk i Borås….

f) Men varför har detta falska ID-utfärdande inte redan skett? Tja, det har det säkert gjort. Men INTE på initiativ från BankID/Nordea/Telia själva, det skulle liksom skada deras image lite grann, om det kröp fram via Aftonpressen och Exbladet...

Jag förutsäger härmed att hela rasket kommer att gå i diket. Eftersom många glömmer, eller låtsas glömma, två viktiga saker:
1) Världen är större än webbapplikationer
2) Världen består av människor med sedvanliga tillkortakommanden
(jag kan dock inte i tid precisera exakt när ”i diket"” inträder)

Sen vore det förvisso gott för det företag jag arbetar på om varje svensk kommun hade en egen Microsoft CA, Net iD Enterprise, Net iD Access och Net iD Portal 5.1, men INTE för att ge sig in i e-legitimationssvängen

Med utmärkt högakning,
Jonas Öholm, SecMaker AB

Not 1:
Sedan det ovanstående skrevs har jag uppmärksammats på att E-legitimationsnämnden har beslutat att ta ner annonsen kring valfrihetssystemet för Svensk E-legitimation, se länk här.

Not 2:
Detta annonsnedtagande innebär dock inte att möjligheten om att ansöka om att utfärda "Svensk e-legitimation" stoppats. Den möjligheten finns fortfarande kvar. Men utan den tänkta federationslösningen så blir förstås antalet publika tjänster som e-legitimationen kan användas mot tämligen begränsat (0 st). Men det finns förstås en möjlighet tack vare övergångstjänsten. Om Finnpörtemansbo kommun har minst 500.000 utfärdade e-legitimationer så kan de få vara med i övergångstjänsten.

Not 3:
Kika även gärna på denna utmärkta bloggpost från Ayoy AB. Jag vill påpeka att "affärsidén" om att försöka utnyttja "Svensk e-legitimation" för att göra dumheter på intet sätt är min egen, den kan delvis sägas vara hämtad härifrån.

*********************************************************************************************************

 

SHA-1 till SHA-2...

Som (alla) vet är hashalgoritmen SHA-1 påväg att ersättas av SHA-2. Just nu sätter webbläsartillverkarna blåslampa på alla sajtägare att byta ut sina SHA-1 baserade servercertifikat för att skynda på det hela. Blåslampa är det även på de som signerar kod eftersom kodsigneringscertifikaten redan nu bör vara SHA-2 baserade. Det har vi på SecMaker förstås rättat oss efter.

 

I November 2015 skriver Microsoft =>
In a previous update on TechNet, we announced that Windows will block SHA-1 signed TLS certificates starting on January 1, 2017.
In light of recent advances in attacks on the SHA-1 algorithm, we are now considering an accelerated timeline to deprecate SHA-1 signed TLS certificates as early as June 2016. Mozilla recently announced a similar intent on the Mozilla Security Blog. We will continue to coordinate with other browser vendors to evaluate the impact of this timeline based on telemetry and current projections for feasibility of SHA-1 collisions.

I slutet av april 2016 skriver Microsoft =>
In November, we shared a SHA-1 Deprecation Update with some early details on our schedule for blocking SHA-1 signed TLS certificates. Today we would like to share some more details to share on how this will be rolled out. Starting with the Windows 10 Anniversary Update, Microsoft Edge and Internet Explorer will no longer consider websites protected with a SHA-1 certificate as secure and will remove the address bar lock icon for these sites. These sites will continue to work, but will not be considered secure. This change will be in upcoming Windows Insider Preview builds soon, and will be deployed broadly this summer. In February 2017, both Microsoft Edge and Internet Explorer will block SHA-1 signed TLS certificates.

Men betyder då detta att alla miljontals klientcertifikat som är av typen SHA-1 slutar fungera inom kort? Dvs alla filbaserade certifikat på disk? Och alla certifikat på smarta kort? Alla miljoner datorcertifikat för 802.1x som signerats med SHA-1?
 Hmm, få se nu, om det vore så, borde inte Microsoft då ha haft med det i denna lista?
(Klicka på länken och rulla till rubriken "Enforcement in General")

http://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-authenticode-code-signing-and-timestamping.aspx

Eller planerar de att slå ut stora delar av jordens IT-lösningar genom att inte säga nåt? Värsta rackartyget i så fall...

 

Förtydligande

Den 25/4 släpptes Net iD Enterprise 6.5 (6.5.0.17)

För kunder med supportavtal innebär detta att:

a)
Man kan lägga ett supportärenden som vanligt och få hjälp även om man har 6.3 eller t.o.m. 6.1. Men vi kan förstås behöva rekommendera uppgradering till 6.4 eller 6.5 för att givet problem ska kunna lösas.

b) Om en säkerhetsbrist eller annat allvarligt fel skulle hittas så släpper vi:
6.5.1
6.4.2

Men någon 6.3.1 kommer däremot inte att släppas.

 

Blåtandsläsare för Windows!!!

Läs mer på denna sida.

 

Stöd för Windows 10

- Stöd för Windows 10 i Net iD Enterprise i version 6.4. Se releasenotes.
- Kunder med supportavtal lägger ticket och ber att få sina kundunika paket ombyggda baserat på 6.4
- Den generella SITHS-paketeringarna släpptes den 2/2 2016.

Mer om Windows 10 och Net iD här!

 

Viktigt om W2008R2/W2012 och Citrix. Stäng av Net iD Trace-tjänsten

Läs mer på denna sida.

 

Kortleverantörer: Släpp sargen och kom in i matchen!

Nu råkade det bli en artikel om vikten av att kortleverantörer inte hänger läpp utan att istället deltar i infrastrukturbyggen....

 

Äntligen!

Äntligen finns de till försäljning; kortläsare med flera USB-sladdar! (Två eller fyra)

Kortläsarna är lämpliga t.ex. i receptioner där en person (med ett kort) arbetar omväxlande med två datorer. Utan denna typ av kortläsare måste kortet flyttas mellan de två datorerna och om bytesfrekvensen mellan dem är hög så kommer personen med tiden att drivas till vansinne. Att personalen drivs till vansinne ligger förstås inte i någons intresse.

I direkt samarbete med leverantören av MDR102 och MDR104 har vi fått till stånd en förändring som innebär att kortläsaren INTE försvinner ur enhetshanteraren vid kort ur. Det innebär i sin tur att de flesta pollningsmekanismer som implementerats i webblösningar och journalsystem fungerar som vanligt och från båda datorerna.

 

Rulla ut mjuka cert till Net iD Access-appen

https://www.youtube.com/watch?v=e1JPrgKBZc4

 

Slipp segheten vid laddning av https-sidor!

Har dina användare problem med att vissa https-sidor tar orimligt lång tid att ladda?

Lösning: http://support.microsoft.com/kb/2807971

OBS! Detta kan alltså drabba kortanvändare både på lokala datorer och vid uppkopplingar via RDP eller Citrix!

Se även: http://www.itproffs.se/index.php?/topic/41846-seg-laddning-av-sajt-om-cert-ligger-i-my/

 

Inloggning med smarta kort till Office365 och Azure!

Fler och fler kunder lägger lösningar i molnet. Men inloggningen till molnet sker inte sällan med namn och lösen. Det är lite synd då det går utmärkt att logga på t.ex. Office365/Azure med smarta kort. Även med SITHS-kort!!

Kika på filmen som visar det hela live!

 

Ny app för hemtjänsten! För iPad, med SITHS-kort!

Vår partner Exait har lanserat sin app "Exait Hemtjänst". Appen är en lösning som bidrar till att skapa effektivare flöden med kortare ledtider och ökad kvalitet inom hemtjänsten. Exait har använt både Net iD SDK för iOS och Net iD Access för att skapa en både enkel och säker integration med SITHS-korten. Kortläsaren som används är Tactivo från Precise Biometrics. Appen har även en integration med Apples app för kartor och vägbeskrivningar!

Läs mer hos Exait själva!

 

Kan man använda smarta kort i en Windows Store app? Svar: JA

Vår teknologipartner Ayoy AB har nu visat att det går att skriva Windows Store appar som använder smarta kort för att inne i själva appen göra en dubbelriktad TLS/SSL-förhandling mot serverside innan användaren "släpps fram" till känslig information. Här nedan några skärmdumpar på deras proof-of-concept app som undertill använder SecMakers PKI-klient Net iD Enterprise för att ge stöd för långt fler kort än vad kortleverantörernas egna minidrivers ger, t.ex. för SITHS-kort, RPS-avtalets tjänstekort, Oberthurs kort som ges ut via Skatteverket osv.

Besök Ayoy!

Jo, en sak till; det fungerar lika bra med IE11 i Modern UI-mode!

 

Minidriver eller PKCS#15?

http://www.ayoy.se/index.php/2013/10/minidriver-eller-pkcs15/

 

KB2830477

Update for RemoteApp and Desktop Connections features is available for Windows
http://support.microsoft.com/kb/2830477/en-us

Update 2830477 breaks smartcard reader access for RDP sessions
Windows 7 IT Pro forums - Windows 7 Installation, Setup, and Deployment

 

"Kort ur"-kåseriet

Läs hela här!

 

Internet Explorer 11

 

Net iD på Windows XP och Windows Server 2003

Microsoft har slutat signera Net iDs CSP (Cryptographic Service Provider) och överlåter detta till oss. Självfallet med ett certifikat accepterat av Microsoft. Inga problem så långt. Vi slipper helt enkelt invänta Microsofts signatur inför varje ny version av Net iD Enterprise. Men för kunder med Windows XP och Windows Server 2003 kommer det att gå åt pipan så snart man installerar den kommande Net iD 6.1 Enterprise. men om man installerar Microsoft patch 2836198 så fungerar allt som vanligt.
http://support.microsoft.com/kb/2836198/en-us

 

Allowed or Blocked?

Sitter du och testar 6.0.2/6.0.3 och trimmar Net iDs konfiguration för att inte binärerna i ditt journalsystem ska blockas när anrop görs mot Net iD Plugin?

Läs mer på här! (kräver inloggning med kort)

 

Innan du uppgraderar till Chrome 29...

Vid uppgradering till Chrome 29 på Windows XP, Windows 7 och Windows 8 plockar Google bort Net iD:s Plugin. Det hänger samman med att Google infört en möjlighet att på Windows 8 växla mellan "desktop-mode" och "tablet-mode". I "tablet-mode" tillåts, precis som i IE10/11, inga plugins. Man kan återställa pluginen genom att köra Net iD:s installationsprogram igen. Vi klurar just nu på hur vi bäst tacklar problemet. (Växla till "tablet-mode")

 

Datainspektionen om surfplattor

Många undrar om man får använda surfplattor i verksamheter som hanterar känsliga personuppgifter. Handfasta råd finns nu från Datainspektionen som har granskat tre kommuner och i samband med det skapat en checklista. Läs mer...
Här några skärmdumpar från ett av många MDM-system som kan behövas för att förenkla uppfyllandet av DI's krav:
Exempel iOS och Exempel Android

 

Spara ström är bra, men inte alltid utan bieffekter

När man installerar drivrutiner för olika kortläsare uppmärksammar man sällan att vissa installeras med strömspar PÅ medan andra installeras med strömspar AV.

Det har dock visat sig att strömsparfunktionen kan ställa till med en del märkliga bieffekter i applikationer som pollar efter kort på ett visst sätt. Ta därför för vana att stänga av strömsparfunktionen om du får problem och istället byta till treglasfönster, källsortera eller göra annan kompensatorisk miljöinsats. Under tiden nystar vi i den bakomliggande problematiken.