Net iD Service
 

Släpp sargen och kom in i matchen!

Sidan granskad/uppdaterad: 2015-08-28

SecMaker har sedan länge ett uttalat mål att stå oberoende från kortleverantörerna och därigenom erbjuda våra kunder marknadens bästa PKI-klient för det vi kallar 'tillämpad PKI', till skillnad från alla de lösningar på PKI-området som endast erbjuder stöd för 'teoretisk PKI'. Våra kunder ska alltså kunna byta kort och kortleverantör utan att behöva byta programvara, eller kombinera kort från olika leverantörer i de fall så krävs. Detta ställer förstås stora krav på oss som t.ex.
- Välfungerande produkter som följer marknaden
- Samarbeten med alla för våra marknader relevanta kortleverantörer
- Bra support
- Kunniga integratörer
- Pragmatism hos vår utvecklingsavdelning, läs; skapa workarounds för att lösa andras buggar
Sköter vi inte detta tillräckligt bra åker vi förstås ut med badvattnet förr eller senare.

Innan du läser vidare bör du beakta att SecMaker på intet sätt kan sägas vara opartiska. SecMaker är underleverantör till Telia/Cygate som i sin tur är leverantör till Inera. Men bara för att man är partisk så behöver det i sig inte innebära att man också är onyanserad. Läsarna får döma...

Företaget Nexus har via sitt köp av PAS Card stärkt sin position som leverantör av kort. Det tycker vi på SecMaker är toppen. Marknaden för kortbaserade lösningar mår väl av konkurrens både avseende tekniska lösningar och prisnivå. Nexus är nu en av fem leverantörer på ramavtalet för tjänstekort och SecMaker arbetar redan med att de kort Nexus levererar ska kunna användas tillsammans med alla våra produkter, t.ex. för avancerad sessionsåtertagning i Citrixmiljöer och för användning med iPads och Androidplattor. Så långt ingressen, nu till saken:

Nexus har i flera år gått runt och varit missnöjda över det faktum att "man inte kan lägga SITHS-certifikat på vilka kort man vill".

Detta kan man på sätt och vis hålla med Nexus om. Nu när vi har fem kortleverantörer på ramavtal vore det väl på sin plats med lite prispress och stöd för gamla EMarine bara för att ta ett par exempel. Men nu när Inera häromsistens justerade kursen blev Nexus om möjligt ännu mer indignerade:

Klippt från: https://www.nexusgroup.com/sv/foretag/events/sambi-event-september-2015/

Edit 2015-08-28: Sedan denna artikel skrev har Nexus uppdaterat sin inbjudan

Men vänta nu, vad ligger bakom allt detta? Kan det vara så att det finns goda skäl till att vara lite försiktig med att lägga SITHS-certifikat på "egna tjänstekort"? Kan det också vara så att det Inera annonserat faktiskt skulle kunna innebära att t.ex. Nexus får en guldsits framgent om man sköter sina kort rätt?
Men vänta nu en gång till: "kombinera olika certifikat på sina egna tjänstekort"... men, det kan man ju redan, SecMaker har många kunder som gör just det; de kombinerar Telia e-legitimation med SITHS-HCC samt egenutfärdade certifikat på ett och samma tjänstekort. Tjänstekort som de själva utformat enligt eget tycke gällande det visuella utseendet. Det hela fungerar utmärkt.

Aha, Nexus menar förstås att man inte kan göra detta på just de kort som de själva levererar. Det var där skon klämde, vilket förstås är helt rationellt, för Nexus. Kanske skulle de ha formulerat sig såhär:

"Ovanstående innebär att kommuner som har haft en förhoppning att kombinera olika certifikat på sina egna tjänstekort som köpts från Nexus (inkl. SITHS-HCC) får vänta ytterligare innan detta ens är teoretiskt möjligt.

Nåväl, Nexus har kanske en poäng men för att kunna navigera i denna fråga kan man behöva en del bakgrundsinformation. Så vi får ta det från början och steg för steg. Häng med!

Fundamenta inom SITHS

SITHS har ett antal gemensamt överenskomna grundpelare för att hävda sin trovärdighet som tjänstelegitimationsutfärdare (formulerat lite mjukare än på det sedvanliga och lite torra CP/CPS-språket)

§1
Tillitsnivån på allt certifikatsutfärdande är nära kopplat till under vilka omständigheter användarnas privata nycklar skapas. SITHS har valt att låta all nyckelgenerering ske i kortfabrikens strikt åtkomstskyddade off-line miljö. Ingen nyckelgenerering sker ute i slutanvändarmiljön. Förvisso kan man tänka sig att några onda personer i förening skulle kunna göra dumheter även i en strikt åtkomstskyddad produktionsmiljö men den saken låter sig lite lättare kontrolleras än om nyckelgenereringen för en hel ID-infrastruktur är spridd på 20 + 290 olika ställen runt om i landet.

§2
Alla ordinarie kort förses med certifikat i fabriken, självfallet efter att beställning gjorts enligt överenskomna rutiner, t.ex. SIS Capture Station. Apropå överenskomna rutiner så kan tilläggas att man ville förlita sig på ett befintliga regelverk för identifiering av individen och knytning av nycklar till denne istället för att ta fram och sätta upp ett eget regelverk från scratch. Alla ordinarie kort har därför Telia e-legitimation som statiska bascertifikat, vilka garanterar nycklarnas ”äkthet”, och SITHS-certifikaten är sekundära certifikat som är utbytbara, dvs ska kunna tas bort och ersättas med nya om användaren byter roll eller annat i sin anställning som behöver avspeglas i det faktiska certifikatsinnehållet.

§3
Reservkort levereras INTE tomma, de har både nycklar och transportcertifikat som inte kan raderas. Dvs även nycklarna för reservkort skall genereras under kontrollerade former och knytas till bascertifikat från en betrodd utfärdare. Transport(bas)certifikaten är opersonliga men unika för varje enskilt kort och kopplas samman med den person som ska erhålla SITHS-certifikaten. Överenskommen rutin används för den visuella identifieringen av den tilltänkte reservkortsmottagaren

§4 Korten skall vara tillverkade av en typ av plast som håller länge, dvs inte PVC-kort.
(PVC-kort kan inte användas för riktiga ID-kort och kan inte heller bära EMarine inne i plasten)

§5 Hela lösningen skall genomgå årliga revisioner. Seriösa revisioner kostar så det kan vara en god idé att samverka för att om möjligt få ett bättre pris än vad 20 + 290 separat avropade revisioner skulle kunna kosta. Revisionerna sker på tre olika nivåer; utfärdaren av bascertifikaten, utfärdaren av tjänstecertifikaten samt ute i RA-ledet.

§6 Det ovanstående ger en del följder för den kortleverantör som gör anspråk på att kunna leverera personliga kort till SITHS eller ge ut kort som i efterhand kan förses med SITHS-certifikat:
- Alla kort skall innehåll två nyckelpar som ej är raderbara (ställer krav på kortprofilens accessregler)
- Ordinarie kort skall innehålla ej raderbara certifikat kopplade till personnummer (ställer krav på kortprofilens accessregler)
- Reservkort skall innehålla ej raderbara certifikat kopplade till kortnummer (ställer krav på kortprofilens accessregler)
- All produktion av kort/nycklar samt utfärdande av bascertifikat ska följa regelverk som i dagsläget motsvarar dem som för t.ex. Telia e-legitimation med tillhörande årliga resurs- och kostnadskrävande granskningar

Dessa principer kan man hålla med om. Man kan också tycka att de är för långtgående. Man kan säkert även peka på detaljer i kedjan som kan göras på annat sätt. Oavsett vad man tycker kan nog de flesta hålla med om att det är klokt att basera en nationell PKI-infrastruktur på gemensamma principer.

Nån tycker säkert att lösenord vore smidigast... men den diskussionen tar vi inte här ;-)

En stor båt kan behöva ta lite tid på sig för att svänga

Dvs, att reformera SITHS för att kunna ”lägga cert på andra kort än Telias” är en större fråga än att bara låta landsting och kommuner avropa från vem som helst av de fem leverantörerna på ramavtalet. Faktum är att man redan försökt bredda upplägget när det gäller antalet betrodda certifikatutfärdare inom systemet men den gången föll det på helhetslogistiken.

Hursomhelst, om man vill reformera SITHS i syfte att få in fler kortleverantörer måste man till syvende och sist göra ett tämligen basalt vägval:

A)
Slopa de gemensamt överenskomna grundprinciperna och öppna upp för nya helt nya utfärdanderegler.

eller...

B)
Hitta ett smart sätt att för nytillkomna kortleverantörer att uppfylla de gemensamt överenskomna grundprinciperna för nyckelgenerering och utfärdande. (Samt fila till ett eller annat vasst hörn)

För oss på SecMaker känns B) som ett självklart val, gärna kombinerat med uppdaterade grundprinciper som t.ex. skulle kunna tillåta att filbaserade nycklar levereras till de plattformar där säkerheten bedöms tillräcklig, gärna nån form av self service som använder befinligt smart kort som nyckel till att kunna få ut de filbaserade nycklarna. Det hela dock med begränsningen att vissa system kanske även fortsatt bör kräva kort.

Att köra A) alternativet skulle ta en faslig tid, SITHS har sedan länge en ambitiös säkerhetsnivå så det lär bli en del diskussioner innan beslut kan fattas. Till dig som då frågar; "Jamen, hur svårt kan det vara"? så svarar vi; "Hur svårt som helst". Tillitsbyggande handlar så lite om teknik och så mycket om människor som ska prata sig samman, vilket tar tid. Se på Sambi och andra goda initiativ, det tar tid. Dessutom ligger det i farans riktning att säkerhetsnivån blir lägre än idag. Vill vi det? Om vi gemensamt kommer fram till att SITHS är FÖR säkert... ja då får vi förstås ändra. Men är det för säkert? Bör nyckelgenereringen hanteras lite mer distribuerat? Lite mer frihet under ansvar?

Hur skulle B) kunna öppna upp för fler kortleverantörer?

Alternativ B) är säkerligen på gång, alldeles oavsett om den beryktade upphandlingen hade fortsatt som planerat eller om man som nu söker andra alternativ, t.ex. MyndighetsCA. Vem tror på fullt allvar att Inera suttit på kammarn' och konspirerat fram en plan som för evigt ska cementera Gemalto som allenarådande kortleverantör? Särskilt med tanke på att det finns fem leverantörer på ramavtalet. Men, oavsett avtalsmässig konstruktion kan de förstås inte släppa in in vad som helst och hur som helst. Minns de grundläggande principerna och dessas påverkan ända ner på kortprofilsnivå. (Vill man totalreformera hela uppsättningen av grundprinciper så är man förstås välkommen att påbörja även den processen)

SecMaker hävdar, med utgångspunkt från vår utsiktspunkt i tillvaron, att kortleverantörer som vill vara med i matchen framgent bör bemöda sig om att tillhandahålla kortprodukter som ända ner på accessregelverksnivå i själva filsystemet svarar mot de krav som finns därute. Även om få kunder är kapabla att uttrycka sig just ner till den nivån. Vidare bör man kunna leverera produkter både för central- och decentraliserad utgivning. Kombineras detta med smarta samarbeten med relevanta certifikatsutfärdare så har man goda möjligheter att kunna få leverera tusentals kort, kanske hundratusentals på några års sikt.

Med detta vill vi ha sagt; Varför inte gilla läget, kavla upp ärmarna och se möjligheter?

SecMaker är alltid intresserade av att addera stöd för schyssta kort som ska användas, inte bara utfärdas! Vi kallar det "tillämpad PKI". Minns var du läste det uttrycket första gången ;-)

Med vänliga hälsningar och utmärkt högaktning,
SecMaker AB

Extramaterial

Men hallå där, invänder vän av ordning, detta handlar inte bara om att få in fler kortleverantörer!
- Varför är det bara Telia som får utfärda bascertifikaten?
- Varför är det bara Inera AB som utfärdar själva SITHS-certifikaten? Dvs. varför kan inte en kommun få utfärda egna certifikat och få dem jämställda med SITHS-certifikaten från Inera?
- Och dessutom, vem bryr sig om certifikaten? Vi ska ju ändå använda Sambi och federation/SAML/OATH!
- SITHS regler är så stelbenta, man kan inte ta foto och printa ut sina egna kort, dessutom stödjer SITHS-korten inte EMarine.
- PIN-koderna hanteras på ett så besvärligt sätt inom SITHS

Ojojoj, det var många frågor på en gång, vi får ta dem en i sänder:

Q: Varför är det bara Telia som får utfärda bascertifikaten?
A: Därför att Telia vann senaste upphandlingen. Dessutom finns det i stora infrastrukturbyggen inte sällan en nivå upp till vilken det kan finnas goda skäl att bara göra på ett enda sätt. Man kan diskutera var exakt denna gräns bör dras i nationella PKI-byggen. Men tro oss när vi säger; det är inte tekniken i sig som avgör var det blir praktiskt att dra gränsen.


Q: Varför är det bara Inera AB som utfärdar själva SITHS-certifikaten? Dvs. varför kan inte en kommun få utfärda egna certifikat och få dem jämställda med SITHS-certifikaten från Inera?
A: För att det är bestämt så, än så länge. Men kanske kan det vara så att det är lite praktiskt att ha en gemensam utfärdare istället för hundratals... vars CP/CPS ska granskas av alla andra förlitande parter. Å kom nu inte dragande med fluffet om att allt detta med CP/CPS regleras i de tillitsramverk som styr alla de goda federationer som är under uppbyggnad vilket skulle göra behovet av att alla-granskar-alla är borta. Bah! Som om svenska myndigheter, landsting, kommuner, privata vårdgivare hade en toppenfin beredskap för att inom ett par år införa federationsbaserade lösningar på ett mera heltäckande sätt. Bah! De är alla alltför uppbundna av IT-branschens generellt sett bisarrt röriga erbjudanden. Men visst, nu lugnar vi ner oss; det är jättebra med dessa federationsinitiativ, de kommer vi alla att ha stor nytta av framöver. Men under tiden kommer vi också ha nytta av en gemensam PKI-lösning, det är nämligen som så, och nu kommer det ett stort avslöjande:

Gemensamma lösningar på PKI-området kan gynna de gemensamma federationsiniativen


Q: Och dessutom, vem bryr sig om certifikat och kort? Vi ska ju ändå använda Sambi och federation/SAML/OATH!!
A: Jo visst, men försök att logga in i Windows med en SAML-ticket. Försök att återta en Citrixsession med en SAML-ticket. Försök att signera en förskrivning med en SAML-ticket. Försök att signera ett mail med en SAML-ticket. Försök att logga in i 90% av dagens vård och omsorgssystem med en SAML-ticket. Nä, än så länge behövs en robust PKI-infrastruktur som fundament, för många olika saker. SAML/OATH kommer att hjälpa oss i många lägen framgent, men här och nu måste också tas om hand.

Q: SITHS regler är så stelbenta, man kan inte ta foto och printa ut sina egna kort, dessutom stödjer SITHS-korten inte EMarine.
A: Ja, gemensamma säkerhetslösningar på ID-området SKA vara lite stelbenta. Gällande det där med att man måste kunna printa på egen plastbit... jovisst kan man sitta och utfärda kort vars utsida är lika mycket visuellt ID som en nyckelring från en tuggummiautomat, men det är något annat än den ambitionsnivå som SITHS har. Det är inte fel att printa själv, bara nåt annat är fabrikstillverkade kort med SIS-märkning. "Jamen SIS är overkill för oss", hävdar vissa. Stämmer bra det, i vissa fall kan det vara så, men då går det utmärkt att utfärda andra typer av kort till de som det är overkill för. Så var är då haken? Vi på SecMaker tror det rör pengarna. Det finns en tro på vissa håll om att det finns enorma besparingar att göra på att vara sin egen kortfabrik. Kanske det, men skillnaden är mindre än vad man tror, särskilt om man vill upp på den säkerhetsnivå som SITHS lagt sig på. Eller rättare sagt, det är tämligen knivigt att skapa en kort och certifikatsutgivning i egen regi och med samma säkerhetsnivå för en mindre peng. Det finns det kommuner som räknat på. Ja just det, EMarine; det är sant att SITHS-korten inte kan bära RFID-tekniken EMarine. En del kommuner har kvar passagesystem som bara klarar EMarine. Typiskt! Men alla dessa planerar att byta ut EMarine mot Mifare, iClass eller nåt modernare. Så vad gör man i väntan på det?
- Hänger läpp, klagar på SITHS och trycker upp sina egna kort, eller....
- Gör som Falkenbergs kommun som under en övergångsperiod limmar på en EMarine-slinga på SITHS-kortens baksida

Q: PIN-koderna hanteras på ett så besvärligt sätt inom SITHS
A: Jo, att korten kommer en väg och PIN en annan väg är en del i säkerheten. Men visst, man kan förenkla det genom att varje enskild kortadministratör lämnar över både kort och koder. Eller någon annan förenklad och mindre säker rutin. Men det innebär samtidigt att tilliten sänks.