den nye digitale signatur –nemid afp-brugergruppen · afp-brugergruppen peter lind damkjær pki...
TRANSCRIPT
Den nye Digitale Signatur – NemID
AFP-Brugergruppen
Peter Lind Damkjær
PKI Specialist
10. november 2009
Agenda
• Hvad er DanID for en størrelse?
• Krav til den nye løsning
• Delaftale 1 – borgerdelen
• Delaftale 2 – erhvervsdelen• Delaftale 2 – erhvervsdelen
• Lidt om fremtiden
• Spørgsmål
Introduktion til DanID
• Et selskab i PBS koncernen – 100% ejet af PBS
• Bygger på kompetencer fra både TDC og PBS
• > 40 medarbejdere – primært i Århus
• Er ansvarlig for alle PKI relaterede aktiviteter • Er ansvarlig for alle PKI relaterede aktiviteter
• Udpeget af Videnskabsministeriet til at udvikle og drive digital signatur de næste 5 år
• Aftale med bankerne om ny netbanksikkerhedsløsning
3
Én fælles sikkerhedsløsning
• Sikrer kritisk masse
• Sikrer at brugerne får rutine
• Letter kommunikationen
• Skaber tillid hos både brugere og tjenesteudbydere• Skaber tillid hos både brugere og tjenesteudbydere
4
Løsningen set fra en helikopter
Tjenester
RA DanID
6
RA
LRA
DCH
CPR CVR
PID/RID
DanID
SignaturServer
Bruger-database
Rigs-politiet
CAOff.
LDAPDanID.dk
DCH – Den Centrale Hjemmeside
Borgere
Engangskode
Bruger-ID
Kodeord Mindst 6 tegn
CPR og selvvalgt kaldenavn
9
Engangskode (OTP)
Token
PIN Mindst 4 cifre
Borgere - Registrering
• Online registrering
• Dansk pas/kørekort
• Online-migrering fra netbanker
• Netbank-login• Netbank-login
• Fysisk fremmøde i kommune eller egen bank
• Dokumentation iht. lov om hvidvask
10
Borgere - Browseranvendelse
Operativsystem
Browser med Java
11
Signatur-Server
OpenOCESapplet 2
Sikker protokol
OpenOCESapplet 1
CAPI el. PKCS#11
Applets hovedfunktionalitet
• OpenLogon
• Login via browser
• Signering af ”Luk mig ind”.
• OpenSign
• Signering af rå tekst (What-you-see-is-what-you-sign)
12
Signering – et typisk scenarie
XML, PDFmm.
Tekst XMLDsig
Tekst
1.4.
Arkiv
5.
5.
13
XMLDsig
Tekst
2. 3.Serverside
Klientside
1. Transformation2. Tekst til applet3. Sign. tekst fra applet4. Verifikation5. Arkiv og viderebeh.
OpenSign / OpenLogon applets
• Java-applet• Understøtter både OCES I og OCES II• Understøtter alle ”OCES-medier”
• OTP• USB-token/smartcard• USB-token/smartcard• Filbaserede signaturer (Medarbejdercertifikater og OCES I person)• Etc.
• Mange konfigurationsmuligheder• Output som XMLdsig (eller OIO-SAML for login)• Filtrering på signaturtype (Person eller Medarbejder)• Filtrering på udsteder (OCES I eller OCES II)• Flere sprog
• Væsentlig bedre dokumentation end nuværende løsning• Open Source Dual-licens
14
Borgere - Standardapplikationer
Windows OS
MS CAPI PKCS11-
Standard appl.
Mac/Linux OS
Standard appl.
15
DanID CSP
MS CAPI PKCS11-wrapper
PKCS#11-modul
* Samme brugeroplevelse som OpenLogon
** **
Sikker protokolSignatur-Server
Erhvervsløsninger (Medarbejdersignatur)
Løsninger videreføres i vid udstrækning fra OCES I inkl.
• Certifikattyper
• Medarbejdercertifikater
• Virksomhedscertifikater• Virksomhedscertifikater
• Funktionscertifikater
• Signaturserver til medarbejdersignaturer
• LDAPter
• Medarbejdersignatur Avanceret (Split-signatur)
• Attributtjenesten
• Understøttelser af 3. parts leverandører (smartcard o.lign.)
17
Erhvervsløsninger (Medarbejdersignatur)
Nye tiltag:
• LRA -> Selvbetjening
• Medarbejder-præregistrering (inkl. WS til Tjenesteudbydere)• Medarbejder-præregistrering (inkl. WS til Tjenesteudbydere)
• Straksbestilling og -installation
• Førstegangsbestilling vha. personlig OCES signatur
• Straksinstallation af medarbejdersignatur vha. personlig OCES signatur
• Administration på tværs af CVR
18
Mulige ønsker til applet fra markedet?
• Signering af (subset af) HTML?
• Signering i PDF?
• Understøttelse af bilag?
21