Försäkringskassans principer för e- tjänstelegitimationer

Transkript

1 Försäkringskassans principer för e- tjänstelegitimationer Version Rev A Copyright, Försäkringskassan Sid. 1 (31)

2 Innehåll 1 OMFATTNING REFERENSER DEFINIONER OCH FÖRKORTNINGAR DEFINIONER FÖRKORTNINGAR ALLMÄNNA BEGREPP UTFÄRDARE (CA) CERTIFIERINGSTJÄNSTER CERTIFIKATPOLICY OCH UTFÄRDARDEKLARATION NYCKELINNEHAVARE INTRODUKTION TILL DESSA E-TJÄNSTELEGIMATIONSPRINCIPER FÖRÄNDRINGSRUTIN ÅTAGANDEN FÖRSÄKRINGSKASSANS ÅTAGANDEN NYCKELINNEHAVARNAS ÅTAGANDEN FÖRLANDE PARTS ÅTAGANDEN KRAV PÅ RUTINER FÖR CERTIFIERINGSTJÄNSTEN UTFÄRDARDEKLARATION PKI LIVSCYKELHANTERING AV NYCKLAR Skapande av Försäkringskassans nycklar Lagring, backup och återskapande av Försäkringskassans nycklar Distribution av Försäkringskassans publika nyckel Nyckeldeponering Användning av Försäkringskassans nycklar Avslutning av utfärdarnycklarnas livscykel Livscykelhantering av kryptografisk hårdvara Av Försäkringskassan tillhandahållen nyckelgenereringstjänst Preparering av smart kort PKI LIVSCYKELHANTERING AV E-TJÄNSTELEGIMATIONER Användarregistrering Förnyande och uppdatering av e-tjänstelegitimationer och nycklar Skapande av e-tjänstelegitimationer Spridning av användarvillkor Spridning av e-tjänstelegitimationer Spärr av e-tjänstelegitimationer DRIFT OCH LEDNING Säkerhetsledning Klassificering och hantering av tillgångar Personsäkerhet Fysisk säkerhet Driftshantering Hantering av systemåtkomst Installation och underhåll av pålitliga system Kontinuitetsplanering och incidenthantering Upphörande av certifieringstjänster Uppfyllande av legala krav Registrering av uppgifter gällande e-tjänstelegitimationer BILAGA A: KORSREFERENS Copyright, Försäkringskassan Sid. 2 (31)

3 Versionshantering Datum Version Ändring Rev A Fastställande av dokument Rev A Smärre uppdateringar i kap c, kap e Copyright, Försäkringskassan Sid. 3 (31)

4 1 Omfattning Försäkringskassans principer för e-tjänstelegitimationer beskriver krav för: 1. att utfärda och använda e-tjänstelegitimationer, kopplade till privata nycklar skyddade i chip på smart kort 1 eller annan maskinvara med motsvarande säkerhetsegenskaper, och 2. att spärra och kontrollera spärr för sådana e-tjänstelegitimationer och relaterade smarta kort samt tillhandahålla tjänster för spärrkontroll. De uppgifter som finns i Försäkringskassans e-tjänstelegitimationer tas fram i enlighet med e-tjänstelegitimationsprinciperna i detta dokument. I den mån det finns uppgifter tryckta på respektive smart kort ska dessa ej vara motstridiga med uppgifterna i e-tjänstelegitimationen. Försäkringskassan svarar för de åtagande som anges i kapitel 6.1 även om någon annan utför åtgärderna på uppdrag av Försäkringskassan. Ändamålet med Försäkringskassans e-tjänstelegitimationsprinciper är: 1. att ange de rutiner som ska tillämpas av Försäkringskassan vid utfärdande och spärr av e-tjänstelegitimationer och de åtaganden som övriga aktörer avses göra, och 2. att bidra till att reducera och tydliggöra de finansiella, operativa och juridiska riskerna, och därigenom skapa tillit, hos förlitande parter, till Försäkringskassans e-tjänstelegitimationer som utfärdas i överensstämmelse med dessa principer och de elektroniska underskrifter som verifieras med hjälp av e-tjänstelegitimationerna. Den förlitande part som tar emot en e-tjänstelegitimation eller en elektronisk underskrift som verifieras med hjälp av en e-tjänstelegitimation som utfärdats av Försäkringskassan i enlighet med dessa e- tjänstelegitimationsprinciper: 1. svarar enligt kapitel 6.3 för att kontrollera att e- tjänstelegitimationen och den elektroniska underskriften är äkta, att e-tjänstelegitimationen är giltig och inte har spärrats samt att den endast används för ändamål som är förenliga med dessa e- tjänstelegitimationsprinciper och Försäkringskassans utfärdardeklaration, och 2. bedömer utifrån e-tjänstelegitimationsprinciperna och Försäkringskassans utfärdardeklaration om e-tjänstelegitimationen 1 Notera att det inte är ett krav i dessa e-tjänstelegitimationsprinciper att det smarta kortet måste vara ett SIS-godkänt tjänstekort. Därför kommer i fortsättningen benämningen smart kort eller endast kort att användas. Copyright, Försäkringskassan Sid. 4 (31)

5 och den elektroniska underskriften kan anses vara tillförlitliga för den användning som är aktuell i det enskilda fallet. Vid tolkning av e-tjänstelegitimationsprinciperna gäller följande: 1. Rubrikerna i detta dokument följer i huvudsak europeisk praxis [ETSI QCP]. Vid tolkning av Försäkringskassans e- tjänstelegitimationsprinciper ska texten under varje rubrik ges företräde framför formuleringar och uttryck i rubriker. 2. Detta dokument anger miniminivåer för rutiner och säkerhetskrav. Copyright, Försäkringskassan Sid. 5 (31)

6 2 Referenser I detta dokument refereras till följande information: [SignaturLag] [X.509] [ISO 9001] [ISO 15408] [ISO 27001] [ISO 27002] [RFC 3647] [RFC 5280] [ETSI QCP] [SBC 151-U] Lag (2000:832) om kvalificerade elektroniska signaturer. U-T Recommendation X.509 (08/2005): Information Technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks. SS-EN ISO 9001:2008, Ledningssystem för kvalitet Krav ISO/IEC (2005) (Parts 1-3): Information technology Security techniques Evaluation criteria for security. SS-ISO/IEC 27001:2006, Ledningssystem för informationssäkerhet Krav SS-ISO/IEC 27002:2005, Riktlinjer för styrning av informationssäkerhet RFC 3647: Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework, Santosh Chokani, Warwick Ford, Randy V. Sabett, Charles R. Merrill, Stephen S. Wu, IETF, November 2003, RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, David Cooper, Stefan Santesson, Steven Farrell, Sharon Boyen, Russel Housley, Tim Polk, IETF, May 2008, ETSI TS V1.4.3 ( ): Electronic Signatures and Infrastructure (ESI); Policy requirements for certification authorities issuing qualified certificates, Technical specification. SBC 151-U, Särskilda Bestämmelser för Certifiering av överensstämmelse med standard, Utgåva 14, , (SS ), [FIPS 140-2] FIPS PUB 140-2: Federal Information Processing Standards Publication Security Requirements for Cryptographic Modules, May 25, 2001, [TCP] Bilaga 3: Tjänstecertifikatpolicy, Version 2.3, Skatteverket, Copyright, Försäkringskassan Sid. 6 (31)

7 3 Definitioner och förkortningar Termer och förkortningar som förekommer i dokumentet: 3.1 Definitioner Term Beskrivning Certifikat Publika nyckeln för en användare tillsammans med annan information som säkrats genom att de signerats av utfärdarens privata nyckel. [ETSI QCP] Certification En auktoritet som är betrodd av en eller flera användare att skapa och Authority (CA) tilldela certifikat. En CA kan även skapa användarnas nycklar. [X.509] CA-certifikat Ett certifikat för en CA utfärdat av en annan CA. [X.509] Certifikatpolicy En namngiven uppsättning regler som anger tillämpningen av ett certifikat till en viss gemenskap och/eller klass av tillämpningar med gemensamma krav på säkerhet. [X.509] E-tjänstelegitimation Certifikat som identifierar en fysisk person (med namn och unik beteckning) och att denne är knuten till en organisation (med namn och organisationsnummer). Förlitande part En användare eller agent som förlitar sig på uppgifterna i ett certifikat för att fatta beslut. [X.509] Kryptosystem En samling transformationer från klartext till chiffertext och vice versa, där en specifik transformation väljs ut med en nyckel. [X.509] Nyckelinnehavare Fysisk person som är i besittning av den privata nyckel som korresponderar mot den publika nyckeln i ett certifikat. Personnummer Identitetsbeteckning för varje folkbokförd person i Sverige enligt 18 folkbokföringslagen (1991:481) Privat nyckel (I ett asymmetriskt kryptosystem) Den nyckel av en användares nyckelpar vilken endast är känd av den användaren [X.509]. Publik nyckel (I ett asymmetriskt kryptosystem) Den nyckel av en användares Public Key Infrastructure (PKI) nyckelpar som är publikt känd [X.509]. En infrastruktur som kan stödja hanteringen av publika nycklar som kan användas för autentisering, kryptering, integritet eller oavvislighetstjänster. [X.509] Samordningsnummer En enhetlig identitetsbeteckning som utfärdats av Skatteverket för fysiska personer som inte är eller har varit folkbokförda i Sverige. Består av tio siffror där de första sex siffrorna utgår från personens födelsetid. Talet för födelsedag ökas dock med talet 60. Därefter följer i likhet med personnummer, fyra siffror. [SBC 151-U] Spärrlista Utfärdare Utfärdardeklaration (CPS) Elektroniskt undertecknad lista av certifikat som inte längre anses giltiga av certifikatutfärdaren. [X.509] Utfärdare av e-tjänstelegitimationer. I detta dokument liktydigt med Certification Authority (CA). En redogörelse för de rutiner som en CA använder för att utfärda certifikat. [X.509] Copyright, Försäkringskassan Sid. 7 (31)

8 3.2 Förkortningar Förkortning Fullständigt uttryck CA CPS CRL ETSI PIN PKI PUK RSA Certification Authority Certification Practice Statement Certificate Revocation List European Telecommunications Standards Institute Personal Identification Number Public Key Infrastructure PIN Unblocking Key Rivest Shamir Adleman Copyright, Försäkringskassan Sid. 8 (31)

9 4 Allmänna begrepp 4.1 Utfärdare (CA) Den part som är betrodd av användare av certifieringstjänster att skapa och utfärda certifikat benämns CA eller certifikatutfärdare. Termen utfärdare har valts framför CA eftersom det är på svenska och tros underlätta förståelsen för läsare som inte är så insatta i PKI. Utfärdaren har det övergripande ansvaret för att tillhandahålla certifieringstjänster enligt kapitel Certifieringstjänster Certifieringstjänsterna är uppdelad i följande delar: Registreringstjänst: Verifierar nyckelinnehavarens identitet och i förekommande fall särskilda attribut hos denne. Resultatet av denna verifiering skickas vidare till certifikatgenereringstjänsten. Certifikatgenereringstjänst: Skapar och signerar certifikat baserat på den identitet och andra attribut som verifierats i registreringstjänsten. Spridningstjänst: Sprider certifikat till nyckelinnehavare samt, under förutsättning att nyckelinnehavaren går med på det, gör dem tillgängliga för förlitande parter. Denna tjänst tillhandahåller även utfärdarens villkor, samt eventuell publicerad certifikatpolicy och utfärdardeklaration till nyckelinnehavare och förlitande parter. Spärrtjänst: Behandlar inkommen spärrbegäran och vidtar nödvändiga åtgärder. Resultatet av spärrtjänsten distribueras via spärrkontrolltjänsten. Spärrkontrolltjänst: Förser förlitande parter med information om certifikats status. Detta kan göras i form av spärrlistor eller en realtidstjänst. Statusinformation kan komma att uppdateras regelbundet och kan således riskera att inte visa ett certifikats nuvarande status. Kortutfärdartjänst: Preparerar och delar ut smarta kort till nyckelinnehavare. Nyckelgenereringstjänst: Skapar och delar ut nycklar åt nyckelinnehavare. Copyright, Försäkringskassan Sid. 9 (31)

10 4.3 Certifikatpolicy och utfärdardeklaration Ett certifikat kan innehålla ett fält som intygar att en certifikatpolicy gäller för certifikatet. Enligt [X.509] är en certifikatpolicy en namngiven uppsättning regler som anger tillämpningen av ett certifikat till en viss gemenskap och/eller klass av tillämpningar med gemensamma krav på säkerhet. En certifikatpolicy kan användas av en förlitande part som hjälp att avgöra huruvida ett certifikat är tillräckligt pålitligt samt i övrigt lämpligt för en viss tillämpning. En beskrivning av de tillvägagångssätt som en utfärdare tillämpar för att utfärda och på annat sätt hantera certifikat ingår i utfärdardeklarationen (CPS) som utfärdaren publicerar eller refererar till. Enligt [X.509] är en utfärdardeklaration en redogörelse för de rutiner som en utfärdare använder för att utfärda certifikat. I allmänhet beskriver en utfärdardeklaration även vilka tillvägagångssätt en utfärdare tillämpar för alla certifieringstjänster under ett certifikats livscykel (t.ex. utfärdande, förvaltning, spärr och förnyande) och lämnar detaljerade upplysningar om andra affärsmässiga, juridiska och tekniska angelägenheter. Bestämmelserna i en certifikatpolicy eller utfärdardeklaration kan, men behöver inte, utgöra ett bindande kontrakt för deltagarna i PKI:n. Det vanligaste är att ett avtal mellan parterna kan innehålla hänvisningar till en certifikatpolicy och/eller en utfärdardeklaration. 4.4 Nyckelinnehavare Med begreppet nyckelinnehavare avses den person som är i besittning av den privata nyckel som korresponderar mot den publika nyckeln i certifikatet. Begreppet har valts framför certifikatinnehavare för att slippa kvalificera begreppet såsom blivande certifikatinnehavare etc. [ETSI QCP] använder begreppet subjekt för nyckelinnehavare och abonnent för den part som ingår avtal om certifieringstjänst med utfärdare. Abonnenten kan vara samma part som nyckelinnehavaren (subjektet), men det kan även exempelvis vara nyckelinnehavarens arbetsgivare. Dessa begrepp, liksom även begreppet användare, har undvikits. Copyright, Försäkringskassan Sid. 10 (31)

11 5 Introduktion till dessa e- tjänstelegitimationsprinciper Försäkringskassans e-tjänstelegitimationsprinciper är registrerade av Försäkringskassan och tilldelad följande unika objektidentifierare: { iso(1) member-body(2) SE(752) Forsakringskassan(146) Policies(1) e- tjanstelegitimationsprinciper(1) version1(1) } Ovanstående objektidentifierare ska framgå i Försäkringskassans e- tjänstelegitimationer som utfärdas i enlighet med dessa e- tjänstelegitimationsprinciper. Termen principer används i stället för policy för att särskilja detta dokument från interna fastställda policydokument inom Försäkringskassan. Detta dokument använder samma dokumentstruktur som ETSI:s policy för kvalificerade certifikat [ETSI QCP]. 5.1 Förändringsrutin Förändringar som kan ske utan underrättelse De ändringar som kan göras av dessa e-tjänstelegitimationsprinciper utan underrättelse är språkliga justeringar och omdispositioner som inte påverkar säkerhetsnivån i beskrivna regler. Förändringar som kräver underrättelse Stora ändringar av dessa e-tjänstelegitimationsprinciper får företas 90 dagar efter underrättelse. Mindre ändringar, som endast berör ett fåtal nyckelinnehavare eller förlitande parter, får göras 30 dagar efter underrättelse. Försäkringskassan, som är administrationsansvarig för dessa e- tjänstelegitimationsprinciper, avgör om ändringar ska ske efter underrättelse inom 90 dagar eller 30 dagar eller om ändringarna är så omfattande att ett nytt dokument ska utfärdas. Copyright, Försäkringskassan Sid. 11 (31)

12 6 Åtaganden 6.1 Försäkringskassans åtaganden Försäkringskassan ska säkerställa att alla krav som specificeras i kapitel 7 är uppfyllda. Försäkringskassan ska säkerställa att den tillämpar rutiner som överensstämmer med kraven som föreskrivs i dessa e- tjänstelegitimationsprinciper, även om delar av Försäkringskassans verksamhet utförs av entreprenörer. För delar av Försäkringskassans certifierings- och spärrtjänster som någon annan utför svarar Försäkringskassan som om han hade utfört dem själv. Försäkringskassan ska kontrollera att sådana underleverantörer följer dessa e- tjänstelegitimationsprinciper samt utfärdardeklarationen. Försäkringskassan ska tillhandahålla alla certifieringstjänster i överensstämmelse med sin utfärdardeklaration. 6.2 Nyckelinnehavarnas åtaganden Försäkringskassan ska ha en förbindelse med nyckelinnehavarna där det ska framgå att nyckelinnehavarna ska uppfylla följande åtaganden: a) Intyga att tillhandahållen information till Försäkringskassan vid ansökan om e-tjänstelegitimationer är korrekt och fullständig och i enlighet med kraven i dessa e-tjänstelegitimationsprinciper; b) Endast använda sitt nyckelpar för de ändamål som anges i e- tjänstelegitimationen samt i överensstämmelse med övriga begränsningar som påkallats nyckelinnehavaren; c) Utöva rimlig försiktighet för att motverka att obehöriga kan använda den privata nyckeln; Detta omfattar bl.a. följande åtgärder: i. inte avslöja PIN eller annan säkerhetsrutin för annan, ii. skydda det smarta kortet på motsvarande sätt som ett värdeföremål, iii. inte förvara anteckning om PIN eller PUK så att någon annan får del av uppgifterna eller kan förstå att noteringen avser PIN eller PUK, iv. inte förvara anteckning om PIN eller PUK tillsammans med det smarta kortet, v. inte lämna ett smart kort obevakat. d) Omedelbart meddela Försäkringskassan, genom att göra en anmälan om spärr, om något av följande inträffar: i. Den privata nyckeln har förkommit blivit stulen eller misstänks blivit komprometterad; Copyright, Försäkringskassan Sid. 12 (31)

13 ii. E-tjänstelegitimationen innehåller felaktig eller gammal information. e) Om den privata nyckeln blivit komprometterad ska den omedelbart sluta användas; f) Om de blivit informerade om att Försäkringskassans privata nyckel, som signerat e-tjänstelegitimationen, blivit komprometterad ska e- tjänstelegitimationen sluta användas. 6.3 Förlitande parts åtaganden Försäkringskassan ska informera förlitande parter om att förutsättningarna för att det ska vara rimligt att förlita sig på en e-tjänstelegitimation är att förlitande part har: a) Bekräftat att e-tjänstelegitimationen är giltig och inte är spärrad, givet den aktuella spärrinformation som kommit den förlitande parten till del. b) Tagit hänsyn till eventuella begränsningar i vad e- tjänstelegitimationen får användas till, som kommit den förlitande parten till del, antingen i e-tjänstelegitimationen eller i Försäkringskassans villkor i utfärdardeklarationen. c) Vidtagit andra försiktighetsåtgärder som kan ha föreskrivs i avtal eller på annat sätt. En förlitande part som underlåtit att med tillbörlig omsorg fullgöra sina åtaganden, enligt ovan, kan inte med fog förlita sig på elektroniska underskrifter, e-tjänstelegitimationer eller spärrinformation enligt dessa e- tjänstelegitimationsprinciper. Copyright, Försäkringskassan Sid. 13 (31)

14 7 Krav på rutiner för certifieringstjänsten Detta kapitel beskriver säkerhetskrav på Försäkringskassan för utfärdande och spärr av e-tjänstelegitimationer avsedda för användning inom svenska myndigheter. Kraven anges i termer av säkerhetsmål, och följs därefter av mer specifika krav på åtgärder för att uppfylla dessa mål, där så krävs för att skapa det nödvändiga förtroendet för att dessa mål kommer att bli uppfyllda. 7.1 Utfärdardeklaration Försäkringskassan ska säkerställa att den påvisar nödvändig tillförlitlighet för att erbjuda certifieringstjänster. I synnerhet ska följande punkt iakttas: a) Försäkringskassan ska ha en utfärdardeklaration som svarar mot kraven i dessa e-tjänstelegitimationsprinciper. Copyright, Försäkringskassan Sid. 14 (31)

15 7.2 PKI Livscykelhantering av nycklar Skapande av Försäkringskassans nycklar Försäkringskassan ska säkerställa att dess nycklar skapas under kontrollerade förhållanden. I synnerhet ska följande punkter iakttas: a) Skapandet av Försäkringskassans nycklar ska ske i en fysiskt säker miljö och utföras av tillförlitlig personal och kräva minst dubbelkommando. Antalet personer som är betrodda att utföra denna funktion ska hållas så få som möjligt och uppfylla Försäkringskassans utfärdardeklaration. b) Försäkringskassans privata nyckel för signering ska lagras och användas i en kryptografiskt säker hårdvara, som antingen: - minst uppfyller kraven i [FIPS 140-2], nivå 3, eller - är ett pålitligt system motsvarande minst EAL4 enligt [ISO 15408], eller motsvarande säkerhetskriterium. c) Skapande av Försäkringskassans nycklar ska göras med en algoritm som är erkänd för detta ändamål. d) Den valda nyckellängden och signeringsalgoritmen för utfärdarnycklarna ska vara erkända för detta ändamål. e) En lämplig tid före utgången av utfärdarnycklarnas giltighetstid (som anges i Försäkringskassans certifikat) ska Försäkringskassan skapa nya nycklar och tillämpa alla nödvändiga åtgärder för att undvika driftsavbrott för alla parter som förlitar sig på utfärdarnycklarna. De nya utfärdarnycklarna ska också skapas och distribueras i enlighet med dessa e-tjänstelegitimationsprinciper Lagring, backup och återskapande av Försäkringskassans nycklar Försäkringskassan ska säkerställa att dess privata nycklar behandlas konfidentiellt och med bibehållen integritet. Särskilt ska följande punkter iakttas: a) Försäkringskassans privata nyckel för underskrift ska lagras och användas i en kryptografiskt säker hårdvara, som antingen: - minst uppfyller kraven i [FIPS 140-2], nivå 3, eller - är ett pålitligt system motsvarande minst EAL4 enligt [ISO 15408], eller motsvarande säkerhetskriterium. b) Utanför den kryptografiska säkra hårdvaran ska Försäkringskassans privata nyckel vara skyddad på samma säkerhetsnivå som ges av den kryptografiska säkra hårdvaran. c) Försäkringskassans privata nyckel får endast säkerhetskopieras, lagras och återläsas av medarbetare i betrodd ställning och kräva minst dubbelkommando i fysiskt säker miljö. Antalet personer som Copyright, Försäkringskassan Sid. 15 (31)

16 är betrodda att utföra denna funktion ska hållas så få som möjligt och uppfylla Försäkringskassans utfärdardeklaration. d) Säkerhetskopior av Försäkringskassans privata nycklar ska minst hanteras med samma säkerhetsåtgärder som nycklarna som för tillfället används. e) När nycklar lagras i en speciellt avsedd hårdvara för nyckelhantering ska sådan behörighetskontroll användas som säkerställer att nycklarna inte är åtkomliga utanför hårdvaran Distribution av Försäkringskassans publika nyckel Försäkringskassan ska säkerställa att det finns förutsättningar för att dess publika nyckel med tillhörande parametrar kan hållas autentisk och med bibehållen integritet under distributionen till förlitande parter. Förlitande part har ansvaret för att bereda sig tillgång till Försäkringskassans publika nyckel samt att förvissa sig om att den är äkta och giltig. Särskilt ska följande punkt iakttas: a) Försäkringskassans publika nyckel ska göras tillgänglig för förlitande parter på sådant sätt att dess integritet och ursprung med fog kan anses vara autentiskt Nyckeldeponering Försäkringskassan ska säkerställa att deponering av nyckelinnehavarnas nycklar ej förekommer Användning av Försäkringskassans nycklar Försäkringskassan ska säkerställa att dess privata nycklar inte används på ett olämpligt sätt. Särskilt ska följande punkter iakttas: a) Försäkringskassans nycklar som används för att elektroniskt underteckna e-tjänstelegitimationer, enligt 7.3.3, kan också användas för att underteckna andra sorters certifikat, samt spärrinformation, så länge som driftkraven för utfärdarsystemet, enligt till 7.2.3, till och 7.4, inte bryts. b) Försäkringskassans nycklar som används för att elektroniskt underteckna e-tjänstelegitimationer ska endast användas inom fysiskt säkra lokaler Avslutning av utfärdarnycklarnas livscykel Försäkringskassan ska säkerställa att dess privata nycklar inte används under längre tid än till slutet av sin livscykel. Särskilt ska följande punkt iakttas: Copyright, Försäkringskassan Sid. 16 (31)

17 a) Alla kopior av Försäkringskassans privata nycklar för elektroniska underskrifter ska förstöras när de uppnått slutet av sin livscykel Livscykelhantering av kryptografisk hårdvara Försäkringskassan ska säkerställa att säkerheten för den kryptografiska hårdvaran, som används för att elektronisk underteckna e- tjänstelegitimationer, upprätthålls under hela dess livscykel. Särskilt ska Försäkringskassan säkerställa att: a) Det inte sker någon åverkan eller manipulation av hårdvaran för elektroniskt undertecknande av e-tjänstelegitimationer och spärrinformation under transport. b) Det inte sker någon åverkan eller manipulation av hårdvaran för elektroniskt undertecknande av e-tjänstelegitimationer och spärrinformation under förvaring. c) Installation, aktivering, back-up och återskapande av Försäkringskassans nyckel för elektronisk underskrift i kryptografisk hårdvara ska kräva samtidiga handgrepp av minst två betrodda medarbetare. d) Hårdvaran för elektroniskt undertecknande av e- tjänstelegitimationer och spärrinformation ska fungera korrekt. e) Försäkringskassans privata nycklar för elektronisk underskrift, som lagras i kryptografisk hårdvara, förstörs när de tas ur drift Av Försäkringskassan tillhandahållen nyckelgenereringstjänst I de fall att nyckelinnehavarnas nycklar skapas av Försäkringskassan ska Försäkringskassan säkerställa att de skapas på ett säkert sätt samt att nyckelinnehavarnas privata nycklar hålls hemliga. Skapande av e-tjänstelegitimationer I de fall att nyckelinnehavarnas nycklar skapas av Försäkringskassan: a) Nyckelinnehavarnas nycklar ska skapas med en erkänd algoritm som anses lämplig för ändamålet under hela e- tjänstelegitimationens giltighetstid. b) Nyckelinnehavarnas nycklar ska vara av sådan längd och användas av sådan asymmetrisk kryptoalgoritm som anses lämplig för ändamålet under hela e-tjänstelegitimationens giltighetstid. c) Försäkringskassan ska säkerställa att nycklarna skapas i en kontrollerad miljö som håller hög säkerhet samt att de skyddas på ett smart kort. d) Nyckelinnehavarnas privata nycklar ska levereras till nyckelinnehavarna på ett sätt som säkerställer att nycklarnas konfidentialitet och integritet inte komprometteras och den privata Copyright, Försäkringskassan Sid. 17 (31)

18 nyckeln ska endast kunna användas av nyckelinnehavaren efter att nycklarna levererats till nyckelinnehavarna. e) Efter leverans till nyckelinnehavaren ska alla eventuella kopior av nyckelinnehavarens privata nyckel förstöras av Försäkringskassan Preparering av smart kort Försäkringskassan ska säkerställa att smarta kort utfärdas på ett säkert sätt. Anskaffande av smarta kort I de fall att Försäkringskassan även utfärdar smarta kort ska Försäkringskassan särskilt säkerställa att: a) Preparering av smarta kort sker på ett säkert och kontrollerat sätt. b) Smarta kort lagras och levereras på ett säkert sätt. c) Låsning och upplåsning av smarta kort sker på ett säkert och kontrollerat sätt. d) Aktiveringskoder (PIN) till de smarta korten skapas på ett säkert sätt och levereras till innehavarna åtskilt från de smarta korten. Copyright, Försäkringskassan Sid. 18 (31)

19 7.3 PKI Livscykelhantering av e-tjänstelegitimationer Användarregistrering Försäkringskassan ska säkerställa att nyckelinnehavarna har blivit korrekt identifierade och att identiteterna blivit bestyrkta; samt att nyckelinnehavarnas beställningar av e-tjänstelegitimationer är fullständiga, korrekta och vederbörligen behörighetskontrollerade. Särskilt ska följande punkter iakttas: a) Innan Försäkringskassan utfärdar e-tjänstelegitimationer till nyckelinnehavaren ska Försäkringskassan skriftligen och på ett lättbegripligt språk informera motparten om villkoren för att använda e-tjänstelegitimationer i sin utfärdardeklaration i enlighet med kapitel b) Försäkringskassan ska tillhandahålla denna information varaktigt över tiden. c) Vid tidpunkten för registrering ska Försäkringskassan eller annan myndighet på lämpligt sätt kontrollera den blivande nyckelinnehavarens identitet. Identitetsintyg - i form av giltig legitimationshandling 2 - ska antingen kontrolleras direkt mot den fysiska personen eller ha kontrollerats indirekt på ett sätt som ger likvärdig säkerhet som fysisk närvaro. Tillhandahållna intyg får vara i pappersform eller i form av elektroniska dokument. d) Om sökanden saknar giltig legitimationshandling kan den ersättas med ett aktuellt personbevis i kombination med ett undertecknat intyg av en myndig person som uppvisar godkänd och giltig legitimationshandling och under straffansvar intygar sökandens identitet 3. 2 Fullgod identitetshandling är enligt [SBC 151-U], kapitel U3.3.1, svenskt körkort, svenskt vinrött pass, svenskt nationellt id-kort samt SIS-märkt företags-, tjänste- eller identitetskort. För att sådan identitetshandling ska godtas, krävs att den är giltig eller att giltighetstiden inte utgått mer än tre månader före beställningen av certifierat identitetskort. Identitetskort med samordningsnummer räknas inte som fullgod identitetshandling vid utfärdande av nytt identitetskort. Intygsgivande fordras vid utfärdande av id-kort. 3 I enlighet med [SBC 151-U], kapitel U Copyright, Försäkringskassan Sid. 19 (31)

20 e) Om sökanden saknar svenskt personnummer kan e- tjänstelegitimation utfärdas under förutsättning att samtliga följande sex kriterier 4 är uppfyllda: - Utländsk medborgare kan få e-tjänstelegitimation om han eller hon stadigvarande vistas i Sverige. - E-tjänstelegitimationens giltighetstid ska motsvara vistelsetiden i Sverige men får inte understiga sex månader eller överstiga tre år. - Om personnummer saknas ska samordningsnummer anges. Om också samordningsnummer saknas ska ordningsnummer skapas av behöriga beställare enligt separat rutin. - Försäkringskassan ansvarar för att kontrollera sökandens identitet. Ansvaret kan överlåtas till utsedda personer på andra myndigheter. - Intygsförfarandet enligt ovanstående punkt (d) ska alltid tillämpas. Intygsgivaren ska vara den utländske medborgarens arbetsgivare eller uppdragsgivare i Sverige eller någon som på motsvarande säkra sätt kan styrka identitet och vistelsetid i Sverige. - Samordningsnummer ska styrkas med registerutdrag från Skatteverket eller i Sverige godkänd identitetshandling. f) Intyg ska tillhandahållas över: - Fullständigt namn, omfattande samtliga förnamn samt efternamn, inklusive eventuella mellannamn - Personnummer eller samordningsnummer. - Fullständigt namn och organisationsnummer tillhörande det statliga eller kommunala organ vid vilket nyckelinnehavaren tjänstgör eller innehar uppdrag. - Intyg att den blivande nyckelinnehavaren är anställd eller innehar uppdrag vid det inom den organisation som framgår av e-tjänstelegitimationen. 4 I enlighet med [SBC 161-U], kapitel U3.5. Copyright, Försäkringskassan Sid. 20 (31)