Kontaktchip - annat innehåll och nya kortprofiler för integration

Transkript

1 Nyheter med Efos-korten I och med lanseringen kommer de smarta korten att förändras på tre övergripande plan jämfört med de som finns inom SITHS idag. Kontaktchip Annat innehåll och nya kortprofiler för integration Kontaktlös teknik Bakåtkompatibilitet och ny teknik Korttyper Ny visuell design och säkerhetsdetaljer Kontaktchip - annat innehåll och nya kortprofiler för integration Innehåll Innehållet kommer att förändras enligt: SITHS Ett certifikatpar från Telia e-leg (SIS-kort och företagskort) enterprise (samordningskort) transportcertifikat (reservkort) X antal SITHS HCC Y antal certifikat från egen lokal CA Efos Ett Efos certifikatpar med personnummer X antal Efos certifikatpar med HSA-id. Y antal certifikat från egen lokal CA Några undantag är: För CrossBorder finns bara ett Efos certifikatpar med HSA-id Det finns också en teknisk möjlighet att bara ha certifikat med personnummer. OBS! Certifikaten med HSA-id och certifikaten med Personnummer kommer utfärdas från en utfärdande CA under samma rot. Det är därför viktigt att säkerställa att tjänsten konfigurerar till att bara acceptera de Efos utfärdande CA s som fungerar med tjänsten. Dvs. om tjänsten använder HSA-id för att identifiera användaren, så ska den inte lita på de Efos utfärdare som använder Personnummer. Det kommer medföra att användaren kan råka välja fel certifikat och nekas åtkomst till tjänsten. Kortprofiler I och med lanseringen av Efos införs nya kortprofiler. Kortprofilen kan sägas vara den applikation på själva chippet som lagrar certifikat och nycklar och som bestämmer hur integration med det smarta kortet ska gå till. Sid 1/5

2 Anledningen till att dessa byts ut är både att de nuvarande kortprofilerna ägs av Telia, men också för att Efos har kravsällt på nyare teknik som de gamla profilerna inte har stöd för. Dagens kortprofil, Telia EID IP5a kommer att ersättas av två nya kortprofiler. Kortprofil 1 Ordinarie kort (tidigare Företagskort) och SIS-kort Icke raderbara Kortet ska endast tillhöra en användare under hela sin livstid Giltighetstid för kortyta och certifikat, upp till 5 år Kortprofil 2 Tillfälliga kort (tidigare Reservkort) Kan omformateras så att de på ett säkert sätt kan ges ut på nytt till andra användare Har en maximal giltighetstid för användning om 10 år, men inte någon tryckt giltighetstid på kortet. Certifikatens giltighetstid styrs av policy och är avsevärt kortare. Konsekvenser Användare som får Efos-kort kan INTE logga in med Telia e-legitimation Net id kommer inte per automatik att fungera med Efos-korten om inte rätt version är installerad. Användare som loggar in med SITHS-kort måste alltså få nya versioner av Net id Tjänster måste konfigureras för att acceptera Efos pki-struktur Om ni har några tjänster som integrerar direkt mot profilen på kortet, kommer dessa med största sannolikhet inte fungera mot Efos-korten. Kontaktlös teknik I och med lanseringen av Efos kommer det att erbjudas en ny teknik för kontaktlös kommunikation med de smarta korten för användning i exempelvis passersystem, lunch- och parkeringsautomater. Den kontaktlösa tekniken kommer fortsatt att vara frikopplad från e-legitimationen och har alltså inget att göra med certifikaten och de privata nycklarna som skapas inom Efos och som används för inloggning till tjänster. Den nya tekniken är MIFARE DESFire och den kommer vara tillgänglig för beställning först några månader efter lanseringen av Efos, se mer information under rubriken för DESFire längre ner. Vi rekommenderar dessutom att denna teknik införs som ett eget projekt. Vid lanseringen av Efos kommer det bara gå att beställa MIFARE Classic EV1 med samma nycklar och konfiguration som idag för att säkerställa bakåtkompatibilitet. Planen var ursprungligen att kombinera flera tekniker på samma kort, däribland också tekniken Dual Interface för att komma åt e-legitimationen kontaktlöst. Att kombinera flera tekniker har visat sig ställa till med ett antal problem som uppstår när teknikerna kombineras på samma kort. Dual Interface utgår, eftersom läsning kontaktlöst är bra i teorin, men inte i praktiken pga. inläsningstider och de kontaktlösa läsarnas placering i ex. laptops. Denna teknik adderar också till ovan nämna problem vid kombination av dessa tekniker. Sid 2/5

3 Slutsatsen är således att två olika grundtyper för kontaktlös kommunikation erbjuds istället. Tekniken kommer, liksom idag, finnas i ett separat chip inbäddat i plasten. MIFARE Classic EV1 Samma kontaktlösa teknik som används på dagens SITHS-kort. För bakåtkompatibilitet kommer vi se till att använda samma konfiguration av sektorer och nycklar för läsning som används inom SITHS idag. Används exempelvis för passersystem, lunch- och parkeringsautomater Tekniken i sig har ett antal kända sårbarheter som gör denna del av kortet går enkelt att kopiera. Inpassering till skyddsvärda områden som använder denna teknik bör därför kompletteras med ytterligare en faktor som t ex. en användarvald kod (inte samma pin-kod som e-legitimationen) För MIFARE Classic kommer vi också att säkerställa Timelox funktionalitet för de kunder som använder det idag. MIFARE DESFire EV1 Ny och säkrare kontaktlös teknik som inte finns på dagens SITHS-kort. Är helt frikopplad från e-legitimationen och har ingenting att göra med certifikaten och de privata nycklarna som skapas inom Efos och som används för inloggning till tjänster. Denna teknik är inte bakåtkompatibel med dagens kontaktlösa teknik på SITHS-korten. Korttyper med denna teknik kommer inte att gå att beställa direkt vid lanseringen av Efos. När den blir beställningsbar rekommenderar Efos förvaltning att den införs som ett projekt för att säkerställa att medarbetarna kan komma in i de lokaler de behöver tillträde i då: kortläsare på vissa fastigheter kan behöva bytas ut för att kunna läsa denna nya teknik kortläsarna måste programmeras med nya nycklar. Exakt vilken konfiguration för sektorer och nycklar som kommer att gälla är ännu inte fastställt Konsekvenser Den kontaktlösa tekniken MIFARE DESFire fungerar inte per automatik i befintliga system. Vid lanseringen av Efos kommer därför inte DESFire gå att beställa och det kommer att drivas som ett införandeprojekt. Korttyper - Visuell design och säkerhetsdetaljer Inom dagens SITHS har det funnits 15 gemensamma korttyper, men också möjlighet för organisationerna att själva göra anpassningar och ta fram egna korttyper. Inom Efos kommer vi endast ha gemensamma korttyper, men innehåll som till exempel logotyp kommer självklart kunna vara olika per organisation. Exakt hur de gemensamma korttyperna ska se ut kommer utredas under början av hösten. När detta är beslutat måste varje organisation bestämma sig för vilka av Efos korttyper man vill kunna beställa. Sid 3/5

4 Här finns också ett stort beroende till det samordnade kortavrop som gjordes tillsammans med Försäkringskassan. Korttyperna kan grupperas efter vissa grundläggande egenskaper. Gruppering av korttyper SIS-kort kommer finnas kvar som en korttyp inom Efos. Här bestäms den visuella designen och säkerhetsdetaljerna av SIS och inga visuella förändringar görs mot idag SIS-kort DESFire Ordinarie kort (tidigare Företagskort) Förses med bättre visuella säkerhetsdetaljer. Guilloche UV-tryck (del av guilloche blir fluorescerande under UV-ljus) Förses med diskreta färgtoner, delvis för att det ska bli lättare att visuellt se skillnad på nya och gamla kort Erbjuds som stående eller liggande, med eller utan foto, som studentkort och konsultkort Har streckkod som innehåller kortserienummer Har magnetband med samma innehåll och kodning som SITHS-kort Kommer kunna ha timelox aktiverat, egen korttyp högre pris Kommer kunna ha Niscaya kodning, egen korttyp med högre pris Ordinarie kort DESFire Tillfälligt kort (tidigare Reservkort) Har streckkod som innehåller kortets serienummer Har magnetband med samma innehåll och kodning som SITHS reservkort Har samma säkerhetsdetaljer som ordinarie kort. Fungerar dock inte som visuell id-handling, så säkerhetsdetaljer har därför inte lika stort värde. Tillfälligt kort DESFire Logotyp Vid övergången från SITHS till Efos kommer vi att kopiera befintliga logotyper för respektive organisation. Det kommer bara tillåtas en logotyp för varje organisation. Beställningar av provtryck inför byte av logotyp kommer erbjudas först efter lanseringen av Efos. Beställning av provtryck kommer då att hanteras via Inera. För att vara på den säkra sidan att allt ser bra ut med just er logotyp, rekommenderar vi att era första beställningar av Efos-kort görs i mindre volymer. Sid 4/5

5 Erbjudna Korttyper Via nedan länk kan du hitta vilka korttyper som finna att välja mellan. Din organisation måste välja vilka korttyper som ska gå att beställa för id-administratörerna i din organisation. Detta konfigureras i samband med att din organisation läggs upp i Efosportalen. Länk till korttyper: <Länk till bilaga över korttyper> Testkort Se mer information på sidan om Tester inom Efos. Mer information kommer Sid 5/5