E-legitimationsdagen dag 2. Så här inkluderas fristående underskriftstjänst i en e-tjänst i praktiken

Transkript

1 E-legitimationsdagen dag 2 Så här inkluderas fristående underskriftstjänst i en e-tjänst i praktiken

2 Innehåll Arkitektur Underskrift i eidas Kvalificerad anordning för signaturgenerering Signature Activation Protocol (SAP) Signature Activation Data (SAD) Integration i e-tjänst Stödtjänst Användarens tillit Utforma e-tjänst Sign message Typ av dokument och scenario Validering av underskrifter

3 Arkitektur

4 eidas Arkitektur Nationell infrastruktur Nationella tjänster Nationell infrastruktur eidas-noder IdP E-tjänst E-tjänst IdP Valfrihetssystemet Metadata Idp - eidas Connector - Nationell IdP SP - eidas Proxy Service - Nationell e-tjänst - Underskrift eidas Proxy Service Utländska e-tjänster Underskrift Proxy IdP BankID m.fl. Anvisning Användare med utländskt eid SP E-tjänst E-tjänst E-tjänst Underskrift tjänst PRID tjänst Kopplings register Personnummer/ samordningsnummer eidas Connector

5 Underskrift funktionsflöde Tjänster E-tjänst Integrationstjänst Underskriftstjänst Legitimeringstjänst Certifikattjänst Valideringstjänst Flöde Skapa dokument Granska och skriv under Skapa Sign Reqeust Begär legitimering Legitimering SignMessage Validera ID + sign accept Beställ cert Utfärda Certifikat Skapa underskrift Skapa Sign Response Foga samman underskriven handling Validera Underskrift Logga och lagra Kvittens

6 eidas Flöde användare - Underskrift E-tjänst Underskriftstjänst eidas Connector Granska och skriv under eidas Proxy Service Nationell IdP

7 eidas Flöde användare E-tjänst Underskriftstjänst eidas Connector Välj Land eidas Proxy Service Nationell IdP

8 eidas Flöde användare Välj Nationellt ID E-tjänst Underskriftstjänst eidas Connector eidas Proxy Service Nationell IdP

9 eidas Flöde användare Legitimering E-tjänst Underskriftstjänst eidas Connector eidas Proxy Service Nationell IdP

10 eidas Flöde användare E-tjänst Underskriftstjänst eidas Connector Medgivande eidas Proxy Service Nationell IdP

11 eidas Flöde användare E-tjänst Underskriftstjänst eidas Connector Medgivande Underskrift eidas Proxy Service Nationell IdP

12 eidas Flöde användare E-tjänst Underskriftstjänst eidas Connector Skapa underskrift eidas Proxy Service Nationell IdP

13 CEN EN Signature Activation Protocol

14 Trust Intermediaries Signature Activation Protocol (SAP) CEN EN Signature Creation Application Signer Env. TSP protected Env. Interaction Signer Interface SSA Tamper resistant Env. (rscdev) SAM SCDev Signer SIC Signature activation Data (SAD) Local Remote Registration & certificate issuance Data communications SCOPE OF REQUIREMENTS SCAL 1 components SCAL 2 components

15 Signature Activation Protocol (SAP) Federated Signing Legitimering - Sign message Legitimeringstjänst Sign Accept Intyg med Signature Activation Data (SAD) Authn Request - SAD Request - Sign message Signaturtjänst

16 Aktivering av SAP SAP krävs för att signaturgenereringsenhet skall uppfylla kraven för QSCD (Qualified Signature Creation Device) enligt eidas. När sign request ställer karv på QSCD, så aktiveras krav på underskriftstjänsten att skicka SAD request till IdP. IdP:er behöver implementera detta i närtid. Specifikationer finns i tekniskt ramverk.

17 DEMO

18 Implementera underskrift i E-tjänst

19 Underskrift Typfall - integration Myndighetens IT miljö Externa tjänster Myndighet (egen tjänst) Upphandlad tjänst Valfrihetssystemet eidas Integration autentisering Proxy IdP Proxy IdP eidas Connector BankID Telia E-tjänster Underskrifts tjänst SAML IdP SAML IdP Integration Underskrift Med validering av underskrift Integration Underskrift Med validering av underskrift

20 Stödtjänst - Funktion Dokument Stödtjänst Pre-sign Underskriftstjänst Sign Stödtjänst Foga samman Krav på underskrift Undertecknare IdP LoA Typ (QC/SSCD) Sign Message Cert Attribut Sign Request Sig Service IdP Undertecknare Övr. krav TBS data Sign Response Sig Req Assertion Sig Data

21 Stödtjänst Skäl för nuvarande design Möjliggöra signering utan att dokumentet exponeras Ren och generell underskriftstjänst API för integration mot stödtjänst är inte standardiserat WS vs REST Java lib för direktintegration Egen drift eller molntjänst Integritet Hur känsligt är dokumentet? Säkerhet Skydda dokument mot manipulation. Lösningar Underskriftsleverantörerna tillhandahåller Egen utveckling / Referensimplementation från E-legitimationsnämnden

22 Vad erbjuder eidas infrastrukturen Infrastrukturen Erbjuder Tekniskt ramverk Sign accept (SAP/SAD) och sign message eidas integration Provisional ID och persistens klassning Kopplingsregister? Eget ansvar Underskriftstjänst Stödtjänst Integration i e-tjänst Signaturvalidering Långtidslagring/arkivering Uppladdning av signerade dokument från andra länder

23 E-legitimationsnämndens Tekniska ramverk Legitimering Profiler Underskrift Deployment profil Bank ID profil Underskrift profil Certifikat profil Grundläggande specifikationer Attribut specifikation Entitetskategorier PRID Algoritmer Underskrift DSS extension Signature Activation Protocol Identifierare

24 Sign message Vad måste användaren se vid underskrift Legala krav Andra överväganden Data format (Text, Markdown och HTML) Endast text inledningsvis Kryptering Stark rekommendation. Must show Interoperabillitet kontra säkerhet

25 Underskrivna elektroniska handlingar Många alternativ och användningsfall Aspekt Alternativ Alternativ Alternativ Tillämpning Maskinell behandling (XML) Manuell Behandling (PDF) Dokument källa E-tjänst Ladda upp Spridning Lokal Publik Internationell Legal funktion Avancerad Avancerad SSCD Kvalificerad Signaturtyp Standard AdES AdES + Placering Inkluderad Bifogad (ASiCS) Långtidsvalidering Ingen ETSI LT Notarietjänst (vittne) Flera undertecknare Endast en Separata sessioner Samma inloggning Antal dokument Endast ett Flera i rad Flera på en gång

26 Vilket är ditt behov av e-underskrift? Är det: Automatisk behandling av underskrivna dokument som skapas i e-tjänsten? Utomstående undertecknar och lämnar in dokument? Din personal skriver under? Organisationen skriver under? Säkerhetsbehov? Även svaga lösningar är oftast bättre än pappersunderskrifter Kräv att Legitimeringstjänster triggar underskriftsflöde Jag Skriver Under Visa Sign Message Kraven på lösningar ser olika ut beroende på dina behov Leta inte efter magiska trollspön Börja för att bygga kunskap starta inte med det svåraste/viktigaste

27 En elektronisk underskrift är en del av ett bevismaterial eidas-förordningen specificerar krav på elektroniska underskrifter Kvalificerade Krav på alla medlemsstater att acceptera Likvärdiga med underskrift på papper Granskas i förväg av tillsynsmyndigheter och publiceras på trusted lists Avancerade Ska accepteras under vissa förutsättningar Lägre säkerhet men fortfarande höga krav Även om alla krav inte uppfylls kan domstolar bedöma den som en elektronisk underskrift Det finns fler alternativ som beskrivs som elektronisk signering, många har rutiner där underskrivna dokument scannas, bilder på namnteckningar kan infogas etc Kan fylla en funktion men likställ dem inte med de underskrifter eidas reglerar

28 Acceptans av Elektroniska underskrifter Ett elektroniskt dokument får inte förvägras rättslig verkan eller giltighet som bevis vid rättsliga förfaranden enbart på grund av att det har elektronisk form(art 46) Vilka gäller kraven för? Måste vi acceptera allt som kommer in till oss i elektronisk form? Det är svårt att avgöra om en handling med e-underskrift uppfyller kraven Har ni lagkrav på underskrift? Kan ni som myndighet hävda att andra måste acceptera era elektroniskt undertecknade handlingar?

29 Elektronisk underskrift förutsätter helt digitala verksamhetsprocesser Större utmaning är e-underskrifterna Skriv aldrig ut elektroniska dokument stora delar av nyttan förloras Underskrifterna förstörs Vilken funktion har underskriften i de interna processerna eller den fortsatta behandlingen av ärendet? Ska er personal underteckna? Förse dem med en e-legitimation godkänd med kvalitetsmärket Svensk e-legitimation

30 Arkivering och validering av underskrifter

31 Validering av underskrifter Enkel validering av underskrift från egen tjänst Validering av underskrifter från andra tjänster i Sverige Validering av underskrifter från andra länder Validering av gamla underskrifter där giltighetstiden på verifikationsinstrument löpt ut

32 Behov av valideringstjänster i praktiken Ännu oprövat vad det innebär Få tjänster på marknaden Standarder under utveckling Bedöm era behov gratis är inte alltid kostnadseffektivast Vill ni att de ska intyga: Hur säkert personen som undertecknade identifierades? Om underskriften var giltig när den skapades även om den inte är det idag Om underskriftscertifikatet ställdes ut av en kvalificerad utgivare Vilket formatet underskriften har, om den är framställd av kvalificerad anordning och kvalificerad leverantör av betrodd tjänst

33 Går det att leva upp till arkivlagstiftningens krav när det gäller dokument med e-underskrift Handlingar inkommer inte i ett format RA godkänt för långtidsbevarande, formatkonvertering medför att e-underskrift förstörs Att bevara handlingar i den form de kom in räcker inte för att bevara e- underskrifter som bevis! Värdera hur länge det är motiverat att bevara som bevis för rättslig prövning! Underskrivna dokument i molnet Underskriften påverkar ej om det är ok eller ej detta är en arkiv och dokumenthanteringsfråga Men underskriftstjänster finns som både framställer underskrift och arkiverar dokumentet

34 Långtidsvalidering ETSI LT Standarder Lagring av en stor mängd signerade objekt i underskriften (Unsigned attributes) Tidsstämplar, certifikat, spärrlistor/ocsp Rekursivt (Certifikatkedja för ex tidsstämpel måste ha bifogad spärrinformation) Losing battle. Oavsett hur mycket information som lagras, så kommer bevisvärdet att vittra sönder med tiden. Notarie Signature Validation Assertion Betrodd tjänst intygar validering av underskrift vid given tidpunkt Stora fördelar i kostnad och komplexitet

35 Signature validation assertion (SVA) Standardiseringsförslag till EU kommissionen Underskriven handling Underskrift Validering Underskriven handling Underskrift SVA SVA Signature Validation Assertion (SVA) Signerad av Notarie Tidsstämpel Kontrasignatur (Binder dokument och underskrift) Intygar underskriftens giltighet vid given tidpunkt Kan förnyas Kan ersätta validering av ursprunglig underskrift Valideringstjänst (Notarie)

36 Sammanfatting

37 Sammanfattning Federerad underskrift den enda fungerande lösningen för underskrift över nationsgränser idag Tekniskt ramverk och valfrihetsystemet Samma infrastruktur för nationella och internationella användare eidas är bara ytterligare en IdP (med uppdaterad attributsprofil) Viktigt att bestämma hur stödtjänst skall realiseras Integration i tjänst Mycket att tänka på Teknik Juridik

38 Frågor