Användningen av elektronisk identifiering.

Transkript

1 DATUM RAPPORTNUMMER 19 september 2003 PTS-ER-2003:35 ISSN Användningen av elektronisk identifiering. Hur ser marknaden ut och vilka är hindren mot en ökad användning? Delrapport till regeringen

2

3 Innehåll Sammanfattning Uppdrag och bakgrund Delrapportens syfte och disposition Uppdrag från regeringen till PTS Betydelsen av identifiering Bakgrund till uppdraget IT-politisk inriktning Definitioner Avgränsningar Metoder för att genomföra uppdraget Intervjuer med aktörer på marknaden Fokusgruppsundersökning med konsumenter Enkätundersökning till konsumenter Telefonundersökning till företag Sammanställning av befintlig statistik Hur uppnås autentisering och oavvislighet? Identifiering Autentisering Oavvislighet Auktorisation, konfidentialitet och integritet Kryptering och signering Public Key Infrastructure - PKI Status i projektet Den svenska marknaden och dess aktörer Användningens utbredning bland företag Användningens utbredning bland konsumenter Europeisk jämförelse Hinder och åtgärder Post- och telestyrelsen 1

4

5 Sammanfattning I denna delrapport redovisas status i Post- och telestyrelsens (PTS) uppdrag om användningen av elektronisk identifiering i Sverige och inom EU. I uppdraget ingår att beskriva och analysera elektronisk identifiering, autentisering och oavvislighet inom följande områden: Den svenska marknaden Användningens utbredning bland företag och konsumenter Användningen inom EU I uppdraget ingår även att beskriva hinder mot en ökad användning och förslag till åtgärder för att undanröja dessa hinder samt Post- och telestyrelsens roll i detta arbete. PTS kommer att i detta uppdrag att använda begreppet elektronisk identifiering endast i betydelsen uppgivande av identitet och begreppet autentisering för att beteckna den process då verifiering av uppgiven identitet sker. Oavvislighet innebär att en användare inte falskeligen ska kunna förneka att ha avsänt eller mottagit ett meddelande. Användningen av olika lösningar för autentisering och oavvislighet bland företag och konsumenter är hittills relativt outredd. PTS mål är att ge en bild av vilka lösningar som används, vilka hinder som finns för en ökad användning och vilka åtgärder som kan vidtas för att öka användningen. För att uppnå detta har PTS valt att genomföra en enkätundersökning och en fokusgruppsundersökning med konsumenter samt en telefonundersökning med IT-ansvariga i företag. PTS kommer även att intervjua aktörer på marknaden och sammanställa befintlig statistik inom området. I denna delrapport presenteras en bakgrund till uppdraget, PTS tolkning och avgränsningar samt den metod som används för att genomföra uppdraget. I rapporten beskrivs även status i projektet samt det fortsatta arbetet inom uppdraget. Resultat och analys av samtliga undersökningar kommer att redovisas i slutrapporten till regeringen som levereras senast i samband med årsredovisningen för år Post- och telestyrelsen 3

6

7 1 Uppdrag och bakgrund 1.1 Delrapportens syfte och disposition Syftet med denna delrapport är dels att redovisa hur Post- och telestyrelsen (PTS) har tolkat uppdraget från regeringen och dels att beskriva vilken metod som kommer att användas för att utföra uppdraget. I rapporten redovisas även status i projektet i augusti Samtliga resultat och analyser kommer att presenteras i slutrapporten som redovisas till regeringen i samband med årsredovisningen för Rapporten inleds med en presentation av uppdraget, PTS avgränsningar och en beskrivning av den metod som PTS har valt för att utföra uppdraget. Därefter definieras och beskrivs de begrepp som används. I det avslutande kapitlet presenteras status i projektet och det fortsatta arbetet. 1.2 Uppdrag från regeringen till PTS I regleringsbrevet för budgetåret 2003 har PTS fått följande uppdrag från regeringen (uppdrag 8): Post- och telestyrelsen skall beskriva och analysera användningen av elektronisk identifiering med angränsande områden, som t.ex. autentisering och oavvislighet. Rapporteringen bör inkludera en beskrivning av marknaden och dess aktörer samt användningens utbredning bland företag och konsumenter. Rapporteringen bör även innehålla en redogörelse för eventuella hinder mot en ökad användning av elektronisk identifiering, förslag till åtgärder för att undanröja dessa samt Post- och telestyrelsens roll i detta arbete. Rapporteringen bör även innehålla en jämförande beskrivning av användningen inom EU. Uppdraget skall redovisas i en delrapport till regeringen den 1 oktober 2003 och i en slutrapport i samband med årsredovisningen för Betydelsen av identifiering Identitet definieras i Nationalencyklopedin såsom, ställning som viss, entydigt bestämd person, markerad av namn, personnummer eller liknande. Att identifiera sig i traditionell betydelse, dvs. uppge sin identitet, kan således ske genom att man uppger sitt namn, personnummer och andra uppgifter kopplade till sin person. I Sverige har funnits folkbokföring sedan 1500-talet. Den sköttes från början av kyrkan. Den första riksomfattande bestämmelsen om kyrkobokföring kom Det huvudsakliga syftet med folkbokföringen har varit att hålla ett register över medborgarna och folkbokföringen har fungerat som ett instrument för att effektivisera skatteindrivning och deklarationskontroll samt för statistikändamål. Under 1960-talet infördes ADB i folkbokföringen och vi fick vårt nuvarande personnummer, en enhetlig identitetsbeteckning för fysiska personer. Behovet av att känna till en viss persons identitet är stort i många sammanhang. Inte minst inom affärslivet, t.ex. i samband med kreditgivning eller vid bestående affärsrelationer, kan det vara viktigt att veta med vem man har att göra. Om man Post- och telestyrelsen 5

8 överväger att bevilja ett lån t.ex. finns möjlighet att via olika register kontrollera låntagarens inkomster och att denne inte tidigare misskött sin ekonomi. För att styrka sin uppgivna identitet har man traditionellt visat upp ett id-kort eller en passhandling. Genom att jämföra fotot på id-kortet eller passet med den person som visar upp det kan den uppgivna identiteten kontrolleras. Ytterligare en kontroll kan göras genom att man jämför en namnteckning som gjorts på plats med den namnteckning som finns på identitetskortet. En förutsättning för att man med tillräcklig säkerhet skall kunna förlita sig på en identitetskontroll av detta slag är att identitetskortet utfärdats under betryggande förhållanden och att detta har en rimlig grad av säkerhet mot förfalskning. Vidare krävs i princip att den som identifierar sig och den som kontrollerar identiteten träffas ansikte mot ansikte. Att behöva träffa den man ingår avtal med är ofta nödvändigt av en mängd orsaker. Vid vissa regelbundet återkommande transaktioner i en bestående avtalsrelation t.ex. vid uttag av kontanter är behovet av att träffas dock inte så framträdande när det första avtalet väl träffats. Huvudsyftet med en personlig närvaro torde då i första hand vara för att fastställa att det är behörig kontoinnehavare (eller befullmäktigat ombud) som utför uttaget. Under förutsättning att kontanterna kan förvaras och att identifiering av kontoinnehavaren kan utföras på ett betryggande sätt är detta en hantering som skulle kunna utföras på automatisk väg. Sedan 1978 har det också funnits möjligheter för svenska bankkunder att ta ut pengar via bankomat. För att kunna fastställa att rätt person gör uttaget tillämpar bankerna ett system som innebär att kunden i samband med att bankkonto öppnas får styrka sin identitet. Om kunden så önskar får denne också ett bankomatkort. Till kortet erhålls en fyrsiffrig kod (s.k. PIN, personal identification number). När sedan ett uttag görs kontrolleras att innehavaren av det kort som används vid uttaget också har tillgång till den kod som är kopplad till kortet. Detta är en enkel form av elektronisk identifiering som varit i bruk under de senaste 25 åren. 1.4 Bakgrund till uppdraget PTS utövar tillsyn över utfärdare av kvalificerade certifikat till allmänheten enligt lagen (2000:832) om kvalificerade elektroniska signaturer. Lagen bygger på Europaparlamentets och rådets direktiv 1999/93/EG om ett gemenskapsramverk för elektroniska signaturer. Direktivet fastställer regler för elektroniska signaturer och vissa certifikattjänster. I maj 2002 redovisade PTS en utvärdering av verksamheten i rapporten Kvalificerade elektroniska signaturer tillsyn och finansiering. Det framgick då att det inte fanns någon certifikatutfärdare att utöva tillsyn över. I rapporten föreslogs därför att regeringen skulle ge PTS ett kompletterande uppdrag att följa utvecklingen vad gäller Public Key Infrastructure (PKI) och elektronisk identifiering med angränsande områden, t.ex. avseende frågor som rör dataintegritet, autentisering och oavvislighet. 1.5 IT-politisk inriktning Det finns en politisk vilja att öka användningen av IT-tjänster i samhället. Informationstekniken anses ha stor betydelse för att öka tillväxten, livskvaliteten Post- och telestyrelsen 6

9 och underlätta utbildning. Målsättningen är att marknaden ska vara drivande i utvecklingen och att offentliga sektorn i första hand ska agera som reglerare, upphandlare och föredöme. Som ett led i att öka användningen av elektroniska tjänster stimuleras utvecklingen av s.k. 24-timmarsmyndigheter. Syftet är att öka myndigheternas tillgänglighet och service genom att utnyttja informationstekniken. En förutsättning för 24-timmarsmyndigheten är att det finns utvecklade metoder för att uppnå elektronisk identifiering, autentisering och oavvislighet. 1 Tillgänglighet och tillit till IT samt kompetens inom området är tre prioriterade områden inom IT-politiken. För att öka tilliten prioriteras bland annat att skapa ett säkrare Internet med elektroniska signaturer och annan säkerhetsteknik Definitioner Målsättningen är att i detta uppdrag använda i IT- och informationssäkerhetsbranschen gällande begreppsdefinitioner. Som utgångspunkt används de definitioner som Informationstekniska standardiseringen (ITS) presenterar i sin rapport 6, Terminologi för informationssäkerhet. ITS har av Sveriges Standardiseringsråd (SSR) erkänts som svenskt standardiseringsorgan för bl.a. telekommunikationsområdet där även informationssäkerhetsområdet ingår. ITS har definierat identifiering som En process vari en användare eller en resurs anger sin identitet. I vissa fall inkluderas i begreppet även verifiering av den uppgivna, påstådda identiteten. Verifiering av uppgiven identitet är detsamma som autentisering. I vissa fall inkluderas alltså autentisering i begreppet identifiering, medan det i andra fall endast handlar om att ange sin identitet. För att undvika missförstånd används inom detta uppdrag begreppet identifiering endast i betydelsen uppgivande av identitet och begreppet autentisering för att beteckna den process då verifiering av uppgiven identitet sker. Oavvislighet innebär i detta uppdrag att en användare inte falskeligen ska kunna förneka att ha avsänt eller mottagit ett meddelande. 1.7 Avgränsningar I uppdragstexten står det att Post- och telestyrelsen skall beskriva och analysera användningen av elektronisk identifiering med angränsande områden, som t.ex. autentisering och oavvislighet. PTS har valt att tolka uppdraget så att fokus läggs på olika metoder för autentisering och oavvislighet, se kapitel 3 för förklaringar och exempel. Motiveringen till denna tolkning är att begreppet elektronisk identifiering kan, som nämnts ovan, både inkludera uppgivande av identitet och autentisering samt att syftet med uppdraget är att behandla de mest relevanta aspekterna inom området. PTS bedömer att det är mest relevant att undersöka olika metoder för autentisering och oavvislighet. Detta medför att olika metoder för att elektroniskt uppge sin identitet, exempelvis hur man skriver sitt namn i e-post eller hur man presenterar sig i telefon, inte behandlas inom uppdraget. 1 Ett informationssamhälle för alla, Näringsdepartementet. 2 Ett informationssamhälle för alla, Näringsdepartementet. Post- och telestyrelsen 7

10 PTS har även valt att begränsa uppdraget till att behandla kommunikation där åtminstone en av parterna är en fysisk person. Autentisering och oavvislighet vid kommunikation mellan maskiner behandlas alltså inte inom uppdraget. Motiveringen är att uppdraget skulle bli för stort om det behandlade även maskintill-maskin kommunikation och PTS har därför valt det område som ansetts ligga mest inom ramen för uppdraget. I uppdragstexten anges autentisering och oavvislighet som exempel på områden som ska behandlas. Andra områden skulle kunna vara auktorisation, konfidentialitet och integritet. PTS har valt att inte inkludera auktorisation, konfidentialitet och integritet i uppdraget (se avsnitt 3.4 för beskrivning av begreppen). Motiveringen är att inte göra uppdraget för brett utan istället fokusera på vad som kan göras för att öka användningen av system och tjänster som kräver autentisering och oavvislighet. Olika krypteringsmetoder och standarder kommer inte heller att behandlas inom uppdraget. 2 Metoder för att genomföra uppdraget Användningen av olika lösningar för autentisering och oavvislighet bland företag och konsumenter är hittills relativt outredd. PTS mål är att ge en bild av vilka lösningar som används, vilka hinder som finns för en ökad användning och vilka åtgärder som kan vidtas för att öka användningen. För att uppnå detta har PTS valt att genomföra en enkätundersökning och en fokusgruppsundersökning med konsumenter samt en telefonundersökning med IT-ansvariga i företag. PTS kommer även att intervjua aktörer på marknaden och sammanställa befintlig statistik inom området. Inriktningen på undersökningarna beskrivs mer i detalj nedan. 2.1 Intervjuer med aktörer på marknaden PTS kommer inom uppdraget att genomföra intervjuer med aktörer på den svenska marknaden för lösningar för autentisering och oavvislighet. De grupper som kommer att intervjuas är certifikatutfärdare, systemleverantörer, användare inom företag och intresseorganisationer. Syftet med intervjuerna är att få en bild av den svenska marknaden och att hitta eventuella hinder för en ökad användning samt åtgärder som kan vidtas för att öka användningen. Intervjuerna kommer att handla om aktörens roll och syn på marknaden samt eventuella hinder och möjliga lösningar som identifierats. Sammanlagt kommer ca femton intervjuer att genomföras. 2.2 Fokusgruppsundersökning med konsumenter Kännedomen om vad autentisering och oavvislighet är och vilka tjänster som finns är förhållandevis låg bland konsumenter. Detta har bland annat visat sig i PTS individundersökning inom ramen för uppdraget om Svensk telemarknad. Erfarenheten därifrån visar att det är svårt att få konsumenter att förstå innebörden i frågor som berör autentisering och oavvislighet. Användningen av sådana tjänster i Internetbanker är relativt stor, men få konsumenter är medvetna om vad de gör rent tekniskt när de loggar in i Internetbanken och betalar en faktura. Post- och telestyrelsen 8

11 PTS har därför valt en i huvudsak kvalitativ metod för att belysa individers attityder till, och erfarenheter av olika frågor som rör lösningar för autentisering och oavvislighet. Undersökningen har genomförts som två fokusgrupper. En fokusgrupp är en kombination av djupintervju och diskussion och syftet är att låta människor dela med sig av sina åsikter samt föra en diskussion kring vissa förutbestämda frågor. Det är inte möjligt att dra några statistiskt säkerställda slutsatser utifrån det som framkommer i en fokusgruppsundersökning, men två fokusgrupper täcker in många av de attityder som konsumenter har till en företeelse. Fokusgrupperna bestod av 7-8 personer mellan 18 och 65 år. Alla deltagare hade Internet hemma, använder Internetbank minst en gång per månad och har handlat varor över Internet. Den ena gruppen bestod av representanter för massmarknaden och den andra bestod av s.k. early adopters. Det som skiljde early adopters från massmarknadsgruppen var att de förstnämnda hade betalat över Internet med konto- eller kreditkort och/eller e-faktura. Motiveringen till urvalskriterierna var att hitta två grupper av användare med tillräcklig kunskap och erfarenhet inom området för att kunna svara på frågorna. Frågorna handlade om erfarenheter av och attityder till tjänster för autentisering och oavvislighet. Även intresset för nya tjänster, betalningsviljan och vad som skulle kunna motivera en ökad användning diskuterades. 2.3 Enkätundersökning till konsumenter Fokusgruppsundersökningen kommer att kompletteras med en kvantitativ enkätundersökning till konsumenter. Enkätundersökningen består av några frågor i den individundersökning som genomförs inom ramen för uppdraget om Den svenska telemarknaden. Enkäten riktas till 3000 slumpvis utvalda svenskar och innehåller frågor om användningen av telefoni- och Internettjänster. De frågor som berör autentisering och oavvislighet handlar om hur hushållet skyddar sin dator, betalningslösningar och eventuella problem hushållet drabbats av. 2.4 Telefonundersökning till företag PTS kommer att genomföra en telefonundersökning med 300 IT-ansvariga i företag. Enkäten riktas till företag med fler än nio anställda och inte till organisationer inom landsting eller offentlig sektor. Syftet är att undersöka vilka metoder som företagen använder för att autentisera användare i företagets IT-system. I enkäten ingår frågor om vilken lösning de har valt och om de har planer på att införa en ny metod och i så fall varför. Den intervjuade tillfrågas även om företaget använder elektroniska signaturer och i så fall för vilka syften. Företagens användning av olika lösningar för autentisering och oavvislighet är relativt outredd och tillgången till befintlig statistik är därför begränsad. Målsättningen är att PTS arbete ska ge en första indikation på hur användningen ser ut och att resultaten kan ligga till grund för fortsatta studier. 2.5 Sammanställning av befintlig statistik Som nämnts ovan är tillgången till befintlig statistik om användningen av olika lösningar för autentisering och oavvislighet begränsad. Det finns dock statistik som berör angränsande områden såsom tillgång till Internet, användningen av Post- och telestyrelsen 9

12 säkerhetssystem (t.ex. virusprogram och brandväggar) och statistik kring antalet kunder i Internetbanker. PTS kommer att sammanställa och analysera den statistik som finns tillgänglig och som bedöms vara relevant för uppdraget. När det gäller användningen inom EU genomför kommissionen för närvarande en översyn av legala och marknadsmässiga aspekter på elektroniska signaturer efter införandet av direktivet om kvalificerade elektroniska signaturer. PTS kommer att basera den jämförande studien om användningen inom EU på kommissionens rapport samt en sammanställning av annan befintlig statistik. 3 Hur uppnås autentisering och oavvislighet? För att få en bättre förståelse för de begrepp som används i uppdraget ges här en utförligare beskrivning av vad begreppen innebär och vilka metoder som används för att uppnå exempelvis autentisering och oavvislighet. Ett kort exempel från en Internetbank kan ge en inledande beskrivning av hur begreppen används i praktiken. När användaren vill logga in identifierar han/hon sig genom att skriva sitt användarnamn. Identiteten verifieras, autentiseras, exempelvis med hjälp ett lösenord eller med nycklar kopplade till ett digitalt certifikat. Efter identifiering och autentisering blir användaren inloggad i banken. För att kunna utföra en transaktion, exempelvis betala en räkning, måste användaren signera transaktionen. På detta sätt uppnås oavvislighet, dvs. användaren kan inte i efterhand förneka sitt godkännande av transaktionen. 3.1 Identifiering Identifiering kan exempelvis vara att användaren skriver sitt användarnamn vid inloggning i ett system. 3.2 Autentisering Autentisering kan genomföras med hjälp av något användaren vet, något användaren har eller något användaren är. Det kan också ske med en kombination av dessa faktorer, s.k. stark autentisering. Det finns även metoder för autentisering vid maskin-till-maskin kommunikation, men som nämnts ovan behandlas dessa inte inom detta uppdrag. Något användaren vet kan exempelvis vara ett lösenord. Lösenordet kan vara sådana som används upprepade gånger eller engångslösenord. Något användaren har kan exempelvis vara ett smart kort 3 med ett elektroniskt certifikat och tillhörande privat nyckel. Metoder där man använder något användaren är kallas för biometriska metoder. Då används t.ex. fingeravtryck, iris eller röstigenkänning för att verifiera identitet. 3.3 Oavvislighet Vad som behövs för att uppnå oavvislighet bestäms av vad som gäller rättsligt och vilka krav det ställer på tekniska lösningar. Målet är att en användare inte ska 3 Ett smart kort kan vara ett kryptografiskt säkert aktivt kort. Ett aktivt kort har förmågan att utföra beräkningar exempelvis signera en transaktion, dvs det har någon form av minne och en processor. Ett passivt kort har endast någon form av minne. Post- och telestyrelsen 10

13 kunna falskeligen förneka att ha sänt eller mottagit ett meddelande. I svensk civilrätt är det förhållandevis ovanligt med skriftlighetskrav för att ingå avtal, dvs. vanligtvis krävs inte en signatur eller ett skriftligt dokument för att ett avtal ska vara giltigt. Inom förvaltningsrätten är det däremot vanligare med formkrav och vid fastighetsköp och bodelningsavtal är skriftlighet ett krav. 4 Från den 1 januari 2001 gäller lagen om kvalificerade elektroniska signaturer vilken är en implementering av Europaparlamentets och rådets direktiv 1999/93/EG om elektroniska signaturer. Lagen innehåller bestämmelser om elektroniska signaturers rättsliga verkan. Huvudfrågan i detta sammanhang är i vilken utsträckning elektroniska signaturer kan ges samma rättsverkan som egenhändiga namnunderskrifter, dvs. i vilka fall en egenhändigt skriven signatur kan ersättas med en elektronisk signatur. I svensk rätt gäller som huvudregel att när lagstiftaren använder begreppet skriftlig kan elektronisk kommunikation få förekomma. Om det däremot står namnunderskrift eller egenhändigt undertecknande kan manuella metoder inte generellt ersättas med elektroniska signaturer. 5 Om det saknas formkrav är det upp till parterna att bestämma på vilket sätt avtalet ska upprättas. Frågan blir då hur parterna kan visa att ett avtal ingåtts och på vilka villkor det skett. I svensk rätt gäller principen om fri bevisprövning, vilket innebär att det är tillåtet att ta upp alla former av bevis vid en rättslig prövning. Detta, tillsammans med möjligheten att ingå avtal på många olika sätt, gör det möjligt att ta upp elektroniskt bevismaterial i domstol även utan en lag om elektroniska signaturer. Vid en sådan prövning är bland annat rättshandlingens karaktär och parternas inbördes förhållanden avgörande. 6 I långvariga avtalsrelationer, t.ex. mellan Internetbank och bankkund, är det möjligt att bestämma i förväg hur kommunikationen ska gå till. När det gäller kortare avtalsrelationer, t.ex. vid enstaka köp, är det dock svårare att upprätta ett avtal för hur transaktionen ska gå till. Ett alternativ är då att använda en betrodd tredje part som intygar vissa fakta kring den ena avtalsparten, se vidare i avsnitt Auktorisation, konfidentialitet och integritet För att uppnå säker kommunikation krävs förutom autentisering och oavvislighet även auktorisation, konfidentialitet och integritet. Med auktorisation menas vilken behörighet en användare har och vad användaren har rätt att göra i ett system. Konfidentialitet innebär att ingen obehörig får tillgång till informationen under kommunikationen eller vid lagring av informationen. Med integritet menas att ingen kan förändra informationen under transporten. 3.5 Kryptering och signering För att skydda informationen när den skickas kan kryptering användas. Dels skyddas informationen från insyn, konfidentialitet, och dels säkerställs att 4 Elektroniska signaturer DS 1999:73 5 Elektroniska signaturer ny lag men fortsatt behov av åtgärder, Cecilia Magnusson Sjöberg. 6 Digitala signaturer en teknisk och juridisk översikt DS 1998:14 Post- och telestyrelsen 11

14 informationen inte förändras under kommunikationen, integritet. De flesta krypteringsmetoder använder en hemlig nyckel för att kryptera informationen och göra den oläsbar för utomstående. Vid symmetrisk kryptering används samma nyckel för att kryptera och dekryptera. Detta är ett säkert och effektivt sätt att kryptera, men förutsätter en säker metod för att utbyta nycklar. Vid asymetrisk kryptering används två nycklar, en privat, hemlig nyckel och en publik nyckel som görs tillgänglig för alla. Om A vill skicka ett meddelande till B, krypterar han meddelandet med B:s publika nyckel. För att läsa meddelandet krävs B:s privata nyckel som endast B har tillgång till. A kan också signera sitt dokument med sin privata nyckel och B kan verifiera att det verkligen är A som signerat genom att använda A:s publika nyckel. Den privata nyckeln kan lagras på ett s.k. smart kort och kallas då för hårt certifikat. Om nyckeln lagras på diskett eller hårddisk är det ett s.k. mjukt certifikat. I båda fallen används en PIN (Personal Identification Number) eller lösenord för att få åtkomst till nyckeln. Om nyckeln lagras på ett smart kort sker processen för autentisering och signering på kortet och exponeringen av nyckeln blir därför mindre. 3.6 Public Key Infrastructure - PKI Det finns behov av en struktur för att identifiera personer på Internet och knyta en användare till en personlig signatur. En metod för att uppnå detta är Public Key Infrastructure, PKI. PKI bygger på asymetrisk kryptering och varje användare har en privat och en publik nyckel. Nycklarna kan användas för autentisering, signering och insynsskydd baserat på kryptering. Den s.k. certifikatutfärdaren, utfärdar certifikat med tillhörande privat nyckel till användare som identifierats av certifikatutfärdaren. Certifikatutfärdaren ansvarar för att utfärda och spärra, revokera, certifikaten. Hur certifikatutfärdaren identifierar användarna och revokerar certifikaten anges i ett regelverk för certifikatutgivning (Certifikation Practise Statement, CPS). 4 Status i projektet I uppdraget ingår att beskriva och analysera autentisering och oavvislighet inom följande områden: Den svenska marknaden Användningens utbredning bland företag och konsumenter Användningen inom EU I uppdraget ingår även att beskriva hinder mot en ökad användning och förslag till åtgärder för att undanröja dessa hinder samt Post- och telestyrelsens roll i detta arbete. Samtliga analyser och resultat kommer att presenteras i slutrapporten som levereras senast i samband med PTS årsredovisning för Nedan beskrivs status inom respektive delområde. Post- och telestyrelsen 12

15 Den 16 april genomförde PTS ett referensgruppsmöte med representanter från myndigheter, certifikatutfärdare och tjänstetillhandahållare. Syftet var stämma av inriktningen på undersökningarna inom ramen för uppdraget. Inom ramen för uppdraget har PTS även deltagit i möten och konferenser som arrangerats av Gemenskapen Elektroniska Affärer (GEA), Dataföreningen, RSA-academy och the European Forum for Electronic Business (EEMA). 4.1 Den svenska marknaden och dess aktörer PTS beskrivning av den svenska marknaden kommer att baseras på intervjuer med aktörer på marknaden. Totalt kommer ca femton aktörer att intervjuas inom ramen för uppdraget. Under våren 2003 genomfördes åtta intervjuer med representanter för certifikatutfärdare, användare och intresseorganisationer och under hösten kommer ett lika stort antal intervjuer att genomföras med systemleverantörer, tjänstetillhandahållare och ytterligare användare. 4.2 Användningens utbredning bland företag Företagens användning av elektronisk identifiering, autentisering och oavvislighet undersöks med ett antal djupintervjuer och en telefonundersökning med IT-ansvariga i företag. Under våren 2003 har PTS förberett telefonundersökningen genom att formulera frågor och upphandla konsulttjänster. Telefonundersökningen kommer att genomföras under september månad och resultaten beräknas vara klara i oktober. Resultaten från telefonundersökningen kommer att kompletteras med några djupintervjuer med IT-ansvariga på företag. Syftet är att hitta bakomliggande förklaringar och motiveringar till resultaten i telefonundersökningen. 4.3 Användningens utbredning bland konsumenter PTS genomför en fokusgruppsundersökning och en enkätundersökning för att kartlägga konsumenternas användning av tjänster för autentisering och oavvislighet. Fokusgruppsundersökningen genomfördes i maj 2003 med två grupper av användare, massmarknad och early adopters. Enkätundersökningen genomförs som en del av PTS stora enkät om Den svenska telemarknaden. PTS har under våren förberett frågorna och sammanställt enkäten och i september månad skickas enkäten ut till 3000 svenskar. Resultaten från undersökningen beräknas bli klara i november Europeisk jämförelse Den europeiska jämförelsen kommer huvudsakligen att baseras på analys av resultaten från kommissonens rapport om juridiska och marknadsmässiga aspekter på digitala signaturer. Kommissionens rapport beräknas bli klar i slutet av september Under våren och sommaren har PTS påbörjat arbetet med att undersöka och sammanställa annan befintlig statistik inom området 4.5 Hinder och åtgärder PTS analys av hinder för en ökad användning av olika lösningar för autentisering och oavvislighet kommer att baseras på de resultat som framkommer i de ovan beskrivna undersökningarna. Undersökningarna kommer även att ligga till grund Post- och telestyrelsen 13

16 för PTS förslag till möjliga åtgärder för att undanröja dessa hinder samt PTS roll i detta arbete. Samtliga analyser och resultat presenteras i slutrapporten till regeringen i samband med årsredovisningen för Post- och telestyrelsen 14