Efos PKI-struktur. Den nya PKI-strukturen. Användningsområden för certifikat

Transkript

1 Efos PKI-struktur I samband med lanseringen av E-identitet för offentlig sektor (Efos) hos Försäkringskassan kommer certifikat börja ges ut från en annan PKI-struktur istället för SITHS Root CA v1 som idag används inom SITHS. Lokala och Nationella tjänster måste därför konfigureras för att acceptera och kunna använda certifikat utfärdade från Efos. Om detta inte görs kommer användare och system som får sina certifikat efter lanseringen av Efos få problem att logga in/kommunicera. Den nya PKI-strukturen Användningsområden för certifikat SITHS-certifikat har idag tre primära användningsområden. Identifiera användare vid inloggning till e-tjänster - Personcertifikat System till system kommunikation mellan webservices, exempelvis Tjänsteplattformar, HSA Webservice, Säkerhetstjänster etc. Interna Funktionscertifikat Identifiera och kryptera information mellan användargränssnittet för en e-tjänst och en användare Publikt betrodda funktionscertifikat Sid 1/5

2 Dessa användningsområden passar in i den nya PKI-strukturen enligt nedan: Åtgärder som tjänster MÅSTE vidta Tjänster som idag använder sig av SITHS-certifikat för något av ovan användningsområden måste göra två saker kopplat till denna förändring: Installera tillit till Efos CA s Öppna brandväggar VALFRIA åtgärder som tjänster KAN vidta Utöver detta kommer det också ny funktionalitet som är valfri att införa: Möjlighet att identifiera användare med personnummer utöver HSA-id Möjlighet att avgöra tillitsnivå för Efoscertifikat och tidigare utgivna SITHScertifikat Sid 2/5

3 Installera tillit Beroende på vilka användningsområden SITHS-certifikaten använts för idag, enligt logiken ovan, behöver olika kompletterande tillit installeras till rotcertifikat och utfärdare som sätts upp inom Efos nya PKI-struktur. Information om vilka Efosutfärdare som ersätter vilka SITHS-utfärdare, samt certifikaten som ska installeras hittar du här: /eidentitet_for_offentlig_sektor/pki_struktur Öppna brandväggar Se denna webbsida: /e-identitet_for_offentlig_sektor/sokvagar_och_brandvaggsoppningar Övriga förändringar Två andra förändringar som införs i och med den nya PKI-strukturen är Möjlighet att avgöra tillitsnivån till en e-legitimation Möjlighet att använda personnummer som identifierare utöver HSA-id. Identifiera användare Personnummer Inom SITHS fanns personnummer endast som identifierare i Telia e-legitimationen som fanns med på SITHS-kortet. Nyttjande av Telia e-legitimation kostade dock extra för de e-tjänster som ville göra det och var mest tänkt som en bonus som medarbetaren kunde använda privat. Inom Efos kommer det som regel också att finnas ett certifikatpar med personnummer som ingår som en del av tjänsten. Det kommer alltså att kunna finnas två certifikatpar på varje utfärdat Efoskort o Ett som innehåller personnummer som identifierare. Detta certifikatpar kommer vara det som myndigheterna använder i första hand. Det kan också användas för e-tjänster inom landsting, kommuner och privata vårdgivare förutsatt att man bygger behörighetsmodeller som stödjer detta o Ett som innehåller HSA-id precis som SITHS gör idag. Detta certifikatpar förutsätter att organisationen/medarbetarna också finns i HSA. Detta certifikatpar kommer vara det som vård och omsorg använder i första hand CrossBorder Några undantag från ovan logik om två certifikatpar är personer utan personnummer/samordningsnummer. Inom SITHS får dessa certifikat från SITHS CA CrossBorder Sid 3/5

4 Inom Efos får dessa endast certifikatpar med HSA-id från Swedish Public Sector HSA Person 2 CA v1 med en viss O.I.D i attributet certifikatprinciper Identifiera användare Tillitsnivåer Mer information om tillitsnivåer finns på e-legitimationsnämndens hemsida Tillitsnivån för den utfärdade e-legitimationen kommer indikeras av den O.I.D i attributet Certifikatprinciper som börjar med i varje certifikat. Den fulla syntaxen är X.Y.Z o X pekar på vilken Efos utfärdare som ställt ut certifikatet o Y pekar på vilken tillitsnivå e-legitimationen har. o Z pekar på vilken rutin för utfärdande som använts. Som stöd för system som inte kan tolka O.I.D:er görs också en uppdelning i olika utfärdare en för vardera tillitsnivå 2, 3 och 4. Samma logik gäller både för certifikatparet med personnummer och det med HSA-id som identifierare med Matris för tillitsnivåer inom Efos för Certifikat med HSA-id Tillitsnivå Utfärdare O.I.D exempel Tillitsnivå 2 Tillitsnivå 3 Tillitsnivå 4 Person 2 CA v1 Person 3 CA v1 Person 4 CA v Z Z Z Matris för tillitsnivåer inom Efos för Certifikat med Personnummer Tillitsnivå Utfärdare O.I.D exempel Tillitsnivå 2 Tillitsnivå 3 Tillitsnivå 4 Person 2 CA v1 Person 3 CA v1 Person 4 CA v Z Z Z Matris för tillitsnivåer inom SITHS SITHS togs inte fram med fokus på tillitsnivåer. Men även här går det att utläsa detta till en viss nivå. För SITHS-certifikat görs detta genom att tolka i Attributet Detta attribut innehåller kortets serienummer och tolkningen av tillitsnivå kan då göras enligt. Tillitsnivå Utfärdare Kortserienummer Sid 4/5

5 Tillitsnivå 2 SITHS Type 1 CA v1 Alla certifikat där kortserienumret inte följer nedan logik Tillitsnivå 3 SITHS Type 1 CA v XXXX 357 (SIS-kort, SITHS) 9752 XXXX 857 (Företagskort med eget utfärdarnr., SITHS)" Sid 5/5