Mobilt Efos och ny metod för stark autentisering I och med lanseringen av E-identitet för offentlig sektor, Efos, kommer Inera att leverera komponenter som möjliggör att en användare ska kunna logga in på tjänster i mobiltelefoner och surfplattor. Dessa plattformar har som regel inte samma förutsättningar att hantera smarta kort och hanterar kryptografi på ett mycket mer varierande sätt än ex. Windows och Mac. Därav görs logiken för autentisering och underskrift om i grunden för att minska beroendet till vilket operativsystem och webbläsare som användaren har. Denna nya metod kallas för Efos oberoende identifieringskanal i och med att man separerar den: Informationskanalen där tjänsten presenterar sin information/sitt gränssnitt för användaren Säkerhetskanalen där användaren genomför sin inloggning med hjälp av en elektronisk identitetshandling. Den engelska termen för detta är Out-of-band authentication. Inom Efos tillhandahålls denna metod med hjälp av produkten Net id Access och dess komponenter. Komponenterna som levereras En självservice med en utfärdandeprocess - Gör det möjligt för användaren att ladda ner en kvalitetssäkrad e-legitimation i form av certifikat till mobiltelefoner och surfplattor En webbservice (Net id Access Server) Förmedlar anrop till den bärare där användaren har sin e-legitimation. En användarapplikation (Net id Access Client) Installeras på hos användaren. När användaren öppnar applikationen meddelas Net id Access Server om att begäran kan skickas dit för att be användaren logga in. Net id Access Client kan installeras på surfplattor och mobiltelefoner och medger då att certifikat utfärdas och lagras i andra bärare än smarta kort. Det är just denna hantering som kallas Mobilt Efos. Net id Access Client ska också installeras på Windows och Mac, se mer under rubriken Ny metod för stark autentisering Ny metod för stark autentisering Mobilt Efos möjliggör, liksom smarta kort (SITHS-kort), stark autentisering. Sid 1/6
Dess komponenter kan också återanvändas som en ny metod för stark autentisering med smarta kort, t ex. Efos-kort och SITHS-kort. Net id Access Client ska därför också installeras på datorer och på surfplattor/mobiltelefoner med skal som kan läsa smarta kort. Fördelarna är denna nya metod leder till ett minskat beroende till vilket operativsystem och vilken webbläsare som användaren nyttjar. Ineras långsiktiga plan är att så många som möjligt av dagens integrationer för autentisering och underskrift ska byggas om för att alltid använda denna nya metod. Säkerhetstjänster håller på att ta fram en plan för när den gamla metoden inte längre kommer stödjas. Förutsättningar För att en tjänst ska kunna erbjuda sina användare inloggning med Mobilt Efos och möjligheten att logga in med smarta kort med den nya tekniken krävs följande: Tjänsten måste anpassas till att följa referensarkitekturen för identitet och åtkomsthantering. Referensarkitekturen kräver att organisationen implementerar en Identifieringstjänst. Den Identifieringstjänst som tjänsten använder måste också vara anpassad till att kunna kommunicera med komponenten Net id Access Server. Användarna som ska kunna logga in med Mobilt Efos måste få denna typ av e- legitimation utfärdad Användarna måste installera applikationen Net id Access Client, versioner och instruktioner kommer att presenteras på sidorna under projektets webbplats Anslutning Ineras tjänster Ett arbete har redan påbörjats för att anpassa Ineras Identifieringstjänst (Säkerhetstjänsters autentiseringstjänst) till Net id Access Server för att tillämpa den nya metoden för stark autentisering. Några nationella tjänster kommer gå igång i pilot i produktion under början av 2018. Planen är att alla tjänster successivt kommer att kunna hantera inloggning både med Mobilt Efos och Efos e-legitimation på smarta kort enligt den nya metoden. Den gamla metoden med import av certifikat och Mutual TLS kommer dock att stödjas ytterligare en tid. Kunder och leverantörer Andra aktörer (landsting/kommuner/myndigheter/leverantörer) kommer erbjudas möjlighet att integrera mot funktionaliteten hos Net id Access Server. OBS! Anslutning av andra aktörer kommer inte att påbörjas förrän efter sommaren 2018 då alla måste fokusera på att lyckas med övergången från SITHS till Efos först. Sid 2/6
Vissa landsting/kommuner/leverantörer håller på att testa integrationer redan nu i begränsad form med hjälp av SecMaker. När anslutningar kommer påbörjas kommer det finnas krav på att: Aktören följer referensarkitekturen för identitet och åtkomst Går igenom en anslutningsprocess för att få identifieringstjänsten godkänd och uppkopplad mot Net id Access. Mer information kommer Begränsningar och utmaningar AD-inloggning Inloggning i till exempel Microsoft AD och vissa andra lösningar kommer att kräva den gamla metoden för autentisering ännu en tid. Därför bör alla användare också ha en installation av applikationen Net id Enterprise. Personnummer vs. HSA-id OBS! Om den nya tekniken ska användas tillsammans med användare som har SITHS-kort måste anropet från Identifieringstjänsten skickas med HSA-id. Eftersom många användare in kan detta behöver ev. någon logik byggas som kan översätta ett personnummer till ett HSA-id. Detta har ex. gjort för Ineras Säkerhetstjänster. Utfärdande av Mobilt Efos Mobilt Efos är benämningen på förmågan att lagra e-legitimationen i en app på en mobiltelefon eller surfplatta snarare än ett smart kort. Vid lanseringen av Efos kommer utfärdande i grova drag fungera enligt: 1. Organisationen väljer att aktivera möjligheten för sina användare att hämta Mobilt Efos. Detta görs i Efosportalen med hjälp av Efos förvaltning. 2. Organisationen informerar och uppmanar användarna att hämta Mobilt Efos enligt instruktion. Mer information kommer 3. Användaren i sin tur loggar in med sitt SITHS- eller Efos-kort och hämtar själv ner sitt Mobilt Efos. Observera, Inledningsvis kommer endast kort som har e-legitimationer som bedöms vara utfärdade i enlighet med tillitsnivå 3 tillåtas för hämtning av Mobilt Efos. Sammanfattningsvis kommer alltså inte SITHS-certifikat på reservkort, samordningskort, Skatteverkets id-kort eller Telias kort att tillåtas. Sid 3/6
Beskrivning av logiken vid autentisering Bild Jämförelse gamla och nya autentiseringsmetoden Gamla autentiserings- och underskriftsmetoden Traditionell inloggning med smarta kort har gjorts genom att webbaserade tjänster själva eller med hjälp av en IdP kommunicerar direkt via webbläsaren, till operativsystemet som tar hjälp av Net id för att integrera med det smarta kortet (SITHS-kortet). Detta har fungerat olika bra beroende på vilken webbläsare och operativsystem användaren nyttjat och har i princip inte fungerat på några mobiltelefoner och surfplattor med undantag för vissa surfplattor som kört Windows. För underskrifter har beroendet varit ännu större och sedan 2016 har det i princip bara fungerat att skapa underskrifter på Windows 7 eller senare och Internet Explorer 11 eller tidigare. Detta beroende på att webbläsarutvecklarna tagit bort stöd för de API:er (ActiveX och NPAPI) som Net id varit beroende av i sin plugin. Det förekommer också olika direktintegrationer mot de smarta korten och andra användningsfall där Net id plugin använts. Även dessa har sina utmaningar när det kommer till att förvalta integrationerna. Sid 4/6
Beskrivning av nya autentiserings- och underskriftsmetoden Logiken för den nya autentiserings- och underskriftsmetoden är mycket lik den som används inom Mobilt BankID och fungerar så att: 1. Användaren går till tjänsten där hen vill logga in. 2. Varje tjänst inom en organisation tar hjälp av en Identifieringstjänst (ex. en IdP som Säkerhetstjänster) för integrationen mot olika autentiseringsmetoder, i enlighet med referensarkitekturen för identitet och åtkomsthantering. 3. Vid Identifieringstjänsten får användaren välja hur hen vill logga in 4. Använda en Efos e-legitimation som finns på: 4.1. Samma bärare som hen vill nyttja Tjänsten via. 4.1.1. Detta val startar automatiskt applikationen Net id Access Client på samma bärare och användaren uppmanas att ange sin pin-kod för sin e-legitimation 4.2. På en annan bärare än den där användaren vill nyttja tjänstenanvändaren får då börja med att ange sitt person-id. Detta behövs för att Net id Access ska kunna leta efter den bärare användaren vill använda för att autentiseringen med sin Efos e- legitimation. OBS! Om den nya tekniken ska användas tillsammans med användare som har SITHS-kort måste anropet från Identifieringstjänsten skickas med HSA-id. Eftersom många användare in kan detta behöver ev. någon logik byggas som kan översätta ett personnummer till ett HSA-id. Detta har ex. gjort för Ineras Säkerhetstjänster. 4.2.2. När användaren har gjort sitt val tar Identifieringstjänsten kontakt med Net id Access Server 4.2.3. Net id Access server ligger sedan och väntar på att användaren ska starta Net id Access Client på någon bärare 5. När appen startar kontrolleras om en inloggningsbegäran för användaren finns i Net id Access Server 6. Om det finns en pågående begäran uppmanas användaren att ange sin pin-kod på den bärare där appen startas. 6.1. Om en användare har flera bärare med en egen e-legitimation kan bara den där appen först öppnas användas 7. Om rätt pin-kod anges utförs en kryptografisk beräkning som påvisar användarens identitet för Net id Access Server. 8. Net id Access Server återkopplar utfallet av autentiseringen eller underskriften och annan metadata till Identifieringstjänsten alt. Underskriftstjänsten 9. För autentisering utfärdar Identifieringstjänsten ett identitetsintyg som också kan förses med behörighetsstyrande information. 10. Identitetsintyget skickas tillbaka till tjänsten där användaren ville logga in. Tjänsten kan då ta ett beslut om huruvida användaren ska beviljas åtkomst eller inte. Sid 1/6
Flöde för nya autentiserings- och underskriftsmetoden Sid 1/6