Version

Relevanta dokument
Policy Underskriftstjänst Svensk e-legitimation

Tjänstespecifikation

Version (7)

Tjänstespecifikation

Normativ specifikation

Version (25)

Tekniskt ramverk för Svensk e-legitimation

Tekniskt ramverk för Svensk e- legitimation

Termer och begrepp. Identifieringstjänst SITHS

E-legitimationsnämndens legitimeringstjänster för test

Termer och begrepp. Identifieringstjänst SITHS

Icke funktionella krav

Introduktion till SAML federation

E-legitimationsdagen dag 2. Så här inkluderas fristående underskriftstjänst i en e-tjänst i praktiken

Certifikatbeskrivning. för Befolkningsregistercentralens servicecertifikat

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

UTFÄRDARDEKLARATION (CPS) SJÖFARTSVERKET

Svensk e-legitimation och eidas

Vad händer här och nu? E-legitimationsnämndens aktiviteter

BILAGA 2 Tekniska krav Version 0.81

Beställning av certifikat v 3.0

Svensk e-legitimation - Vägen framåt mot en gemensam lösning

Rutin för utgivning av funktionscertifikat

Inom SITHS e-id finns det certifikat för olika syften som grupperas enligt:

Icke funktionella krav

CERTIFIKATBESKRIVNING

E-legitimationsdagen dag 2. Elektroniska underskrifter och dokument - hur lever vi upp till eidas lagkrav i vår vardag?

Identitet, kontroll & spårbarhet

Status

BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1

Beställning av certifikat v 2

Tillitsramverket. Detta är Inera-federationens tillitsramverk.

Anpassa era e-tjänster. Med nya och utländska e-legitimationer behövs också fristående underskriftstjänst

Utfärdande av SITHS-kort. Utbyte av kort som inte klarar av SITHS CA v1 certifikat

E-legitimering och e-underskrift Johan Bålman esam

Företagens användning av ID-tjänster och e-tjänster juridiska frågor

Protokollbeskrivning av OKI

BILAGA 1 Tekniska krav Version 1.0

Anslutningsavtal. inom Infrastrukturen för Svensk e-legitimation. Bilaga 4 Rapporteringsrutiner. för Utfärdare av Svensk e-legitimation

Förvaltningsforum 20 maj maj

Hot mot nyckelhantering i DNSSEC och lite om hur man undviker dem. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

Viktiga steg för gränsöverskridande e-legitimation

Massutbyte av HCC. Manual för administration av massutbyte i SITHS Admin

Leverantörsmöte om tekniska specifikationer

Vad händer här och nu? Projekt och på gång på E-legitimationsnämnden 2018 Annika Bränström Anna Månsson Nylén Inger Greve

BILAGA 1 Definitioner

BILAGA 3 Tillitsramverk

BILAGA 3 Tillitsramverk Version: 2.02

Utfärdande av HCC. Utbyte av SITHS CA v3 på kort som kan hantera SITHS CA v1

BILAGA 1 Definitioner

SSEK Säkra webbtjänster för affärskritisk kommunikation

Juridisk vägledning för införande av e-legitimering och e-underskrifter

Signering av.se lösningar och rutiner. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

Inom SITHS e-id finns det certifikat för olika syften som grupperas enligt:

E-legitimationsdagen. Metadata Underskriftstjänst Praktisk implementering och demo. Stefan Santesson

Testning av Sambi. Testplan. Version PA12. Fil namn: SAMBI_TP.docx Senast sparad: Copyright (c) 2014 IIS

CERTIFIERINGSPRAXIS. för Befolkningsregistercentralens servercertifikat OID:

E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun.

Ett säkert statligt ID-kort med e- legitimation (SOU 2019:14)

1 (19) Policy Metadatapolicy

Specifikation av CA-certifikat för SITHS

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

BILAGA 1 Tekniska krav

eidas i korthet Eva Sartorius

Bilaga 4. Normativa specifikationer

Anslutningsavtal. inom infrastrukturen för Svensk e-legitimation. Bilaga 4 Rapporteringsrutiner. för utfärdare av Svensk e-legitimation

eidas-förordningens krav det juridiska perspektivet Anna Månsson Nylén

Version Datum Kommentar Etablering av dokumentet Efter första genomgång av Cygate och SITHS PA

Marknadsundersökning avseende centrala tjänster för Svensk e-legitimation Inbjudan till möte

BILAGA 1 Definitioner Version: 2.01

Introduktion till eidas. Dnr: /

RIV Tekniska Anvisningar Kryptografi. Version ARK_

Valfrihetssystemet eid 2016 Övergångstjänst. E-legitimationsnämndens informationsmöte 31/5

BILAGA 3 Tillitsramverk Version: 2.1

Certifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)

Avtal om Kundens användning av Identifieringstjänst SITHS

CERTIFIERINGSPRAXIS. för Befolkningsregistercentralens servercertifikat för kommunikation inom social- och hälsovården OID:

Handbok för användare. HCC Administration

ANVÄNDARVILLKOR FÖR SKATTEFÖRVALTNINGENS OCH INKOMSTREGISTRETS GRÄNSSNITTSTJÄNSTER

BILAGA 1 Definitioner Version: 2.02

CERTIFIKATPOLICY. för Befolkningsregistercentralens servicecertifikat OID:

REGISTRERINGS- ANVISNING 1 (10) Befolkningsregistercentralen Digitala tjänster. Registreringsanvisning

Avtal om Kundens användning av E-identitet för offentlig sektor

Att använda kryptering. Nyckelhantering och protokoll som bygger på kryptering

Svenska e-legitimationer och certifikat. Wiggo Öberg, Verva

Tillitsramverk. Identifieringstjänst SITHS

Certifikatspecifikation för Sveriges kommuner och landsting med samarbetspartners HCC

Telias Utfärdardeklaration, CPS, för Telia e-legitimation Version 1.3. Datum:

Svensk författningssamling

BILAGA 3 Tillitsramverk Version: 1.3

Svensk e-legitimation. 7 mars

Är era e-tjänster redo? Nu vill nya och utländska e-legitimationer in!

Svenska och utländska e-legitimationer vad händer?

eidas och Svensk e-legitimation

E-legitimationsdagen dag 2. En översikt av eidas-arkitekturen och E-legitimationsnämndens erbjudande

Bilaga 10 Riktlinjer informationssäkerhet Dnr: /2015 Förfrågningsunderlag

Remiss av PM: Myndigheters tillgång till tjänster för elektronisk identifiering

FÖRSLAG Transportstyrelsens föreskrifter om teknisk utrustning hos redovisningscentraler för taxitrafik;

Version: Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 1.3.1

Transkript:

Policy Underskriftstjänstt Svensk e legitimation Version 1.20 2015-09-15 1 (7)

1 INLEDNING OCH SYFTE 1.1 AVGRÄNSNINGAR 1.2 DEFINITIONER 2 POLICYPARAMETRAR 2.1 DATALAGRING 2.1.1 LAGRING AV INFORMATION TILL STÖD S FÖR SPÄRRNING AV CERTIFIKAT 2.1.2 LAGRING AV ANVÄNDARRELATERAD INFORMATION 2.2 ALGORITMER 2.2.1 STANDARDALGORITMER FÖR UNDERSKRIFT 2.2.2 GODKÄNDA SIGNERINGSALGORITMER 2.3 TILLITSNIVÅ 2.3.1 STANDARD TILLITSNIVÅ VID LEGITIMERING VID UNDERSKRIFT 2.3.2 LÄGSTA ACCEPTABLA TILLITSNIVÅ VID UNDERSKRIFT 2. CERTIFIKATPOLICY 2..1 GODKÄNDA AVVIKELSER FÖR KVALIFICERADE CERTIFIKAT 2..2 GODKÄNDA AVVIKELSER FÖR ICKEE KVALIFICERADE CERTIFIKAT 2.5 UNDERSKRIFTSBEGÄRAN 2.5.1 MAXIMAL GILTIGHETSTID FÖR SIGN REQUEST 2.5.2 MAXIMAL TIDSAVVIKELSE FÖR ANGIVEN TIDPUNKT FÖR UNDERSKRIFT 3 3 3 5 5 5 7 7 7 Versionshantering Version Datum 1.00 201-0-15 1.20 2015-09-15 Beskrivning Första fastställda versionen Uppdatering av versionsnummer för att följa vers- underskriftstjänsten. Rättning av stavfel i ionsnummer i den normativa specifikationen för text. Sign E-legitimationsnämnden E-legitimationsnämnden 2 (7)

1 Inledning och syfte Underskriftstjänsten är en del av infrastrukturen för Svensk e-legitimation n som stöd för att ge användare av of- fentliga e-tjänster en möjlighet att skriva under elektroniska handlingar. Denna D underskriftstjänst tillhandahållst av ett antal leverantörerr i enlighet med gemensamma specifikationer somm har till syftee att skapa enhetliga och kompatibla tjänster för offentlig förvaltning. Värden för funktionella parametrar som definieras i detta dokument förvaltas och bestäms av E- legitimationsnämnden i en löpande förvaltningspf process. 1.1 Avgränsningarr Detta dokument specificerar värden för parametrar som påverkar underskriftstjänstens funktion och som i enlig- het med gällande funktionella krav skall vara konfigureringsbara och föränderliga över tid. Detta dokument specificerar endast funktionella parametrar. Med funktionella parametrar avses parametrar som styr hur underskriftstjänsten fungerar och som enligt uppställda krav på underskriftstju änsten har definierats med krav på att kunna vara konfigureringsbara. Detta innefattar inte icke-funktionella aspekter avv underskriftstjänsten som säkerhetskrav och krav på tillgäng- lighet mm. Detta dokument utgör således inte en komplett kravspecifikation för tjänsterna. 1.2 Definitioner För detta dokument gäller tillämpliga definitionerr som anges i Regelverket för Svenskk e-legitimation. 3 (7)

2 Policyparametrar Följande policy parametrar specificeras i detta dokument: Kategori Datalagringg Algoritmer Tillitsnivå Certifikatpolicy Underskriftsbegäran 2.1 Datalagring Policy Parametrar Vilka data får lagras som underlag för att kunna spärra underskriftscertifikat Vilken användarrelateradd informationn får lagras av underskriftstjänsten. Standardalgoritm för underskrift om ingen anges i sign request Godkända algoritmer som får accepteras om de begärs i en sign request. Standard tillitsnivå som skall begärass vid legitimering för underskrift om inget anges i sign request Lägsta tillitsnivå som får användas vid legitimering för underskrift. Eventuella godkända avvikelser från certifikatpolicyn TS 1015 för kvalifi- cerade certifikat som utfärdas av underskriftstjänsten. Eventuella godkända avvikelser från certifikatpolicyn TS 10202 för icke- accepteras av underskriftstjänsten. Maximal tidsavvikelse mellan angiven tid för underskrift i sign request och aktuell tidpunkt för hanteringen av uppdraget (gäller särskilt data för under- skrift i samband med PDF kvalificeradee certifikat som utfärdas av a underskriftstjänsten. Maximal giltighetstid som en sign request får ha angivet för att signatur). Detta avsnitt behandlar parametrar rörande r lagring av data i underskriftstjänst. 2.1.1 Lagring av information till stöd s för spärrning av certifikat Underskriftstjänster behöver lagra viss information om utfärdade certifikat förr att kunna spärra utfärdade certifikat vid behov. Många existerande programvaror som används för att skapa spärrlistor kräver till- gång till de certifikat som skall spärras för att kunna spärra dem. Underskriftstjänster får lagraa samtliga utfärdade certifikat tillsammans med systemloggar som inte inne- spärrning lagras som stöd för framtida tvister och utredningar. 2.1.2 Lagring av användarrelaterad information håller personrelaterad information. För spärrade certifikat och certifikat under spärrning får nödvändig information om omständigheter runt Grundprincipen vad gäller lagring av personrelaterad informationn i underskriftstjänsten ärr att detta skall ske i så liten utsträckning som möjligt. Underskriftstjänstens protokoll är utformat så att all relevant in- formation om varje underskrift överförs till e-tjänsten som begär underskrift. Lagring av personrelaterad information skall begränsas till lagring av certifikat enligt 2.1.11 samt inform- ation relaterat till signeringsuppdrag somm är felaktigaa eller kan misstänkas vara resultatett av en attack mot underskriftstjänsten eller begärandee e-tjänst. (7)

incidenten är föremål för polisutredning får informationen lagras så längee som krävs för att stödja utredningen och eventuell efterföljande process i domstol. I annat fall får informationen i sin helhet end- ast lagras i tre (3) månader, varefter denn måste raderas eller avpersonifieras s så att alla användarrelate- rad information raderas. 2.2 Algoritmer 2.2.1 Standardalgoritmer för underskrift Då en e-tjänst inte specificerar val av algoritm så skall underskriftstjänsten välja att använda konfigure- rad standardalgorim. Följande signeringsalgoritm tillämpas vidd skapande av användares underskrift om inget annat anges i signeringsuppdragets sign request. r Hash algoritm: SHA-25 Publik nyckel algoritm: RSA med 208 bitars nyckel 2.2.2 Godkända signeringsalgoritmer e-tjänst som begär underskrift begär specifik signeringsalgoritm i underskriftsuppdraget så måste begärd signeringsalgoritm överensstämm ma med ett antal godkända algoritmer: Följande algoritmer är godkända för att skapa användares underskrifter samtt vid signering av sign re- quest och sign response: Hash algoritmer: SHA-25 Publik nyckel algoritmer: RSA med 208 bitars nyckel ECDSA där nyckel hämtas från NIST kurvan P-25 Generellt undantag för ovanstående policy är information som måste m sparas i enlighet med svensk lag samt information som måste sparas för att kunna uppfylla ställdaa säkerhetskrav i enlighet med regelver- ket för Svensk e-legitimation. Underskriftstjänsten tillämpar en signeringsalgoritm vid underskrift som i sin tur består av en hash-algoritm och en publik-nyckel-algoritm. E-tjänst som begär underskrift kan begära att underskrift skall ske med specifik algo- ritm. E-tjänsten kan därmed välja en specifik kombination av hash-algoritm och publik-nyckel-algoritm men kan inte specificera nyckellängd för publik-nyckel-algoritmen. Nyckellängd måste därför alltid väljas i enlighet med gällande policyer nedan. Underskriftstjänsten skall kunna hantera sign requestss som signerats med samtliga algoritmer ovan. Sig- neringsalgoritm för sign response skall alltid vara samma som användes för att signera tillhörande sign request. 5 (7)

2.3 Tillitsnivå Samtliga tillitsnivåer som anges i detta avsnitt avser de tillitsnivåer som definieras d i tillitsramverket som ingår i regelverket för infrastrukturen för Svensk e-legitimation. E-tjänster kan genom protokoll för begäran av under- skrift begära en lägsta tillåten nivå för legitimering av användare i samband med begärd underskrift. 2.3.1 Standard tillitsnivå vid legitimering vid underskrift Då en e-tjänst inte specificerar val av tillitsnivå så skall underskriftstjänsten välja att använda konfigure- rad lägsta tillitsnivå. Legitimering av användare i samband med underskrift ska ske med m lägst tillitsnivå 3 om inget i annat anges i begäran om underskrift från e-tjänsten. 2.3.2 Lägsta acceptabla tillitsnivå vid underskrift 2. Certifikatpolicy e-tjänst som begär underskrift begär specifik lägsta acceptabla tillitsnivå i underskriftsuppdraget så måste denna tillitsnivå även uppfylla en konfigurerad lägsta acceptabla tillitnivå i underskriftstjänsten. underskriftscertifikatet utfärdas somm ett kvalificerat certifikat så måste användaren legitimerats med lägst tillitsnivå 3. underskriftscertifikatet utfärdas somm icke kvalificerat certifikat så får legitimering ske som lägst med tillitsnivå 2 under förutsättning att detta inte strider mot den certifikatpolicy som deklareras i under- skriftscertifikatets certifikatpolicy extension. Underskriftscertifikat innefattar en extension (Certificate policies extension) som skalll innehålla en identifierare av en certifikatpolicy. Denna certifikatpolicy har som syfte attt hjälpa förlitande part attt bedöma certifikatets tro- värdighet och lämplighet för olika tillämpningar. 2..1 Godkända avvikelser för kvalificerade certifikat Inga avvikelser från kraven ETSI TS 1011 5 är godkända. 2..2 Godkända avvikelser för icke kvalificerade certifikat Grundkravet på certifikatpolicy för kvalificerade certifikat är att dessa skall uppfylla kraven från standar- den ETSI TS 101 5 (http://webapp.etsi.org/workprogram/report_workitem.asp?wki_id=229) Grundkravet på certifikatpolicy för icke kvalificerade certifikat är att a dessa skall uppfylla kraven från standarden TS 102 02 från ETSI (http://webapp.etsi.org/workprogram/report_workitem.asp?wki_id=1327) enligt profilen NCP (Nor- malized Certificate Policy). Inga avvikelser från kraven i TS 102 02 (NCP) är godkända. (7)

2.5 Underskriftsbegäran Detta avsnitt behandlar parametrar rörande r underskriftsbegäran från e-tjänst genom en sign request. 2.5.1 Maximal giltighetstid för sign request Underskriftsbegäran i form av en sign request innehåller ett SAML element < <conditions> som bl.a. in- nehåller uppgift om det tidsfönser (giltighetstid) inom vilket underskriftsbegäran skall anses vara giltigg enligt begärande e-tjänst. Underskriftstjänsten skall kontrollera att a en underskriftsbegäran behandlas under sin giltighetstid men även att angiven giltighetstid är inom giltiga ramar. Giltighetstiden styr hur länge som underskriftstjänsten behöver spara underskriftsbegäran för att säkerställa att samma under- skriftsbegäran inte behandlas flera gånger. Styrande faktorer för hur giltighetstid börr begränsas är dels att hålla tiden kort så att underskriftstjänsten behöver hålla reda på så få aktiva underskriftsuppdrag som möjligt, men ändå så lång att användarenn hinner genomföra legitimering och eventuella slutgiltiga kontroller innan legitimering för underskrift full- bordas. En sign request får ha en maximal giltighetstid på 10 minuter. 2.5.2 Maximal tidsavvikelse för angiven tidpunkt för underskrift I vissa underlag för underskrift som ingår i elementet <dss:inputdocuments> > i en sign request, bl.a. i underlag för underskrift av PDF, kan det t ingå en tidsangivelse för när underskriften skapades. Denna tidpunkt signeras i underskriftsprocessen och skall därför kontrolleras så att den inte avviker från verklig tidpunkt för underskrift utöver en maximal godkänd tidsavvikelse. Hänsyn bör här tas till den tid hela underskriftsprocessen kan ta, inklusive tidd för användarens legitime- avvikelse på 15 minuter från verklig tidpunkt för skapande av underskrift. ringsprocess. Uppgift om tidpunkt för underskrift som ingår i underlag för underskrift i sign request får ha en maximal 7 (7)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss