Morten Storm Petersen - Workshop: Hold trit med NemID i 2014

  • 494 views
Uploaded on

Fra DANSK IT's konference "Offentlig digitalisering 2014", 19.-20. marts 2014 i Musikhuset Aarhus. www.dit.dk …

Fra DANSK IT's konference "Offentlig digitalisering 2014", 19.-20. marts 2014 i Musikhuset Aarhus. www.dit.dk

http://www.dit.dk/events/2014/03/19-offentlig-digitalisering-2014.aspx

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
494
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
7
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Hold trit med NemID i 2014 Morten Storm Petersen morten@signaturgruppen.dk
  • 2. Signaturgruppen hjælper organisationerne med at udnytte potentialet i sikker elektronisk identifikation, digital signatur og NemID.
  • 3. Synopsis på indlægget • I første halvår kommer en ny udstedende CA, og i andet kvartal forventer vi mulighed for anvendelse af medarbejdersignaturer fra mobile devices for virksomheder med en central signaturserver. I tredje kvartal starter så migreringen til den javascript-baserede NemID-klient, som også kan anvendes fra mobile devices. • Der er altså lagt op til et travlt år på NemID-fronten, og på workshoppen, giver vi et indblik i ændringerne og teknikken bag dem.
  • 4. Blogs
  • 5. Løsningen set fra en helikopter (DanID 2009) 6 Tjenesteudbyder RA LRA DCH CPR CVR PID/RID DanID Signatur Server Bruger- database Rigs- politiet CA Off. LDAP DanID.dk
  • 6. Tjenesteudbyder interface (DanID 2009) 7 DanID PID/RID LRA WS OCSP LDAP Udstedelse FornyelseCRL via HTTP el. LDAP Legacy OIO OWSA Attribut- tjeneste Standard interface Tjenesteudbyder Ny SSL udsteder Q2 Ny CA Q2 MOCES II sommer 2013 OTP JS OTP OpenSign OpenLogon LSS JS OOAPI (TU pakke)LSS for NemID Q2 NemID javascript klient Q3
  • 7. Agenda • Q2: Ny SSL udsteder PID/RID • Q2: Ny udstedende CA • Q2: LSS til NemID – medarbejdersignatur på mobile devices • Q3: NemID javascript klient – nøglekortsløsning på mobile devices
  • 8. Q1: Ny SSL udsteder PID/RID Kære NemID tjenesteudbyder Nets DanID udskifter servercertifikater på test- og produktionsmiljøet. Certifikaterne kommer fra en ny certifikatudsteder, hvorfor der kan være behov for at lave en tilpasning af jeres Truststore, for at opnå ”tillid” til de nye udstedere i jeres løsning.
  • 9. • Planen for udskiftningen er følgende: – Medio april 2014: Certifikat udskiftes på Test miljø (PP) – Ultimo maj 2014: Certifikat udskiftes på Produktionsmiljø (PROD) • Hvis I bruger .NET versionen af TU pakken vil I ikke opleve problemer og skal ikke gøre noget. • Hvis I bruger Java versionen af TU-pakken og benytter PID/RID service skal I udskifte jeres Truststore med den opdaterede Truststore, der kan hentes i TU-pakken på www.nets-danid.dk/tu-pakke
  • 10. • Hvis I bruger .NET versionen af TU pakken vil I ikke opleve problemer og skal ikke gøre noget. • Hvis I bruger Java versionen af TU-pakken og benytter PID/RID service skal I udskifte jeres Truststore med den opdaterede Truststore, der kan hentes i TU-pakken på www.nets-danid.dk/tu-pakke
  • 11. Agenda • Q2: Ny SSL udsteder PID/RID • Q2: Ny udstedende CA • Q2: LSS til NemID – medarbejdersignatur på mobile devices • Q3: NemID javascript klient – nøglekortsløsning på mobile devices
  • 12. Ny udstedende CA - hierakier
  • 13. Ny udstedende CA • ”Kære NemID Tjenesteudbyder For bedre at kunne skalere NemID til det store antal certifikater, der forventes at komme som følge af den øgede interesse for brug af NemID, er det nødvendigt, at Nets DanID kan understøtte multiple issuing CA’ere. Derfor vil der i april 2014 blive ændret i NemID’s CA struktur. Multiple issuing CA’ere vil blive understøttet, og der vil i første omgang blive tilføjet én ny issuing CA.” http://www.nets.eu/dk-da/Produkter/Sikkerhed/ NemID-tjenesteudbyder/Pages/Ny-CA-info.aspx
  • 14. • Den overordnede plan for implementeringen ser således ud: – November 2013: Varsling til tjenesteudbydere om ændringen – December 2013: Dokumentation med eksempel på implementering frigives – Februar 2014: Opdateret ”Anbefalede testprocedurer” frigives. – Medio marts 2014: Ny issuing CA implementeret i testmiljø og testcertifikater til testmiljø gøres tilgængelige. – Ultimo maj 2014: Ny issuing CA aktives i produktionsmiljø, hvorefter nye certifikater udstedes herfra.
  • 15. Hvis I ikke sikrer korrekt understøttelse af multiple issuing CA’ere, kan I blandt andet risikere at trække en forkert spærreliste og dermed acceptere spærrede certifikater. !!
  • 16. What’s in it for me? • Den eksisterende CA er hårdt belastet • Den nuværende spærreliste er tung (17,8 MB) og skal parses regelmæssigt at tjenesteudbydere. • Og DanID leverer rigtig mange ud af nettet… • Overvej OCSP • Signaturgruppen har optimeret spærrecheck i sine NemID integrationspakker…
  • 17. Agenda • Q2: Ny SSL udsteder PID/RID • Q2: Ny udstedende CA • Q2: LSS til NemID – medarbejdersignatur på mobile devices • Q3: NemID javascript klient – nøglekortsløsning på mobile devices
  • 18. Tjenesteudbyder interface (DanID 2009) 21 DanID PID/RID LRA WS OCSP LDAP Udstedelse FornyelseCRL via HTTP el. LDAP Legacy OIO OWSA Attribut- tjeneste Standard interface Tjenesteudbyder OTP JS OTP OpenSign OpenLogon LSS JS OOAPI (TU pakke)LSS for NemID Q2 NemID javascript klient Q3
  • 19. LSS for NemID medarbejdersignatur på mobiler
  • 20. LSS til NemID – en ny fane?
  • 21. Komponenter i løsningen MedarbejderMedarbejder Browser LSS til NemID API LSS Tjenesteudbyder https://lss-for-nemid-server.dk/<random digits>
  • 22. MedarbejderMedarbejder Browser iFrame Lss-for- nemid- server.dk Tjenesteudbyder Firewall Lokal Signatur Server 1 Lokal DNS VPN 3 2 4 5 6
  • 23. Flow Service Provider backend Service Provider page LSS Iframe client LSS backend Generate and sign Client parameters Create NemID Iframe Ready client Transmit ”Sendparamters” message Wait for ”Sendparameters” message Transmit ”parameters” message Wait for ”Parameters” message. Verify parameters Verify user credentials and generate response Transmit ”ReceiveResult” message Wait for ”ReceiveResult” message Transmit response to server Validate signed response Extract identity and signature from user API layer
  • 24. TU pakke
  • 25. Agenda • Q2: Ny SSL udsteder PID/RID • Q2: Ny udstedende CA • Q2: LSS til NemID – medarbejdersignatur på mobile devices • Q3: NemID javascript klient – nøglekortsløsning på mobile devices
  • 26. TU ændringer Blå = Ændret
  • 27. Tidsplan
  • 28. Signaturgruppen og JS • Vi er med i pilotprojektet for Nemkonto • Vi opdaterer vores NemID integrationspakker og hjælper ”vore” tjenesteudbydere igennem i efteråret • Stor øvelse! ( > 100 tjenester for os)
  • 29. Mere om Signaturgruppen
  • 30. Arbejdsområder Referencer og løsninger NemID til hjemmesider og webtjenester Udsnit referencer Arbejdsskadestyrelsen Betfair Ltd. BRF Dansk Sygeplejeråd (og A-kasse) DONG Energy EnergiMidt Energinet.dk FOA Forbrugsforeningen af 1886 Forenede Gruppeliv Forsikring & Pension Frederiksberg Kommune Fujitsu INFOBA Klasselotteriet Københavns Kommune Lægemiddelstyrelsen Nemkonto.dk Optagelse.dk Socialministeriet Sundhed.dk Tinglysning.dk Undervisningsministeriet Verdo Aalborg Universitet (blanket) Løsning: - Integrationspakke til NemID, medarbejdersignatur og NemLog-in - Login og signering - Platforme: Microsoft IIS/.net, Java, BEA, Websphere, JBoss, Tomcat og PHP
  • 31. Arbejdsområder Referencer og løsninger NemID til hjemmesider og webtjenester Sikkert login med NemID til lokale netværk Løsning: - Intranet med NemID, Citrix med NemID og VPN med NemID - Forberedt for intranet, hjemmearbejdsplads, Password Reset med NemID og andre to-faktor løsninger - Integreret med bl.a.: Microsoft Forefront TMG/UAG, Cisco VPN og anden Radius VPN Udsnit referencer 2ndC Bornholms Regionskommune Egedal Kommune Frederikshavn Kommune Gentofte Kommune Gladsaxe Kommune Hjørring Kommune Ishøj Kommune Kirkeministeriet OK a.m.b.a. Patentgruppen (hosted VPN) ProActive Rebild Kommune Slagelse Kommune Syddjurs Kommune Tønder Kommune UNI-C (uddannelsessektoren) Aabenraa Kommune Aarhus Kommune (begge)
  • 32. Arbejdsområder Referencer og løsninger NemID til hjemmesider og webtjenester Sikkert login med NemID til lokale netværk ”Gennemsigtig” medarbejder- signatur Løsning: Signaturcentral Udsnit referencer Ballerup Kommune Billund Kommune Bornholms Regionskommune Esbjerg Kommune Frederikshavn Kommune Gladsaxe Kommune Herning Kommune Holstebro Kommune Horsens Kommune Ikast-Brande Kommune Ishøj Kommune Kalundborg Kommune Kolding Kommune Norddjurs Kommune Rebild Kommune Region Nordjylland Regionshospitalet Horsens Ringkøbing-Skjern Kommune Slagelse Kommune Sygehus Sønderjylland, Aabenraa Vagtlægerne Aalborg Universitet DONG Energy FIH Erhvervsbank Jyske Bank KPMG Lejerbo Nordea Nykredit
  • 33. Arbejdsområder Referencer og løsninger NemID til hjemmesider og webtjenester Løsning: - Signaturgruppens høje ekspertise og mange-årige erfaring - Rådgiver for staten i hele NemID-projektet - Derudover rådgivning og assistance om NemID, digital signatur, it-sikkerhed, Microsoft PKI, krypto hardware og elektronisk tinglysning. Sikkert login med NemID til lokale netværk ”Gennemsigtig” medarbejder- signatur Rådgivning og specialløsninger Udsnit referencer Digitaliseringsstyrelsen Rambøll Management Bankdata BRF Nordea Nykredit Arla Comendo ComputerShare CSC Jyske Bank Journalisthøjskolen Københavns Kommune (udligning af selskabsskat) NetDesign NSI E-nettet (tidl. Realkreditnettet) Region Sjælland Tabulex
  • 34. Frem mod OCES3?
  • 35. • NemID – Centralt opbevarede private nøgler – Manglende mobilunderstøttelse – Realtime phishing, DDOS OCES1 og OCES2 • OCES1 – Besværlig at få – Begrænset mobilitet – Begrænset brugervenlighed Pris 50 mio. ~15 kr /bruger/år Pris 218 mio. ~10 kr /bruger/år
  • 36. Kriterier for OCES3? • Sikker • Mobil og brugervenlig • Enkel migrering • Øget offentligt ejerskab? • Kan vi få netbankerne med igen? • Hvad må den koste?
  • 37. Spørgsmål? Flere detaljer i whitepapers på www.signaturgruppen.dk