0
Hold trit med NemID i 2014
Morten Storm Petersen
morten@signaturgruppen.dk
Signaturgruppen hjælper organisationerne
med at udnytte potentialet i sikker
elektronisk identifikation, digital signatur ...
Synopsis på indlægget
• I første halvår kommer en ny udstedende CA, og i andet
kvartal forventer vi mulighed for anvendels...
Blogs
Løsningen set fra en helikopter
(DanID 2009)
6
Tjenesteudbyder
RA
LRA
DCH
CPR CVR
PID/RID
DanID
Signatur
Server
Bruger-
da...
Tjenesteudbyder interface
(DanID 2009)
7
DanID
PID/RID LRA WS
OCSP
LDAP Udstedelse
FornyelseCRL via
HTTP el. LDAP
Legacy O...
Agenda
• Q2: Ny SSL udsteder PID/RID
• Q2: Ny udstedende CA
• Q2: LSS til NemID – medarbejdersignatur
på mobile devices
• ...
Q1: Ny SSL udsteder PID/RID
Kære NemID tjenesteudbyder
Nets DanID udskifter servercertifikater på
test- og produktionsmilj...
• Planen for udskiftningen er følgende:
– Medio april 2014: Certifikat udskiftes på Test
miljø (PP)
– Ultimo maj 2014: Cer...
• Hvis I bruger .NET versionen af TU
pakken vil I ikke opleve problemer og skal
ikke gøre noget.
• Hvis I bruger Java vers...
Agenda
• Q2: Ny SSL udsteder PID/RID
• Q2: Ny udstedende CA
• Q2: LSS til NemID – medarbejdersignatur
på mobile devices
• ...
Ny udstedende CA
- hierakier
Ny udstedende CA
• ”Kære NemID Tjenesteudbyder
For bedre at kunne skalere NemID til det store antal
certifikater, der forv...
• Den overordnede plan for implementeringen
ser således ud:
– November 2013: Varsling til tjenesteudbydere om
ændringen
– ...
Hvis I ikke sikrer korrekt understøttelse af
multiple issuing CA’ere, kan I blandt andet
risikere at trække en forkert spæ...
What’s in it for me?
• Den eksisterende CA er hårdt belastet
• Den nuværende spærreliste er tung (17,8 MB)
og skal parses ...
Agenda
• Q2: Ny SSL udsteder PID/RID
• Q2: Ny udstedende CA
• Q2: LSS til NemID –
medarbejdersignatur på mobile devices
• ...
Tjenesteudbyder interface
(DanID 2009)
21
DanID
PID/RID LRA WS
OCSP
LDAP Udstedelse
FornyelseCRL via
HTTP el. LDAP
Legacy ...
LSS for NemID
medarbejdersignatur på mobiler
LSS til NemID – en ny fane?
Komponenter i løsningen
MedarbejderMedarbejder
Browser
LSS til
NemID
API
LSS
Tjenesteudbyder
https://lss-for-nemid-server....
MedarbejderMedarbejder
Browser
iFrame
Lss-for-
nemid-
server.dk
Tjenesteudbyder
Firewall
Lokal
Signatur
Server
1
Lokal
DNS...
Flow
Service Provider
backend
Service Provider
page
LSS
Iframe client
LSS backend
Generate and sign
Client parameters
Crea...
TU pakke
Agenda
• Q2: Ny SSL udsteder PID/RID
• Q2: Ny udstedende CA
• Q2: LSS til NemID – medarbejdersignatur
på mobile devices
• ...
TU ændringer
Blå = Ændret
Tidsplan
Signaturgruppen og JS
• Vi er med i pilotprojektet for Nemkonto
• Vi opdaterer vores NemID
integrationspakker og hjælper ”...
Mere om Signaturgruppen
Arbejdsområder
Referencer og løsninger
NemID til
hjemmesider og
webtjenester
Udsnit referencer
Arbejdsskadestyrelsen
Betfa...
Arbejdsområder
Referencer og løsninger
NemID til
hjemmesider og
webtjenester
Sikkert login
med NemID til
lokale netværk
Lø...
Arbejdsområder
Referencer og løsninger
NemID til
hjemmesider og
webtjenester
Sikkert login
med NemID til
lokale netværk
”G...
Arbejdsområder
Referencer og løsninger
NemID til
hjemmesider og
webtjenester
Løsning:
- Signaturgruppens høje ekspertise o...
Frem mod OCES3?
• NemID
– Centralt opbevarede private nøgler
– Manglende mobilunderstøttelse
– Realtime phishing, DDOS
OCES1 og OCES2
• OC...
Kriterier for OCES3?
• Sikker
• Mobil og brugervenlig
• Enkel migrering
• Øget offentligt ejerskab?
• Kan vi få netbankern...
Spørgsmål?
Flere detaljer i
whitepapers på
www.signaturgruppen.dk
Morten Storm Petersen - Workshop: Hold trit med NemID i 2014
Morten Storm Petersen - Workshop: Hold trit med NemID i 2014
Morten Storm Petersen - Workshop: Hold trit med NemID i 2014
Morten Storm Petersen - Workshop: Hold trit med NemID i 2014
Upcoming SlideShare
Loading in...5
×

Morten Storm Petersen - Workshop: Hold trit med NemID i 2014

682

Published on

Fra DANSK IT's konference "Offentlig digitalisering 2014", 19.-20. marts 2014 i Musikhuset Aarhus. www.dit.dk

http://www.dit.dk/events/2014/03/19-offentlig-digitalisering-2014.aspx

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
682
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
10
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Transcript of "Morten Storm Petersen - Workshop: Hold trit med NemID i 2014"

  1. 1. Hold trit med NemID i 2014 Morten Storm Petersen morten@signaturgruppen.dk
  2. 2. Signaturgruppen hjælper organisationerne med at udnytte potentialet i sikker elektronisk identifikation, digital signatur og NemID.
  3. 3. Synopsis på indlægget • I første halvår kommer en ny udstedende CA, og i andet kvartal forventer vi mulighed for anvendelse af medarbejdersignaturer fra mobile devices for virksomheder med en central signaturserver. I tredje kvartal starter så migreringen til den javascript-baserede NemID-klient, som også kan anvendes fra mobile devices. • Der er altså lagt op til et travlt år på NemID-fronten, og på workshoppen, giver vi et indblik i ændringerne og teknikken bag dem.
  4. 4. Blogs
  5. 5. Løsningen set fra en helikopter (DanID 2009) 6 Tjenesteudbyder RA LRA DCH CPR CVR PID/RID DanID Signatur Server Bruger- database Rigs- politiet CA Off. LDAP DanID.dk
  6. 6. Tjenesteudbyder interface (DanID 2009) 7 DanID PID/RID LRA WS OCSP LDAP Udstedelse FornyelseCRL via HTTP el. LDAP Legacy OIO OWSA Attribut- tjeneste Standard interface Tjenesteudbyder Ny SSL udsteder Q2 Ny CA Q2 MOCES II sommer 2013 OTP JS OTP OpenSign OpenLogon LSS JS OOAPI (TU pakke)LSS for NemID Q2 NemID javascript klient Q3
  7. 7. Agenda • Q2: Ny SSL udsteder PID/RID • Q2: Ny udstedende CA • Q2: LSS til NemID – medarbejdersignatur på mobile devices • Q3: NemID javascript klient – nøglekortsløsning på mobile devices
  8. 8. Q1: Ny SSL udsteder PID/RID Kære NemID tjenesteudbyder Nets DanID udskifter servercertifikater på test- og produktionsmiljøet. Certifikaterne kommer fra en ny certifikatudsteder, hvorfor der kan være behov for at lave en tilpasning af jeres Truststore, for at opnå ”tillid” til de nye udstedere i jeres løsning.
  9. 9. • Planen for udskiftningen er følgende: – Medio april 2014: Certifikat udskiftes på Test miljø (PP) – Ultimo maj 2014: Certifikat udskiftes på Produktionsmiljø (PROD) • Hvis I bruger .NET versionen af TU pakken vil I ikke opleve problemer og skal ikke gøre noget. • Hvis I bruger Java versionen af TU-pakken og benytter PID/RID service skal I udskifte jeres Truststore med den opdaterede Truststore, der kan hentes i TU-pakken på www.nets-danid.dk/tu-pakke
  10. 10. • Hvis I bruger .NET versionen af TU pakken vil I ikke opleve problemer og skal ikke gøre noget. • Hvis I bruger Java versionen af TU-pakken og benytter PID/RID service skal I udskifte jeres Truststore med den opdaterede Truststore, der kan hentes i TU-pakken på www.nets-danid.dk/tu-pakke
  11. 11. Agenda • Q2: Ny SSL udsteder PID/RID • Q2: Ny udstedende CA • Q2: LSS til NemID – medarbejdersignatur på mobile devices • Q3: NemID javascript klient – nøglekortsløsning på mobile devices
  12. 12. Ny udstedende CA - hierakier
  13. 13. Ny udstedende CA • ”Kære NemID Tjenesteudbyder For bedre at kunne skalere NemID til det store antal certifikater, der forventes at komme som følge af den øgede interesse for brug af NemID, er det nødvendigt, at Nets DanID kan understøtte multiple issuing CA’ere. Derfor vil der i april 2014 blive ændret i NemID’s CA struktur. Multiple issuing CA’ere vil blive understøttet, og der vil i første omgang blive tilføjet én ny issuing CA.” http://www.nets.eu/dk-da/Produkter/Sikkerhed/ NemID-tjenesteudbyder/Pages/Ny-CA-info.aspx
  14. 14. • Den overordnede plan for implementeringen ser således ud: – November 2013: Varsling til tjenesteudbydere om ændringen – December 2013: Dokumentation med eksempel på implementering frigives – Februar 2014: Opdateret ”Anbefalede testprocedurer” frigives. – Medio marts 2014: Ny issuing CA implementeret i testmiljø og testcertifikater til testmiljø gøres tilgængelige. – Ultimo maj 2014: Ny issuing CA aktives i produktionsmiljø, hvorefter nye certifikater udstedes herfra.
  15. 15. Hvis I ikke sikrer korrekt understøttelse af multiple issuing CA’ere, kan I blandt andet risikere at trække en forkert spærreliste og dermed acceptere spærrede certifikater. !!
  16. 16. What’s in it for me? • Den eksisterende CA er hårdt belastet • Den nuværende spærreliste er tung (17,8 MB) og skal parses regelmæssigt at tjenesteudbydere. • Og DanID leverer rigtig mange ud af nettet… • Overvej OCSP • Signaturgruppen har optimeret spærrecheck i sine NemID integrationspakker…
  17. 17. Agenda • Q2: Ny SSL udsteder PID/RID • Q2: Ny udstedende CA • Q2: LSS til NemID – medarbejdersignatur på mobile devices • Q3: NemID javascript klient – nøglekortsløsning på mobile devices
  18. 18. Tjenesteudbyder interface (DanID 2009) 21 DanID PID/RID LRA WS OCSP LDAP Udstedelse FornyelseCRL via HTTP el. LDAP Legacy OIO OWSA Attribut- tjeneste Standard interface Tjenesteudbyder OTP JS OTP OpenSign OpenLogon LSS JS OOAPI (TU pakke)LSS for NemID Q2 NemID javascript klient Q3
  19. 19. LSS for NemID medarbejdersignatur på mobiler
  20. 20. LSS til NemID – en ny fane?
  21. 21. Komponenter i løsningen MedarbejderMedarbejder Browser LSS til NemID API LSS Tjenesteudbyder https://lss-for-nemid-server.dk/<random digits>
  22. 22. MedarbejderMedarbejder Browser iFrame Lss-for- nemid- server.dk Tjenesteudbyder Firewall Lokal Signatur Server 1 Lokal DNS VPN 3 2 4 5 6
  23. 23. Flow Service Provider backend Service Provider page LSS Iframe client LSS backend Generate and sign Client parameters Create NemID Iframe Ready client Transmit ”Sendparamters” message Wait for ”Sendparameters” message Transmit ”parameters” message Wait for ”Parameters” message. Verify parameters Verify user credentials and generate response Transmit ”ReceiveResult” message Wait for ”ReceiveResult” message Transmit response to server Validate signed response Extract identity and signature from user API layer
  24. 24. TU pakke
  25. 25. Agenda • Q2: Ny SSL udsteder PID/RID • Q2: Ny udstedende CA • Q2: LSS til NemID – medarbejdersignatur på mobile devices • Q3: NemID javascript klient – nøglekortsløsning på mobile devices
  26. 26. TU ændringer Blå = Ændret
  27. 27. Tidsplan
  28. 28. Signaturgruppen og JS • Vi er med i pilotprojektet for Nemkonto • Vi opdaterer vores NemID integrationspakker og hjælper ”vore” tjenesteudbydere igennem i efteråret • Stor øvelse! ( > 100 tjenester for os)
  29. 29. Mere om Signaturgruppen
  30. 30. Arbejdsområder Referencer og løsninger NemID til hjemmesider og webtjenester Udsnit referencer Arbejdsskadestyrelsen Betfair Ltd. BRF Dansk Sygeplejeråd (og A-kasse) DONG Energy EnergiMidt Energinet.dk FOA Forbrugsforeningen af 1886 Forenede Gruppeliv Forsikring & Pension Frederiksberg Kommune Fujitsu INFOBA Klasselotteriet Københavns Kommune Lægemiddelstyrelsen Nemkonto.dk Optagelse.dk Socialministeriet Sundhed.dk Tinglysning.dk Undervisningsministeriet Verdo Aalborg Universitet (blanket) Løsning: - Integrationspakke til NemID, medarbejdersignatur og NemLog-in - Login og signering - Platforme: Microsoft IIS/.net, Java, BEA, Websphere, JBoss, Tomcat og PHP
  31. 31. Arbejdsområder Referencer og løsninger NemID til hjemmesider og webtjenester Sikkert login med NemID til lokale netværk Løsning: - Intranet med NemID, Citrix med NemID og VPN med NemID - Forberedt for intranet, hjemmearbejdsplads, Password Reset med NemID og andre to-faktor løsninger - Integreret med bl.a.: Microsoft Forefront TMG/UAG, Cisco VPN og anden Radius VPN Udsnit referencer 2ndC Bornholms Regionskommune Egedal Kommune Frederikshavn Kommune Gentofte Kommune Gladsaxe Kommune Hjørring Kommune Ishøj Kommune Kirkeministeriet OK a.m.b.a. Patentgruppen (hosted VPN) ProActive Rebild Kommune Slagelse Kommune Syddjurs Kommune Tønder Kommune UNI-C (uddannelsessektoren) Aabenraa Kommune Aarhus Kommune (begge)
  32. 32. Arbejdsområder Referencer og løsninger NemID til hjemmesider og webtjenester Sikkert login med NemID til lokale netværk ”Gennemsigtig” medarbejder- signatur Løsning: Signaturcentral Udsnit referencer Ballerup Kommune Billund Kommune Bornholms Regionskommune Esbjerg Kommune Frederikshavn Kommune Gladsaxe Kommune Herning Kommune Holstebro Kommune Horsens Kommune Ikast-Brande Kommune Ishøj Kommune Kalundborg Kommune Kolding Kommune Norddjurs Kommune Rebild Kommune Region Nordjylland Regionshospitalet Horsens Ringkøbing-Skjern Kommune Slagelse Kommune Sygehus Sønderjylland, Aabenraa Vagtlægerne Aalborg Universitet DONG Energy FIH Erhvervsbank Jyske Bank KPMG Lejerbo Nordea Nykredit
  33. 33. Arbejdsområder Referencer og løsninger NemID til hjemmesider og webtjenester Løsning: - Signaturgruppens høje ekspertise og mange-årige erfaring - Rådgiver for staten i hele NemID-projektet - Derudover rådgivning og assistance om NemID, digital signatur, it-sikkerhed, Microsoft PKI, krypto hardware og elektronisk tinglysning. Sikkert login med NemID til lokale netværk ”Gennemsigtig” medarbejder- signatur Rådgivning og specialløsninger Udsnit referencer Digitaliseringsstyrelsen Rambøll Management Bankdata BRF Nordea Nykredit Arla Comendo ComputerShare CSC Jyske Bank Journalisthøjskolen Københavns Kommune (udligning af selskabsskat) NetDesign NSI E-nettet (tidl. Realkreditnettet) Region Sjælland Tabulex
  34. 34. Frem mod OCES3?
  35. 35. • NemID – Centralt opbevarede private nøgler – Manglende mobilunderstøttelse – Realtime phishing, DDOS OCES1 og OCES2 • OCES1 – Besværlig at få – Begrænset mobilitet – Begrænset brugervenlighed Pris 50 mio. ~15 kr /bruger/år Pris 218 mio. ~10 kr /bruger/år
  36. 36. Kriterier for OCES3? • Sikker • Mobil og brugervenlig • Enkel migrering • Øget offentligt ejerskab? • Kan vi få netbankerne med igen? • Hvad må den koste?
  37. 37. Spørgsmål? Flere detaljer i whitepapers på www.signaturgruppen.dk
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×