Kunskapsbanken

Autentisering

”Kontroll av uppgiven identitet, t.ex. vid inloggning, vid kommunikation mellan två system eller vid utväxling av meddelande mellan användare”. Svenska datatermgruppen rekommenderar att man använder begreppet autentisering i det första fallet och meddelandeverifiering i det andra.

Autentisering är processen att säkerställa en användares identitet. Vid s k stark autentisering används två eller flera faktorer: någonting du har, t ex  ett smart kort och något du vet, PIN-koden.

Autentisering innebär att kunna visa sin identitet för någon annan. Som människor har vi inget problem med det i vardagen då vi kan autentisera oss på många olika sätt. Vi känner till exempel igen varandras röster på telefon, eller varandras ansikten när vi träffas.

När man kommunicerar över ett nätverk kan man inte förlita sig på sådana metoder utan man använder då istället certifikat eller E-legitimationer som de också kallas.

Det finns många olika PKI-lösningar för att autentisera användare och med hjälp av digitala certifikat samt två-faktorautentisering uppnås en mycket hög säkerhetsnivå. Ett smartkort i kombination med en pinkod eller ett mobil-ID och en app i sin smartphone är två vanliga exempel på en sådan autentiseringslösning.

Stark autentisering

Stark autentisering brukar även kallas två-faktorautentisering (2FA) då identifieringen bygger på två principer, ”något du har” och ”något du vet”, t ex ett smart kort och PIN kod eller en smartphone med  Expisoft Mobil-ID installerat.

En säkerhetslösning baserad på 2FA erbjuder ett mycket starkare säkerhetsskydd än användarnamn och lösenord genom att användaren kan upptäcka att han förlorat sitt kort/smartphone och då spärra kortet samt begära ett nytt. Om någon obehörig kommit över användarens kort/smartphone så kan han inte använda den e-legitimation som förvaras på smartkortet eller telefonen då PIN-koden (lösenordet) inte är känd för angriparen.


Auktorisation

I IT-sammanhang innebär begreppet auktorisation att bestämma vem som får göra vad i ett IT-system eller i en viss applikation. Helt enkelt vilka rättigheter en användare skall ha. Därför används ofta begreppet behörighetskontroll istället för auktorisation.

Rollbaserade behörighetssystem ger den bästa överblicken och enkelheten vid tilldelning av behörigheter till användare. När en användare försöker att använda en resurs så kontrolleras att användarens roll har rättighet att använda den resursen. Ofta används en kombination av rollbehörigheter och användarunika rättigheter när säkerhetskonfigurationen görs.

Med auktorisation ges en accessrätt till olika resurser baserat på en identitet och/eller en roll.  Oftast finns det policys som reglerar hur åtkomsträttigheter skall ges till organisationens användare. Några exempel på resurser där användare har olika behörigheter/åtkomsträttigheter är nätverk, databaser, filer, skrivare, applikationer och tjänster. Med hjälp tekniker som stark autentisering, auktorisation och rollbaserade behörighetskontrollsystem har man bra förutsättningar för att skapa både en god kontroll och hög säkerhet i organisationens IT-användning.


Mobil-ID

Ett Mobil-ID är en e-legitimation som installerats i användarens smartphone. E-legitimationen förvaras i en applikation som laddas ner från Apple app store, Google play store eller Windows store och den skyddas med ett lösenord.

Användningen av Mobil-ID är på många sätt likt hur man använder andra mobila ID för inloggning i Internetbanken eller vid kontakt med myndigheter.

Skillnaden mellan de båda legitimationstyperna består i att man i ena fallet lagrar användarens personnummer i legitimationen medan man i det andra fallet (Mobil-ID) lagrar ett anställningsnummer. En Mobil-ID är därför en tjänstelegitimation, dvs en elektronisk legitimation som identifierar både dig och den organisation du tillhör medan en e-legitimation som enbart innehåller ett personnummer identifierar endast individen och kallas medborgarlegitimation.

Ett Mobil-ID är en tjänstelegitimation, eller som den ibland också kallas för, personlig organisationslegitimation, dvs en ID-handling som är knuten till en anställning i en organisation som t ex en polislegitimation.

En e-tjänstelegitimation innehåller uppgifter om organisationens namn, organisationsnummer, innehavarens namn samt ett unikt id för innehavaren i den organisationen som normalt är ett anställningsnummer. Enkelt uttryckt kan man säga att en e-tjänstelegitimation är en elektronisk identitetshandling som används i tjänsten vid kontakt med myndigheter, organisationer och företag över Internet.

Det finns många anledningar till att företag och myndigheter hellre vill använda en e-tjänstelegitimation istället för den anställdes personliga e-legitimation, t ex:

  • Anställda vill ofta inte använda sitt personnummer i tjänsten - vanligt inom bl a sjukvårdssektorn
  • En personlig medborgarlegitimation förutsätter att ett svenskt personnummer finns tillgängligt varför de inte går att använda för  utlandsanställda, asylsökande, skyddade identiteter etc
  • Organisationen kan ha policys eller andra regelverk som begränsar hur anställdas personnummer får användas i tjänsten.
  • En e-tjänstelegitimation är vidare till skillnad från en medborgarlegitimation inte bunden till nationella gränser, dvs de kan med fördel användas av utländska aktörer, dotterbolag etc
  • I de fall man försöker använda medborgarlegitimationer i tjänsten måste man skriva och distribuera pappersfullmakter till tjänsteägare för varje applikation inom och utom organisationen som man vill ge den anställde åtkomst till. När den anställde slutar så måste alla dessa fullmakter återkallas – vilket kan glömmas
  • Med en e-tjänstelegitimation kan organisationen istället enkelt återkalla den anställdes e-legitimation när denne slutar i och med att e-tjänstelegitimationen är utställd av och tillhör företaget. Man slipper krånglet med återkallade av fullmakter.


Integritet, Autenticitet och Oavvislighet

Med integritet menar man att den information man lägger in och tar ut ur ett IT-system inte manipulerats eller förvanskats sedan den skapades.

Autenticitet innebär man kan garantera att den som påstår sig skapat eller skickat en viss information verkligen är den som personen utger sig för att vara.

Oavvislighet innebär att den som skapat informationen inte kan frånträda sig ansvaret från att ha skapat den, dvs säkerställande av informationens ursprung.

En elektronisk signatur uppfyller dessa tre krav, dvs det går att garantera vem som gjort den, personen kan inte heller förneka att han signerat informationen och det går att garantera att informationen som signerats är exakt densamma som den som man läser/verifierar.

Med en elektronisk signatur kan vi på samma sätt som med pappersdokument underteckna dokument för att bevisa dess äkthet. Information kan skickas digitalt över publika nät utan säkerhetsrisk. En kvalificerad elektronisk signatur är juridiskt bindande.

Med elektroniska signaturer får vi möjlighet att digitalisera verksamhetsprocesser och effektivisera arbetsflöden som attestrutiner, handläggningsbeslut, stämpling och andra rutiner som idag kräver en papperskopia med en chefs/ansvarigs underskrift.


RA - Registry Authority

RA är programvara som installeras på de datorer som ska kunna kopppla upp sig mot mot ett CA-system för att kunna ställa ut e-legitimationer, smarta kort, spärra certifikat etc. Man kan säga att en RA utgör klientdelen i ett CA-system.


Smarta kort

Ett smartkort är ett kort med inbyggda kretsar som kan lagra och processa information. Kortet består oftast av PVC plast. Kortet kan även ha ett hologram för att motverka förfalskning.

Smarta kort används för att höja säkerhetsnivån utöver vad traditionell lösenordshantering kan erbjuda när användare ska logga in företagets nätverk och IT-system.

Certifikat som lagras på smarta kort brukar benämnas kvalificerade certifikat och/eller kvalificerade e-legitimationer.

PKI (Public Key Infrastructure)

PKI är en infrastruktur för digital säkerhet som använder publika och privata nycklar. I praktiken kan detta appliceras på säker inloggning i datorsystem för användare, säker kommunikation mellan olika systemet över olika kommunikationsvägar och säker hantering av information, med möjligheter att signera dokument och handlingar.

PKI kan enkelt skalas upp i hierarkier, där en redan godkänd och autentiserad utgivare kan gå i god för andra utgivare.

 

Asymmetrisk kryptering

PKI använder asymmetrisk kryptering. Detta är en digital säkerhetsteknik som baseras på matematiska beräkningar, algoritmer, där ingångsvärdena är stora primtal. Beräkningarna skapar "par" av ännu större tal, nycklar, med den speciella matematiska egenskapen att det ena talet kan användas för att kryptera numeriska data och det andra talet används för att dekryptera (återställa) data. Om startvärdena i beräkningarna är tillräckligt stora blir det omöjligt att med hjälp av det ena talet hitta det andra och på så vis knäcka krypteringen.

 

Asymmetrisk kryptering i praktiken

Autentisering och signering med hjälp av PKI är en tillämpning av asymmetrisk kryptering med nyckelpar, en publik nyckel och en privat nyckel. Vid autentisering får alla som behöver, ta del av den publika delen av nyckelparet för att kryptera meddelanden eller skapa en inloggningsprocedur i ett system.

Det är bara den som har tillgång till den privata nyckeln som sedan kan dekryptera meddelandet eller verifiera sin identitet under en inloggningsprocedur.

Det omvända används då man undertecknar ett köp, en transaktion eller ett dokument. Då kan ett system eller en innehavare av den publika nyckeln verifiera med sin del av nyckelparet, den publika nyckeln, att en avsändare är den han utger sig för att vara, och detta gäller underskrifter eller t ex vid ekonomiska transaktioner.

 

Nycklar registreras på certifikat

Nyckelparet knyts till en användare med ett digitalt certifikat som kan läggas in på ett smartkort, eller i ett mjukt certifikat. Den ansvarige utgivaren Certificate Authority, CA, ska kunna intyga personens identitet. Användaren måste vid registreringen i ett CA-system, identifieras fysiskt med hjälp av födelsedata, pass, nationella ID-handlingar eller motsvarande.

 

CA garanterar säkerheten

Utfärdaren av certifikat CA, (Certifieringsorganet, Certificate Authority), äger också ett registrerat nyckelpar, på samma sätt som en användare. Endast ena nyckeln i nyckelparet är offentlig (publik nyckel). När CA utfärdar ett nytt användarcertifikat signeras det med CA:s privata nyckeln och garanterar på så vis användarens identitet. CA:s signering förhindrar att någon kan skapa egna certifikat i någon annans namn utan att det upptäcks. CA:s publika nyckel måste finnas tillgänglig för de som använder sig av certifikat eller smartkort utgivna av just denna CA.

Verifiering

Program som vill verifiera ett användarcertifikats äkthet, dekrypterar signeringen med CA:s publika nyckel. CA:s publika nyckel distribueras eller hämtas från utfärdaren av CA-certifikatet.

CA-certifikatet lagras i systemets (t ex i AD) eller datorns lokala arkiv över Betrodda Certifikatsutgivare, tillsammans med de utgivare som du litar på. Därmed bekräftas att användarcertifikatet, eller servercertifikatet som har utfärdats av en CA du litar på, inte är en inkräktare och att det certifikatet inte har ändrats efter att det utfärdades.

 

CRL över återkallade certifikat (spärrlista)

CRL, (Certificate Revocation List) är en lista på återkallade certifikat som utfärdare av certifikat publicerar. Det är en viktig del av säkerheten att ha tillgång till uppdaterade versioner av dessa listor. Certifikat kan återkallas av olika skäl, till exempel ett smartkort har hamnat i orätta händer och PIN-koderna till kortet har röjts, eller att att en användare har avslutat sin anställning och inte längre ska ha access till något system. I användarcertifikatet står t ex den http-adress varifrån listan tankas ner, alternativt adressen till en ldap-katalog. Kontrollen är helt automatiserad men kan i regel också stängas av beroende på vilket program eller webbläsare som används.

 

OCSP Online Certificate Status Protocol

Med OCSP kan man alltid vara säker på att ha de absolut senast och uppdaterade uppgifterna om ett visst certifikat. I varje certifikat finns adressen till den OCSP-server som har information om certifikaten. En förfrågan utförs för varje enskilt certifikat i taget. Jämför med hur det fungerar vid betalning med kreditkort via en terminal då kortets status kontrolleras direkt.

 

Livslängd på certifikat

Certifikat har alltid en begränsad livslängd. Beroende på användningsområden kan ett certifikat behöva skapas om efter ett antal år eller rent av månader. Applikationerna som använder certifikaten kontrollerar giltighetstiden.

Användningsområden för PKI lösningar - exempel

- Autentisering

Program som använder den publika nyckeln för att kryptera något t.ex. e-post, kan bara dekryptera e-post med den motsvarande korrekta privata nyckeln. Exempelvis om två eller flera som utbyter e-post delar med sig av sina respektive publika nycklar till övriga och dessa publika nycklar därefter används för att kryptera e-post. När e-postbrevet anländer till mottagaren kan e-posten dekrypteras med den privata nyckeln som endast mottagaren har. Mottagaren är den enda som då kan läsa innehållet i e-postbrevet.

- Oavvislighet

Genom att signera utgående e-post, med avsändarens privata nyckeln garanteras alla mottagare av e-posten att identiteten hos avsändaren är korrekt. Signaturen verifieras hos mottagarna genom använda avsändarens publika nyckel för att dekryptera epostens signatur. Avsändaren kan i detta läge inte förneka att denne skrivit innehållet i e-posten, informationen blir oavvislig.

- Sekretess

Kryptering används för skydda data vid uppkopplingar mot en webbserver, erhålla en säker inloggning till affärssystem, säkra informationsutbyten mellan maskiner, inloggning till en enskild dator, signering. Kryptering används även för att skydda data som lagras på disk eller i olika filer, dvs kryptering av dokument, transaktioner, filer, kataloger, och diskar.