Teknisk beskrivelse af SmartSignatur Marts 2013 1
Indhold Teknisk beskrivelse af SmartSignatur... 1 Indledning... 3 Digital signatur... 3 En digitalt signatur har mange anvendelsesmuligheder... 3 Software producenterne... 4 NetIQ... 4 Cryptovision... 4 Nets DanID... 5 SmartSignatur IDM... 6 Automatiserer administration og letter anvendelsen af certifikater... 6 Sikkerhed og brugervenlighed er indbygget... 7 Kan automatisere livscyklussen for både bruger-identiteter og certifikater... 7 Problemet ved en standard un-managed installation... 7 Funktioner i SmartSignatur IDM... 8 Fordele i SmartSignatur... 8 Arkitektur og software komponenter... 9 Software komponenter... 9 Hosting arkitekturplan... 9 SmartSignatur smartcard... 10 2
Indledning SmartSignatur IDM er skabt som løsning på den udfordring, at det er administrativt dyrt og teknisk vanskeligt at håndtere medarbejdercertifikater på enkeltstående computere. SmartSignatur IDM er en central signatur server, som er integreret med Nets DanID og kundens egne brugersystemer. Løsningen kan leveres enten til drift i eget datacenter eller den kan leveres som en cloud service, som hostes i samarbejde med Steria A/S. SmartSignatur smartcard er løsningen til de medarbejdere, som har behov for eksempelvis at arbejde både ude og hjemme, har behov for to-faktor login til deres Windows maskine, har behov for at benytte forskellige krypterings metoder og gerne vil have en mere sikker metode til at opbevare sit medarbejdercertifikat. Digital signatur En digital signatur er en elektronisk underskrift, som gør det sikkert for at sende fortrolige og følsomme oplysninger via internettet. For kommuner, regioner og virksomheder kan anvendelse af digital signatur forøge service og kvalitet i kommunikationen med den offentlige sektor og desuden gøre handel på internettet mere sikker. Kilde: http://www.digst.dk/loesninger-og-infrastruktur/digital-signatur En digitalt signatur har mange anvendelsesmuligheder Adgangskontrol & brugervalidering: o Browser adgang til offentlige og interne web systemer. o Windows- og netværkslogin til eksempelvis Cisco, Citrix, Terminal Service & VDI. o Fysisk bygningsadgang mv. Digital underskrift og attestering: o PDF filer & MS Office med kontrakter, afgørelser, tilladelser mv. o Fagapplikationer til godkendelse af bilag, journaler, tilsyn, recepter mv. Kryptering af data: o Hardiske, filer og datakommunikation. 3
Software producenterne NetIQ Ligas samarbejde med NetIQ (tidligere Novell) begyndte tilbage i 2004 med indgåelse af en software distributionsaftale med Novell Danmark A/S. Siden det tidspunkt og frem til i dag har Liga bistået danske IT forhandlere og slutkunder med licenssalg samt salgsmæssig og teknisk uddannelse. Kunderne som benytter NetIQs produkter er typisk store enten offentlige eller private virksomheder. NetIQs produkter anvendes af disse organisationer til brugeradministration og styring af adgangsrettigheder samt efterfølgende kontrol og overvågning af brugeradfærd. Forgængeren til SmartSignatur IDM hed Novell OCES Certificate Manager (OCES betyder Offentlige Certifikater til Elektronisk Service) og blev udviklet i samarbejde med det daværende Århus Amt, Novell, Cryptovision og TDC tilbage i 2005 og 2006. Det er siden blevet anvendt i den nuværende Region Midtjylland samt adskillige kommuner og statslige organisationer. NetIQ er markedsledende indenfor det område Gartner kalder Identity and Access Management (IAM). I december 2012 blev NetIQs produkter endnu engang indplaceret i Gartners magiske gyldne kvardrant med følgende bemærkninger: NetIQ continues to develop, market and support the identityrelated and security-related assets it received from its parent organization's acquisition of Novell in April 2011. The company also continues the tradition of innovation that Novell has had in these markets. Its IAM portfolio of products is well-respected by industry experts, technology professionals, long-standing customers and enterprise users seeking a complete solution for provisioning. Significant new customer wins, such as Verizon's cloud-based security solution, and its strategic partnership with VMware, further illustrate the company's innovation by moving into cloud computing and IDaaS markets. Relocation of Novell's IAM business within NetIQ seems to have been a good thing for these solutions and the company. Many potential clients that weren't interested in doing business with Novell are now more open-minded about NetIQ. As a result, NetIQ's IAM products have experienced very good year-over-year sales increases. Cryptovision På opfordring af Novell Danmark etablerede Liga en samarhandelsesaftale med Cryptovision i 2010. Et af formålene med denne aftale var at videreføre projektet fra Region Midtjylland og få det 4
opdateret til den nye udgave af MOCES (medarbejder OCES), som var annonceret fra Nets DanID i 2011. I dagligdagen omtales Cryptovisions løsning LCES (Local Certificate Enrollment Service). Cryptovision er førende udvikler af innovative produkter inden for kryptografi og public key infrastructure (PKI). Et strømlinet og intelligent design gør det muligt at integrere de mest moderne løsninger i ethvert IT-system. Cryptovisions produkter er altid opdateret med de nyeste algoritmer og dermed forberedt på fremtidens sikkerhedskrav. Som del af SmartSignatur produktfamilien findes flere centrale Cryptovision produkter. cv act PKIntegrated forbedrer identitiy management (IDM) systemer ved at tilkoble life cycle administration af signaturnøgler, certifikater og tokens. Dette forbedrer sikkerheden i organisationen og muliggør nye og mere effektive forretningsprocesser. cv act sc/interface er smartcard middelware, som integrerer sikkehedstokens ind i IT systemer og muliggør avanceret brugergodkendelse, digitale signaturer og single sign-on. Denne fleksible løsning understøtter mere end 40 forskellige smartcard typer på tværs af alle væsentlige operativsystemer og disses platformsspecifikke grænseflader. cv act pki/roamer forventer at den private nøgle from en bruger er centralt opbevaret i brugerens Secret Store I NetIQ edirectory. Cryptovision tilbyder en løsning med PKI software cv act PKIntegrated, der gemmer den private nøgle I NetIQ Secret Store, og gør den tilgængelige for cv act pki/roamer. Nets DanID Nets DanIDs formål er at levere sikre og brugervenlige løsninger inden for digitale signaturprodukter. Vores kunder er både offentlige og private virksomheder. Nets DanID står bl.a. bag NemID og Digital Signatur. Nets DanID er en del af Nets-koncernen, der ejes af Danmarks Nationalbank og en række danske og norske pengeinstitutter. Nets står bag kendte løsninger som f.eks. Dankort, BetalingsService og e- Boks. Nets DanID er en markant leverandør af digital infrastruktur til offentlige og private virksomheder i det danske samfund. Nets DanID fik i 2008 fik opgaven af det daværende Videnskabsministerium med at udvikle og levere den nye digitale signatur i Danmark for en femårig periode. 5
SmartSignatur IDM I takt med den stigende digitalisering i og omkring den offentlige forvaltning stiger kravene til anvendelsen af medarbejdersignaturer. Men mange virksomheder tvinges til, at holde implementering samt brug af medarbejdercertifikatet på armslængde, da de er vanskelige at administrere og vanskelige at anvende. Mange virksomheder der har et konkret behov for anvende certifikater, vælger at minimere den medfølgende kompleksitet ved at implementere virksomhedscertifikater, for så blot at løbe ind i andre problemer. Eksempelvis er virksomhedssignaturerne ikke personlige og kan derfor ikke anvendes i en række specifikke sammenhænge. Og når et virksomhedscertifikat skal tilbagekaldes f.eks. på grund af en sikkerhedsbrist - er det problematisk, at det vil påvirke alle brugere og ikke kun en enkelt person. Nogle virksomheder vælger at implementere forskellige gateway-løsninger til certifikathåndtering i forbindelse med e-mail og andre funktioner, men det løser ikke problemet med adgang til certifikatet, der hvor brugeren og alle dennes applikationer er nemlig på brugerens PC. Automatiserer administration og letter anvendelsen af certifikater Med SmartSignatur kan hele processen automatiseres, lige fra bestilling og udstedelse til opbevaring og installation. Ved at anvende Nets DanIDs SOAP interface kan en brugeroprettelse eller andre ændringer i et autoritativt directory automatisk medføre en udstedelse af et medarbejdercertifikat. Løsningen kan også fungere uden SOAP ved hjælp af en (normal) manuel oprettelse af brugeren i selvbetjeningsportalen. Nets DanID forbereder herefter som normalt - selve certifikatudstedelsen og fremsender en personlig e-mail med download-url for certifikatet, samtidigt med at den personlige PIN-kode fremsendes per post eller via straksaktivering. I denne løsning peger den medsendte URL dog ikke længere på en Nets DanID-hjemmeside, men i stedet for på en lokal web-applikation (LCES - Local Certificate Enrollment Service), som med udgangspunkt i brugerens netværkslogon og den PIN-kode som brugeren har modtaget per post eller SMS besked kommunikerer direkte og sikkert med Nets-DanID om udstedelse af medarbejdercertifikatet på samme måde, som det ellers vil foregå på brugerens egen PC. Men i stedet for at medarbejdercertifikatet blot efterlades på brugerens egen PC, bliver certifikatet bragt til en sikker og central opbevaring i den indbyggede Directory Service, som indeholder en specialiseret og sikker database der er velegnet til opbevaring af certifikater. Når brugeren herefter logger på en PC med sit netværkslogin, bliver det indtastede bruger-id og password via en lille klientapplikation (pki/roamer) brugt til at give adgang til brugerens eget medarbejdercertifikat i directory servicen, hvorefter det automatisk kopieres til den PC hvor brugeren og brugerens applikationer befinder sig. Samme service er ydermere i stand til automatisk at fjerne medarbejdercertifikatet hvis dette ønskes, således at der på et vilkårligt tidspunkt ikke er mere end ét medarbejdercertifikat tilgængelig på en PC. 6
Sikkerhed og brugervenlighed er indbygget SmartSignatur IDM letter anvendelsen af medarbejdercertifikater uden at gå på kompromis med sikkerheden. Adgangen til medarbejdercertifikatet sker med brugerens eget netværkspassword, som via en central passwordpolitik bringes i overensstemmelse med passwordkravene til certifikatet, og brugerens password til netværket vil fremover være det eneste password, der kan give adgang til brugerens certifikat. Medarbejdercertifikatet opbevares i directory servicen tilknyttet til det individuelle brugerobjekt, og ikke engang en administrator vil kunne ændre brugerens password for derefter at logge ind som brugeren og selv få adgang til certifikatet. Hvis virksomheden ønsker det, kan brugeren dog også sættes i stand til selv at skifte sit password eller måske modtage et passende password tip, hvis brugeren har glemt sit password. Kan automatisere livscyklussen for både bruger-identiteter og certifikater SmartSignatur IDM indeholder en brugerstyringskomponent, der gør det muligt at tilføje en automatisering af brugeroprettelse og administration, for i samme takt at udstede eller evt. tilbagekalde certifikater, alt afhængigt af virksomhedens politikker. Ved hjælp af en web-baseret grafisk bruger-grænseflade defineres virksomhedens processer, regler og sikkerhedspolitikker omkring bruger- og certifikatadministration, som efterfølgende automatisk omsætter dette til de tilsvarende brugeradministrative handlinger. Med den indbyggede teknologi er det muligt for SmartSignatur IDM, at stille en komplet livscyklushåndtering af såvel bruger-identiteter som deres certifikater til rådighed. Løsningen kan således udvides til f.eks. at registrere en nyansættelse i et HR-system eller en brugeroprettelse i andre autoritative applikationer, til automatisk at oprette et bruger-id på relevante applikationer og iværksætte en certifikatudstedelse. Når den pågældende medarbejder senere fratræder sin stilling, vil denne ændring igen blive afpsejlet i de samme autoritative systemer, som igen automatisk - stopper for adgangen til den pågældende medarbejders certifikat. Problemet ved en standard un-managed installation Certifikater er kun installeret på den enkelte PC direkte i Microsoft Cryptographic Application Programming Interface (MCAPI). Eksport og inport er muligt, men kræver en manuel proces udenfor rammer af kompetancen hos den almindelige slutbruger Password på certifikat er forskelligt fra brugerens PC Genudstedelse af certifikat er krævet hvis password er glemt og kan medføre op til 5 dages ventetid uden certifikat Stand-alone Nets-DanID web selvbetjenings portal kræver at virksomheder skal genindtaste alle bruger oplysninger 7
Funktioner i SmartSignatur IDM Automatisk udstedelse/administration af certifikater Central og sikker opbevaring af certifikater forhindrer at 3. part uautoriseret kan opnå adgang til en vilkårligt medarbejder certifikat. Avanceret politikstyret password-administration med mulighed for selvbetjening til omsætning af OCES certifikatpolitikkens passwordkrav Let og transparent integration til både Novell edirectory og Microsoft Active Directory Automatisk installation af certifikater og privat nøgle på Microsoft Windows PC Understøtter installation til Microsoft CAPI, OpenOffice og Mozilla FireFox Indeholder mulighed for også at kunne håndtere andre certifikater Indbygget workflow-håndtering samt overvågning og rapportering Omfattende adressebogsfunktion Mulighed for at udvide til komplet livscyklus-styring af brugere og certifikater Fordele i SmartSignatur Muliggøre fuldt automatiseret certifikatudstedelse, opbevaring og installation Sammenkoble certifikatudstedelse med brugeradministrationen Sikre at brugerens certifikat altid er der hvor der er brug for det på brugerens PC Muliggøre single sign-on adgang til både desktop, netværk og certifikater Styrke virksomhedens passwordpolitik Give brugerne adgang til en selvbetjeningsportal for passwords Beskytte brugerens certifikater i henhold til OCES certifikatpolitikken Forberede implementering af omfattende livscyklushåndtering og adgangskontrol mm. 8
Arkitektur og software komponenter Software komponenter Suse Enterprise Server Suse Enterprise Server HA Option NetIQ edirectory til identitets opbevaring NetIQl SecretStore til certificat opbevaring NetIQ edirectory for LDAPS access to certificater NetIQ edirectory Instrumentation for Audit Logins and certificate access NetIQ Identity Manager Advanced, o Integration modules for Directories (Active Directory and edirectory) o Utilities (SOAP integration med DanID) o EAS for Driver and object events CryptoVision, LCES, til certificat installation i Secret Store og integration til DanID CryptoVision, pki/roamer til certificat installation på brugerens Dekstops/laptops/Citrix. Hosting arkitekturplan Customer FireWall Steria FireWall Steria Servers Steria FireWall Customer Servers Incomming: Allow Steria IP and Port, forward to RL-Server Outgoing: Allow DIM- EDIR IP to connec to customer IP s Shared Cluster Storage HTTPS:8143 Customer AD DC Native MS ADSI Customer AD Member server (RL Server) Custom port 8100-8200 IDM-eDir 2n-Cluster AuditData edir Sync:524 edir Sync:524 AuditData Outgoing: Allow HTTPS:8143 mod Certifikat.tdc. dk kun fra IDM-EDIR Cluster DanID Customer Clients Outgoing: Allow Steria HTTP-LDAP IP and port 443+636 Incomming: Allow HTTP- LDAPagains Load Balancer AuditData Audit LDAPS:636 HTTPS:443 Load Balancer LDAP/LCES edirectory ManagementPortal 9
SmartSignatur smartcard Et smartcard er typisk et plastickort hvor data er lagret på en elektronisk chip i stedet for (eller samtidig med) en magnetstribe eller en stregkode. På betalingskort og flere andre steder menes chipkort at være mere sikre mod forfalskninger end magnetstribekort. De fleste kender chippen fra deres Dankort, SIM-kort eller telefonkort til telefonboksen. (kilde: http://da.wikipedia.org/wiki/smartcard) Ved at flytte medarbejderes NemID medarbejdersignatur (også kendt som MOCES certifikat) fra en standard installation i Windows og ud på et smart card vil medarbejdere nu kunne bruge sit certifikat fra flere forskellige maskiner og undgå ulemperne med genudstedelse ved reinstallation af PC. Medarbejderen vil også opnå at adgangskoden til certifikatet kan simplificeres ved at medarbejderen kan bruge en 4 cifret pinkode fremfor en adgangskode på minimum 8 bogstaver og tal og mindst 1 stort bogstav. Smart card løsningen virker med Linux, Mac og Windows. Med I Ligas SmartSignatur smartcard pakker følger: SignaturAdmin - software til dannelse af PKCS12 certifikat udstedt af Nets-DanID og egen privat nøglefil (GPL licens) PDFsikkerhed - software til underskrift/signering/kryptering af almindelige PDF filer (forventes klar medio april 2013) CV act sc/interface - software til administration og anvendelse af smartcard inklusiv 1 styk user licens 10
Dette dokument er digitalt underskrevet 18/03-2013 20:50 af firma: LIGA DISTRIBUTION ApS // CVR:31938260, bruger: Bjarke Alling + SERIALNUMBER=CVR:31938260-RID:1299858196361.