Informationsmøde for leverandører af it-sikkerhedsløsninger 25. februar, København

Agenda 09.30 - 10.00 Kaffe og registrering 10.00 - 10.15 Velkomst og introduktion til DanID 10.15 - 11.15 Præsentation af den nye digitale signatur 11.15 - 11.30 Pause 11.30 - 12.30 Arkitektur og grænseflader 12.30 - 13.00 DanID partner aktiviteter 13.00 - 14.00 DanID serverer en frokostsandwich

Introduktion til DanID Et selskab i PBS koncernen – 100% ejet af PBS Bygger på kompetencer fra både TDC og PBS > 25 medarbejdere – primært i Århus Er ansvarlig for alle PKI relaterede aktiviteter Udpeget af Videnskabsministeriet til at udvikle og drive Digital Signatur de næste 5 år Aftale med bankerne om ny netbank sikkerhedsløsning Fokus på brugervenlighed, udbredelse, mobilitet og sikkerhed

DanID A/S DanID Program DanID Forretning HR PKI Kompetence Johnny Bennedsen DanID Program Gitte Zølner DanID Forretning John Christensen HR Kuno Jakobsen Forrretningssupport Peter Hasselsteen PKI Kompetence Og Sikkerhed Partnere & Salg Lars M Kristensen Produkter og Marketing Helle Strøm Produktion, Drift & Support John Christensenn Udvikling John Christensen * Projektleder strategiske projekter

Missionen – Hvorfor er vi her? ’DanID’s formål er at samle de førende kræfter på området for digital signatur med henblik på at kunne levere de bedst mulige løsninger til både det offentlige og andre aftagere af digital signatur ydelser.’

Visionen – DanID vil: Sikre én fælles digital infrastruktur til al form for identifikation og godkendelse på tværs af alle sektorer Sikre udbredelsen af den nye digitale signatur – til alle borgere og virksomheder Sikre en markant forøgelse af anvendelsen af digital signatur, for at opnå de ønskede effektiviseringsgevinster i både offentligt og privat regi Udvikle løsninger, der har et internationalt perspektiv Støtte og styrke regeringens vision om at løfte Danmark op i den internationale elite, hvad angår borgernes brug af både offentlige og private nettjenester

Én fælles sikkerhedsløsning Sikrer kritisk masse Sikrer at brugerne får rutine Letter kommunikationen Skaber tillid hos både brugere og tjenesteudbydere Sikrer at alle sektorer løftes i nogenlunde samme tempo Sikrer at lovgivning og andre rammebetingelser følger med

DanID deltagere i dag Lars Møller Kristensen – lmk@danid.dk Claus Bergdahl Hansen – cbh@danid.dk Claus Methmann Christensen – cmc@danid.dk Peter Fjelbye – pef@danid.dk Helle Strøm – hestr@danid.dk Peter Lind Damkjær – pld@danid.dk Anne Sand – asand@danid.dk David John Hansen – djh@danid.dk John Christensen – jc@danid.dk

Agenda 09.30 - 10.00 Kaffe og registrering 10.00 - 10.15 Velkomst og introduktion til DanID 10.15 - 11.15 Præsentation af den nye digitale signatur 11.15 - 11.30 Pause 11.30 - 12.30 Arkitektur og grænseflader 12.30 - 13.00 DanID partner aktiviteter 13.00 - 14.00 DanID serverer en frokostsandwich 10

Regeringens globaliseringsstrategi Digital kommunikation skal udbredes til alle områder: Senest i 2012 skal al relevant skriftlig kommunikation mellem virksomheder, borgere og den offentlige sektor kunne foregå digitalt. (Fremgang, fornyelse og tryghed, april 2006)

STRATEGI FOR DIGITALISERING AF DEN OFFENTLIGE SEKTOR 2007-2010 Der skal sikres en fortsat sikker og tryg håndtering af data i den offentlige sektor: Alle myndigheder skal senest i 2009 understøtte den nye digitale signatur i alle relevante løsninger.

Den nuværende digitale signatur - et godt udgangspunkt Den 20. februar 2009 er der udstedt 1. 336.364 digitale signaturer, heraf: 1.128.499 personcertifikater 201.740 medarbejdercertifikater fordelt på ca. 54.000 virksomheder/offentlige myndigheder 5.712 virksomhedscertifikater 413 funktionscertifikater Antallet af danskere med en digital signatur er støt stigende.

Indholdstjenester til digital signatur - et godt udgangspunkt Sikker e-mail Indholdstjenester Offentlige myndigheder 215 125 Private virksomheder 6 30 Liste over indholdstjenester kan ses på: www.digitalsignatur.dk

Den nuværende digitale signatur – et godt udgangspunkt Danmarks Statistik har i april 2008 fået foretaget en landsdækkende undersøgelse blandt borgerne* med digital signatur, som viser: at 80 % benytter den digitale signatur at 38 % benytter den mindst én gang pr. måned at 92 % føler at den er sikker/meget sikker at 85 % er tilfreds/meget tilfreds med den * Population:1.054 Antallet af danskere med en digital signatur er støt stigende.

Tværoffentligt samarbejde . Den nye digitale signatur er resultatet af et tæt og tværoffentligt samarbejde mellem staten, regionerne og kommunerne. Videnskabsminister Helge Sander underskrev den 21. august 2008 kontrakten med DanID, der løber frem til 2014

Aftalen sikrer: At alle borgere gratis kan bestille og anvende en digital signatur og få kompetent support At virksomheder og offentlige myndigheder gratis kan bestille og anvende op til tre medarbejdersignaturer At offentlige myndigheder kan modtage signaturer i en femårig periode.

Grundlæggende krav og egenskaber Løsningens økonomi Sikkerhed Brugervenlighed og mobilitet Det offentlige som tydeligere afsender Fremme udbredelsen Funktionalitet mindst som i dag Kontinuitet for tjenester og enkel migrering for brugere.

Sikkerhed for borgere Central og sikker opbevaring af signaturen 2-faktor autentifikation: noget man ved noget man har Løsning baseret på engangskoder

Brugervenlighed og mobilitet Signaturen kan anvendes uden behov for installation af software Borgeren kan tage sin signatur med sig og benytte den fra alle computere med internetadgang

Fælles anvendelse af infrastruktur DanID Signaturer Hyppig anvendelse Husker password Større udbredelse Større effektivitets-potentiale Netbank Skat OTP Server

Sådan virker det J Min Kommune Log på Borgerservice

Sådan virker det J Min Netbank J Min Kommune Log på Borgerservice 4711

Hvorfor koder på pap eller plastic? Let for borgerne at forstå og bruge. Ensbetydende med hurtig indlæring samt lave supportomkostninger. Komme i gang hurtigt og relativt billigt Elektroniske løsninger er stadig for umodne Det første skridt

Perspektiv Det intelligent borgerkort? OCES og mobiltelefon Sygesikringskort OCES og SMS Rejsekort OCES, chip og OTP-device OCES og OTP-device Dankort Trådløse kort OCES og nøglekort

Produkter til borgerne Offentligt finansieret: - Digital signatur - Add-on til sikker e-mail - Support

Bestillings- og registreringskanaler for borgere ID verifikation efter ”Hvidvasknings-bekendtgørelsen” (Pas, kørekort m.m.) OTP udleveres direkte eller fremsendes til folkeregisteradresse Netbank Borgerservicecentre Ambassader/konsulater CA/DanID Central offentlig hjemmeside Tjenesteudbydere

Bestilling første medarbejdersignatur FAQ Vejledninger, installationsguide m.v. Produktguide Link til DanID’s selvbetjening Virksomhed/ myndighed Tjenesteudbydere CA/DanID Central offentlig hjemmeside Bestilling af digital signatur Support for borgere: FAQ, mail og chat Selvbetjening: Administration af signatur Vejledninger og generel information Borger

CHRISTOFFERS KNÆSKADE

Signaturer til virksomheder Løsninger videreføres i vid udstrækning fra OCES I inkl.: Certifikattyper Medarbejdercertifikater Virksomhedscertifikater Funktionscertifikater Signaturserver til medarbejdersignaturer LDAPter Medarbejdersignatur Avanceret (Split-signatur) Attributtjenesten Understøttelser af 3. parts leverandører (smartcard o.lign.) Eksisterende bilaterale aftaler: Sortiment, priser og vilkår videreføres (ca. 50 forskellige produkter/ydelser) 30

Signaturer til virksomheder - nyheder Mere brugervenligt selvbetjeningsunivers Papirarbejdet ved bestilling elimineres for enkeltmandsvirksomheder ved brug af ejerens personsignatur Nye og fleksible registreringsprocesser i virksomhederne Administration på tværs af CVR Medarbejdersignatur kan tilknyttes OTP Ny leverancekontrakt

DEN DIGITALE BYGGEBRANCHE

Overordnet tidsplan og milepæle 23.06.08 - 01.10.08 Analyse og planlægning 02.09.08 - 06.03.09 Udvikling og implementering 09.03.09 - 13.11.09 Pilotprojekt, test og prøver 18.09.09 - 08.03.10 Migrering af tjenester XX.11.09 - Idriftsættelse 01.09.08 - Markedsføring og kommunikation

Potentialerne bør kunne realiseres, men … Borgernes foretrukne kommunikationskanal for kontakt til den offentlige sektor ”I både 2007 og 2008 angiver mere end 60 % af de it-ansvarlige, at manglende udbredelse af den digitale signatur er en barriere for digitaliseringen af den offentlige sektor. Med implementeringen og udbredelsen af den nye generation af den digitale signatur fra DanID, som forventes at blive udstedt fra efteråret 2009, må denne barriere forventes at blive minimeret” IT i Praksis ® 2008 Værdiskabende services + Markedsføring

Agenda 09.30 - 10.00 Kaffe og registrering 10.00 - 10.15 Velkomst og introduktion til DanID 10.15 - 11.15 Præsentation af den nye digitale signatur 11.15 - 11.30 Pause 11.30 - 12.30 Arkitektur og grænseflader 12.30 - 13.00 DanID partner aktiviteter 13.00 - 14.00 DanID serverer en frokostsandwich 36

Agenda 09.30 - 10.00 Kaffe og registrering 10.00 - 10.15 Velkomst og introduktion til DanID 10.15 - 11.15 Præsentation af den nye digitale signatur 11.15 - 11.30 Pause 11.30 - 12.30 Arkitektur og grænseflader – 1. halvdel 12.30 - 13.00 DanID partner aktiviteter 13.00 - 14.00 DanID serverer en frokostsandwich 37

Løsningen set fra en helikopter Tjenesteudbyder RA DanID CA Off. LDAP DanID.dk LRA Bruger- database Signatur Server PID/RID DCH CPR CVR Rigs- politiet 38

Elementer i infrastrukturen CA Nyt DanID rodcertifikat Brugere beholder PID/RID fra OCES I IT- og Telestyrelsen overtager ejerskabet Driftes af DanID PID/RID 39

Tjenesteudbyder interface Standard interface Legacy OIO OWSA LDAP PID/RID Udstedelse LRA WS OCSP CRL via HTTP el. LDAP Fornyelse Attribut- tjeneste DanID 40

Borgere Bruger-ID CPR og selvvalgt kaldenavn Kodeord Mindst 6 tegn (bogstaver + tal) Engangskode (OTP) Token PIN Mindst 4 cifre 41

Borgere - Registrering Online registrering Dansk pas og kørekort Online-migrering fra OCES I OCES I + dansk pas eller dansk kørekort Online-migrering fra netbanker Netbank-login Fysisk fremmøde i kommune (ASU) eller egen bank Dokumentation iht. lov om hvidvask 42

Borgere - Browseranvendelse Operativsystem Browser med Java OpenOCES applet (OpenLogon/OpenSign) Signatur- Server Sikker protokol 43

OpenSign / OpenLogon Java-applet Understøtter både OCES I og OCES II Understøtter alle ”OCES-medier” OTP USB-token/smartcard Filbaserede signaturer (Medarbejdercertifikater og OCES I person) Etc. Mange konfigurationsmuligheder Output som XMLdsig eller DK-SAML Filtrering på signaturtype (Person eller Medarbejder) Filtrering på udsteder (OCES I eller OCES II) Flere sprog Væsentlig bedre dokumentation end nuværende løsning Open Source Dual-licens 44

Borgere - Standardapplikationer Windows OS Mac/Linux OS Standard appl. Standard appl. MS CAPI PKCS11- wrapper DanID CSP * PKCS#11-modul * Signatur- Server Sikker protokol * Samme brugeroplevelse som OpenLogon 45

Anvendelse i private tjenester XMLDsig – Som eksisterende løsning Videregivelse af certifikat inkl. PID-nummer Navn (hvis det indgår i certifikat) E-mail (hvis det indgår i certifikat) DK-SAML Videregivelse af tjenestespecifik information efter brugerens accept Certifikat CPR Navn Adresse Alder Køn Persistent pseudonym

DK-SAML i brug Log på FindEnPartnerForLivet.dk Brugernavn: Kodeord: evangelisten43 Kodeord: ********** Engangskode: 25FF 123456 Næste >>

DK-SAML i brug Log på FindEnPartnerForLivet.dk Tjenesten ønsker adgang til følgende oplysninger: Tjenestespecifik identifikationsnummer Alder Køn Afvis Acceptér

Agenda 09.30 - 10.00 Kaffe og registrering 10.00 - 10.15 Velkomst og introduktion til DanID 10.15 - 11.15 Præsentation af den nye digitale signatur 11.15 - 11.30 Pause 11.30 - 12.30 Arkitektur og grænseflader – 2. halvdel 12.30 - 13.00 DanID partner aktiviteter 13.00 - 14.00 DanID serverer en frokostsandwich 49

OCES II for forskellige typer tjenesteudbydere OCES I Tjenesteudbydere med egen OpenOCES baseret løsning (NemLogin, Erhvervs- og Selskabsstyrelsen, Klasselotteriet) OCES I Tjenesteudbydere der benytter SSL klient autentifikation (eksempelvis Sundhed.dk, ePosthuset.dk) Tjenesteudbydere, som endnu ikke benytter OCES I 50

OpenOCES Tjenesteudbydere Browser Web applikation applet Web server Eget sik.modul CSP Key Store Key Store CRL OCSP PID/RID Internet DanID CRL OCSP PID/RID 51

Migreringsmuligheder for OpenOCES Tjenesteudbydere Andre tjenesteudbydere Offentlige tjenesteudbydere Kan de to pile og kasser ikke stå mere ens?? Done Eget eller DanID’s sikkerhedsmodul Den fælles offentlige SSO 52

TU anvender OCES II via SSO Web applikation SSO Klient Browser Offentlig tjenesteudbyder SAML 2.0 Browser SSO (NemLogin) applet Web server Eget sik.modul Den fælles offentlige SSO CRL OCSP PID/RID Det ser ud til at teksterne i kasserne står hhv. til venstre og i midten – Signaturserver er delt uhensigtsmæssigt. Jeg har indsats bindestreg i ’Signatur-server’, men ved ikke, og det var, hvad der mentes med ’Signaturserver er delt uhensigtsmæssigt’ Key Store Internet DanID CRL OCSP PID/RID Signatur- server HSM 53

TU anvender OCES II via egen OpenOCES implementering Browser Web applikation applet Web server Eget sik.modul Offentlige tjenesteudbydere CRL OCSP PID/RID Samme som 32 + de røde ”dutter går ind over teksten Done Key Store Internet DanID CRL OCSP PID/RID Signatur- server HSM 54

TU tilsluttes OCES med DanID’s sikkerhedsmodul Browser Web applikation applet Web server DanID’s sik. modul Andre tjenesteudbydere Samme som 32 og 33 Done Key store Internet DanID CRL OCSP PID/RID Signatur- server HSM 55

Migreringsmuligheder for SSL tjenesteudbydere Offentlige tjenesteud-bydere Andre tjeneste- udbydere Andre tjeneste-udbydere Eget eller DanID’s sikkerhedsmodul SSL autentifikation Oprindeligt var pilenes forskellighed et forsøg på at vise at den midterste er vores anbefaling og den til højre (SSL den løsning vi ikke vil anbefale) Men det virker rodet, nu hvor resten er så pænt. Så et forslag er: sliden deles i to første hvor kun den midterste pil er med, og ved klik kommer de to andre pile med (og tilhørende kasser) nu ensrettet grafisk men hvor den højre (SSL) bliver "fadet" eller gråtonet eller andet du kan foreslå Jeg har implementeret det forslåede. Kræver klik Den fælles offentlige SSO 56

SSL TU migrering til OCES II Browser SSL Server Web Server CSP Eget sik.modul Web applikation Key Store Key Store CRL OCSP PID/RID Samme + ”web aaplikation” Jeg forstår ikke. Er ’Web appl.r’ det samme som ’web applikation’? I så fald rettet. Internet DanID CRL OCSP PID/RID 57

Implementeringsaktiviteter til OCES II Introduktion & aftale Udvikling & test i eget miljø Test mod DanID’s testsystem Pilotproduktion & produktion 1 2 3 4 58

1. Step: Introduktion & aftale Generel introduktion til DanID’s produkter Introduktion til aftalevilkår og priser Implementeringsforhold Afstemt implementeringsplan Underskrevet hensigtserklæring/anvendelsesaftale Levering af programmer og dokumentation Installationssupport 59

Leverance: TU-pakke TU via SSO Information kan fås hos Økonomistyrelsen SSO implementerer grænsefladen til DanID og varetager al kommunikation hertil. Tjenesteudbyder bliver dermed skærmet fra den underliggende sikkerhedsinfrastruktur. 60

Leverance: TU-pakke Egen Open OCES udvikling Dokumentation ”Kom godt i gang” vejledning Beskrivelse af OpenOCES Inkludering af applet specifikation Kendte fejl og mangler Protokol beskrivelse Vejledning i brug af test værktøjer Testprocedurer Opsætning og konfigurationer Certifikater og key store Anbefalinger for opsætning og brug af DanID infrastruktur PID/RID API specifikation LDAP specifikation OCSP specifikation Programmer OpenOCES komponenter Testværktøjer Kodeeksempler Egne værktøjer XMLdsig valideringsværktøjer X.509 toolkit Når teksten går til næste linje bør den være indrykket Jeg tænkte at teksten skulle stå lige…?? Done – 61

Leverance: TU-pakke DanID’s sikkerhedsmodul Dokumentation ”Kom godt i gang” vejledning DanID Sikkerhedsmodul API specifikation (Java & .NET) Kodeeksempler på brug af API Beskrivelse af OpenOCES Inkludering af applet specifikation Kendte fejl og mangler Protokolbeskrivelse Vejledning i brug af test værktøjer Testprocedurer Opsætning og konfigurationer Certifikater og key store Anbefalinger for opsætning og brug af DanID infrastruktur. Programmer DanID’s sikkerheds API program (java / .NET) OpenOCES komponenter Testværktøjer Kodeeksempler Samme som 40 Done 62

2. Step: Udvikling og test i eget miljø (Egen OpenOCES implementering) Opsætning af eget udviklingsmiljø Integration af Java applet i TU Web side Udvikling og integration af egen OpenOCES moduler i TU Web applikation Udvikling af kald til CRL, OCSP, PID/RID Håndtering af XMLdsig og certifikatinfo Konfigurationer og certifikatbestilling Test i eget udviklingsmiljø 63

3. Step: Test mod DanID’s testsystem (Egen OpenOCES implementering) Anskaffelse af VOCES testcertifikater Opsætning af IP-adresser i firewall i test Test mod DanID’s testsystem Gennemførelse af afsluttende test 64

4. Step: Pilotproduktion & produktion (Egen OpenOCES implementering) Anskaffelse af VOCES produktionscertifikater Opsætning af IP-adresser i firewall i produktion Pilotproduktion mod DanID’s produktionssystem Løbende vedligeholdelse (DanID infosite) 65

Rettighedsstyring Digital Signatur har skabt en stærk tværgående identitet Stigende udbredelse af webapplikationer, hvor Digital Signatur er en forudsætning, bl.a. selvbetjeningsløsninger men Digital Signatur er IKKE autorisation

Autentifikation / Autorisation Firma X Er det Økonomichefen eller sekretæren ? Rettigheder Webapp 1 Administratorer/ Superbrugere Webapp 2 Medarbejder Webapp n

Attributtjeneste (rettighedsstyring)   Attribut- tjeneste Eks.: - Se pension - Indberette pension Firma X Webapp 1 LRA Admin. Webapp 2  Medarb. Webapp n

Fordele Én administrator Ét administrationsinterface (det samme som til Digital Signatur) Bedre overblik over rettigheder i eksterne løsninger På sigt ét interface til brugeradministration …

Administration medarbejdere eget directory Firma X DanID Admin. Attribut- tjeneste AD E-Dir LDAP LDAPter LRA Web Service

Agenda 09.30 - 10.00 Kaffe og registrering 10.00 - 10.15 Velkomst og introduktion til DanID 10.15 - 11.15 Præsentation af den nye digitale signatur 11.15 - 11.30 Pause 11.30 - 12.30 Arkitektur og grænseflader 12.30 - 13.00 DanID partner aktiviteter 13.00 - 14.00 DanID serverer en frokostsandwich 72

DanID Partner Aktiviteter Fælles mål  udbrede sikre digitale løsninger 5 år med Digital Signatur og net-ID Det er anvendelsen, der driver udbredelsen Fra gode intentioner og opreklamerede projekter til virkelighed Næsten modent marked drevet af ”tvang” samt oprigtige og fornuftige business cases e-TL, SKAT, Netbankerne, DBI……

Hvorfor nu ? Bankerne sikrer udbredelse og hyppig anvendelse Virksomheder har behov for digitalisering og effektivisering Den digitale bank Kunden som medarbejder Den demografiske udvikling Globaliseringens udfordringer Investeringsprofil Stor opmærksomhed og bevågenhed ved overgangen til den nye løsning – markedsføring og presse

DanID’s rolle Én fælles løsning for bankerne, offentlige og private tjenesteudbydere Udvikle og drifte infrastruktur CA-ydelser Webservices Integrationskomponenter Lytte til markedet Bidrage med kompetencer og specialistviden

Aktører i relation til DanID Tjenesteudbydere (DanID’s kunder) EogS, SKAT, ATP, Bankerne, (ITST) osv. Kendetegn: Udbyder borger-, kunde-, og virksomhedstjenester Løsningsleverandører CSC, KMD, Tieto, Signaturgruppen osv. Kendetegn: Udvikler/integrerer og leverer turn-key-løsninger Softwareleverandører Adobe, Microsoft osv. Kendetegn: Udvikler og leverer udbredt og anvendt standardsoftware Rådgivere PwC, Deloitte, KPMG osv. Kendetegn: Rådgivning og revision af IT-løsninger/sikkerhed ”Resten” Brancheorganisationer, forbrugerorganisationer, (ITST) osv. Kendetegn: Fungerer som meningsdannere og indgange til brancher

Målsætninger for partnerprogram Understøtte og facilitere løsningsleverandører, softwareleverandører og rådgivere med viden i relation til DanID Inspirere til digitalisering Fælles kunde-cases Fælles markedsføring Dialog og medindflydelse i relation til kommende produkter Adgang til support, roadmaps, vejledninger mv.

DanID partnerprogram Etableringen finder sted i tre faser Fase I Der foretages en simpel screening af leverandører som rådgiver og/eller leverer løsninger baseret på DanID’s produkter og services Leverandører som kan fremvise kvalificerede kunde-cases Partnerne listes på www.danid.dk

DanID partnerprogram Fase II Adgang til salgssupport, product roadmaps og teknisk support Fælles marketing Flere case-stories opdyrkes og publiceres Uddannelsesprogram med fokus på forretning, teknik og migrering Forretningsudvikling Partnerkonference Krav Mindst 2 navngivne medarbejdere deltaget på DanID partneruddannelse Mindst én implementeret kunde-case årligt Evnen til at rådgive, udvikle eller revidere løsninger baseret på DanID’s produkter og ydelser

Hvornår ? Fase I - nu Fase II – fra august 2009 Fase III – fra januar 2010

Overblik Personsignatur OCES I OCES II Nov 09 Ny oprettelse Fornyelse Seneste udløb Ny oprettelse Medarbejder- signatur + V-OCES F-OCES Mar 10 Fornyelse Mar 12 Seneste udløb

Følg med på danid.dk www.danid.dk/infosite Særligt område for partnere Forretningsinformation Kundecases Produktinformation Grænsefladebeskrivelser Eksempler på løsninger

Agenda 09.30 - 10.00 Kaffe og registrering 10.00 - 10.15 Velkomst og introduktion til DanID 10.15 - 11.15 Præsentation af den nye digitale signatur 11.15 - 11.30 Pause 11.30 - 12.30 Arkitektur og grænseflader 12.30 - 13.00 DanID partner aktiviteter 13.00 - 14.00 DanID serverer en frokostsandwich 84

85