E-legitimation

Från Wikipedia

E-legitimation, även e-leg, eID,[1] eller e-ID, är en elektronisk legitimation för användning på Internet. Med hjälp av en e-legitimation kan man legitimera sig, logga in och skriva under avtal och godkänna transaktioner på olika myndigheters, bankers och företags webbplatser.

Länder där staten utfärdar e-legitimation inkluderar Belgien, Bulgarien, Tyskland, Israel, Italien, Luxemburg, Nederländerna, Mexiko, Marocko, Pakistan, Portugal, Rumänien, Estland, Lettland, Spanien, Slovakien, Malta, och Mauritius. Länder som accepterar bankutfärdad e-legitimation för identifiering mot myndigheter, ofta kallat BankID, inkluderar Finland, Norge och Sverige. I Sverige används BankID, Mobilt BankID och Telias e-legitimation av många privatpersoner för inloggning mot myndigheter och banker.

Enligt EU:s eIDAS-förordning (electronic identification and trust services) skall varje medlemsstat acceptera varandras elektroniska ID-handlingar i offentliga digitala tjänster den 29 september 2018.[2]

I vissa länder, exempelvis Tyskland, utfärdar staten fysiska identitetskort som även fungerar som smartkort och kan användas som elektroniskt id-kort (eIC), det vill säga både online och offline. I Finland fanns ett sådant, men experimentet avslutades på grund av liten efterfrågan. Motsvarande lösning i Sverige är Bank-ID på kort. Ett eIC har vanligen samma format av ett vanligt bankkort, med tryckt identitetsinformation på ytan (t.ex. personuppgifter och ett fotografi) samt ett inbyggt mikrochip.För online-identifiering med eIC krävs en kortläsare och lämplig programvara, ofta integrerade i en enhet (vissa "bankdosor"). Beroende på typ av kortläsare skriver användaren in en PIN-kod på datorns tangentbord eller på kortläsarens inbyggda knappsats.[3]

Ett alternativ till en generell e-legitimation är att logga in på sin bank och verifiera betalningar med engångskoder på papper som banken har utfärdat. Ett annat alternativ är en bankdosa som saknar kortläsare och istället innehåller också kortets funktionalitet, inklusive nycklarna som identifierar användaren. Dosan eller kombinationen av dosa och kort producerar antingen engångslösenord eller bekräftelsekoder för challenge-response-autenticiering. I det senare fallet producerar systemet (t.ex. banken) en eller två koder baserade på en kontrollsumma av transaktionsuppgifterna och/eller ett slumptal. Användaren matar in koden/koderna (som presenteras för användaren t.ex. av webbläsaren) i dosan, och denna eller id-kortet beräknar en svarskod med hjälp av sin hemliga nyckel.

Norge

Bank-ID i Norge

I Norge utfärdas e-legitimationer till privatpersoner av flera samverkande banker genom olika tekniska varianter av en tjänst kallad BankID. En av varianterna, bank-ID i mobil, lanserades i mars 2009 i Norge. Telenor tar ut avgift vid varje legitimering, därför att den norska varianten är knuten till sim-kortet och autenticieringen hanteras av servrar som ägs av mobiloperatören. Detta i motsats till Sverige idag där bank-ID i mobil har avvecklats, och mobilt BankID är app-baserad och bankernas servrar hanterar autenticieringen, utan mobiloperatörens inblandning.[4][5][6]

Sverige

Även i Sverige utfärdas e-legitimationer till privatpersoner av flera svenska banker genom olika varianter av ett en tjänst kallad BankID[7] samt av Telia. Tidigare hade Nordbanken ett eget system kallat Nordbanken e-legitimation, men Nordea är numera anslutet till BankID-samarbetet. Steria utfärdar e-legitimation som inte är för privatpersoner.

Exempel på svenska myndigheter som accepterar e-legitimation är Skatteverket, Arbetsförmedlingen, Försäkringskassan[8] och Centrala studiestödsnämnden[9]. Elektroniska underskrifter som skapas med en e-legitimation är enligt svensk lag i de flesta sammanhang likvärdiga med vanliga underskrifter på papper[10]. Vid internethandel inom Sverige räcker det sällan med kreditkort, utan ofta krävs även inloggning mot bank, exempelvis via e-legitimation. Även swishbetalningar kräver mobilt bankid.

Svenska skolor måste kräva e-legitimation istället för enbart användarnamn och lösenord för integritetskänsliga uppgifter enligt en dom i Förvaltningsrätten 2015, baserat på personuppgiftslagen. Det kan exempelvis gälla att låta föräldrar och barn ta del av skriftliga omdömen och individuella utvecklingsplaner elektroniskt.[11]

E-legitimationsnämnden och Svensk e-legitimation

Huvudartikel: E-legitimationsnämnden

E-legitimationsnämnden är en statlig myndighet under Finansdepartementet som startades 1 januari 2011. Uppgiften är att stödja och samordna digitaliseringen av offentlig sektor i frågor som rör e-legitimering och e-underskrift, både nationellt och internationellt.

De allra flesta svenska myndigheter och kommuner erbjuder BankID och Mobilt BankID som e-legitimation för svenska medborgare, men inte alla har tillgång till dessa e-legitimationer. Därför anser e-legitimationsnämnden att det behövs fler e-legitimationer än de som finns idag.

Svensk e-legitimation är ett kvalitetsmärke som visar att en e-legitimation har kvalitetsgranskats enligt E-legitimationsnämndens tillitsramverk. Ett syfte är att myndigheter, kommuner och användare ska våga lita även på mindre kända e-legitimationer.[12]. Fler e-legitimationer med kvalitetsmärket Svensk e-legitimation planeras.

E-legitimationsnämnden tar också fram olika trafikavtal som ger parterna (leverantörer av e-legitimeringar och myndigheter med e-tjänster) tillgång till de tjänster som behövs för att säkert logga in digitalt i de olika e-tjänsterna. Ett sådant avtal är "valfrihetssystemet eID 2016 Övergångstjänst". Där har myndigheterna tillgång till BankID, Mobilt BankID och Telias e-legitimation för sin försörjning av e-legitimationer och e-underskrifter till och med 2018.

Ett behov som inte E-legitimationsnämnden anser sig kunna lösa på egen hand är möjligheten att kunna logga in med en e-legitimation och därifrån använda andra inloggningssätt i olika tjänster, så kallad id-växling. Exempelvis universiteten har sådana behov. De nuvarande stora e-legitimationerna såsom BankID och Mobilt BankID tillåter inte det i sina system. Till exempel var det ett krav från Swedbank för att vara med i projektet Svensk e-legitimation att Skatteverket upphör att ge Sveriges universitetsdatanätverk (SUNET) access till Skatteverkets tjänst "Mina meddelanden" för säker myndighets-e-post, eftersom universiten sände användaruppgifter till studenters e-postkonton den vägen, vilket banken tolkar som en konkurrerande verksamhet. Därmed tvingades universiteten i december 2015 att återgå till att skicka brev istället för att använda helt elektronisk hantering av studenters ansökningar och kontouppgifter.[13][14] Detta används som ytterligare ett argument för att det behövs andra och fler lösningar för e-legitimering.

Det kan idag vara svårt för EU-migranter och invandrare att få ID-handling i Sverige, utan att en närstående svensk kan verifiera personens identitet,[15] och däremed kan det även vara svårt att erhålla en svensk e-legitimation. Utländska pass, körkort och ID-handlingar är sällan giltiga som legitimation i Sverige. Den gränsöverskridande kontakten mellan myndigheter, företag och privatpersoner behöver förenklas enligt e-legitimationsnämnden. Senast den 29 september 2018 ska även utländska e-legitimationer tillåtas i svenska digitala tjänster som kräver e-legitimation. EU-förordningen som reglerar detta kallas eIDAS. E-legitimationsnämnden är utsedd att vara Sveriges kontaktpunkt och företrädare enligt eIDAS och ansvarig för den svenska noden för elektronisk identifiering över landsgränsen.[16][17]

BankID i Sverige

BankID är det i särklass största e-legitimationssystemet i Sverige och förvaltas av företaget Finansiell ID-Teknik BID AB som ägs av flera svenska banker. I juni 2010 fanns det cirka 2,5 miljoner aktiva BankID-användare,[18] och mer än 600 webbtjänster som stödjer BankID. Endast personer med svenskt personnummer kan få BankID.

Bank-ID har funnits i följande varianter:[19]

  • Bank-ID (på fil)
  • Bank-ID på kort
  • Mobilt BankID (appbaserad lösning)
  • BankID i mobil (SIM-kortsbaserad lösning - avvecklad i Sverige)

Ett betydande problem med flera av dessa lösningar är stödet för äldre OS-versioner och plattformar upphört.

BankID på fil

Fil:MobilID.PNG
Mobil enhet (mobiltelefon eller surfplatta) som en fristående “säkerhetsdosa”.

Tjänsten BankID, ibland även kallad BankID på fil, lanserades år 2003. Ett mjukt certifikat och en hemlig kryptonyckel lagras på datorns hårddisk, och fungerar även om filerna flyttas mellan olika datorer, vilket innebär en säkerhetsrisk (se förklaring nedan).

För att använda BankID på en persondator krävs att BankID säkerhetsprogram (BISP) installeras i systemet där filen är lagrad. Kritik har riktats mot att det är en alltför plattformsberoende lösning som förutsätter att kunden antingen har Microsoft Windows eller Mac OS X,[20]. Tidigare stöddes även Linux till viss del, men stöd för Linux fasades ut under 2014.[21]

BankID på kort

BankID på kort lanserades 2005. En hemlig privat kodnyckel lagras i smartkortets chip, som fungerar som hårt certifikat, vilket anses säkrare eftersom det i allmänhet kräver fysisk access till kortet för att fungera. Kortet kan vara ett kreditkort eller ett renodlat bankid-kort. Kortet kan levereras med eller utan fotografi, och kan fungera som legitimationshandling.[3]

Mobilt BankID

Mobilt BankID lanserades oktober 2011,[22] och är en e-legitimation för moderna[23] smarttelefoner från vissa leverantörer som kombineras med en mobilapplikation.[24] Det kan användas både för inloggning och signering via webben på en vanlig persondator, där mobilen fungerar som separat säkerhetsdosa, och för inloggning via bankens eller myndighetens mobilapplikation. Den hemliga nyckeln lagras i en mobil applikation (BankID säkerhetsapp), som fungerar som mjukt certifikat. E-tjänstleverantören (den bank eller myndighet som kunden ska identifiera sig mot) har en valideringsserver.[25]

BankID i mobil (avvecklad)

BankID i mobil lanserades 2010 och stängdes i Sverige hösten 2011. En hemlig privat kodnyckel lagrades på mobilens SIM-kort, som fungerade mer eller mindre som hårt certifikat eftersom det krävde tillgång till SIM-kortet (direkt eller över nätet). Mobiloperatören tillhandahöll tekniken och tog en avgift för tjänsten.

En privat nyckel genererades i SIM-kortet när e-legitimationen beställdes. Den skyddades i SIM-kortet och lämnade aldrig kortet, och kan därför beskrivas som ett hårt certifikat. En signaturapplikation på SIM-kortet genererar signaturer. Ett modernt SIM-kort krävdes som stödjer SIM Application Toolkit (SAT). Mobiloperatörerna Telia och Telenor har tillhandållit en tjänst för ändamålet i Sverige, kallad mobilid eller Mobil id-hantering, och tog då en avgift av kunden vid varje legitimering.[26][27] Bankerna stängde tjänsten i samband med att den app-baserade tjänsten mobilt BankID lanserades.[28] BankID i mobil var ursprungligen ett samarbetsprojekt mellan Finansiell ID-Teknik, Telia och Telenor, med bank-ID-bankerna som referensgrupp.[29][30] Den tekniska funktionsprincipen baseras på Wireless PKI-specifikationen (WPKI) som togs fram av WPKI-föreningen.[31]

Europeiska unionen

Den 29 september 2018 blir det enligt lag obligatoriskt att e-legitimationer från andra EU/EES-länder ska fungera i svenska offentliga digitala tjänster. Lagen och införandet kallas eIDAS och baseras på en EU-förordning (nr 910/2014).[32][33] Fortfarande kan svenska personnummer krävas, eventuellt samordningsnummer.[32][förtydliga]

Säkerhet

En e-legitimation baseras vanligen på ett digitalt certifikat, det vill säga en datafil som innehåller uppgifter om användaren och en kod kallad publik kryptonyckel. Den publika nyckeln motsvaras av en privat (hemlig) kryptonyckel. Det krävs i allmänhet många år datorberäkningar för att räkna ut den privata nyckeln även om man känner till den publika nyckeln. Kryptonycklarna kan dels användas för kryptera kommunikationen så att avlyssning försvåras, dels för autenticiering (säker identifiering av användare) vid inloggning och bekräftelse på transaktioner, och dels för att förse filer och e-post med en digital signatur så att man säkerställer avsändarens identitet och att meddelandet inte har manipulerats under överföringen.

Ett mjukt certifikat lagras som en fil i användarens dator eller mobiltelefon, och kan överföras fritt över Internet. Certifikatet riskerar då att kopieras av bedragare exempelvis via Internet. Om bedragaren dessutom lyckas komma över lösenordet och knäcka krypteringen eller kopiera motsvarande privata nyckel, kan han eller hon använda legitimationen som den ursprungliga användaren.

Ett hårt certifikat lagras på ett mikrochip, exempelvis på ett smartkort eller i en dosa, som användaren måste ha tillgång till varje gång nyckeln skall användas, eftersom nyckeln inte skall kunna kopieras därifrån. Smartkort för id-ändamål är i allmänhet konstruerade så att det skall vara svårt att kopiera kortets innehåll. Hårda certifikat anses därför mer säkra än mjuka certifikat. Ett hårt certifikat som är tillgängligt för utomstående, t.ex. via Internet eller det mobila nätet, är dock inte skyddat mot missbruk.

Om en bedragare lyckas fjärrstyra och avlyssna datorn eller mobiltelefonen som används för legitimeringen, till exempel genom en trojansk häst, kan personen bryta sambandet mellan vad användaren tror sig godkänna och vad legitimationen används till att godkänna. En kontrollerad dator kan användas för att avlyssna och återanvända lösenord och koder, i vissa fall även om den hemliga nyckeln finns i tryggt förvar på ett smartkort eller i en dosa.

Både vid mjuka och hårda certifikat kan bedragare potentiellt lura användare och system genom en man-in-the-middle-attack, där exempelvis webbsidors innehåll modifieras så att man godkänner andra transaktioner än dem man tror sig godkänna, eller lösenord och koder avlyssnas och återanvänds för att bekräfta transaktioner utan användarens vetskap.

Om det hårda certifikatet hanteras av en apparat användaren har kontroll över (t.ex. en dosa) och apparaten genererar bekräftelsekoder på basen av kontrollsummor som användaren själv kan kontrollera mot de uppgifter han eller hon avser bekräfta är systemet immunt mot ändringar i uppgifterna, förutsatt att det inte har andra svagheter. Fortfarande finns problem med kontexten: användaren kan kontrollera att ett kontonummer inte ändras, men det är svårare att kontrollera att bankkontot tillhör den avsedda mottagaren.

Ett annat problem är att kryptografiskt säkra kontrollsummor oftast är för komplicerade för att kontrolleras manuellt. I praktiken behövs en dator med lämplig programvara (och om webbläsaren används för detta är man tillbaka vid det ursprungliga problemet). En mer praktisk lösning är att ha ett lämpligt användargränssnitt på certifikatdosan, så att man i den kan mata in de ursprungliga uppgifterna (eller någon nyckeluppgift, såsom beloppet) istället för en kontrollsumma.

Den som är utgivare av en e-legitimation behöver ha tillgång till de hemliga koderna för att kunna lagra dem (på smartkortet eller annanstans). Tillverkaren har alltså i allmänhet teknisk möjligheten att kopiera legitimationen för eget bruk. Om tillverkarens datasäkerhet brister kan även tredje part komma över koderna. Certifikat där nycklarna genererats av användaren själv (och sedan undertecknas av lämpliga auktoriteter) kan vara säkrare, förutsatt att användaren klarar att sköta proceduren och sin datasäkerhet.

Ett problem är identifieringen av användaren vid installation av e-legitimation. De högst betrodda metoderna, hårda certifikat såsom smartkort, kräver i Sverige beställning personligen på bankkontor, där lösenordet väljs. Mjuka certifikat, åtminstone mobilt bank-id, kan beställas via internetbanken med hjälp av ett hårt certifikat. Det har förekommit att beställning av Mobilt BankID tillåtits via brev med underskrift, där folkbokföringsadressen varit den dokumenterade kopplingen till personen. Där förekom bedrägerier via beställning i annans namn och stöld ur brevlådor.

Det har förekommet att bedragare ringer offer och låtsas att de ringer från banken, och ber offret logga in med mobilt bank-id. Bedragare har förberett genom att ha tagit reda på personnummer, och påstår att offret måste logga in, till exempel för att stoppa utlandstransaktioner på grund av ett misstänkt kortbedrägeri. I själva verket tar bedragaren upp inloggningen på sin dator. För att överföra pengar måste inloggningen göras en gång till, men det har bedragaren kunnat prata sig till.[34] Man ska inte logga in på E-legitimation på uppmaning av någon som ringer på telefon. Banken kan själva spärra kort vid behov.

Källor

  1. ^ "e-legitimation". NE.se. Läst 12 januari 2015.
  2. ^ http://www.elegnamnden.se/eidas
  3. ^ [a b] Bankid på kort, Finansiell ID-teknik, läst 2017-02-13
  4. ^ http://www.affarsvarlden.se/hem/nyheter/article3816271.ece
  5. ^ http://www.di.se/artiklar/2014/4/3/norsk-ilska-over-bank-id/
  6. ^ https://www.bankid.no/
  7. ^ ”Skaffa e-legitimation”. http://www.e-legitimation.se/Elegitimation/Templates/LogolistPageTypeB.aspx?id=86. Läst 21 september 2013. 
  8. ^ ”Försäkringskassan: Om e-legitimation”. http://www.forsakringskassan.se/privatpers/om_sjalvbetjaning/e_leg/e_leg/!ut/p/b1/hZDLcqJQEIafJQ-ANKjAWYIgHIQjEQRhQ3GXqwQJoE8_ZiqzmarJ9Kq76uuu_n46oC900EVTWURjeeui5msOuFBgwZQkRgTBBgEw0pCyR6xqGuwL8F8A_KNE-L0vvVr0ta-eBB7wemeywmnLAjC0R19IMi_yzZxlRT4Ba5v-4IGfweIrmpqOuuLv9DLJt17j9GjKPO2YPGrmc071IoUP3ET7OR8NKY1q3uSPVtS46PHpRo9yf4djQLq6CyVEzOcO6snruOvcEhxJ6yFjUwo_3lFfSVx1V1JcSLLjQ5GgQaWse97j6vb27feDwH_y0emgjNvVnLQrWDEbll0Dv1kziEM8MNxLP_jrgsgxgBnNYd6JdJIP22_gh4SJdmsz2n9hfLhm_jwqqADYOq9VV2R5zAHt0BfYhHb16PGzfp4qWAyzSnVSkSM47sGpO4-c26dJUkIUROAMYMsEE1myzKer20izUvd0lsSdLajk-mWW16t-KKdo7LPhvrq14b2KminOxirqyq5YZWGTFbRb-SxSbnhWsJ1v60FnLjFrFbJtSslGPy9U3B-cmdyNY9PHfMIf-SFrSZzqbsKJhXHxlrF7l3e1ONw1TSyLbeWL1SGrW1ku6w_p6aYq9fxom9DL1Iq_BvYmXqwzVRmOxi2DTPb7hRLX2kSVUzd9Dng0O4Xa7OqBctmcGUbpsDdv_dWyucwpraBj5_BioBzvRLtYruLbG92358nY6trMCPMvBvvqcA!!/dl4/d5/L2dBISEvZ0FBIS9nQSEh/. 
  9. ^ ”Om e-legitimation”. http://www.csn.se/blivande-studerande/ansokan/eleg-1.11634. Läst 21 september 2013. 
  10. ^ ”Lag (2000:832) om kvalificerade elektroniska signaturer”. 2 november 2000. https://lagen.nu/2000:832#P17S1. 
  11. ^ Nu måste skolorna bli bättre på att skydda elevernas personuppgifter på nätet, Computer Sweden 2015-09-29
  12. ^ E-legitimationsnämnden, Svensk e-legitimation, läst 2017-02-10
  13. ^ Magnus Kolsjö, Ingen skulle drömma om att låta bankerna utfärdra pass eller bestämma över våra brevinkast, insändare Sydsvenskan 2015-12-04
  14. ^ Skatteverket och Sunet i bråk om e-id – studentnätverket utkastat från statlig tjänst, Computer Sweden, 2015-11-30
  15. ^ Immigrants blocked from getting Swedish ID, The Local 2007-02-15
  16. ^ Trust serviceces and eID, info om eIDAS. EU-kommissionen. Läst 2016-02-09.
  17. ^ Eidas, E-legitimationsnämnden. Läst 2016-02-09.
  18. ^ Finansiell ID-Teknik BID AB (Maj 2013). ”Statistik BankID Maj 2013”. http://bankid.com/Documents/wwwbankidcom/Statistik/Statistik%20maj2013.pdf. 
  19. ^ http://www.bankid.com/sv/om-foretaget/Historia/
  20. ^ Roland Orre (3 februari 2009). ”Varför måste alla köra Volvo eller Saab?”. Arkiverad från originalet den 6 februari 2009. https://web.archive.org/web/20090206191755/http://csblogg.idg.se/bloggar/hardcoreopensource/entry.jsp?messid=352. 
  21. ^ "BankID för Linux slopas". Läst 2014-04-02.
  22. ^ ”e-legitimation för mobiler och surfplattor”. bankid.com. 19 november 2012. http://www.bankid.com/sv/Mobilt-BankID---information/. Läst 30 september 2013. 
  23. ^ BankID - Systemkrav
  24. ^ ”bankid banker”. legitimation.se. 12 maj 2012. http://www.legitimation.se/bank/. Läst 30 september 2013. 
  25. ^ http://www.bankid.com/sv/Mobilt-BankID---information/
  26. ^ Telia: Plånboken i mobilen, 2010
  27. ^ Telenor: Mobilid, arkiverad version sedan 28 oktober 2009
  28. ^ http://www.swedbank.se/privat/internet-och-telefontjanster/bankid-%28e-legitimation%29/bankid-i-mobil/index.htm
  29. ^ http://bankid.com/Documents/wwwbankidcom/Swedbank%20GZ-EN%20BankID-dagen%202010-11-22.pdf
  30. ^ https://www.bankid.no/Dette-er-BankID/BankID-in-English/BankID-on-your-mobile/
  31. ^ Wpki-föreningens webbplats, arkiverad från 19 juni 2012
  32. ^ [a b] Utländska e-legitimationer i svenska digitala tjänster (E-legitimationsnämnden)
  33. ^ Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG
  34. ^ Ligor kapar ditt Bank-ID när du betalar räkningar Expressen 27 nov 2017

Externa länkar

Hämtad från ”https://sv.wikipedia.org/w/index.php?title=E-legitimation&oldid=42199875