Jämförda versioner

Gammal version 82

changes.mady.by.user Christoffer Johansson

Sparat den

jämfört med

Ny version Aktuell

changes.mady.by.user Fadi.Jazzar@inera.se

Sparat den

Nyckel

  • Dessa rader lades till.
  • Denna rad togs bort.
  • Formateringen ändrades.

Innehållsförteckning

...

Expandera
titleVisa innehållsförteckning
Innehållsförteckning
minLevel1
maxLevel34
minLeveloutline1true
excludeInnehållsförteckning|Revisionshistorik
typelist
printablefalse

...

Revisionshistorik

Klicka nedan för att visa revisionshistorik

Expandera
titleVisa revisionshistorik

Version

Datum

Författare

Kommentar

1.0

2021-01-22

SITHS Förvaltning

Etabering av sidan.

1.1

2021-02-02

SITHS Förvaltning

Tillägg av avsnitt kring Inloggning till Windows och ändring av struktur på sidan.

1.2

2021-02-11

SITHS Förvaltning

Uppdatering av hur spärrkontroll fungerar

1.21

2021-02-15

SITHS Förvaltning

Teknisk beskrivning av SITHS Root CA ersatt av denna sida

1.22

2021-02-22

SITHS Förvaltning

Tillägg av information om plattformskrav för SITHS Admin och Mina sidor

1.23

2021-03-01

SITHS Förvaltning

Tillägg av information om att stänga av strömspartläge och använda så nya kortläsardrivrutiner som möjligt.

1.3

SITHS Förvaltning

Tillägg av rubrik för SITHS Testsida

1.31

SITHS Förvaltning

Mindre textjusteringar och tillägg av spärrlistors giltighetstid för Utfärdande CAs

1.32

SITHS Förvaltning

Tillägg av information om pin-cache.

1.33

SITHS Förvaltning

Lagt till information om Underskrift och Förnyad autentisering utan Net iD Enterprise/Plugin

1.34

SITHS Förvaltning

Uppdaterade informationen om RFID och MIFARE

1.35

SITHS Förvaltning

Lade in avgränsare mellan avsnitt

1.36

SITHS Förvaltning

Lade till länk till Edge i IE11 Mode för både Mina Sidor och SITHS-Admins plattformskrav

1.37

SITHS Förvaltning

Lade till länk till Edge i IE11 Mode för både Mina Sidor och SITHS-Admins plattformskrav

1.38

SITHS Förvaltning

Lade till länkar till information om alternativa sätt att logga in i Windows med SITHS eID-appen och information om begränsad support för användning av SITHS eID-appen tillsammans med virtualiserade klientplattformar (VDI)

1.40

SITHS Förvaltning

Justerade information om olika varianter av inloggning för Windows:

  • Interaktiv inloggning till Windows-dator

  • Stöd för ytterligare autentiseringslösningar för inloggning till applikationer efter inloggningen till Windows-datorn

Förtydliganden kring Pin-cache/Pin-SSO

1.41

SITHS Förvaltning

Lade till länk till sida om hur inläsning av SITHS-kort går till på Windows och beskrivningar av de två olika autentiseringslösningarna Out-of-band och Dubbelriktad TLS (mTLS)

2.0

SITHS Förvaltning

Stor ombearbetning av strukturen för sidan

2.1

SITHS Förvaltning

Lade till Windows 11 för os krav för siths-admin och Mina sidor.2.

2.11

SITHS Förvaltning

Lade till information om SAC PKCS#11 på Linux och information om IgelOS gällande tunna klienter på Linux. Lade till information om den kommande MacOS. Lade till länk till projektets sida om nya IP-adresser för SITHS certifikatutfärdare efter flytten under 2023.

Omstrukturering av sidan för att flytta upp information om Autentiseringslösningar och olika varianter av appar ovanför information om utfärdande och PKI.

2.12

SITHS Förvaltning

Länkade in information om avsändande e-postservrar som Telia använder när SITHS Admin skickar e-post till användare/funktionsbrevlådor. Dessa brukar behöva läggas till som tillåtna i organisationens SPAM-filter. Detta för att tillåta att SITHS Admin skickar e-post för organisationens egen e-postdomän om det är denna som konfigurerats som avsändande e-postserver i SITHS Admin

2.13

SITHS Förvaltning

Lade till information om att Windows Push Notifications User Service (WpnUserService) måste köras för att SITHS eID-appen inte ska krascha på Citrix.

2.14

SITHS Förvaltning

Flyttade ut information om användning av SITHS på tunna klienter till en egen sida för att kunna direkt länka. Sidan länkas dock fortfarande in i detta dokument.

2.15

SITHS Förvaltning

Tillägg av information om att IgelOS kräver att man inaktiverar apparmor för att SAC PKCS#11 ska fungera.

2.16

SITHS Förvaltning

Förtydligade information om att HSA-id ej finns i Sektor 15 för MIFARE på Reservkort.

2.17

SITHS Förvaltning

Lade till information om publicering till HSA och information om värdena som publiceras.

2.18

SITHS Förvaltning

Inkluderat sidor med information om Certifikatutfärdare och tillit till dessa samt information om sökvägar och brandväggsöppningar istället för länkar man måste följa.

2.19

SITHS Förvaltning

Tillägg av kompatibilitetsinformation om SITHS eID Portal

2.20

SITHS Förvaltning

Borttag av Net iD samt SCS

...

Inledning

Referensarkitekturer för Legitimering och Underskrift

...

På nedan sidor hittar du information om den nya SITHS eID appen och Mobilt SITHS samt filmer och bilder som ytterligare beskriver Utfärdande av Mobilt SITHS, samt legitimering och underskrift med SITHS eID appen:

Info

SITHS eID-appen är under införande och är primärt till för legitimering och underskrift i tjänster som stödjer Referensarkitekturen för Identitet och åtkomsthantering

...

För mer information om SITHS eID för Windows se:

Net iD Enterprise

Historiskt har dubbelriktad TLS hanterats med hjälp av klientapplikationen Net iD Enterprise. Det vanligaste är att tjänster som implementerat autentiseringslösningen dubbelriktad TLS för användare som har Net iD Enterprise använder någon eller båda av nedan:

  • Inbyggd funktionalitet i webbläsaren/applikationen och operativsystemet i kombination med Net iD eller;

  • Net iD plugin (legacy)

För inloggning med SITHS-kort till Windows eller via MTLS i en webbläsare/egenutvecklad applikation är det rekommenderat och även vanligast att använda inbyggd funktionalitet i operativsystemet i kombination med import av certifikat från SITHS-kortet med hjälp av Net iD Enterprise.

Net iD plugin för legitimering och/eller underskrift med SITHS

Observera

Net iD plugin stöds i dagsläget endast på Internet Explorer 11 förutsatt att användarens klientdator tillåter att det körs.

Då Net iD Enterprise inte alltid kommer ingå i Ineras produktutbud rekommenderas tjänster som idag använder Net iD plugin för följande syften hänvisas istället till nya arkitektruella lösningar för att åstadkomma denna funktionalitet:

Expandera
titleLäs mer om Net iD plugin för legitimering och/eller underskrift med SITHS

Användning av Net iD plugin har med tiden kommit att bli allt svårare att vidmakthålla då webbläsarutvecklarna tagit bort alternativt begränsat stödet för de API:er, NPAPI (Chrome/Firefox) och ActiveX (Internet Explorer), som använts av tredjepartsmjukvaror som Net iD plugin.

Numer kan Net iD plugin endast användas via Active X i webbläsaren Internet Explorer 11 eller i Microsoft Edge för sidor som konfigurerats att starta i Internet Explorer 11 läge (läs mer om detta här SITHS Admin och Mina sidor i Microsoft Edge - Internet Explorer 11-läge).

Detta förutsätter också att användarens klientdator tillåter körning av ActiveX plugins (disabled by default) och att just SecMakers plugin för Net iD tillåts (default deny). Detta kan styras med hjälp av AD-kontrollerade Grupp principer (GPO).

Underskrift
Info

Underskrift med Net iD är beroende av Net iD plugin och lösningen skiljer sig för varje implementation.

Ineras nya Underskriftstjänst följer specifikationer från Digitaliseringsmyndigheten (DIGG), läs mer här: Underskriftstjänsten

Två stora skillnader när det kommer till underskrifter med hjälp av Net iD plugin och Ineras nya Underskriftstjänst är:

  • Underskriftslösningen med Net iD plugin blir proprietär för varje tjänst som bygger en integration mot Net iD plugin. Varpå hela ansvaret för den juridiska giltigheten för underskriften vilar på den organisation som utvecklat och/eller beställt utveckling av den tjänst som integrerar mot Net iD plugin för att skapa elektroniska underskrifter

  • Formatet för själva underskriften hanteras helt av den egna tjänsten. Ineras Underskriftstjänst följer DIGGs specifikationer och använder nationellt och internationellt godkända underskriftsformat.

För support kring användning av Net iD plugin hänvisas kunden till att teckna extra supportavtal med SecMaker som är leverantör av Net iD.

Vid underskrift via Net iD plugin har användaren en annan kod, Underskriftskoden.

Flöde för legitimering med dubbelriktad TLS (mTLS)

...

titleVisa flöde för legitimering med dubbelriktad TLS (mTLS)

...

Flöde för underskrift med Net iD plugin

...

titleFlöden för legitimering respektive underskrift med Net iD

...

Inloggning och autentisering på Windows

...

Inläsning av SITHS eID på kort i Windows

...

titleVisa information om hur SITHS eID-certifikat från läses in från SITHS-kortet och hur de hanteras på Windows

...

Inloggning och autentisering på MacOS

Info

Utveckling av SITHS eID-app för MacOS är beställt. Mer information kommer.

Inloggning och autentisering på Linux

...

Användning av SITHS på tunna klienter och virtualiserade klientplattformar (VDI)

...

Utfärdande av SITHS eID

SITHS Admin

SITHS Admin används av ID-administratörer de organisationer som är anslutna till SITHS. I SITHS Admin jobbar ID-administratörer exempelvis med att:

  • Beställa SITHS eID till kort och reservkort för användare i sina organisationer

  • Beställa SITHS Funktionscertifikat till servrar och tjänster i sina organisationer

Sökvägar för inloggning i respektive miljö för SITHS Admin hittar du här: Nätverksinställningar för SITHS

Plattformskrav

Operativsystem: Windows 10, Windows 11

Webbläsare:

Info

ActiveX plugin från SecMaker (PluginCtl Class) respektive Gemalto (CaptureX) måste också tillåtas

Klientprogramvaror:

Hämtas från: Programvaror och tillbehör för SITHS

För att logga in och använda SITHS Admin som ID-administratör behöver användaren följande applikationer

  • Net iD Enterprise

  • SIS Capture Station - för ID-administratörer som beställer Ordinarie SITHS-kort från Thales kortfabrik.

Mina sidor

Mina sidor används av en användare för att:

  • Hantera SITHS eID på sitt SITHS-kort. Exempelvis om hen ska hämta nya certifikat, spärra SITHS eID eller ta bort gamla certifikat.

  • Utfärda Mobilt SITHS

Sökvägar för inloggning i respektive miljö för SITHS Mina sidor hittar du här: Nätverksinställningar för SITHS

Plattformskrav

Operativsystem: Windows 10, Windows 11

Webbläsare:

Info

ActiveX plugin från SecMaker (PluginCtl Class) måste också tillåtas

Klientprogramvara:

Hämtas från: Programvaror och tillbehör för SITHS

För att, som användare, logga in och använda SITHS Mina sidor fullt ut och kunna hämta nya och administrera befintliga certifikat på sitt kort behöver användaren följande applikationer:

  • Net iD Enterprise

Inloggning och autentisering på Windows

Inkludera sida
Inloggning och autentisering i Windows
Inloggning och autentisering i Windows

Inläsning av SITHS eID på kort i Windows

Expandera
titleVisa information om hur SITHS eID-certifikat från läses in från SITHS-kortet och hur de hanteras på Windows
Inkludera sida
Inläsning av SITHS eID på kort i Windows
Inläsning av SITHS eID på kort i Windows

...

Inloggning och autentisering på MacOS

Info

Utveckling av SITHS eID-app för MacOS är beställt. Mer information kommer.

...

Inloggning och autentisering på Linux

Inkludera sida
Inloggning och autentisering på Linux
Inloggning och autentisering på Linux

...

Användning av SITHS på tunna klienter och virtualiserade klientplattformar (VDI)

Inkludera sida
Användning av SITHS på tunna klienter och virtualiserade klientplattformar (VDI)
Användning av SITHS på tunna klienter och virtualiserade klientplattformar (VDI)

...

Utfärdande av SITHS eID

SITHS Admin (gamla lösningen)

Info

SITHS Admin och gamla Mina sidor avvecklas under 2024 och ersätts av SITHS eID Portal och SITHS eID Mina sidor

Expandera
titleVisa information om lösningen som avvecklas 2024
Inkludera sida
Utfärdande av SITHS eID - SITHS Admin och Mina sidor (Telia)
Utfärdande av SITHS eID - SITHS Admin och Mina sidor (Telia)

SITHS eID Portal

Info

SITHS eID Portal lanseras under 2024

Inkludera sida
Utfärdande av SITHS eID - SITHS eID Portal och Mina sidor
Utfärdande av SITHS eID - SITHS eID Portal och Mina sidor

...

Publicering till HSA

SITHS publicerar viss information om kort och certifikat till personobjekt och funktionsobjekt i HSA

Expandera
titleVisa information om publicering till HSA
Publicering till HSA
Inkludera sida
Publicering till HSA

E-postservrar för mail från SITHS Admin

...

Publicering till HSA

...

SITHS Testsida

Inkludera sida
Information om SITHS Testsida
Information om SITHS Testsida

...

Funktionscertifikat - Legitimering av server

Avsnittet ska kompletteras

För att utfärda SITHS Funktionscertifikat se SITHS Funktionscertifikat - Användarguide

...

info
Expandera
titleVisa information om hur spärr fungerar inom SITHS

Beställning och utförande av spärr

En spärr inom SITHS kan utföras enligt följande matris

Aktör/Beställare

Utförare

Metod

Kommentar

Användare

Nationell spärrfunktion hos Telia Kundtjänst

Telefon till 020-32 32 62

Ej funktionscertifikat

Användare

Användare

Mina sidor

Ej funktionscertifikat

Användare

ID-administratör

SITHS Admin

Användare/Innehavare

SITHS Föraltning

SITHS Admin

Vid anmälan om missbruk

ID-administratör

ID-administratör

SITHS Admin

SITHS PA

SITHS Förvaltning

SITHS Admin

Kortproduktion

Kortproduktion

Via API om det är problem att producera kort

Realisering av spärr

När en spärr har begärts av respektive Utförare kan det beroende på metod för kontroll ta en viss tid innan ett system kan få uppdaterad information om detta och använda den för att neka en användare att logga in.

OCSP

Är en metod där ett system kontrollerar ett certifikat åt gången

För denna metod realiseras spärren I princip omedelbart

Varje OCSP-svar får en tidsstämpel som säger hur länge svaret får användas av förlitande part. För SITHS gäller:

  • notBefore → Tidpunkt då frågan ställs

  • notAfter → 48 h framåt från notBefore

CRL

Är en metod där ett system kan hämta en lista över samtliga spärrade certifikat per certifikatsutfärdare

För denna metod finns en ledtid på upp till 65 minuter. En ny spärrlista ges ut av CA var 60:e minut, samt att det finns en cache på 5 minuter innan ny hämtas till den server (CDP) som är avlämningspunkt mot förlitande part.

Varje CRL får en tidsstämpel som säger hur länge den får användas av en förlitande part, för SITHS gäller:

Spärrlistor för certifikat till slutanvändare och funktionscertifikat:

  • lastUpdate → Tidpunkten då CRL skapas av CA

  • nextUpdate → 72h från lastUpdate

Spärrlistor som utfärdas av Root CA för utfärdande CAs:

  • lastUpdate → Tidpunkten då CRL skapas manuellt då rooten är offline

  • nextUpdate → ~12 månader

Net iD Client är en annan produkt från SecMaker med liknande funktionalitet som Net iD Enterprise. Net iD Client ingår inte i Ineras avtal med Telia och stöds därför inte av Inera i dagsläget.

Legitimering och underskrift av användare kan ske med olika tekniker. Samtliga är förknippade med någon form av inloggningsmetod, ofta med en tillhörande applikation som installeras på användarens dator.

...

  • SITHS eID appen som även innefattar Mobilt SITHS

  • Net iD

...

RFID - Inpassering, parkering och lunchautomater mm.

...

Expandera
titleDetaljerad beskrivning av MIFARE-kodning för SITHS-kort

Mifarekodning

Användning av sektorer

Sektor 0

  • Block 2 - MAD information

    • Carelink AID A00C i MAD position 14 oh 15

Sektor 14

På alla kortprodukter kodas de 16 sista siffrorna kortets serienummer i sektor 14 på både block 0 och block 1.

  • Block 0 – ASCII

    • Block0Sector14 = 30 38 33 35 32 35 34 30 31 31 30 35 39 37 30 32

    • ASCIIDecode(Block0Sector14) = 0835254011059702

  • Block 1 – 2 binära heltal, SystemNo och CardNo

    • Block1Sector14 = 00 7F 73 1C 00 A8 C1 F6 00 00 00 00 00 00 00 00

    • SystemNo = Int32(00 7F 73 1C)

    • CardNo = Int32(00 A8 C1 F6)

    • SystemNo + CardNo = 0835254011059702

  • Block 2 - Innehåller det statiska värdet ”1.3KNR”.

Sektor 15

Info

Personaliseras inte av SITHS på Reservkort

På de kortprodukter som i fabrik förses med HSA-id certifikat kodas dessutom HSA-id i sektor 15.

  • Block 0 används till den första delen av HSA-id (HSA-id prefix) upp till 16 ASCII tecken. Om HSA-id inte tar upp 16 bytes på sektorn nulltermineras strängen med 0x00

  • Block 1 används till den andra delen av HSA-id (HSA-id suffix) upp till 16 tecken ASCII. Om HSA-id inte tar upp 16 bytes på sektorn nulltermineras strängen med 0x00

Bindestrecket som separerar prefix och suffix utelämnas. {hsa-id prefix}-{hsa-id suffix}

Övriga sektorer

Får användas fritt av Ineras kunder.

Applikations ID

Health Services Carelink AB, dvs Inera AB, är registerar som ägare AID ”A00C” hos NXP.

Specifikationen beskriver att informationen läggs på en sektor med 4 block men skulle likaväl läggas på en sektor med 16 block. I detta fall så kommer MAD2 att användas.

Åtkomststyrning och kryptering

Sektor 0

Låst så att endast Leverantör av Kortproduktionstjänst kan ändra i MAD

Nyckel

Värde

Rättighet

A

A0 A1 A2 A3 A4 A5

Läs

B

Hemlig nyckel som ägs av leverantör av kortproduktionstjänst

Skriv

Sektor 14 & 15

Sektor 14 och 15 är skrivskyddade och är ej publikt åtkomliga varken för läsning eller skrivning. Kontakta Inera support om du behöver det hemliga värde som används som A- och B-nyckel och som kan användas för att läsa dessa sektorer

Nyckel

Värde

Rättighet

A

Hemlig nyckel som ägs av Inera AB

Läs

B

Hemlig nyckel som ägs av Inera AB

Läs

Övriga sektorer

Lämnas orörd med standard accessvillkor och nycklar

Nyckel

Värde

Rättighet

A

FF FF FF FF FF FF

Läs

B

FF FF FF FF FF FF

Läs

MIFARE-dokument

Nedan finns en specifikation över vilken information som skrivs i detta chip och hur den kodas:

Här finns också ett par guider för verifiering av dessa chip:

...