Beställning och utförande av spärr

En spärr inom SITHS kan utföras enligt följande matris

Realisering av spärr

När en spärr har begärts av respektive Utförare kan det beroende på metod för kontroll ta en viss tid innan ett system kan få uppdaterad information om detta och använda den för att neka en användare att logga in.

OCSP

Är en metod där ett system kontrollerar ett certifikat åt gången

För denna metod realiseras spärren I princip omedelbart

Varje OCSP-svar får en tidsstämpel som säger hur länge svaret får användas av förlitande part. För SITHS gäller:

• notBefore → Tidpunkt då frågan ställs

• notAfter → 48 h framåt från notBefore

CRL

Är en metod där ett system kan hämta en lista över samtliga spärrade certifikat per certifikatsutfärdare

För denna metod finns en ledtid på upp till 65 minuter. En ny spärrlista ges ut av CA var 60:e minut, samt att det finns en cache på 5 minuter innan ny hämtas till den server (CDP) som är avlämningspunkt mot förlitande part.

Varje CRL får en tidsstämpel som säger hur länge den får användas av en förlitande part, för SITHS gäller:

Spärrlistor för certifikat till slutanvändare och funktionscertifikat:

• lastUpdate → Tidpunkten då CRL skapas av CA

• nextUpdate → 72h från lastUpdate

Spärrlistor som utfärdas av Root CA för utfärdande CAs:

• lastUpdate → Tidpunkten då CRL skapas manuellt då rooten är offline

• nextUpdate → ~12 månader

Pin-cache funktionen som används med de flesta lösningar för smarta kort (inkl. SITHS) gör att användaren inte behöver ange pin-kod igen så länge SITHS-kortet sitter kvar i kortläsaren. För att Användaren ska bli helt utloggad från en tjänst måste hen:

1. Använda tjänstens egen funktion för utloggning

2. Avlägsna SITHS-kortet från kortläsaren

3. Utöver detta bör även alla tjänster komplettera med en egen inaktivitetstimeout. Denna hjälper dock inte om användare glömmer att avlägsna sitt SITHS-kort.

Mifarekodning

Användning av sektorer

Sektor 0

MAD information

Sektor 14

På alla kortprodukter kodas de 16 sista siffrorna kortets serienummer i sektor 14 på både block 0 och block 1.

• Block 0 – ASCII

  • Block0Sector14 = 30 38 33 35 32 35 34 30 31 31 30 35 39 37 30 32

  • ASCIIDecode(Block0Sector14) = 0835254011059702

• Block 1 – 2 binära heltal, SystemNo och CardNo

  • Block1Sector14 = 00 7F 73 1C 00 A8 C1 F6 00 00 00 00 00 00 00 00

  • SystemNo = Int32(00 7F 73 1C)

  • CardNo = Int32(00 A8 C1 F6)

  • SystemNo + CardNo = 0835254011059702

• Block 2 - Innehåller det statiska värdet ”1.3KNR”.

Sektor 15

På de kortprodukter som i fabrik förses med HSA-id certifikat kodas dessutom HSA-id i sektor 15.

• Block 0 används till den första delen av HSA-id (HSA-id prefix) upp till 16 ASCII tecken. Om HSA-id inte tar upp 16 bytes på sektorn nulltermineras strängen med 0x00

• Block 1 används till den andra delen av HSA-id (HSA-id suffix) upp till 16 tecken ASCII. Om HSA-id inte tar upp 16 bytes på sektorn nulltermineras strängen med 0x00

Bindestrecket som separerar prefix och suffix utelämnas. {hsa-id prefix}-{hsa-id suffix}

Övriga sektorer

Får användas fritt av Ineras kunder.

Applikations ID

Health Services Carelink AB, dvs Inera AB, är registerar som ägare AID ”A00C” hos NXP.

Specifikationen beskriver att informationen läggs på en sektor med 4 block men skulle likaväl läggas på en sektor med 16 block. I detta fall så kommer MAD2 att användas.

Åtkomststyrning och kryptering

Sektor 0

Låst så att endast Leverantör av Kortproduktionstjänst kan ändra i MAD

Sektor 14 & 15

Sektor 14 och 15 är skrivskyddade och är ej publikt åtkomliga varken för läsning eller skrivning. Kontakta Inera support om du behöver det hemliga värde som används som A- och B-nyckel och som kan användas för att läsa dessa sektorer

Övriga sektorer

Lämnas orörd med standard accessvillkor och nycklar

MIFARE-dokument

Nedan finns en specifikation över vilken information som skrivs i detta chip och hur den kodas:

• SITHS MIFARE Classic specifikation

Här finns också ett par guider för verifiering av dessa chip:

• Verifiering av RFID utan A-nyckel

• Verifiering av RFID med A-nyckel