Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 29. august 2003.
Drivkraft: Digital signatur vinder frem, fordi den er nødvendig for indførelsen af digital forvaltning. Når virksomhederne får øjnene op for, at signaturen også kan anvendes til rettighedsstyring, log on på VPN og intranet og it-sikkerhedsadministration, vil udbredelsen tage fart.
l.egeskov@computerworld.dk
Siden midten af 1990'erne har det i it-sikkerhedskredse været målet at få digital signatur, Public Key Infrastructure (PKI), etableret i Danmark.
At PKI kan løse de fire centrale problemer ved kommunikation og udveksling af meddelelser via internet - fortrolighed, autenticitet, integritet og uafviselighed - kan der ikke sættes spørgsmålstegn ved.
Alt efter arten af data eller meddelelser er det nødvendigt at opfylde mindst et - og til tider alle fire - krav, når arbejdsgangene i den offentlige administration og i private virksomheder digitaliseres.
Så der er grund til at smile, både i i it-sikkerhedskredse, hos digitaliseringshajerne i Finansministeriet og omegn og hos økonomicheferne i det private, for i år fik vi etableret den længe efterspurgte infrastruktur til digital signatur.
Kongerigets sikkerhed
Men Èt er teknologien og de muligheder, den rummer. Noget andet er praksis. Vil signaturen slå igennem, og vil vi bruge den? Vil regeringens initiativ til først at skabe OCES-standarden og siden afholde projektkonkurrencen - om udrulning af infrastruktur og sponsorering af standardsignaturer til alle i Dannevang - også i virkeligheden bidrage til at højne kongerigets it-sikkerhed?
Muligheden er der, mener Per B. Hansen, sikkerhedschef hos TDC Erhverv.
- Isoleret teknisk set er der et stort potentiale for at forbedre it-sikkerheden på mange områder, både internt i virksomhederne og i kommunikationen mellem borgerne, erhvervslivet og det offentlige på kryds og tværs, siger Per B. Hansen.
- Men mange andre faktorer spiller ind og kan trække i den forkerte retning, mener han. Vil virksomhederne prioritere at højne sikkerheden? Og vil der blive afsat de nødvendige midler til digitalisering af den offentlige sektor?
Ovenstående kan hæmme udbredelsen af signaturen, for øget sikkerhed er ikke en drivkraft i sig selv.
- Muligheden for at højne sikkerheden kommer nok ikke til at trække udviklingen. Det attraktive vil for mange virksomheder være muligheden for at forenkle for eksempel administrationen af it-sikkerhed og it-support ved hjælp af digital signatur. Her ligger store besparelser og venter, og det bliver det, der kommer til at trække udviklingen, siger Per B. Hansen.
Klar til PKI
Han peger på, at alle de store leverandørers software er forberedt til PKI. Det gælder for eksempel SAP, Oracle, Microsoft og Cisco.
Integrationen af den danske digitale sig-natur i virksomhedernes it-systemer lettes yderligere af, at TDC har valgt Truepass fra Entrust som produktionsplatform til certifikater og PKI-løsninger. TDC er også leverandør af kvalificerede certifikater og valgte derfor allerede i 1999 platform.
- De store besparelser kan hentes på den interne administration, hvis virksomhederne for eksempel også bruger medarbejder-certifikaterne til digital signatur til adgangskontrol på intranettet, som sikkerhedsløsning i VPN (Vitual Private Network), når medarbejderne skal logge på hjemmefra og til at regulere rettighederne i virksomhedens it-systemer.
Nu skal det rykke
Ifølge Videnskabsministeriets og TDC's forudsigelser og ønskedrømme kommer
det her efter sommerferien for alvor til at rykke med at rulle digital signatur ud.
- Mit bud er, at det starter med sikker e-mail, når proppen er af flasken. Skarpt forfulgt af hjemmearbejdspladser på VPN, hvor signaturen erstatter brugernavn og password, siger Per B. Hansen.
Udviklingen inden for private brugere forventes ikke at gå stærkt, før der for alvor bliver noget at bruge signaturen til.
Ved redaktionens slutning havde 33.500 private brugere bestilt et OCES-certifikat. TDC lukkede dog først op i uge 31 for selskabets egne kunders brug af digital signatur.
Både 700.000 mail-kunder og 200.000 aktive brugere af TDC online-tjenester har fået tilbudt at erstatte deres gamle adgangskode med en ny adgangskode, der er knyttet til et signatur-certifikat.
Samme tilbud vil alle telekunder få. Det betyder for eksempel, at man ved hjælp af digital signatur kan ændre i sine teleabonnementer, for eksempel opsige dem eller blot ændre hastigheden på sin ADSL. TDC's mål er, at 70 procent af kunderne skal betjene sig selv om fire år.
e-Dag
Det offentlige er lige nu en stor drivkraft for udbredelsen af OCES-signaturen på grund af e-Dag den 1. september. Her skal alle myndigheder være klar til at sende og modtage e-mails. Og eftersom en del meddelelser vil indeholde følsomme oplysninger eller skal signeres, skal myndighederne i princippet have en sikker e-mail-løsning klar.
Selv om TDC kan mærke den hektiske aktivitet desangående, tror Per B. Hansen mere på de private virksomheder som frontløbere i signatur-sammenhæng.
- eDag snyder. Ganske vist sætter KMD's tilslutning til OCES-signaturen også skub på udbredelsen i det offentlige, men erhvervslivet har et stort efterslæb at indhente, siger han.
- Mens der har været meget fokus på den manglende digitale signatur i det offentlige, har udviklingen stået i stampe i de private virksomheder i en årrække. Man har ventet for at se, hvad der skete med de offentlige planer, siger Per B. Hansen.
Virk.dk
Derfor spår han, at vi kommer til at se erhvervslivet rykke og overhale den offentlige sektor indenom. 900 virksomheder havde for eksempel allerede inden sommerferien bestilt web-LRA (Local Registration Authority) hos TDC, og mange er allerede i gang med at afprøve mulighederne.
Ifølge aftalen med ministeriet er det gratis for virksomhederne at udstede de første ti certifikater, og det har fået mange i gang med at gøre deres erfaringer.
Mange af bestillingerne er kommet gennem værtsorganisationen Virk.dk, som hen over sommeren har været i begrænset pilotdrift. Også her er den 1. september valgt som dagen, hvor man går i luften med en række selvbetjeningstilbud, der alle retter sig til erhvervslivet.
På Virk.dk lancerer staten og TDC SignaturBoks, hvor virksomhedens juridiske dokumenter kan opbevares, sendes eller modtages med digital signatur.
Hidtil har der kun været få virkelig gode selvbetjeningstjenester, viser en netop offentligtgjort rapport, som Økonomi- og Erhvervsministeriet har lavet sammen med DI.
Her er konklusionen, at virksomhederne skal kunne spare tid på at bruge online-tilbuddene - ellers bruger de hellere telefonen, og det hæmmer naturligvis udbredelsen af digital signatur.
Boks:
Alle adgangskoders moder
Ofte har man som bruger afprøvet utallige kombinationer af brugernavne og passwords på diverse nettjenester, før man har kastet håndklædet i ringen og resigneret trykket på knappen med "glemt brugernavn og password". Møgirriterende - og det med stigende intensitet, efterhånden som man kan betjene sig selv på nettet stadig flere steder.
Men måske er hjælpen i sigte. For når OCES-signaturen bliver udbredt, vil de mange forskellige adgangskontrolløsninger formentlig (fordi det er rationelt) blive erstattet af en log on-løsning, der er baseret på digital signatur-certifikatet.
That will be the day - tænk kun at skulle huske en eneste adgangskode
Boks:
PKI - Public Key Infrastructure
Public Key-kryptering er den mest udbredte metode til sikker elektronisk kommunikation. I Public Key-kryptering anvendes der både en offentlig og en privat nøgle. Den offentlige nøgle skal være frit tilgængelig, mens den private holdes hemmelig. Forholdet mellem de to nøgler er, at den private nøgle kan kryptere meddelelser, som kun den offentlige nøgle kan dekryptere - og omvendt.
Den offentlige nøgle befinder sig i det certifikat, som virksomheder, private borgere og offentlige myndigheder får udstedt hos TDC eller gennem en af de andre værtsorganisationer, og som garanterer deres identitet.
Boks:
OCES-standarden
Videnskabsministeriet har valgt at satse på en hurtig udrulning af en softwarebaseret digital signatur i stor volumen til danskerne i stedet for at vente til det er muligt - teknisk og især økonomisk - at implementere en hardwarebaseret signaturløsning.
For at fremme udbredelsen af standardiserede digitale signaturer skabte Videnskabsministeriet først OCES-standarden (Offentlige Certifikater til Elektronisk Service).
OCES-certifikatet er softwarebaseret og stiller ikke krav om personligt fremmøde ved udlevering. Det kan produceres og anvendes billigere end hardwarebaserede certifikater. På længere sigt er det hensigten, at OCES-certifikatet skal udskiftes til en hardwarebaseret løsning.
OCES-certifikatpolitikkerne beskriver certifikat-udbydernes håndtering af certifikaterne og indholdet af dem og udstikker hermed det sikkerhedsniveau, der skal overholdes af enhver OCES-CA (Certification Authority eller Nøglecenter).
Boks:
De fire grundpiller
Med en Public Key Infrastructure med digital signatur og kryptering kan man opnå:
Autenticitet: Sikkerhed for, at meddelelsen er autentisk og kommer fra den person, som hævder at have sendt den.
Integritet: Sikkerhed for, at hverken teknik eller mennesker har ændret i meddelelsen under overførslen.
Hemmeligholdelse: Sikkerhed for, at ingen uvedkommende kan se indholdet i meddelelsen.
Uafviselighed: Sikkerhed for, at afsenderen ikke kan nægte at have afsendt meddelelsen, og at modtageren ikke kan nægte at have fået den.
Citat:
Mit bud er, at det starter med sikker e-mail, når proppen er af flasken. Skarpt forfulgt af hjemmearbejdspladser på VPN, hvor signaturen erstatter brugernavn og
password. Per B. Hansen,sikkerhedschef hos TDC Erhverv.
Boks:
TDC vinder projektkonkurrence
Videnskabsministeriet sendte i maj 2002 opgaven med at skabe en Public Key-infrastructure og udbrede digital signatur efter OCES-standarden til danskerne i udbud. TDC vandt opgaven i februar 2003 og har som vinder af udbuddet fået 40 millioner kroner til at rulle den standardiserede digitale signatur ud.
TDC og Videnskabsministeriets aftalte mål er 350.000 brugere af digital signatur efter et år, 700.000 brugere efter to år, en million efter tre år og 1,3 millioner brugere efter de fire år, som kontrakten løber.
TDC har til dato skrevet kontrakt med seks værtsorganisationer om udrulning af digital signatur. Det er ToldSkat, Virk.dk, ATP, sig selv, Københavns Kommune og en organisation, som ønsker at være anonym.
Der er skrevet kontrakt med fire partnere, som laver løsninger til digital signatur. Det er CSC, IBM, TietoEnator og Logiva. Der er dialog med omkring yderligere 20 virksomheder om partnerskaber. Hertil kommer de cirka 1.000 allerede eksisterende TDC-partnere.
Boks:
Rationaliseringsgevinster
En af de få succeshistorier på selvbetjeningsfronten er indtil videre webreg, hvor registrerede brugere kan oprette og afmelde selskaber med digital signatur. For brugerne af tjenesten falder sagsbehandlingstiden drastisk - fra tre uger til under en halv time. For Erhvervs- og Selskabsstyrelsen har selvbetjeningssystemet betydet en fordobling af produktiviteten fra 1,1 registreringer i timen til 2,6.
Boks:
Tre slags certifikater og web-LRA
Et softwarebaseret certifikat er i praksis en fil på harddisken eller en plug in i browseren. Rent teknisk er person-, medarbejder- og virksomhedscertifikater ens, men der er forskel på, hvad de kan bruges til.
¥ Personcertifikater udstedes af TDC, er gratis og kan bruges til sikker e-mail, digital signatur og efterhånden som adgang til en lang række services, der i dag kræver brugernavn og password.
¥ Medabejdercertifikater identificerer en person som medarbejder i en privat eller offentlig virksomhed. Det udstedes af TDC og arbejdsgiveren i fællesskab. Foruden kommunikation kan medarbejdercertifikatet bruges til interne sikkerhedsløsninger, adgangsregulering, log on i VPN og sikkerhedsadministration.
¥ Virksomhedscertifikater udstedes af TDC og repræsenterer virksomheden som en juridisk person. Det kan bruges til at udveksle meddelelser med andre virksomheder og offentlige myndigheder. Og det er nødvendigt, når virksomheden udbyder webbaserede tjenester med digital signatur eller certifikatabaseret VPN.
En virksomheds personaleafdeling kan varetage en web-LRA (Local Registration Authority), som giver virksomheden ret til at oprette, ændre og nedlægge medarbejdercertifikater.
