SEID-samarbeidet og nye anbefalte sertifikatprofiler

SEID-samarbeidet er en videreføring av det som opprinnelig ble kalt SEID-prosjektet der aktører fra offentlig og privat sektor gikk sammen om å lage felles spesifikasjoner for bruk av PKI og digitale sertifikater i Norge. Dette arbeidet inkluderte anbefalte sertifikatprofiler for personsertifikater og virksomhetssertifikater (i det som kalles SEID leveranse 1). Disse sertifikatene har vært mye brukt i ulike sektorer og i mange tjenester i mer enn 15 år og dette må sies å ha vært en suksess. Men verden går videre og med nye felles europeiske reguleringer som eIDAS-forordningen (se lov om elektroniske tillitstjenester) har det vært identifisert et behov for å revidere disse anbefalte sertifikatprofilene og SEID-samarbeidet har nylig publisert et revidert sett med anbefalte sertifikatprofiler for personsertifikater og virksomhetssertifikater - se https://www.nkom.no/internett/elektronisk-id-og-tillitstjenester/seid-prosjektet for mer informasjon.

Vi omtaler disse nye nasjonale sertifikatprofilene for SEID v2.0 og de tidligere sertifiktprofilene for SEID v1.0. SEID v2.0 er harmonisert med felles europeiske sertifikatprofiler definert under eIDAS (sertifikatprofilene er definert i standardene ETSI EN 319 412-x). Dette vil bidra til større interoperabilitet og åpne for bruk av PKI og digitale sertifikater på tvers av landegrenser som også er noe av hensikten med eIDAS-forordningen. Siden personssertifikater og virksomhetssertifikater er i utstrakt bruk i samfunnskritisk infrastruktur i Norge i dag har SEID-samarbeidet valgt å videreføre anbefalte nasjonale sertifikatprofiler for å sikre enhetlige sertifikatprofiler i det norske markedet. Dette vil gi sertifikatmottakere større forutsigbarhet når det gjelder hvilken informasjon de kan forvente å finne i sertifikater fra norske sertifikatutstedere, hvordan denne informasjonen skal tolkes og hvilken kvalitet denne informasjonen kan forventes å ha.

Det er noen få, men viktige endringer mellom sertifikater under SEID v2.0 sammenliknet med SEID v1.0 og det er derfor svært viktig at alle tjeneste-/programvare-leverandører og sertifikatmottakere som bruker PKI og digitale sertifikater er kjent med dette og gjør nødvendige tilpasninger i sine systemer.

Det gis en kort beskrivelse av de viktigste endringene i sertifikatprofilene nedenfor, mer informasjon om endringene finnes i dokumentet SEID Leveranse 1 på Nkoms nettsider.

Viktige endringer i personsertifikater

For personssertifikater gjelder dette spesielt informasjon om sertifikatinnehaver som i SEID v1.0 blir håndtert slik:

SerialNumber inneholder en sertifikatutstederspesifikk personidentifikator som identifiserer sertifikatinnehaver unikt. I SEID v1.0 er det slik at navnet i Common Name (CN) skal være identisk med fullt navn slik dette er registrert i Folkeregisteret.

Til sammenlikning vil dette se slik ut i SEID v2.0:

Den sertifikatutstederspesifikke personidentifikatoren videreføres men prefikses med det som kalles en Semantisk Identifkator (her UN:NO:) som forteller at dette er en unik personidentifikator definert i Norge. Det vil ligge noe mer informasjon om dette i andre felt i sertifikatene.

I SEID v2.0 innføres fornavn (GivenName - G) og etternavn (Surname - SN) som egne attributter og disse skal være hentet fra tilsvarende elementer i Folkeregisteret. Fra 24. august 2022 innfører vi avkorting av fornavn og etternavn iht SEID v2.0, dette kan bety at navnet i sertifikatet er forkortet.

Navn på sertifikatinnehaver vil fortsatt være å finne i sertifikatenes Subject.CommonName (CN). Feltet vil inneholde fornavn og etternavn, men ikke mellomnavn. I hht SEID v2.0 kan Common Name (CN) inneholde sertifikatinnehavers 'foretrukne navn' og på sikt vil dette feltet kunne inneholde et slikt 'foretrukket navn' slik at det for eksempel kan inneholde mellomnavn, mangle ett av flere fornavn, et mellomnavn osv.

Det er kun signeringssertifikatene eller det sertifikatet som kan brukes for signering, som heretter blir markert som et 'kvalifisert sertifikat for elektronisk signatur' etter eIDAS-forordningen. Dette skjer gjennom bruk av såkalte QC-statements.

Viktige endringer i virksomhetssertifikater

For virksomhetssertifikater er det også viktige endringer i informasjon om sertifikatinnehaver som i SEID v1.0 kan se slik ut:

SerialNumber inneholder organisasjonsnummeret til virksomheten, mens Organization (O) inneholder organisasjonens navn slik disse er registert i Enhetsregisteret.

Til sammenlikning ser dette se slik ut i SEID v2.0:

Organisasjonsnummeret er her lagt inn i et nytt felt som kalles OrganizationIdentifier. Sertifikatinnholdet over vises i Microsoft Certificate Viewer som ikke kjenner dette feltet og viser dermed OID=2.4.5.97 som er en objektidentifikator (oid) for dette feltet.

I tillegg til at organisasjonsnummeret legges inn i et annet felt enn i SEID v1.0, så skal også verdien prefikses med en Semantisk Identifikator (her NTRNO:) som i dette tilfellet sier at identifikatoren er definert i et 'National Trade Register (NTR)' i Norge (NO).

Alle tjenester og systemer som bruker sertifikatet for å identifisere en virksomhet må følgelig endres fra å bruke SerialNumber til OrganizationIdentifier og med nytt format.

Vi strammer inn praksisen rundt Virksomhetssertifikater som utstedes til underenheter, se Virksomhetssertifikater til underenheter for mer informasjon.

Med eIDAS-forordningen er det også mulig å utstede et 'kvalifisert sertifikat for elektronisk segl' (som vi kan se på som et form for "kvalifiserte virksomhetssertifikat"). På samme måte som for personsertifikater er det kun signeringssertifikatet som blir markert som et slik kvalifisert sertifikat med bruk av QC-statements tilsvarende personsertifikatene.

Nye G2 CA-er for utstedelse av personsertifikater og virksomhetssertifikater

Buypass har etablert et nytt sett med logiske CA-er (Generasjon 2 - G2) som benyttes for å utstede personsertifikater og virksomhetssertifikater.

Slik ser CA-hierarkiet ut for det vi kan kalle Generasjon 1 CA-er, dvs de som brukes i eksisterende sertifikater basert på SEID v1.0.

Her blir personsertifikater (PID) og virksomhetssertifikater (VID) begge utstedt under Buypass Class 3 CA 3 som kjeder tllbake til Buypass Class 3 Rot CA. Dette er en Rot CA som også er anerkjent av nettlesere og andre sertifikatprogram, noe som legger unødvendige føringer på innholdet i personsertifikatene og virksomhetssertifikatene.

Buypass Class 3 CA 2 benyttes for å utstede TLS/SSL-sertifikater, inkludert QWAC (Qualified Website Authentication Certificates) i hht eIDAS-forordningen. Begge de to utstedende CA-ene er merket med eIDAS-tillitsmerket siden de begge er registrert på EUs tillitstliste for utstedelse av kvalifiserte sertifikater.

I ny G2 CA-struktur ser CA-hierarkiet slik ut:

Her skiller vi mellom sertifikater utstedt på nøkler som er sikret i hardware-enheter som smartkort og HSM-er (i såkalte HardTokens - HT) og sertifikater utstedt på nøkler som er sikret i software (SoftTokens - ST). Adobe krever at nøkler skal være sikret i hardware-enheter og derfor har vi etablert et eget CA-hierarki der alle sertifikater skal være anerkjent av Adobe.

Personsertifikater (PID) blir alltid utstedt under Buypass Class 3 CA G2 HT Person, mens virksomhetssertifikater utstedes enten under Buypass Class 3 CA G2 ST Business eller Buypass Class 3 G2 HT Business avhengig av hvordan nøkkelen er sikret.

Også her er alle de tre utstedende CA-ene markert med eIDAS-tillitsmerket siden de alle tre kan utstede kvalifiserte sertifikater (for hhv elektronisk segl når det gjelder "Business" CA-ene og elektronisk signatur når det gjelder "Person" CA-en).

Buypass Class 3 Rot CA G2 HT er med i AATL-programmet til Adobe ellers er ingen av disse med i annet sertifikatprogram. Dette gir større fleksibilitet og uavhengighet for våre personsertifikater og virksomhetssertifikater og er også i henhold til gjeldende anbefaling når det gjelder å begrense ulike typer sertfikater som kan kjedes tilbake til en og samme rot.

Rot CA sertifikater og utstedende CA-sertifikater kan lastes ned fra Buypass Rotsertifikater.

For mer informasjon om våre nye G2 CA-er se Nye CA-er ('generasjon').

Sterkere kryptografi i virksomhetssertifikater

Gjeldende anbefalinger for bruk av kryptografiske algoritmer spesielt for signering tilsier at man innen 2025 bør over på sterkere kryptografi enn 2048 bits RSA. Med 3 års levetid på våre virksomhetssertifikater ønsker vi å kommer over på lengre RSA-nøkler i løpet av 2021. Vi vil også innføre støtte for elliptisk kurve kryptografi (ECC) der vi vil støtte kurver i NIST-familien, spesielt NIST P-256 i første omgang. Dette vil da gjøre det mulig å signere meldinger med ECDSA ved bruk av ECC-nøkler. Bruk av ECC-nøkler reduserer nøkkellengden betydelig samtidig som sikkerheten er godt ivaretatt. En ECC-nøkkel på 256 bits vil være like (kryptografisk) sterk som en RSA-nøkkel på 3072 bits.

Vi velger å tilby sterkere kryptografi i våre virksomhetssertifikater samtidig med overgang til SEID v2.0 og innføring av nye G2 CA-er. Det er allerede etterspørsel etter dette i markedet og selv om vi allerede nå kan tilby virksomhetssertifikater for sterkere kryptografi på forespørsel, velger vi å innføre dette som standard fra Q3 2021.

For mer informasjon om kryptografiske algoritmer vi vil støtte i tiden fremover, se Sterkere kryptografi.

Innføring av endringene

Vi vil starte med å innføre disse endringene i våre produkter fra Q3 2021 i henhold til overgangsordningen som er definert i SEID Leveranse 1.

Når det gjelder virksomhetssertifikater, så vil endringene bli tatt inn i Virksomhetssertifikat for Europa og kvalifiserte sertifikater for elektronisk segl (QC eSeal) fra Q3 2021. Vi vil videreføre SEID v1.0 i Virksomhetssertifikater for Norge og fortsatt utstede slike frem til 1.juni 2022. For de som bestiller Virksomhetssertifikater i Buypass ID Manager, les mer om innføring av endringene i ID Manager. For de som bestiller Virksomhetssertifikater direkte fra Buypass Web, les mer her.

Når det gjelder personsertifikater, så vil vi fase inn SEID v2.0 og ta i bruk nye G2 CA-er også fra Q3 2021 og vil tilby sterkere kryptografi så fort vi har støtte for dette.

Innføring av SEID v2.0 skal skje i perioden 1.september 2021 og 1.juni 2022, etter denne datoen har vi ikke lenger anledning til å tilby personsertifikater eller virksomhetssertifikater i hht SEID v1.0.

Alle sertifikater basert på SEID v1.0 vil kunne brukes inntil de utløper, det er ikke nødvendig å erstatte disse bare fordi de er basert på SEID v1.0.

Dersom du er usikker på om den tjenesten du skal benytte sertifikater i støtter SEID v2.0, finn informasjon om dette på samarbeidsportalen på Digdirs nettsider og samhandlingsplattformen hos Norsk Helsenett.

Testsertifikater

Bestill Virksomhetssertifikater for Europa (SEID v2.0) for test her.

Eksempel på autentiseringssertifikat
Eksempel på signeringssertifikat

Bestill Kvalifiserte sertifikater for elektroniske segl (QC eSeal) for test her.

Eksempel på autentiseringssertifikat
Eksempel på signeringssertifikat

Bestill Personsertifikater (SEID v2.0) for test her.

Eksempel på autentiseringssertifikat
Eksempel på signeringssertifikat

Rot CA sertifikater og utstedende CA-sertifikater for test kan lastes ned fra Rotsertifikater, test.

Browser not supported