Sterkere kryptografi


Introduksjon

Buypass forholder seg til gjeldende anbefalinger for bruk av kryptografi i relevante produkter og tjenester, da spesielt gjeldende versjon av ETSI TS 119 312 og SOGIS Agreed Cryptographic Mechanisms. Disse anbfalingene, som da spesielt gjelder for signering, tilsier at man innen 2025 bør over på sterkere kryptografi enn 2048 bits RSA.

Med 3 års levetid på våre sertifikater ønsker vi å kommer over på lengre RSA-nøkler i løpet av 2021, dette gjelder spesielt for våre virksomhetssertifikater og personsertifikater brukt i Buypass ID i mobil. For personsertifikater brukt i Buypass ID på smartkort er det en del begrensninger i gjeldende smartkortløsning som gjør at dette vil måtte skje på et senere tidspunkt.

Vi velger derfor å tilby sterkere kryptografi i våre sertifikater samtidig med overgangen til SEID v2.0 og innføring av nye G2 CA-er. Det er allerede etterspørsel etter dette i markedet og selv om vi allerede nå kan tilby feks virksomhetssertifikater for sterkere kryptografi på forespørsel, velger vi å innføre dette som standard sammen med SEID v2.0. 

Sterkere kryptografi i Buypass virksomhetssertifikater

Vi innfører 3072 bits RSA som standard i våre virksomhetssertifikater for Europa og kvalifiserte sertifikater for elektronisk segl. 

Vi vil også innføre støtte for elliptisk kurve kryptografi (ECC) med støtte for NIST P-256 i første omgang. Dette vil da gjøre det mulig å signere meldinger med ECDSA ved bruk av ECC-nøkler. Bruk av ECC-nøkler reduserer nøkkellengden betydelig samtidig som sikkerheten er godt ivaretatt. En ECC-nøkkel på 256 bits vil være like (kryptografisk) sterk som en RSA-nøkkel på 3072 bits. 

Vi utsteder virksomhetssertifikater for nøkler enten generert av kunde eller nøkler generert av Buypass. For virksomhetssertifikater utstedt på kundegenererte nøkler tilbyr vi også støtte for ECC. 

Plan for innføring av sterkere kryptografi i virksomhetssertifikater

  • Fra 1.september 2021: 3072 bits RSA som standard i SEID v2.0 sertifikatene våre
  • Fra 1.oktober 2021: støtte for ECC (NIST P-256) for sertifikater basert på kundegenererte nøkler
  • Fra 1.april 2022 (tentativt): støtte for ECC (NIST P-256) for sertifikater basert på Buypass-generte nøkler 

Sterkere kryptografi i Buypass personsertifikater

Vi planlegger å ta i bruk 3072 bits RSA som standard i våre personsertifikater for Buypass ID i mobil i forbindelse med innføring av SEID v2.0 sertifikatprofiler. For personsertifikater i Buypass ID på smartkort øker vi i første omgang nøkkellengde fra 2032 til 2048 bits RSA i forbindelse med innføring av SEID v2.0 sertifikatprofiler.

Vi ønsker også å tilby støtte for ECC i våre personsertifikater, men vi har foreløpig ingen datoer for dette. 

Innhold