Unable to render {include} The included page could not be found.

Buypass ID i mobil - Home

 

Buypass ID i mobil for privatbrukere ble lansert i november 2016 sammen med Digitaliseringsdirektoratet til bruk i ID-porten.

Siden har mange flere brukersteder og tjenester gitt brukerne sine mulighet til å bruke Buypass ID i mobil i tillegg til smartkort.

 

Buypass ID i mobil for bedriftskunder ble lansert våren 2019 som supplement til smartkort i bedriftsløsningen vår - Buypass Access Solution.

Det betyr at Buypass nå tilbyr ID på nivå kvalifisert også på mobile flater.

 

Buypass ID i mobil er en sentrallagret PKI

Buypass ID i mobil er en løsning der din personlige Buypass ID er lagret sentralt og du kan bruke din mobil for å gi tilgang til denne ID-en.

 

Buypass ID i mobil, eller Buypass sentrallagrede PKI, er et supplement eller tillegg til Smartkort med PKI. Smartkort med PKI krever at bruker har installert kortleser, men med stadig større utbredelse av mobile enheter som smarttelefoner og nettbrett er det ikke like enkelt å få tatt i bruk smartkort med PKI på samme måte som i mer tradisjonelle PC-er.

 

Buypass ID i mobil er en alternativ løsning der PKI, eller mer presist, de private nøklene, oppbevares sentralt og på en slik måte at det bare er nøkkelens rettmessige eier som har tilgang til nøklene. Dette prinsippet kalles for enekontroll (sole control) og dette er et av de viktigste elementene i en slik løsning for å oppnå tillitt hos sluttbrukere og brukersteder som ønsker å ta i bruk en slik løsning.

 

Nøkkelens rettmessige eier, heretter kalt Undertegner (Signer) forutsettes å være i besittelse av en autentiseringsmekanisme fra Buypass som gir en sterk autentisering (to-faktor) av undertegner. Undertegner må autorisere tilgang til sin private nøkkel ved å autentisere seg med en slik autentiseringsmekanisme. Enekontroll oppnås ved at det etableres en kryptografisk kobling mellom den private nøkkelen, signeringsoppdraget og autentiseringsfaktorene benyttes i autentiseringen. Denne kryptografiske koblingen blir verifisert i en fiklebestandig (tamper resistent) HSM.

 

Bruker kan selv velge å bruke enten Buypass passord med engangskode på mobil eller en Buypass ID app som installeres på mobiltelefonen og som krever bruk av PIN for å autorisere tilgang til sine private nøkler.

 


Sentrallagret PKI

Buypass ID i mobil er en løsning der din personlige Buypass ID er lagret sentralt og du kan bruke din mobil for å gi tilgang til denne ID-en.

Denne sentralt lagrede ID-en er basert på bruk av kryptografiske nøkler og kvalifiserte sertifikater i hht eSignaturloven. Dette sikrer at dette er en ID på høyeste tillitsnivå som kan brukes inn mot offentlige tjenester som krever dette.

En slik sentralt lagret ID består av to kryptografiske nøkler (RSA 2048 bits) som kan brukes for hhv autentisering og signering. De kryptografiske nøklene genereres, lagres og kan bare brukes i en HSM i sikre omgivelser hos Buypass. Nøklene er godt beskyttet og bruk av kryptografiske teknikker sikrer at ingen andre enn nøklenes rettmessige eier har tilgang til sine nøkler.

For å få tilgang til sine private nøkler må brukeren autorisere tilgangen ved å bruke sin personlige mobiltelefon samt en hemmelighet som bare brukeren kjenner til. Dette skjer i form av en tofaktor autentisering som skal sikre at det bare er nøkkelens eier som har tilgang til sine sentralt lagrede nøkler. Dette kan sammenliknes med bruk av et smartkort der bruker må taste en personlig PIN-kode for å autorisere tilgang til de private nøklene i smartkortet.

Bruker kan selv velge å bruke enten Buypass passord med engangskode på mobil eller en Buypass ID app som installeres på mobiltelefonen og som krever bruk av PIN for å autorisere tilgang til sine private nøkler.


PKI-tjenester

Buypass tilbyr PKI-tjenester vha sentrallagret PKI på sikkerhetsnivå 4, dvs løsningen tilfredsstiller kravene i kravspesifikasjonen for PKI i offentlig sektor, Person Høyt. Denne er basert på eSignatur-loven med tilhørende forskrift som igjen er basert på eSignatur-direktivet.

Buypass er selvdeklarert for Person Høyt med vår smartkortbaserte PKI og nå også med sentrallagret PKI. Løsningen tilbyr en såkalt avansert elektronisk signatur basert på et kvalifisert sertifikat (AdESQC).

Vi tilbyr både signering og autentisering basert på sentrallagret PKI.  Vi kan også tenke oss å tilby en (de)krypteringstjeneste basert på samme teknolog, men denne er ikke realisert ennå. 

Vi ser også en mulighet for å tilby samme type løsning til virksomheter. Da snakker vi om å tilfredsstille kravene i kravspesifikasjonen for PKI i offentlig sektor som gjelder Virksomhetssertifikater.

Det er viktig å tilby en løsning som tilfredsstiller regulatoriske krav som nevnt over. Den nye EU-forordning (eIDAS) som allerede er innført har erstattet tidligere eSignatur-direktiv. I denne forordningen er konseptet sentrallagret PKI (remote signature) tatt inn på en helt annen måte enn i det opprinnelige eSignatur-direktivet. 

Den tekniske løsningen for signering og autentisering (og til dels de-kryptering) er tilnærmet lik mht sikring av private nøkler og mekanismene for å sikre enekontroll. En felles løsning som dekker begge disse funksjonene synes realistisk og hensiktsmessig.


Offentlig godkjenning og selvdeklarering

Buypass har selvdeklarert sentrallagret PKI for privatpersoner i hht PersonHøyt i kravspesifikasjon for PKI i offentlig sektor.

En viktig forutsetning for å etablere en sentrallagret PKI er at vi kan gjenbruke legitimasjonskontrollen som våre kunder har gjennomført ved etablering av kundeforholdet. Vi har pt mer enn 2,100,000 kunder som er registrert med en slik status i våre DB. En annen viktig forutsetning er at vi kan benytte allerede etablerte autentiseringsinstrumenter som Buypass ID i mobil (Buypass ID og betaling, inkludert 2CC) og brukernavn/passord med engangskode via SMS (1.5CC og/eller 1.5OTP) for å autorisere tilgang til en sentrallagret nøkkel.

SSID er også tatt inn i scope for ETSI revisjon fom 2016. Når eIDAS forordningen tas inn i norsk lov, vil en slik sertifisering erstatte selvdeklarasjonsordningen. 

 

Relevante standarder

Vi ønsker å posisjonere oss i fht nye krav som gjelder servergenerert signaturer i EU-standarder som følge av eSignatur-direktivet og den kommende eIDAS-forordningen.

Den europeiske standarden CEN/TS 419241 beskriver sikkerhetsrelaterte krav for såkalt pålitelige systemer som støtter servergenerert signaturer. Denne standarden innfører to ulike nivåer av enekontroll (sole control); nivå 1 og nivå 2 der man skiller på hvordan autentisering og etterfølgende signering er ”koblet sammen”. Enekontroll nivå 1 gir en relativ løs kobling mellom autentisering og signering, mens enekontroll nivå 2 gir en tett kobling mellom autentisering og signering.

Vårt løsningsforslag tilfredsstiller enenkontroll nivå 2, noe som etter vår oppfatning er viktig for å få en tilstrekkelig tillit til denne type løsninger.