Nøkkelinfrastrukturer -Hva er galt med det vi har?

Endre Grøtnes, Statskonsult

En liten test!• Hvem har utlevert kreditt-

kortnummer over nettet? • Sjekket dere mottakerens

sertifikat?• Hvem krypterer e-posten?• Hvem signerer e-posten?• Hvem har et digitalt

sertifikat?

Hva er det egentlige problemet?

• Jeg stoler ikke på deg, og du stoler ikke på meg. Vi må finne noen begge to stoler på.

• Jeg vet ikke hvem du er, du vet ikke hvem jeg er. Vi må finne noen som kan fortelle hvem vi er til den andre.

• Ved handel: Jeg vil ha varen, og du vil ha betaling. Vi må sikre at oppgjøret finner sted.

Tanker om tillit!• Området er så komplekst at vanlige folk ikke

kan forholde seg til det teknologisk. Dermed vil en tillitsvurdering gå på et generelt inntrykk av sertifikattilbyderen.

• Tillit er noe du får av andre, og kommer ikke automatisk sammen med en sertifikatpolicy.

• Jeg ”stoler” på det kjente, det jeg vet noe om.

• Tillit baseres på tro, ikke teknisk infrastruktur.

Det er viktigere med et godt rykte enn å bli kryss-sertifisert!

Hva skal vi bruke PKI og digitale signaturer til?

• Innrapportering og søknader til det offentlige.

• Se på elektronisk lagret informasjon.

• Elektronisk handel.

• Elektronisk saksbehandling internt i det offentlige.

• Annet ...

Hva har vi tilgjengelig

• Sertifikatdistribusjon via nettlesere som Netscape og Internet Explorer.

• Enkelt tilgang til sertifikater via nettet fra f.eks Verisign.

• Tjenerautentisering ved bruk av SSL.

• Tilgjengelig programvare for egengenerering av sertifikater, f.eks PGP.

Nettleseren har alt!!!!• De nyere nettleserne

kommer med e-post og ferdige rotsertifikater.

• Du kan selv skaffe deg sertifikater og importere andres sertifikater.

• SSL krypterer og verifiserer tjenermaskinen

• Dermed har du en ferdig PKI infrastruktur

PGP internt i virksomheten

• PGP kan skaffes i en gratisversjon.

• Den integreres med Outlook eller Eudora (gratis og godt epostprogram).

• PGP gir signering og kryptering. I tillegg kan den integreres med en nøkkeltjener.

• For kryptering og verifisering av avsender er PGP alt man trenger internt.

Uproblematiske bruksområder for digitale signaturer

• Identifikasjon og autentisering.

• Bruk i autorisasjonssystemer.

• Sikrere e-post i små og mellomstore virksomheter.

• Felles ”adgangstegn” ovenfor offentlig forvaltning.

Problemområder for digitale signaturer

• Verifisering av signatur over tid.

• Teknologiske utviklingen. Ny program- og maskinvare.

• Hvordan viser du en digital signatur til en tredjepart som ikke har utstyr?

• Domstolens (in)kompetanse.