SecMaker 20101014.pdf
SecMaker 20101014.pdf
SecMaker 20101014.pdf
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
F.d. skidåkare
Fjällvandrare och munspelare
Jag bor intei Skåne ochhittar inte såbra mensom tur ärhar jag medmig en killefödd iÄngelholm!
Daniel Hjort
Till ämnet
Sjunker
eID – Smarta kort - PKI - en kommunal ledningsfråga
Allt kokar ner till vårt behov av:A) att kunna ”visa vem man är”ochB) att kunna ”sätta sitt märke” på viktiga handlingar
Bilden föreställer ett ”körkort” från 1888Gammalt sätt att ”visa vem man är”
Bilden visar ett kort med e-legitimationsamt illustrerar bristen på lösningar för vårafyrfota vänner.Nytt sätt att ”visa vem man är”
Bilden föreställer ett brev utfärdat av kung Valdemar och BirgerJarl till Fogdö kloster 1252. Originalet förvaras i Storapergamentsbrevsamlingen på Riksarkivet.Fotograf: Kurt Eriksson, Riksarkivet.Gammalt sätt att ”sätta sitt märke” på viktiga handlingar
Bilden föreställer ett dokumentutfärdat av Jonas Öholm till SITHSmedlemmar.”Original” kan man intetala om i samma mening som på1200-talet.Signatär: Jonas Öholm, <strong>SecMaker</strong>Nytt sätt att ”sätta sitt märke på viktiga handlingar”
En gång till: Allt kokar ner till vårt behov av:A) att kunna ”visa vem man är”ochB) att kunna ”sätta sitt märke” på viktiga handlingar
och därmed:identitetsbegreppet
Identitetsbegreppet börjar med en fråga
Vem är jag?
Vem är jag?
Kris
Kloka tankar?
Det är här eID, smarta kort och PKI kommer in…
Ersätta lösenord med nåt bättre…
INFRASTRUKTUR
The metric systemBritish Standard Whitworth
Man ska: Välja väg
Man ska: Bygga robust
Man ska: Anpassa satsningens storlek
Man ska: Hitta fällorna i förväg
Man ska: Se till att arbetet kan fortgå medan man bygger
Man ska: Eliminera inlåsningseffekter
Man ska: Se till att man inte satsar på en ”bubbla”
Man ska: Har möjlighet till kryptering
Man ska: Välja en lösning som ger kontinuitet över tid
Man ska: Välja en lösning som fungerar i olika verksamheter
Man ska: Ligga i linje med regeringens intentioner
Man ska: Ha rutiner på platsDu har väl inte lämnat kvar dittkort i datorn när du ränneromkring härute i korridoren.Självfallet inte,Herr IT-chef!
För man vill ju för allt i världen inte hamna här…
1) 2)Nu kan vi ha en jättelång och fruktlös diskussion om för och nackdelar meddessa olika lösningar eller så kan vi kavla upp ärmarna och börja jobba utifrånatt vi har 1435 mm mellan skenorna....3)4)
1)Varför ska detta göras just nu?
2)Varför ska detta göras just nu?
Varför ska detta göras just nu?3)
Saker jag vill skicka med er:# Morgondagens IT-infrastruktur på identitetsområdet är inte baraen IT-fråga. Det är en kommunal ledningsfråga(det har ni säkert redan försökt hävda både en och två gånger hemmavid)# Liera er med andra grupperingar…- Utskrifter… (ekonomi- och miljöfråga)- Inpassering…(säkerhetsfråga)- Personalavdelning och fack (personalens trygghet ocharbetssituation)- Den politiska ledningen (omvärldens syn på er)# PKI (assymetrisk nyckelteknologi) är rå matematik, inte ännuen”bubbla” inom autentiseringsområdet# Smartakort är inte lösning på alla problem i alla lägen. Men detär en himla praktisk formfaktor (platt, bekant, flexibel)# Gör lika! PKI-baserad infrastruktur lämpar sig lika bra förstandardisering som järnvägens spårvidd (1435 mm)# SITHS finns, SITHS är ”färdigförhandlat”, SITHS ger bra priser,SITHS är nationellt, kopplingar till EU-samarbeten m.m.
Slide 53Demo…(om ni vill)• Windowsinloggning• Microsoft VPN• Juniper VPN• Citrix XenDesktop• Läsa av Mifareinformation• SSO mot gammalt system
Slide 54E-legitimationsparetSITHS rotcertifikatCertifikat från intern CAHCC-paretSITHS-kortet
Slide 55Två ”skolor” inom SITHSStällningstagande A• Vi vill inte vara beroende av en extern infrastruktur för autentiseringen mot vårt interna AD• Vi lägger därför på ett extra certifikat trots att vi vet att det innebär ett merarbete vid utfärdande, spärr och återlämning• Vi inser att dessa ställningstaganden gör det extra viktigt att identifiera brister i den certifikatsvalslogik som olika applikationerharAUPN = jonoho@secmaker.comStällningstagande B• Vi accepterar ett beroende av en extern infrastruktur för autentiseringen mot vårt interna AD. Särskilt med tanke på att funktionen”grace time” numera finns tillgänglig som en GPO i Windows Server 2008• Vi vill inte åta oss det merarbete vid utfärdande, spärr och återlämning som ett extra certifikat innebär• Vi vet att alla kort med mer än ett enda certifikat ”utmanar” den certifikatsvalslogik som olika applikationer har men genom våraställningstaganden lägger vi inte ”lök på laxen”BUPN = tomvar@secmaker.com
Slide 56
Slide 57
Slide 58
Windows Server 2008 problemet
Apropå arkivfrågor: http://signserver.east.cybercom.se:8080/SosSign/p-Världene-VärldenBevarahandlingen iursprungligtskickPappretmed dessbläckTextenIngickinte ihandlingen/gallrasPennanKuvertete-legitimationen”Matematiken”Bonus!Ingen bonus utdelas förinsamling på papper ;-)Dokumenterat kontrollresultat
Besök gärna:https://service.secmaker.comJonas Öholm<strong>SecMaker</strong> ABSmedjegatan 6, 7tr131 54 Nacka, SwedenVäxeln: 08 - 601 23 00Direkt: 0470 - 51 01 81Mobilen: 0702 - 53 18 73jonas.oholm@secmaker.comwww.secmaker.com
Tack för er tid!