Rapport 2000:15 - Hantering av certifikat och elektroniska signaturer inom statsförvaltningen

3 Kartläggning av myndigheternas planer avseende lanseringen av elektroniska tjänster och relaterade säkerhetsbehov

4.Marknadens aktörer, produkter och tjänster
4.1 Bankerna
4.2 Posten
4.3 Teleoperatörerna
4.4 Övriga aktörer
4.5 Analys av lösningsmodell där många CA är leverantörer av certifikat för statliga tillämpningar

5 Tillämpning av säkerhetslösningar inom de statliga myndigheterna
5.1 För- och nackdelar med olika tekniker
5.2 Rekommenderade säkerhetsnivåer för myndigheternas elektroniska tjänster
5.3 Statens e-id-handling

6 Föreslagen lösningsmodell
6.1 Inriktning
6.2 Två försörjningsalternativ för e-id-handlingar och identifierings- och signeringstjänster
6.3 Utlämning/distribution av e-id-handlingar
6.4 Bedömning av andra möjliga aktörer

7 Uppgifter för Statens CA

8 Upphandling av och kostnaderna för de två försörjningsalternativen.
8.1 Försörjningsalternativet Identifierings- och signeringstjänster avseende aktörens kunder
8.2 Försörjningsalternativet Ramavtal avseende produkter och tjänster
8.3 En översiktlig jämförelse mellan de två försörjningsalternativen
8.4 Grova kostnadsuppskattningar

9 Eventuell författningsreglering samt finansiering av Statens CA

Bilagor:

Bilaga 1 Kartläggning av olika myndigheters planer när det gäller kommunikation med medborgare och företag över Internet.
Bilaga 2 Kostnadskalkyler
Bilaga 3 Deltagare i utredningen
Bilaga 4 Ordlista, begreppsdefinitioner

1 Sammanfattning

Regeringens uppdrag

Regeringen uppdrog i beslut 2000-03-02 åt Riksskatteverket att i samverkan med Riksförsäkringsverket, Patent- och registreringsverket samt Statskontoret utreda och lämna förslag om hur ansvaret för utfärdande och administration av certifikat och elektroniska signaturer bör organiseras inom statsförvaltningen.

Bakgrund och syfte

Ett grundläggande syfte med att åstadkomma säker elektronisk kommunikation är medborgarnas och företagens behov av förbättrad service och tillgänglighet när det gäller myndigheternas tjänster. Allt flera statliga myndigheter ser elektroniskt informationsutbyte och elektroniska tjänster som en möjlighet att etablera "24-timmarsmyndigheten". Detta förutsätter att en fungerande infrastruktur säkerställs som möjliggör identifiering av medborgare och organisationer över Internet liksom elektronisk signering.

Förslag

Riksskatteverket, i samverkan med Riksförsäkringsverket, Patent- och registreringsverket samt Statskontoret, föreslår att:

• följande indelning i säkerhetsnivåer används i myndigheternas verksamhet:
• Hög nivå motsvarar kraven på säkerhet enligt vad som gäller för kvalificerade elektroniska signaturer i den föreslagna lagen. Detta förutsätter i dag en kortbaserad lösning. Kvalificerade signaturer skall alltid godtas i en e-tjänst, under förutsättning att eventuella formkrav inte lägger hinder i vägen. Sådana krav kan vara föreskrifter om anvisat format och mottagningsställe.
• Medelhög nivå ger en avancerad elektronisk signatur enligt den föreslagna lagen. Denna nivå tillåter lagring av privata nycklar i arbetsplats eller på diskett, under förutsättning att systemlösningar säkerställer att nycklar inte exponeras okontrollerat. Varje signeringstillfälle skall kopplas till användning av nyckelns lösenord. Vi bedömer att det finns en stor mängd statliga tillämpningar där denna säkerhetsnivå är tillfredsställande.
• Låg nivå, t.ex. andra typer av certifikat, eller identifiering som baseras på PIN-kod eller motsvarande. PIN- koder bör undvikas när uppgifter kring enskild eller känsliga företagsuppgifter förekommer eller när uppgifter som lämnas ligger till grund för myndighetsbeslut.

Myndigheters e-tjänster bör i situationer där uppgifter kring enskild eller känsliga uppgifter kring företag förekommer bygga på hög eller medelhög säkerhetsnivå.

Vi bedömer att det under de närmaste två åren i första hand blir lösningar som bygger på lagring i arbetsplats (eller på diskett) som blir dominerande i hemmiljö. På några års sikt kommer lösningar som möter kraven på hög nivå att bli vanliga även i denna miljö. Dessa lösningar kan bygga på kort då kortläsare finns i mer standardiserad utformning, men också på andra tekniker som SIM-kort i mobiltelefoner m.m.

Utvecklingen torde på sikt leda till en ökad användning av elektronisk identifiering som bygger på en säkerhetsnivå som motsvarar hög nivå. Därmed kan även de e-tjänster som ställer mycket höga krav på säkerheten göras tillgängliga.

- Riksskatteverket får det sammanhållande ansvaret att vara Statens CA.
I uppgiften att vara Statens CA ingår att:

• utveckla och förvalta en statlig certifikatpolicy som beskriver hur PKI rekommenderas tillämpas för de statliga myndigheterna. Policyn kommer att innehålla villkor om åtaganden och ansvar. Policyn ska användas som underlag i upphandling enligt upphandlingslagen. Därmed uppnås förenlighet med näringsrättslig lagstiftning utan ytterligare behov av eller utrymme för författningsreglering.
• samordna de myndighetsgemensamma tjänster som krävs för att infrastrukturen för PKI-lösningar skall fungera väl.
• säkra en försörjning med e-id-handlingar grundat på gällande policy genom att samlat för staten samordna kraven inför upphandlingar av e-id-handlingar inklusive tillhörande tjänster.
• marknadsföra och informera olika intressentgrupper rörande certifikatpolicyn mm.
• regeringen i ett särskilt beslut uppdrar åt Riksskatteverket att utföra de uppgifter som ankommer på Statens CA. Riksskatteverket ska i sin roll som Statens CA samverka med Riksförsäkringsverket, Patent- och registreringsverket och Statskontoret. Det är önskvärt att ytterligare myndigheter deltar i detta samarbete. Efter hand torde emellertid en fastare och mer permanent organisation behövas för att administrera de uppgifter som ankommer på Statens CA. Behovet av eventuella författningsändringar samt huvudmannaskapet för Statens CA bör därför omprövas efter två år.
• Statens e-id-handling definieras. Gemensamma certifikatformat för funktionerna identifiering och kryptering respektive för signering har specificerats som förslag. De certifikat som erfordras för dessa funktioner, normalt minst två olika, utgör "Statens e-id-handling". Denna kan finnas antingen på aktivt kort eller lagrad i programvara. Fastställande av specifikationen kommer att ske i samband med kravformulering inför upphandling. E-id-handlingarna skall bland annat innehålla namn och personnummer.
• försörjningen av elektroniska id-handlingar för identifiering och elektroniska signaturer etableras genom att ett antal avtal upprättas med aktörer på marknaden. På grund av olika karaktär på erbjudanden kan aktörer och avtal delas in i två kategorier. Vår bedömning är att de bägge kanalerna nedan kan behöva utnyttjas för myndigheternas försörjning med e-id-handlingar.
• Aktörer som erbjuder identifierings- och signeringstjänster

Etablerade aktörer på marknaden, som har en stor kundbas för befintliga Internettjänster och en etablerad elektronisk infrastruktur. Dessa aktörer kan erbjuda sina kunder e-id-handlingar och myndigheterna erforderliga identifierings- och signeringstjänster. Aktörernas kunder kan sedan nyttja myndigheternas e-tjänster.

• Leverantörer av produkter och tjänster

Ramavtalen avseende e-id-handlingar och hantering av dessa, som utlämning/distribution av e-id-handlingar, spärrlistehantering och giltighetskontroll.

Denna försörjningsmodell utgör ett komplement och en reservlösning till alternativet ovan genom att myndigheterna denna väg kan förse vissa kundgrupper med e-id-handlingar.

• Statskontoret i samverkan med Statens CA genomför upphandlingar av ramavtal för e-id-handlingar:
• Identifierings- och signeringstjänster.
• Produkter och tjänster för e-id-handlingar. För dessa tecknas ramavtal.

Förslaget är utformat för att tillgodose de statliga myndigheternas behov i första hand. Vi ser det dock som angeläget att även kommuner och landsting väljer att utnyttja de ramavtal m.m. som tecknas samt att ta del av och efter egen bedömning utnyttja de rekommendationer m.m. som utvecklas inom ramen för Statens CA.

Kartläggning av myndigheternas behov

Inom ramen för projektet har en kartläggning genomförts av vilka planer som finns hos de större myndigheterna när det gäller kommunikation med medborgare och företag över Internet. Av den framgår att de flesta större myndigheterna nu har planer i olika avancerade skeden att kommunicera över Internet direkt med medborgare och företag i anslutning till de ärenden som berör dem. De planerade tillämpningar som har störst volym finns inom de myndigheter som handlägger transfereringar av olika slag (RFV, CSN, AMS, PPM) samt inom beskattningsverksamheten (RSV).

Det finns ett stort behov av stöd till myndigheterna att välja lämplig säkerhetsnivå genom bättre allmänt underlag för bedömning samt tydligare bild av kostnaderna för olika säkerhetslösningar.

PKI-teknik – en utgångspunkt inom uppdraget

I uppdraget har en central utgångspunkt varit att säkerheten, när det gäller identifiering och signering i de statliga myndigheternas kommunikation över Internet, skall baseras på PKI-teknik. Denna bygger på att man använder privata och öppna nycklar. Ett certifikat, utfärdat av en betrodd certifikatutfärdare styrker uppgifter om nycklarnas innehavare. En digital signatur ger uppgift om att den som utfärdar signaturen är den som anges i certifikatet, och ger också möjlighet till upptäckt av om signerade data har förvanskats.

Vidare innebär PKI-teknik att en nyckelinnehavare är helt ensam om sin hemlighet – den privata nyckeln. Detta till skillnad från andra metoder, där de båda parterna delar samma hemlighet. Detta gör att en PKI-lösning är bättre för identifikation, och om det uppstår tvist mellan de kommunicerande parterna.

Internationella aspekter

Den snabba globaliseringen gör att svenska företag och privatpersoner kan komma att ta direktkontakt med utländska organisationer liksom att utländska företag och privatpersoner uppträder som sökande eller kund till svenska myndigheter. Detta är redan i dag den normala vardagen för myndigheter som PRV och Tullen. Mot denna bakgrund anser vi att det är uppenbart att strukturen för hantering av certifikat och nycklar måste utformas så att den inte kommer i konflikt med en reellt gränsöverskridande användning.

Kostnads- och finansieringsfrågor

Eftersom marknaden för aktuella produkter och tjänster inte är mogen samtidigt som myndigheternas planer ännu är vaga kommer stor osäkerhet om kostnaderna att råda tills myndigheternas planerade användning preciserats och priser slutligt fastställs i en upphandling. Mot denna bakgrund kan vi här endast ge en grov bild av den kostnadsnivå som kan komma att gälla för de olika produkter och tjänster som planeras upphandlas.

Den första försörjningsalternativet, identifierings- och signeringstjänster, syftar till att på bred bas ge företag och enskilda tillgång till myndigheternas e-tjänster genom att större Internetaktörer ansluter sina befintliga kunder till myndigheternas e-tjänster. De diskussioner projektet haft med ett antal av de möjliga aktörerna pekar på att dessa sannolikt kommer att begära betalt per förmedlad transaktion. De kostnadsuppskattningar projektet här fått varierar dramatiskt. Efter vissa jämförelser med de erfarenheter som gjorts i Finland gör vi bedömningen att ett transaktionspris vid stora volymer kan uppskattas till motsvarande portokostnaden för ett brev.

I det andra alternativet avropar myndigheterna produkter och tjänster från aktuella leverantörer via ramavtal. Vi har efter diskussioner med några större aktörer uppskattat kostnaden för en programvarubaserad e-id-handling för en användare per år till i storleksordningen 120 kronor.

Statens CA kommer successivt att byggas upp. De samverkande myndigheterna ansvarar under de inledande två åren gemensamt för dimensionering och finansiering av Statens CA.

2 Uppdraget och dess genomförande

2.1 Regeringens uppdrag till Riksskatteverket

Regeringen uppdrog i beslut 2000-03-02 åt Riksskatteverket att i samverkan med Riksförsäkringsverket, Patent- och registreringsverket samt Statskontoret utreda och lämna förslag om hur ansvaret för utfärdande och administration av certifikat och elektroniska signaturer bör organiseras inom statsförvaltningen.

I uppdraget ingår :

- att närmare precisera vilka uppgifter som bör ligga på den som har det sammanhållande ansvaret för certifikathanteringen och överväga om någon särskild författningsreglering behövs. Förslag till finansiering av verksamheten skall redovisas. Överväganden skall därvid göras av vilka funktioner som behöver bedrivas i egen regi och vilka tjänster som kan upphandlas på marknaden. Möjligheterna till samverkan med banker och andra aktörer, såsom Posten, Telia och leverantörer av elektroniska id-kort för tjänstebruk, bör därvid tas tillvara i största möjliga utsträckning.

- att utifrån de behov och planer som nu föreligger vid myndigheterna identifiera vilka olika säkerhetsnivåer som inledningsvis behöver tillgodoses och att testa och ta i bruk möjliga lösningar redan under utredningstiden för att ge erfarenheter för myndigheternas fortsatta arbete med att utveckla sina elektroniska tjänster

- att klargöra ansvars- och rollfördelningen mellan olika aktörer, vad gäller bl. a. beställar- resp. utförarfunktioner, och överväga förutsättningarna för

Riksskatteverket eller någon av de övriga i uppdraget nämnda myndigheterna att ha ett sammanhållande ansvar för certifikathanteringen inom statsförvaltningen.

Riksskatteverket bör i genomförandet av uppdraget ta tillvara erfarenheterna från det utredningsarbete som redan gjorts och de utvecklingsinsatser som pågår inom olika myndigheter. En viktig kontaktpunkt bör därvid vara det råd som inrättats i anslutning till införandet av spridnings- och hämtningssystemet, det s. k. SHS-rådet.

Riksskatteverket bör också när det gäller arkivfrågor ha kontakt med Riksarkivet.

Riksskatteverket skall i sitt arbete beakta konsekvenserna av EG-direktivet om ett gemenskapsramverk för elektroniska signaturer och den lag som skall genomföra direktivet.

Riksskatteverket skall senast den 1 oktober 2000 i en rapport till regeringen redovisa sina överväganden och förslag.

2.2 Uppdragets bakgrund

Att tillgodose medborgarnas och företagens behov av förbättrad service, tillgänglighet och enkelhet när det gäller myndigheternas tjänster är ett grundläggande syfte för att åstadkomma säker elektronisk kommunikation. Allt flera statliga myndigheter ser elektroniskt informationsutbyte och elektroniska tjänster som en möjlighet att etablera vad man kallar "24-timmarsmyndigheten". Detta förutsätter att en fungerande infrastruktur säkerställs som möjliggör identifiering av medborgare och organisationer över Internet liksom elektronisk signering och säker datakommunikation.

Regeringen gav den 23 juni 1999 Statskontoret i uppdrag att utreda behoven av åtgärder för att tillgodose kraven på säker elektronisk överföring av dokument och meddelanden till, från och inom statsförvaltningen.

Statskontoret har i en rapport till regeringen den 1 februari 2000 redovisat en första etapp av utredningsarbetet. Till rapporten är fogade samrådsyttranden från de myndigheter som Statskontoret samverkat med i utredningsarbetet, nämligen Riksskatteverket, Riksförsäkringsverket, Patent- och registreringsverket, Centrala studiestödsnämnden, Arbetsmarknadsstyrelsen och Lantmäteriet. Alla myndigheterna har i sina samrådsyttranden i allt väsentligt ställt sig bakom de förslag som Statskontoret lämnar om inriktningen på det fortsatta arbetet.

Statskontoret har i sin rapport analyserat vilka säkerhetsfunktioner som behövs i olika sammanhang. Den tekniska lösning som Statskontoret i enlighet med sitt uppdrag har utgått ifrån bygger på krypteringsteknik och elektroniska signaturer. I sådana system ingår att det måste finnas certifikat och andra tjänster för hantering av de kryptonycklar som används. Statskontoret har analyserat vilka krav som bör ställas på de elektroniska signaturerna och certifikatutfärdarna.

I sin rapport har Statskontoret också övervägt olika vägar att tillgodose statsförvaltningens behov av certifikat och tjänster. Enligt Statskontorets bedömning behövs särskilda insatser för att skapa en för statsförvaltningen gemensam funktion med ansvar för utfärdande och hantering av nyckelcertifikat och elektroniska signaturer. Statskontoret föreslår därför att regeringen uppdrar åt Riksskatteverket att i samarbete med Riksförsäkringsverket, Patent- och registreringsverket samt Statskontoret utarbeta förslag till en sådan funktion.

Behoven av säker elektronisk kommunikation inom statsförvaltningen ökar i takt med att allt fler statliga myndigheter ser möjligheter att förbättra sin service och effektivisera sin verksamhet genom elektroniskt informationsutbyte och elektroniska tjänster av olika slag till medborgare och företag.

Inom vissa områden finns redan idag väl fungerande system för elektronisk dokumenthantering. Det gäller bl. a. inom tull- och skatteadministrationen där informationsutbytet med företagen i stor utsträckning sker elektroniskt. En utveckling av elektroniska tjänster som kan förenkla kontakterna med såväl företag som medborgare pågår eller planeras i många myndigheter.

Inom Riksförsäkringsverket är inriktningen bl. a. att ett nytt IT-stöd och en ökad grad av självbetjäning skall medverka till att öka service och tillgänglighet, förkorta handläggningstiderna, öka kvaliteten i besluten och minska resursbehoven vid de allmänna försäkringskassorna. Vidareutveckling planeras av befintliga Internettjänster inom, sjuk- och föräldraförsäkring samt inom pensionsområdet. Detta kommer att ge allmänheten ökade möjligheter att via Internet sköta sina kontakter med försäkringskassorna. Högfrekventa tjänster som anmälan och försäkran för att få ersättning i form av sjukpenning eller tillfällig föräldrapenning över Internet kommer att utgöra en väsentlig del av ärendehandläggningen.

Inom Riksskatteverket pågår ett motsvarande arbete som bl. a. inriktar sig på att införa möjligheter för företagen att lämna sina månatliga deklarationer elektroniskt. Inom ramen för sitt ansvar för folkbokföringen och det centrala aviseringsregistret planerar verket också att enskilda i framtiden skall kunna göra flyttningsanmälan elektroniskt.

Tillsammans med Patent- och registreringsverket bedriver Riksskatteverket också ett projekt för att möjliggöra elektronisk kommunikation vid start av nya företag. Patent- och registreringsverket strävar därutöver inom alla sina verksamhetsområden efter att snarast införa elektronisk ingivning av ansökningar (patentmönster, varumärken, namn, bolag etc.). Flera av dessa tjänster kommer därvid att vara beroende av internationell och europeisk standardisering.

Behoven av och förutsättningarna för en ökad elektronisk kommunikation övervägs även av en rad andra myndigheter och olika utvecklingsprojekt pågår inom bl. a. Lantmäteriet, Centrala studiestödsnämnden och Arbetsmarknadsstyrelsen.

Gemensamma säkerhetslösningar för den offentliga förvaltningen har tidigare utretts bl. a. inom ramen för Toppledarforum, som var ett informellt samverkansorgan i IT-frågor mellan stat, kommun och landsting. I detta arbete har överväganden gjorts om möjligheterna att utveckla användningen av s. k. smarta eller aktiva kort inom den offentliga förvaltningen i första hand för tjänstebruk och i ett längre perspektiv även för att förenkla kontakterna med medborgare och företag. Som ett resultat av detta arbete har en ramavtalsupphandling av sådana kort för tjänstebruk gjorts av Statskontoret. Ett annat initiativ har tagits av Riksskatteverket och Riksförsäkringsverket som tillsammans har utvecklat det s. k. spridnings- och hämtningssystemet, som syftar till att standardisera den elektroniska kommunikationen mellan myndigheterna. En upphandling av systemet har nyligen genomförts av Statskontoret.

Inom den finska statsförvaltningen pågår också en utveckling av säkerhetslösningar baserade på smarta kort. Inriktningen på detta arbete är att alla medborgare skall, för en mindre kostnad, erbjudas smarta kort som ger möjlighet till elektronisk kommunikation med bl. a. de statliga myndigheterna. Utfärdandet av sådana kort skall ske i samverkan mellan befolkningsregistret och polisen, som redan idag ansvarar för nationella id-kort.

Europaparlamentet och Europeiska Unionens råd har den 30 november 1999 antagit ett direktiv om ett gemenskapsramverk för elektroniska signaturer (1999/93/EG). I en departementspromemoria från Näringsdepartementet (Ds 1999:73) redovisas förslag som syftar till att genomföra EG-direktivet i Sverige. Direktivet föreslås genomföras genom en ny lag, lagen om kvalificerade elektroniska signaturer m.m. som skall träda i kraft den 1 januari 2001. Förslaget har remissbehandlats och en proposition (1999/2000:117) har lämnats till riksdagen under våren 2000.

2.3 PKI som säkerhetsmetod för säker identifiering och elektroniska signaturer

PKI-teknik – en utgångspunkt inom uppdraget

I uppdraget har en central utgångspunkt varit hur PKI-tekniken skall praktiskt tillämpas i de statliga myndigheternas kommunikation över Internet. PKI-teknik innebär att man använder metoden med privata och öppna nycklar. Ett certifikat, utfärdat av en betrodd certifikatutfärdare styrker uppgifter om nycklarnas innehavare. En digital signatur ger uppgift om att den som utfärdar signaturen är den som anges i certifikatet, och ger också möjlighet att upptäcka om signerade data har förvanskats. PKI-teknik kan användas för säker identifiering genom så kallad stark autenticering, för att skapa elektroniska signaturer och för att kryptera data mellan användare.

PKI-tekniken skyddar väl mot avlyssning, eftersom identifieringen bygger på att ett slumptal krypteras, och att resultatet därför ser olika ut från gång till gång. Det går alltså inte att avlyssna trafiken och upprepa identifieringsprocessen.

Vidare innebär PKI-teknik, som innebär asymmetrisk kryptering, att en nyckelinnehavare är helt ensam om sin hemlighet – den privata nyckeln. Detta till skillnad från symmetriska metoder, där de båda parterna delar samma hemlighet. Detta gör att en PKI-lösning bör vara bättre som identifikation, och när det uppstår tvist mellan de kommunicerande parterna.

Identifieringsfunktion

En säker identifiering bidrar till att myndigheten är säker på vem som lämnat uppgifter. Det gör det också möjligt för myndigheten att visa information som finns hos myndigheten som rör individen eller företaget i fråga, men som andra inte skall ha tillgång till.

Med digitala signaturer på data, eller med stark autenticering vid uppkoppling mot en tjänst, erhålls en god identifiering.

Stark autenticering innebär att den som skall identifieras sätter sin digitala signatur på slumpdata som kommer från den mottagande servern. Det är alltså samma teknik som används för att göra en elektronisk signatur, med den skillnaden att inga överförda data är signerade, det är endast en identifikation. Efter autenticering kan servern etablera en säker, krypterad förbindelse, och veta att inmatade data kommer från en känd källa.

Elektronisk signatur med certifikat ger samtidigt ett förvanskningsskydd, och kan användas för underskrifter

PKI-teknik är för närvarande den bästa metoden att åstadkomma en elektronisk signatur. Användning av den tekniska metod som brukar betecknas digital signatur innebär förutom identifiering av nyckel- och certifikatinnehavaren också att data skyddas mot oupptäckt förvanskning. Detta ger fördelar jämfört med metoder som enbart erbjuder identifiering såsom t.ex. symmetrisk kryptering, engångslösenord eller PIN-koder.

Metoder för identifiering som inte bygger på PKI

Flera av de större bankerna har för sina kunder dosor för autenticering av användare, vilka består av ett litet teckenfönster och siffertangenter. Kunden matar in en sifferföljd som behandlas i dosan och dosan ger ett engångslösenord som förs in på webbsidan. Dessa bygger tekniskt sett på symmetriskt krypto, och innebär alltså att banken delar hemligheten med kunden. På motsvarande sätt har andra banker engångslösenord som distribueras med papper och skrapas fram ett efter ett. Dessa engångslösenord ger tillfredställande säkerhet när det gäller identifiering av kunden, men kan inte användas för signering. De är också knutna till sin utfärdare, och inte möjliga att använda mot en tredje part.

Engångslösenord kan användas för att åstadkomma en säker identifiering och i samband med detta kan nycklar skapas och ett certifikat utfärdas till den identifierade personen. Det är en sådan tjänst som bankerna sagt sig kunna erbjuda myndigheterna, dvs. att dra nytta av den investering bankerna gjort i att identifiera sina kunder.

Skydd av privata nycklar och säker miljö i signeringsutrustning

PKI-tekniken står och faller med hur säkert nycklar och de lösenord som ger tillgång till privata nycklar förvaras. Ofta används begreppen hårda och mjuka nycklar, och man talar också om hårda och mjuka certifikat som hör till dessa nycklar.

Med hårda nycklar avses sådana som förvaras i någon form av hårdvara, t.ex. i ett aktivt kort eller annan utrustning som är avsedd för ändamålet. Detta betraktas som den säkraste lösningen, nycklarna lämnar aldrig kortet och kan därför inte exponeras för omvärlden. Ett säkert operativsystem i datorn ger motsvarande säkerhet. Ett hårt certifikat, en inte helt adekvat benämning, innebär ett certifikat där den tillhörande privata nyckeln kan betecknas som "hård".

Även i en bankdosa ligger beräkningsnyckeln väl skyddad, men är som tidigare nämnts inte unik, utan samma information finns hos banken.

Så kallade mjuka nycklar ligger lagrade på en dators hårddisk eller på en diskett, skyddade av kryptering. När nycklarna skall användas, är de emellertid inte krypterade. När nycklarna inte är skyddade av hårdvara så är de känsliga för attacker av virus, för intrång i datorer med mera. Risken för intrång ökar när bredbandsuppkoppling blir vanlig, och privatpersoners datorer ständigt ligger anslutna till Internet utan de brandväggsfunktioner som är vanliga i myndigheternas tekniska miljöer.

3 Kartläggning av myndigheternas planer avseende lanseringen av elektroniska tjänster och relaterade säkerhetsbehov

I regeringens uppdrag till RSV ingår bl.a. att utifrån de behov och planer som nu föreligger vid myndigheterna identifiera vilka olika säkerhetsnivåer som inledningsvis behöver tillgodoses och att testa och ta i bruk möjliga lösningar redan under utredningstiden för att ge erfarenheter för myndigheternas fortsatta arbete med att utveckla sina elektroniska tjänster (e-tjänster). Mot bakgrund av detta har projektet genomfört en kartläggning av planerna hos ett antal myndigheter när det gäller kommunikation med medborgare och företag över Internet. Kartläggningen redovisas i sin helhet i bilaga 1.

Kartläggningen visar att de flesta större myndigheterna nu har planer i olika avancerade skeden att kommunicera över Internet direkt med medborgare och företag i anslutning till de ärenden som berör dem. De planerade tillämpningar som har störst volym finns inom de myndigheter som handlägger transfereringar av olika slag (RFV, CSN, AMS, PPM) samt inom beskattningsverksamheten (RSV). Där finns också mycket närliggande planer. PPM driftsätter t.ex. i september rutiner där pensionsspararna över Internet kan välja fonder för pensionssparandet. Tidigt 2001 planerar RSV att driftsätta rutiner för företagen att lämna de periodiska skattedeklara-tionerna över Internet. RFV planerar vidareutveckla befintliga Internettjänster inom, sjuk- och föräldraförsäkring samt inom pensionsområdet. Högfrekventa tjänster som anmälan och försäkran för att få ersättning i form av sjukpenning eller tillfällig föräldrapenning över Internet kommer att utgöra en väsentlig del av ärendehandläggningen.

En avgörande svårighet för nästan samtliga myndigheter i samband med dessa planer är säkerheten i kommunikationen över Internet. Det är två frågor som dominerar. Den ena gäller vilken säkerhetsnivå som kan vara lämplig för en viss planerad rutin. Den andra gäller, i de fall man funnit att säkerhetskraven motiverar lösningar med PKI-teknik, försörjningen med e- id-handlingar med nycklar, certifikat etc. till de individer och företag som man kommunicerar med. Frågorna vad gäller försörjningen gäller hur man skall åstadkomma den, vilken kostnaden blir för denna försörjning för olika säkerhetslösningar samt hur kostnaderna skall finansieras. I en stor mängd av de planerade tillämpningarna används för närvarande blanketter som skrivs under i kommunikationen med allmänheten. De säkerhetsnivåer som främst diskuteras för dessa tillämpningar motsvarar kvalificerade certifikat, dock finns en osäkerhet i vilken utsträckning man behöver ha hårda e-id-handlingar (kortbaserade) eller om man kan använda sig av mjuka e-id-handlingar (för lagring i arbetsplats eller på diskett).

Den preliminära bedömningen är att det är personanknutna e-id-handlingar som behövs, och att företag och andra organisationer som myndigheterna kommunicerar med får ange vilka personer som är behöriga att elektroniskt signera kommunikationen från företaget eller organisationen. Flera av myndigheterna har planer på att byta eller anskaffa nya tjänstekort. De flesta av dessa är positiva till att då inkludera personcertifikat i tjänstekorten, både för att nå en bättre spridning av personcertifikaten och för att få en större samlad volym i en eventuellt kombinerad upphandling av tjänstekort och e-id-handlingar att användas i den externa kommunikationen.

Det har under kartläggningen blivit uppenbart att det är svårt för den enskilda myndigheten att kunna välja en lämplig säkerhetsnivå. Stöd krävs därför i bedömningen av lämplig nivå och lösning och också när det gäller att bedöma kostnaden för olika lösningar. De flesta myndigheterna anser att det krävs samordning så att likartade tillämpningar från olika myndigheter inte bedöms helt olika när det gäller säkerhetsnivå.

Flera exempel som redovisas från myndigheterna visar att frågan om hur kommunikationen sker mellan myndigheter ofta är väl så viktig både för att nå effektivitet i den egna verksamheten och för att ge god service till omvärlden. Kraven ökar på snabb interaktiv kommunikation mellan myndigheterna, och för att kunna tillgodose det till rimliga kostnader krävs standardiserade lösningar för myndighetskommunikationen.

Grundat på erfarenheterna under kartläggningen är bedömningen att de främsta samordningsbehoven gäller lösningarna med PKI-teknik, samt att samordnade lösningar kommer att krävas både vad gäller hårda och mjuka e-id-handlingar. Samordning kan också behövas för andra säkerhetslösningar, men dessa har lägre prioritet för tillfället.

4. Marknadens aktörer, produkter och tjänster

I regeringsuppdraget till Riksskatteverket ingår att göra överväganden av vilka funktioner som behöver drivas i egen regi och vilka produkter och tjänster som kan upphandlas på marknaden. Möjligheterna till samverkan med banker och andra aktörer, såsom Posten, Telia och leverantörer av elektroniska id-kort för tjänstebruk, bör därvid tas tillvara i största möjliga utsträckning. Några av de dominerande aktörerna och det produkt- och tjänsteutbud dessa presenterat för projektet beskrivs nedan.

4.1 Bankerna

De olika bankerna är nästan alla etablerade aktörer på marknaden för elektroniska Internetbaserade tjänster. Tillsammans har bankerna idag ca 2 milj. kunder till sina Internetbanklösningar, av vilka alla eller de flesta direkt kan betraktas som potentiella kunder till myndigheternas e-tjänster.

4.1.1 Bankernas tjänsteerbjudande

Bankerna har planer på att kunna erbjuda marknaden identifierings- och signeringstjänster i enlighet med ett gemensamt tjänsteupplägg enligt följande beskrivning:

Bankernas lösning bygger således på att kunderna redan tidigare identifierats på ett säkert sätt då de hämtat nuvarande säkerhetslösning (t.ex. dosa). Bankens kund (medborgare, företag) identifierar sig med denna säkerhetslösning (vid ett tillfälle) och får då en mjuk e-id-handling med nycklar och certifikat av banken och med hjälp av denna kan kunden sedan nyttja förvaltningarnas e-tjänster. Banken svarar därefter för kontroll av e-id-handlingens giltighet.

4.1.2 Prissättningsfilosofi

Kostnaden för giltighetskontrollen av kundernas e-id-handlingar avser bankerna debitera förvaltningarna genom att ta betalt för användningen, sannolikt baserad på antalet transaktioner. Kostnadsnivån är för närvarande dock inte känd, men med tanke på de tilläggsvärden denna tjänst förväntas ge bankerna i relationen till sina egna kunder, borde kostnaden för denna tjänst kunna ligga på en låg nivå.

4.1.3 En bankgemensam affärsmodell

Utgångspunkten för det av bankerna beskrivna gemensamma tjänsteerbjudandet är en samarbets- och affärsmodell, som bygger på att myndigheterna (och andra företag/organisationer) kan teckna avtal med en enda bank. Varje person som är kund hos en bank ska sedan erbjudas åtkomst till alla e-tjänsterna, oavsett vilken bank tjänsteproducenten inom förvaltningen tecknat avtal med. Se nedanstående Figur 2.

Bankerna planerar alltså att tillämpa ett clearingförfarande som gör att deras ekonomiska mellanhavanden kan regleras i enlighet med kundernas bruk av e-tjänster och vilka banker som från fall till fall stått för den erforderliga kontrollen av e-id-handlingens giltighet. Det är sannolikt att de mindre bankerna kommer att medge anslutning av sina kunder via t.ex. Bankgirot. Eventuellt kommer därför giltighetskontrollen av rationella skäl att koncentreras till ett fåtal bankaktörer.

4.2 Posten

Postens primära förslag bygger på att Posten skulle fungera som ett nav i informationsförmedlingen mellan aktörerna inom den offentliga sektorn samt mellan dessa och deras kunder inom den privata sektorn (företag och medborgare), se nedan Figur 3.

Detta förslag är dock mer att betrakta som ett helhetsåtagande avseende elektronisk tjänsteförmedling mellan förvaltningarna och deras kunder än som av projektet efterfrågad utgivning av e-id-handlingar och tillhandahållande av identifierings- och signeringstjänster.

4.2.1 Posten som förmedlare av e-tjänster mellan förvaltningen och dess kunder

Posten har en stor erfarenhet i rollen som fysisk meddelande- och godsförmedlare. Posten har dock inte hittills lyckats etablera något elektroniskt nätverk mellan sig och sin stora kundbas. Posten är i motsats till bankerna ingen etablerad aktör på marknaden för elektroniska Internetbaserade tjänster.

Postens vill nu erbjuda förvaltningarna ett heltäckande tjänsteutbud för automatisering av sin s k omvärldsdialog. För att skaffa sig förutsättningar för detta, kommer Posten samtidigt att snabbt försöka bygga upp en kundbas för elektroniska informationstjänster bland företag och privatpersoner.

Postens förslag bygger på konceptet ePost-Portalen, se Figur 3.

Konceptet ePostportalen erbjuder bl.a. följande funktionalitet:

SHS (Spridnings- och HämtningsSystemet) spelar en framträdande roll i Postens koncept och hela upplägget har i tidigare presentationer från Posten positionerats som en SHS-portal. Fördelen med detta är att Posten vill medverka till ett snabbt och brett införande av SHS. Detta förbättrar myndigheternas möjligheter att lansera e-tjänster på ett standardiserat sätt.

4.2.1.1 Prissättningsfilosofi

Posten grupperar tjänsterna inom ePostPortal-konceptet i dialogtjänster resp. innehållstjänster. Utifrån projektets behov är antagligen endast dialogtjänsterna intressanta.

Dialogtjänsterna planeras ha en bruksbaserad prissättning. Konceptet erbjuder en lösning där tjänsteproducenten tjänst för tjänst kan bestämma vilken part som ska betala (kunden eller tjänsteproducenten själv). Huruvida prissättningen kommer att bygga på ren förbrukning (antal transaktioner eller ärenden) eller på en uppskattad volym av transaktioner/ärenden per tidsperiod är inte känt.

4.2.2 Posten som leverantör av e-id-handlingar och relaterade CA-tjänster

Posten är en av Statskontorets två ramavtalslevarantörer för utgivning av e- id-handlingar (såväl på aktiva kort som i programvara) och relaterade CA-tjänster. Nuvarande ramavtal är i kraft till 2001-08-31.

Frågan om hur giltighetskontrollen av e-id-handlingarna ska ske då volymerna är stora är ett exempel på en viktig frågeställning som måste hanteras - genom att varje enskild transaktion går via Posten eller genom att tjänsteproducenterna (dvs. myndigheterna) regelbundet hämtar hem spärrlistorna från Posten. Samma frågeställning är även aktuell för den tidigare redovisade banklösningen även om den av bankerna hitintills beskrivna lösningen inte bygger på spridning av spärrlistor.

4.3 Teleoperatörerna

Eftersom marknadstäckning och befintlig kundbas är de viktigaste kraven på en teleoperatör som aktör mot myndigheterna, har projektet valt att som ett exempel belysa Telias möjligheter.

4.3.1 Telias möjligheter i rollen som etablerad ISP (Internet Service Provider)

I likhet med Posten har Telia, i alla fall för närvarande, en kundbas som omfattar de flesta hushåll samt majoriteten av aktörerna såväl inom den privata som den offentliga sektorn. I motsats till Posten har Telia dessutom lyckats knyta upp nära hälften av de svenska företagen som Internetkunder. Vidare är ca 25% av de Internetanslutna hushållen Telias kunder.

Mot denna bakgrund har Telia goda möjligheter att förse sin befintliga Internetkundbas med en statlig e-id-handling och relaterade tjänster för ett säkert informationsutbyte med förvaltningarna. Här kan Telia välja att svara för giltighetskontrollen för myndigheternas räkning eller att erbjuda myndigheterna att själva hämta hem aktuella spärrlistor

4.3.2 Prissättningsfilosofi

Telia skulle således kunna paketera e-id-handlingar, eventuella kort/kortläsare samt tillgången till erforderliga CA-tjänster som en tilläggstjänst till det normala Internetabonnemanget. Prismässigt kommer detta självfallet att påverka månadsavgiften.

Påverkan på priset för slutkunden kan dock begränsas då:

4.3.3 Telia som leverantör av e-id-handlingar och relaterade CA-tjänster

Telia är den andra av Statskontorets två ramavtalslevarantörer av e-id-handlingar (såväl på aktiva kort som i programvara) och relaterade CA-tjänster. Nuvarande ramavtal är i kraft till 2001-08-31.

Den prissättningsmodell som Telia har redovisat bygger på antalet levererade e-id-handlingar. Därefter får respektive myndighet hämta hem spärrlistorna från Telia för att sedan själva göra giltighetskontrollen. Om så önskas kan Telia för myndigheternas räkning svara för giltighetskontrollen.

4.4 Övriga aktörer

4.4.1 Intresse- och branschorganisationer

Det finns ett antal intresse- och branschorganisationer som idag förser sina medlemmar med "säkra Internetabonnemang", ofta med det primära målet att ge medlemmarna möjlighet att nyttja den egna organisationens informationstjänster.

Flera av dessa organisationer har framfört intresse av att kunna erbjuda sina medlemmar åtkomst till myndigheternas e-tjänster via den befintliga infrastrukturen.

4.4.2 Arbetsgivare

De flesta större myndigheterna, bankerna m fl. förser idag sina anställda med s.k. tjänstekort, dvs. ett e-id-kort försett med tjänstecertifikat eller annan säkerhetsprogramvara, som används av de anställda då de loggar in på verksamhetens egna IT-system.

Av dessa har speciellt myndigheterna visat intresse för att vid sidan av de egna certifikaten/programrutinerna kunna lägga in statens e-id-handling (som id-certifikat) på det egna tjänstekortet. Detta skulle ge de anställda möjlighet att via egen hem-PC få åtkomst till myndigheternas e-tjänster.

Myndigheterna har även möjligheten att på sikt kunna avstå från de egna specifika tjänstekorten och i stället börja använda "neutrala" id-kort försedda med statens e-id-handling även för den interna hanteringen. dvs. e-id-handlingen kan nyttjas som såväl tjänstecertifikat som id-certifikat.

4.5 Analys av lösningsmodell där många CA är leverantörer av certifikat för statliga tillämpningar

I Statskontorets rapport till regeringen 2000:7 föreslogs följande:

Tillgång till certifikat - etablera Statens CA

Statskontoret anser att en Statens CA behöver etableras vid någon myndighet, för att tillgång till certifikat och andra behövliga tjänster skall säkras. Etableringen skall dock föregås av en närmare kostnads- och behovsanalys hos några stora myndigheter.

Att driva denna tjänst kan upphandlas om myndigheten så önskar. Statens CA bör vara konstruerad så att den har avtal med flera utfärdare av certifikat, t.ex. utfärdare av elektroniskt id-kort, så att den som har ett certifikat från en med statens avtalsbunden utfärdare kan erhålla nytt certifikat från Statens CA via nätet.

Statens CA skall erbjuda erforderlig katalogtjänst för spärrning av certifikat, funktion för tidsstämpling och kundtjänst.

Detta förslag innebar sålunda att de statliga tillämpningarna alla använde certifikat från en enda CA, vilken i sin tur kunde använda andra CA eller liknande som samarbetspartners för att underlätta identifieringsprocessen.

Konsekvenser av många CA

För att ett certifikat skall vara användbart måste en användare kunna veta att det är rätt CA som har signerat certifikatet. En användare måste få tillgång till CA-certifikat på ett säkert sätt, ibland med manuella metoder. Vissa CA-certifikat finns förinstallerade i webbläsare.

När samma CA erbjuder certifikat av olika säkerhetsnivå måste man också känna till vilken säkerhetsnivå som gäller för det aktuella certifikatet Detta framgår av CA:s policy.

Nedanstående alternativ kan övervägas, för att hantera situtationen med att det existerar många accepterade certifikatutfärdare:

Alternativ 1: Alla certifikat är utfärdade av Statens CA. Andra aktörer kan användas för att underlätta identifieringen av användare, t.ex. genom den elektroniska identifiering som de använder för sina egna tjänster. Statens CA håller själv med spärrlista. Detta alternativ överensstämmer med Statskontorets förslag i rapporten 2000:7 enligt ovan.

Detta alternativ är det mest kostsamma. Säkerhetskraven är höga, då Statens CA kommer att ha en "huvudnyckel" för all signering. Statens CA kommer i detta alternativ att upphandla erforderliga administrations- och drifttjänster. Stor vikt måste då läggas vid fördelning av ansvar.

Fördelar är att det blir enkelt för myndigheter och små aktörer som erbjuder tjänster att endast behöva hantera en CA, och en spärrlista.

Nackdelen är att det skapas en monopolsituation vilket strider mot EU-direktivet om kvalificerade certifikat där man förutsätter en fri etableringsrätt av CA-aktörer. Samtidigt är marknadens aktörer inte intresserade av att bidra med sina kunder om det endast handlar om en engångsintäkt, att hjälpa myndigheter med identifiering.

Alternativ 2: Statens CA utgör en "toppnod", som signerar CA-certifikaten med sitt rotcertifikat för de CA som är accepterade.

Detta alternativ förenklar förfarandet när myndigheten skall verifiera att en känd CA är den som har signerat användarens certifikat. Genom att CA-certifikatet i sin tur är signerat av en gemensam topp-CA, "Statens CA", räcker det att till alla myndighetsservrar på ett säkert sätt sprida information om Statens CA:s s.k. rotcertifikat. De CA som signeras av Statens CA är också godkända för användning i myndigheternas tjänster.

Nackdelen med lösningen är att det kan vara kostsamt och krävande att komma igång med att etablera en toppnod. Säkerhetskraven är höga, då denna CA kommer att ha en "huvudnyckel" för all signering. Statens CA kommer i detta alternativ upphandla tjänsten att administrera och driva en toppnod. Stor vikt måste då läggas vid fördelning av ansvar.

Alternativ 3: Det finns en förteckning över godkända CA och godkända policies. Denna information sprids av Statens CA till samtliga statliga webbservers.

Fördelar med alternativ 3 är att det går snabbt att komma igång med etablerade CA på marknaden. Många avtal kan träffas, och man kan därmed utnyttja befintliga aktörer, vilka redan har en kundrelation till användaren.

Nackdelen är att information om vilka CA som är accepterade måste spridas av Statens CA till samtliga statliga eller offentliga webbservrar, och att denna lista måste hållas väl uppdaterad. Listan måste spridas på ett säkert sätt, t.ex. signerad av Statens CA.

Vidare måste all programvara kunna hantera de olika CA:s varianter på spärrkontroll. Vissa CA kan till exempel tänkas erbjuda kontroll av spärrlista on-line. Det finns inte mycket programvara som kan hantera detta. När det gäller kontroll via spärrlistor, CRL, kan det uppstå problem med olika katalogstrukturer hos de olika aktörerna.

Sammantaget kan detta leda till en tung hantering för e-tjänstemyndigheter-nas utveckling av tillämpningar och drift. En lösning här kan vara att Statens CA tillhandahåller en generell applikation till myndigheterna som hanterar de aktuella CA:s olikheter. Statens CA kan också samlat tillhandahålla CA-aktörernas publika spärrlistor.

Slutsats:

Vi föreslår handlingsvägen att inledningsvis börja med alternativ 3, för att utveckla denna lösning mot alternativ 2, med en topp-nod. Det är ett tungt vägande skäl att denna handlingsväg bäst utnyttjar befintliga aktörer på marknaden.

5 Tillämpning av säkerhetslösningar inom de statliga myndigheterna

Från genomgången av behoven hos de statliga myndigheterna framgår att det är två områden som vållar bekymmer hos myndigheterna

• Att få en grund för att bedöma säkerhetskraven i de egna tillämpningarna inom myndigheterna och att också få en rimligt ensartad bedömning mellan olika myndigheter.
• Att förstå fördelar och nackdelar säkerhetsmässigt, kostnadsmässigt, i det praktiska hanteringen m.m. hos de olika säkerhetslösningar som finns, t. ex mellan mjuka och hårda nycklar.

Eftersom detta har uppfattats som ett problem för myndigheterna har därför arbete initierats för att ge ett bättre underlag i dessa frågor. Likaså har arbete inletts för att specificera en statlig e-id-handling dvs. utformningen av nycklar, certifikat m.m. för de statliga tillämpningarna. Arbetet redovisas i Statskontorets rapport 2000:40 "Elektroniska signaturer och elektronisk identifiering för myndigheters e-tjänster" och sammanfattas kort i detta avsnitt.   

5.1 För- och nackdelar med olika tekniker

PKI-teknik

I avsnitt 2.3 beskrevs skillnaderna mellan s.k. mjuka (datorlagrade) och hårda (kortlagrade) nycklar. Risker för intrång finns i bägge fallen men förutsättningarna är något olika. Den egentliga skillnaden är att användning av en nyckel i ett kort kräver tillgång till detta kort och kortets/nyckelns PIN-kod. I fallet med mjuka nycklar krävs tillgång till PIN-koden eftersom vi bör kunna förutsätta att nyckeln är krypterad med tillräcklig säkerhet. I mjuknyckelfallet måste man också ha tillgång till användarens arbetsplats, som ju normalt bör stå tämligen skyddad hemma eller på en arbetsplats medan kortfallet "bara" kräver att användaren blir av med sitt kort och sin PIN-kod och en inkräktare får tag på dem. Å andra sidan skulle åtkomsten till arbetsplatsen (i det "mjuka" fallet) kunna ske via en bredbandsuppkoppling. Den största risken torde vara att mjuka nycklar och lösenord/PIN-koder avläses i okrypterat skick av intrångsprogram eller virus, utan att användaren är medveten om att så har skett.

I bägge fallen står och faller säkerheten med hur säkert nycklarna förvaras. I fallet med mjuka nycklar ökar kraven på säkerhet i datormiljön, både vad gäller fysisk access till datorn och den programvarumässiga säkerheten och speciellt att nycklarna alltid lagras krypterat utom i själva användnings-tillfället (signering m.m.).

Certifikaten och andra identitetshandlingar som används över nät måste hanteras och lämnas ut med samma omsorg som traditionella identitetshandlingar. Någon gång under processen skall personen infinna sig personligen och identiteten fastställas. Detta kan ske genom att ett aktivt kort eller ett lösenord till ett certifikat kvitteras ut av en bankkassörska, eller på Posten med ett rekommenderat brev. Identifiering med arbetsgivares hjälp förekommer också.

PKI-tekniken bygger på förtroendet för certifikatutfärdaren. Denne utfärdar certifikaten och de organisationer som utnyttjar dem förlitar sig på dem. Det gör att tekniken är lämpad för relationer en-till-många, ett certifikat kan alltså användas i flera sammanhang, medan t.ex. engångslösenord förutsätter en en-till-en-relation.

Lösningar som inte bygger på PKI eller annan kryptoteknik.

Det finns enklare lösningar än PKI-teknik för att åstadkomma identifiering. Det är vanligt, t.ex. i telefonbanker och liknande, att man identifierar användare med en PIN-kod. PIN-kod, lösenord och biometriska metoder har nackdelen att de ser likadana ut vid varje tillfälle. Det gör att risken finns att information snappas upp över ett öppet nät, och sedan används för att simulera den rättmätige kodinnehavaren. Denna risk är relativt stor, eftersom det är lätt att helt anonymt, och i stor skala samla på sig lösenord och koder. Det finns därför normalt begränsningar i vad man får göra med denna identifikation. I banksammanhang t.ex. är tjänster som bygger på PIN-kod begränsade till transaktioner mellan egna konton.

Påverkan från lagar

I svensk lagstiftning kommer att införas en lag om kvalificerade elektroniska signaturer. Denna lag, och det bakomliggande EG-direktivet, kommer att kompletteras med europeiska standarder. Utvecklingen av dessa standarder pågår och kommer att beröra regelverk för certifikatutfärdare, certifikatformat, godkänd utrustning för signering i användarens dator med mera.

Ett kvalificerat certifikat kräver att de tillhörande privata nycklarna förvaras under användarens fullständiga kontroll. Detta kommer med mycket stor sannolikhet att innebära att det krävs ett säkert operativsystem, eller någon form av hårdvara, t.ex. ett aktivt kort för nyckelförvaring. S.k. mjuka nycklar kommer inte att uppfylla kraven.

Internationella aspekter

Säkerhet i samband med e-tjänster är inget som står på agendan enbart i Sverige. I Finland har man skapat ett e-id-kort med vilket medborgarna kan nå de statliga myndigheternas e-tjänster, och i flera EU-länder liksom i USA, Japan och Australien finns många avancerade projekt.

Den snabba globaliseringen gör att svenska företag och privatpersoner kan komma att ta direktkontakt med utländska organisationer liksom att utländska företag och privatpersoner uppträder som sökande eller kund till svenska myndigheter. Detta är redan i dag den normala vardagen för myndigheter som PRV och Tullen. Mot denna bakgrund anser vi att det är uppenbart att strukturen för hantering av certifikat och nycklar måste utformas så att den inte kommer i konflikt med en reellt gränsöverskridande användning.

Andra organisationers bedömningar

De svenska bankerna använder i sina lösningar för Internetbanker eller symmetriska metoder såsom dosor eller engångslösenord, alternativt PKI-lösningar med mjuka nycklar. Internetbankerna utgör den i särklass största praktiska användningen av elektronisk identifiering över Internet, och har idag ca 2 miljoner kunder i Sverige.

Praktisk användbarhet och kostnader

Hårda nycklar har nackdelen att utrustning för användning av kort inklusive kortläsare och drivrutiner ännu inte är "standardiserad" utan kräver diverse ingrepp och ofta relativt stort användarstöd. Om drivrutiner och kortläsare finns installerade, är en kortlösning i viss utsträckning flyttbar mellan persondatorer.

Förvaring av nyckel på hårddisk gör lösningen "icke portabel". Däremot är nyckeln portabel om den förvaras på diskett.

Det krävs någon form av tilläggsprogramvara i arbetsplatsen som säkerställer att rätt nyckel används. Detta gäller oavsett hur nyckeln förvaras.

Mjuka nycklar är lättare att distribuera, och innebär en väsentligt billigare lösning, dessutom är de betydligt enklare att driftsätta. De är emellertid mindre säkra än nycklar på aktiva kort. Som "standard" gäller bara SSL och S/MIME och de koncept och certifikat som tillhandahålls av standardwebbläsare, typ Netscape och MS Explorer.

Bankdosor har fördelen att ingen förändring över huvud taget behöver göras i användarens dator. Denna lösning är därmed fullständigt portabel och fungerar med vilken webbläsare som helst – var som helst. Däremot saknas möjligheten till signering.

Kostnaderna för att använda lösenord och PIN-koder är låga hos medborgare, men fordrar en större hantering hos myndigheten då denna själv måste bygga upp sitt kundregister och sedan själva svara för behörighetskontrollen. Då flera myndigheter har samma kunder kommer ett omfattande dubbelarbete att ske. För medborgarna innebär det också problem att hantera flera PIN-koder. Då flertalet myndigheter på sikt behöver ge sina kunder möjligheten att signera handlingar måste myndigheten då ändå införa en PKI-lösning.    

Sammanställning av metoder för identifiering och elektronisk signering

5.2 Rekommenderade säkerhetsnivåer för myndigheternas elektroniska tjänster

Säkerhetsfunktioner, i första hand avsedda för säker identifiering och elektroniska signaturer i myndigheters verksamhet där höga krav ställs, föreslås indelas i följande nivåer:

• Hög nivå motsvarar kraven på säkerhet enligt vad som gäller för kvalificerade elektroniska signaturer i den föreslagna lagen. Detta förutsätter i dag en kortbaserad lösning. Kvalificerade signaturer skall alltid godtas i en e-tjänst, under förutsättning att eventuella formkrav inte lägger hinder i vägen. Sådana krav kan vara föreskrifter om anvisat format och mottagningsställe.
• Medelhög nivå ger en avancerad elektronisk signatur enligt den föeslagna lagen. Denna nivå tillåter lagring av privata nycklar i arbetsplats eller på diskett, under förutsättning att systemlösningar säkerställer att nycklar inte exponeras okontrollerat. Varje signeringstillfälle skall kopplas till användning av nyckelns lösenord. Vi bedömer att det finns en stor mängd statliga tillämpningar där denna säkerhetsnivå är tillfredsställande.
• Låg nivå, t.ex. andra typer av certifikat, eller identifiering som baseras på PIN-kod eller motsvarande. PIN- koder bör undvikas när uppgifter kring enskild eller känsliga företagsuppgifter förekommer eller när uppgifter som lämnas ligger till grund för myndighetsbeslut.

Varje myndighet som erbjuder elektroniska tjänster måste ta ställning till vilken säkerhetsnivå som erfordras för den erbjudna tjänsten - i dialog med lagstiftare i de situationer där lagändring erfordras. Baserat på Statskontorets tidigare rekommendationer liksom det vidare utredningsarbete som gjorts bör dock följande principer kunna vara vägledande:

• Myndigheters elektroniska tjänster bör i situationer där uppgifter kring enskild eller känsliga uppgifter kring företag förekommer bygga på vad som i detta papper definierats som hög eller medelhög säkerhetsnivå.
• Kvalificerade signaturer skall alltid godtas i en elektronisk tjänst, under förutsättning att myndigheten har rätt teknisk utrustning och kan verifiera CA-signatur, samt har åtkomst till aktuell spärrinformation.
• Elektroniska tjänster bör inledningsvis kunna erbjudas med användning av medelhög nivå. Det innebär att man för en stor mängd tillämpningar för de svenska myndigheterna skulle acceptera en mjuk nyckellagring om den omgärdas av vissa föreskrifter som nyckelinnehavaren förbinder sig att följa (inte lämna arbetsplatsen utan uppsikt då arbete som innefattar signering pågår m.m.) samtidigt som systemlösningen bygger på tillräckligt god kryptering samt PIN-kod som skydd för nycklarna. Som förstärkning av skyddet skulle funktionen för signering kunna ordnas så att signeringsnyckeln bara finns tillgänglig under själva signeringsfasen och därefter skrivs över i primärminnet, dvs. den ligger inte exponerad okrypterad under hela arbetet med dokumentet. Certifikat som utfärdas med hjälp av tidigare gjort elektronisk identifiering, t.ex. med engångslösenord bör kunna accepteras i denna kategori, liksom elektronisk identifiering med engångslösenord via skrapkort eller dosa.
• Utvecklingen torde på sikt leda till en ökad användning av elektronisk identifiering som bygger på en säkerhetsnivå som motsvarar hög nivå. Därmed kan även de e-tjänster som ställer mycket höga krav på säkerheten göras tillgängliga.
• Lösningar med lägre säkerhetsnivåer som lösenord och PIN-koder bör undvikas när uppgifter kring enskild eller känsliga företagsuppgifter förekommer eller när uppgifter som lämnas ligger till grund för myndighetsbeslut.

5.3 Statens e-id-handling

För att skapa en gemensam säker infrastruktur för att ge medborgare och företag tillgång till myndigheternas e-tjänster måste en "statens e-id-handling" specificeras. Denna specifikation kommer sedan att ingå i det förfrågningsunderlag som utgör grund för upphandlingen av e-id-handlingar och identifierings- och signeringstjänster.

Certifikatet som skall användas för medborgares kontakt med myndigheter bör i grunden innehålla information om personens namn och personnummer, ett id-certifikat. För bruk i tjänsten fordras ett annat certifikat med organisatorisk tillhörighet, ett tjänstecertifikat.

I de fall certifikaten och tillhörande nycklar lagras på aktiva kort, är det möjligt enligt senaste standard för kortformat, att samma kort är bärare av flera uppsättningar certifikat och nycklar.

Val av hur certifikatet skall utformas kan härledas ur befintliga standarder, men leder till ett antal beroenden och begränsningar.

Det är sannolikt så att varje säkerhetslösning av tillräckligt god kaliber innebär att något måste installeras i användarens dator. Det kan vara drivrutiner och andra program för att ansluta kortläsare, tilläggsprogram för att kunna välja mellan flera certifikat, tillägg för att erhålla stark kryptering, eller installation av CA-certifikat.

Definition av hur den användarmiljö skall se ut som medborgare eller företag behöver för att använda de elektroniska tjänsterna måste snarast klarläggas. Det är viktigt att myndigheter går samma väg i denna fråga, så att inte många olika installationer måste göras hos medborgarna. Det är inte troligt att en standardwebbläsare räcker för att uppfylla säkerhetskraven.

Ett certifikat för statens tjänster mot medborgare och företag

Det är lämpligt att göra en åtskillnad mellan certifikat som används i tjänsten, av en anställd i en myndighet, och certifikat som används av medborgare eller anställda i företag i kontakter med myndigheter.

Man kan tala om minst två separata PKI-strukturer: ett för identitetscertifikat och ett för tjänstecertifikat. Samma analys har gjorts av landstingen, där man som tjänstecertifikat har specificerat Health Care Certificate. Det kan också hända att vissa tillämpningar bör använda separata certifikat. Tjänstecertifikat diskuteras bland annat i Riksskatteverkets arbete med ersättare för AT-korten, och motsvaras väl av Hälso- och sjukvårdens definition av Health Care Certificate.

Detta innebär att vi får nedanstående bild med exempel på nödvändiga certifikat på en e-id-handling:

Sålunda är det för individer aktuellt med följande certifikat:

• Id-certifikat (ett "medborgarcertifikat"). Detta innehåller i första hand namn och personnummer.
• Tjänstecertifikat, detta innehåller namn och organisation, och kan i vissa fall innehålla personnummer.

Tjänstecertifikaten bör skilja sig från id-certifikaten, bland annat på grund av att man i tjänstecertifikat oftast inte behöver personnummer. Det är olämpligt att använda certifikat med personnummer i situationer där personnummer inte är absolut nödvändiga.

När det gäller anställda i företag, som företräder företaget, måste myndigheten avgöra om det krävs ett id-certifikat, eller om myndigheten accepterar ett eventuellt företagscertifikat (dvs. ett tjänstecertifikat).

Myndigheten har behov av att veta att personen ifråga har rätt att företräda företaget, men denna information måste hanteras på annat sätt än i certifikatet.

Den huvudsakliga uppgiften för de CA som upphandlas är alltså att förse medborgare och anställda vid företag, vilka kommer att utnyttja myndigheters elektroniska tjänster, med id-certifikat, "medborgarcertifikat".

6 Föreslagen lösningsmodell

Nedan redogörs för de lösningar och modeller som vi föreslår med syftet att på kort sikt kunna skapa en gemensam säker infrastruktur som grund för den offentliga sektorns satsningar på elektronisk ärendehantering och självbetjäningstjänster via Internet för dess kunder, d v s medborgare och företag.

Förslaget bygger på att det är PKI-teknik som skall vara den grundläggande lösningen när det gäller att skapa säker kommunikation över Internet mellan myndigheter och medborgare/företag. Grunden för det är att det är den teknik som gör det möjligt att nå tillräcklig säkerhet och också att den ger förutsättningar att åstadkomma elektroniska signaturer och att på sikt möta legala krav på kvalificerade signaturer. Andra lösningar som t.ex. PIN-kod och lösenord har lägre säkerhetsnivå och kommer långsiktigt att ge höga samlade kostnader om många myndigheter utnyttjar dem genom det dubbelarbete som då uppstår med registerhantering, behörighetskontroll m.m.

Vi bedömer att det under de närmaste två åren i första hand blir lösningar som bygger på lagring i arbetsplats (eller på diskett) som blir dominerande i hemmiljö. Grundat på bl.a. den kartläggning som gjorts bedömer vi att det finns en stor mängd statliga tillämpningar där denna säkerhetsnivå är tillräcklig. På några års sikt kommer lösningar som möter kraven på hög nivå att bli vanliga även i hemmen. Dessa lösningar kan bygga på kort då kortläsare finns i mer standardiserad utformning, men också på andra tekniker som SIM-kort i mobiltelefoner m.m.

Utvecklingen torde på sikt leda till en ökad användning av elektronisk identifiering som bygger på en säkerhetsnivå som motsvarar hög nivå. Därmed kan även de e-tjänster som ställer mycket höga krav på säkerheten göras tillgängliga.

I regeringsuppdraget till RSV sägs att möjligheterna till samverkan med banker och andra aktörer, såsom Posten, Telia och leverantörer av elektroniska id-kort för tjänstebruk, bör tas tillvara i största möjliga utsträckning. En grundläggande utgångspunkt för vårt förslag är därför att så långt möjligt söka en lösning baserad på en samverkan med marknadens aktörer, där samverkan då måste vara baserad på avtal. En annan utgångspunkt har som nämnts varit att förslaget bör bygga på en lösning baserad på PKI-teknik. Den samverkan med olika aktörer, som motiveras bl.a. av kostnadsskäl liksom av kraven att snabbt kunna komma igång, gör dock att den föreslagna lösningen inte blir en renodlad PKI-modell med en enda utgivare av statliga e-id-handlingar med certifikat och nycklar . Förslaget innebär i stället att man söker en samverkan med olika utgivare av e-id-handlingar. Det innebär att vi sökt specificera hur en statens e-id-handling skall vara utformad, liksom krav på hanteringen som omger e-id-handlingen (utlämning med personlig kvittens m.m.) men att utgivningen kan komma att ske via olika kanaler och med olika organisationer som utgivare. Motivet för denna modell är dels direktiven från regeringen om samverkan med marknadens aktörer, dels bedömningen att man snabbare kan nå ett genomslag, och att alla lösningar kommer att ha en begränsad livslängd eftersom tekniken och marknaden bedöms utvecklas mycket snabbt.

Det innebär att man får en enhetlig utformning av statens e-id-handling, men att de myndigheter som skall utnyttja lösningarna kommer att behöva hantera flera än en utgivare av e-id-handlingar.

Utifrån regeringsuppdragets formulering att "testa och ta i bruk möjliga lösningar redan under utredningstiden för att ge erfarenheter för myndigheternas fortsatta arbete med att utveckla sina e-tjänster" har vi bedömt att vissa samordnande funktioner nära relaterade till tjänsterna också bör ingå i uppgifterna för den samordnande funktionen (Statens CA). Statens CA bör därför ta initiativ till lösningar där så erfordras för att underlätta utvecklingen av myndigheternas e-tjänster.

Vi föreslår att Statens CA åtminstone inledningsvis läggs organisatoriskt inom RSV. Inom RSV finns sedan länge omfattande kompetens när det gäller registerhållning för både individer och företag. Genom folkbokföringen är man huvudansvarig för de grundläggande individuppgifter som används i samhället. RSV tillhör också de myndigheter som har mest närliggande planer på omfattande interaktion med medborgare och företag över Internet. Där finns bl.a. av det skälet också den typ av IT-kompetens som krävs. De i utredningen deltagande myndigheterna har också funnit denna lösning lämplig, inte minst därför att det för närvarande synes vara den som snabbast kan genomföras. Den organisatoriska placeringen av funktionen kan behöva omprövas om några år, bl.a. mot bakgrund av den utredning som aviserats inom Näringsdepartementet för att se över dessa frågor inom hela samhället.

6.1 Inriktning

Den övergripande inriktningen är alltså att i så stor utsträckning som möjligt försöka dra nytta av redan etablerade nätverk och elektroniska infrastrukturer inom den privata sektorn. Eftersom denna försörjningskanal i stor utsträckning kommer att bygga på frivilliga, kommersiella relationer, som kan vara svåra att överblicka och styra, bör staten bygga upp en kompletterande försörjningskanal i egen regi. Denna roll kan de ramavtal spela som svarar för försörjningen med e-id-handlingar för myndigheternas interna användning (de anställdas tjänstekort). Myndigheterna skulle då kunna nyttja dessa ramavtal för att förse medborgare och företag med e-id-handlingar och ramavtalen skulle därmed utgöra ett komplement till den privata sektorns tjänster.

Våra förslag är sammanfattningsvis:

6.2 Två försörjningsalternativ för e-id-handlingar och identifierings- och signeringstjänster

6.2.1 Försörjningsalternativ 1: Aktörer förser sina Internetkunder med e-id-handlingar och utför identifierings- och signeringstjänster för myndigheternas räkning

En Internetaktör svarar för utgivning av e-id-handling, för tillhörande identifierings- och signeringstjänster samt för erforderligt tekniskt kundstöd till sina befintliga Internetkunder. För myndigheternas räkning utförs kontroll av e-id-handlingarnas giltighet. För att bli en godkänd aktör förutsätts att e-id-handlingen är utformad enligt statens specifikation och att den praktiska hanteringen vid utfärdande och utgivning av e-id-handlingen följer statens certifikatpolicy. Dessa frågor kommer att regleras i då aktuella avtal.

Statskontoret svarar i samverkan med Statens CA för genomförandet av erforderlig upphandling. Denna resulterar i avtal i vilka kraven på aktören samt de ekonomiska villkoren regleras. I första hand upphandlar staten här en komplett identifierings- och signeringstjänst.

Tjänsten innebär att aktören förser sina kunder med e-id-handlingar samt därefter säkrar den elektroniska kommunikationen vid användningen av e-tjänster genom att som CA certifiera parterna, dvs. tjänsteproducenten (myndigheten) och dess kund genom att utföra giltighetskontroll av e-id-handlingarna.

Följande tjänster är aktuella:

Vad gäller prissättningen av tjänsterna finns olika alternativ. Dessa belyses närmare under punkt 8.3. Möjliga prissättningsalternativ är exempelvis pris per kundärende (per transaktion) eller per ansluten kund och år. I det senare fallet kan aktören ge myndigheterna tillgång till aktuell spärrlista varefter respektive myndighet själv löpande kontrollerar certifikatens giltighet.

Då aktören förväntas se den statliga e-id-handlingen och därmed tillgången till myndigheternas e-tjänster som ett tilläggsvärde i sitt eget kunderbjudande, förväntas detta speglas i aktörens prissättning av ovan beskrivna tjänst. Då aktören dessutom i sin egen affärsverksamhet erbjuder motsvarande tjänster till sina kunder erhålls stordriftsfördelar, varför även detta bör påverka prissättningen gynnsamt. Kundrelationen stärks ytterligare då kunderna erbjuds tillgång till ett brett utbud av e-tjänster

( j f r "one-stop-shopping").

Bankernas redovisade planer på att förse sina kunder med e-id-handlingar och sedan som CA svara för spärrningskontroll on-line är ett exempel på detta försörjningsalternativ.

6.2.2 Försörjningsalternativ 2: Leverantör förser myndigheterna med e-id-handlingar (mjuka och hårda) samt därtill relaterade identifierings- och signeringstjänster

En myndighet som skall förse sina kunder med e-id-handlingar måste ges möjlighet att skaffa e-id-handlingen och relaterade tjänster på ett enkelt sätt och till ett fördelaktigt pris. I motsats till det ovan beskrivna försörjningsalternativet, där aktören förväntas erbjuda en komplett identifierings- och signeringstjänst , måste myndigheterna här kunna upphandla fristående produkter och tjänster från ett avtalat produkt- och tjänsteutbud med en prissättning baserad på pris "per styck" eller per tjänst.

Statskontoret svarar i samverkan med Statens CA här för att nödvändiga upphandlingar görs för att få fram de ramavtal som krävs för att kunna erbjuda tjänsterna till myndigheterna. Målet är att kunna teckna ramavtal med en eller flera CA-leverantörer, som kan nyttjas av de olika myndigheterna, för åtminstone följande produkter och tjänster:

Dessa produkter och tjänster avropas från ramavtalen "per styck" så att myndigheterna ges möjlighet att välja endast de produkter och tjänster man har behov av. Det normala är att en myndighet själv vill stå för vissa tjänster och målet med ramavtalet skall därför vara att resp. myndighet själv avgör vilka. Ett exempel på detta är att flertalet myndigheter själva vill lämna ut e-id-handlingarna (tjänstekorten) till sina egna anställda.

Många myndigheter kommer för att hålla kostnaderna nere att hämta hem aktuell spärrlista från respektive aktör. Myndigheten svarar sedan själv för giltighetskontrollen och kan därför ge kunderna korta svarstider. En möjlig lösning är även att Statens CA för myndigheternas räkning på sikt sammanhållet tillhandahåller samtliga aktörers spärrlistor. I detta fall behöver myndigheterna bara vända sig till Statens CA för att få tillgång till spärrlistorna.

Slutligen kan medborgare, företag och organisationer själva vända sig till ramavtalsleverantörerna och från dessa köpa e-id-handlingar och på detta sätt få tillgång till myndigheternas tjänster.

6.3 Utlämning/distribution av e-id-handlingar

En mycket viktig fråga är utlämnandeprocessen. Man måste här ställa höga krav på hur identifieringen av en individ säkerställs i samband med utlämnandet av e-id-handlingen. Denna process svarar också för en stor del av de totala hanteringskostnaderna för e-id-handlingarna.

Mot denna bakgrund kommer myndigheterna med stor sannolikhet välja att själva lämna ut e-id-handlingarna till sina egna anställda via en intern funktion inom myndigheten. En sådan funktion med ansvar för de befintliga tjänstekorten, RA-funktionen, finns redan i dag inom många statliga myndigheter, landsting och kommuner. Den är ofta kopplad till myndighetens säkerhetsfunktion.

De Internetaktörer som förser sin egen kundbas med e-id-handlingar svarar själva för utlämning/distribution av dessa till sina respektive kunder. Utlämningen skall skötas enligt statens policy för utgivning och distribution av e-id-handlingar.¤

E-id-handlingar kan även utlämnas manuellt. Manuella kundtjänster hos Posten m.fl., som har kunskap och erfarenhet av utfärdande av identitetshandlingar, kan fungera som utlämnare (RA) av statens e-id-handling till medborgare och företag oavsett om dessa har någon relation till aktuell utgivare av e-id-handlingen. Utlämnandet skall uppfylla säkerhetskraven enligt statens policy för utlämning och distribution av e-id-handlingar. E-id-handlingen överlämnas till kunden antingen i samband med ett personligt besök eller per rekommenderat brev på en diskett. Det kan också ske genom att utlämnaren på motsvarande sätt förser kunden med en PIN-kod eller annan tillräcklig säkerhetsrutin, som medger en elektronisk hämtning av certifikatet över Internet. Denna kanal är ett komplement till myndigheternas egen utlämning och till utlämning via godkända Internetaktörer och kan nyttjas av myndigheterna för att säkerställa distributionen i alla lägen.

6.4 Bedömning av andra möjliga aktörer

6.4.1 Intresse- och branschorganisationer

Dessa organisationer har visat intresse för att ge sina egna medlemmar tillgång till myndigheternas e-tjänster. För att Statens CA på sikt skall kunna rekommendera myndigheterna att tillåta anslutning av en organisations medlemmar krävs bl.a. att:

6.4.2 Arbetsgivarna

Det är också naturligt att arbetsgivarnas önskemål om att på sikt kunna lägga in statens e-id-handling på de anställdas tjänstekort bör tillgodoses.

För att detta kan ske krävs bl.a. att:

7 Uppgifter för Statens CA

Mot bakgrund av slutsatserna ovan har vi sökt precisera uppgifterna för Statens CA. Det övergripande uppdraget skulle vara att för de statliga myndigheterna säkra tillgången till e-id-handlingar och därtill hörande tjänster. Det handlar om utgivning, produktion, administration och kontroll av e-id-handlingar som baseras på certifikat och nycklar. De föreslagna lösningarna kommer att kunna nyttjas såväl av landstingen som av kommunerna.

Statens CA svarar för att förutsättningar finns för en säker kommunikation över Internet mellan medborgare/företag och myndigheter genom att säkra tillgång till e-id-handlingar samt erforderliga tjänster för identifiering, signering, säker kommunikation (kryptering) och kundstöd. Statens CA svarar för den erforderliga samordningen genom att för tjänsteproducenternas (myndigheternas) räkning styra de externa CA-aktörerna genom olika avtal och överenskommelser. I samordningsrollen ligger också att ta initiativ till lösningar som underlättar utvecklingen av myndigheternas e-tjänster. Som exempel kan nämnas att samordna tillgången till de olika CA-aktörernas spärrlistor.

Uppgifterna för den sammanhållande myndigheten, Statens CA skulle därför vara:

• Utveckla och förvalta den statliga certifikatpolicyn
• Policyn beskriver hur staten rekommenderar att PKI-strukturen skall tillämpas för de statliga myndigheterna. Denna certifikatpolicy skall även användas för utvärdering av de certifikatpolicies som de respektive CA-aktörerna använder sig av. Policyn reglerar därmed bl.a.:
• Specifikation av tekniska säkerhetsnivåer, rådgivning om dem m.m.
• Definition av innehållet i statens e-id-handling
• Rekommendationer för hur e-id-handlingar hanteras, ges ut till medborgare och företag manuellt respektive elektroniskt liksom hanteringen inom myndigheter
• Råd vad gäller förpackningar (hårda respektive mjuka) av nycklar, certifikat m.m.
• Avtalspolicy som beskriver lämpliga avtalsmässiga relationer.
• Ansvara för godkännande av CA-aktörer i ett upphandlings-förfarande
• Godkänna de aktörer som möter de krav som ställs för att få vara CA till myndigheterna enligt policyn. Detta godkännande sker inom ramen för ett upphandlingsförfarande.
• Godkännandet innebär att Statens CA till godkända CA utger s.k. CA-certifikat. (Statens CA agerar här på sikt som topp-CA).
• Samordna aktiviteter inom CA-området
• Samordna kraven inför upphandlingar av e-id-handlingar inklusive tillhörande tjänster och att i samverkan med Statskontoret genomföra upphandlingar inom området.
• Bevaka ny teknik och de möjligheter denna ger.
• Samordna de myndighetsgemensamma e-tjänster som krävs för att infrastrukturen skall fungera väl, som t.ex. att samlat tillhandahålla aktörernas spärrlistor m.m.
• Marknadsföring och information
• Informera olika intressentgrupper rörande certifikatpolicyn mm.

8 Upphandling av och kostnaderna för de två försörjningsalternativen.

I arbetet att finna ett sätt att komma igång med försörjning av e-id-handlingar baserade på certifikat och nycklar utgör en viktig del att klara ut relationerna till de aktörer på marknaden som man på olika sätt kan behöva samverka med. Deras utgångspunkt kommer alltid att vara att de på något sätt måste få täckning för och kunna kommersiellt försvara de kostnader de ådrar sig. Utgångspunkten för myndigheterna måste vara att alla tjänster eller produkter som anskaffas från marknaden måste upphandlas enligt gällande regelverk (lagen om offentlig upphandling, LOU).

Upphandling enligt LOU

Upphandlingsunderlaget inför en upphandling måste innehålla upphandlingens volym av efterfrågade produkter och tjänster samtidigt som dessa måste specificeras. Volymen och specifikationerna ger utgångspunkten för de kommersiella aktörerna och blir styrande för huruvida de väljer att delta i upphandlingen eller ej. Dilemmat i varje upphandling som gäller nya typer av tjänster ligger i att man måste ha rimlig insikt i till vilka priser tjänster eller produkter med olika specifikation går att erhålla på marknaden (för att kunna bedöma intresset för tjänsterna eller produkterna). Detta förutsätter kontakter med marknadens aktörer samt en klar bild av omfattningen av myndigheternas behov.

Eftersom marknaden för produkterna och tjänsterna inte är mogen samtidigt som myndigheternas planer ännu är vaga kommer dock stor osäkerhet att råda tills priserna slutligt fastställs i upphandlingen. Mot denna bakgrund kan vi här endast ge en grov bild av den kostnadsnivå som kommer att gälla för de olika produkter och tjänster som planeras upphandlas.

8.1 Försörjningsalternativet Identifierings- och signeringstjänster avseende aktörens kunder

De största aktörerna med en kundbas över Internet är bankerna. Andra är Telia och Posten med flera. För att snabbt komma igång med denna försörjningskanal och för att godkänna aktörerna som CA måste de här efterfrågade tjänsterna (här avses inte produkter) upphandlas. På sikt kommer konkurrensen på marknaden själv att styra prisutvecklingen (jmf. kostnadsutvecklingen för mobiltelefoner och Internetabonnemang).

De diskussioner vi haft med ett antal av de möjliga aktörerna pekar på att dessa sannolikt kommer att begära betalning för utnyttjandegraden dvs. per transaktion. I detta fall förutsätts aktören sköta giltighetskontrollen av e-id-handlingen för samtliga transaktioner medan själva informations-överföringen sker direkt mellan kunden och myndigheten. Detta ger en låg kostnad inledningsvis men riskerar att öka över tiden. Prisbilden kan emellertid påverkas genom att transaktionskostnaden görs volymberoende.

Några aktörer har framfört att de finner det naturligt och därför förutsätter att myndigheterna genom de besparingar dessa gör själva svarar för transaktionskostnaderna. Förutom transaktionskostnaden kommer sannolikt några av aktörerna vilja ta betalt för e-id-handlingen. Denna kostnad kan antingen kunden själv eller myndigheterna svara för.

På sikt bör alternativet "Identifierings- och signeringstjänster" emellertid ge möjlighet att aktörerna debiterar sina kunder direkt för tjänsten att kunna nå myndigheternas e-tjänster. I detta fall erfordras ingen upphandling utan utvecklingen sker "på marknadens villkor".

Försörjningsalternativet har fördelen att aktörerna själva tar den initiala risken. Myndigheterna behöver endast betala för den användning som verkligen kommer till stånd. Aktörens risk kan emellertid bromsa utvecklingen. Detta kan balanseras genom att myndigheterna lämnar vissa volymgarantier i aktuella upphandlingar. Omfattningen på behovet av "Identifierings- och signeringstjänster" för de närmaste två åren mycket osäkert. Osäkerheten förklaras främst av en osäkerhet om i vilken takt myndigheternas e-tjänster kommer tas i produktion. De faser vi nu ser framför sig är:

• Fas 1. En begränsad upphandling för någon/några större myndigheters behov av identifierings- och signeringstjänster för produktion eller för försöksverksamhet initieras redan under innevarande höst. I upphandlingen ställs krav på att aktörerna möter den preliminära certifikatpolicy och den specifikation av statens e-id-handling som nu tas fram för den planerade upphandlingen av "ramavtal avseende produkter och tjänster".
• Fas 2. Under år 2001 sker mindre ej samordnade upphandlingar för statliga myndigheter samt för kommuner och landsting.
• Fas 3. Då myndigheternas planer för sina e-tjänster om något år klarnat genomförs efter en utvärdering en samordnad upphandling av ramavtal. Denna kan sannolikt annonseras under hösten 2001.

8.2 Försörjningsalternativet Ramavtal avseende produkter och tjänster

Dagens ramavtal avseende e-id-handlingar och därtill knutna tjänster kommer att ersättas genom en kommande upphandling. Denna upphandling kommer att resultera i ramavtal med en eller flera aktörer (försörjningsalternativet 2 enligt punkt 6.2.2 ovan).

En prissättning per styck här innebär att aktörerna kommer att ta betalt per e-id-handling och år. I priset ingår då tekniskt kundstöd. Till detta kommer en engångskostnad för distribution/utlämning av e-id-handlingen Den löpande giltighetskontrollen då en användare nyttjar en myndighets e-tjänster kan om så önskas skötas av aktören.

Försörjningsalternativet kan användas när en myndighet vill förse sina externa kunder (dvs. företag och eller medborgare) med e-id-handlingar. Det kan gälla en försöksverksamhet för myndigheten eller en kundgrupp som inte erbjuds en e-id-handling av marknadens aktörer. Det kan också vara en grupp myndigheter som gemensamt vill förse en större grupp kunder med e-id-handlingar. Ett exempel skulle vara om RFV, AMS och CSN bestämde sig för att förse sina gemensamma kunder (t.ex. personer mellan 18 och 35 år) med e-id-handlingar. Denna typ av samordning försvåras av att myndigheternas planer ännu är mycket osäkra.

8.3 En översiktlig jämförelse mellan de två  

försörjningsalternativen

Identifierings- och signeringstjänster avseende aktörens kunder

Alternativets egenskaper:

• Bygger initialt på ett upphandlingsförfarande där aktörerna godkänns som CA. Inledningsvis kommer aktörerna sannolikt att begära att myndigheterna betalar för utnyttjandet av tjänsten giltighetskontroll av e-id-handling genom att svara för transaktionskostnaderna. På sikt bör kunderna själva kunna få betala för den aktuella tjänsten om myndigheterna anser att så bör ske. I detta senare fall erfordras ingen upphandling.
• Myndigheterna behöver inte peka ut kunderna utan de kunder som är intresserade av att utnyttja en viss myndighets e-tjänster väljer själva om de vill nyttja sin aktörs (t.ex. sin banks) tjänster.
• Aktörernas intresse för att deltaga baseras främst på de mervärden de ser i att kunna erbjuda sina kunder ett vidgat tjänsteutbud genom att ge kunderna tillgång till myndigheternas e-tjänster, och på de intäkter som transaktionsbetalningen ger.

Ramavtal om produkter och tjänster

Alternativets egenskaper:

• Bygger på ramavtal via vilka myndigheter kan avropa e-id-handlingar och därtill erforderliga tjänster för såväl sina kunders som för egen användning. För mindre myndigheter och för försöksverksamhet där leverantören svarar för den löpande giltighetskontrollen tillkommer en avsevärd kostnad för denna (självklart har också myndigheterna som själva hanterar giltighetskontrollen interna kostnader för denna).
• Anskaffning för myndighetens kunders räkning bygger på att en definierbar grupp kunder samtliga erbjuds att få e-id-handlingar. Myndigheterna får själva stå för dessa kostnader.
• Baseras främst på kostnad för e-id-handling per år. Modellen är därför fördelaktig vid hög transaktionsfrekvens per kund. En e-id-handling som finansierats för en viss användning kan också nyttjas för andra myndigheters tillämpningar.

8.4 Grova kostnadsuppskattningar

Vi kan nu endast redovisa grova kostnadsuppskattningar. I bilaga 2. redovisas några exempel på hur de olika kostnadsmodellerna slår.

Identifierings- och signeringstjänster avseende aktörens kunder

Kostnaden styrs främst av:

• Aktörens bedömning av hur hans konkurrenssituation i förhållande till andra aktörer påverkas av att erbjuda tjänsten eller ej.
• Tidigare gjord investering för identifiering av kunderna
• Initialkostnad att sätta upp tjänsten.
• Aktörens kostnad för certifikat
• Antalet transaktioner där aktören utför den löpande giltighets-kontrollen av e-id-handlingen.

De kostnadsuppskattningar vi här fått varierar dramatiskt. Efter vissa jämförelser med de erfarenheter som gjorts i Finland gör vi bedömningen att ett transaktionspris vid stora volymer kan uppskattas till högst motsvarande portokostnaden för ett brev. Till detta kommer att några aktörer kan väntas ta betalt av sina kunder för det statliga certifikatet (bedömd kostnad ca 50 kronor/år). Denna kostnad kan antingen kunden själv eller myndigheterna svara för. Aktörerna förutsätter att myndigheterna genom de besparingar dessa gör själva står för transaktionskostnaderna. På sikt är det rimligt att låta kunderna själva står för transaktionskostnaderna. Om så skall ske får respektive myndighet själva svara för.

Avtal om produkter och tjänster

Kostnaden styrs främst av följande parametrar:

• Baseras på kostnad per e-id-handling och år
• Avropad volym e-id-handlingar och hur myndigheten kan tillhandahålla en förteckning med uppgifter om id-uppgifter, namn, adress m.m.
• Sättet e-id-handlingen distribueras/lämnas ut (kontroll av kundens identitet)
• Erforderligt kundstöd
• Hur rutinen för löpande giltighetskontroll utförs och vem som svarar för denna.

Vi har efter diskussioner med några större aktörer uppskattat kostnaden för en e-id-handling (dvs. en användare) per år till i storleksordningen 120 kronor. Detta bygger på följande förutsättningar:

• Hög volym
• Myndigheterna hämtar själva aktuella spärrlistor och svarar själva för löpande giltighetskontroll (tillkommande intern kostnad)
• E-id-handlingen baseras på certifikat och nycklar i programvara för lagring i arbetsplatsen (eller i dator eller på diskett).
• För mindre myndigheter eller för försöksverksamhet där aktören svarar för den löpande giltighetskontrollen kan kostnaden per e-id-handling och år uppskattas till 200 kronor.

9 Eventuell författningsreglering samt finansiering av Statens CA

I uppdraget ingår att överväga om någon särskild författningsreglering behövs. Vår bedömning är att detta sannolikt inte är nödvändig för att ett genomförande av de föreslagna lösningsmodellerna ska kunna påbörjas. I det följande redovisas närmare vilka områden som bedömts och varför vi inte anser att författningsreglering nu är nödvändig.

Den centrala frågan är om någon författningsreglering behövs för att Statens CA ska kunna fullgöra sina uppgifter, nämligen att utveckla och förvalta den statliga certifikatpolicyn, medverka till att aktörer godkänns i ett upphandlingsförfarande, samordna aktiviteter inom CA-området och att marknadsföra och informera olika intressentgrupper. För att dessa uppgifter ska kunna utföras är det av vikt att myndigheter och enskilda, t.ex. CA-aktörerna, betraktar de åtgärder som Statens CA utför som i viss mån normativa. Det är, enligt vår bedömning, att föredra om denna normativa funktion, åtminstone inledningsvis kan upprätthållas utan författningsändringar, inte minst för att Statens CA snabbt bör kunna påbörja sitt arbete. Ett eventuellt behov av lagändring skulle med all sannolik medföra förseningar.

Åtgärder inom ett upphandlingsförfarande

Vid bedömningen om författningsändringar är nödvändiga bör särskilt vikt läggas vid om urvalet eller godkännandet av CA-aktörer kan antas vara oförenligt med näringsrättslig lagstiftning eller inte. Vi gör därvid följande bedömning.

En av de viktigaste arbetsuppgifterna för Statens CA är att medverka till att CA-aktörer godkänns i ett upphandlingsförfarande. Statens CA:s roll är därvid att utarbeta och tillhandahålla ett förfrågningsunderlag som myndigheterna använder vid upphandling av identifierings- och signeringstjänster. Av central betydelse blir därvid utformningen av statliga certifikatpolicies eftersom de kommer att innehålla villkor, t.ex. om åtaganden och ansvar. Villkoren riktar sig mot de parter som policyn berör, t.ex. CA-aktören, certifikatinnehavaren och tillitande parter.

Ett avtal som sluts efter dessa villkor får, efter avrop, konsekvenser av mer eller mindre normativ karaktär för samtliga berörda parter eftersom upphandlingsförfarandet sker helt inom ramen för lagen (1992:1528) om offentlig upphandling, som är en EG-harmoniserad lagstiftning. Därmed uppnås förenlighet med näringsrättslig lagstiftning och det finns inte något ytterligare behov av eller utrymme för författningsreglering.

Samordningsåtgärder och finansiering av Statens CA

Statens CA ska också utföra uppgifter som inte har direkt anknytning till ett upphandlingsförfarande, t.ex. att för statsförvaltningens räkning förvalta certifikatpolicies, samordna aktiviteter, och att marknadsföra verksamheten. För dessa uppgifter erfordras någon slags legitimitet. I sitt uppdrag har regeringen gett RSV sådan legitimitet under utredningstiden. För att Statens CA därefter ska genomföra våra förslag kan önskad legitimitet ges på olika sätt. Det kan ske genom författningsändringar, t.ex. i RSV:s instruktion, genom regeringsbeslut motsvarande det nuvarande regeringsuppdraget och där fortsatt samverkan med vissa andra centrala myndigheter förutsätts eller i regleringsbrev för de samverkande myndigheterna.

Vår uppfattning är att regeringen i ett särskilt beslut bör uppdra åt RSV att utföra de uppgifter som ankommer på Statens CA. Beslutet bör gälla i två år. Riksskatteverket ska i sin verksamhet som Statens CA samverka med Riksförsäkringsverket, Patent- och registreringsverket och Statskontoret. De ekonomiska förutsättningarna för verksamheten kan t.ex. anges i regleringsbreven för de samverkande myndigheterna. Regleringen av arbetsuppgifterna kan i och för sig göras i myndigheternas regleringsbrev men eftersom regleringsbrev är ettåriga kan ett särskilt regeringsbeslut vara att föredra. Regleringsbreven för de i Statens CA medverkande myndigheterna kan i stället utnyttjas för att fastställa de ekonomiska bidrag som erfordras för att Statens CA ska kunna fullgöra sina arbetsuppgifter. Statens CA kommer successivt att byggas upp. De samverkande myndigheterna ansvarar under de inledande två åren gemensamt för dimensionering och finansiering av Statens CA.

Statens CA kommer med en sådan lösning inte att kunna meddela för statsförvaltningen bindande beslut utan Statens CA:s uttalanden får i stället formen av rekommendationer. Det är vår bedömning att sådana rekommendationer kommer att åtföljas av statsförvaltningen och andra intressenter. Det står emellertid dessa fritt - t.ex. av kostnadskäl eller den allmänna teknikutvecklingen - att välja andra lösningar än de som rekommenderas av Statens CA.

Efter hand torde emellertid en fastare och mer permanent organisation behövas för att administrera de uppgifter som ankommer på Statens CA Huruvida det kan ske utan författningsändringar kan inte nu förutses. Behovet av författningsändringar och huvudmannaskapet för Statens CA bör därför omprövas efter två år.