POLISEN, SKATTEVERKET OCH PENSIONSMYNDIGHETEN M FL

Exempel på kundcase inom PKI

POLISEN
Biometrisk koppling av pass till person

Polisen driver och handhar allt som har med pass att göra i Sverige. Det innefattar även den gränskontroll som finns vid de Svenska gränserna. Polisen ansvarar även för att de IT-system som ligger bakom uppdateras och utvecklas för att följa alla internationella standarder som behövs för att passen skall följa de regler och riktlinjer som finns finns från International Civil Aviation Organization (ICAO) samt från Europeiska Unionen (EU).

Att elektroniskt kunna verifiera ett pass äkthet och dess utgivare är fundamentalt och avgörande för att kunna lita på och använda passen i framtiden. Länderna inom EU Schengen-samarbetet har gått ett steg längre än övriga världen och adderar förutom äkthetskontrollinformation, även biometrisk information som fingeravtryck och ögats Iris till passen för att kunna koppla passet till dess ägare. Detta medför att man förutom att kontrollera att passet är äkta, även kan kontrollera om bäraren som går genom gräns/pass-kontrollen är passets rättmätiga ägare, d v s kontrollera om det är stulet. Sverige ligger i framkant och är en spelare som har en framskjuten position inom EU runt passhantering.

Behov
Då specifikationerna är komplexa och innefattar många olika separata PKI lösningar i ett och samma projekt så behövde Polisen tillföra teknisk kompetens och resurser på områden runt säkerhet, PKI och infrastruktur. På PKI-området fanns behov av X509 samt CVC kompetens samt även tolkning, utveckling och implementation rörande avsteg runt gällande PKI standarder som gjorts. Infrastrukturellt krävdes också stora kunskaper, främst runt säkerhet då alla länder inom EU kommunicerar informationen över internet.

Arkitektur och teknik
En del av utmaningarna var säkerhetsfrågor och design runt kommunikation över internet, möjliggörandet av s.k “arbitrary elliptic curves” i X.509 certifikat enl EU-specifikationerna, hantering av mer ovanliga CVC certifikat med mera. Andra utmaningar har varit att det inte finns mycket information publikt på Internet att tillgå vid problem. Open Source programvara är en central del. Tekniker och mjukvara som används är bland annat Java, CVC, Python, JBoss, X509, LDAP, SSL, M2crypto, Bouncy Castle, Linux, SElinux med mera. Viss programkod i detta projekt har från Polisen givits tillbaka till Open Source communityt som ett Joint-Venture mellan Init och Polismyndigheten.

B3 Inits medverkan i projektet
B3 Init har bidragit avseende arkitektur, utveckling, teknisk rådgivning och implementation.



Företag inom energibranschen med stora säkerhetskrav

Design och implementation av PKI-system med 802.1X nätverksautentisering

Ett företag inom energibranschen ville förbättra sin interna säkerhet genom att införa certifikatsbaserad nätverksanslutning med hjälp av 802.1x. De behövde också en PKI-struktur som skulle vara skalbar och flexibel nog för att kunna möta även kommande behov av certifikat, t.ex. för användarinloggning, signering och kryptering av data.
Behov
Först och främst behövdes en kravinsamling och undersökning av vilka förutsättningar och behov företaget hade. Baserat på de insamlade kraven gjordes ett designförslag som uppfyllde kraven på skalbarhet, flexibilitet och stabilitet.
Arkitektur och teknik
Vi baserade systemet på Primekey PKI Appliance, ett system som innehåller CA, HSM och databas i ett och samma paket. Två servrar som klustrades gav redundans, och den inbyggda HSM:en gav säkerhet och skydd för CA-nycklar och backuper. På nätverkssidan användes Cisco:s hård och mjukvaruprodukter.
B3Is medverkan i projektet
B3 genomförde flera workshops för att ta fram en tydlig bild av företagets behov och förutsättningar. Därefter gjordes en design av själva systemet. Designen innefattade nätverksinfrastrukturen såväl som PKI-infrastrukturen med en rot-CA och flera utgivnings-CA med olika säkerhetskrav.
Vi bistod också företagets säkerhetsavdelning i arbetet med att ta fram en Certificate Practice för hela systemet, och baserad på den tog vi fram Certification Practice Statement för var och en av de CA:s som skapades. Därtill höll vi utbildning för kundens personal och bistod vid installation, konfiguration, testning och produktionssättning.

POLISEN
Äkthetskontroll av pass

Polisen handhar allt som har med pass att göra i Sverige samt gränskontrollen vid de svenska gränserna. Polisen ansvarar även för att de IT-system som hanterar pass följer alla de internationella standarder, regler och riktlinjer som tas fram av International Civil Aviation Organization (ICAO) samt från Europeiska Unionen (EU).

Att elektroniskt kunna verifiera att ett pass är äkta och att det kommer från rätt utgivare är avgörande för att både svenska och utländska myndigheter ska kunna lita på och använda passen i framtiden.

Behov
Grunden i passhantering är att kunna säkerställa att ett pass är äkta, utgivet av rätt utgivare och inte är tillbakadraget. Det låter enkelt, men de stora och komplexa standarder som ges ut av ICAO gör att de bakomliggande systemen och infrastrukturen också blir komplexa och krävande att implementera.

Polisen behövde förstärka sin kompetens inom områdena säkerhet, PKI, infrastruktur med mera. De behövde också hjälp med att tolka och hantera ICAO-standarderna, och med att implementera dessa tekniskt i infrastrukturen. Den färdiga lösningen skulle kunna kommunicera med ICAO och med världens olika länder för utbyte av certifikat och revokeringsinformation.

Arkitektur och teknik
En utmaning var att uppfylla höga krav på säkerhet i implementationen av system som kommunicerar över internet. Lösningen är till största delen baserad på Open Source. Tekniker och mjukvara som används är bland annat Java, JBoss, Python, X.509, LDAP, SSL, M2crypto, Bouncy Castle, Linux, SElinux med mera

B3 Inits medverkan i projektet
B3 Init har bidragit med arbetet i arkitektur, utveckling och implementation.


Offentlig verksamhet - Implementation av en ny rot-CA

 
En av Sveriges offentliga förvaltningar ser in i framtiden. Förvaltningen vill ha möjligheter att även agera på EUs marknad och inte bara på den svenska. Då behöver IT-systemen vara förenliga med dagens och kommande krav. Ur PKI-synpunkt ställer det mycket stora krav rörande regelverk och kontrollmekanismer.
 
Behov
Implementation av en ny rot-CA som följer och tål en certifierad granskning enligt ETSI:s standard för Qualified Trust Service Provider såväl som för LOA3 och LOA4 i enlighet med ISO/IEC 29115. 
 
Arkitektur och teknik
EJBCA Appliance från Primekey Solutions
 
B3s medverkan i projektet
B3 Init har stått för implementation och kompetens runt PKI, såväl tekniskt som regelverksmässigt. Ett axplock innefattar bland annat CP, CPS, nyckel-ceremonirutiner, rollbesättningar i organisationen, teknisk implementation med design med mera.

POLISEN
Utredning av nästa generations PKI

Polisens PKI-plattform är Sveriges största PKI-system. Polisens PKI används för både interna polisspecifika system och externa system, som t ex system för hantering av svenska pass och Migrationsverkets uppehållstillståndskort.


Polisen arbetar kontinuerligt med att anpassa sina system efter nya krav och behov och att modernisera system och arbetsprocesser för att minska tidskrav och kostnader för underhåll.

Behov
För att utvärdera den befintliga PKI-plattformen och jämföra den med nya plattformar valde Polisen att göra en förstudie. Denna skulle analysera plattformarna och utvärdera dem med hänsyn till kostnad, tekniskt perspektiv och organisatoriska behov. Baserat på denna analys ska förstudien leda till en rekommendation på inriktning för den framtida plattformen och hur den skall passa in i verksamheten.

Arkitektur och teknik
Samtliga system som analyserats skapar certifikat enligt standarden X509 version 3. Utredningen ställde grav på gedigna PKI-kunskaper, infrastruktur, säkerhet samt processer och rutiner.

B3 Inits medverkan
B3 Init har drivit denna förstudie.


SKATTEVERKET
Rådgivning kring uppbyggnad av ny PKI

Skatteverket har använt PKI under lång tid och det är en fundamental komponent i många av myndighetens säkerhetsfunktioner och tjänster. Under 2016 har en revision gjorts, och PKI-systemet ska nu uppdateras och anpassas till dagens och morgondagens behov.

Den nya lösningen ska motsvara dagens “best practice” vad gäller såväl kryptografiska algoritmer som arbetssätt och processer.

Behov
För att säkerställa att den nya lösningen ska uppfylla Skatteverkets höga krav på kvalitet och säkerhet behövde Skatteverket kompletterande kompetens inom PKI och kryptografi.

Arkitektur och Teknik
Arkitekturen bygger på Microsoft PKI-lösning ADCS.

B3 Inits medverkan
B3 Inits medverkan i detta projekt var fokuserat på expertrådgivning inom PKI och kryptografifrågor.


PENSIONSMYNDIGHETEN
POC av PKI-lösning

Pensionsmyndigheten använder sig idag primärt av Microsofts lösning för PKI (ADCS). Denna är främst designad för att användas tillsammans med Microsoft-system, och Pensionsmyndigheten har därför börjat titta på verktyg för att förbättra och förenkla hanteringen av certifikat för andra system, såsom Linux-servrar.

Behov
Pensionsmyndighetens PKI-personal utförde en proof of concept (POC) av en programvara som i tillägg till den befintliga lösningen kan användas för integration med VMWare Orchestrator och auto-enrollment av certifikat i Linux-miljö. Där ingick att testa att programvaran skulle uppfylla myndighetens kravbild vad gäller såväl säkerhet som användbarhet.

Arkitektur och teknik
Som tilläggs-PKI valdes EJBCA från Primekey Solutions.

B3 Inits medverkan i projektet
B3 Init framställde testfall för verifiering av kravuppfyllnad samt utförde POC:en tillsammans med Pensionsmyndigheten. POC:en verifierade att kravbilden uppfylldes på samtliga punkter.


Uppgradering av ett CA-system från 2008 till senaste releasen 

En stor organisation använder sig av ett CA-system som ger ut certifikat till smartcards som används till inloggning för personal på närmare 300 arbetsplatser i hela landet. Systemet används också för att skapa certifikat för kryptering och autentisering av interna system.

Behov
CA-systemet hade fungerat oavbrutet i närmare tio år. Under tiden hade ingen uppgradering skett. Kunden behöver hjälp med att genomföra en migration från gammal hårdvara, operativsystem och programvara, till nya servrar. Uppgraderingen kräver såväl förändringar av den underliggande databasen som konvertering av CA:ns privata nycklar, som skyddad av en HSM (Hardware Security Module.)

Arkitektur och teknik
Den gamla lösningen var byggd på Solaris x86 och EJBCA från 2008. Uppgraderingen innebär byte till ny hårdvara, operativsystemet Redhat Enterprise Linux och senaste releasen av EJBCA. Även systemets PCI-baserade HSM byts till en nyare version.

Projektet innebär stora utmaningar. Den version av nyckelformat som använts i den ursprungliga installationen stöds inte längre. För att kunna genomföra uppgraderingen måste därför identifiera samtliga de nycklar som används i systemet identifieras och konverteras från originalformat till dagens standard, varefter CA:n  konfigureras om till att använda de nya nycklarna. Därtill måste databasens underliggande struktur förändras. 

Arbetet utförs i flera steg:

• Uppgradering till en CA-version från 2012, inklusive förändring av databasens struktur

• Uppgradering till en CA-version från 2013, med ytterligare förändring av databasens struktur

• Konvertering av HSM-nycklar och förändring av CA:ns konfiguration för att använda de nya nycklarna

• Uppgradering till senaste release av CA:n

B3 Inits medverkan i projektet
B3 Init tar fram en detaljerad driftssättningsplan med anvisningar för samtliga steg i uppgraderingen. B3 Init har genomfört uppgraderingen i test och bistår även i produktion. Vi tar också fram en underhållsplan för att genomföra kontinuerliga uppgraderingar och matchningar, och bidrar med en förbättrad säkerhet genom att förbättra processer och rolltilldelning.