Transcript Robert Carlsson, Carl Hössner och Jesper

BankID-dagen 22 november 2010
Allt du velat veta om BankID men
aldrig vågat fråga!
Robert Carlsson Carl Hössner Jesper Skagerberg
Säkerhetschef Klientansvarig Chefsarkitekt Syftet med det här passet
• Att ni ska kunna ställa frågor • I bästa fall kommer vi med ett bra svar
Men om ingen vågar ställa frågor?
• Så tänkte vi berätta om följande:
– Vad gör en webblösning säker? – Hur gör man BankID på RÄTT sätt?
– Dokumentsignering med BankID
Så fråga på!
• Ni kommer att få presentationen vi tänkte hålla även om vi inte hinner gå igenom den
• Avbryt gärna med frågor om allt möjligt medan vi pratar
Vad gör en webbtjänst säker
Vad gör en webbtjänst säker
• Massa saker Klok arkitektur
Säker webbutveckling
SLA / tillgänglighet
Konfidentialitet
PEN‐tester och sårbarhetsanalyser
Intern säkerhet
OWASP
http://csrc.nist.gov/publications/nistpubs/800‐95/SP800‐
95.pdf
– http://www.detectmalice.com/
– Etc..
–
–
–
–
–
–
–
–
Men vad kan BankID hjälpa dig med?
• Säker identifiering
– Namn + personnummer
• Säker underskrift – Av transaktioner och dokument
• Över webben + i mobilen
• PC, Mac, Linux
• Symbian, iPhone, Android, WindowsMobile, Blackberry etc..
• Fil + kort + kortläsare
6. Kontrollerar transaktionen
En inloggning
8. OK + Namn + Pnr
BICS
Spärr kontroll
2. Visar information och instruktioner för kunden
Webb tjänst
1. Din webbtjänst, Den som kunden vill komma åt
7. Online spärrkontroll
Webb läsare
3. BankID Säkerhetsprogram, visar inloggningen
BISP
5. Skapa trans + skicka in
4. Granskar inloggningen + godkänner med sin PIN
Kund
6. Kontrollerar transaktionen
En underskrift
8. OK + Namn + Pnr
BICS
Spärr kontroll
2. Visar information och instruktioner för kunden
Webb tjänst
1. Din webbtjänst, Den som kunden vill komma åt
7. Online spärrkontroll
Webb läsare
3. BankID Säkerhetsprogram, visar det som ska skrivas under
BISP
5. Skapa trans + skicka in
4. Granskar texten och skriver under med sin PIN
Kund
Vad är viktigt för att få säkerhet
• Att kund blivit RÄTT identifierad (banken)
• En aktiv handling från kunden (skriva PIN)
• Kunden förstår VAD han gör
– Tydlig skillnad på inloggning och underskrift
– SKRIV BRA transaktionstexter som betyder något för kunden
• Skydda kundens godkännande från förfalskning ‐ BISP + kundens e‐leg
• Kontrollera den korrekt ‐ BICS
Exempel inloggning
Exempel underskrift
Ett inte lika bra exempel
Hur gör man BankID på RÄTT sätt?
http://www.bankid.com/rp/info/
Rp?? Vad är det
• RP = Relying Party = Förlitande Part
Vad är en Förlitande Part??
• Bra fråga.. Förlitande part
• Någon som förlitar sig på en tjänst (som t.ex. BankID e‐legitimation)
• Dvs. webbplats som använder BankID
• Bättre namnförslag mottages tacksamt
http://www.bankid.com/rp/info/
Innehållet
•
•
•
•
•
•
•
•
•
•
1 Introduktion
1.2 Översikt
1.3 Vart kan jag vända mig med frågor? 1.4 Plattformsstöd
2 Kontroller innan inloggning görs med BISP
2.1 Installationsverifiering
2.1.1 Versionspluginen
2.1.2 Exempel på installations‐ och versionskontroll
2.1.3 Hänvisning till install.bankid.com
2.2 Automatisk versionskontroll
Mer ur innehållet
•
•
•
•
•
•
•
3 Legitimering och underskrift
3.1 Teknisk översikt
3.2 Aktivering
3.2.1 Legitimering
3.2.2 Underskrift
3.3 Parametrar
3.5 Returkoder
Ännu mer
• 3.8 Validering med BankID Control Server (BICS)
• 3.9 Exempel på legitimering och underskrift
• 3.9.1 Legitimering
• 3.9.2 Underskrift
• 3.10 Vanliga misstag
Exempel på inloggning
Exempel på inloggning
Exempel på inloggning
Kända fel
Exempel på fel
3.1.1 Ikoner kan se konstiga ut i Citrix‐miljö
Om BankID säkerhetsprogram används i Citrix‐miljö kan ikonerna se konstiga ut om minsta antalet färger
understiger 16‐bitar (High Color).
Versioner: BISP 4.10.3; 4.10.4; 4.15.0; 4.16.0
Konsekvens: För användare av Citrix med beskriven konfiguration, kosmetisk.
Rekommendation: Ingen åtgärd.
3.1.2 Användare av Firefox kan i vissa fall inte skriva lösenordet i pluginen
Felet uppstår i senare versioner av Firefox (främst 3.6).
När en användare försöker logga in (och ibland skriva under) i autentiseringspluginen så visas den med ett
förvalt BankID, men när användaren försöker skriva i lösenordsfältet så går inte det.
Versioner: BISP 4.10.3; 4.10.4
Konsekvens: Drabbad användare kan inte logga in eller skriva under i detta läge.
Rekommendation: Om användaren klickar på den lilla pilen till höger om sitt BankID så släpper låsningen
och då går det att skriva lösenordet.
Åtgärdat i version 4.15.0/4.16.0 av BankID säkerhetsprogram.
Underskrift av dokument
• BankID inför nu möjlighet att skriva under dokument (filer)
• Stöd för Pdf‐dokument och textdokument
Vad krävs för underskrift av dokument
• Din webbplats måste ha en uppdaterad BICS för att kontrollera underskrifterna
• Anvisningar kommer att finnas på www.bankid.com/rp/info
• Mycket likt en vanlig underskrift, men du måste tillhandahålla en fil med din avtalstext
Exempel underskrift av pdf
Exempel på underskrift av pdf
Exempel på underskrift av pdf
Att tänka på
• Kunden skriver BÅDE under PDF‐dokumentet
och sammanfattningen som visas i säkerhetsprogrammet
• Se till att sammanfattningen innehåller det viktigaste + en referens till dokumentet.
• Sammanfattningen visas även i telefon
• Håll sammanfattningen till under 400 tecken
Att tänka på
• Tänk på arkivering, särskilt om giltighetstiden på avtalet är lång
• Skydda arkiven mot förändring