De fleste av oss har hørt om digitale signaturer, digitale sertifikater, public keys og PKI, men hva er alt dette? I denne fyldige guiden får du full kontroll på akkurat denne teknologien.
Gangen i en verifikasjon/valideringssprosess
Når et signert dokument eller transaksjon ankommer fra en kunde til en Tjenesteyter må det valideres. Dette gjøres ved hjelp av tilgjengelig ‘bevis’-informasjon, nøkler og spesielle metoder.
Ved siden av den signerte meldingen mottas også kundens sertifikatet, som inneholder brukerens offentlige nøkkel. Sertifikatet er selv signert med ZebSigns egen ‘private’ nøkkel. I tillegg hentes en CRL (liste over sperrede sertifikater)
Mottakeren får i forbindelse med transaksjonen:
Mottakeren har fra før:
ZebSigns offentlige nøkkel
- Serveren sjekker om kundens sertifikatet er sperret ved hjelp av den CRL (hentes fra ZebSign sentralt).
- Serveren sjekker så om sertifikatets ZebSign-signatur er korrekt ved hjelp av den offentlige nøkkelen til Zebsign.
- Serveren tar ut Brukerens offentlige nøkkel (fra sertifikatet), som nå er godkjent, og bruker den til å verifisere meldingen. Hvis OK, godtas meldingen enten den er en autentiseringsmelding eller en signert transaksjon. Hvis ikke OK avbrytes den videre behandling, og eventuelt loggføres.
- For å bevise transaksjonen i ettertid må både melding og dens digitale signatur oppbevares. Zebsign vil lagre kundesertifikater i lang tid og dekker eventuelle behov som måtte oppstå lenge etter at sertifikater som engang var gyldige, senere er utløpt eller sperret.
Når gjøres de ulike tjenestene?
Autentisering utføres nomalt en gang – ved pålogging. Det vil si at vel ‘innenfor’ en portal gjentas normalt ikke autentisering.
Single-Sign-on: Et hus kan ha mange rom – slik er det også bak ePortaler. I dag konstrueres portaler slik at de dekker mange tjenester som kan spenne over eBank, ulike eHandelspartnere, ePost, eAksjehandel osv. Egentlig trenger hver av disse egen autentisering for den som vil ‘inn’. Etter den første innloggingen vil ZebSign ‘huske’ hvem som har entret portalen, og på en måte overta autentiseringen i de indre rom. Dette skjer transparent for brukeren, noe som er selve meningen med ‘single sign-on’. En bruker slipper dermed med én operasjon og slipper en en mengde passord.
Signering utføres hver gang du skal ‘underskrive’ noe – som i den fysiske verden. For å hindre at du trykker på en signeringsknapp i vanvare, kreves også at du taster in ditt faste passord hver gang. Hva du signerer på er opp til deg å bestemme – ditt valg med andre ord, etter at tjenesteyter har gitt deg et mulig valg.
For Kryptering gjelder ikke spesielle regler. Dette er valg som kan gjøres av tjenesteyter, av deg (ikke Truepass), eller som pågår hele tiden under såkalte sikre web-sesjoner. Disse er såkalte SSL-sesjoner (Secure Socket Layer) og vises ved såkalte https-adresser når man browser. SSL er en del av internettmiljøet, og tilbyr kryptering og autentisering, men ikke signering.
Kilde: Telenor
Sender din rapport, vennligst vent...