Bilaga för IT säkerhet inom SDK

På denna sida finns information om vad som gäller inom SDK för anslutna deltagarorganisationer kring IT-säkerhet i form av regler, rutiner och ansvar.

Anslutning för deltagarorganisationer
Version: 1.6.0
Denna version gäller från och med 2024-11-18

1. Inledning

Denna bilaga är en del av regelverket för SDK. Bilagan beskriver och specificerar vad som gäller inom SDK för anslutna deltagarorganisationer kring IT-säkerhet i form av regler, rutiner och ansvar.

Bilagan beskriver IT- säkerhetskrav för kommunikation inom SDK och syftar till att upprätthålla en lämplig nivå på konfidentialitet och riktighet vid meddelandeöverföring inom SDK.

Bilagan innehåller även referenser till säkerhetsmekanismer och krav inom eDelivery transportinfrastruktur (Plattform för eDelivery).

För mer information om plattformen för eDelivery’s transportinfrastruktur och säkerhetsmekanismer se bilaga informationssäkerhet och tillitsmodell för plattform och federationer

2. Beskrivning av SDK och dess transportinfrastruktur

SDK är en tillämpning som använder sig av plattformen för eDelivery’s transportinfrastruktur för säker och robust överföring av meddelanden och information mellan organisationer.

Anslutna deltagarorganisationer behöver ha en meddelandetjänst och meddelandeklient för att kunna skicka och motta meddelanden. För att transportera informationen vidare till andra deltagarorganisationer behövs även en accesspunkt för överföring. Lösningen utgår ifrån en så kallad fyrhörningsmodell (four-corner model) för säker robust transport.

Bilden beskriver fyrahörnsmodellen, det vill säga det flöde ett meddelande har från en organsiation till en annan när ett meddelande skickas.

Figur 1: Fyrhörningsmodellen

Förklaring av hörnen i modellen:

Hörn 1 (C1) / Hörn 4 (C4) är deltagarorganisationers (deltagares) anslutande system, där:

  • Hörn 1 är avsändande deltagarorganisations meddelandetjänst och meddelandeklient.
  • Hörn 4 är mottagande deltagarorganisations meddelandetjänst och meddelandeklient.

Hörn 2 (C2) / Hörn 3 (C3) är deltagarorganisationers (deltagares) anslutna accesspunkter, där:

  • Hörn 2 (C2) är avsändande deltagarorganisations accesspunkt.
  • Hörn 3 (C3) är mottagande deltagarorganisations accesspunkt.

2.1 Säkerhetsområden som reglerar skydd vid meddelandeöverföring

Inom fyrhörningsmodellen finns följande säkerhetsområden som reglerar skydd vid meddelandeöverföring:

 

Säkerhetsområde

Hörn

Beskrivning

Säkerhet i eDelivery transportinfrastruktur

C2-C3

Fokuserar på säkerheten vid meddelandeöverföring mellan accesspunkter.

 

Detta område regleras av plattformsansvarig samt av SDK-federationsägare.

 

För information om eDelivery transportinfrastrukturs säkerhetsmekanismer och skydd mellan accesspunkter, se bilaga Informationssäkerhet och tillitsmodell samt bilaga Transportmodell – Utökad Bas.

 

Se avsnitt 2.2 för tilläggskrav avseende SDK.

O2O-kryptering och signering inom SDK

C1-C4

Fokuserar på säkerheten vid meddelandeöverföring mellan avsändande deltagarorganisations anslutna system (C1) och mottagande deltagarorganisations anslutna system (C4).

 

Detta område regleras av SDK-federationsägare.

Inre säkerhet i lokala komponenter

C1 - C2 samt C3 - C4

Fokuserar på säkerheten vid meddelandeöverföring mellan anslutande system och accesspunkt hos avsändande och mottagande deltagarorganisation.

 

Detta område regleras av SDK-federationsägare.

 

2.2 O2O-kryptering och signering

SDK tillämpar kryptering och signering för säker meddelandeöverföring mellan deltagarorganisationer genom så kallad Organisation-till-Organisation-kryptering (O2O- kryptering).

Meddelanden som skickas inom SDK ska signeras och krypteras mellan meddelandetjänst hos sändande respektive mottagande deltagarorganisation.

Deltagarorganisationen ska säkerställa att meddelandetjänsten följer kraven på signering, kryptering, validering av signatur och dekryptering av meddelande enligt Regelverk för meddelandesystem.

Detta innebär bland annat att meddelandetjänsten paketerar meddelandet enligt specifikation i bilaga Diggs Kuverteringsprofil XHE. Deltagarorganisationens certifikat för kryptering och signering tillgängliggörs genom slagning mot certifikatspubliceringstjänsten.

3. Krav på skydd vid meddelandeöverföring

Dessa krav gäller inom SDK federationen enligt aktuellt anpassningsdokument SDK federationens tekniska anpassningar mot plattform för eDelivery.

3.1 Generella krav på krypteringsalgoritmer, säkerhetsprotokoll och certifikat

För att skydda informationen vid meddelandeöverföring inom SDK ska deltagarorganisationer för sin egen anslutning ansvara för att krav på kryptering, signering, autentisering och validering av signatur uppfylls.

Olika metoder används beroende på säkerhetsområde och vilket hörn i fyrhörningsmodellen som hanterar meddelandet.

Kryptografiskt nyckelmaterial som används för skydd av överföring av meddelanden via SDK ska skapas på ett säkert och trovärdigt sätt med slumptalsgenerator, samt skyddas vid förvaring och användning så att det inte röjs till obehöriga.

Val av algoritmer, nyckellängder och säkerhetsprotokoll ska följa ”best practice guidelines”.

Äldre säkerhetsprotokoll och algoritmer ska INTE användas.

I praktiken innebär detta att för skydd av information vid meddelandeöverföring gäller nedanstående algoritmer, nyckellängder, säkerhetsprotokoll och certifikat.

3.1.1 Krav på krypteringsalgoritmer och nyckellängder

Asymmetriska nycklar

  • RSA - Nyckellängd 3072 bitar eller mer (RSA-OAEP).
  • ECDSA - För elliptiska kurvor rekommenderar NIST ECDSA Curve P-256 alternativt P-384 dvs. 256 eller 384 bitars kryptografiska elliptiska kurvor.

Symmetriska nycklar och hashfunktioner:

  • AES - Nyckellängd 256 bitar eller mer (AES-256-GCM).
  • SHA-2 - 256 bitar eller mer (SHA-256).

3.1.2 Tillåtna säkerhetsprotokoll för transportkryptering

  • TLS version 1.2 eller nyare.
  • TLS-konfigurationen ska vara åtminstone av ”grade A” enligt SSL Labs gradering.

3.1.3 Krav på certifikat

Krav på certifikat är att det ska vara X.509 som är en ITU-standard för digitala certifikat, public key infrastructure (PKI) och privilege management infrastructure (PMI).

3.2 Säkerhet i Plattform för eDelivery transportinfrastruktur – skydd mellan accesspunkter

Säkerställer konfidentialitet och riktighet mellan accesspunkter (säkerhet i eDelivery transportinfrastruktur).

Den som ansvarar för accesspunkten kallas för accesspunktsoperatör och måste genomföra tester och godkännas av Digg för att kunna delta i SDK-federationen.

Både offentliga aktörer och privata tjänsteleverantörer kan bli godkända som accesspunktsoperatörer.

För att ansluta till SDK-federationen ska deltagarorganisationen använda en accesspunktsoperatör som är plattformsgodkänd och federationsgodkänd av Digg.

Utöver Diggs godkännande av accesspunktsoperatör gäller följande anpassningar till de grundregler som specificeras i bilaga Transportprofil AS4 Länk till annan webbplats., avsnitt 2.4.

3.2.1 Godkända certifikatsutgivare för TLS-trafik, A1

Anpassning A1 enligt B1.4.4 - Federationens tekniska anpassningar mot plattform för eDelivery

  • Rotcertifikat: SITHS e-id Root CA v2 (2019-05-15 till 2049-09-15).
  • Certifikatsutgivare: SITHS e-id Function CA v1.

3.2.2 Godkänd autentiseringsmetod, A2

Anpassning A2 enligt B1.4.4 - Federationens tekniska anpassningar mot plattform för eDelivery

Accesspunktsfunktioner som agerar i eDelivery transportinfrastruktur ska använda:

  • “Two-way TLS” baserad på trust till “SITHS e-id Funktion CA v1” (ej enskilda certifikat).

3.3 O2O-kryptering och signering av meddelanden – skydd vid meddelandeöverföring mellan deltagarorganisationer

O2O-kryptering och signering säkerställer konfidentialitet och riktighet mellan deltagarorganisationer. Här gäller följande krav:

  • Meddelandekryptering och signering enligt bilaga Diggs Transportmodell Utökad BAS.

3.3.1 Godkända certifikatsutgivare (CA)

Godkända certifikatsutgivare är tills vidare:

  • SITHS e-ID funktionscertifikat (Inera).
  • E-identitet för offentlig sektor - Efos (Försäkringskassan).
  • ExpiTrust EID CA V4 (tidigare Steria AB e-Tjänstelegitimationer Kort CA v2 hos Expisoft AB).

3.3.2 Krav på certifikatshantering

Anskaffande och förnyelsehantering:

  • Deltagarorganisationen ansvarar för att ha en skriftlig rutin för hur certifikatsunderlaget skapas (CSR).
  • Deltagarorganisationen ansvarar för att vid var tid ha ett giltigt 020-certifikat.
  • Deltagarorganisationen ansvarar för att leverera certifikatets publika nyckel till SDK federationsägare.
  • Deltagarorganisationen ansvarar för att vid uppdatering och byte av certifikat eller nyckel utan dröjsmål meddela SDK federationsägare.
  • Deltagarorganisationen ansvarar för att kontrollera certifikatens giltighet vid kryptering och dekryptering av meddelanden samt validering av signatur.
  • Certifikatens giltighet ska kontrolleras mot Diggs certifikatspubliceringstjänst enligt ’Certifikatspublicering – REST-bindning till SMP’.
  • Certifikatens giltighet ska kontrolleras genom spärrkontroll/revokeringskontroll (CRL/OSCP)
    • Om spärr/revokeringskontroll ej kan utföras anses certifikatet ej tillförlitligt.

3.3.3 Konfigurering av tillit till godkända certifikatsutgivare (CA)

Giltigt signerat metadata i certifikatspubliceringstjänsten (SMP) utgör grund för tillit till deltagarorganisationens O2O certifikat. Giltig certifikatsutgivare för signering av metadata i SMP se SDK Anslutningsinformation certifikat.

3.4 Inre säkerhet

Säkerställer konfidentialitet och riktighet i deltagarorganisations inre säkerhet, dvs. inom anslutande system (meddelandetjänst och meddelandeklient) och mellan anslutande system och accesspunkt.

Här gäller följande krav:

  • Transportkryptering och flerfaktorsautentisering av anslutande system.
  • Information kan hanteras och transporteras okrypterat och konsumerande anslutna system behöver inte autentiseras i följande fall:
    • Inom en för deltagarorganisationen isolerad serverhall eller låst serverutrymme där ingen server eller nätverkskomponent delas med någon annan part.
    • Inom dedikerade switchar i en väl skyddad miljö.

3.4.1 Tillåtna säkerhetsprotokoll för transportkryptering

Utöver TLS, enligt avsnitt 3.1.2 ovan, tillåts även följande protokoll:

  • IPsec, ESP i Tunnel mode, med IKEv2 (Internet Key Exchange) med RSA/DSS.

4. Krav på skydd vid kommunikation med gemensamma komponenter

Deltagarorganisationen ska ha skydd mot intrång, skydd mot inkommande skadlig kod samt skydd mot spridning av skadlig kod för att undvika att påverka mottagande deltagarorganisation eller andra aktörer i SDK. Krav på skydd vid kommunikation med gemensamma komponenter säkerställer konfidentialitet och riktighet vid administration och sökning av deltagande organisationer och metadata i gemensamma komponenter.

4.1 Plattformens gemensamma komponenter

Plattformens gemensamma komponenter säkerställer konfidentialitet och riktighet vid administration och sökning av deltagande organisationer och metadata i gemensamma komponenter hos Digg. Det omfattar:

  • Skydd mellan administratör och SMP-tjänsten.
  • Skydd mellan accesspunkt och SMP-tjänsten.
  • Skydd mellan SMP- och SML-tjänsten.
  • Skydd mellan administratör och certifikatspubliceringstjänsten.
  • Skydd mellan anslutet system och certifikatspubliceringstjänsten.

För närmare beskrivning av krav, se tjänstebeskrivningar för respektive komponent.

4.2 SDK-federationens gemensamma komponenter

SDK-federationens gemensamma komponenter säkerställer konfidentialitet och riktighet vid administration och sökning av deltagande organisationer och metadata i gemensamma komponenter. Det omfattar:

4.2.1 Skydd mellan anslutande system och SDK adressbok

Skydd mellan anslutande system och SDK adressbok säkerställer konfidentialitet och riktighet mellan anslutande system och SDK adressbok. Här gäller följande krav:

  • Transportkryptering tillämpas enligt generella krav på protokoll och krypteringsalgoritmer

Om anslutande system skapar en lokal läskopia av SDK adressbok gäller även:

  • För att vidmakthålla hög aktualitet i lokal läskopia behöver denna uppdateras flera gånger per dygn. Det innebär att lokal läskopia ska uppdateras minst var 12:e timme men inte oftare än var 4:e timme.

5. Teknisk säkerhet

Det här kapitlet beskriver den säkerhet som krävs avseende loggning för felsökning samt tidssynkronisering i lokala komponenter.

Tekniska säkerhetsåtgärder och rutiner för felsökning, loggning och tid ska hanteras mellan deltagarorganisation och ansvariga för lokala komponenter.

5.1 Felsökning och spårbarhet

Kraven på loggning är för att underlätta felsökning genom spårbarhet när det är flera aktörer inblandade. Kraven på loggning i eDelivery transportinfrastruktur, både i avsändande respektive mottagande AP-funktioner, framgår av Accesspunktsoperatör - Gemensamma Regler och Rutiner.

Därutöver ska loggar för meddelandeöverföring via SDK innehålla:

  • Meddelandetyp (dokumenttyp)
  • Identifierare för accesspunkt
  • Avsändningstidpunkt/ Mottagandetidpunkt
  • Identifierare för avsändande och mottagande deltagare
  • AS4 Message ID
  • AS4 Conversation ID

Observera att loggar inte ska omfatta meddelandeinnehåll. Vid adressering via SDK ska loggar innefatta: Vilken SDK adressbok som används (gemensam alternativt lokal läskopia).

5.2 Tid

Samtliga datorklockor ska synkroniseras mot tillförlitliga källor, spårbara till världstiden UTC(SP) men minimum UTC. Tidssynkroniseringen ska övervakas kontinuerligt.

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: