Elektronisk spärrkontroll på ID-kort via Internet

2018-12-29   John Allberg   web e-leg

Sedan sommaren 2017 har jag varit redaktör för en ny teknisk specifikation för spärrkontroll av ID-kort. I början av november blev den äntligen publicerad med det fantastiska namnet “SIS-TS 45:2018 Identifieringskort - webbaserad giltighetskontroll av identitetshandlingar”

Köp den gärna på SIS, det sponsrar arbetsgruppen för standardisering av kort, TK448 , som jag är medlem i. Det gör att vi kan fortsätta vår verksamhet med standardisering av viktiga standarder så som ISO/IEC 7816-serien.

Ännu roligare vore naturligtvis om du valde att gå med i TK-448 och hjälpte till med standardiseringen! Hör av dig till Anders Lindberg. 😀

Sammanfattning

Specifikationens syfte är att komplettera och eventuellt ersätta de telefonbaserade modeller för spärrkontroll av ID-kort som vi har i Sverige idag.

Den är ett enkelt webanrop till utgivaren av ID-kortet som innehåller

  • typ av ID-kort
  • dokumentnummer
  • giltighetstid
  • personnummer

Tillbaka får man ett signerat svar om dokumentet är giltigt eller inte.

Kärnan i specifikationen

Kärnan i specifikationen är det anrop som sker från “förlitande part” till ID-kortsutfärdaren. Det görs över https och innehållet är json.

{
  "version": "1.0",
  "type": "SE-SIS",
  "serial": "9752219812312345678",
  "notAfter": "2020-06-16",
  "person": "191234561234",
  "reference": "42"
}

Det som efterfrågas är alltså status på ett svenskt ID-kort av typen SIS med dokumentnummer 9752 2198 123 1234 5678 som är giltigt till 2020-06-16 för en person med personnummer 191234561234.

Tillbaka får man ett signerat (JWS) svar med följande payload:

{
  "iat": "2018-12-29T08:20:23+0200",
  "status": "valid",
  "type": "SE-SIS",
  "reference": "42"
}

Referensen i svaret måste matcha den referens som klienten skickade in.

Ursprungligen ville arbetsgruppen att hela innehållet i frågan, så som dokumentnummer och personnummer, skulle ingå i svaret men i remissomgången skrev Skatteverket att de var osäker om de kunde använda specifikationen med den informationen i svaret, eftersom det eventuellt kunde ses som utlämnande av uppgifter.

Hantering av nycklar och URL’er i specifikationen

En av de uppenbara svårigheterna i specifikationen är verifikationen av signaturerna och då särskilt de nycklar som används.

Därför innehåller specifikationen en proxy-funktion som är tänkt att avlasta de enskilda klienterna från att hantera alla nycklarna. Klienten litar istället bara på proxyns nyckel, som proxyn använder för att omsignera alla svar från utfärdarna. Givetvis görs en signaturkontroll innan omsignering. 😀

En annan av de uppenbara svårigheterna är att veta url’en för de enskilda ID-korten.

Därför innehåller specifikationen en funktion (“Referral service”) för att få reda på URL för frågan. Frågan till “Referral service” är samma som till den riktiga tjänsten och den svarar med HTTP 303 och den URL som ska användas.

Vad händer nu?

Nu hoppas jag att utfärdarna av ID-kort till allmänheten så som Polisen, bankerna, Skatteverket och Transportstyrelsen implementerar specifikationen.

Under tiden kommer vi i TK448 att anpassa applikationen när det upptäcks problem i implementationen.

Min avsikt är att bygga en “Referral service” och en proxy med ett användargränssnitt.

När åtminstone en stor utfärdare har implementerat specifikationen är det dags för “förlitande partner” så som bankerna att implementera klient-delarna och det är också då som “Referral service” och proxyn kan börja användas.

Internationellt perspektiv

I december var jag i Utrecht och presenterade specifikationen för CEN224, den arbetsgrupp inom den europeiska standardiseringen som håller på med smarta kort.

Det togs emot väldigt positivt och till min förvåning fanns inte något motsvarande i något av de andra länderna och de såg stor potential inte bara inom respektive land utan även mellan länder där proxy-funktionen kan fungera som en landskontakt för förlitande parter i ett annat land.

Vi fick med oss Tyskland, Frankrike och Holland. För att påbörja standardisering inom CEN måste man ha fem länder som stödjer arbetet med röster och tekniska experter.

Vi saknar därmed ett land så nu på börjar lobbying för det och att formellt lägga fram NWIP (new workitem proposal) för röstning.


Nästa inlägg ("Remissvar SOU 2019:14: Ett säkert statligt ID-kort – med e-legitimation") >>
<< Tidigare inlägg ("Så kan du minska bedrägerier med BankID")

Dela på:    
John Allberg

John har arbetat med elektronisk identifiering och e-legitimationer sedan 2000. Först på Posten eSäkerhet mellan 2000 och 2004, sedan på Telia mellan 2004 och 2008. Från 2009 är han konsult inom området och 2010 grundade han Ayoy tillsammans med Oscar Jacobsson.