Informationssäkerheten i Svensk e-legitimation
Myndigheten för samhällsskydd och beredskap (MSB) har på uppdrag från tre myndigheter genomfört en säkerhetsanalys av Svensk e-legitimation. De tre myndigheterna är Arbetsförmedlingen, CSN och Försäkringskassan.
Analysen har resulterade i en rapport som innehåller ett antal rekommendationer om vad som behöver göras för att förstärka lösningen Svensk e-legitimation ur ett säkerhetsperspektiv.
Rapporten blev klar den 20 oktober 2014. En fyrsidig sammanställning av analysen publicerades på MSB:s webbplats. Hela rapporten hemligstämplades enligt 18 kap. 8 § och 18 kap. 13 § offentlighets- och sekretesslagen (2009:400).
Men nedan rapport innehåller dock en handlingsplan utifrån resultatet från FRA och MSB:s säkerhetsgranskning.
Sårbarheter i Svensk e-legitimation
Nedan finner du ett utdrag från handlingsplanen gällande kryptoalgoritmer och att gamla och föråldrade algoritmer såsom SHA1 används vilket är häpnadsväckande. Läs gärna igenom hela handlingsplanen nedan och bilda din egen uppfattning, lämna gärna en kommentar också.
”Hög kunskap om kryptoalgoritmer och dess status över tid är en grundförutsättning för att tjänsterna inom samverkan för Svensk e-legitimation ska hålla en hög säkerhet. Det gäller i högsta grad även för underskriftstjänsten som kan avropas och användas i många aktörers tjänster. För att kunna vidmakthålla en hög kunskap krävs regelbunden och återkommande genomgång av området.
Behovet av kryptolösningar finns inom många tjänster i dag. Både sådana tjänster som exponeras över Internet men även interna tjänster. Svagheter i de kryptolösningar som används inom federationens tjänster måste därför identifieras och hanteras löpande. Förändringar i kryptolösningar ställer krav på hantering och eventuell anpassning av de tjänster som använder lösningarna. Alla aktörer som är en del av samverkan i federationen har ansvar för tjänsterna de tillhandahåller.
Nämnden har ett ansvar som federationsoperatör att driva arbetet med att ha rätt säkerhet på de kryptolösningar inklusive algoritmer som används inom federationen och då specifikt för de tjänster som nämnden tillhandahåller. Den genomförda analysen som MSB genomfört har identifierat en kryptoalgoritm (SHA-1) som inte ska användas efter 2013. Underskriftstjänsten som tillhandahålls via ramavtalet ”E-förvaltningsstödjande tjänster 2010” ger inte stöd för användning av SHA-1. Dokumentationen är uppdaterad och de tjänster som finns tillgängliga för avrop ger inte möjlighet för användning av SHA-1. Alla aktörer som ansluter tjänster till Svensk e-legitimation bör se över vilka kryptolösningar som finns i de egna tjänsterna.
Ambitionen för samverkan inom Svensk e-legitimation ska vara att den samlade kunskapen runt kryptolösningar och deras utveckling ska vara hög samt att det ska finnas planer för hur övergången från utgående lösningar ska se ut.”
Handlingsplanen kan laddas hem som PDF här: