SSEKSäkra webbtjänster för affärskritisk kommunikation

2

SSEK - Bakgrund

• Tydliga krav från företagen och distributörerna (2001)– Lägre kostnad– Högre kvalité– Garanterade leveranstider

• Elektronisk kommunikation är svaret– Men hur...?– Försäkringsgivarna föreslår olika lösningar – Mycket diskussioner

3

Framtidsvision..?

OrganisationA

OrganisationB

OrganisationC

OrganisationD

VPN

VPN

PGP

PGP

SSHSSH

VPN VPN

PGP

PGP

DYRT!

4

Verksamheten

• Kontakt mellan SEB Trygg Liv och Skandia

• Gemensam standard för elektronisk kommunikation– Enklare för nya aktörer– Lägre kostnader– Inget område att konkurrera på – Bastjänst

5

Gemensam metod för kommunikation

OrganisationA

OrganisationB

OrganisationC

OrganisationD

SSEK

6

Framtagandet

• Utformning av specifikationen parallellt med utveckling av tekniska lösningar

• Liten grupp med tekniker utformade SSEKtillsammans med affärsverksamheten– Öppet och prestigelöst samarbete

mellan bolag och kompetenser

7

Juridiska frågor

• Elektronisk kommunikation ger förändring av befintliga rutiner

• Kundens underskrift saknas– Avtalsstruktur för de inblandade parterna– Företaget, individen, distributören och Skandia

• Lång avtalstid– Spårbarhet vid tvister

8

• Beskrivning av tjänsteorienterad kommunikationen– dock inte innehållet i det som skickas

• Uppfyller juridiska, affärsmässiga och säkerhetsmässigakrav på elektronisk kommunikation

• Får användas utan kostnad– Hämtas från www.ssek.org

SSEK

9

SSEK

• SSEK definierades av Skandia och SEB Trygg Liv – Version 1.0 släpptes 2002-09-10– Version 1.1 släpptes 2003-05-19– Tillägg för hantering av bilagor släpptes 2005-05-13– Version 2.0 släpptes 2006-05-10

10

SSEK beståndsdelar• Standards, inte egenutvecklat

• Rätt standards för ändamålet

WebServices SecuritySSEK

XML SOAP PKIXML Signature SSL

11

SSEK beståndsdelar

• Plattformsoberoende

• Leverantörsoberoende

• Kända teknologier– med stöd i tekniska utvecklingsverktyg

12

Säkerhet i SSEK

PKI (Public Key Infrastructure)

• Autentisering

• Sekretess

• Integritet

• Oavvislighet

13

• Ett digitalt id för företag

– Publik information om företaget

– Publik nyckel för kryptering och verifiering av signatur

Public Key: WQEQ35S%A2FD

Orgnr: 123 456 Namn: ACME

Sign

Digitala certifikat för organisationer

14

OrganisationA

OrganisationB

Certifikat vid kommunikation enligt SSEK

Public Key:WQEQ35S%A2FD

Orgnr: 123 456 Namn: ACME

Sign

Public Key:WQEQ35S%A2FD

Orgnr: 123 456 Namn: ACME

Sign

Public Key:WQEQ35S%A2FD

Orgnr: 123 456 Namn: ACME

Sign

Public Key: WQEQ35S%

Orgnr: 123 456

Namn: acmeSign

Public Key: WQEQ35S%

Orgnr: 123 456

Namn: acmeSign

Public Key: WQEQ35S%

Orgnr: 123 456

Namn: www.acme.comSign

15

• Certifikatets äkthet garanteras av en betrodd, tredje part - en CA (Certificate Authority)

• Certifikat är signerade av utgivande CA

• SSEK specificerar inte vilken CA som utnyttjas

Public Key: WQEQ35S%A2FD

Orgnr: 123 456 Namn: ACME

Sign

Att lita på digitala certifikat

16

CA i en PKI

• Ger ut certifikat

• Publicerar revokeringslistor

• En CA bygger upp sitt förtroende genom att följasin CPS (Certificate Practice Statement)

17

Utgivande av certifikat

������������ �������

����������������������

��������������������

����� ��� ���� ���������������������������������

�������������

� �� ������������ �����

18

Revokering av certifikat• CA tillhandahåller en lista på revokerade certifikat,

en ”certificate revocation list” (CRL)– Serienummer (certifikats id)– CRL utgivare– CRL giltighetstid

• CRL är digitalt signerad och publiceras regelbundet till en publikt tillgänglig katalog

• CRL skall hämtas regelbundet och kontrolleras vid användning av certifikat

19

Använd CA med publikt förtroende

OrganisationA

OrganisationB

OrganisationC

OrganisationD

Public Key:WQEQ35S%A2FD

Orgnr: 123 456 Namn: B

Sign

Public Key:WQEQ35S%A2FD

Orgnr: 123 456 Namn: A

Sign

Public Key:WQEQ35S%A2FD

Orgnr: 123 456 Namn: D

Sign

Public Key:WQEQ35S%A2FD

Orgnr: 123 456 Namn: C

Sign

20

PKI vid kommunikation enligt SSEK

• Exempel på Publika CA – Steria– Min Pension i Sverige– VeriSign

• Posten slutade sälja certifikat för organisationer 2005-01-01

• BGC (BankGiroCentralen) eventuellt ny CA för certifikat till organisationer

– Driftar CA-plattformen för BID (Bankernas ID-tjänst)– 500.000 stycken BID-certifikat levererade

21

Kommunikationsflödet enligt SSEK med PKI

InternetInterntsystem

Part A

Internt system

TUNNEL

Parterna identifierar sig

Part B

Dokumentet levereras

Kvitto skapas, signeras .... och skickas

över

Dokumentet skapas enligt specifikation

Dokumentetsignerasmed hemlig nyckel

Signaturen kontrolleras

22

SSEK förvaltas av SFM (Sveriges Försäkringsmäklares Förening)

FörsäkringsmäklarrepresentantAMF Pension

StorebrandFolksam

Euro AccidentLänsförsäkringar

Aspis LivAlecta

DanicaSEB Trygg Liv

SPPSkandia Liv

23

Implementerat hos stora aktörer i försäkringsbranschen

SPPSPV

PropactaAMF Pension

Söderberg & PartnersLänsförsäkringar

Max MatthissenAlecta

FörsäkringsgirotSEB Trygg Liv

Min Pension i SverigeSkandia

24

• Nyteckning av försäkring

• Ändring av försäkring

• Kommunikation av försäkringsinformation

• Fakturaspecifikation

Tjänster som publiceras enligt SSEK

25

• Mantacore

• Heimore Group

• IDA Infront

• Cernia XPS

Leverantörer av SSEK-produkter