Året 2012 var ett mycket bra men hektiskt år för Kirei, där nya utmaningar och intressanta uppdrag blandades med framgångar i långsiktiga och i många fall långdragna standardiseringsarbeten. Vi har under 2012 även lämnat Göteborg till förmån för bättre lokaler i Kungsbacka och Lerum.
Som ett resultat av ett fullspäckat schema har vår blogg blivit särskilt eftersatt, varför vi här önskar presentera ett axplock av det vi gjort under 2012 som en årskrönika.
Säkra trådlösa nät inom finanssektorn
Under våren bistod Kirei banken SEB med att upphandla och införa en storskalig trådlös nätverksinfrastruktur baserad på IEEE 802.11n. Säkerhetskraven var, som alltid i finanssektorn, höga och kombinationen av intern trafik, konsulter och gäster ställde särskilda krav på separation, identifiering och kryptering.
ISO SC27
I maj höll ISO-arbetsgruppen SC27 möte i Stockholm, där Kirei medverkade i den svenska delegationen. Vårt fokus var i första hand den kommande standarden ISO 29115 (Entity Authentication Assurance Framework). Vi behöver inte göra någon hemlighet av att vi anser att den innehåller ett rad tämligen allvarliga brister, men att vi nådde framgång i att lindra åtminstone ett par av dessa vid mötet i Stockholm. Ett problem i utarbetandeprocessen av standarden är att den är en gemensam standard för ISO och ITU-T, där delegaterna inte träffas på samma möten och i många avseenden har vitt skilda behov. Det gör det oerhört svårt att nå konsensus kring skrivningarna. Från svensk sida manar vi till en s.k. “early revision”, för att omarbeta framförallt kapitel 10 i standarden.
En ny svensk e-legitimation
Under våren fick Kirei även ett uppdrag av E-legitimationsnämnden att utarbeta en rapport kring internationella tillitsramverk för elektronisk identifiering, och att också presentera ett förslag till tillitsramverk för Svensk e-legitimation, anpassat efter svenska förhållanden. Rapporten togs emot väl, och det föreslagna tillitsramverket skickades ut på remiss i början av sommaren. Under hösten har vi också bearbetat de synpunkter som inkommit, och förhoppningsvis kan en reviderad version publiceras i början av 2013.
Ny EU-reglering av e-signaturer
EU-kommissionen har lagt ett förslag till en förordning som ska ersätta signaturdirektivet från 1999. Förhoppningarna var stora att det nya regelverket skulle vara mer teknikneutralt och mindre stelbent, vilket grumlades med besked när förslaget blev känt efter sommaren. Förslaget innebär mer av samma medicin som visat sig snarare blockera utveckligen, än att föra den framåt. Kirei medverkade på en hearing på Näringsdepartementet och framställde våra farhågor kring det nya regelverket. Sverige ses som ett föregångsland på området, och vår kritik mot förslaget har resulterat i en rad följdfrågor från kommissionen. Förhandlingarna som skulle startat under hösten har dragit ut på tiden, då flera grundläggande principer först måste klaras ut.
Säkerhet i resekort
Vi har också fortsatt arbetet inom kollektivtrafiksektorn, med reskorten som fokus - innefattande en djupare analys av hur de förbättrade korten MIFARE Plus – där det visat sig att nyttan med MIFARE Plus är ytterst marginell om dessa används i kompatibilitetsläge med MIFARE Classic, och där dessa förekommer i en blandad omgivning. Säkerheten i biljettsystemen måste även framgent baseras på säkerhetskontroller i den s.k. backoffice-funktionen.
DNSSEC
MSB (Myndigheten för samhällsskydd och beredskap) har tillsatt medel för att stimulera införandet av DNSSEC, här har Kirei varit med och stöttat genom att tillhandahålla utbildning och kvalitetssäkringstjänster för kommuner och landsting.
RFC 6698 – The DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol: TLSA – publicerades i augusti och beskriver hur man med hjälp av DNS och DNSSEC kan införa ytterligare kontroller av certifikat i protokollet TLS. Denna protokollstandard kan på sikt innebära en smärre revolution på internsäkerhetsomorådet, och delvis ersätta den tämligen bristfälliga struktur med certifikatutfärdare som används idag. Standarden förväntas leda till en väsentligt bredare spridning av säker webbåtkomst, och i nästa steg även utökas till att omfatta fler tillämpningar, t.ex. e-post och direktmeddelanden.
RFC 6841– A Framework for DNSSEC Policies and DNSSEC Practice Statements – publicerades vid årsskiftet. Arbetet som påbörjades 2010 i samband med vårt uppdrag med att införa DNSSEC i domännamnsroten, gav frukt i årets sista skälvande timmar. Extra kul är det att samtliga nya toppdomäner (gTLD) ska följa ramverket och publicera en DPS enligt denna RFC från och med Juli 2013. De flesta har redan författat en DPS enligt utkastversionen, men nu när dokumentet är fastställt innebär det att samtliga nya gTLD:er ska följa ramverket och publicera en DPS.
Nya toppnivådomäner
På uppdrag av ICANN har Kirei under hösten medverkat i “Registry Services Panel” som är en av flera utvärderingsgrupper som granskar ansökningarna för nya toppnivådomäner. ICANN har fått in över 1900 ansökningar gällande nya toppdomäner, och samtliga av dessa ansökningar ska ingående granskas enligt en rad kriterier.
Kirei har också assisterat ICANN i att upphandla och kvalitetssäkra den tjänsteleverantör som ska utföra de tekniska och administrativa kontrollerna av varje ny toppdomäns registry, innan de inkluderas i rotzonen och därigenom får starttecken och kan börja användas. ICANN valde, i hård konkurrens med stora multinationella bolag, svenska .SE (Stiftelsen för Internetinfrastruktur).
ISO 27001
Under hösten och vintern har vi bistått .SE (Stiftelsen för Internetinfrastruktur) med att förbereda sig och genomgå en certifiering enligt ISO 27001, innefattande hela registryverksamheten för den svenska toppdomänen på Internet. Det gör att .SE blir den första landsdomänen (ccTLD) i Europa att certifiera sig enligt informationssäkerhetsstandarden, och en av cirka 20-talet organisationer i Sverige. För den enskilde Internetanvändaren betyder det att denne kan fästa stor tillit till informationssäkerhetsarbetet hos den svenska toppdomänadministratören, och att risker i IT-verksamheten kontrolleras på korrekt och väl avvägt sätt.
En handledning om IP-baserade kommunikationsprotokoll
Som del av ett längre uppdrag för en större kund har vi tagit fram en handledning i införande av IP-baserade tillämpningar. Vår kund har önskat dela med sig av resultatet av arbetet, och handledningen publiceras därför inom kort på vår webbplats under en s.k. Creative Commons-licens.
Handledningen vänder sig i första hand till ansvariga för utveckling av IT-stöd, t.ex. IT-chefer, IT-arkitekter och verksamhetsansvariga, men innehåller även en fördjupningsdel med mycket matnyttig information för systemspecialister, nätverksansvariga, utvecklare och andra tekniker. Vi hoppas att publikationen ska kunna komma till nytta för andra, och tar mer än gärna emot synpunkter, kompletteringar eller rent av underlag till material att föra in i nästa utgåva.