Søg
Nyheder Til virksomheder Til Myndigheder Om Digital Signatur
Sikkerhed

Minimumskrav

I de følgende afsnit angives de minimumskrav en sikker e-postløsning skal opfylde for at leve op til og blive anbefalet i forbindelse med eDag2.

Krav 1: Sikker e-post skal kunne sendes direkte til en myndigheds sikre e-post-adresse fra en anden myndigheds e-postkasse.  

Løsningen skal gøre det muligt at sende sikker e-post fra en myndigheds e-postkasse til en anden myndigheds e-postkasse. Det vil typisk være til en funktionspostkasse, hvor en funktionspostkasse er en fælles e-postkasse, der f.eks. dækker hele kommunen, en forvaltning, en institution eller et kontor.

Til funktionspostkassen tilknyttes et virksomhedscertifikat, der benyttes til at signere al funktionens udgående e-post. Samtidig benyttes virksomhedscertifikatet til at dekryptere e-post, der sendes til funktionspostkassen.  

Derudover skal løsningen gøre det muligt at modtage sikker e-post fra borgere (med personcertifikater) og virksomheds- og myndighedsmedarbejdere (med medarbejdercertifikater). 

Krav 2: Automatisk dekryptering af e-posten

Al krypteret e-post, der ankommer til en myndigheds funktionspostkasse skal kunne dekrypteres automatisk, dvs. uden manuel indgriben ved at benytte virksomhedscertifikatets private nøgle. Al e-post skal dekrypteres før den videresendes til interne fordelingspostkasser eller enkelte sagsbehandlere.
Løsningerne må ikke hindre myndighedens eksisterende virus- og spamløsninger i at fungere – alternativt skal løsningen indeholde egen virus-/spamkontrol.

Krav 3: Automatisk validering af signaturen, dvs. opslag på spærreliste hos certifikatudbyderen

Al signeret e-post, der ankommer til en myndigheds funktionspostkasse, skal automatisk valideres med henblik på at sikre signaturens gyldighed. Valideringen består af en kontrol i en gyldig spærreliste fra den certifikatudbyder, der fremgår af certifikatet (på nuværende tidspunkt er TDC den eneste udbyder af OCES certifikater).

Signaturen skal valideres før e-posten videresendes til interne distributionspostkasser eller enkelte sagsbehandlere. Afsenderens certifikat skal kunne opbevares og administreres i forbindelse med fremtidig brug.

Kan en henvendelse ikke valideres, skal e-posten videresendes med tydelig anmærkning herom (jf. også nedenfor om signaturbevis).

Krav 4: Automatisk generering af signaturbevis for modtagelsen af e-post og automatisk markering af e-posten, så postmodtager og sagsbehandler kan se, at e-posten er modtaget signeret og/eller krypteret, og om signaturen var gyldig ved modtagelsen.


Med henblik på at sikre meddelelsens bevisværdi, skal det kunne dokumenteres, at e-posten ved modtagelsen var signeret med en gyldig signatur (autenticitet), uændret (integritet) og evt. at ingen uvedkommende har fået kendskab til meddelelsens indhold (fortrolighed).  Denne dokumentation skabes ved hjælp af et signaturbevis.

Et signaturbevis skal indeholde:

  • Tidspunktet for signaturkontrollen[1]
  • Resultatet af signaturkontrollen
    • Angivelse af  om signaturen er valid på modtagelsestidspunktet
    • Angivelse af om meddelelsen er uændret
  • E-postens modtagelsestidspunkt[2]
  • Krypteringstilstanden[3] og
  • En entydig identifikation af signaturindehaveren[4]
    • I forhold til OCES personcertifikater udgør PID-nr tilstrækkelig identifikation.
    • I forhold til OCES medarbejder- og virksomhedscertifikater er det Serienummer og ”CommonName” feltet som unikt kan identificere certifikatindehaveren.

Der bør være mulighed for tilvalg af flere oplysninger i signaturbeviset, hvis der er behov for det.

Signaturbeviset skal genereres automatisk i forbindelse med behandling af den signerede og/eller krypterede e-post. Signaturbeviset skal tilknyttes meddelelsen, når den dekrypterede e-post videresendes til interne distributionspostkasser eller enkelte medarbejdere, så sagsbehandlere kender og kan stole på status af det modtagne. Det vil endvidere være hensigtsmæssigt, at det fremgår af signaturbeviset, at denne har været signeret og/eller krypteret.

Det er i den sammenhæng meget vigtigt at pointere, at signaturbeviset i sig selv kun er dokumentation for, at systemet har gennemført valideringen af signaturen. Det er de bagvedliggende systemer (dvs. leverandørernes systemer, myndighedens postservere og ESDH-systemer) og myndighedens procedurer og politikker for at validering og logning bliver gennemført, signaturbeviset gemt og opbevaret på en sikker og forsvarlig måde, så ingen kan komme til at ændre i det, efter at det er blevet genereret, som i den sidste ende bliver afgørende for bevisværdien af en digital signering og/eller kryptering.[5]

Krav 5: Logning i forbindelse med afsendelsen af e-post.

Med henblik på at sikre bevis for afsendt e-post, skal det kunne dokumenteres om e-posten blev sendt signeret og/eller krypteret, og ved kryptering om modtagerens certifikat var gyldigt på afsendelsestidspunktet.

Dette dokumenteres via logning. Logningen ved afsendelse skal som minimum indeholde:

  • Tidspunktet for certifikatkontrollen (Kun relevant ved kryptering)[6]
  • Resultatet af certifikatkontrollen (Kun relevant ved kryptering)
    • Det skal tjekkes om modtager-certifikatet er validt, dvs. kontrolleret op mod en gyldig CRL fra certifikatudstederen
  • E-postens afsendelsestidspunkt[7]
  • Tidspunkt for signering (Kun relevant ved signering)[8]
  • En entydig identifikation af den anvendte signeringsnøgle (f.eks. med et fingerprint)
  • En entydig identifikation af afsenderen[9]

Logningen skal kunne gemmes og udskrives med henblik på anvendelse som bevis for handlingen. Har myndigheden et -system, anbefales det, at ovennævnte log gemmes som et signaturbevis sammen med e-posten i ESDH-systemet. 

Der bør være mulighed for tilvalg af flere oplysninger i logningen, hvis der er behov for det.

Krav 6: Videresendelse af den markerede meddelelse til rette ”interne” myndighedens/institutionens e-postkasse eller medarbejderpostkasse

Ved videresendelse af en modtaget sikker e-post er det den e-post, som er automatisk behandlet og markeret (signaturbevis), der bør videresendes.

Dette kan enten ske ved hjælp af en automatisk rutine, som på baggrund af indholdet kan videresende e-post til den rette distributionspostkasse eller medarbejder, som skal gennemgå det ankomne og på baggrund af indholdet videresende e-post til den rette sagsbehandler eller distributionspostkasse. 
    
Krav 7: E-post, der er signeret og/eller krypteret, når de modtages, skal kunne besvares direkte af en sagsbehandler og automatisk kunne krypteres og underskrives med myndighedens virksomhedscertifikat ved besvarelsen.

De ansatte der modtager en e-post, som er blevet sendt signeret/krypteret, men er udpakket centralt, skal kunne besvare denne direkte fra deres postprogram. Systemet skal derefter automatisk behandle den afsendte e-post ved at signere meddelelsen med virksomhedscertifikatet (dvs. certifikatet, som er tilknyttet funktionspostkassen) og kryptere den med modtagerens offentlige nøgle, som tidligere er blevet gemt (se krav 3), før den sendes til den endelige modtager.
Afsenderen, der besvarer henvendelsen, skal være ”funktionspostkassen”. Systemet skal i den endelige e-post ændre navnet i ”Fra”-feltet fra sagsbehandlerens adresse til funktionspostkassens adresse. I tilfælde af, at systemet ikke kender modtagerens offentlige nøgle eller den lagrede offentlige nøgle ikke længere er gyldig (dvs. er udløbet eller revokeret) skal afsendelsen af sikker e-post enten kunne afvises og medarbejderen informeres elektronisk eller systemet søge efter et nyt certifikat med opslag hos CA´en .  

Krav 8: Løsningen skal kunne udvides til at understøtte flere funktionspostkasser

Løsningen skal give mulighed for, at myndigheden kan vælge at have flere funktionspostkasser med hver sit virksomhedscertifikat, som understøtter anvendelse af digital signatur. Alt afhængig af myndighedens størrelse og behov og i takt med udbredelsen af den digitale signatur skal myndigheden have mulighed for at oprette flere funktionspostkasser. (Se det første krav for en forklaring af funktionspostkassebegrebet.)

Udover de angivne minimumskrav er der en række udbygningsfunktionaliteter. Du kan læse mere om disse her.

Download minimumskravene (pdf, 18 KB)

[1] Mht. logning af tid skal systemet bruge CET (UTC + 1 time) som reference tid. <Tilbage>

[2] Mht. logning af tid skal systemet bruge CET (UTC + 1 time) som reference tid. <Tilbage>

[3] Under krypteringstilstand forstås en angivelse af om e-posten har været krypteret og i givet fald hvilke algoritmer og nøglelængder der blev benyttet. <Tilbage>

[4] I medarbejdercertifikater er det certifikatholderen der skal identificeres. <Tilbage>

[5] Der henvises til IT-Sikkerhedsrådets vejledning ”Digitale dokumenters bevisværdi” for yderligere informationer. <Tilbage>

[6] Mht. logning af tid skal systemet bruge CET (UTC + 1 time) som reference tid. <Tilbage>

[7] Mht. logning af tid skal systemet bruge CET (UTC + 1 time) som reference tid. <Tilbage>

[8] Mht. logning af tid skal systemet bruge CET (UTC + 1 time) som reference tid. <Tilbage>

[9] Den medarbejder, der har initieret, at e-posten sendes signeret og/eller krypteret. <Tilbage>

Anbefalede udbygningsmulighederpil
< Til top > < print >