Gamla terminalenheter stöder inte stark autentisering efter årsskiftet

Publicerad 05.07.2018

Det går till exempel inte att använda gamla terminaler eller webbläsare vid identifiering i offentliga nättjänster med bankkoder eller mobilcertifikat, när skyddspraxisen skärps senast vid ingången av 2019. Detta kan gälla Windows XP-datorer och mobilutrustning som använder operativsystemet Android 4, iOS 4 eller äldre versioner. Sådana utrustningar och operativsystem stöder inte version 1.1 eller senare versioner av TLS-protokollet (Transport Layer Security), som används för att skydda internettrafiken mellan en terminalutrustning och en tjänst. I Finland är användningen av dessa liten.

Operativsystemet Windows XP och gamla webbläsare och mobilutrustningar är inte tillräckligt säkra för stark autentisering. Därför kan de inte användas vid tjänster som kräver stark autentisering. Stark autentisering används för att skydda användares identitet på nätet. För att det ska kunna vara säkert att använda e-tjänster ska alla skeden av identifieringen vara skyddade.

De skärpta skyddskraven för identifieringstjänster kan synas för användaren till exempel så att denne inte kan logga in i skattemyndighetens tjänster, eftersom identifieringen kräver en informationssäkerhetsegenskap som gamla enheter inte har. Sådana operativsystem, webbläsare och utrustningar uppfyller inte längre i övrigt dagens krav på informationssäkerhet, och uppdateringar av informationssäkerheten finns inte längre tillgängliga för dem. Därför rekommenderas det att sådana operativsystem och utrustningar byts till nyare versioner.

Informationssäkerheten vid stark autentisering garanteras genom reglering

Kommunikationsverkets föreskrift 72 om elektroniska identifieringstjänster och betrodda elektroniska tjänster innehåller ett krav på att TLS-version 1.2 eller nyare i regel ska användas vid kryptering av dataöverföring. Nyare versioner är mer säkra än gamla. Enligt föreskriften kan version 1.1 användas endast om användarens terminalutrustning inte stöder nyare versioner. Webbläsarna har i regel stött version 1.2 sedan 2011, men mobilterminalutrustningar stöder ännu inte versionen på ett heltäckande sätt.

Flera leverantörer av identifieringstjänster har redan förhindrat att den föråldrade 1.0-versionen av TLS-protokollet används vid stark autentisering, och en del leverantörer gör för tillfället de ändringar som krävs. Ändringarna ska ha gjorts senast den 1 januari 2019. Efter denna tidsfrist går det inte längre att identifiera sig i nättjänster med gammal utrustning eller programversioner där stödet för nyare versioner saknas.

Det finns dock ingen anledning till oro, eftersom det är fråga om en vanlig utveckling av informationssäkerhetskraven. Det gäller att avstå från föråldrade kryptografiska metoder och protokoll som bygger på sådana metoder på grund av riskerna med metoderna och protokollen. Kommunikationsverket har behandlat tidsplanen för ändringar och informationen om förändringen i samarbete med leverantörerna av identifieringstjänster.

Ytterligare information

Jurist Marko Priiki, telefon 0295 390 596

Chef Jukka-Pekka Juutinen, telefon 0295 390 523

Jurist Anne Lohtander, telefon 0295 390 618

E-post: fornamn.efternamn(at)viestintavirasto.fi

Kommunikationsverkets föreskrift 72A/2018

Om du vill kontrollera vilka versioner av TLS-protokollet din webbläsare stöder kan du använda olika testtjänster på nätet, till exempel Qualys SSL Labs testtjänst på engelska.

Bakgrundsinformation

För närvarande är identifieringsverktyg för stark autentisering i Finland webbankskoder, teleoperatörernas mobilcertifikat och Befolkningsregistercentralens medborgarcertifikat och organisationscertifikat. Identifieringsverktygen för stark autentisering är införda i ett register som finns på Kommunikationsverkets webbplats.

Leverantörerna av identifieringsverktyg beviljar användare identifieringsverktyg för stark autentisering. Leverantör av identifieringsverktyg är till exempel en bank eller ett teleföretag som tillhandahåller allmänheten identifieringsverktyg för stark autentisering, såsom bankkoder eller mobilcertifikat.

Leverantör av tjänster för identifieringsförmedling är en part som förmedlar identifieringstransaktioner baserade på stark autentisering till en part som förlitar sig på en elektronisk identifiering, till exempel en webbutik eller en e-tjänst inom statsförvaltningen. Tillsammans är de leverantörer av identifieringstjänster.

Leverantörer av identifieringstjänster hör till ett förtroendenät. Syftet med att bilda ett förtroendenät är att olika ärendehanteringstjänster som tillhandahåller nättjänster kan använda en enda förmedlingstjänst för att skaffa sig de identifieringstjänster som de behöver för att identifiera sina kunder, oavsett vilket finländskt identifieringsverktyg nättjänsternas kunder använder.

Ämnesord: Informationssäkerhet , Cybersäkerhet , Elektronisk identifiering , Nyheter

LinkedIn Print