Norsk patent kan gi enklere pki

Norsk patent kan gi enklere pki

IBM og Det Norske Veritas (DNV) ønsker bruke norsk oppfinnelse til å få fart på bruken av pki og digitale signaturer.
Pki (public key infrastructure) og digitale signaturer sliter i motvind. Teknologien er på plass, men bruken lar vente på seg. Utviklingen går til og med så trått at analyseselskapet Gartner trekker fram pki som et av områdene it-sjefer

ikkebør prioritere de fem neste årene. En norsk oppfinnelse kan være "the missing link" som gjør pki mer attraktivt. Bak den patentsøkte programvaren står PKI Consulting Services og Validsign, hvis ansatte og teknologi ble overtatt av IBM Norge i fjor.

Samtrafikk

-- Det som nå er blitt IBMs mellomvareløsning gjør det mulig for brukerstedene å sjekke sertifikatenes gyldighet fra et stort antall sertifikatutstedere gjennom i prinisippet èn systemintegrasjon. Løsningen tilbyr brukerstedene å kunne velge eller endre sertifikatutsteder over tid, og likevel kunne validere signaturer og sertifikater uavhengig av hvilke utstedere andre måtte velge, sier Trond Lemberg, tidligere styreformann i Validsign og nå ansvarlig for pki-tjenester i IBM Global Services i Norge.

Samtrafikkløsningen som Lemberg og hans folk har utviklet og patentsøkt, skjermer brukerstedene for kompleksiteten som oppstår når gyldigheten og sikkerheten til sertifikater fra andre utstedere skal sjekkes. Sertifikatutstederne har i mange tilfeller inngått ulike typer samarbeid som kan gjøre det komplisert å finne fram til den opprinnelige sertifikatutstederen (også kalt roten) som kan gå god for sikkerhetsnivå og gyldighet.

Lavere terskel

Såkalte broer eller kryssertifiseringer, eller hybrider av disse, innebærer at brukerstedene må installere kostbare og prosesseringstunge løsninger som vanskelig lar seg utvide når antallet brukere øker.

-- Ansvarsforholdet er ofte svært utydelig. Vår patentsøkte programvare gjør det lettere å finne fram til dem som sitter med ansvaret, slik at flere kan ta i bruk pki-teknologien for å gjøre forretnings- og arbeidsprosesser hel-elektroniske, sier Lemberg.

IBMs pki-mann frykter at pki kan tape for enklere og rimeligere mekanismer for elektroniske signaturer.

Dagens pki-løsninger er dyre å implementere, og det kan være fristende å se etter alternativer. Tradisjonelle engangspassord og logging kan brukes i mange situasjoner, men egner seg ifølge Lemberg ikke til hel-elektronisk tjenesteyting med flere involverte parter.

Rolle for DNV

Her hjemme ønsker moderniseringsminister Morten A. Meyer å få fortgang i utrullingen av pki og digitalte signaturer. Den nasjonale samarbeidsprosjektet SEID (Samarbeid om elektronisk ID og signatur) lanserte nylig nasjonale sertifikatprofiler som gir håp om en enkleere praktisk gjennomføring av pki.

Men nasjonal standardisering hjelper lite når målet er at digitale sertifikater skal være gyldige på tvers av landegrensene. Internasjonalt finnes det sannsynligvis mer enn tusen sertifikatutstedere.

Bare i Kina er det allerede 70 såkalte CA-er, altså sertifikatutstedere. Driver du handel med Kina må du kunne stole på sertifikater fra alle disse sertifikatutstederne, som krever et meget omfattende valideringsapparat.

-- Et system der alle brukerstedene selv må validere sertifikatene fra alle sertifikatutstederne er både dyrt og komplisert, og neppe gjennomførbart i praksis, sier Leif Buene, forretningsutvikler for ebusiness og tillitsskapende tjenester i Det Norske Veritas (DNV).

Den norske mellomvaren fra Validsign/IBM legger forholdene til rette for at Buene kan planlegge å opprette en uavhengig valideringstjeneste for pki. Tjenesten, kalt "DNV Validation Authority Services", minner om DNVs rolle i andre bransjer. På samme måte som DNV utøver en rolle som uavhengig tredjepart i vurdering av kvalitet og sikkerhet, akseptert av marked og myndigheter over hele verden, ønsker stiftelsen å være en såkalt tiltrodd tredjepart innen pki. I denne rollen vil DNV levere tjenester for uavhengig sertifikat-godkjenning og samtrafikk mellom sertifikater og signaturer.

Hele verden

I stedet for at brukerstedene skal integrere seg mot hver enkelt sertifikatutsteder, kan de integrere seg en gang mot "valideringsautoriteten" DNV. Modellen minner om "nav og eike"-tankegangen som er i ferd med å vokse fram innen moderne it-integrasjon. DNV vil, eventuelt sammen med et lite antall andre aktører, være navet som får pki-hjulet til gå rundt.

-- Dette er en rolle vi er godt kjent med. Vi er sikre på at løsningen er god, men usikre på markedet. Det er ikke aktuelt å lage en løsning kun for Norge. DNV ser på hele verden som sitt marked, understreker DNVs forretningsutvikler.