Prosess

Funksjoner ved Bruk av BankID (basisfunksjoner)

BankID Klient og Server

All bruk av BankID forutsetter at en sluttbruker besøker et nettsted som har tilrettelagt for bruk av BankID til identifisering og/eller signering ved å implementere BankID Server i sin webtjeneste/webapplikasjon.

For Banklagret BankID med Web-klient må brukerstedet implementere funksjoner i sine nettsider slik at sluttbrukeren laster ned klienten fra sentral infrastruktur og deretter kjører denne i brukerens nettleser. Det forutsettes at sluttbrukeren har installert og bruker en støttet versjon av nettleser. 

For Banklagret BankID App må brukerstedet legge til rette for at BankID App startes opp på korrekt måte fra brukerstedets nettsider eller App. Selve appen lastes ned fra hhv iTunes Appstore eller Google Play.

BankID klienten kan startes opp med forhåndssatte parametere for brukerID (fødselsnummer og HA-tjeneste) og kommuniserer både med brukerstedets implementasjon og sentral infrastruktur. Sluttbrukeren bruker funksjoner i klienten til å aksessere og bruke sin BankID med tilhørende nøkler.

For BankID på mobil må brukerstedet implementere funksjoner i sine nettsider for å innhente sluttbrukerens mobiltelefonnummer og fødselsdato og sende dette inn til Sentrale Tjenere Mobil. Sluttbruken benytter seg av funksjonalitet i mobiltelefonen og mobilnettet for å aksessere og bruke sin BankID med tilhørende nøkler. 

Nettstedet bruker funksjoner i BankID Server til å aksessere og bruke sin BankID med tilhørende nøkler.

Tilgang til BankID private nøkler

For å bruke sin BankID må både sluttbruker og brukersted kjenne sine aktiveringsdata. Følgende er påkrevet for ulike nøkkelbærere: 

  • Banklagret BankID (Person og Ansatt): BrukerID (fødselsnummer/D-nummer/ansatt-ID), fast passord og Engangskode (engangspassord). Mekanisme for å generere engangspassord leveres av sluttbrukers bankforbindelse.
  • BankID på mobil: BrukerID (mobilnummer + fødselsdato), pin-kode i tillegg til tilhørende simkort med privat nøkkel.
  • BrukerstedsBankID: passord

Verifisering av partenes identitet (sertifikater)

Ved bruk av BankID verifiserer partene hverandres identitet. Dette gjøres ved at begge parter sender data (en utfordring eller data) til hverandre som signeres med BankID av motparten før den sendes tilbake. Ved mottak av signert utfordring kan partene verifisere at motparten har en ekte BankID og hente ut informasjon om identiteten til vedkommende fra sertifikatet. Denne informasjonen inkluderer også PID som er en unik identifikator for personer. Informasjonen som sendes over nett, er kryptert og beskyttet mot innsyn og endring fra tredjepart (såkalte mannen-i-midten angrep).

Validering av partenes sertifikater

For å sikre at partene ikke bare har en ekte BankID, men også en gyldig BankID må begge parter forespørre sin bank om dette. Dette gjøres ved at partene sender en forespørsel til valideringsautoritet (VA) som svarer om det forespurte sertifikatet er gyldig eller ikke. VA er oppdatert i sanntid med informasjon om sertifikatenes status i utstederens nivå-1 CA.

Utlevering av tilleggsinformasjon

Bankene er underlagt en særskilt taushetsplikt for bl.a. fødselsnummer og kan derfor ikke legge informasjon om dette direkte inn i BankID-sertifikatet. Det er derfor etablert en tjeneste i forbindelse med valideringsfunksjonen som kan sende med sluttbrukers fødselsnummer til brukersted. Kun brukersteder med lovmessig rett til å behandle slik informasjon, eller som har innhentet eksplisitt samtykke fra sluttbruker kan få tilgang til denne tjenesten. Tilgangskontroll utøves av den enkelte bank. Denne tjenesten kan utvides til å tilby annen type informasjon om sluttbruker på et senere tidspunkt.

Digital Signatur med SDO 

BankID kan brukes til å signere dokumenter digitalt. En digital signatur er like bindende som en håndskreven signatur og med BankID digital signatur er det bankene som går god for at riktig person har signert et dokument med BankID (forutsatt at sluttbruker ikke har opptrådt uaktsomt og derved kompromittert sin BankID, passord og/eller sin engangspassordmekanisme). 

For å sikre lagring, gjenfinnbarhet og lesbarhet støtter BankID det standardiserte signaturformatet SEID SDO Basic-V profil som forvaltes av Post- og Teletilsynet. Dokumenter som er signert med BankID kan lagres i dette formatet som bl.a. inneholder de signerte dataene, signaturen til partene, resultat av VA-oppslag ved signeringstidspunkt med mer.

PDF Signaturer

BankID støtter PDF Advanced Electronic Signatures (PAdES). Slike signatures kan lages ved hjelp av produktene av en signeringsoperasjon i BankID. Det er opp til brukerstedet å legge til signaturen i PDF-dokumentet etter at dokumentet har blitt signert. Legg merke til at andre formater for signatur (CMS) og revokeringsinformasjon (OCSP) enn standard BankID-formater må benyttes for å lage en gyldig PDF signatur. De PAdES-kompatible formatene må velges eksplisitt av brukerstedet ved intiering av en signeringsoperasjon.

BankID Dokumentoversikt

Signerte dokumenter kan lagres lokalt på en sluttbrukers PC. For enkel gjenfinning og verifisering av BankID Signaturer kan sluttbrukeren laste ned programvaren BankID Dokumentoversikt som kan søke gjennom sluttbrukerens datamaskin, gi oversikt over dokumenter og vise de signerte dokumentene. Merk at denne tjenesten ikke støttes av Web-klienten.

Transaction info to Merchant

For each BankID transaction the Merchant may retrieve information about it via BankID Server in order to make a decision whether the transaction was suspected to be fraudulent or not. BankID Server provides two different ways for a Merchant to get the information:

  • From BankID Security Data Interface
  • From rtReport


The transaction info returned through the Security Data Interface is comprised by data collected from the BankID environment together with a risk score based on the collected data calculated by the BankID Fraud detection system.

The transaction info returned in the rtReport is comprised of raw data from security checks performed by the client itself. The Merchant needs to interpret these data on its own in order to make a qualified desicion.

Further detail about the transaction info services is beyond the scope of this document. Please see the BankID release documentation for more information.

Banklagret BankID

Bestilling

Denne beskrivelsen dekker bestilling av Banklagret BankID. Mange av funksjonene nedenfor involverer både sentral og distribuert infrastruktur som er beskrevet i tidligere kapitler. En bankkunde kan bestille sin Banklagret BankID fra nettbanken (dersom kunden er identifisert på forhånd gjennom et tidligere fysisk oppmøte i banken) eller ved direkte oppmøte i banken. Følgende prosedyre beskriver bestilling fra nettbank. 

  1. Banken bestiller Banklagret BankID på vegne av bankkunden via BankID RA-grensesnittet til ODS sammen med informasjon om fødselsnummer, engangspassord-mekanisme og fast passord.
  2. ODS mottar bestillingen og sender en forespørsel om å lage privat og offentlig nøkkel til Banklagret nøkkelgenerator.
  3. Privat nøkkel lagres under flere lag kryptering i en sikker database, mens offentlig nøkkel sendes til ODS som sender den videre til riktig CA i en sertifikatforespørsel.
  4. CA lager sertifikat basert på informasjon fra ODS og returnerer til ODS.
  5. Når ODS mottar sertifikatet, sendes dette til sertifikatlageret i BankID Database. Bankkunden – nå sluttbruker, vil få melding om at BankID er generert.
  6. Sluttbruker kan benytte sin banklagret BankID når HA-mekanisme er klargjort og innrullert hos banken.

Identifisering

Her beskrives hvordan en sluttbruker gjennomfører en identifisering mot et BankID brukersted med sin Banklagret BankID. Sluttbruker og brukersted identifiserer hverandre ved å sende en utfordring til den annen part som skal signeres og sendes tilbake.

Fremstillingen viser de viktigste stegene for en bruker som har én Banklagret BankID.

  1. BankID klient startes opp på brukerens datamaskin/enhet i identifiseringsmodus.
  2. Det etableres en sikker forbindelse mot sentrale servere. Klienten verifiserer brukerstedets ektehet hos sentrale servere.
  3. Brukerstedets navn vises i BankID klienten. Det etableres en sikker forbindelse mot brukerstedets BankID Server.
  4. BankID klient lager en utfordring og sender til brukersted.
  5. Brukersted signerer utfordringen og lager en ny utfordring som sendes til BankID klienten.
  6. Steg 6 ikke relevant for Identifisering, men nummerering er beholdt for å kunne sammenligne med signeringssekvensen
  7. Sluttbruker taster fødselsnummer, utfører HA-steg og taster fast passord.
  8. BankID Banklagret klient sender fødselsnummer, passordene, utfordring som skal signeres og brukerstedets signatur til BankID Sentral Tjener.
  9. BankID Sentral Tjener kontrollerer på vegne av sluttbruker at brukerstedets signatur er korrekt, og den validerer brukerstedets sertifikat.
  10. Sentral Tjener oversender engangspassordet til bankens engangspassordsystem som kontrollerer dette og returnerer resultatet til Sentral Tjener. Resultatet brukes til å sette i gang en serie kryptografiske operasjoner som sammen med sluttbrukers faste passord gir Sentral Tjener tilgang til sluttbrukerens private nøkler.
  11. Sentral Tjener bruker den private nøkkelen på vegne av sluttbruker og signerer  utfordring fra brukersted. Signert utfordring sendes til BankID klienten.
  12. BankID klienten returnerer signert utfordring til brukersted.
  13. Brukersted verifiserer signaturen til sluttbruker og sender en valideringsforespørsel til BankID VA som svarer om sertifikatet er gyldig eller ikke.
  14. VA kan også returnere tilleggsinformasjon som fødselsnummer eller kontonummer dersom brukersted har avtale om dette.

Signering

Beskrivelsen nedenfor viser hvordan en sluttbruker signerer et dokument. Fremstillingen viser de viktigste stegene for en bruker som har én Banklagret BankID.

  1. BankID klient startes opp på brukerens datamaskin/enhet i signeringsmodus.
  2. Det etableres en sikker forbindelse mot sentrale servere. Klienten verifiserer brukerstedets ektehet hos sentrale servere.
  3. Brukerstedets navn vises i BankID klienten. Det etableres en sikker forbindelse mot brukerstedets BankID Server.
  4. BankID klienten ber brukerstedet oversende det som skal signeres.
  5. Brukerstedet sender det som skal signeres og sin egen signatur over samme, til klienten
  6. Sluttbruker presenteres for det som skal signeres, og aksepterer innholdet.
  7. Sluttbruker taster fødselsnummer, utfører HA-steg og taster fast passord.
  8. BankID klient beregner en hash-verdi av det som skal signeres og denne sendes til BankID Sentral Tjener sammen med fødselsnummer, passordene, og brukersteds signatur 
  9. BankID Sentral Tjener kontrollerer på vegne av sluttbruker at brukerstedets signatur er korrekt, og den validerer brukerstedets sertifikat.
  10. Sentral Tjener oversender engangspassordet til bankens engangspassordsystem som kontrollerer dette og returnerer resultatet til Sentral Tjener. Resultatet brukes til å sette i gang en serie kryptografiske operasjoner som sammen med sluttbrukers faste passord gir Sentral Tjener tilgang til sluttbrukerens private nøkler.
  11. Sentral Tjener bruker den private nøkkelen på vegne av sluttbruker og signerer  hashverdien av det som skal signeres. Signaturen sendes til BankID klienten.
  12. BankID klienten returnerer signaturen til brukersted.
  13. Brukersted verifiserer signaturen til sluttbruker og sender en valideringsforespørsel til BankID VA som svarer om sertifikatet er gyldig eller ikke.
  14. VA kan også returnere tilleggsinformasjon som fødselsnummer eller kontonummer dersom brukersted har avtale om dette.
  15. Deretter lager brukerstedet opsjonelt en SDO (Signed Data Object), og returnerer denne, opsjonelt, til sluttbruker (BankID klienten). Hvis funksjonen er tilgjengelig kan sluttbruker kan velge å lagre SDO som en fil på datamaskinen.

Sperring og Gjenåpning

Sperring kan gjøres permanent (revokering) eller midlertidig (suspendering). Forskjellen er at revokering er permanent, mens suspendering kan oppheves innen 30 dager. Etter 30 dager revokeres et suspendert sertifikat automatisk. En BankID kan revokeres eller suspenderes dersom den private nøkkelen tilhørende sertifikatet er kompromittert, dersom det er mistanke om kompromittering, eller at informasjonen i sertifikatet ikke lenger er korrekt. Vilkår for å suspendere er de samme som for revokering, men gjennomføres som regel dersom sluttbruker ikke kan identifiseres på en sikkermåte. 

  1. Anmodning om revokering eller suspendering skjer ved at sluttbruker henvender seg til bankens kundesenter via telefon eller ved personlig oppmøte. Banken kan også anmode om revokering eller suspendering av andre årsaker som nevnt i Sertifikatpolicy for BankID.
  2. Banken sender deretter en forespørsel om revokering/suspendering via bankens RA-grensesnitt til ODS som videresender anmodningen mot korrekt CA. CA merker sertifikatet som sperret og sender en melding om dette til BankID Valideringstjeneste.
  3. Banken mottar en kvittering på at transaksjonen er gjennomført, og kan sende melding til sluttbruker om dette.


Opphevelse kan gjennomføres innen 30 dager etter suspendering og krever sikker identifisering av sluttbruker. Banken kan legge til rette for opphevelse via telefon, en elektronisk online-tjeneste eller ved personlig oppmøte.

Fornyelse

Banklagret BankID er gyldig i to år. Deretter må den fornyes. Prosessen er automatisert for å gjøre det enkelt for brukeren. 
Fornyelse skjer etter følgende prosedyre: 

  1. Bankens RA sender en fornyelsesforespørsel til ODS som setter sertifikatet klar til fornyelse.
  2. Fornyelse skjer heretter som første gangs utstedelse (5.2.1)
  3. Sluttbruker vil ved neste gangs bruk av sin BankID få beskjed om at sertifikatet er fornyet. Banken kan eventuelt velge å skjule denne meldingen for sluttbruker.

BankID på mobil

Bestilling

Denne beskrivelsen dekker bestilling av BankID på mobil. Mange av funksjonene nedenfor involverer både sentral og distribuert infrastruktur som er beskrevet i tidligere kapitler. En bankkunde kan bestille sin BankID på mobil fra nettbanken (dersom kunden er identifisert på forhånd gjennom et tidligere fysisk oppmøte i banken) eller ved direkte oppmøte i banken. Følgende prosedyre beskriver bestilling fra nettbank.

  1. Banken bestiller BankID på mobil på vegne av bankkunden via BankID RA-grensesnittet til ODS sammen med informasjon om fødselsnummer, mobilnummer.
  2. ODS mottar bestillingen og sender en forespørsel om å lage privat og offentlig nøkkel til Mobil Admin Gateway som videresender dette til riktig mobiloperatør.
  3. Mobiloperatøren sender en systemmelding til mobiltelefonen der det lages privat og offentlig nøkkel. Sluttbrukeren velger en personlig pin-kode som skal benyttes senere ved bruk av BankID på mobil.
  4. Privat nøkkel lagres i mobiltelefonens simkort, mens offentlig nøkkel sendes tilbake til ODS via mobilnett, mobiloperatør og Mobil Admin Gateway som sender den videre til riktig CA i en sertifikatforespørsel.
  5. CA lager sertifikat basert på informasjon fra ODS og returnerer til ODS.
  6. Når ODS mottar sertifikatet sendes dette til det sentrale sertifikatlageret. Bankkunden – nå sluttbruker vil få melding om at BankID er generert.
  7. Sluttbruker kan benytte sin BankID på mobil.

Identifisering

Her beskrives hvordan en sluttbruker gjennomfører en identifisering mot et BankID brukersted med sin BankID på mobil. Sluttbruker og brukersted identifiserer hverandre ved å sende en utfordring til den annen part som skal signeres og sendes tilbake

  1. Ikke relevant for identifisering ( Se signering)
  2. Sluttbrukeren taster inn sitt mobilnummer sammen med fødselsdato på brukerstedets nettside.
  3. Brukerstedet sender over mobilnummer og fødselsdato til BankID på mobil sentrale tjenere.
  4. De Sentrale tjenerne lager deretter en utfordring og sender til brukerstedet.
  5. Brukerstedet signerer utfordringen og lager en ny utfordring
  6. Brukerstedets sertifikat, signatur og utfordring sendes til BankID på mobil sentrale tjenere.
  7. Sentrale tjenere verifiserer signaturen til brukerstedet og sender en valideringsforespørsel til BankID VA som svarer om sertifikatet er gyldig eller ikke.
  8. Sentrale tjenere sender brukerstedets utfordring til sluttbrukerens mobiltelefon via Mobil Gateway, mobiloperatør og mobilnett.
  9. Sluttbruker taster sin pin-kode og utfordring signeres med den private nøkkelen i simkortet. Signaturen sendes fra mobiltelefonen til sentral infrastruktur.
  10. Signaturen som ble laget i mobiltelefonen returneres fra sentral infrastruktur til brukerstedet.
  11. Brukerstedet verifiserer signaturen til sluttbruker og sender en valideringsforespørsel til BankID VA som svarer om sertifikatet er gyldig eller ikke.
  12. VA kan også returnere tilleggsinformasjon som fødselsnummer eller kontonummer dersom brukersted har avtale om dette.

Signering

Beskrivelsen nedenfor viser hvordan en slutbruker signerer et dokument.

  1. Sluttbruker presenteres for det som skal signeres (dokumentet)
  2. Sluttbrukeren taster inn sitt mobilnummer sammen med fødselsdato på brukerstedets nettside.
  3. Brukerstedet sender over mobilnummer og fødselsdato til BankID på mobil sentrale tjenere.
  4. De Sentrale Tjenerne ber brukerstedet oversende dokument som skal signeres av sluttbruker.
  5. Brukerstedet signerer dokumentet.
  6. Brukerstedets sertifikat, signatur og dokumentet sendes til BankID på mobil sentrale tjenere.
  7. Sentrale tjenere verifiserer signaturen til brukerstedet og sender en valideringsforespørsel til BankID VA som svarer om sertifikatet er gyldig eller ikke.
  8. Sentrale tjenere sender dokumentet til sluttbrukerens mobiltelefon via Mobil Gateway, mobiloperatør og mobilnett.
  9. Sluttbruker taster sin pin-kode og dokumentet signeres med den private nøkkelen i simkortet. Signaturen sendes fra mobiltelefonen til sentral infrastruktur.
  10. Signaturen som ble laget i mobiltelefonen returneres fra sentral infrastruktur til brukerstedet sammen med resultatet av VA oppslag på brukerstedets sertifikat.
  11. Brukerstedet verifiserer signaturen til sluttbruker og sender en valideringsforespørsel til BankID VA som svarer om sertifikatet er gyldig eller ikke.
  12. VA kan også returnere tilleggsinformasjon som fødselsnummer eller kontonummer dersom brukersted har avtale om dette.
  13. Brukerstedet lager opsjonelt et Signert Data Objekt (SDO). Dette kan lagres av brukerstedet.

Sperring og Gjenåpning

Se kapittel 4.2.5 for bankens rolle i forbindelse med Sperring og Gjenåpning av BankID. Mobiloperatørens kundeadministrasjonssystem er knyttet til BankID-tjenesten gjennom BankID Mobil Adminstrasjon Gateway. Dersom mobiloperatøren sperrer et simkort (uavhengig av årsak) vil en BankID på mobil tilknyttet dette simkortet også bli sperret. Sperring av en sluttbrukers BankID på mobil innebærer ikke sperring av kundens simkort for andre tjenester levert av mobiloperatøren.

Fornyelse

BankID på mobil er gyldig i to år. Deretter må den fornyes. Fornyelse skjer normalt uten brukermedvirkning. Bankens utstedersystem genererer da et nytt sertifikat med 2 års varighet med eksisterende nøkkelpar. Dette skjer etter følgende prosedyre:

  1. Bankens RA sender en bestilling til ODS.
  2. Det utstedes et nytt sertifikat basert på eksisterende nøkkeplar


I visse situasjoner vil det være behov for at sluttbruker selv må starte fornyelsesprosessen. Banken vil da sende ut en melding til kunden om at det er på tide med fornyelse. Fornyelse skjer etter følgende prosedyre:

  1. Bankens RA sender en bestilling til ODS.
  2. ODS sperrer gammel BankID.
  3. Utstedelse av ny BankID skjer deretter som ved første gangs utstedelse (kap 4.3.1).
  4. Fornyelse skjer deretter som ved første gangs utstedelse (kap 4.3.1).


Det er kun mulig å ha en BankID pr simkort om gangen. En fornyelse innebærer derfor i praksis en overskrivning av de gamle nøklene i simkortet.

Brukersted

Bestilling

Bestilling av BankID for et brukersted (nettsted) skjer ved henvendelse til en BankID Partner. Integrasjon av programvaren kan enten gjøres av nettstedet selv, eller ved hjelp av en underleverandør (fortrinnsvis en BankID Partner).

Oversikt over BankID partnere finnes her: https://www.bankid.no/bedrift/kom-i-gang/bankid-partnere/

  1. Under utvikling benyttes preproduksjonsmiljøet til BankID, dette miljøet har brukerstedssertifikater og personsertifikater som i produksjon, men brukes til test og utvikling. For å komme i gang må man skaffe seg et preproduksjonssertifikat.
  2. Gå til BankID Norway Developer Portal, velg Certificate tools og utsted et preproduksjonssertifikat for brukersted og evt. sluttbrukere. Disse kan brukes for test mot BankIDs preproduksjonssystem. Alternativt skaff tilsvarende fra en BankID partner.
  3. Etter en vellykket preproduksjonsfase kan brukerstedet gå i normal produksjon med produksjonssertifikat.
  4. Hvis brukerstedet ønsker å tilby BankID på mobil må brukerstedet inngå en separat avtale med mobiloperatører tilknyttet tjenesten.


Komplett prosedyre for brukersteder er dokumentert i BankID Server pakken (BankID Implementation Guide). Brukerstedets sertifikat kan enten ligge i programvare eller i Hardware Security Module (HSM).

Utstedelse og aktivering

Aktivering av brukerstedssertifikater skjer ved hjelp av verktøyet HAT som lager sertifikatforespørsel basert på bestillingen fra banken. HAT kommuniserer mot BankID FOI. Test av Brukerstedets BankID kan ved behov skje ved hjelp av preproduksjonssertifikat i preproduksjonsmiljøet.

Identifisering

Brukersteder identifiserer seg overfor BankID klient og mot Sentral infrastruktur. Dette skjer automatisk ved bruk av spesifikke API-kall mot BankID Server programvare.

Signering

Brukersted signerer meldinger til BankID klient. Dette skjer automatisk ved bruk av spesifikke API-kall mot BankID Server programvare.

Revokering, Suspendering og Gjenoppretting

Revokering og suspendering er begge former for tilbaketrekking (ugyldiggjøring) av et sertifikat. Forskjellen er at revokering er permanent, mens suspendering kan oppheves innen 30 dager. Deretter revokeres et suspendert sertifikat automatisk. En BankID kan revokeres eller suspenderes dersom den private nøkkelen tilhørende sertifikatet er kompromittert, dersom det er mistanke om kompromittering, eller at informasjonen i sertifikatet ikke lenger er korrekt. Vilkår for å suspendere er de samme som for revokering, men gjennomføres som regel dersom sluttbruker ikke kan identifiseres på en sikkermåte. 

  1. Anmodning om revokering eller suspendering skjer ved at ansvarlig person hos Brukerstedet henvender seg til bankens kundesenter. Banken kan også anmode om revokering eller suspendering av andre årsaker som nevnt i Sertifikatpolicy for BankID.
  2. Banken sender deretter en forespørsel om revokering/suspendering via bankens RA-grensesnitt til ODS som gjennomfører transaksjonen mot CA.
  3. Banken mottar en kvittering på at transaksjonen er gjennomført, og kan sende melding til sluttbruker om dette.

Opphevelse kan gjennomføres innen 30 dager etter suspendering og krever sikker identifisering av Brukerstedets representant.