Brukerprogram

Et brukerprogram eller et datasystem i forvaltningen som benyttes til å løse bestemte oppgaver.

Asymmetrisk kryptering benytter to matematisk relaterte, men ulike nøkler

(en privat og en offentlig nøkkel). Det skal ikke være mulig å utlede den private nøkkelen fra den offentlige.

En egenskap knyttet til den som eier et sertifikat. De ulike feltene i sertifikatet kan inneholde ett eller flere attributter.

En prosess som har som mål å bekrefte en påstått identitet.

Ekte.

1) Bemyndige; 2) sanksjonere, gjøre rettsgyldig, hjemle; 3) tillate; 4) berettige [ 11].

En elektronisk signatur som

a) Er entydig knyttet til undertegneren,

b) Kan identifisere undertegneren,

c) Er laget ved hjelp av midler som bare undertegneren har kontroll over og

d) Er knyttet til det elektroniske dokumentet på en slik måte at alle etterfølgende endringer av innholdet i dokumentet kan oppdages.

Beskyttelsesinstruksen.

En engelsk standard for administrasjon av informasjonssikkerhet. Del 1 av standarden ble ISO-standarden IS 17799 i 2000 [ 45].

Certification Authority. I denne utredningen brukes begrepet i hovedsak om sertifikatutstedere.

Certificate Revocation List, se tilbaketrekkingsliste.

En egenskap ved data som gjør det mulig å oppdage om data har blitt endret på en uatorisert måte eller pga. feil.

Data Encryption Standard – en symmetrisk kryptoalgoritme utviklet i USA.

Et dataelement som følger en elektronisk melding eller et dokument, og som binder dokumentet til et individ, en maskin eller et datasystem. Det tillater mottakeren å bevise hvor dokumentet kommer fra, og om dokumentet er forfalsket.

En avgrenset og sammenhengende informasjonsmengde, framstilt for et bestemt formål. Informasjonen kan bestå av en kombinasjon av tekst, data, grafikk, bilder og multimedia. Et dokument kan også bestå av flere dokumenter (sammensatte dokumenter).

Digital Signature Algorithm, en amerikansk algoritme for digitale signaturer.

Electronic Data Interchange – elektronisk datautveksling.

European Electronic Signature Standardization Initiative.

Et sett med sertifikater og tilhørende private nøkler for hhv. signering, autentisering og kryptering.

Et smartkort som inneholder en elektronisk ID og har fysisk identifikasjon på forsiden.

En måte å behandle saker på der hele eller deler av prosessen kan utføres

med støtte av informasjonsteknologi.

Data i elektronisk form som er knyttet til andre elektroniske data og som brukes til å kontrollere at disse stammer fra den som fremstår som undertegner [ 52].

European Telecommunications Standards Institute, europeisk standardiseringsorganisasjon innen telekommunikasjonsområdet.

Forvaltningsnettsamarbeidet, et samarbeid mellom staten og kommunenene for å tilby forvaltningen løsninger for enkel, pålitelig og kostnadseffektiv elektronisk informasjonsutveksling innad i forvaltningen og til forvaltningens brukere.

Krav i regelverk om hvordan noe skal gjøres, f.eks. ved krav om skriftlighet for å informere, oppnå gyldighet, oppnå rettsvern og/eller for å oppnå rettsvirkning.

Forvaltningsnettsamarbeidets SertifiseringsPolicy – Nr 1. En sertifikatpolicy utarbeidet av FNS i forbindelse med rammeavtale om digital signatur med tilhørende tjenester.

En matematisk metode som beregner en konkret verdi (hash-verdi) ut fra et dokument slik at det er umulig å gjenskape dokumentet ut fra resultatet.

Et tall som er et resultat av å bruke en hash-algoritme på et elektronisk dokument. Man skal ikke kunne konstruere et annet dokumentet som gir den samme verdien. Man kan si at en hashverdi representerer et elektronisk dokument på en i praksis unik måte.

Institusjon, organisasjon med fast organisert og strengt ordnet rangfølge.

Interchange of Data between Administrations, et EU-program for utvikling av telematikkløsninger mellom medlemslandenenes forvaltninger.

1) Kjenne igjen, fastslå identiteten av, påvise identitet mellom eller med [ 6];

2) Regne seg som ett (med), ha samfølelse (med);

3) Påvise identitet mellom (to eller flere ting), bringe under samme begrep [ 10].

Internet Engineering Task Force, et standardiseringsorgan for Internett-utvikling.

Uavviselighet. En mekanisme som kan knyttes til elektronisk samhandling, og som er slik at de deltakende partene ikke kan benekte å ha deltatt i deler av eller hele samhandlingen.

Informasjons- og kommunikasjonsteknologi.

Grunnleggende strukturer og systemer som er nødvendige for en organisasjon, en samling av organisasjoner eller et land for å fungere på en effektiv måte.

En prosess som fører til forvrenging av innholdet i et dokument slik at bare mottaker med riktig nøkkel kan få det fram og lese det.

se dataintegritet.

International Organization for Standardization.

se nøkkelgjenoppretting.

se Innholdskryptering.

Hemmelig, skjult skrift. Disiplinen som samler prinsippene, midlene og metodene for transformasjon av data for å gjemme informasjonsinnholdet, hindre uoppdagete endringer og/eller hindre uautorisert bruk.

En prosess som fører til at to sertifikatutstedere utsteder sertifikater for hverandres offentlige nøkler. Slike sertifikater kalles kryssertifikater. Utstedelse av kryssertifikater indikerer at utstedere stoler på sertifikater utstedt av den andre.

En avansert elektronisk signatur som er basert på et kvalifisert sertifikat,

og som er framstilt av et sikkert signaturframstillingssystem.

Standard spesifikasjon for arkivsystemer i forvaltningen. Fastsettes og forvaltes av Riksarkivaren [ 57].

En sekvens av symboler som kontrollerer operasjonene for kryptering og dekryptering. Signaturframstillingsdata eller signaturverifiseringsdata.

Generering, lagring, distribusjon, arkivering og anvendelse/bruk av nøkler i samsvar med et regelverk (policy).

Hente fram en kopi av en krypteringsnøkkel. Dette kan brukes i forvaltningen der man av tjenstlig grunn trenger tilgang til et kryptert dokument. (eng. Key recovery).

On-line Certificate Status Protocol En metode for kontinuerlig sjekking av status på et sertifikat.

Teknologi som involverer asymmetrisk kryptering ved bruk av offentlige og

private nøkler.

Object identifier – et unikt nummer på global basis som entydig kan identifisere et dokument, et dataelement, en meldingstype eller liknende.

Personal Computer Memory Card International Association. Et standardisert innstikkskort til PC-er.

Public Key Infrastructure. En samling av sikkerhetstjenester, sikkerhetskomponenter og aktører som gjør det mulig å benytte digitale signaturer i stor skala.

En arbeidsgruppe under IETF som utarbeider standarder for PKI-bruk på Internett.

En presisering av en standard tilpasset et konkret anvendelsesområde.

En organisasjon(senhet) som påtar seg korrekt å identifisere og autentisere en framtidig eier av offentlige og private nøkler med tilhørende sertifikater.

Eksempel på et definert kvalitetsnivå for en sertifikatpolicy

En funksjon en person eller en organisasjon kan ha i en gitt sammenheng.

Et sertifikat som knytter en sertifikateier til en bestemt rolle.

Rivest-Shamir-Adleman cryptosystem, en bestemt asymmetrisk kryptoalgoritme.

Sertifikatautoritet. I denne utredningen brukes begrepet i hovedsak om sertifikatutstedere.

Samspill mellom ulike sertifikatutstedere. Omfatter tillit til hverandres sertifikater og teknisk samvirke mellom PKI-løsninger som benyttes.

Sikker Elektronisk Informasjon i Samfunnet. En svensk interesseorganisasjon som bl.a. utarbeidet standarder for elektroniske ID-kort.

En elektronisk legitimasjon for eieren av en privat og en tilhørende offentlig nøkkel som viser at den offentlige nøkkelen tilhører henne.

Den som mottar et digitalt signert dokument med et tilhørede sertifikat, og som skal verifisere det mottatte materialet.

Den som sertifikatet er utstedt til, og som har den tilhørende private nøkkelen.

En rekke av sertifikater som brukeren må benytte for å verifisere en signatur som baserer seg på et sertifikat som brukeren ikke kjenner utstederen til.

Et dokument som inneholder regler for hvordan sertifikater utstedes og behandles, og som dermed definerer hvilken tillit man kan ha til sertifikatene. En sertifikatpolicy identifiseres unikt av en OID.

Et dokument som beskriver organisering, ansvarsfordeling og rutiner hos sertifikatutstederen for å implementere regler i en sertifikatpolicy.

Certification Service Provider (CSP), en operativ enhet som faktisk produserer sertifikater.

En juridisk person som utsteder sertifikater iht. en sertifikatpolicy.

En prosess for å bekrefte samsvar mellom et produkt, et system eller organiseringen av IT-sikkerheten i en organisasjon etter gitte standarder, f.eks. IS 1508 Common Criteria eller IS 17799, BS 7799.

1) Merke, tegn; 2) navnetrekk, underskrift [ 10].

Secure Sockets Layer. Internett-standard for sikker tilkopling til en web-server.

Et prinsipp i offentlig forvaltning som sikrer at behandlingen av en sak kan rekonstrueres i ettertid. Det skal være mulig å etterspore hva som har skjedd (audit trail).

Normal, vanlig. Å standardisere er å fastsette, gjøre ensartet [ 10].

En liste over sertifikater som ikke lenger er gyldige, og som derfor ikke er til å stole på. Utstedes av sertifikatutstederen i gitte tidsintervaller.

En egenskap ved de tekniske og/eller organisatoriske systemene som samlet utgjør en sikkerhetstjeneste. Denne egenskapen sier noe om i hvor stor grad sikkerhet, funksjonalitet og andre tekniske og organisatoriske aspekter er hensiktsmessige og tilstrekkelige i forhold til formålene ved sikkerhetstjenesten.

Selv om A stoler på B som stoler på C som stoler på D, er det ikke sikkert at A bør stole på D eller at D bør stole på B. For mange ledd gir ofte svakere tillit.

TTP-er en virksomhet som yter en eller flere sikkerhetstjenester, og som to, for hverandre ukjente, kommuniserende parter har tiltro til. TTP-ens rolle er å øke tiltroen til at meldinger og transaksjoner overføres til den tilsiktede mottaker til rett sted og på en korrekt måte. I tilfelle tvister skal det finnes metoder for å generere bevis for hendelsesforløpet. TTP-tjenester kan f.eks. være sertifikatutstedelse eller tidsstempling.

Se ikke-benekting.

United Nations Commission on International Trade Law. FN’s organ som anbefaler felles juridiske løsninger når det gjelder regulering av internasjonal handel.

En person som disponerer et signaturframstillingssystem og som handler på vegne av seg selv eller på vegne av en annen fysisk eller juridisk person.

Uniform Resource Locator, Internett-adresse.

Et tilleggsfelt i et sertifikat.

Extensible Markup Language. Standard måte å kode elektroniske dokumenter på slik at det er mulig å gjenkjenne innholdselementer og formater som dokumentet består av.