Onödiga certifikat

(Jag broderar vidare på förra veckans ämne.)

Det finns alltså tre sätt att försäkra sig om vems publika nyckel man har:

  1. Man fick nyckeln direkt från personen i fråga.
  2. Man fick nyckeln från en betrodd plats.
  3. Nyckeln innehåller ett betrott certifikat.

När behöver man certifikat, egentligen? Jo, när man inte känner personen från tidigare och ändå vill ge personen vissa möjligheter eller när man inte har tillgång till en databas för att verifiera personen direkt. Ett exempel vore om tågvagnarna i Stockholms tunnelbana endast skulle tillåta personer med handikapp att sitta på dom extra höga bänkarna. Om passagerarens identitetskort innehåller ett certifikat från Skatteverket och det certifikatet också innehåller en flagga som säger att personen är handikappad, så kan tågvagnen lita på det utan att behöva gå online och kolla med sjukkassans register. Så länge certifikatet är giltigt kommer alltså denna person kunna sitta högre än andra. Hur länge ska certifikatet då vara giltigt? Bra fråga.

Det finns en mekanism som gör att certifikat kan ogiltigförklaras i förtid, nämligen “revocation lists”. Tågvagnen skulle ju kunna ladda ner en sån lista vid varje tillfälle den är i service, kanske en gång i veckan. Det gör ju att en plötsligt tillfrisknad invalid kan sitta på en hög sits upp till en vecka för länge, men det är ju inte något vi betraktar som en allvarlig säkerhetsrisk.

Men behöver vi certifikat i hälsovården? Nja, jag tycker nog inte det. Tänk efter hur vi bestämmer vem som har tillgång till våra system.

Till exempel, en läkare behöver tillgång till journalsystemet. Om vi baserade den tillgången till systemet på ett certifikat som anger att personen i fråga faktiskt är läkare, så behöver vi alltså skapa en användare i journalsystemet första gången den läkaren loggar in. Det låter ju inte rätt. Vi vet därmed inte vilken vårdcentral eller avdelning läkaren ska arbeta på. Inte heller om han egentligen är anställd. Men, säger då någon (jag har dom här interna diskussionerna med mig själv rätt ofta), man kan ju inkludera anställning och arbetsplats direkt i certifikatet? Visst, det är klart man kan, men då har det ingen mening alls. För i så fall har landstinget bestämt sig för arbetsplats och anställning, tillverkat ett certifikat som innehåller den informationen och sen raderat läkaren ur sina system! För om läkaren inte var raderad ur systemet fanns det inget skäl att använda sig av ett certifikat för att authentisera och auktorisera läkaren. Om läkaren redan fanns i systemet fanns det inget skäl att göra någonting annat än autentisering, dvs bevisa att läkaren verkligen är rätt person. Resten (auktoriseringen) har ju systemet redan. Ännu värre blir det om läkaren inte är auktoriserad längre av något skäl. Då måste vi vänta på revokeringslistan innan han effektivt blir hållen utanför. Fånigt.

Man kan ta vilken roll som helst inom vården och komma fram till samma motsägelsefulla resonemang. Det finns helt enkelt ingen arbetssituation där ett certifikat med speciell vårdinformation har någon som helst mening inom vården. Det enda certifikat vi behöver är ren identitet, dvs autentisering, och då kan vi lika väl använda postens ID kort eller likvärdigt.

I kort kommer det ju att fungera som så här: en läkare som ska jobba på ett visst sjukhus bevisar sin identitet med ett gammalmodigt identitetskort eller ett digitalt ID typ posten; det spelar egentligen ingen roll vilketdera. Han ger administratören sen sin publika nyckel som administratören laddar in i datasystemet. Från detta ögonblick kan läkaren med hjälp av sin privata nyckel logga in och använda systemet som administratören har bestämt att han kan göra. Den publika nyckeln behöver inte alls vara försedd med något speciellt certifikat, eftersom användaren själv ger den till administratören. Det finns alltså inget behov av en tredje part som garanterar att nyckeln kommer från den användaren.

Vi behöver digitala signaturer och assymetrisk krypto i vården snarast, men glöm alla onödiga och storslagna PKI projekt för att fastställa certifikat och deras hantering. Använd dom pengarna och energin till bättre saker.

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.