Elektronisk indberetning til Finanstilsynet · 2009-03-27 · 5.5 Klargør til indberetning i Lotus Notes ... alternativ at bruge Outlook Express version 5.0 fra en stand-alone pc

Finanstilsynet - 7. udgave – marts 2009

Elektronisk indberetning til Finanstilsynet

Vejledning i

Sikker e-mail

Finanstilsynet

Indholdsfortegnelse

1 INTRODUKTION ........................................................................................................... 1 1.1 Support .......................................................................................................................................................... 1

2 INFORMATION OM SIKKER E-MAIL .............................................................................. 2 2.1 Behovet for sikker e-mail ............................................................................................................................ 2 2.2 Den valgte løsning ....................................................................................................................................... 2 2.3 Ikke behov for kvalificerede certifikater ................................................................................................... 2 2.4 Privat nøgle og chipkort ............................................................................................................................. 3

3 FORUDSÆTNINGER ..................................................................................................... 4 3.1 Generelle forudsætninger ........................................................................................................................... 4 3.2 Specifikt for Microsoft mail-løsninger ...................................................................................................... 4 3.3 Specifikt for Lotus mail versioner ............................................................................................................. 5 3.4 Tidligere versioner ....................................................................................................................................... 6

4 ANSKAF CERTIFIKAT .................................................................................................... 7 4.1 Bestil certifikat .............................................................................................................................................. 7 4.2 Installation af certifikat ............................................................................................................................... 7 4.3 Efter installation af certifikatet................................................................................................................... 7

5 KLARGØRING TIL INDBERETNING .............................................................................. 8 5.1 Registrering hos Finanstilsynet .................................................................................................................. 8 5.2 Klargør til indberetning i Outlook Express ............................................................................................. 9 5.3 Klargør til indberetning i Outlook 2000 ................................................................................................. 13 5.4 Klargør til indberetning i Outlook 2002 XP .......................................................................................... 17 5.5 Klargør til indberetning i Lotus Notes ................................................................................................... 21

6 SIKKERHEDSNIVEAU .................................................................................................. 25 6.1 Ikke kvalificerede certifikater ................................................................................................................... 25 6.2 Stærk kryptering ......................................................................................................................................... 25 6.3 Kriterier for positivlistning af certifikatudstedere ................................................................................. 26 6.4 Finanstilsynets egne kontroller................................................................................................................. 27

7 NÆRMERE FORKLARINGER ....................................................................................... 29 7.1 Digital Signatur ........................................................................................................................................... 29 7.2 S/MIME ..................................................................................................................................................... 31 7.3 X.509 Certifikater ...................................................................................................................................... 32

BLANKET TIL REGISTRERING AF E-MAIL ADRESSER TIL BRUG FOR ELEKTRONISK

INDBERETNING TIL FINANSTILSYNET VIA SIKKER E-MAIL. .............................................. 33

© 2009 Finanstilsynet. Dette dokument er udarbejdet for Finanstilsynet af Devoteam Fischer & Lorenz. Vejledningen vedrører brugen af sikker e-

mail ved indberetning til Finanstilsynet og må ikke betragtes som en generel vejledning for sikker e-mail. Kopiering og distribution til andre formål end ved sikker e-mail til Finanstilsynet bør derfor kun finde sted efter aftale med Finanstilsynet. Enhver kopi skal være forsynet med denne notits.

Vejledning i sikker e-mail

1. Introduktion

Finanstilsynet - Side 1

1 Introduktion

Denne vejledning henvender sig til de virksomheder, som skal bruge sikker e-mail (signeret/krypteret e-mail) til indsendelse af XML-filer med indberetningsoplysninger. 1.1 Support Generelle spørgsmål om sikker e-mail til Finanstilsynet og denne vejledning bedes rettet til Finanstilsynets Edb-kontor via e-mail til [email protected]. Specifikke spørgsmål om det anvendte certifikat bedes rettet til certifikatudstederen. Det gælder også ved spærring eller suspendering af certifikater.

mailto:[email protected]

Vejledning i sikker e-mail.

2. Generel Information


2 Information om sikker e-mail

I dette afsnit gives overordnet information om den sikkerhedsløsning, der skal bruges i forbindelse med indberetninger via sikker e-mail til Finanstilsynet. 2.1 Behovet for sikker e-mail Finanstilsynets indberetningsløsning der blev indført 1. januar 2001 bruger Internettet som transportvej. Alle indberetninger til Finanstilsynet skal sendes som vedhæftede filer via e-mails (elektronisk post). Oplysninger som indberettes til Finanstilsynet er i større eller mindre grad fortrolige, og skal derfor behandles som sådan - også under forsendelse. Udover behovet for at hemmeligholde (kryptere) indberetningerne under forsendelsen, er der også et behov for at sikre, at de kommer fra rette afsender og sendes til rette modtager. Altså at ingen andre kan udgive sig for at være Finanstilsynet eller pågældende indberetter end de rigtige. Det kaldes for sikring af autenticitet i sikkerhedstermer. 2.2 Den valgte løsning Der findes forskellige løsninger som kan sikre indberetningerne til Finanstilsynet. Vi har lagt stor vægt på at vælge en fleksibel løsning, som samtidig er så administrativ let som muligt for alle indberettere. Løsningen vi har valgt er med digital signatur og kan direkte bruges i de nyeste standard mail-løsninger fra Microsoft og Lotus, der findes på markedet i dag. Dette er i lighed med regneark skabelonerne i indberetningsløsningen, der gør brug af standard regneark programmer. Det er den såkaldte S/MIME standard for sikker e-mail, der bruges i mail-løsningerne samme med et eller flere certifikater. Enten virksomhedscertifikater, som er beregnet til fx Finansafdelingen, eller medarbejdercertifikater til bestemte medarbejdere. Sikker e-mail er standard i mail-løsningerne og kan derfor bruges i relation til andre formål end lige Finanstilsynet. Også certifikaterne som Finanstilsynet accepterer i løsningen kan bruges i relation til andre. Det kan fx være til sikre e-mails med samarbejdspartnere, kunder og leverandører. 2.3 Ikke behov for kvalificerede certifikater For at motivere til en større udbredelse af digitale signaturer vedtog Folketinget i maj 2000 loven om elektroniske signaturer (det samme som digitale signaturer). Lovgivningen gælder dog kun for de såkaldte kvalificerede certifikater, hvor der kræves personligt fremmøde hos certifikatudstederen for at få certifikaterne. Finanstilsynet kræver ikke kvalificerede certifikater i sikkerhedsløsningen. Omkring en indberetning er der i forvejen et omfattende kontrolforløb. Det væsentligste ved sikkerhedsløsningen er, at en indberetning kan holdes hemmelig under forsendelsen og at der er en rimelig grad af vished for, at ingen andre end indberetteren kan udgive sig for at være pågældende.


2. Generel Information


Det er det personlige fremmøde, som er den væsentligste forskel imellem de kvalificerede certifikater og de certifikater som Finanstilsynet har valgt at bruge. Udstederne af de kvalificerede certifikater er desuden underlagt Telestyrelsens kontrol. Det er stort set det samme sikkerhedsniveau som opnås. Ved at bruge kvalificerede certifikater vil vi derfor kun opnå en mere administrativ tung løsning. Hvis en indberetter ønsker at bruge et kvalificeret certifikat er det dog teknisk muligt. Det skal i givet fald ske efter nærmere aftale med Finanstilsynet. 2.4 Privat nøgle og chipkort Et certifikat er beskyttet af en privat nøgle, og adgangen hertil er beskyttet med en kode. Dette kan bedst sammenlignes med pin-koden til et Dankort. Den private nøgle er derfor personlig for certifikater, som er udstedt til enkelte medarbejdere. Nøglen kan lagres på en pc’s harddisk, netværksdrev, diskette etc. eller den kan lagres i et chipkort, som kan gemmes væk når det ikke bruges. Den private nøgle skal gemmes forsvarligt. Hvis du senere skal generere dit certifikat på ny, skal den private nøgle bruges til dette sammen med kodeordet for nøglen.

Gem derfor disketten med den private nøgle (tag evt. back-up af nøglen) og kodeordet.

Ved at bruge chipkort opnås en højere grad af sikkerhed. Det er op til indberetterne at beslutte om de vil bruge chipkort eller ej. For certifikater udstedt til fælles brug i fx Finansafdelingen, vil adgangen til den private nøgle på tilsvarende vis være fælles. Det kan derfor være svært at holde den tilstrækkelig hemmelig. Chipkortet kan så gemmes væk (aflåses etc.) når det ikke er i brug.


3. Tekniske forudsætninger


3 Forudsætninger

Forudsætningerne for at kunne bruge sikker e-mail beskrives i dette afsnit. 3.1 Generelle forudsætninger Her beskrives de generelle forudsætninger, som gælder uafhængig af hvilken sikkerhedsløsning der vælges.

Mail-løsningen skal supportere S/MIME standarden og eventuelle mail-servere, gateways, firewalls etc. skal give adgang til at S/MIME forsendelser kan passere. Mail-løsninger der er testet og understøtter dette med tilhørende programmer er vist i afsnittet nedenfor.

3.2 Specifikt for Microsoft mail-løsninger Nedenfor er vist hvilke Microsoft mail-løsninger med tilhørende programmer, vi har testet for S/MIME, og som fungerer i sikker e-mail til Finanstilsynet. Microsoft Outlook Express, version 5.0 til og med 5.5 og Microsoft Outlook 2000 1

Browser: Microsoft Internet Explorer 5.0 eller derover skal bruges ved installation af certifikat.

Operativsystem: Microsoft Windows 98 Second Edition, Microsoft Windows 2000/XP eller Microsoft NT 4.0.

Mail-server: Hvis der bruges mail-server er det muligt med Microsoft Exchange 5.0 og versioner derover.

Chipkort: Chipkort og kortlæser kan bruges fra alle certifikatudstederne.

På side 5 kan du se hvordan du kontrollerer om dit system lever op til kravene.

1 Outlook 98 kan også bruges, se nærmere herom på side 6.




3.3 Specifikt for Lotus mail versioner Nedenfor er vist hvilken Lotus mail-løsning med tilhørende programmer vi har testet for S/MIME, og som fungerer i sikker e-mail til Finanstilsynet. Lotus Notes, release 5.0.5 2

Browser: Microsoft Internet Explorer 5.0 eller derover skal bruges ved installation af certifikat. Det kan om eventuelt ske på en anden pc end Lotus Notes klienten.

Operativsystem: Microsoft NT 4.0 med Service Pack 6a.

Mail-server: Domino server, version 5.0.5.

Chipkort: Det er ikke dokumenteret i vejledning hvordan chipkort bruges til Lotus Notes.

Du kan se nedenfor hvordan du kan kontrollere om dit system lever op til kravene.

3.3.1 Kontrollér Windows 98/ 2000

Du bør kontrollere din browser version før du går i gang med at installere certifikater mv. på dit Windows 98 /2000 system. Hvis dine nuværende installationer ikke lever op til systemkravene, vil der opstå fejl og mangler i installationsprocessen. Du skal sikre dig, at du har den rette version af din Internet Explorer (Internet browser), og at den er til stærk kryptering (128 bit). Du kan kontrollere begge dele ved at åbne din Microsoft Internet Explorer, herefter vælge menuen Hjælp og Om Internet Explorer.

Det er tilstrækkeligt med version 5.0, men Krypteringsgrad skal være 128 bit. Hvis din krypteringsgrad ikke er tilstrækkelig skal den såkaldte Internet Explorer High Encryption Pack 5.01 til Windows 9x/NT hentes fra Microsofts hjemmeside og installeres.

Til Windows 2000 skal du bruge Windows 2000 High Encryption Pack.

2 Lotus Danmark har oplyst, at Lotus Notes, version 5.0.4 og 5.0.4a også fungerer med stærk kryptering.




3.3.2 Kontrollér Windows NT

Du bør kontrollere dit nuværende styresystem samt din browser version før du går i gang med at installere certifikater mv. på dit system. Hvis dine nuværende installationer ikke lever op til systemkravene, vil der opstå fejl og mangler i installationsprocessen. I Windows NT skal du sikre dig, at du har enten version 4.0 med Service Pack 6a eller at du har den rette version af Internet Explorer (Internet browser), og at den er til stærk kryptering (128 bit). Du kan kontrollere din Internet Explorer som beskrevet ovenfor under Windows 98. Du kan kontrollere Windows NT ved at se hvad der står når maskinen starter op. I det blå billede står i øverste hjørne både version og service pack.

3.3.3 Windows XP

Windows XP har de korrekte sikkerhedsindstillinger indbygget. Det er ikke nødvendigt at foretage kontrol af Windows XP, før denne installationsvejledning kan tages i brug. 3.4 Tidligere versioner Tidligere versioner af de ovenfor nævnte programmer er ikke testet og kan derfor ikke garanteres mulige. Andre mail-løsninger kan muligvis bruges - det afhænger af om de understøtter S/MIME standarden for sikker e-mail og såkaldte X.509 certifikater.

3.4.1 Microsoft Outlook 98

Det er muligt at bruge Outlook 98. Du kan bruge vejledningen for Outlook 2000, idet det er samme opsætning, som skal foretages. Der er enkelte forskelle i nogle af skærmbillederne, men menupunkterne og de valg du skal foretage er de samme. Særligt for Outlook 98 skal du være opmærksom på, at dine kontaktpersoner vælges i en specificeret rækkefølge. Betydningen af dette forklares med et eksempel: Kontaktpersonen Indberetning Finanstilsynet er tilføjet både den globale adressebog og din private adressebog. Finanstilsynets certifikat er dog kun i din private adressebog. Rækkefølgen for valg af kontaktpersoner er sat, så den globale adressebog vælges før den private adressebog. Det vil medfører at du kan få problemer med at kryptere dine e-mails til Finanstilsynet.

3.4.2 Mest oplagte alternativ

Hvis en virksomheds mail-løsninger ikke umiddelbart kan bruges, er det mest oplagte alternativ at bruge Outlook Express version 5.0 fra en stand-alone pc. Pc’en skal have adgang til Internet og kunne sende og modtage e-mail fra en specifik e-mail-adresse. Adgangen til Internet kan fx ske via et modem og en separat telefonlinie eller via et eksisterende netværk.


4. Anskaffelse af certifikat


4 Anskaf certifikat

Finanstilsynet har positivlistet TDC (tidligere Tele Danmark)) som certifikatudsteder3 i forbindelse med indberetninger til Finanstilsynet. Finanstilsynet samlede kriterier for positivlistningen er i øvrigt beskrevet fra side 26. DanId tilbyder TDC-OCES medarbejdercertifikater eller virksomhedscertifikat. Yderligere oplysninger finder du hjemmesiden www.danid.dk . Du skal være opmærksom på, at et certifikat har en begrænset gyldighedsperiode. Det letteste er at forny det inden det udløber. 4.1 Bestil certifikat Du kan bestille dit certifikat via TDC's hjemmeside, se under Erhverv -> Digital Signatur. 4.2 Installation af certifikat Når du har bestilt dit TDC-certifikat, vil du modtage en e-mail fra TDC. Den indeholder vejledning om installation af dit certifikat. 4.3 Efter installation af certifikatet Når dit certifikat er installeret skal du fortsætte med klargøring til indberetning til Finanstilsynet.

3 En certifikatudsteder kaldes på engelsk for Certificate Authority, forkortet CA.

http://www.danid.dk/


5. Klargøring til indberetning


5 Klargøring til indberetning

For at kunne sende sikre e-mails til Finanstilsynet skal Finanstilsynets certifikat ligge i dit mail-program. Det gøres ved at udveksle signerede e-mails mellem dig og Finanstilsynet. Der skal gennemgås 4 trin, de er nærmere beskrevet for hvert af følgende mail programmer : Outlook Express Outlook 2000 Outlook 2002(XP) Lotus Notes Din e-mail adresse skal også registreres hos Finanstilsynet, se nedenfor. 5.1 Registrering hos Finanstilsynet For at kunne indberette til Finanstilsynet skal de afsendende e-mail adresser være registreret hos Finanstilsynet. Virksomheden skal derfor indsende en blanket til Finanstilsynet med angivelse af de e-mail adresser der skal registreres hos Finanstilsynet. Blanketten findes som den sidste side i denne vejledning samt på vores hjemmeside www.ftnet.dk under Indberetninger -> Regnskaber -> Vejledning og information.

http://www.ftnet.dk/


5. Klargøring til indberetning TDC certifikat i Outlook Express


5.2 Klargør til indberetning i Outlook Express For at kunne sende sikre e-mails til Finanstilsynet skal Finanstilsynets certifikat ligge i Outlook Express. Det gøres ved at udveksle signerede e-mails mellem dig og Finanstilsynet. For at kunne indberette skal du derfor forinden sende en signeret e-mail til Finanstilsynet og modtage en e-mail retur. Tilret Outlook Express For at kunne sende signerede meddelelser til modtagere som bruger andre mail-programmer end Outlook Express, er det nødvendigt at tilpasse opsætningen af din Outlook Express. Under klargøringen skal din første e-mail til Finanstilsynet være signeret, så det er vigtigt at ændringen foretages. Du skal vælge menuen Funktioner og derefter Indstillinger. Vælg fanebladet Sikkerhed og klik på Avanceret…

Under Digitalt signerede meddelelser skal Kod meddelelser før signeret sættes aktiv. Klargør Outlook Express Du skal i det følgende afsnit gennemgå 4 trin, for at det sker rigtigt.

Send eget certifikat

Modtag Finanstilsynets certifikat

Test kryptering

Modtag kvittering

FinanstilsynetIndberetter

Trin A

Trin B

Trin C

Trin D

De fire enkelte trin er forklaret nedenfor.




Trin A - Send eget certifikat Som første trin skal du sende en signeret e-mail til Finanstilsynet på adressen [email protected] og som det eneste skrive OPRET i emnet som vist nedenfor.

Du signerer e-mailen ved at klikke på ikonet med certifikat-illustrationen. Alternativt kan du vælge Funktioner og derefter Digital signatur. Trin B - Modtag Finanstilsynets certifikat Efter du har sendt e-mailen, vil du modtage en signeret e-mail fra Finanstilsynet. Hvis du ikke er registreret eller noget andet er galt, vil dette være oplyst i e-mailen, samt hvad du skal gøre. I e-mailen fra Finanstilsynet er vedhæftet en fil som du senere skal sende retur krypteret. På den måde kontrollerer vi om løsningen fungerer rigtigt. Du skal kontrollere, at e-mailen fra Finanstilsynet er signeret. Der skal være et ikon i e-mailen for signering som vist nedenfor.

Du kan se Finanstilsynets certifikat ved at klikke ikonet for signering.





Hvis der ingen signering er skal du kontakte Finanstilsynet. Send en e-mail til [email protected] med teksten FEJL som emne og beskriv fejlen i e-mailen. Du må ikke gå videre, før du hører nærmere fra Finanstilsynet. Finanstilsynet og deres tilhørende certifikat vil være tilføjet til din adressebog i Outlook Express. Det kan du kontrollere ved at vælge Funktioner og Adressekartotek. Dobbeltklik på kontaktnavnet Indberetning Finanstilsynet og vælg fanen Digital ID’s.

Hvis du her vælger Properties kan du se indholdet af certifikatet, som vist nedenfor.

Trin C - Test kryptering I næste trin skal du nu sende en ny e-mail til Finanstilsynet hvor du vedhæfter den fil du modtog før. I til-feltet skal du vælge Indberetning Finanstilsynet og som emne skrives TEST. E-mailen skal både være signeret og krypteret.





Trin D - Modtag kvittering Efter du har sendt e-mailen, vil du modtage en signeret e-mail fra Finanstilsynet. Hvis du ikke er registreret eller noget andet er galt, vil dette være oplyst i e-mailen, samt hvad du skal gøre.

5.2.1 Sende indberetning

Du er nu klar til at sende selve indberetningerne til Finanstilsynet. Det skal gøres ved at vedhæfte en eller flere XML-filer til en e-mail, som både signeres og krypteres og sendes til [email protected]. Du signerer e-mailen ved at klikke på ikonet med certifikat-illustrationen og du krypterer ved også at klikke på ikonet med den blå hængelås. Alternativt kan du vælge Funktioner og derefter Digital signatur og igen Funktioner og derefter Krypter. Hvis du skriver noget i emne- eller tekstfeltet vil det blive slettet, når Finanstilsynet behandler e-mailen. Når Finanstilsynet har modtaget din indberetning, vil du modtage en signeret e-mail som kvittering. Skal du sende eller modtage sikre e-mails med andre end Finanstilsynet skal du på samme måde udveksle signerede e-mails, før e-mails med kryptering kan udveksles



5. Klargøring til indberetning TDC certifikat i Outlook 2000


5.3 Klargør til indberetning i Outlook 2000 For at kunne sende sikre e-mails til Finanstilsynet skal Finanstilsynets certifikat ligge i Outlook 2000. Det gøres ved at udveksle signerede e-mails imellem dig og Finanstilsynet. For at kunne indberette skal du derfor forinden sende en signeret e-mail til Finanstilsynet og modtage en e-mail retur. Tilret Outlook 2000 For at gøre det lettere at sende sikre e-mails kan du tilføje de relevante ikoner i Outlook 2000. Hvis du ikke vil ændre Outlook 2000 kan du gå videre til Klargør Outlook 2000 nedenfor. I Outlook 2000 skal du åbne en ny mail og vælge Vis og derefter Værktøjslinier. Vælg derefter Tilpas og klik på fanebladet Kommandoer.

Under Kategorier skal du vælge Standard og i Kommandoer skal du flytte baren ned til genvejs tasterne Krypter indhold og vedhæftede filer samt Signer meddelelsen digitalt. Hold venstre musetast nede på Krypter indhold og vedhæftede filer og træk den op ved siden af menuen Hjælp. Gør det samme med Signer meddelelsen digitalt. Det bliver derefter som vist nedenfor.

Når du skal sende sikre e-mails kan du herefter blot klikke på ikonerne.




Klargør Outlook 2000 Du skal i det følgende afsnit gennemgå 4 trin, for at kunne indberette til Finanstilsynet.



Test kryptering

Modtag kvittering


Trin A

Trin B

Trin C

Trin D

De fire enkelte trin er forklaret nedenfor. Trin A - Send eget certifikat Som første trin skal du sende en signeret e-mail til Finanstilsynet på adressen [email protected] og som det eneste skrive OPRET i emnet som vist nedenfor.

Du signerer e-mailen ved at klikke på ikonet med certifikat-illustrationen. Alternativt kan du vælge menuen Vis og Indstillinger i e-mailen. Derefter vælges Føj digital signatur… og klik på Luk Trin B - Modtag Finanstilsynets certifikat Efter du har sendt e-mailen, vil du som det næste trin modtage en signeret e-mail fra Finanstilsynet. Hvis du ikke er registreret eller noget andet er galt, vil dette være oplyst i e-mailen samt hvad du skal gøre. I e-mailen fra Finanstilsynet er vedhæftet en fil som du senere skal sende retur både signeret og krypteret. På den måde kontrollerer vi om løsningen fungerer rigtigt.





Du skal kontrollere, at e-mailen fra Finanstilsynet er signeret. Der skal være et ikon i e-mailen for signering, som vist nedenfor.

Du kan se Finanstilsynets certifikat ved at klikke på ikonet for signering. Hvis der ingen signering er eller du ingen e-mail modtager skal du kontakte Finanstilsynet. Send en e-mail til [email protected] med teksten FEJL som emne og beskriv fejlen i e-mailen. Du må ikke gå videre, før du hører nærmere fra Finanstilsynet. Du skal nu have tilføjet Finanstilsynets certifikat til dit adressekartotek. Det gøres ved at åbne e-mailen fra Finanstilsynet, højreklikke på Indberetning Finanstilsynet i afsenderfeltet og vælge Føj til kontaktpersoner.

Under fanebladet Beviser skal du nu kunne se Finanstilsynet certifikat, som vist nedenfor.

Du skal nu klikke på Gem og luk.





Hvis du får oplyst at Kontaktpersonen findes allerede skal du blot vælge Erstatte de eksisterende oplysninger… og klikke på OK. Trin C - Test kryptering I næste trin skal du nu sende en ny e-mail til Finanstilsynet hvor du vedhæfter den fil du modtog før. Det må ikke gøres ved blot at besvare (returnere) e-mailen fra Finanstilsynet. I til-feltet skal du vælge Indberetning Finanstilsynet og som emne skrives TEST. Mailen skal både være signeret og krypteret. Det gør du ved at vælge menuen Vis i e-mailen og derefter Indstillinger. Vælg både Krypter indhold… og Føj digital signatur… Klik derefter på Luk. Trin D - Modtag kvittering Efter du har sendt e-mailen, vil du modtage en signeret e-mail fra Finanstilsynet. Hvis du ikke er registreret eller noget andet er galt, vil dette være oplyst i e-mailen, samt hvad du skal gøre. Nu er sikkerhedsløsningen testet og klar til at sende sikre indberetninger til Finanstilsynet.


Du er nu klar til at sende sikre elektroniske indberetninger til Finanstilsynet. Du skal vedhæfte en eller flere XML-filer til en e-mail som både signeres og krypteres og sendes til kontaktpersonen Indberetning Finanstilsynet med e-mail-adressen [email protected]. Du signerer e-mailen ved at klikke på ikonet med certifikat-illustrationen og du krypterer ved også at klikke på ikonet med den blå hængelås. Alternativt kan du vælge menuen Vis i e-mailen og derefter Indstillinger. Vælg både Krypter indhold… og Føj digital signatur… Klik derefter på Luk. Hvis du skriver noget i emne- eller tekstfeltet vil det blive slettet når Finanstilsynet behandler e-mailen. Når Finanstilsynet har modtaget din indberetning, vil du modtage en signeret e-mail som kvittering. Skal du sende eller modtage sikre e-mails med andre end Finanstilsynet skal du på samme måde udveksle signerede e-mails, før e-mails med kryptering kan udveksles



5. Klargøring til indberetning TDC certifikat i Outlook 2002 XP


5.4 Klargør til indberetning i Outlook 2002 XP For at kunne sende sikre e-mails til Finanstilsynet skal Finanstilsynets certifikat ligge i Outlook 2002 (XP). Dette gøres ved at udveksle signerede e-mails imellem dig og Finanstilsynet. For at kunne indberette skal du derfor forinden sende en signeret e-mail til Finanstilsynet og modtage en e-mail retur. Tilret Outlook 2002(XP) For at gøre det lettere at sende sikre e-mails kan du tilføje de relevante ikoner i Outlook 2002. Hvis du ikke vil ændre Outlook 2002 kan du gå videre til Klargør Outlook 2002 nedenfor. I Outlook 2002 skal du åbne en ny mail (ctrl+n). Herefter vælges menuen Vis og derefter Værktøjslinier. Vælg derefter Tilpas og klik på fanebladet Kommandoer.

Under Kategorier skal du vælge Standard og i Kommandoer skal du flytte baren ned til genvejs tasterne Krypter indhold og vedhæftede filer samt Signer meddelelsen digitalt. Hold venstre musetast nede på Krypter indhold og vedhæftede filer og træk den op ved siden af menuen Hjælp. Gør det samme med Signer meddelelsen digitalt. Det bliver derefter som vist nedenfor.

Når du skal sende sikre e-mails kan du herefter blot klikke på ikonerne.




Klargør Outlook 2002 Du skal i det følgende afsnit gennemgå 4 trin, for at det sker rigtigt.



Test kryptering

Modtag kvittering


Trin A

Trin B

Trin C

Trin D

De fire enkelte trin er forklaret nedenfor. Trin A - Send eget certifikat Som første trin skal du sende en signeret e-mail til Finanstilsynet på adressen [email protected] og som det eneste skrive OPRET i emnet som vist nedenfor.

Du signerer e-mailen ved at klikke på ikonet med certifikat-illustrationen. Alternativt kan du vælge menuen Vis og Indstillinger i e-mailen. Derefter vælges Føj digital signatur… og klik på Luk Trin B - Modtag Finanstilsynets certifikat Efter du har sendt e-mailen, vil du som det næste trin modtage en signeret e-mail fra Finanstilsynet. Hvis du ikke er registreret eller noget andet er galt, vil dette være oplyst i e-mailen samt hvad du skal gøre. I e-mailen fra Finanstilsynet er vedhæftet en fil som du senere skal sende retur både signeret og krypteret. På den måde kontrollerer vi om løsningen fungerer rigtigt.





Du skal kontrollere, at e-mailen fra Finanstilsynet er signeret. Der skal være et ikon i e-mailen for signering som vist nedenfor.

Du kan se Finanstilsynets certifikat ved at klikke på ikonet for signering. Hvis der ingen signering er eller du ingen e-mail modtager skal du kontakte Finanstilsynet. Send en e-mail til [email protected] med teksten FEJL som emne og beskriv fejlen i e-mailen. Du må ikke gå videre, før du hører nærmere fra Finanstilsynet. Du skal nu have tilføjet Finanstilsynets certifikat til dit adressekartotek. Det gøres ved at åbne e-mailen fra Finanstilsynet, højreklikke på Indberetning Finanstilsynet i afsenderfeltet og vælge Føj til kontaktpersoner.

Under fanebladet Beviser skal du nu kunne se Finanstilsynet certifikat som vist nedenfor.

Du skal nu klikke på Gem og luk.





Hvis du får oplyst at Kontaktpersonen findes allerede, skal du blot vælge Erstatte de eksisterende oplysninger… og klikke på OK. Trin C - Test kryptering I næste trin skal du nu sende en ny e-mail til Finanstilsynet hvor du vedhæfter den fil du modtog før. Det må ikke gøres ved blot at besvare (returnere) e-mailen fra Finanstilsynet. I til-feltet skal du vælge Indberetning Finanstilsynet og som emne skrives TEST. Mailen skal både være signeret og krypteret. Det gør du ved at vælge menuen Vis i e-mailen og derefter Indstillinger. Vælg både Krypter indhold… og Føj digital signatur… Klik derefter på Luk. Trin D - Modtag kvittering Efter du har sendt e-mailen, vil du modtage en signeret e-mail fra Finanstilsynet. Hvis du ikke er registreret eller noget andet er galt, vil dette være oplyst i e-mailen, samt hvad du skal gøre. Nu er sikkerhedsløsningen testet og klar til sende sikre indberetninger til Finanstilsynet.


Du er nu klar til at sende sikre elektroniske indberetninger til Finanstilsynet. Du skal vedhæfte en eller flere XML-filer til en e-mail som både signeres og krypteres og sendes til kontaktpersonen Indberetning Finanstilsynet med e-mail-adressen [email protected]. Du signerer e-mailen ved at klikke på ikonet med certifikat-illustrationen og du krypterer ved også at klikke på ikonet med den blå hængelås. Alternativt kan du vælge menuen Vis i e-mailen og derefter Indstillinger og Indstillinger for sikkerhed. Vælg både Krypter meddelsesindhold… og Føj digital signatur… Klik derefter på OK. Hvis du skriver noget i emne- eller tekstfeltet vil det blive slettet når Finanstilsynet behandler e-mailen. Når Finanstilsynet har modtaget din indberetning, vil du modtage en signeret e-mail som kvittering. Skal du sende eller modtage sikre e-mails med andre end Finanstilsynet skal du på samme måde udveksle signerede e-mails, før e-mails med kryptering kan udveksles.



5. Klargøring til indberetning TDC certifikat i Lotus Notes


5.5 Klargør til indberetning i Lotus Notes For at kunne sende sikre e-mails til Finanstilsynet skal Finanstilsynets certifikat ligge i Lotus Notes. Det gøres ved at modtage en signeret e-mail fra Finanstilsynet. For at kunne indberette skal du derfor forinden sende en e-mail til Finanstilsynet og modtage en e-mail retur. Du skal i det følgende afsnit gennemgå 4 trin, for at det sker rigtigt.

Bestil Finanstilsynet certifikat


Test kryptering

Modtag kvittering


Trin A

Trin B

Trin C

Trin D

De fire enkelte trin er forklaret nedenfor. Trin A - Bestil Finanstilsynet certifikat I første trin skal du sende en signeret e-mail til Finanstilsynet på adressen [email protected]. Du skal i Subject skrive OPRET som vist nedenfor.





Trin B - Modtag Finanstilsynets certifikat Efter du har sendt e-mailen, vil du modtage en signeret e-mail fra Finanstilsynet. Hvis du ikke er registreret eller noget andet er galt, vil dette være oplyst i e-mailen - også hvad du skal gøre. I e-mailen fra Finanstilsynet er vedhæftet en fil som du senere skal sende retur krypteret. På den måde kontrollerer vi om løsningen fungerer rigtigt. Du skal kontrollere, at e-mailen fra Finanstilsynet er signeret. Det gør du ved at åbne den, og se nederst hvem der har signeret den som vist nedenfor.

Hvis der ingen signering er, skal du kontakte Finanstilsynet. Send en e-mail til [email protected] med teksten FEJL som emne og beskriv fejlen i e-mailen. Du må ikke gå videre, før du hører nærmere fra Finanstilsynet. Du skal nu have tilføjet Finanstilsynets certifikat til dine kontakt adresser. Det gøres ved at åbne e-mailen fra Finanstilsynet, klikke på ikonet Tools og vælge Add sender to address book.

Her skal du vælge Update, klikke på fanebladet Advanced og vælg Include X.509 certificates when encountered. Til slut vælger du OK. Før du kan kryptere mails skal du krydscertificere det modtagene certifikat (fra Finanstilsynet).





Dette gøres ved, at Åbne din Adressebog, Åbne den kontaktperson du modtog en signeret mail fra (Finanstilsynet), Under Actions vælges punktet Create Cross Certificate, som vist forneden:

Klik på det korrekte certifikat, du vil kryptere mod og vælg OK:

Du er nu klar til at teste kryptering mod Finanstilsynet.




Trin C - Test kryptering Som næste trin skal du nu sende en ny e-mail til Finanstilsynet hvor du vedhæfter den fil du modtog før. I til-feltet skal du vælge [email protected] eller alias for denne og som emne skrives TEST. E-mailen skal både være signeret og krypteret. Du signerer og krypterer en e-mail ved at vælge Sign og Encrypt under Delivery Options, som vist nedenfor.

Trin D - Modtag kvittering Efter du har sendt e-mailen, vil du modtage en signeret e-mail fra Finanstilsynet. Hvis du ikke er registreret eller noget andet er galt, vil dette være oplyst i e-mailen - også hvad du skal gøre. Du er nu klar til at sende indberetninger til Finanstilsynet.


En indberetning skal sendes til Finanstilsynet ved at vedhæfte en eller flere XML-filer til en e-mail som både signeres og krypteres og sendes til [email protected]. Du signerer og krypterer en e-mail ved at vælge Sign og Encrypt under Delivery Options, som vist nedenfor.

Hvis du skriver noget i emne- eller tekstfeltet vil det blive slettet når Finanstilsynet behandler e-mailen. Når Finanstilsynet har modtaget din indberetning, vil du modtage en signeret e-mail som kvittering




6. Sikkerhedsniveau


6 Sikkerhedsniveau

I løsningen for sikker e-mail til Finanstilsynets er der valgt et passende niveau af sikkerhed for de transaktioner, som indberetningerne vedrører. Dette afsnit henvender sig til dem, som er interesseret i at vide mere om de sikkerhedsmæssige forhold. De emner som behandles i afsnittet er følgende: Valg af ikke kvalificerede certifikater, herunder såkaldt uafviselighed Stærk kryptering Positivlistning af certifikatudstedere Finanstilsynets egne kontroller

6.1 Ikke kvalificerede certifikater Finanstilsynet kræver ikke at der bruges kvalificerede certifikater, som følger lovgivningens krav til elektroniske signaturer. Ved kvalificerede certifikater kræves personligt fremmøde hos certifikatudstederen for at få udleveret certifikaterne. Det betyder at retsvirkningen af certifikaterne i Finanstilsynets løsning er mindre end ved kvalificerede certifikater. Retsligt er det derfor muligt at nægte en eventuel afsendelse af en given indberetning. I sikkerhedstermer siger man, at der derfor ikke er uafviselighed imellem parterne. Det væsentligste ved sikkerhedsløsningen er, at en indberetning kan holdes hemmelig under forsendelsen, og at ingen andre end indberetteren kan udgive sig for at være pågældende. Et andet væsentligt forhold er, at indberetter-virksomhederne kan tage løsningen i brug uden personligt fremmøde hos certifikatudstederne. Finanstilsynet har ønsket, at løsningen skal være så administrativ let, og samtidig så fleksibel som mulig for indberetterne. I øvrigt er der for indberetninger opbygget en række kontrolprocedurer hos Finanstilsynet. 6.2 Stærk kryptering I sikker e-mail til Finanstilsynet bruges nøgler til kryptering på 1.024 bit, også kaldet stærk kryptering. Denne såkaldte nøglelængde er nødvendig for at opnå en tilstrækkelig grad af sikkerhed. Indtil januar 2000 var det ikke tilladt at eksportere produkter i USA, som kunne foretage stærk kryptering. Derfor er det kun i de nyere versioner af standard mail-programmerne, at den stærke kryptering kan foregå.


6. Sikkerhedsniveau


6.3 Kriterier for positivlistning af certifikatudstedere I det følgende beskrives de overordnede kriterier, som gælder for Finanstilsynets positivlistning af certifikatudstedere. Beskrivelsen henvender sig primært til certifikatudstedere, som enten overvejer eller ønsker at blive positivlistet af Finanstilsynet. Finanstilsynets indberetningsløsning forudsætter de såkaldte X.509 version 3 certifikater til de enkelte indberetter-virksomheder - enten som specifikke certifikater for de enkelte virksomheder eller som certifikater til de relevante medarbejdere. Det vil sige virksomhedscertifikater eller medarbejdercertifikater. Disse certifikater udstedes i dag af mange forskellige parter. Som udgangspunkt er et element som tillid til certifikatudstederne af væsentlig betydning for Finanstilsynets vurdering af certifikatudstederne. 1) Kontrol af fysisk adresse For såvel de enkelte indberetter-virksomheder som Finanstilsynet er det vigtigt, at en indberetning til Finanstilsynet rent faktisk kommer fra den, som indberetningen udgiver sig fra at komme - det vil sige den rigtige virksomhed og/eller medarbejder. At en indberetning kommer fra en given e-mail adresse er ikke tilstrækkelig. Det er nemlig forholdsvis simpelt at ændre denne information. For certifikaterne er det derfor ikke tilstrækkeligt, at det alene er udstedt til en person på grundlag af dennes e-mail adresse. Finanstilsynet stiller derfor krav om at certifikatudstederen kontrollerer certifikatindehaverens fysiske adresse. Adressekontrollen kan f.eks. ske ved at den ene halvdel af en pin-kode sendes som almindelig brev og den anden halvdel via e-mail. 2) Vilkår for certifikater De vilkår som gælder for forholdet mellem certifikatudstederen og certifikatindehaveren skal være beskrevet i dokumenterne Certificeringspraksis og Certifikatpolitik. Praksis-dokumentet beskriver de procedurer, som certifikatudstederen anvender i forbindelse med udstedelse og administration af certifikater, herunder de sikkerhedsmæssige foranstaltninger. Politik-dokumentet beskriver de sikkerhedsniveauer der gælder for de forskellige certifikattyper, f.eks. virksomhedscertifikat og medarbejdercertifikat. Hertil kommer beskrivelse af tilfælde af ophør med at udstede certifikater. Som udgangspunkt skal Finanstilsynet acceptere disse vilkår. De vurderes dog også på vegne af virksomhederne, der skal indberette. I det omfang certifikatudstederne planlægger væsentlige ændringer i sine vilkår skal Finanstilsynet informeres herom.


6. Sikkerhedsniveau


3) Certifikatudstederens vilkår, dokumentation og organisation Evnen til at efterleve de vilkår, salgsbetingelser mv. som certifikatudstederne stiller Finanstilsynet og indberetter-virksomhederne i udsigt har også betydning for positivlistningen. I forbindelse med positivlistningen afprøver Finanstilsynet de relevante procedurer, programmer, certifikater, ekspeditionstider mv. for at være sikker på de fungerer tilfredsstillende i relation til Finanstilsynets sikkerhedsløsning. I den forbindelse er det ønskeligt om certifikatudstederen kan stille testversioner af sine programmer, certifikater mv. til rådighed for Finanstilsynet. I Finanstilsynets information til indberetter-virksomhederne vil vi henvise til certifikatudstedernes hjemmesider, herunder CPS, CP, priser, brugervejledninger og diverse systemfiler. 4) Status på certifikater samt spærring og suspendering Det skal være muligt for certifikatindehaveren (medarbejder og/eller virksomheden) at få status på et givent certifikat inden for normal arbejdstid. Tilsvarende skal det være muligt at kunne spærre og suspendere sine certifikater. For indberetter-virksomhederne vil en Web-løsning og et alternativ være ønskelig, mens det for Finanstilsynet er ønskeligt med en integreret løsning, fx via LDAP. 5) Ikke kvalificerede certifikater Finanstilsynet kræver ikke, at der bruges kvalificerede certifikater i henhold til Lov om elektroniske signaturer. I det omfang indberetter-virksomheder alligevel ønsker at bruge kvalificerede certifikater, kan certifikatudstederen vælge at udstede disse. Forud for dette skal det dog sikres, at Finanstilsynet kan verificere certifikaterne. På baggrund af de ovenfor nævnte kriterier vil Finanstilsynet positivliste de certifikatudstedere som tilbyder at opfylde kravene. Finanstilsynet har pr. 1. august 2002 positivlistet følgende certifikatudstedere: 1. TDC kan udstede medarbejdercertifikater eller virksomhedscertifikater (TDC-OCES) 6.4 Finanstilsynets egne kontroller Sikker e-mail til Finanstilsynet bygger som tidligere nævnt på en åben løsning. De certifikater som bruges kan udstedes til alle som måtte ønske det. Samtidig kan de bruges over for og mellem andre parter end Finanstilsynet. Det gør løsningen fleksibel og mere anvendelig for indberetterne. Det betyder også at Finanstilsynet er nødt til at foretage en kontrol af, at en given indberetning kommer fra en afsender som rent faktisk må indberette. Udover oprettelse af indberetter-virksomhedernes certifikater hos certifikatudstederne, skal der derfor foretages en registrering hos Finanstilsynet. Indberetter-virksomheden skal i brev til Finanstilsynet oplyse hvilke e-mail adresser, der vil blive sendt indberetninger fra. Når Finanstilsynet modtager en indberetning kontrolleres det, at e-mail adressen er korrekt. Den påtrykte e-mail adresse i e-mailen med indberetningen sammenholdes med Finanstilsynets registrering samt e-mail adressen i certifikatet. Herefter kontrolleres at certifikatet ikke er spærret, og at der ikke er ændret på indholdet af e-mailen under forsendelsen. Finanstilsynet returnerer en e-mail til indberetteren som kvittering med information om resultatet.


6. Sikkerhedsniveau


Foruden sikkerhedsløsningens kontroller foretager Finanstilsynet en række kontroller af oplysningerne. Disse kontroller er med til at sikre, at oplysningerne stammer fra rette virksomhed.


7. Nærmere forklaringer


7 Nærmere forklaringer

I dette afsnit forklares de vigtigste begreber og standarder, som bruges i Finanstilsynets sikkerhedsløsning. 7.1 Digital Signatur I dette afsnit forklares princippet ved digital signatur nærmere4. En digital signatur er kort beskrevet en lang række af tal. Talrækken fremkommer ved at lade meddelelsen, der skal ”underskrives” gennemløbe en regneprocedure - en såkaldt ”hash-algoritme”. Regneproceduren danner et helt unikt nummer, blandt andet baseret på indholdet i meddelelsen. Dette nummer kaldes for meddelelsens fingeraftryk.

Det digitale fingeraftryk krypteres herefter med afsenderens private nøgle, og resultatet af denne handling er en digital signatur. Den digitale signatur kan herefter vedhæftes det originale dokument, som nu er digitalt signeret. Genereringen af fingeraftrykket er en standardfunktion i de mail-programmer som kan bruges til sikker e-mail til Finanstilsynet. Det hele sker automatisk når en e-mail afsendes ved at klikke på ikonet i menuen som vist nedenfor.

Den digitale signatur er ikke den samme fra gang til gang som fx en traditionel underskrift på papir. Den digitale underskrift afhænger som angivet ovenfor, blandt andet af indholdet i meddelelsen samt datoen og tidspunktet.

4 Vi har brugt informationerne på KMDs hjemmeside til inspiration.




Kontrol af en digital signatur Formålet med den digitale signatur er at identificere afsenderen af en elektroniske meddelelse. Den digital signatur kontrolleres af modtageren ved at føre meddelelsen igennem nøjagtig den samme regneprocedure, som afsenderen gjorde.

Hvis der ikke er sket ændringer i meddelelsen i mellemtiden, så vil der fremkomme et fingeraftryk, der er 100% identisk med det fingeraftryk, som afsenderen vedhæftede meddelelsen. Er der bare den mindste afvigelse i de 2 fingeraftryk, betyder det, at afsenderens identitet ikke kan fastslås med sikkerhed. Det kan betyde, at indholdet i beskeden er blevet ændret undervejs i kommunikationen. Afsenderen er den eneste, der har adgang til den private nøgle, der blev brugt til signeringen af meddelelsen.




Hemmeligholdelse af en meddelelse Når en signeret meddelelse samtidig ønskes fortrolig, skal meddelelsen krypteres. Det er nødvendigt at have modtagerens offentlige nøgle. Man skal derfor have modtagerens certifikat førend krypteringen kan gennemføres.

Det hele sker automatisk når en e-mail afsendes ved at klikke på ikonet i menuen som vist nedenfor.

Engangsnøglen krypterer selve meddelelsen og engangsnøglen vedhæftes den signerede og krypterede meddelelse. Engangsnøglen krypteres derefter med modtagerens offentlige nøgle. Herefter er det kun personen med den tilsvarende private nøgle, som kan dekryptere engangsnøglen, hvilket betyder at kun denne person kan bruge engangsnøglen på meddelelsen, det vil sige læse den. 7.2 S/MIME S/MIME er en standard hvor man med digitale signaturer kan sikre e-mails. Princippet er, at en given e-mail samt eventuelle vedhæftede filer pakkes til en ny e-mail med én vedhæftet sikkerheds-fil. Denne e-mail med vedhæftet sikkerheds-fil sendes så som en almindelig e-mail, men kan kun pakkes ud hvis modtageren kan dekryptere og verificere indholdet. Vi henviser til S/MIME Working Group på http://www.imc.org/ietf-smime samt RSA Security Inc. http://www.rsasecurity.com/standards/smime for yderligere informationer. Endvidere henvises til de respektive leverandører af mail-programmer.

http://www.imc.org/ietf-smime

http://www.rsasecurity.com/standards/smime




7.3 X.509 Certifikater Et certifikat indeholder information om certifikatudstederen og certifikatindehaveren. En af de mest anerkendte standarder for hvordan et certifikat er opbygget er X.509, version 3. Det er denne standard, som de nyeste mail-programmer der supporterer S/MIME bl.a. kan bruge. Og det er den standard, som de fleste certifikatudstedere også bruger. Vi henviser til IEFT’s X.509 Working Group på http://www.ietf.org/html.charters/pkix-charter for yderligere informationer

http://www.ietf.org/html.charters/pkix-charter

Registreringsblanket til indberetning via sikker e-mail til Finanstilsynet


Blanket til registrering af e-mail adresser til brug for elektronisk indberetning til Finanstilsynet via sikker e-mail.

Blanketten bedes udfyldt og indsendes i original udgave til:

Finanstilsynet Edb-kontoret Århusgade 110 2100 København Ø

Følgende e-mail adresser må indberette for nedenstående virksomhed til Finanstilsynet og bedes derfor registreret. Ændringer til tidligere registreringer skal ske ved at indsende en ny blanket med forpligtende underskift til Finanstilsynet.

Navn på virksomhed

CVR-nummer

Valgt af certifikat

TDC OCES, medarbejdercertifikat

TDC OCES, virksomhedscertifikat

Navn på bruger E-mail adresse

Forpligtende underskrift for virksomheden Sted

Dato

Underskrift

Blanketten skal indsendes i original udgave

Documents

Elektronisk indberetning til Finanstilsynet · 2009-03-27 · 5.5 Klargør til indberetning i Lotus Notes ... alternativ at bruge Outlook Express version 5.0 fra en stand-alone pc