Tullverket

EDI – Säkerhet

Tullverket använder ett PKI-baserat säkerhetskoncept för det elektroniska informationsutbytet via EDI. Det säkra informationsutbytet via EDI innebär att utfärdaren av informationen säkert kan identifieras och att informationen skyddas mot förändringar och transporteras via säker kommunikation.

Tullverkets säkerhet vid informationsutbyte bygger på låsning av uppgifterna via en signatur utifrån PKI-baserad asymmetrisk krypteringsmetod där endast utställaren har tillgång till den hemliga nyckeln. Metoden är baserad på allmänt spridda standarder. Företagen kan själva, utifrån Tullverkets riktlinjer, välja metod för identifiering av användare i företagets system för uppgiftslämning. Företagsorienterad nyckel används för signering. Detta innebär att Tullverket säkert kan identifiera företaget men inte direkt utifrån signaturen avläsa individ. Företaget ska dock i vissa fall vid begäran från Tullverket kunna lämna uppgifter om den individ som godkänt det elektroniska dokumentet.

I den PKI-baserade säkerhetslösningen är Tullverket utfärdare av de företagsorienterade signeringscertifikat som ska användas för signering av uppgiftslämnandet. Lägg märke till att användningsområdet för de av Tullverket utfärdade signeringscertifikaten är begränsat till informationsutbyte med Tullverket.

  • Krav på Tullverket som certifikatutfärdare framgår av dokumentet Certifikatpolicy (CP) och utfärdardeklaration (CPS) för Tullverkets CA för informationsutbyte via EDI.
  • Detaljerad information om den PKI-baserade säkerhetslösningen finns i dokumentet "Riktlinjer och anvisningar avseende säkerhet vid informationsutbyte via EDI".
  • Tekniska specifikationer för det AUTACK-meddelande som inom EDIFACT används för den PKI-baserade säkerhetslösningen.

Signeringscertifikat och anmälan av kontaktperson

Anvisningar PKI-baserat säkerhetskoncept, XML-signatur

För XML-formatet används XML Signature. XAdES, som är en utökning till XML Signature, används för att komplettera med använt signeringscertifikat och uppgift om signeringstidpunkten.

Genom att signeringscertifikatet sänds med i XML-filen, är det inte längre nödvändigt för företagen att hämta Tullverkets signeringscertifikat separat för att kunna validera signaturerna i de XML-meddelanden som Tullverket sänder, utan det räcker att hämta Tullverkets rot- och mellanliggande certifikat. Vid kontroll av signaturen måste signeringscertifikatet valideras mot Tullverkets rot- och mellanliggande certifikat.

Det finns flera sätt att paketera XML-signaturen och Tullverket använder paketeringen Enveloping, dvs att signaturstrukturen omsluter det signerade dokumentet.

Precis som för EDIFACT-formatet används SHA-256 för checksummaberäkningarna och RSASSA-PKCS1-v1_5 för signaturen.
Till skillnad från EDIFACT-formatet beräknas inte XML-signaturen direkt på en checksumma på meddelandet utan signaturen beräknas indirekt på en sammanställning av checksummor på valda delar av dokumentet tillsammans med metadata (SignedInfo). För att få samma resultat av checksummaberäkningarna vid signering och kontroll av signaturen  används kanonisering.

Exempel på att kontrollera XML-signatur manuellt.PDF

Sidan uppdaterades: 2021-03-02

Vad är ändrat: Dokument om signeringscertifikat har bytts ut.

Vi tar tacksamt emot förbättringsförslag men kan tyvärr inte svara på några frågor här.
Har du en fråga kan du kontakta oss via ett webbformulär, e-post eller telefon.
4000