Beskrivning av installation av BankID säkerhetsprogram i

Finansiell ID-Teknik BID AB
Beskrivning av installation av BankID säkerhetsprogram i företagsmiljöer
2012-05-08
Beskrivning av installation av BankID
säkerhetsprogram i företagsmiljöer
Version: 1.5
Datum: 2012-05-08
Finansiell ID-Teknik BID AB
Beskrivning av installation av BankID säkerhetsprogram i företagsmiljöer
2012-05-08
1
Inledning....................................................................................................................................... 1
2
Övergripande beskrivning .......................................................................................................... 1
3
BankID säkerhetsprogram - installationspaket........................................................................ 2
4
Installationen, uppdatering och avinstallation ......................................................................... 2
4.1.1
Installation ...................................................................................................................................2
4.1.2
Avinstallation ..............................................................................................................................2
4.1.3
Uppdatering ................................................................................................................................2
4.2
5
Automatisk versionskontroll ...................................................................................................... 4
5.1
6
Teknisk information ..........................................................................................................................3
Teknisk beskrivning...........................................................................................................................4
5.1.1
Versionskontrollfrågans innehåll ..............................................................................................5
5.1.2
Proxyinställningar ......................................................................................................................6
Manuell versionskontroll ............................................................................................................ 7
7 Inställningar för att hantera tredjepartsprogram som orsakar att BankID-dialogerna inte
visas ..................................................................................................................................................... 7
7.1
Parametrar i Personal.cfg .................................................................................................................7
8
Nya versioner ............................................................................................................................... 8
9
Kortläsare..................................................................................................................................... 8
Finansiell ID-Teknik BID AB
Beskrivning av installation av BankID säkerhetsprogram i företagsmiljöer
Sida 1
1 Inledning
Dokumentversion 1.5 2012-05-08 Uppdaterad för BISP 4.19.1
Detta dokument beskriver BankID säkerhetsprogram (BISP) för Windows för ett scenario
där programvaran ska installeras i en företagsmiljö. Dokumentet är framför allt avsett för
dem som i ett företag ansvarar för eller berörs av:
-
Paketering av programvara inför en installation.
-
Installation av programvara på arbetsstationer.
-
Konfiguration av lokala eller centrala proxyservrar och/eller brandväggar.
Observera att BankID säkerhetsprogram har en funktion för automatisk versionskontroll
som, om den inte tillåts fungera som avsett, kan medföra att programvaran slutar att
fungera. Se kapitel 5 för mer information.
2 Övergripande beskrivning
Idag accepteras BankID för legitimering och underskrift i mer än 300 tjänster, innefattande
flera av Sveriges bankers Internetbaserade tjänster. BankID säkerhetsprogram (BISP) är en
applikation som behövs för att en användare ska kunna hämta ut, använda och
administrera sitt BankID. BISP används både för BankID på fil och BankID på kort.
BankID säkerhetsprogram version 4.19 och senare finns tillgänglig för installation som ett
MSI-paket som kan hämtas från http://install.bankid.com.
Installationen av BISP görs systemvid, vilket innebär att när BISP installerats på en dator får
alla användare med konto på den datorn tillgång till BISP. Ett antal filer lagras centralt och
när en användare loggar in första gången lagras ett antal filer i användarens hemkatalog.
En funktion i BISP, kallad automatisk versionskontroll, hjälper till att säkerställa att den
aktuella installationen är av en accepterad version. Denna kontroll är viktig av flera orsaker,
inte minst säkerhetsmässiga. En installation av en version som inte är accepterad anses
vara spärrad och transaktioner skapade av en sådan installation kommer att avvisas av de
parter som accepterar BankID för legitimering och underskrift.
Vid avinstallation lämnas användarspecifika filer kvar på datorn. Detta innefattar till
exempel inställningar och tidigare uthämtade BankID på fil. All användarspecifik
information lagras i en separat katalog i användarens hemkatalog.
Finansiell ID-Teknik BID AB
Beskrivning av installation av BankID säkerhetsprogram i företagsmiljöer
Sida 2
3 BankID säkerhetsprogram - installationspaket
BankID säkerhetsprogram levereras som ett MSI-paket, BankID_installation_x_y_z.msi
(x_y_z ersätts med aktuell version).
Detta paket för installation med Microsoft Software Installer finns att hämta på
http://install.bankid.com. Paketet installerar BankID säkerhetsprogram och tar de växlar
som stöds av Microsoft Software Installer.
Från och med version 4.19.1 finns växeln NOINSTALLDONEDIALOG där 1 betyder att
bekräftelsedialogen som normalt visas i slutet av installationen inte visas.
(Tidigare versioner än 4.19 av BISP fanns i två olika paketeringar.)
4 Installationen, uppdatering och avinstallation
4.1.1 Installation
Administrationsrättigheter krävs för installation av BankID säkerhetsprogram.
En genväg till applikationen (binären heter Personal.exe och läggs i
%PROGRAMFILES%\Personal\bin\) läggs i den användargemensamma programkatalogen
Autostart i startmenyn. När en användare loggar in startas därför BISP automatiskt. Första
gången en användare startar applikationen kommer en användarspecifik katalog att skapas
under %APPDATA%\Personal\.
BankID säkerhetsprogram har en egen CSP och har stöd för PKCS#11. Filen personal.dll, som
vid installation sparas i %PROGRAMFILES%\Personal\bin\ innehåller gränssnitten för
PKCS#11 och MSCAPI. Denna dll installeras i eventuella Mozillabaserade webbläsare som
användaren har installerad.
Filerna np_prsnl.dll och np_prsnl64.dll, som vid installation sparas i
%PROGRAMFILES%\Personal\bin\, innehåller ett antal plug-ins och ActiveX-komponenter.
Dessa komponenter registreras i operativsystemet för att fungera med Internet Explorer.
4.1.2 Avinstallation
Avinstallation av BISP görs enklast genom operativsystemets funktion för avinstallation av
program via Kontrollpanelen (Lägg till/Ta bort program i Windows XP).
Den information som sparats under %APPDATA%\Personal kommer att lämnas kvar vid
avinstallation, bland annat för att förenkla uppdatering. Denna information innefattar även
eventuella BankID på fil som användaren hämtat ut.
4.1.3 Uppdatering
Om det finns en äldre version installerad kommer installeraren att uppdatera denna till den
senare versionen. Det går inte att nedgradera från en senare version till en äldre; i så fall
måste den redan installerade versionen manuellt avinstalleras innan den äldre versionen
kan installeras.
Vid uppdatering avinstalleras först automatiskt den äldre versionen och sedan installeras
den nya versionen. Om alla filer inte kan tas bort vid avinstallationen av den äldre
versionen kan en omstart i vissa fall behöva göras. I så fall lagras information i Registret
under HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\ som
säkerställer att uppdateringen fortsätter när användaren startat om datorn.
Finansiell ID-Teknik BID AB
Beskrivning av installation av BankID säkerhetsprogram i företagsmiljöer
Sida 3
4.2 Teknisk information
På följande platser i katalogstrukturen skapas filer och/eller kataloger:
%PROGRAMFILES%\Personal
%APPDATA%\Personal
(per användare)
På följande platser i Registret skapas nycklar och/eller värden:
HKEY_LOCAL_MACHINE\Software\Personal
HKEY_CURRENT_USER\Software\Personal
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\Personal (Windows XP)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\HTML Help\
HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@se.nexus/Personal
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Personal CSP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\Personal - *
HKEY_CLASSES_ROOT\Personal
HKEY_CLASSES_ROOT\Nexus.*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\ (ev. vid uppdatering)
Finansiell ID-Teknik BID AB
Beskrivning av installation av BankID säkerhetsprogram i företagsmiljöer
Sida 4
5 Automatisk versionskontroll
Av flera orsaker är det viktigt att användare av BankID inte använder versioner av BankID
säkerhetsprogram som inte längre anses funktionella eller säkerhetsmässigt tillförlitliga. Av
dessa skäl behöver därför en installation av BankID säkerhetsprogram verifieras med jämna
mellanrum så att en uppdatering kan göras om så behövs.
För att kontrollera om den aktuella installationen är accepterad finns en funktion i BankID
säkerhetsprogram som kallas automatisk versionskontroll. Denna funktion innebär att
programvaran med jämna mellanrum automatiskt ställer en versionskontrollfråga mot en
versionskontrollserver, VKS, som är placerad på Internet. Svaret på denna fråga anger om
den installerade versionen är accepterad eller spärrad. Om dessa frågor konsekvent
blockeras kommer installationen att inom ca en månad anse sig vara spärrad.
Transaktioner, för legitimering eller underskrift, kommer då att avvisas av de parter som
accepterar BankID för legitimering och underskrift.
Om en installation av BankID säkerhetsprogram inte har möjlighet att ställa
versionskontrollfrågor så kommer den att agera som om den vore spärrad.
En specifik version av BankID säkerhetsprogram kan vara antingen accepterad, under
avveckling eller spärrad. En installerad version som är under avveckling kommer att
meddela användaren om att en senare version finns tillgänglig. I vissa fall kommer BISP själv
att hämta och påbörja installation av den nya versionen, och i andra fall kommer BISP att
uppmana användaren att uppdatera.
Om användaren blir uppmanad, och följer programmets uppmaning om att uppdatera, så
kommer användarens webbläsare att startas och öppnas mot webbplatsen
http://install.bankid.com/personal. Från denna webbplats kan användaren själv hämta ned
och installera den senaste versionen.
Under vissa omständigheter kan en viss version av BankID säkerhetsprogram komma att
behöva spärras, till exempel av säkerhetsrelaterade orsaker. Transaktioner som skapas av
en version som är spärrad kommer att avvisas av förlitande part. En installation av BankID
säkerhetsprogram anser sig själv vara spärrad antingen om den via versionskontrollen får
besked om att den är spärrad eller om den konsekvent förhindras att genomföra sin
versionskontroll.
Om en installation anser sig själv vara spärrad på grund av att den inte kunnat ställa några
versionsfrågor behöver en lyckad versionskontroll genomföras för att transaktionerna ska
börja accepteras igen (under förutsättning att svaret på en sådan versionskontroll inte är
att versionen är spärrad). Om installationen är spärrad som ett resultat av ett svar på en
versionskontrollfråga måste installationen uppdateras. Något nytt BankID behöver
användaren dock inte hämta ut på grund av detta; det är endast programvaran som
spärras, inte användarens BankID. I god tid innan versionen spärras kommer användaren
att uppmanas att uppdatera.
5.1 Teknisk beskrivning
BankID säkerhetsprogram ställer den första versionskontrollfrågan i samband med
installationen. Därefter ställs frågan normalt var 14:e dag. Om svaret på en
versionskontrollfråga är att en nyare version finns tillgänglig och användaren svarar
”påminn mig senare” i BISPs dialog om uppdatering ska göras, så kommer nästa
versionskontrollfråga att ställas efterföljande dag.
Finansiell ID-Teknik BID AB
Beskrivning av installation av BankID säkerhetsprogram i företagsmiljöer
Sida 5
Om i stället svaret är att BISP ska hämta och uppdatera automatiskt, så kommer BISP att
påbörja filhämtning (tyst) från install.bankid.com över https. När filen är hämtad visar BISP
en dialog för användaren om att uppdatering kommer att göras. När användaren stänger
dialogen sker uppdatering. Användaren kan fortsätta använda BankID när uppdateringen är
färdig. Om filhämtningen eller installationen misslyckas, kommer BISP att försöka igen fem
gånger med några timmars mellanrum mellan försöken, och om uppdateringen fortfarande
inte lyckats visas i stället dialogen som uppmanar användaren att manuellt uppdatera BISP.
Om en versionskontrollfråga skulle ha ställts under den period programmet varit avstängt,
så ställs frågan så snart programmet startar. Windowsversionen av BankID
säkerhetsprogram startas automatiskt när användaren loggar in på arbetsstationen och
Macintoshversionen och Linuxversionen startas när den anropas, till exempel i samband
med legitimering med BankID mot en förlitande part, eller då användaren manuellt startar
programmet.
5.1.1 Versionskontrollfrågans innehåll
En versionskontrollfråga består av ett eller två anrop1 över HTTP på port 80 till en
versionskontrollserver (VKS) på Internet (IP-adress 159.72.128.183) tillsammans med
efterföljande svar. Både HTTP-anropen och svaren tillbaka består av XML-strukturer som
följer exemplen nedan.
Exempel på förfrågan
POST / HTTP/1.1
Content-Type: application/xml; charset=utf-8
User-Agent: [UASTRING]
Host: 1.2.3.4
Content-Length: 140
Cache-Control: no-cache
<?xml version="1.0">
<autoUpdateRequest>
[REQUESTCONTENT]
</autoUpdateRequest>
I ovanstående exempel har följande variabler använts:
[UASTRING]: Detta är den sträng som BankID säkerhetsprogram använder som ”User
Agent” sträng. Ett exempel på denna sträng är ”NexusPersonalW/4.10.0.18”.
[REQUESTCONTENT]: Detta innehåll består vanligtvis av två XML-element,
<requestVersion> och <versionString> men kan också bestå av andra XML-element
och/eller Base64-kodat data.
1
BankID säkerhetsprogram version 4.17 och senare skickar två http-anrop till VKS som del
av versionskontrollfrågan. Tidigare versioner av BankID säkerhetsprogram skickar bara ett
http-anrop.
Finansiell ID-Teknik BID AB
Beskrivning av installation av BankID säkerhetsprogram i företagsmiljöer
Sida 6
Exempel på svar
HTTP/1.1 200 OK
Date: Tue, 01 Jan 2009 12:00:00 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
X-AspNet-Version: 2.0.50727
Cache-Control: private
Content-Type: text/html
Content-Length: 143
<?xml version="1.0" encoding="utf-8"?>
<autoUpdateResponse>
[RESPONSECONTENT]
</autoUpdateResponse>
I ovanstående exempel har följande variabler använts:
[RESPONSECONTENT]: Detta innehåll består av ett antal XML-element och/eller Base64kodat data.
Observera att även innehållet i http-headern i exemplen ovan kan variera.
I BISP 4.19 och senare kan även svaret på versionskontrollfrågan leda till att BISP påbörjar
hämtning av en installationsfil av typen MSI eller MSP över https för uppdatering av BISP.
Innan uppdateringen installeras visas en informationsdialog för användaren. Under vissa
förutsättningar kan uppdatering med MSP-fil göras utan att användaren är inloggad som
administratör.
5.1.2 Proxyinställningar
BankID säkerhetsprogram använder standardfunktioner i operativsystemet för att upprätta
förbindelsen mot versionskontrollservern för versionskontroll. Detta innebär att
inställningar som gjorts i t.ex. Internet Explorer (på Windows) avseende anslutning mot
Internet via proxy kommer att användas.
Stöd finns för direkt konfigurerade proxys och ”Proxy auto-config” (PAC) -konfigurationer
under förutsättning att dessa gjorts i Windows.
Om anslutning till Internet endast görs via proxy som kräver autentisering så kommer
BankID säkerhetsprogram inte att kunna genomföra versionskontrollen.
Vi har också i vissa fall observerat att användare som är VPN-uppkopplade och via
företagets VPN-uppkoppling ansluter mot förlitandepartstjänst ibland får problem om
klienten vid DNS-uppslagning får adressen till företagets proxy-server då denna adress är en
del av signaturen och då innehåller ett värde som förlitandepart inte förväntar sig.
Inloggningen kommer då att misslyckas.
Finansiell ID-Teknik BID AB
Beskrivning av installation av BankID säkerhetsprogram i företagsmiljöer
Sida 7
6 Manuell versionskontroll
Om en installation av BankID säkerhetsprogram av olika skäl inte kan tillåtas ställa
versionskontrollfrågor, kommer den så småningom att agera som om den vore spärrad.
Användaren har dock möjlighet att själv kontrollera versionen genom att gå till någon av
webbplatserna https://install.bankid.com eller https://test.bankid.com. Dessa webbplatser
kommer att utföra versionskontrollen och, om den aktuella versionen av
säkerhetsprogrammet inte är spärrad, möjliggöra fortsatt användning.
Observera att om den installerade versionen inte kan ställa versionskontrollfrågorna
automatiskt så behöver användaren manuellt kontrollera versionen, på det sätt som
beskrivits ovan, minst en gång per månad.
7 Inställningar för att hantera tredjepartsprogram
som orsakar att BankID-dialogerna inte visas
I senare versioner av BankID säkerhetsprogram för Windows visas alla dialoger med
lösenordsinmatning i ett läge som kallas ”säker inmatning och säker visning”.
Ett fåtal användare drabbas av problem på grund av att andra programvaror stör säker
inmatning/visning. Problemen yttrar sig som att BankID-dialoger aldrig visas, att de bara
visas ett kort ögonblick, eller att de flimrar. Ofta visas felkoden 10093 i samband med dessa
problem.
Det finns två funktioner i version 4.19.1 som minskar möjligheterna för andra program att
störa. Dessa funktioner aktiveras genom val i inställningsmenyn eller genom parametrar i
filen Personal.cfg. Parametrarna i Personal.cfg är tänkta att kunna centralt distribueras av
företagsadministratörer i händelse av att flera användare på ett företag använder samma
tredjepartsprogram som stör BankID säkerhetsprogram.
Om användare får ovan beskrivet problem så får man prova att aktivera en funktion i taget
och båda i kombination för att se vilken som löser problemet. Sedan kan administratören
föra in motsvarande inställningar i Personal.cfg och distribuera den filen till alla användare.
- Öppna BankID säkerhetsprogram. Välj menyn Visa och sedan Inställningar och fliken
Avancerad.
- I avsnittet ”Problem med lösenordsdialoger” finns två valbara alternativ, ”Aktivera metod
1” och ”Aktivera metod 2”.
- Bocka i ett i taget och sedan båda och testa i varje steg.
- Om inget av alternativen gör någon effekt så blir nästa steg loggning och felsökning i
samarbete med BankID-supporten.
7.1 Parametrar i Personal.cfg
När en metod aktiveras är avsikten att övriga vanliga processer som startas av användaren
ska hindras från att störa BankID säkerhetsprogram. Skyddet aktiveras bara just under tiden
det behövs.
Finansiell ID-Teknik BID AB
Beskrivning av installation av BankID säkerhetsprogram i företagsmiljöer
Sida 8
Det går att explicit tala om att metoderna ska användas på en process (om den av någon
anledning inte hanteras av urvalet ovan) eller att explicit tala om att metoderna inte ska
användas på en process (t.ex. om det ger oönskade biverkningar i det programmet).
Notera att det finns en Personal.cfg i installationskatalogen %PROGRAMFILES%\Personal
som används första gången en användare startar BankID säkerhetsprogram. Efter första
gången gäller kopian som läggs i användarens %APPDATA%\Personal. Vid uppdatering av
programmet uppdateras även användarens kopia.
I filen Personal.cfg, i avsnittet [S2D], finns följande alternativ:
Method1Enabled – motsvarar bockrutan i menyn Inställningar
Method2Enabled – motsvarar bockrutan i menyn Inställningar
Method2AllUsers – betyder att metod 2 används för processer som startats av godtycklig
användare. Det här är ett alternativ som inte menyn Inställningar hanterar.
Excludes: Lista över processer som INTE ska påverkas av metoderna. Skrivs med semikolon
mellan.
Includes: Lista över processer som explicit ska påverkas av metoderna. Skrivs med
semikolon mellan.
Exempel:
[S2D]
Method2Enabled=0
Method2AllUsers=0
Method1Enabled=1
Excludes=DoNotHandleMe.exe;MeNeither.exe
Includes=SwitchToRealInputDesktop.exe;DisturbingApp.exe
8 Nya versioner
För att manuellt kontrollera om det finns en ny version av BankID säkerhetsprogram
tillgänglig så rekommenderar BankID att ansvarig går in på https://install.bankid.com och
går igenom flödet för att få information om vilken version som är den senaste.
9 Kortläsare
För BankID på kort så behöver användaren också drivrutiner till sin kortläsare. De
drivrutiner som finns till de kortläsare som stöds av BankID finns att hämta via Windows
Update. I de fall då man själv önskar att paketera med drivrutiner så går det att hämta
dessa via länkarna nedan. Om man önskar att använda en annan kortläsare så bör det gå
bra så länge den stödjer PC/SC. Vissa parter, t.ex. Handelsbanken kräver att en specifik
kortläsare används mot deras egna tjänster.
Finansiell ID-Teknik BID AB
Beskrivning av installation av BankID säkerhetsprogram i företagsmiljöer
Handelsbanken
http://www.handelsbanken.se (Klicka på Privat och skriv ”drivrutiner” i sökrutan.)
Todos Argos Mini II (Blå)
http://support.gemalto.com/index.php?id=283
Gemalto Gemplus PC-Twin (Transparent)
http://support.gemalto.com/index.php?id=252
Sida 9