From Pal.Axelsson at its.uu.se Sun May 13 13:27:14 2007 From: Pal.Axelsson at its.uu.se (=?utf-8?Q?P=C3=A5l_Axelsson?=) Date: Sun, 13 May 2007 13:27:14 +0200 Subject: [idfed] =?utf-8?q?F=C3=B6rtroendeniv=C3=A5er_eller_level_och_ass?= =?utf-8?q?urance_f=C3=B6r_elektroniska_identiteter?= Message-ID: <001301c79551$c9033a30$405aee82@its.uu.local> Hej, I samband med arbetet att f?rbereda Uppsala universitets ans?kan till SWAMID - se referens nedan - har ett PM tagits fram som definierar f?rtroendeniv?erna f?r de olika identitetstyper som finns vid universitetet. Nedan finns ett bearbetat utdrag ur avsnitten d?r vi gjort en bed?mning av vad det amerikanska begreppet Level of Assurance (LoA) inneb?r. Jag har blivit ombedd att skicka ut v?r bed?mning till er som en hj?lp f?r ert l?rost?tes ans?kan till SWAMID. Brevet g?r ?ven efter ?nskem?l till svenska identietetsfederationslistan efter ?nskem?l fr?n Leif Johansson p? Stockholms universitet. P?l Axelsson Definition av f?rtroende niv?er i samband med SWAMID Nedanst?ende text ?r framtagen med tv? syften; Dels f?r att definiera f?rtroendeniv? enligt NIST Electronic Authentication Guideline Version 1.0.2 [1] och OMB E-Authentication Guidance for Federal Agencies [2] f?r identitets?typerna. Och dels f?r att definiera om en viss identitet f?r delta i Swedish Academic Identity Federation [3] ? nedan kallat SWAMID. F?rtroendeniv?er I NIST Electronic Authentication Guideline och OMB M-04-04 definieras fyra f?rtroendeniv?er ? eng. Level of Assurance, nedan f?rkortat LoA. I bed?mn?ingen av f?rtroende?niv? ing?r dels hur v?l en identitet kan s?kerst?llas tillh?ra en viss person och dels med vilken metod som autentisering ? ?ven kallat inlogg?ning ? kan ske. I denna text ?r det bara s?kerst?llandet att en viss identitet tillh?r en viss person som bed?ms. Inom ramen f?r denna begr?nsning uppfyller en identitet med en h?gre f?rtroendeniv? ?ven kraven f?r en l?gre ? d.v.s. en identitet som uppfyller LoA2 uppfyller ?ven LoA1. LoA1 inneb?r att det finns liten eller ingen m?jlighet att fastst?lla vem som innehar en elektronisk identitet. LoA2 inneb?r att det finns rimlig eller viss m?jlighet att fastst?lla vem som innehar och anv?nder en elektronisk identitet. Vem som innehar identiteten fastst?lls genom att identiteten styrks vid utl?mnade av identitetsinformation eller att identitetsinformationen skickas till en postadress ? t.ex. folkbokf?rings?adressen eller f?r personal institutionens adress ? d?r det ?r stor sannolikhet att den person som identitetsinformationen tillh?r ?ven ?r den person som tar del av den informationen. Med identitetsinformation menas bland annat inloggningsuppgifter. LoA3 inneb?r att det finns god m?jlighet att fastst?lla vem som innehar och anv?nder en elektronisk identitet. Vem som innehar identiteten s?kerst?lls via kontroll av giltig identitetshandling vid utl?mnade av identitetsinformation, med giltig identitets?handling menas nationellt identitetskort, pass, k?rkort, SIS-godk?nt identitets?kort och e?legitimation [4]. LoA4 inneb?r att det finns mycket god m?jlighet att fastst?lla vem som innehar och anv?nder en elektronisk identitet. Med avseende p? att detta PM ?r begr?nsat till identitetshantering ?r det ingen skillnad mellan LoA3 och LoA4. SWAMIDs relation till f?rtroendeniv?er F?r att en identitet ska f? delta i identitetsfederationen SWAMID kr?vs att det inte finns n?got som hindrar att identiteten kan uppfylla LoA2. _____ [1] NIST Special Publication 800-63 Version 1.0.2, Electronic Authentication Guideline, april 2006, http://csrc.nist.gov/publications/nistpubs/800-63/SP800-63V1_0_2.pdf [2] Executive Office of the President, Office of Management and Budget Memorandum M-04-04, E-Authentication Guidance for Federal Agencies, 16 december 2003, http://www.whitehouse.gov/omb/memoranda/fy04/m04-04.pdf [3] SWAMID, http://www.swamid.se [4] N?mnden f?r elektronisk f?rvaltning, 24-timmarsdelegationen, E-legitimation f?r s?kra e-tj?nster, februari 2005, http://www.verva.se/web/t/Publication____1346.aspx -------------- next part -------------- An HTML attachment was scrubbed... URL: -------------- next part -------------- A non-text attachment was scrubbed... Name: smime.p7s Type: application/x-pkcs7-signature Size: 4702 bytes Desc: not available URL: