[idfed] Förtroendenivåer eller level och assurance för elektroniska identiteter

Pål Axelsson Pal.Axelsson at its.uu.se
Sun May 13 13:27:14 CEST 2007 

Hej,
 
I samband med arbetet att förbereda Uppsala universitets ansökan till SWAMID - se referens nedan - har ett PM tagits fram som definierar förtroendenivåerna för de olika identitetstyper som finns vid universitetet. Nedan finns ett bearbetat utdrag ur avsnitten där vi gjort en bedömning av vad det amerikanska begreppet Level of Assurance (LoA) innebär.
 
Jag har blivit ombedd att skicka ut vår bedömning till er som en hjälp för ert lärostätes ansökan till SWAMID.
 
Brevet går även efter önskemål till svenska identietetsfederationslistan efter önskemål från Leif Johansson på Stockholms universitet.
 
Pål Axelsson
 
 

Definition av förtroende nivåer i samband med SWAMID


Nedanstående text är framtagen med två syften; Dels för att definiera förtroendenivå enligt NIST Electronic Authentication Guideline Version 1.0.2 <outbind://4/#_ftn1> [1] och OMB E-Authentication Guidance for Federal Agencies <outbind://4/#_ftn2> [2] för identitets­typerna. Och dels för att definiera om en viss identitet får delta i Swedish Academic Identity Federation <outbind://4/#_ftn3> [3] – nedan kallat SWAMID.


Förtroendenivåer


I NIST Electronic Authentication Guideline och OMB M-04-04 definieras fyra förtroendenivåer – eng. Level of Assurance, nedan förkortat LoA. I bedömn­ingen av förtroende­nivå ingår dels hur väl en identitet kan säkerställas tillhöra en viss person och dels med vilken metod som autentisering – även kallat inlogg­ning – kan ske. I denna text är det bara säkerställandet att en viss identitet tillhör en viss person som bedöms. Inom ramen för denna begränsning uppfyller en identitet med en högre förtroendenivå även kraven för en lägre – d.v.s. en identitet som uppfyller LoA2 uppfyller även LoA1.

 

LoA1 innebär att det finns liten eller ingen möjlighet att fastställa vem som innehar en elektronisk identitet.

 

LoA2 innebär att det finns rimlig eller viss möjlighet att fastställa vem som innehar och använder en elektronisk identitet. Vem som innehar identiteten fastställs genom att identiteten styrks vid utlämnade av identitetsinformation eller att identitetsinformationen skickas till en postadress – t.ex. folkbokförings­adressen eller för personal institutionens adress – där det är stor sannolikhet att den person som identitetsinformationen tillhör även är den person som tar del av den informationen. Med identitetsinformation menas bland annat inloggningsuppgifter.

 

LoA3 innebär att det finns god möjlighet att fastställa vem som innehar och använder en elektronisk identitet. Vem som innehar identiteten säkerställs via kontroll av giltig identitetshandling vid utlämnade av identitetsinformation, med giltig identitets­handling menas nationellt identitetskort, pass, körkort, SIS-godkänt identitets­kort och e‑legitimation <outbind://4/#_ftn4> [4]. 

 

LoA4 innebär att det finns mycket god möjlighet att fastställa vem som innehar och använder en elektronisk identitet. Med avseende på att detta PM är begränsat till identitetshantering är det ingen skillnad mellan LoA3 och LoA4.


SWAMIDs relation till förtroendenivåer


För att en identitet ska få delta i identitetsfederationen SWAMID krävs att det inte finns något som hindrar att identiteten kan uppfylla LoA2.



  _____  


 <outbind://4/#_ftnref1> [1] NIST Special Publication 800-63 Version 1.0.2, Electronic Authentication Guideline, april 2006, http://csrc.nist.gov/publications/nistpubs/800-63/SP800-63V1_0_2.pdf

 <outbind://4/#_ftnref2> [2] Executive Office of the President, Office of Management and Budget Memorandum M-04-04, E-Authentication Guidance for Federal Agencies, 16 december 2003, http://www.whitehouse.gov/omb/memoranda/fy04/m04-04.pdf

 <outbind://4/#_ftnref3> [3] SWAMID,  <http://www.swamid.se/> http://www.swamid.se

 <outbind://4/#_ftnref4> [4] Nämnden för elektronisk förvaltning, 24-timmarsdelegationen, E-legitimation för säkra e-tjänster, februari 2005,  <http://www.verva.se/web/t/Publication____1346.aspx> http://www.verva.se/web/t/Publication____1346.aspx

 

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://list.nmugroup.com/pipermail/idfed/attachments/20070513/1121e062/attachment.html>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 4702 bytes
Desc: not available
URL: <http://list.nmugroup.com/pipermail/idfed/attachments/20070513/1121e062/attachment.bin>

More information about the idfed mailing list