eID Kolokvium
Kontext a východiska
Ing. Zdeněk Jiříček AFCEA - Pracovní skupina „Kybernetická bezpečnost“
Rezervy, rezervy, rezervy... Náklady na jednu eGov transakci [USD] 8 7 6 5 4 3 2 1 0
7,19
0,63 In Person
Online
Business case - U.S. State of Washington Dept. of Licensing CIO (2010)
Proč je elektronická identita prioritou? E-služby s vysokou transakční hodnotou téměř vždy pracují s identitou fyz. nebo právnické osoby
„Služby vytvářející důvěru“ jsou nutnou podmínkou přijetí e-služeb pro inovace a konkurenceschopnost EU vidí interoperabilitu elektronické identifikace jako klíčový faktor posílení digitálního jednotného trhu Návrh „Nařízení eIDAS“ schválen v prvním čtení v EP, očekává se potvrzení Evropskou radou do konce června 2014 (s odkladem platnosti do r. 2016)
eIDAS = Proposal for a Regulation of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market (COM/2012/0238 final)
Zabezpečená el. identita a on-line transakce
Menší riziko zneužití – nižší nároky na zabezpečení prostředku eID
Vysoké riziko transakce vyžaduje vyšší zabezpečení
Je určitá hranice, za kterou je třeba vyžadovat vyšší úroveň důvěryhodnosti eID
Typy služeb s různou úrovní záruk
Anonymní přístup
Žádná identifikace / autentizace
Předpověď počasí
Personalizovaný přístup
Účet / pseudonym... „Mickey Mouse“ (zadáno uživatelem)
Diskuzní skupiny, personalizace stránek
Identifikovaný přístup
Vyplnění atributů a jednoduché ověření (email, mobil, adresa)
např. e-Commerce
Identifikovaný přístup s registrační fází
Ověření identity důvěryhodnou autoritou, různé úrovně kvality autentizace
Ověření identity pro transakce s vysokou hodnotou
+ garantované autorizační atributy subjektu
Propojení identifikace subjektu s entitou, která vede referenční data o subjektu
Oprávnění pro poskytnutí dané služby
Úrovně záruk v procesu užití el. identifikace Běžné komerční služby
Služby s garantovanou identitou
Identifikace
Vloženo uživatelem, příp. scan obč. průk.
Fyzická kontrola proti foto ID důvěryhodnou autoritou
Autentizace
Obvykle jméno / heslo Dvoufázová / dvoufaktorová
Autorizace
Vlastní prohlášení, příp. scany dokladů
Doložení atributů od příslušné autority, důvěryhodným způsobem
Úrovně záruk elektronické identity - QAA (Quality Authentication Assurance)
QAA Zajištění registrační fáze
1. Procedura identifikace subjektu 2. Procedura vydání prostředku el. identity
3. Důvěryhodnost identitní autority
Zajištění autentizační fáze
4. Robustnost prostředku el. identity 5. Bezpečnost autentizačního mechanismu
El. identita zákazníků u poskytovatelů služeb s vysokou hodnotou 1. Osobní návštěva, pouze interní IT systém + papírová korespondence 2. Osobní návštěva + vydání prostředku eID pro online přístup
Poskytovatel služby
3. Bez osobní návštěvy – důvěřuje eID a atributům, vydaným nějakou třetí stranou
El. identita zákazníků u poskytovatelů služeb s vysokou hodnotou Identitní autorita: Identifikace, autentizace
Důvěřuje el. podpisu autority
5 Poskytovatel služby
2
3
4
1
Uživatel – subjekt dat
Atributová autorita: Další data o subjektu
Vývoj pohledu na ochranu soukromí Identifikátor osoby
1. Významový identifikátor, např. YYMMDDXXXX
Poskytovatel služby
2. Bezvýznamový, ale stále univerzální identifikátor, případně certifikát na eID card Nevýhoda univerzálního identifikátoru: poskytovatelé služeb si mohou vyměňovat údaje o subjektu bez jeho souhlasu
Uživatel – subjekt dat
Možné řešení: • Federace identit • „Směrové“ identifikátory
Identifikovatelnost subjektů vs. „velký bratr“ Poskytovatel služby (SP)
Identitní autorita (IdP): Identifikace, autentizace Jen pro audit, jinak IdP nemusí znát SP
SP musí vědět, kdo (IdP) garantuje identitu uživatele Zabránit - bez souhlasu subjektu
Uživatel musí důvěřovat autentičnosti SP
„Minimal disclosure“ pro provedení transakce, použití „směrových identifikátorů“
Uživatel – subjekt dat
Vývoj...„7 Laws of Identity“ publikováno v r. 2005 Kim Cameron, Identity Researcher www.identityblog.com
Návrh „Nařízení EU eIDAS“ - definice: Electronic identification; eID means; eID scheme (zkrácená verze)
Elektronická identifikace
Používání osobních údajů v elektronické formě, která jedinečným způsobem popisuje fyzickou nebo právnickou osobu
Prostředek pro elektronickou identifikaci
Materiální nebo nemateriální jednotka obsahující identifikační data osoby, využívaná k autentizaci osoby k online službám
Systém elektronické identifikace
Systém elektronické identifikace, v rámci kterého jsou vydávány prostředky pro el. identifikaci fyzickým nebo právnickým osobám
Elektronická identita přeshraničně 5. Výběr Identitní autority,
Proxy státu XX
Atributové autority
Proxy Česká republika
MojeID a další 6.A
AuthN e-služba 8.
7. 4.
3. 2.
6.B Základní registry
1. Další poskytovatelé identitních schemat a atributů subjektu
OP/eOP nebo jiný prostředek el. identity
Rodící se standardy úrovně záruk el. identity eIDAS
STORK ISO ISO NIST QAA 29115 29003 800-60
GPG45 (UK)
Typická implementace (zjednodušeno)
N/A
Level 1
LoA 1 LoA 1
Level 1
Level 1
Jméno + heslo def. uživatelem (př. Facebook ID)
„Low“
Level 2
LoA 2 LoA 2
Level 2
Level 2
Jméno + silné heslo po zaslání uživateli na trvalou adresu dle registru obyvatel
„Substantial“ Level 3
LoA 3 LoA 3
Level 3
Level 3
OTP na registr. mobil nebo soft certifikát vydaný po osobní kontrole subjektu
„High“
LoA 4 LoA 4
Level 4
Level 4
Hard certifikát vydaný po osobní kontrole akreditovanou certifikační autoritou
Level 4
OTP systémy „One Time Password“ pomocí SMS nebo generátorů kódů
Soft certifikát: privátní klíč instalován do operačního systému počítače / tabletu / mobilu
Hard certifikát: dle požadavku eIDAS „Electronic Signature Creation Device“ pro vytvoření kvalif. elektronického podpisu
Kategorie hrozeb ve službách s el. identitou Dle hlavní komponenty útoku (metodika EU agentury ENISA):
Platnost certifikátů v EU (země projektu STORK 2.0) Projekt
Roků
Projekt
Roků
ID card
3
AT
5
IT
BE
5
LU
3
CH
3
PT
5
EE
5
SK
FR
3
SI
5
eID card
5 / 10
DE
nPA
1- 5
ES
2,5
GR
ID card
5
SE
5
LT
ID card
3
NL
3
4
UK
IS
Yorkshire project
3
Pozn. Slovensko – platnost autentiz. certifikátu je 10 let
Témata k diskuzi Jaké systémy a prostředky pro el. identifikaci vydávané v ČR by optimálně splňovaly nové požadavky: 1) otevřenost eID vůči soukr. sektoru (důvěrou vůči identitní autoritě) 2) přeshraniční interoperabilita na základě otevřených standardů 3) možnost interaktivního vyžádání autorizačních atributů (role) 4) jednotné úrovně záruk – „nízká“ / „značná“ / „vysoká“
Jaké jsou příležitosti a scénáře pro soukromý sektor?
Jaké legislativní změny by to představovalo?
Děkuji za pozornost Zdeněk Jiříček
[email protected]
