eid Kolokvium Kontext a východiska Ing. Zdeněk Jiříček AFCEA - Pracovní skupina Kybernetická bezpečnost
Rezervy, rezervy, rezervy... Náklady na jednu egov transakci [USD] 8 7 6 5 4 3 2 1 0 7,19 In Person 0,63 Online Business case - U.S. State of Washington Dept. of Licensing CIO (2010)
Proč je elektronická identita prioritou? E-služby s vysokou transakční hodnotou téměř vždy pracují s identitou fyz. nebo právnické osoby Služby vytvářející důvěru jsou nutnou podmínkou přijetí e-služeb pro inovace a konkurenceschopnost EU vidí interoperabilitu elektronické identifikace jako klíčový faktor posílení digitálního jednotného trhu Návrh Nařízení eidas schválen v prvním čtení v EP, očekává se potvrzení Evropskou radou do konce června 2014 (s odkladem platnosti do r. 2016) eidas = Proposal for a Regulation of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market (COM/2012/0238 final)
Zabezpečená el. identita a on-line transakce Menší riziko zneužití nižší nároky na zabezpečení prostředku eid Vysoké riziko transakce vyžaduje vyšší zabezpečení Je určitá hranice, za kterou je třeba vyžadovat vyšší úroveň důvěryhodnosti eid
Typy služeb s různou úrovní záruk Anonymní přístup Personalizovaný přístup Identifikovaný přístup Identifikovaný přístup s registrační fází + garantované autorizační atributy subjektu Žádná identifikace / autentizace Účet / pseudonym... Mickey Mouse (zadáno uživatelem) Vyplnění atributů a jednoduché ověření (email, mobil, adresa) Ověření identity důvěryhodnou autoritou, různé úrovně kvality autentizace Propojení identifikace subjektu s entitou, která vede referenční data o subjektu Předpověď počasí Diskuzní skupiny, personalizace stránek např. e-commerce Ověření identity pro transakce s vysokou hodnotou Oprávnění pro poskytnutí dané služby
Úrovně záruk v procesu užití el. identifikace Identifikace Autentizace Běžné komerční služby Vloženo uživatelem, příp. scan obč. průk. Služby s garantovanou identitou Fyzická kontrola proti foto ID důvěryhodnou autoritou Obvykle jméno / heslo Dvoufázová / dvoufaktorová Autorizace Vlastní prohlášení, příp. scany dokladů Doložení atributů od příslušné autority, důvěryhodným způsobem
Úrovně záruk elektronické identity - QAA (Quality Authentication Assurance) QAA Zajištění registrační fáze Zajištění autentizační fáze 1. Procedura identifikace subjektu 2. Procedura vydání prostředku el. identity 3. Důvěryhodnost identitní autority 4. Robustnost prostředku el. identity 5. Bezpečnost autentizačního mechanismu
El. identita zákazníků u poskytovatelů služeb s vysokou hodnotou 1. Osobní návštěva, pouze interní IT systém + papírová korespondence 2. Osobní návštěva + vydání prostředku eid pro online přístup Poskytovatel služby 3. Bez osobní návštěvy důvěřuje eid a atributům, vydaným nějakou třetí stranou
El. identita zákazníků u poskytovatelů služeb s vysokou hodnotou Identitní autorita: Identifikace, autentizace Důvěřuje el. podpisu autority 3 Poskytovatel služby 5 2 4 1 Uživatel subjekt dat Atributová autorita: Další data o subjektu
Vývoj pohledu na ochranu soukromí Identifikátor osoby 1. Významový identifikátor, např. YYMMDDXXXX Poskytovatel služby Uživatel subjekt dat 2. Bezvýznamový, ale stále univerzální identifikátor, případně certifikát na eid card Nevýhoda univerzálního identifikátoru: poskytovatelé služeb si mohou vyměňovat údaje o subjektu bez jeho souhlasu Možné řešení: Federace identit Směrové identifikátory
Identifikovatelnost subjektů vs. velký bratr Poskytovatel služby (SP) Jen pro audit, jinak IdP nemusí znát SP Identitní autorita (IdP): Identifikace, autentizace SP musí vědět, kdo (IdP) garantuje identitu uživatele Zabránit - bez souhlasu subjektu Uživatel musí důvěřovat autentičnosti SP Minimal disclosure pro provedení transakce, použití směrových identifikátorů Uživatel subjekt dat
Vývoj... 7 Laws of Identity publikováno v r. 2005 Kim Cameron, Identity Researcher www.identityblog.com
Návrh Nařízení EU eidas - definice: Electronic identification; eid means; eid scheme (zkrácená verze) Elektronická identifikace Používání osobních údajů v elektronické formě, která jedinečným způsobem popisuje fyzickou nebo právnickou osobu Prostředek pro elektronickou identifikaci Materiální nebo nemateriální jednotka obsahující identifikační data osoby, využívaná k autentizaci osoby k online službám Systém elektronické identifikace Systém elektronické identifikace, v rámci kterého jsou vydávány prostředky pro el. identifikaci fyzickým nebo právnickým osobám
Elektronická identita přeshraničně Proxy státu XX e-služba 2. 1. Proxy Česká republika 8. 7. 3. 5. 4. Výběr Identitní autority, Atributové autority MojeID a další 6.A AuthN 6.B Základní registry Další poskytovatelé identitních schemat a atributů subjektu OP/eOP nebo jiný prostředek el. identity
Rodící se standardy úrovně záruk el. identity eidas STORK QAA ISO 29115 ISO 29003 NIST 800-60 GPG45 (UK) Typická implementace (zjednodušeno) N/A Level 1 LoA 1 LoA 1 Level 1 Level 1 Low Level 2 LoA 2 LoA 2 Level 2 Level 2 Substantial Level 3 LoA 3 LoA 3 Level 3 Level 3 High Level 4 LoA 4 LoA 4 Level 4 Level 4 Jméno + heslo def. uživatelem (př. Facebook ID) Jméno + silné heslo po zaslání uživateli na trvalou adresu dle registru obyvatel OTP na registr. mobil nebo soft certifikát vydaný po osobní kontrole subjektu Hard certifikát vydaný po osobní kontrole akreditovanou certifikační autoritou OTP systémy One Time Password pomocí SMS nebo generátorů kódů Soft certifikát: privátní klíč instalován do operačního systému počítače / tabletu / mobilu Hard certifikát: dle požadavku eidas Electronic Signature Creation Device pro vytvoření kvalif. elektronického podpisu
Kategorie hrozeb ve službách s el. identitou Dle hlavní komponenty útoku (metodika EU agentury ENISA):
Platnost certifikátů v EU (země projektu STORK 2.0) Projekt Roků AT 5 BE 5 CH 3 EE 5 FR 3 DE npa 1-5 GR ID card 5 LT ID card 3 IS 4 Projekt Roků IT ID card 3 LU 3 PT 5 SK eid card 5 / 10 SI 5 ES 2,5 SE 5 NL 3 UK Yorkshire project 3 Pozn. Slovensko platnost autentiz. certifikátu je 10 let
Témata k diskuzi Jaké systémy a prostředky pro el. identifikaci vydávané v ČR by optimálně splňovaly nové požadavky: 1) otevřenost eid vůči soukr. sektoru (důvěrou vůči identitní autoritě) 2) přeshraniční interoperabilita na základě otevřených standardů 3) možnost interaktivního vyžádání autorizačních atributů (role) 4) jednotné úrovně záruk nízká / značná / vysoká Jaké jsou příležitosti a scénáře pro soukromý sektor? Jaké legislativní změny by to představovalo?
Děkuji za pozornost Zdeněk Jiříček zdenekjj@hotmail.com