Verifiserbare legitimasjonsopplysninger: En ordliste (for alle)

Etter hvert som du lærer mer om identitetsstyring og lommebokens økosystem, vil du støte på begreper knyttet til verifiserbar legitimasjon. Denne terminologien kan være vanskelig å forstå, spesielt hvis du ikke er velbevandret i teknisk sjargong og akkurat har begynt å sette deg inn i emnet.

Frykt ikke!

I denne artikkelen forklarer vi de vanligste begrepene på en måte som alle kan forstå.

Legitimasjon

I den fysiske verden er legitimasjon allerede en del av hverdagen vår i form av pass, førerkort, helseforsikringskort, universitetsgrader og så videre.

Verifiserbar legitimasjon (VC)

En legitimasjon blir en verifiserbar legitimasjon når den er i et standardisert digitalt format og kan verifiseres kryptografisk.

Definisjon: Verifiserbar legitimasjon følger W3C Verifiable Credentials Data Model. En verifiserbar legitimasjon kan inneholde omtrent de samme dataene som en fysisk legitimasjon, men den er beskyttet av kryptografi for å sikre integritet og forhindre manipulering.

De tre grunnleggende komponentene i en verifiserbar legitimasjon er

1. Metadata: Disse inneholder bakgrunn og detaljer om legitimasjonen, slik at det blir lettere å forstå hvor legitimasjonen kommer fra og hva den skal brukes til.
2. Påstander: Uttalelser fra utstederen (enheten som utsteder legitimasjonen) om personen den er utstedt til. Det kan være ting som navn, alder eller kvalifikasjoner.
3. Bevis: Kryptografiske bevis som bekrefter at legitimasjonen er ekte og ikke har blitt endret. Matematikken bak bevisene garanterer at legitimasjonen er ekte og kommer fra en pålitelig kilde.

For å si det enkelt: Akkurat som fysisk legitimasjon utstedes verifiserbar legitimasjon til enkeltpersoner(innehavere) av betrodde enheter(utstedere). Innehaverne kan bruke disse legitimasjonene i fremtiden for å bevise identiteten sin.

På grunn av de kryptografiske bevisene i legitimasjonen kan den som mottar den ( verifikatoren) umiddelbart kontrollere tre kritiske aspekter:

1. Legitimasjonens integritet
2. At den er utstedt av en pålitelig utsteder
3. At den ble presentert av den rettmessige innehaveren

Det er der "verifiserbar"-delen av navnet kommer fra.

Forestill deg førerkortet ditt i digital form. På samme måte som det fysiske førerkortet ditt kommer fra en betrodd myndighet, er en verifiserbar legitimasjon utstedt av en betrodd organisasjon og digitalt signert for å sikre autentisitet. Du kan deretter vise den frem til en hvilken som helst kontrollør som krever det: en offentlig myndighet, en lokal bedrift eller banken din - akkurat som du ville gjort i den fysiske verden.

Universitetsgrader, boardingkort, elektroniske identiteter utstedt av banker/myndigheter (som eID-er som brukes i dag) kan alle være verifiserbare legitimasjonsdokumenter, så lenge de overholder W3C-standarden.

Presentasjon (eller verifiserbar presentasjon)

Definisjon: Data fra en eller flere verifiserbare legitimasjoner som presenteres for en spesifikk kontrollør. Presentasjonen kan være selektiv, slik at innehaveren bare deler en delmengde av legitimasjonsinformasjonen. En presentasjon er verifiserbar når den gir kryptografisk holderbinding.

For å si det enkelt: Tenk deg at du har en digital lommebok med ulike legitimasjonsopplysninger. Når du skal bevise for eksempel utdannelsen din, kan du velge å bare vise den relevante informasjonen om graden fra karakterutskriften din i stedet for å avsløre alle andre detaljer.

Utsteder

Definisjon: En enhet som oppretter og utsteder verifiserbar legitimasjon.

Enkelt sagt: En organisasjon, myndighet eller virksomhet som er ansvarlig for å utstede den digitale legitimasjonen din, for eksempel universitetet ditt, en offentlig etat eller en bank.

Innehaver

Definisjon: Den personen eller enheten som den verifiserbare legitimasjonen tilhører.

I enkle ordelag: Det er deg! Personen som innehar eller bruker den digitale legitimasjonen.

Verifikator

Definisjon: En enhet som mottar og verifiserer den verifiserbare legitimasjonen.

Enkelt forklart: Enhver part som krever bevis på legitimasjonen din, for eksempel en potensiell arbeidsgiver eller en tjenesteleverandør. Det er interessant å merke seg at én og samme enhet kan fungere som både utsteder og kontrollør. Tenk deg for eksempel en e-handelsplattform: Den kan først utstede en digital legitimasjon til deg for innlogging på nettet og senere verifisere denne legitimasjonen når du logger på kontoen din. I stedet for å lagre den private informasjonen din i sin egen database, ber de om den fra lommeboken din når det er nødvendig. Denne tilnærmingen forbedrer brukernes personvern og sikrer samsvar med GDPR-regelverket.

Krav

Definisjon: Påstander i en verifiserbar legitimasjon er informasjon om innehaveren, for eksempel navn, alder eller kvalifikasjoner (omtrent som JWT-påstander).

For å si det enkelt: Påstandene ligner på detaljene som finnes på et fysisk ID-kort. De gir informasjon om personen legitimasjonen tilhører, for eksempel navn, statsborgerskap eller tittel.

Bevis

Definisjon: Kryptografisk bevis som viser autentisiteten og integriteten til en verifiserbar legitimasjon. Ulike former for digitale signaturer brukes ofte som bevis.

For å si det enkelt: Når utstederen ut steder en verifiserbar legitimasjon, signerer utstederen den med en digital signatur og legger til et unikt kryptografisk stempel for å bekrefte autentisiteten. En analogi i den fysiske verden er originalstempelet fra universitetet som er festet til vitnemålet ditt. Matematikken bak det kryptografiske beviset sikrer at legitimasjonen er ekte og ikke har blitt tuklet med.

Tilbakekalling

Definisjon: Prosessen med å ugyldiggjøre en tidligere utstedt verifiserbar legitimasjon.

For å si det enkelt: Hvis den digitale legitimasjonen din blir stjålet eller du mister tilgangen til den, sørger tilbakekalling for at den ikke kan misbrukes av noen andre.

Bevis for null kunnskap

Definisjon: En kryptografisk metode der en part kan bevise for en annen part at et utsagn er sant uten å avsløre noe informasjon utover utsagnets gyldighet. Dette innebærer komplekse matematiske algoritmer som sikrer bevisets integritet, samtidig som det opprinnelige utsagnet holdes hemmelig.

For å si det enkelt: Se for deg dette: Du vil bevise at du er gammel nok til noe uten å røpe din eksakte alder. Nullkunnskapsbevis lar deg gjøre nettopp det. Du kan bekrefte at du oppfyller kravet uten å oppgi unødvendige detaljer, som fødselsdatoen din. Når en kontrollør spør om du er over for eksempel 21 år, får de bare et ja/nei-svar.

Selektiv offentliggjøring

Definisjon: Muligheten for innehavere til å dele bare en del av informasjonen i en legitimasjon som er utstedt til dem.

Enkelt sagt: Selektiv utlevering betyr at du kan velge hvilke opplysninger du vil dele fra den digitale legitimasjonen din. Hvis du for eksempel søker på en jobb på nettet, kan du kanskje bare dele fullt navn og yrkeskvalifikasjoner fra den digitale CV-en din, og holde kontaktinformasjonen og den personlige adressen konfidensiell til senere i søknadsprosessen.
Selektiv offentliggjøring vil ikke være tilgjengelig for alle verifiserbare kvalifikasjoner: Dette avhenger av de spesifikke implementeringsdetaljene.

SD-JWT-basert verifiserbar legitimasjon (SD-JWT VC)

Definisjon: SD-JWT VC er en verifiserbar legitimasjon basert på SD-JWT-formatet, som muliggjør selektiv utlevering. SD-JWT er en grunnleggende komponent i den nyeste EUDI Wallet Architecture and Reference Framework, og har opplevd en betydelig økning i bruken over hele Europa.

For å si det enkelt: Verifiserbar legitimasjon kan uttrykkes i ulike formater, og SD-JWT VC er et slikt format. Dets viktigste kjennetegn er at det muliggjør selektiv offentliggjøring, selv om det også kan brukes når det ikke er noen krav som krever selektiv offentliggjøring.

Kryptografisk holderbinding

Definisjon: Kryptografisk innehaverbinding er en prosess som bekrefter at en legitimasjon er utstedt til en bestemt innehaver ved hjelp av kryptografisk sikkerhet. Det garanterer at bare den rettmessige eieren kan fremvise og bruke legitimasjonen.

For å si det enkelt: Det gjør det mulig for verifikatorer å stole på at den personen som presenterer en legitimasjon, er den samme personen som legitimasjonen opprinnelig ble utstedt til. Så når du viser frem en legitimasjon, kan kontrolløren stole på at den tilhører deg og ikke har blitt kopiert eller klonet fra en annen innehavers lommebok.

Digital lommebok

Definisjon: En digital applikasjon eller tjeneste som lar deg lagre og administrere verifiserbar legitimasjon på en sikker måte, noe som gjør det enkelt for enkeltpersoner å få tilgang til og fremvise legitimasjonen sin når det er nødvendig."Repository" (eller "credential repository") er et annet begrep for en digital lommebok.

For å si det enkelt: Digitale lommebøker er nødvendige for å lagre verifiserbar legitimasjon. Tenk på en digital lommebok som et sikkert sted for oppbevaring og administrasjon av digitale ID-er og sertifikater. Det gir deg et trygt miljø der du enkelt kan få tilgang til og dele disse legitimasjonene når det er nødvendig. På samme måte som du oppbevarer førerkortet og andre viktige kort i en fysisk lommebok, fungerer en digital lommebok som et oppbevaringssted for de digitale identitetene dine.

Føderert identitetsmodell

Definisjon: Den sammenkoblede identitetsmodellen gir brukerne tilgang til flere applikasjoner ved hjelp av ett sett med påloggingsopplysninger. Den bygger på tillit mellom en identitetsleverandør, IdP, og en tjenesteleverandør, SP. IdP-en oppretter og forvalter brukerlegitimasjonen, og tjenesteleverandøren og IdP-en blir enige om hvordan autentiseringen skal foregå. Med delt identitet kan brukerne få tilgang til ulike nettjenester uten å måtte logge inn hver gang. Denne måten å logge på kalles også «single sign-on».

For å si det enkelt: I denne modellen er det en identitetsleverandør (IdP) som vedlikeholder brukerdata og leverer identitetsbevis, og en tjenesteleverandør som bruker dataene. Et klassisk eksempel er Googles system. Hvis du har en Google-konto, kan du bruke den til å logge inn på ulike tjenester som YouTube og Gmail, samt andre nettsteder. Det samme gjelder for bruk av Facebook- eller Apple-legitimasjon for å logge på andre apper. Denne brukervennligheten har imidlertid en pris: Disse selskapene sporer påloggingsaktiviteten din og bruker disse dataene til målrettet reklame og til å bygge opp en omfattende profil på nettet. Hvis passordet ditt skulle bli kompromittert, kan dessuten alle de andre plattformene som er knyttet til single sign-on-kontoen din, bli sårbare.

Desentralisert identitetsmodell

Definisjon: Med innføringen av verifiserbar legitimasjon er den sammenkoblet identitetsmodellen i ferd med å vike plassen for desentralisert identitet. I denne nye modellen oppretter og utsteder utstedende organisasjoner legitimasjon, og verifiserende organisasjoner kan umiddelbart sjekke legitimasjonens autentisitet. Enkeltpersoner har kontroll over identiteten sin, og de administrerer og bruker legitimasjonen sin på egen hånd.

For å si det enkelt: I desentralisert identitet er det en utsteder av legitimasjon, en kontrollør og en lommebok som opptrer på vegne av brukeren. I praksis betyr det at identitetsdataene dine lagres sikkert i din egen lommebok, ikke på en fjern bedriftsserver som er replikert på ulike plattformer. I motsetning til den sammenkoblede modellen, der data flyter direkte fra utsteder (identitetsleverandør) til kontrollør (tjenesteleverandør), er det her du som mottar og lagrer legitimasjon i lommeboken din, og du bestemmer selv når og hvordan du vil presentere den. Dette oppsettet forbedrer brukernes personvern, ettersom utstederne ikke vet hvor legitimasjonen brukes.

OpenID (eller OpenID Connect)

Definisjon: OpenID er en åpen standard og autentiseringsprotokoll som er utviklet for å verifisere brukeridentitet og hente ut informasjon om brukerprofiler på en interoperabel måte. Den gjør det mulig for brukere å få tilgang til ulike webapplikasjoner ved hjelp av ett enkelt sett med legitimasjon. OpenID har historisk sett blitt brukt til sammenkoblet autentisering, og er kjent for sin enkelhet, sikkerhet og utbredte bruk. Etter hvert som desentralisert identitet tar over, vil OpenID fortsette å spille en viktig rolle i dette nye økosystemet.

For å si det enkelt: Når du for eksempel logger inn på et nettsted med Google- eller Facebook-kontoen din, bruker du sammenkoblet autentisering med OpenID som underliggende teknologi.

OpenID4VCI (eller OpenID for verifiserbar utstedelse av legitimasjon)

Denne spesifikasjonen er en utvidelse av OpenID-økosystemet og definerer en protokoll som gjør det mulig for utstedere å utstede legitimasjon direkte til innehavere, eller for innehavere å be om legitimasjon fra en utsteder.

OpenID4VP (eller OpenID for verifiserbare presentasjoner)

Denne spesifikasjonen er en annen utvidelse av OpenID-økosystemet, og definerer en protokoll som gjør det mulig for verifikatorer å be om presentasjoner fra innehavere.

Navigere i identitetsrommet med Idura

Digitale lommebøker vil snart bli allment tilgjengelige gjennom bedrifter, myndigheter og arbeidsgivere, og verifiserbar legitimasjon er i ferd med å bli mainstream.

Idura jobber med nye tilbud innenfor identitetsområdet.

Vi ønsker å tenke nytt og tilpasse oss endringer i hvordan brukerne opplever og oppfatter identitetsløsninger.

Og vi ansetter!