eIDAS Levels of Assurance i olika nationella eID-system

Förtroende är kärnan i alla former av elektronisk identifiering (eID), från inloggning till digital signering av dokument och e-handelstransaktioner.

Ramverket eIDAS (Electronic Identification, Authentication, and Trust Services) reglerar eID-system i Europa och förlitar sig på konceptet Levels of Assurance (LoA), dvs. eIDAS-förordningens tillitsnivåer för elektronisk identifiering, för att mäta förtroendet.

Nedan kommer vi att utforska eIDAS LoA, hur de skiljer sig åt och hur de implementeras i olika europeiska eID-system.

Vad är tillitsnivåer?

En "tillitsnivå" mäter graden av förtroende som en tjänsteleverantör har för den påstådda identiteten hos en person som använder ett eID. Den återspeglar hur väl den digitala identiteten har verifierats, autentiserats och säkrats.

Det är ett försök att kvantifiera förtroendet för den digitala identiteten och bedöma risken för identitetsbedrägeri. Ju högre LoA, desto högre är förtroendet och desto lägre är risken för bedrägeri.

Vilka faktorer avgör säkerhetsnivån?

Det finns flera element som påverkar tillitsnivån i ett eID-system:

• Registrering: Hur kan en individ förvärva eID:t i fråga? Genomförs processen personligen eller online? Krävs det ett biometriskt pass eller en identitetshandling i pappersformat?
  
  
• Design och hantering av eID: Hur många faktorer krävs till exempel för autentisering? Räcker det med ett lösenord eller finns det en multifaktorautentisering på plats?
  
  
• Själva autentiseringen: Hur utförs den? Vilka är kraven för att bekräfta en identitet till en förlitande part? Vilka säkerhetsprotokoll används under verifieringen av eID?

Den lägsta nivån i något av de ovanstående elementen avgör den övergripande säkerhetsnivån i eID-systemet.

De tre tillitsnivåerna

I eIDAS-förordningen definieras tre tillitsnivåer.

Låg

Detta är den lägsta tillitsnivån. Den innebär minimal identitetsverifiering och används vanligtvis för lågrisktillämpningar.

Exempel: Tillgång till en offentlig webbplats med användarnamn och lösenord.

Betydande

Detta återspeglar en högre säkerhetsnivå jämfört med LoA Low. Den innefattar vanligtvis starkare metoder för identitetsverifiering, t.ex. ett ID-kort eller en engångskod. Garantinivån Substantial är lämplig för applikationer som innebär måttliga risker, t.ex. åtkomst till myndighetstjänster online.

Exempel: Användare tillhandahåller identitetsinformation som verifieras under registreringen. Autentiseringen sker med en kombination av användarnamn, lösenord och en engångskod som skickas till en mobiltelefon.

Hög

Detta är den högsta säkerhetsnivån som definieras av eIDAS. Den kräver de mest robusta metoderna för identitetsverifiering, som ofta bygger på personliga identitetsbevis och användning av hårdvarutokens eller smartkort. LoA High är vanligtvis reserverad för högrisk-transaktioner, som att underteckna juridiskt bindande avtal eller få tillgång till mycket känslig information.

Ett exempel: Registrering och autentisering ansikte mot ansikte med ett smartkort.

Olika nationella eID-system

I eIDAS-förordningen definieras inte vilka specifika tekniker som krävs för att uppfylla olika LoA-krav. Därför utvecklar EU:s medlemsstater sina egna eID-system som följer eIDAS-principerna men som är utformade på ett sätt som återspeglar de rättsliga, sociala och tekniska landskapen i varje land.

Om ett nationellt eID-system erbjuder flera säkerhetsnivåer kan organisationer och tjänsteleverantörer välja den LoA som bäst överensstämmer med de risker som är involverade i deras specifika verksamhet.

Enligt en studie från september 2022 av 40 europeiska eID-system:

• 25 stödjer LoA High.
• 20 stödjer LoA Substantiell.
• 12 stödjer LoA Låg.

Låt oss nu titta närmare på flera nationella eID-system och de säkerhetsnivåer som de erbjuder.

Dansk MitID

MitID erbjuder alla tre säkerhetsnivåerna:

• Låg: För vissa digitala tjänster räcker det med en kombination av MitID-användar-ID:t och en annan autentiseringsfaktor (t.ex. lösenord).
  
  
• Betydande: Detta kräver två olika autentiseringsfaktorer. Till exempel
  • MitID-appen + användar-ID
  • en alternativ autentiseringsfaktor, t.ex. MitID-koddisplay + användar-ID + OTP-kod + lösenord.
• Hög: Denna säkerhetsnivå är tillgänglig i utvalda kommuner. Den kräver personlig registrering och minst två autentiserare (t.ex. MitID-appen och en koddisplay) för att uppnås.

MitID låter tjänsteleverantörer avgöra vilken säkerhetsnivå som är lämplig för deras specifika behov. LoA Substantial är den vanligaste. Den används vanligtvis för offentliga självbetjäningsplattformar som skat.dk och sundhed.dk, samt för internetbanker och försäkringar.

Svenskt BankID

I Sverige tillhandahåller tolv storbanker elektronisk identifiering för medborgare. Det kräver att användarna installerar BankID-appen (tillgänglig på dator, mobil och surfplatta).

BankID uppfyller kraven på tillitsnivå 3 i kvalitetsmärket för svensk eID, vilket översätts till LoA "Substantial" i eIDAS-klassificeringen.

Norskt BankID

Det nya BankID Biometric gör det möjligt för slutanvändare att identifiera sig med biometri och fungerar på säkerhetsnivån "Substantial".

Organisationer och tjänsteleverantörer som kräver LoA "High" (t.ex. för stora penningöverföringar) kan fortfarande använda en av de äldre versionerna av Bank ID: vanligt BankID eller BankID på mobilen.

Finnish Trust Network

Finnish Trust Network (FTN) reglerar autentiseringsmekanismer som används av medborgare för att få tillgång till nationella offentliga och privata tjänster online.

Alla e-legitimationer som tillhandahålls av FTN - inklusive Finnish Bank ID och Mobiilivarmenne - fungerar på eIDAS "Substantial"-nivå.

Belgiska itsme®

itsme® fungerar via en mobilapp som kan användas med över 800 organisationer i Belgien, Nederländerna och Luxemburg.

Den fungerar på "hög" säkerhetsnivå i eIDAS-klassificeringen.

Nederländska iDIN

iDIN erbjuds av nederländska banker och gör det möjligt för privatpersoner att interagera online med ett brett utbud av offentliga och privata tjänster och plattformar.

Försäkringsnivån i eIDAS för nederländska iDIN är "väsentlig".

Är du intresserad av att implementera eID-baserade lösningar för kundautentisering?

Idura hjälper företag att effektivisera sina digitala onboardingprocesser genom att integrera en rad europeiska eID:er, inklusive danska MitID, norska och svenska BankID, finska Trust Network med flera.

Kontakta gärna våra experter för mer information om våra lösningar för digital identitet.