Tillitsnivåer

Signalering av tillitsnivåer Gemensamt för standarderna är att de beskriver fyra olika tillitsnivåer för identiteter. Tillitsnivåerna förkortas ofta LoA (Level of Assurance), där kraven är lägst för LoA 1 och högst för LoA 4. Förenklat kan tillitsnivåerna beskrivas som en måttstock, där en lägre indikering på skalan motsvarar en enklare kontroll av identitet och därför än lägre tillit.

Det finns i dag flera olika förslag till standard för tillitsramverk. Amerikanska National Institute of Standards and Technology (NIST) var tidigt ute och deras publikation SP 800-63-1, Electronic Authentication Guideline är en utgångspunkt för många av de andra initiativen.

Ett betydelsefullt arbete för att skapa ett tillitsramverk har även genomförts inom Kantara Initiative. En förhoppning finns även att Internationella standardiseringsorganisationen ISO kommer med sin version av standard för området, ISO/IEC 29115. Även projektet STORK, Secure idenTity acrOss boRders linKed, som bedrivits inom Europeiska unionen är viktig referens inom området.

Hantering av tillitsnivåer

Den tekniska beskrivningen av hur tillitsnivåer hanteras och signaleras hittar du här.

Tillitsnivåer för Skolfederation

För närvarande tillämpas tillitsnivåerna ”Bas” och ”2FA” inom Skolfederation. Målsättningen är att alla medlemmar på sikt ska kunna hantera en tillitsnivå motsvarande LoA 2.

  • Bas – godkänd medlem i Skolfederation: Bas medför inga andra krav än de som följer med medlemskapet i skolfederation.
  • 2FA – tvåfaktorsautentisering: Den skyddsklass för E-legitimationer och utställande av Identitetsintyg vars grad av skydd motsvarar datainspektionens krav på stark autentisering, då IT-system är tillgängligt via Internet, och systemet innehåller integritetskänsliga uppgifter. Ingen granskning av kravets efterlevnad görs av Skolfederation, utan detta åvilar Skolhuvudmannen.
  • LoA 1 – obekräftad användare och en låg tillit till identiteten: LoA 1 innebär att det finns liten eller ingen möjlighet att fastställa vem som innehar och använder en elektronisk identitet. Exempel på elektroniska identiteter av typen LoA1 är Windows Live-konto och Google-konto.
  • LoA 2 – krav på bekräftad användare och en viss tillit till identiteten: LoA2 innebär att det finns rimlig möjlighet att fastställa vem som innehar och använder en elektronisk identitet. Vem som ursprungligen tar emot identiteten fastställs genom att identiteten styrks vid utlämnade av identitetsinformation eller att identitetsinformationen skickas till en postadress – till exempel folkbokföringsadressen eller arbetsplatsens adress – där det är sannolikhet att den person som identitetsinformationen tillhör även är den person som ta del av den informationen. För LoA 2 godtas inloggning med lösenord. Ett skydd skall finnas mot avlyssning av lösenordet, lösenordsattacker och återuppspelningsattacker.
  • LoA 3 – kontrollerad användare och en hög tillit till identiteten: LoA3 innebär att det finns god möjlighet att fastställa vem som innehar och använder en elektronisk identitet. Detta säkerställs via kontroll av giltig identitetshandling vid utlämnade av identitetsinformation. Med giltig identitetshandling menas nationellt identitetskort, pass, körkort, SIS-godkänt identitetskort och e-legitimation.
  • LoA4 – verifierad användare och en mycket hög tillit till identiteten: LoA4 innebär att det finns mycket god möjlighet att fastställa vem som innehar och använder en elektronisk identitet.

Val av tillitsnivå

Valet av tillitsnivå styrs av e-tjänstens krav och bör baserat de risker och skada som en felaktig identifiering kan medföra avseende: användarens säkerhet, obehag eller oro, tjänsteleverantörens renommé och rykte, ekonomisk skada och legala krav.

Mötesanteckningar