Hem Knowledge base eIDAS
Knowledge Base

eIDAS

Knowledge Base

Electronic Identification, Authentication and Trust Services

 

Vad är eIDAS?

Länders gränser på den europeiska kontinenten smälter ihop till en enda gemensam gräns eftersom rörligheten hos kontinentens folk ständigt förändras och ökar. Att flytta över fysiska landsgränser inom de europeiska staterna blir mer och mer till att vara något fiktivt. När människor ständigt befinner sig i en konstant process av förflyttning måste rörligheten hos de tjänster som de använder följa med.

Den Europeiska unionen tillhandahöll eIDAS när de styrande insåg behovet av en reglering och en gemensam standard för elektronisk identifiering i hela unionen. Syftet var att tillåta och möjliggöra för medborgarna att använda sina inhemska elektroniska identiteter för att få tillgång till offentliga tjänster i alla andra stater i den Europeiska unionen. 

Med målet att erövra frontlinjen för att underlätta människors behov av autentisering är SecMakers lösning något som kommer att hjälpa människor att identifiera sig när de än behöver göra det. Eftersom SecMaker tillämpar eIDAS-ramverket för elektronisk identifiering kommer detta att vara en stöttepelare i processen för självuppfyllelse hos de europeiska medborgarna.

En översikt av den tekniska lösningen

Den gränsöverskridande kommunikationen med elektroniska identitetsuppgifter för de europeiska medborgarna kräver att eIDAS tillhandahåller ett säkert ramverk för att få det att fungera. Vad som behövs är:

  • Medel att säkerställa konfidentialitet, äkthet och integritet av personliga identifieringsuppgifter.
  • Att det ska vara möjligt att säkerställa identifiering och autentisering i kommunikationens ändpunkter.

 

I ramverket för eIDAS pratar man om eIDAS-Connectors som är de internationella noderna mellan vilka den gränsöverskridande kommunikationen sker. Sverige har valt att centralisera all kommunikation inom eIDAS till en speciell nod som kallas Sweden Connect. Som värd för den här noden står Digitaliseringsmyndigheten (DIGG). Självklart måste en mottagande nationell nod säkerställa att personlig data och information som tas emot behandlas enligt den tillämpliga och gällande dataskydsslagstiftningen. Därför krävs att data inte får vidarebefordras till oidentifierade noder.

Som exempel, en europeisk medborgare vill autentisera sig för en tjänst i Sverige. Detta är kommunikationskedjan:

  1. Kunden initierar en begäran om autentisering.
     
  2. Utfärdare av e-legitimation i ett medlemsland. Generellt är detta samma instans där användarens digitala certifikat har givits ut och erhållits ifrån ett Certificate Authority (CA).
     
  3. eIDAS-Connector i ett medlemsland.
     
  4. eIDAS-Connector i Sverige.
     
  5. Relationsdatabas i Sverige.
     
  6. eIDAS-Connector i Sverige.
     
  7. Efterfrågad inloggningstjänst i Sverige. Till exempel en lokal, regional eller statlig myndighet.
     
  8. Efterfrågad applikation eller tjänst som kräver elektronisk identifiering i Sverige. Till exempel en lokal, regional eller statlig myndighet.
     
  9. Steg 1-8 går tillbaka för att initiera kunden för kvittens och resultat av inloggning.

 

För att säkerställa kommunikationen används Transport Layer Security (TLS) mellan klient och eIDAS-noden, som är serversidan. Servern använder certifikatbaserad autentisering mot klienten. Av hastighetsskäl används TLS symmetrisk kryptering medan sessionen redan är etablerad. I initieringsläget används dock asymmetrisk kryptering. Autentiseringen på användarnivå, med avseende på personlig data för identifiering, görs med hjälp av Security assertion markup language (SAML). Användandet av en hash-funktion krävs för den digitala signaturen. För detta ändamål är minimikravet algoritmen SHA-2 med 256 bitar. SAML 2.0 används för kommunikationen mellan eIDAS-Connectors.

SAML metadata
I det internationella utbytet av data är det viktigt att tillhandahålla en obruten kedja av tillit för det personliga identifieringsdatat. De involverade enheterna och noderna måste identifieras på ett säkert sätt. Parternas SAML metadata måste signeras av "förtroendeankaret" som i Sveriges fall är den nod som är eIDAS-Connector. Det kan också göras av en annan enhet, men icke desto mindre och i vilket fall som helst, godkänns och auktoriseras allt via en kedja av certifikat som startar vid "förtroendeankaret".
Det gör det lämpligt att separera förtroendeankaret ifrån själva SAML ändpunkterna (ändpunkter = de involverade noderna). Som resultat är enheten som tillhandahåller tilliten inte nödvändigtvis densamma som enheten som tillhandahåller SAML metadatat. Enheten för metadata tillhandahålls därför ofta som separerad ifrån eIDAS-Connector, som är tillitsankaret. 

Datakommunikationens processflöde mellan internationella eIDAS-Connectors

För att autentisera en person som initierar en begäran ifrån sitt ursprungsland, sitt eIDAS-medlemsland, till målnationens eIDAS-Connector, måste följande process äga rum:

  1. Processen startas av den server som tillhandahåller den initiala accessen till den server som är värd för den mjukvara som utgör säkerhetsapplikationen och som används för identifiering (generellt benämnd som förlitande part, Relying Party, RP). Den här servern är startpunkt och skickar en begäran till den eIDAS-Connector som är ansvarig för  säkerhetsapplikationen. Till exempel, om begäran hade initierats ifrån Sverige skulle RP ansluta till Sweden Connects serversida.
     
  2. eIDAS-Connector i ursprungslandet begär och skickar en SAML-begäran till den motsvarande eIDAS-tjänsten som den adresserade nationens eIDAS-Connector är värd för.
     
  3. eIDAS-tjänsten verifierar äktheten av begäran genom att kontrollera signaturen på det originerande meddelandet för SAML-begäran.
     
  4. En autentisering av personen som begär tjänsten utförs av eIDAS-tjänsten. Ett sätt att utföra autentiseringen är att använda en Identity Provider (IdP). Allt enligt den begärda nivån på Level of Assurance (LoA). 
     
  5. Ett SAML-svar skickas till begärande eIDAS-Connector.
     
  6. eIDAS-Connector verifierar äktheten av det mottagna SAML-svarsmeddelandet och om autentiseringen går bra skickas det personliga identifieringsdatat vidare till den begärande förlitande parten (Relying Party). Det innebär att det är den begärda tjänsten i mållandet som har behov av att personen identifieras.
     
  7. Om någon av kontrollerna i autentiseringsprocessen går fel kommer hela proceduren att avbrytas och felhantering följer.
  8.  

 

Betrakta figuren nedan för visualisering av datakommunikationsprocessen:

bild över hur eIDAS hänger ihop

Tillit behövs för kommunikation 

To be able to set up communication between member states of eIDAS, a certain level of trust needs to be known and established. In each member state it is the so called trust anchor that bilaterally exchanges a PKI based certificate following RFC 5280 to corresponding trust anchor of other countries. This is where the well proven and robust PKI solution of SecMaker makes a difference. If residing on both sides in the international eIDAS data communication the result will be reliable and fast.
In the so called centralized communication scheme between states, the eIDAS-Connector will also be acting as the trust anchor at the end border point exchanging data.

 

Zero Trust in eIDAS

With regards to the SecMaker article concerning Zero Trust it would be an interesting way of deployment to use the Zero Trust network security concept realising the eIDAS framework. This indicates an possible business case for SecMaker, to deploy PKI based certification between each network component as well as PKI based certification identifying individuals to be exchanged internationally. Nevertheless, the eIDAS-Connector is a target for an attacker. Hence, it cannot rely on outdated trusted network architectures. It would be suitable if it would be part of a micro segmented network arcitecture such as Zero Trust.

 

Autentiseringar och signaturer som krävs för eIDAS

Den fundamentala idén med eIDAS är att en elektronisk signatur ska vara lika tillförlitlig som en handskriven signatur på ett pappersdokument och ha samma lagliga bevisvärde. 

Inom eIDAS behandlas tre elementära typer av signaturer:

  1. Elektronisk stämpel
    Elektroniska stämplar är bara tillgängliga för juridiska personer som bolagsenheter. Det eliminerar det speciella behovet av en "bemyndigad undertecknare" för ett företag eller en förening. Istället kommer det finnas en stämpel som är associerad med ett särskilt företag eller en särskild förening. Användandet av en stämpel kommer att vara bindande att representera en unik juridisk person.
     
     
  2. Kvalificerade elektroniska signaturer (QES)
    Den här typen av elektroniska signaturer är unikt länkad till en unik undertecknare. Eftersom en Kvalificerad elektronisk signatur baseras på ett Kvalificerat certifikat och kan likaledes bara ges ut av ett Certificate Authority (CA) som är ackrediterat för att uppfylla kraven inom eIDAS. Ett Kvalificerat certifikat måste hållas lagrat på ett smart kort, en USB-token, eller en tillitstjänst som är implementerad i molnet. Ett QES är utan tvivel väldigt viktigt eftersom det är den enda typ av elektronisk signatur som är juridiskt likvärdigt som en handskriven signatur. Det är också den enda typ av elektronisk signatur som levererar ömsesidig acceptans för dess giltighet i alla EUs medlemsstater.

     

  3. Avancerad elektronisk signatur (AdES)
    Denna typ av signatur ger undertecknaren av ett dokument en unik autentisering och identifiering och möjliggör också verifiering av integriteten för det signerade dokumentet. Det uppnås genom att ett CA ger ut ett digitalt certifikat som det första av alla certifikat en undertecknare kommer att erhålla ifrån ett CA. Vid signering är undertecknarens certifikat kryptografiskt knutet till dokumentet genom att använda den privata nyckeln som unikt och endast hålls av undertecknaren. Certifikat som detta, till exempel PKI, har funnits i många år men eIDAS tillåter undertecknaren att också använda andra teknologier, som till exempel att använda mobila enheter.

 

En framstående teknikleverantör för eIDAS

SecMaker har redan levererat de tekniska förutsättningarna för att utfärda elektronisk identifiering till betydelsefulla aktörer inom den offentliga vården och omsorgen i Sverige. Vår tekniska bas är väl beprövad och de myndigheter som är värdar för tekniken, med andra ord SecMakers kunder, har som mål att göra Net iD Software Suite till en standard för den offentliga sektorn i Sverige.

Vi strävar mot Europa. Och Europa har krav som vi anser oss kunna uppfylla för en motsvarande utgivare av elektroniska identiteter som i Sverige, alltså att en kund köper vår teknik för att göra SecMakers metod för elektroniska identiteter till en standard i alla europeiska länder. 

Hur?

 Läs mer här

Man som sitter och skriver på dator