Efter att ha arbetat med identitetsfederering i ganska många år
förvånas jag fortfarande över beteendet organisationer i mellan. Vi
både vill och inte vill samverka. Ofta är utgångspunkten: "Skall vi
samverka så skall det ske helt efter mina villkor".
Många gånger har tankarna förflyttas till den privata sfären
seende mig själv studera barnen som leker, kanske i en sandlåda.
Leken blir oftast som bäst ner man ger och tar. Barnet som på egen
hand bestämmer villkoren och som dikterar kraven för leken blir
rätt ofta sist kvar i sandlådan. Och efter en stund blir förvånad
över att de övriga barnen hittat en annan arena för en betydligt
fruktsammare lek.
Identitetsfederering handlar kort och gott om att använda
befintliga infrastrukturer för elegitimering, dvs identifiering och
autentisering.
Den som producerar e-tjänster har i stor omfattning ännu inte
uppfattat fördelarna med identitetsfederering. Flertalet tänker
fortfarande i termer av egna lösningar för e-legitimering.
Lösningar som allt som ofta är enormt kostnadsdrivande. I en
identitetsfederation är det i princip bara tre förmågor som krävs,
förmågan
- att kravställa ett identitetsintyg
- att i tillräcklig grad lita på utfärdaren av
identitetsintyget
- att konsumera ett identitetsintyg.
Det två förstnämnda förmågorna brukar vara förvånansvärt svåra.
Jag har full respekt för tillitsfrågan, men jag har betydligt
svårare att förstå att den som har en e-tjänst inte kan tydliggöra
vad e-tjänsten behöver veta om användaren…
Tillitsnivån är en knäckfråga, oavsett identitetsfederationer
eller ej, och den måste var och en ha respekt för samtidigt som
viljan måste finnas att flytta positionerna framåt. Initiativ som
Kantara, Stork, ISO (kommande standard 29115), NIST (NSTIC) med
flera bidrar och för ovanlighetens skull så verkar de i stort sett
i samma riktning. NSTIC (National Strategy for Trusted Identities
in Cyberspace) är det projekt som uppskattningsvis omgärdas av mest
resurser och har den högsta hastigheten. Målet är ett fungerande
tillitsramverk för ekosystemet av identiteteter.
Alla initiativ som bidrar till ett tydligt ramverk utan några
säkerhetsmässiga avkall och som värnar om öppenhet samt inte
motverkar användandet av öppna standards välkomnas. Tyvärr infinner
sig en oroskänsla att de starkare krafterna som verkar på den
svenska arenan i alltför stor utsträckning önskar lösningar som
bidrar med nya inlåsningseffekter likt eID2008, infratjänsten och
nya påfund till "förenkling" vilket knappast leder i en riktning
där det skall vara så enkelt som möjligt för så många som
möjligt.
I de flesta sammanhang diskuteras identitetsfederering ur
perspektivet stark autentisering. Tyvärr diskuteras det alldeles
för sällan ur alla andra perspektiv där kraven på tillit är lägre
men där förlusten av ett användarid och lösenord kan få oanade
konsekvenser. Jag behöver knappast räkna upp alla exempel där
kontoinformation stulits och där lösenord med enkla medel knäcks.
Tekniken för identitetsfederering kan göra stor skillnad även här
och till skillnad mot där det ställs krav på en hög tillitsnivå är
det betydligt enklare här att upprätta tillit mellan den som kan
ställa ut ett identitetsintyg och den som kan konsumera ett
identitetsintyg. Näst intill en icke-fråga.
Även om vi sakta rör oss i en identitetsfedereringsriktning så
är det tyvärr alltför många sammanhang där det fortfarande finns en
önskan att på traditionellt sätt sammanställa information "utifall
att". Dvs vi vill ha gigantiska databaser, inte sällan kataloger,
som förväntas veta allt om oss. Det positiva här är att allt fler
förstår att skilja på identiteten (vem jag är) och alla dess
egenskaper jag kan ha såsom roll, uppdrag, juridisk behörighet
etc.
Identiteten är och förblir JAG, sedan kan den givetvis
presenteras i andra termer än ett personnummer, kanske till och med
en pseudonymiserad identitet. Låt sedan andra källor än
e-legitimationen bidra med mina egenskaper och inse att dessa
källor gör sig bäst i en decentraliserad form. Varje försök till
att förädla, samla och sammanställa information innebär risker att
informationen tappar i värde. I en identitetsfederation
sammanställs informationen när den efterfrågas och direkt från den
källan. Jag behöver knappast förtydliga vilka enorma besparingar
detta ger och då inte bara de ekonomiska besparingarna utan
vinsterna är minst lika stora ur ett
informationssäkerhetsperspektiv.
Innan du bestämmer dig för att samverka så är det en fråga som
behöver besvaras med en positiv viljeinriktning. Litar du på den du
skall samverka med, eller förväntas övriga parter att samverka helt
efter dina villkor? Kort och gott - vill du helt enkelt samverka,
eller kanske är sandlådan inte så dum när man väl är själv i
den?
