Nu er jeg selv én af dem, der ikke længere tror så meget på den med at Storken kommer med de små børn. I takt med at bestanden af Storke er decimeret betydeligt ville det vel også være en urimelig arbejdsbyrde, som nok kunne bringe Ornitologisk forening på barrikaderne.
Men for-analysen til at finde en afløser til NemID er nu gået i gang, og én af de mange ting der skal navigeres efter, er en kommende EU forordning om elektroniske tillidstjenester på tværs af medlemslandene. Denne forordning baserer sig rent teknisk på to store EU projekter med navnet STORK. Disse projekter har udviklet tekniske og juridiske løsningsmodeller for interoperabel identifikation og udveksling af brugerdata på tværs af grænser, under hensyntagen til national lovgivning.
Så måske skal den kommende NemID om ikke komme med STORKen, så i hvert fald kunne indplaceres i STORK infrastrukturen.
Som man nok kan forestille sig, er teknisk og juridisk interoperabilitet af nationale sikkerhedsløsninger på tværs af landegrænser ingenlunde en triviel opgave. Det første STORK projekt løb fra 2008 til 2011 og alene politiske og juridiske forhold omkring privacy og udveksling af personlige data på tværs af landegrænser fylder meget i rapporterne fra projektet.
Hvor første STORK projekt fokuserede på borgere, omhandler STORK 2.0 projektet, som løber fra 2014 og tre år frem, især virksomheder og personers (medarbejderes) ret til at agere på vegne af virksomheder.
Man kan få et indtryk af de forskellige hensyn der er taget i løsningen, som den ser ud nu, ved at læse projektets FAQ, som er meget slutbrugerrettet, og fokuserer meget på de privacy bekymringer, som mange brugere kan have.
Men nu ligger der med STORK projekterne et forholdsvis gennemarbejdet grundlag, som altså også ser ud til at få politisk vægt bag med en EU forordning, som i praksis forventes at kunne have effekt fra omkring 2017-2018.
STORKs fire sikkerhedsniveauer
Sikkerhedsmæssigt arbejder STORK med fire sikkerhedsniveauer.
-
No or minimal assurance: is the lowest assurance level, only minimal confidence (if any) in the asserted identity is available. Identity credentials are accepted without verification. This is appropriate when negative consequences are negligible
-
Low assurance: identities must be validated and a token issued by a government-approved body (with no need of physical presence). Identity tokens must be treated with security care, non-insecure protocols must be used in the electronic authentication phase. However, damages from a misappropriation of identities are low
-
Substantial assurance: The identity registration must unambiguously identify the claimant. Identity providers must be supervised by the government. The credentials delivered are certificates. The authentication mechanisms used in the remote authentication phase must be robust. At this level, substantial damages can result from identity misuse
-
High assurance: The registration requires at least once the physical presence of the claimant or trusted e-signatures. This level is achieved if the national legal requirements for issuing a qualified certificate have been met. The identity provider must be a qualified entity. The certificates must be hard certificates qualified according to the e-signature Directive. The most robust authentication mechanisms available must be used during the authentication phase. Damage caused by an identity misuse has a heavy impact.
Jeg har ikke turdet oversætte denne del til dansk, da ordvalget kan være meget vigtigt. Men umiddelbart minder niveauerne om dem der kendes fra NIST og Kantara. Man har altså fundet grund til at lave en egen EU standard, så der vil nok være forskelle, som jo blandt andet kan bunde i det politiske landskab bag projektet. Detaljerne kan findes i denne PDF.
NemID infrastrukturen og OCES standarden herhjemme vil nok umiddelbart kunne indplaceres i sikkerhedsniveau 3, med mulighed for at de hardware- og nøglekortbaserede varianter vil kunne udvikles til sikkerhedsniveau 4.
De andre europæiske lande har mange forskellige eID og digital signatur løsninger. Enkelte lande har kun en løsning på niveau 4, sådan som Østrig. Her kan man så få det problem, at alle tjenesteudbydere i Østrig forventer niveau 4, og dette er jo et problem, hvis man i et andet land slet ikke kan få en eID på niveau 4.
Så ønsket om interoperabilitet på tværs af landegrænser skaber også et pres for at differentiere sikkerhedskravene til de enkelte tjenester. Denne selvstændige problematik om understøttelse af flere sikkerhedsniveauer i de danske NemID tjenester, kan man se lidt mere om i min sidste blog skal signaturen have en lillebror?.
Hvordan vil STORKen se ud i naturen?
Den store tekniske afkobling i STORK går ud på at sikre, at de enkelte lande kan lave deres eID løsninger næsten som de har lyst til, uden at det påvirker de andre lande. Dette er illustreret i nedenstående tegning, som er sakset fra denne vejledning til nye medlemslande..
Så når en tysk studerende skal søge om optagelse på Syddansk Universitet, så er det den tyske STORK komponent, som kender den studerendes tyske eID løsning og tilvejebringer login til Syddansk Universitet igennem den danske STORK komponent.
Det kunne se således ud for studenten:
Omvendt vil vi måske kunne sidde i Frankrig og bruge vores danske NemID til at give sundhedsoplysninger til en fransk sundhedsklinik.
Hvad skal Danmark med en europæisk STORK?
“Så skal vi nu til at lade os styre af alle chipkortløsningerne nede i Europa, og hvor mange transaktioner får vi egentlig fra Frankrig om 7 år”? I disse EU skeptiske tider kunne det sikkert godt lade sig gøre at opildne en art folkelig opposition til den slags ”EU bureaukrati af værste skuffe”. Det synes jeg nu ikke der er grund til. STORK er bygget til at nationale særheder netop kan håndteres nationalt, så det er ikke fordi STORK lægger mange bindinger på de nationale løsningsmodeller.
Rent praktisk vil det nok være naturligt at tænke STORK som en del af NemLog-In familien, således at tjenesteudbydere, som er koblet op på NemLog-In, også får understøttelse af udenlandske borgere og virksomheder herigennem. Dermed skal vi nok også helst have lukket NemLog-In op for det private erhvervsliv, det kunne jo være et ønske…
Når vi tænker på, at den for-analyse for OCES3 der nu er begyndt, nok kommer til at danne grundlaget for udviklingen på området de næste 10 år, er det relevant at forberede den danske infrastruktur til at kunne indgå i STORK, og også medtænke, at danske borgere og virksomheder måske allerede om 5-6 år skal kunne begynde at tage nationalt bekræftede personlige data og rettigheder med sig på elektronisk interrail ned igennem Europa.