Znaczenie tożsamości cyfrowej i nowe wytyczne

Cyfrowe systemy tożsamości mają ogromne znaczenie, jeśli chodzi o definiowanie własnego ja w cyfrowym świecie, która jest tak realna jak świat fizyczny i faktycznie wpływa na nas w bardzo bezpośredni sposób. Z tego powodu konstrukcja cyfrowej kontroli tożsamości i cyfrowej autoryzacji tożsamości nie jest już problemem opcjonalnym. W USA panuje powszechna zgoda co do tego, że cyfrowa tożsamość i uwierzytelnienie stanowią podstawę bezpieczeństwa online i szybko stają się priorytetem bezpieczeństwa narodowego. Wersje początkowe takich obecnie dostępnych usług świadczą usługi zapewnienia tożsamości, które są używane przez różne systemy w celu zapewnienia pewnej formy autoryzacji (fizycznej lub logicznej).

Co to jest tożsamość cyfrowa

Tożsamość cyfrowa to informacja o osoba lub organizacja używana przez systemy komputerowe do reprezentowania jej w cyberprzestrzeni. Mówiąc prościej, jest to internetowy odpowiednik prawdziwej tożsamości osoby lub organizacji.

Przeczytaj : Kradzież tożsamości online: zapobieganie i ochrona.

Wytyczne dotyczące tożsamości cyfrowej

Narodowy Instytut Standardów i Technologii (NIST) od dawna jest uznawanym autorytatywnym źródłem referencji w zakresie wskazówek dotyczących uwierzytelniania.

NIST opublikował niedawno NIST SP 800-63, teraz nazywany Wytycznymi dotyczącymi tożsamości cyfrowej po miesiącach opinia publiczna. Ten czterotomowy pakiet zawiera wskazówki techniczne dla organizacji korzystających z usług tożsamości cyfrowej. Nowy dokument aktualizuje poprzednie standardy i rozszerza je, aby zająć się identyfikacją i uwierzytelnianiem jako usługą, oferując koncepcje i język niezbędny do właściwej opieki i karmienia tożsamości cyfrowych - coś, co większość ekspertów w branży nazywa ostrożnymi wydatkami dolarów podatnika.

Po raz pierwszy wydany w 2003 r., SP 800-63 jest znanym dokumentem NIST, który wprowadził cztery poziomy wytycznych dotyczących tożsamości cyfrowej (LOA) - LOA 1, 2, 3 i 4 - zgodnie z ustaleniami M- 04-04, Poradnik E-Authentication dla agencji federalnych

Kluczowym celem nowego wydania 800-63, jego trzeciej iteracji, jest rozwiązanie błędów LOA, aby zamienić koncepcję w coś bardziej znaczącego z pomoc współczesnych procesów tożsamości zarówno dla sektora prywatnego, jak i rządowego.

W skrócie, nowy dokument wprowadził następujące poważne zmiany:

Nowy dokument uniezależnił LOAS w dużej mierze od części składowych, aby zapewnić, że każda inicjatywa uwierzytelniania współ można go oceniać jako 1, 2 lub 3 dla jednego aspektu i zupełnie innej oceny dla drugiego aspektu, zamiast numeru pełnego, takiego jak LOA 3. Krótko mówiąc, nowy SP 800-63 dzieli schemat rankingowy na trzy segmenty:

1. Sprawdzanie rejestracji i tożsamości (SP 800-63A)
2. Uwierzytelnianie i zarządzanie cyklem życia (SP 800-63B)
3. Federacja i potwierdzenia (SP 800-63C)

W ramach nowego 800-63-3, zgodnie z propozycją przyznane zostaną zasadniczo 3 stopnie: poziom zaufania federacji (FAL), poziom uwierzytelnienia (AAL) i poziom zapewnienia tożsamości (IAL).

Poziomy zapewnienia tożsamości elektronicznej (IAL):

• IAL1 - samostanowienie; powiązanie wnioskodawcy z jakąkolwiek konkretną tożsamością życiową nie jest potrzebne.
• IAL2 - Rzeczywiste życie danej tożsamości jest poparte dowodami; albo fizycznie obecny lub zdalny dowód tożsamości.
• 4ILA3 - Dowód tożsamości wymaga fizycznej obecności. Wyszkolony i upoważniony przedstawiciel powinien zidentyfikować atrybuty.

Poziom uwierzytelnienia (AAL):

• AAL1 - Zapewnia jakąkolwiek pewność, że aktualny powód kontroluje wystawcę; wymaga co najmniej uwierzytelnienia jednoskładnikowego.
• AAL2 - zapewnia silną wiarę w kontrolę powoda nad wystawcami; wymaga dwóch różnych czynników uwierzytelniających; wymaga zatwierdzonych technik kryptograficznych
• AAL3 - zapewnia wyjątkowo silne zaufanie do kontroli nad wystawcami; dowód potwierdzający posiadanie klucza za pomocą protokołu kryptograficznego jest potrzebny do uwierzytelnienia; potrzebuje również "twardego" uwierzytelniającego kryptografu.

Poziom zaufania Federacji (FAL):

• FAL1 - Umożliwia zezwolenie RP przez subskrybenta na otrzymanie asercji na okaziciela.
• FAL2 - Narzuca warunek, że asercja powinna być zaszyfrowana w taki sposób, aby jedyną stroną, która może ją odszyfrować, była RP.
• FAL3 - Żąda, aby subskrybent przedstawił dowód kontroli klucza kryptograficznego, do którego odwołuje się asercja, a także asercja artefakt.

Główne zmiany w odniesieniu do SP 800-63A:

1. Przekształcenie usprawnionego procesu weryfikacji tożsamości
2. Rozszerzone opcje ochrony osobistej

SP 800-63B

• Wskazówki do hasła został zmieniony.
• Niezabezpieczone elementy uwierzytelniające są usuwane.
• Zwiększono dopuszczalne wykorzystanie danych biometrycznych.

SP 800-63C

• Dodano nowe rekomendacje i wymagania federacyjne.
• Ciasteczka jako rodzaj potwierdzenia zostały usunięto.

Pełne szczegóły można znaleźć na nist.gov .