Digitálne identifikačné systémy sú vecou veľkého významu, pokiaľ ide o definovanie vlastného ja v digitálnom svete, ktorý je skutočný ako fyzický svet a skutočne nás priamo ovplyvňuje. To je dôvod, prečo stavba kontrola digitálnej identity a overovanie digitálnej identity služby už nie sú voliteľnou otázkou. V USA existuje široká konsenzus, že digitálna identita a autentifikácia sú základom online bezpečnosti a rýchlo sa stávajú prioritou národnej bezpečnosti. Štartovacie verzie takýchto služieb, ktoré sú v súčasnosti k dispozícii, poskytujú služby zabezpečenia identity, ktoré používajú rôzne systémy na poskytovanie nejakej formy autorizácie (fyzickej alebo logickej).
Čo je digitálna identita
Digitálna identita je informácia o osobe alebo organizácii, ktorú počítačové systémy používajú na to, aby ju reprezentovali v kybernetickom priestore. Jednoducho povedané, je to on-line ekvivalent skutočnej identity osoby alebo organizácie.
prečítať: Online krádež identity: prevencia a ochrana.
Pokyny pre digitálnu identitu
Národný inštitút pre štandardy a technológie (NIST) je už dlho uznávaný ako autoritatívny referenčný zdroj týkajúci sa usmernení o overovaní pravosti.
NIST nedávno vydala NIST SP 800-63, teraz volal Pokyny pre digitálnu identitu po mesiacoch verejnej revízie. Toto štvornásobné sady poskytuje technické pokyny pre organizácie, ktoré využívajú služby digitálnej identity. Nový dokument aktualizuje predchádzajúce štandardy a rozširuje ich na identitu a overenie totožnosti ako na službu. Ponúka koncepty a jazyk nevyhnutný pre správnu starostlivosť a podávanie digitálnych identít - niečo, čo väčšina odborníkov v tomto odvetví volá obozretné výdavky z dolárov daňových poplatníkov.
Prvýkrát vydaný v roku 2003, SP 800-63 je slávny dokument spoločnosti NIST, ktorý zaviedol štyri úrovne smerníc pre digitálnu identitu (LOA) - LOA 1, 2, 3 a 4 - podľa špecifikácie OMB M-04-04, E-Authentication Guidance pre federálne agentúry.
Kľúčovým cieľom tohto nového vydania 800-63, jeho tretej iterácie, je vyriešiť chyby LOA s cieľom zmeniť koncept na niečo viac zmysluplné pomocou moderných procesov identity pre súkromný aj vládny sektor.
Stručne povedané, nový dokument priniesol tieto dôležité zmeny:
Nový dokument oddelil LOAS do značnej miery do jednotlivých častí, aby sa zabezpečilo, že akákoľvek iniciačná iniciatíva by mohla byť klasifikovaná ako 1, 2 alebo 3 pre jednu fazetu a úplne odlišnú platovú triedu pre druhú fazetu namiesto čísla prikrývky ako LOA 3. V jednom skočiť, nový SP 800-63 porušuje systém hodnotenia na tri segmenty:
- Registrácia a overovanie totožnosti (SP 800-63A)
- Autentizácia a riadenie životného cyklu (SP 800-63B)
- Federácia a tvrdenia (SP 800-63C)
V rámci nového návrhu 800-63-3, ako sa navrhuje, budú udelené v podstate tri úrovne: úroveň federácie zabezpečenia (FAL), úroveň zabezpečenia overovania (AAL) a úroveň zabezpečenia totožnosti (IAL).
Úrovne zabezpečenia digitálnej identity (IAL):
- IAL1 - Vlastné tvrdenie; prepojenie žiadateľa s konkrétnou skutočnou identitou nie je potrebné.
- IAL2 - skutočná existencia nárokovanej identity je podporená dôkazmi; buď fyzicky prítomný alebo vzdialený dôkaz identity.
- 4ILA3 - Kontrola totožnosti vyžaduje fyzickú prítomnosť. Vyškolený a splnomocnený zástupca by mal identifikovať atribúty.
Úroveň zabezpečenia overovania (AAL):
- AAL1 - poskytuje akékoľvek uistenie, že skutočný navrhovateľ má kontrolu nad autentifikátorom; potrebuje minimálne autentifikáciu s jedným faktorom.
- AAL2 - ponúka silnú dôveru v kontrolu žiadateľa o autentifikátory; vyžaduje dva faktory autentifikácie; vyžaduje schválené kryptografické techniky.
- AAL3 - ponúka extrémne silnú dôveru v kontrolu žiadateľa o autentifikátory; pre autentifikáciu je potrebný dôkaz, že má kľúč prostredníctvom kryptografického protokolu; potrebuje aj "tvrdý" kryptografický autentifikátor.
Úroveň zabezpečenia federácie (FAL):
- FAL1 - Umožňuje povoliť RP od účastníka, aby získal tvrdenie na nosiči.
- FAL2 - Ukladá podmienku, že toto tvrdenie by malo byť zašifrované tak, že jediným účastníkom, ktorý ho môže dešifrovať, je RP.
- FAL3 - Požaduje, aby účastník predložil dôkaz o kontrole kryptografického kľúča, ktorý je uvedený v tvrdení, ako aj v artefakte tvrdenia.
Hlavné zmeny vzhľadom na SP 800-63A:
- Schvaľuje sa povolený proces preukazovania totožnosti.
- Možnosti kontroly osobných údajov sú rozšírené.
SP 800-63B
- Navádzanie heslom bolo prepracované.
- Zabezpečené autentikátory sú odstránené.
- Povolené používanie biometrických údajov sa rozširuje.
SP 800-63C
- Pridajú sa nové odporúčania a požiadavky federácie.
- Súbory cookie ako typ tvrdenia boli odstránené.
Úplné informácie je možné získať na adrese nist.gov.