Betrodda identitetsplattformar federeras fram

”On the Internet, nobody knows you´re a dog.” 1993 publicerade ”The New Yorker” en serieruta där en hund framför en dator säger orden till en annan hund. Peter Steiner var han som ritade den. Än idag är meningen i högsta grad aktuell. Tillförlitliga identiteter på Internet är av högsta intresse för varje nätmedborgare, men det är ett otroligt missförstått område. För den som vill relatera till vår fysiska vardag finns en liten tankelek i slutet på artikeln. Nu kickstartar internetidentitetstrendspaningen.

Det finns en precis lika välkänd fråga som kan liknas vid mellanrubrikens: ”Hur långt är ett snöre?”. Många av mina nära och kära har ett antal mejladresser, identiteter hos internetbanken, Facebook, Flickr, Amazon, Wordpress, Blogger, Blocket, Ebay, Tradera, Twitter, Match.com, Salesforce, Projectplace, Föreningen, Laget och en hel mängd andra ställen.

Dessutom har vi en identitet för att ens få komma in på vår egen dator och kanske ett antal identiteter för att komma åt våra arbetsplatsresurser. Det här är personers identiteter i relation mot identiteter hos kända tjänster, hemutrustning och på arbetsplatser. Till det kan vi lägga alla maskiners identiteter som kan se ut enligt följande exempel:

• 2001:0db8:0000:0000:0000:0000:1428:07ab/64
• 172.56.13.1
• mindator.rocknroll.se.

Maskiner är i det här fallet servrar, routrar, accesspunkter, datorer, mobiler, MP3-spelare, TV-apparater, projektorer och allt som har ett gränssnitt mot internet. I många fall är det helt irrelevant att ha någon som helst aning om vilka parter som ingår i en digital relation. I andra fall är det extremt känsligt att i detalj avgöra vilka parter som minglar med varandra. Där emellan finns det fall av behov av viss nivå av tillit mellan parter.

I hela den här spännande cyberkitteln kokar det av puls, energi och vilja att göra något mer (bra som dåligt). Internets öppenhet är det som har gjort allt möjligt och gång på gång visar det sig att öppenheten ständigt vinner. Det är just den öppenheten som driver ett antal initiativ kring identitetshantering. Vissa har valt att kalla det för Indentity 2.0, men jag lägger ingen värdering kring terminologi. Innehållet är det intressanta.

Och en ytterligare faktor är inne i grytan: Mobilerna! Alla har en och de är allt smartare. Gränsen mellan mobiltelefon och dator suddas hastigt bort. Gammeltänk med användare som sitter bakom en dator är, just det, gammeltänk. I den här kitteln är det mobila ingredienser som gäller för att det ska upplevas fräscht.

Som användare av en hel mängd tjänster på nätet, som alla kräver registrering av uppgifter för att få en identitet, vore det skönt att ha en identitet som jag kan använda mig av. I den ideala av världar skulle en sådan identitet kunna kompletteras med olika nivåer av styrka i autentiseringen mot en tjänst (autentisering är en process som verifierar en påstådd identitets giltighet). På så vis kan min internetperson blogga, fejsbooka, twittra och göra en hel del andra vardagliga saker på enklast möjliga vis. När jag behöver handla på auktion eller i en nätbutik kanske jag använder mig av identiteten + någon form av ytterligare bevis för den identiteten för att på så vis höja ribban ett snäpp.

OpenID och Facebook Connect är två initiativ som tar grepp om användarcentrerade identiteter.

OpenID är en samling öppna specifikationer som utgår ifrån användarens behov. Användaren kontrollerar vilken information som lämnas ut om en själv. Bakom OpenID står OpenID Foundation och målet är att ingen ensam aktör ”äger” användarens identitet. Stora webbplatser som Google, Yahoo, Facebook, MySpace och även företag och myndigheter erbjuder möjlighet att använda OpenID.

Facebook Connect är ett utvecklarinitiativ där en användares Facebookidentitet kan återanvändas på en mängd andra tjänster. Det finns ett antal färdiga programbibliotek och många inser värdet av att nå 300 miljoner Facebookanvändare.

OpenID är den helt öppna varianten som erbjuder användaren valmöjligheten, men det krävs lite mer av användaren för att dra full nytta av möjligheterna. Facebook Connect är åter ett företagsägt initiativ som ger enkelhet för användaren, men saknar öppenheten i samma utsträckning.

Nu börjar det bli riktigt intressant. En federation är en form av förbund där man enas om ett antal saker. En identitetsfederation är ett förbund som har enats om vad identiteten är och vilka identiteter som accepteras inom federationen. Det vanligaste i en federation är att enas om ett ramverk för autentisering hos en part och biljett som släpper in den autentiserade användaren hos alla andra parter beskrivna i policyn. Här finns ett stort antal initiativ, som:

• Liberty Alliance med ID-FF
• Microsoft Identity Metasystem med Infocard
• Shibboleth
• WS-federation
• Sveriges e-delegation

Den gemensamma nämnaren för federationsramverken är standarden SAML 2. Med SAML kan man bygga ett ramverk för beskrivning av identiteter och autentiseringsinformation. Givetvis krävs det mycket förtroende på resan, men tekniken finns numera och byggstenarna är öppnare än någonsin tidigare. Därför är det givet att intresset är stort.

Att förflytta sig gradvis mot en molntillvaro är förknippat med ett ansvar att tänka till före och inte vara ledsen efteråt. Ett område som är i blickfånget är identiteter och behörigheter i interna system och i molnet, för de organisationer som har tjänster igång i molnet. Framöver lär det bli allt viktigare med en säker form av autentisering av användaridentiteter och Cloud Security Alliance driver kravet på tvåfaktorsautentisering. Faktorer är:

• Det du vet (lösenord, PIN-kod)
• Det du har (aktivt kort, USB-sticka)
• Det du är (fingeravtryck, retinascanning)

På nationell nivå finns det e-legitimationer som är ett försök att efterlikna den fysiska legitimationen (se sista avsnittet ”Identiteter IRL”). Det är konstruktioner där banker, myndigheter, postverket, teleoperatören eller annan nationellt betrodd part legitimerar en person och utfärdar därefter en elektronisk identitet. Användningen tillgodoser främst myndigheternas strävan efter en elektronisk förvaltning och medborgarna kan göra skattedeklarationer, anmäla ledighet på grund av sjukt barn och en del andra ärenden.

Det är få privata tjänster som drar nytta av e-legitimationen och inte ens Internetbankerna i Sverige erbjuder dig den möjligheten till att legitimera din identitet över nätet. Anne-Marie Eklund Löwinder har tidigare gjort en säkerhetsspaning där hon beskriver utmaningen med e-legitimationen (länk finns längre ner).

Alltså kan e-legitimationerna ses som nationella initiativ som främst utgår från myndigheternas behov och underlättar för medborgarna att hantera ärenden med de myndigheterna. Internet har inga nationella gränser och identitetshanteringen handlar inte alltid om säker legitimering.

Vi är födda ett datum, på en geografisk plats och får direkt ett unikt personnummer av staten. Vi har ett namn och bor någonstans. Under uppväxten uppnår vi vissa kritiska milstolpar i livet (15, 18 och 20 år är bra exempel) och vi får ha det där mellan fem & sju, köra bil, rösta och köpa sprit.

När det gäller bilkörning, röstning och spritinköp behövs en giltig legitimation. Det kan vara ett körkort, pass eller en ID-handling utfärdad av Skatteverket, banken eller annan nationellt gångbar entitet (företagslegitimationer gäller inte som identifikation utanför företagets domäner).

Så vår sammanlagda identitet är vad vi säger om oss själva, men framförallt det som andra (betrodda aktörer) säger om oss. Vår legitimation visar ett foto av oss, födelsedata, giltighetstid, utfärdarinformation och hur vår namnteckning ser ut.

Identitetshantering med autentisering, auktorisation, behörighetskontroller, spårbarhet och federation är ett extremt hett teknikområde. 2010 är året då vi kommer att se en förskjutning mot öppenhet och mobilitet. Den sociala kontexten kommer att vara viktig, men öppenheten är det som till sist segrar.

• Anne-Marie Eklund Löwinders säkerhetsspaning som tar upp utmaningen med svenska e-legitimationer
• Open ID
• Facebook Connect
• Bra blogg från Microsofts Kim Cameron
• En till bra blogg
• Microsoft satsar på identitetshantering
• Cloud Security Alliance, top threats

Predrag Mitrovic är Chief Inspiration Officer och ägare av företaget MyNethouse.se. Han är strategisk rådgivare, författare och inspiratör, som bland annat är upphovsman till Cloud Sweden, ett nationellt kompetenscenter för molnteknik, juridik, verksamhetsutveckling och kompetens. Predrag har en lång bakgrund på ledande befattningar i internationella bolag:

• General Manager på LabCenter
• National Technology Officer på Microsoft
  
• Chief Security Advisor på Microsoft
  
• Nordic Consulting Manager, Novell EMEA
  
• Eget konsultföretag
  
• Test- och chefredaktör på Nätverk & Kommunikation
  

Predrag har skrivit sju böcker om avancerad IT-teknik. Den senaste är ”Svenska IT-säkerhetshandboken 1.0” där han har samlat ett team av 13 ledande säkerhetsexperter och skapat en praktisk handbok om IT-säkerhet. Predrag Mitrovic är också en mycket uppskattad föreläsare, moderator, ordförande och är ledamot av OWASP Sweden.