Freja eid. Teknisk beskrivning

Transkript

1 Freja eid Teknisk beskrivning

2 Innehåll Allmän information och affärsnytta...4 Affärsnytta...5 Tillitsnivåer...7 Komponenter...8 Mobilappen...8 Användarportal Mina Sidor...9 Integrering och användarflöden...10 Registrering...11 Autentisering, underskrift och ID-kontrolltjänst...14 Fördelar...18 Om Freja eid

3 Term Definition RP eid/e-legitimation KYC eidas GDPR AES Relying party Förlitande part som använder Freja eid för att tillhandahålla inloggnings- och underskriftsfunktioner till slutanvändare. Elektronisk identifiering, för digital åtkomst till förmåner eller tjänster som tillhandahålls av statliga myndigheter, banker och företag. En elektronisk motsvarighet till det som i den fysiska världen är pass, nationellt ID-kort, körkort eller bankkort och som används för att styrka sin identitet. Know your customer Kundkännedomsprocess, process för företag för verifiering av kundernas identitet. Termen används också avseende den bankförordning som reglerar dessa verksamheter. eidas-förordningen (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster, en EU-lagstiftning med direkt effekt i medlemsländerna som syftar till att möjliggöra säkra och sömlösa elektroniska interaktioner mellan företag, medborgare och offentliga myndigheter. Den allmänna dataskyddsförordningen (GDPR) (förordning (EU) 2016/679), en EU-förordning som syftar till att stärka och samordna dataskydd för alla individer inom Europeiska unionen. Det omfattar också export av personuppgifter utanför EU. GDPR:s primära mål är att ge medborgare och invånare kontroll över sina personuppgifter och förenkla regelverket för internationell verksamhet genom att skapa en enhetlig förordning inom EU. Avancerad elektronisk signatur, under eidas, är en elektronisk underskrift som är: unikt kopplad till undertecknaren, kapabel att identifiera undertecknaren, skapad med hjälp av medel som undertecknaren kan ha egen kontroll över, kopplad till de datauppgifter som den hänför sig till på ett sådant sätt att en efterföljande förändring av uppgifterna är detekterbar. ARS SSL/TLS Advanced Remote Signing, en eidas-förenlig standard för signering på serversidan, där signeringsnycklar genereras av en central server i motsats till traditionella metoder som använder en signeringsnyckel på ett smartkort där en användare ensam förfogar över smartkortet. ARS uppfyller kraven på avancerade elektroniska signaturer. En stark tvåfaktorsautentisering till signeringstjänsten rekommenderas. Secure Sockets Layer/Transport Layer Security, standard för säkerhetsteknik som används för att skapa en krypterad länk mellan en webbserver och en webbläsare. Denna länk säkerställer att alla datauppgifter som skickas mellan webbservern och webbläsarna förblir privata och tillförlitliga. 3

4 Allmän information och affärsnytta Freja eid är en molnbaserad tjänst för betrodd mobil autentisering, kommunikation och digital underskrift. Den gör det möjligt för användare att autentisera på ett standardiserat, enkelt och konsekvent sätt genom hela sina digitala liv. Den löser problem och sänker kostnader för leverantörer av nättjänster som behöver utfärda och hantera digitala identiteter och lösenord för sina användare. Freja eid handlar inte bara om teknik. Tjänsten ger en försäkran om innehavarens verkliga identitet och löser en av de stora utmaningarna som många organisationer står inför, då de enligt lag eller förordningar är skyldiga att kontrollera den fysiska identiteten för en person innan de utfärdar en digital identitet. Med Freja eid kan sedan innehavaren nyttja en säker och lättanvänd e-legitimation för att få tillgång till ett ständigt växande antal digitala tjänster. Freja eid är ett användarvänligt och säkert sätt för tjänsteleverantörer och enskilda individer att handla och kommunicera med varandra i en betrodd miljö. Lösningen ger inte bara en försäkran om identitet, den gör det också möjligt för innehavaren att underteckna transaktioner och dokument med juridiskt bindande digitala underskrifter. Dessutom möjliggör den en autentiserad och konfidentiell kommunikation som undanröjer de hot och sårbarheter som finns med e-post och sms. Freja eid uppfyller alla internationella standarder avseende elektroniska identiteter och underskrifter. Lösningen uppfyller kraven i förordningarna KYC, eidas och GDPR avseende digitala identiteter, elektroniska underskrifter och molnbaserade underskrifter (remote signing). Freja eid är unikt eftersom det erbjuder flera olika tillitsnivåer för identifiering. Utefter affärsbehoven kan tjänsteleverantörer tillåta olika nivåer av identifiering för olika användargrupper. För att komma igång snabbare kan användarna börja på en lägre tillitsnivå (Freja eid Bas) och sedan ändra till en högre nivå om det behövs (Freja eid+). Detta gör Freja eid till en flexibel och skalbar lösning. Freja eid Bas erbjuder en snabb registrering av användare i några få steg för enkel åtkomst till icke-känsliga applikationer. Om användaren senare behöver komma åt applikationer som kräver bevis på identitet, kommer Freja eid att ta användaren genom processen för registrering och legitimering av sin fysiska identitet innan en verifierad e-legitmation (Freja eid+) utfärdas till denne. Freja eid-tjänsten erbjuder både ett prisalternativ med rörlig avgift och ett med fast avgift. Med den senare modellen kan stora förlitande parter använda Freja eidtekniken så mycket som de vill, oberoende av antalet användare eller transaktioner. Det finns otaliga exempel på när Freja eid kan användas. Den kommer att gälla för alla typer av digital behandling: ansökan till universitetet, inlämning av inkomstskattedeklaration och andra skattehandlingar, åtkomst till socialförsäkringsdata och personuppgifter i de offentliga databaserna, åtkomst till sitt företags interna nät, onlinespel, genomförande av transaktioner med en bank etc. Freja eid-tekniken används både på konsument- och vertikala marknader. Den kan ersätta användares personliga lösenord eller skydda patienters journaler på ett sjukhus, den kan ge större bekvämlighet och säkerhet vid finansiella transaktioner, öppna en dörr eller meddela en läkare om du behöver läkarvård. Medborgare kan använda Freja eid både för digital identifiering och för underskrift av transaktioner och dokument i alla tjänster som är kopplade till Freja eid. Förlitande parter kan dra nytta av Freja eidlösningen på många sätt från att snabbt lägga in ett stort antal användare i systemen till att kunna genomföra säkra transaktioner eller ingå och skriva under bindande avtal. Förutom detta kan Freja eid hjälpa förlitande parter att förbättra användarupplevelsen och skapa och upprätta bra kundrelationer. 4

5 Affärsnytta Användarvänlig lösning (autentisering med ett fingeravtryck eller PIN) Freja eid baserar sig på en extremt intuitiv, säker och annonsfri mobilapp, så att alla slutanvändare enkelt kan registrera och använda sin elektroniska identitet. Efter autentisering med ett fingeravtryck (eller PIN) kan användaren få tillgång till hela sitt digitala liv. I bakgrunden, och utan att användaren behöver förstå det, tillämpar tjänsten avancerad kryptografi för att säkerställa digitalt förtroende mellan användaren och tjänsteleverantören. GDPR-förenlig På Freja eid:s webbportal Mina Sidor kan användare kontrollera hur deras e-legitimation används och se en fullständig historik över användningen. Här kan man också blockera specifika tjänsteleverantörer där man inte vill att ens e-legitimation ska användas och återkalla sitt medgivande till behandling av ens personuppgifter. Förutom detta kan användarna på Mina Sidor begära att deras personuppgifter översänds till dem eller till en annan tjänsteleverantör. Skiktad säkerhetsmodell Kärnan i Freja eid-tekniken är en skiktad säkerhetsmodell. För att skydda användare från olika typer av attackvektorer, särskilt identitetsstöld, och med beaktande av mobilplattformens alla sårbarheter, bygger Freja eid in säkerhetsåtgärder både i front-end och back-end för mobilappen. Inkluderande Freja eid bygger på en inkluderande teknik. Både kommersiellt och tekniskt sett är Freja eid en skalbar och prisvärd lösning med både en transaktionsbaserad affärsmodell och ett alternativ med fast avgift så att förlitande parter kan välja hur de vill betala för sin Freja eid-användning. 8 Biometriska profiler för återställning (ansiktsigenkänning) Freja eid är förberett för att användare enkelt skall kunna återställa sitt elektroniska ID i händelse av en förlorad, trasig eller stulen enhet. Att användaren uppmanas att ta ett ID-foto är en del av denna process. När den är implementerad kommer användaren kunna återställa sin e-legitimation med en kombination av e-postadress, PIN-kod och ansiktsigenkänning. För närvarande sker återställningen med e-post på basnivån och med ny ID-kontroll för plus-nivån. 5

6 Enkel integrering och öppna standarder Freja eid är utformad kring principen om öppna standarder och en oöverträffad användarupplevelse. Tjänsten är under behandling för nationell certifiering i Sverige liksom för ISO Freja eid är utformad för att enkelt kunna integreras med alla förlitande parters system. Flera tillitsnivåer Freja eid uppfyller internationella standarder för fastställande av tillitsnivåer för identifiering, vilket ger förlitande parter och medborgare möjlighet att handla på den tillitsnivå som de behöver. Tillitsnivåerna beskrivs i detalj i en separat del av detta dokument. Avancerad appsäkerhet Freja eid innehåller avancerad app-avskärmningsteknik, som ger bästa möjliga skydd mot körning i potentiellt fientliga miljöer såsom jailbreakade och rootade telefoner, eller system som är smittade med skadlig kod. Dessa tekniker gör att förlitande parter kan fokusera på vad som är viktigt för deras verksamhet istället för att oroa sig för säkerheten hos de mobila enheter som deras användare har. 6

7 Tillitsnivåer Enligt internationella standarder finns det fyra tillitsnivåer (Levels Of Identity Assurance, LOA) för elektronisk identifiering. Ju högre tillitsnivå ett eid har desto säkrare är e-legitimationen, både vad gäller säkerhetsteknik och identifiering. Organisationer kan välja tillitsnivå utifrån en kombination av lämplig riskhantering, säkerhet och integritet utefter uppdragsbehov. Standarderna (t.ex. NIST Digital Identity Guidelines) föreslår att LOA-nivåerna delas upp i delmoment varav ett innefattar registrering och styrkande av identitet: Identifiering (Identity Assurance Level, IAL). Det finns tre nivåer av IAL. Varje aspekt har tre tillitsnivåer: IAL1 anger att det finns ett lågt eller inget förtroende för den angivna identiteten. Det finns inget krav på att koppla användaren till en specifik verklig identitet. All information som lämnas i samband med autentiseringsprocessen är självangiven eller bör behandlas som självangiven. IAL1 IAL2 IAL3 Lågt eller inget förtroende för den angivna identiteten. Styrkande av identiteten på distans eller personligen. Fysisk närvaro för styrkande av identiteten krävs. IAL2 kräver ett styrkande av identiteten antingen på distans eller personligen. Beviset behövs för att man ska kunna styrka att den angivna identiteten verkligen existerar och för att verifiera att användaren innehar denna verkliga identitet. Detta är inte olikt det som sociala medier som Facebook anser sig uppnå. En tjänsteleverantör kan antingen begära identitetsbevis via en självbetjäningsportal eller sända en aktiveringskod via e-post eller sms som användaren ska verifiera med. IAL3 kräver oftast (men inte alltid) fysisk närvaro för styrkande av identiteten, d.v.s. kontroll av en persons ID-kort, pass eller annan identitetshandling i den fysiska världen. Identifieringsattributen måste verifieras av en auktoriserad och utbildad representant för tjänsteleverantören. Freja stödjer IAL3 vilket motsvaras av Freja eid+. Basnivån på Freja eid motsvarar en bekräftad självregistreringsnivå och därmed minst IAL1. Regelverket för vad som definierar IAL2 är under revision och vi kommer att anpassa Freja eid efter denna standard så snart den finns publicerad. Efter den inledande registreringen är det standard e-legitimation som en användare erhåller Freja eid Bas, vilket motsvarar IAL1. På denna nivå har användaren bekräftat en e-postadress, vilket är tillräckligt för att till exempel tillåta inloggningsautentisering i situationer där en absolut identitet inte är nödvändig för den förlitande parten. Att veta att den slutanvändare som får åtkomst till en tjänst är densamma som hade åtkomst till tjänsten för en vecka sedan, utan att behöva uppmana användaren att skapa ett ytterligare lösenord, räcker för många webbaserade tjänster. Vissa förlitande parter kan dock kräva en säkrare e-legitimation. Tack vare samarbetet mellan Freja eid och leverantörer av legitimationskontroller kan användarna höja upp sin elektroniska identitet till Freja eid+, vilket motsvarar IAL3. Detta kräver att man följer instruktionerna i Freja eidappen om hur man byter från eid Basic till eid+. Beroende på land kan detta innebära att man behöver bege sig till ett av ombuden för en leverantör av legitimationskontroller för att göra en ID-kontroll, medan man i vissa länder genomför en helt digital identitetskontroll. Den utökade registreringsprocessen omfattar bland annat kontroll av slutanvändarens fysiska ID-handling och ansiktsregistrering med Freja eid. Med Freja eid kan användare interagera med parter på nätet som kräver inloggning men på nivån för Freja eid+ kan man även utföra juridiskt bindande signaturer. 7

8 Komponenter Den viktigaste delen av Freja eid-tjänsten är en mobilapp som används för registrering, inloggning, säker kommunikation och underskrift för alla tjänster som är anslutna till användarens eid. Den andra delen är en webbportal - Mina sidor - som utgör användargränssnittet för åtkomst till användarinformationen (t.ex. en historik om tidigare utförda handlingar eller vilka tjänsteleverantörer som är aktiverade eller avaktiverade för åtkomst till användarens eid) och återställning av Freja eid-mobilappens identiteter. Freja eid webbportal ger enskilda individer total insyn och kontroll över sin användarinformation, medan de förlitande parterna kan dra nytta av analysvärden, den säkra meddelandetjänsten och aviseringsfunktionen. Mobilappen Freja eid mobilapp är kärnan i lösningen, och utgör användarens digitala identitet i sig själv. För att erhålla Freja eid e-legitimation ska användaren installera Freja eid mobilappen i sin mobil (tillgänglig för Android och ios) och följa registreringsstegen: Ange en giltig e-postadress och bekräfta aktiveringen genom att klicka på aktiveringslänken i det e-postmeddelande som sänds till denna adress. Välj en PIN-kod som används för att säkra appen samt för autentisering och transaktionsunderskrift. (Så snart detta är klart kan PIN-koden kompletteras med ett fingeravtryck om enheten har en fingeravtrycksläsare.) När dessa steg är slutförda har slutanvändaren erhållit sitt Freja eid Bas, vilket motsvarar en digital identitet av en lägre tillitsnivå IAL1 (se avsnittet om Tillitsnivåer). På denna nivå kan användaren till exempel utföra inloggningsautentisering och andra aktiviteter i situationer där en absolut identitet inte är nödvändig för den förlitande parten. Om slutanvändaren önskar använda Freja eid i tjänster som kräver en högre tillitsnivå måste dennes identitet dessutom kontrolleras enligt instruktionerna i Freja eid-appen. Att ändra från Freja eid Bas till Freja eid+ kräver att användaren personligen beger sig till ett ombud för en officiell leverantör av legitimationskontroller. Därför är nästa steg att man i Freja eid-mobilappen anger personnummer och uppgifter om vilken giltig ID-handling (nationellt ID-kort, pass, körkort etc.) som kommer att användas för identifiering hos leverantören av legitimationskontroller. Därefter uppmanas användaren att registrera sitt ansikte för biometriska uppgifter, autentisering med ansiktsigenkänning, som också kan användas för återställning av eid på en ny mobiltelefon. Mobilappen kommer att generera en QR-kod som innehåller all relevant information om användaren. Användaren ska sedan visa denna QR-kod för personalen hos ombudet för leverantören av legitimationskontroller, tillsammans med den valda ID-handlingen. Denne skannar då QR-koden, matchar användaren med bilden på ID-handlingen och slutför kontrollprocessen. När leverantören av legitimationskontroller har bekräftat identiteten har användaren fått sitt Freja eid+, vilket motsvarar IAL3. Efter detta kan användaren använda sitt eid för alla tjänster som är anslutna till Freja eid, inbegripet de som kräver en högre tillitsnivå. 8

9 Användarportalen Mina Sidor Freja eid webbportal utgör ett centrum för information och hantering av digitala identiteter, både för användarna och för de förlitande parterna. Användare kan komma åt användarportalen, även kallad Mina sidor, direkt från Freja eid-mobilappen eller via webbläsaren genom att gå in på Mina Sidor. Efter att ha slutfört registreringsstegen i mobilappen dirigeras användare till Freja eid webbportal för att förhandsgranska var deras e-legitimation används eller kan användas samt för att se vilka uppgifter om dem som lagras och behandlas av olika tjänsteleverantörer. Användarna kan se en lista över alla tillgängliga tjänster, även omfattande de som är låsta, t.ex. om deras e-legitimation är på en lägre nivå och inte har tillgång till tjänster som kräver ett Freja eid+. Användarna kan aktivera och avaktivera olika tjänster utifrån deras behov. De kan även se historiken över tidigare händelser. En viktigt del av portalen är integritetsdelen där användarna kan läsa om alla bestämmelser som gäller avseende deras elektroniska identitet och dess användning samt om deras dataskyddsrättigheter. Detta ger användaren full insyn och kontroll över sin digitala identitet. I de fall där användaren måste ge sitt samtycke till att Freja eid delar användarinformation, eller lagrar viss personlig data görs detta på ett så enkelt och lättillgängligt sätt som möjligt. Webbportalen ger också användare möjlighet att åberopa sin rätt att bli glömd, vilket innebär att användaren kan begära att alla personliga uppgifter raderas från Freja eid-databasen. Förlitande parter kan använda webbportalen och mobilappen för att aktivt engagera individer i att bestämma hur deras eid ska användas under hela sitt digitala liv. Freja eid strävar efter att skydda slutanvändare mot identitetsbrott genom att ge dem insyn i alla digitalt legitimerade aktiviteter via Mina Sidor. 9

10 Integrering och användarflöden Freja eid är utformad för att göra integrationsprocessen så enkel som möjligt för alla förlitande parter och leverantörer av legitimationskontroller. Freja eid erbjuder tre tjänster till förlitande parter: Autentiseringstjänst Gör det möjligt för förlitande parter att verifiera slutanvändare med hjälp av Freja eid-mobilappen. Underskriftstjänst Med denna kan slutanvändare underteckna transaktioner, dokument etc. med hjälp av sin Freja eidmobilapp. ID-kontrolltjänst Med denna kan förlitande parter enkelt få en bekräftelse på att en fysisk identitet för en person har kontrollerats. Autentiserings- och underskriftstjänsterna levereras i form av RESTful API:s skrivna i Java (och Q4 2017,.NET och C ++), medan ID-kontrolltjänsten inte kräver någon integrering med förlitande parters system och ej eller några stora förändringar från deras sida. Förlitande parter måste erhålla en symmetrisk nyckel och ett Relying party-id från Verisec (RP-ID är en unik identifierare av den organisation som använder Freja eid) för att kunna använda tjänsten. Därefter måste de importera Freja eid-certifikat i sina system och förse Freja eid med en HTTPS-slutpunkt för erhållande av identifieringar. Autentiserings- och underskriftstjänsterna RESTful API:s är endast tillgänglig för RP:s som har ett giltigt TLS/SSL-klientcertifikat (ett RP-certifikat) som erhålls från Verisec. När det gäller leverantörer av legitimationskontroller tillhandahåller Freja eid:s ID-kontrolltjänst flera RESTful API:s för att skicka kontrollinformation till Freja eid-systemen på ett säkert och spårbart sätt. ID-kontrolltjänst Autentiseringstjänst Underskriftstjänst 10

11 Registrering Grundläggande registreringssteg för erhållande av Freja eid Bas LOA1 Användaren laddar ner och startar mobilappen för Freja eid. På appens startskärmar förklaras syftet och fördelarna med att använda Freja eid. 1 2 Användaren uppmanas att ange en e-postadress som kommer att kopplas till dennes elektroniska identitet. Efter att användaren har skrivit in och bekräftat e- postadressen skickar Freja eid ett e-postmeddelande innehållande en aktiveringslänk till den angivna e- postadressen. Användaren öppnar e-postmeddelandet från Freja eid och bekräftar aktiveringen av e-postkontot genom att klicka på den bifogade länken. När användaren går tillbaka till Freja eid-appen visas ett meddelande om att dennes e-postadress har registrerats. 3 4 Därefter uppmanas användaren att fritt välja en PIN-kod. PINkoden används för att säkra appen såväl som för autentisering och transaktionsunderskrift. PIN-koden lagras sedan på serversidan. Användaren uppmanas också att tillåta användning av fingeravtryck för appen. 5 6 Användaren är nu registrerad för Freja eid! 11

12 Förberedande steg för erhållande av Freja eid+ LOA1-LOA3 Användaren anger landskod och personnummer. En uppslagstjänst används i bakgrunden för att hämta den information som användaren uppgivit. 1 2 Användaren väljer sedan en giltig ID-handling (nationellt ID-kort, pass, körkort etc.) som kommer att användas för identifiering hos ombudet för leverantören av legitimationskontroll. Användaren anger relevanta uppgifter för den valda ID-handlingen (serienummer, utgångsdatum etc.) Därefter uppmanas användaren att utföra en ansiktsregistrering. Ansiktsbilden kommer liksom PIN-koden att lagras på serversidan. 3 4 Användaren har nu ansökt om Freja eid+ och mobilappen kommer att meddela denne när alla erforderliga kontroller har slutförts. När de uppgifter som användaren uppgivit har verifierats genererar mobilappen en QR-kod och meddelar användaren att denne nu kan besöka en officiell leverantör av legitimationskontroller för att erhålla Freja eid En karta över tillgängliga Om användaren har en annan enhet med ett aktiverat Freja eid kan den ombud för leverantörer av legitimationskontroller visas i mobilappen användas för att bekräfta installationen av Freja eid på en ny enhet. och användaren hänvisas till att besöka en av dem för att fortsätta med kontrollproceduren. Som en extra säkerhetsåtgärd kan användarens ansiktsprofil matchas mot mallen på serversidan innan godkännande av aktiveringen sker på den andra enheten. 12

13 ID-kontrollprocess - för erhållande av Freja eid+ Hos Freja eid-ombudet händer följande: LOA3 Användaren startar appen och skriver in PIN-koden för att få fram QR-koden. Tillsammans med QR-koden visas en ansiktsbild på användaren på skärmen. 1 2 Efter att ha jämfört ansiktsbilden som visas på mobiltelefonen med användaren skannar ombudet QR-koden*. Värdet skickas automatiskt till Freja eid back-end för validering, och de uppgifter som användaren lämnat i de förberedande stegen hämtas och visas på ombudets terminal. Sedan jämför ombudet den information som visas på terminalen med användarens ID-handling och användaren själv. Därefter validerar ombudet den fysiska ID-handlingen med UV-ljus. 3 4 Slutligen lägger ombudet in de fyra kontrollsiffrorna från användarens ID-handling i terminalen och godkänner ID-kontrollen (eller avbryter den, om något inte är rätt). Efter detta steg är kontrollen slutförd. Efter en tid - i normalfallet upp till tre timmar men inte längre än 24 timmar - kommer användaren att få ett meddelande från Freja eidappen om att dennes identitetsnivå har höjts till Freja eid+. 5 Ombudet eller leverantören av legitimationskontroller centralt kan när som helst informera Freja eid om att något inte var rätt under kontrollprocessen. Leverantören av legitimationskontroller ansvarar för att regelbundet uppdatera sina aktiva fysiska platser för sina ombud. * Om det råder något tvivel om att den person som avbildas i mobiltelefonen inte är densamma som den fysiska personen som begär kontrollen utförs inga ytterligare steg. 13

14 Autentisering, underskrift och ID-kontrolltjänst Autentisering Med Freja eid Autentiseringstjänst kan förlitande parter verifiera slutanvändare med hjälp av Freja eidmobilappen. Slutanvändarna har tidigare laddat ner Freja eid-mobilappen på en eller flera ios- eller Androidenheter som de innehar och registrerats för Freja eid så att de kan hänvisas till av förlitande parter genom en eller flera e-postadresser. För att få tillgång till Freja eid-autentiseringstjänsten måste en förlitande part använda SSL med klientautentisering, där klientcertifikatet erhålls från Freja eid under registreringsprocessen. 1 I steg ett anropar en förlitande part Freja eid-autentiseringstjänsten genom att sända en användar- 1a Relying party 1 identifierare och eventuellt en Freja eid-kvalificerare (Freja eid eller Freja eid+) och begär att användaren godkänner autentisering för en tjänst som drivs av den förlitande parten. Om den förlitande partens tjänst skulle finnas på samma mobilenhet (via en mobil webbläsare eller mobilapp) kan tjänsten aktivera Freja eid-mobilappen, om den finns på samma enhet. I annat Steg 1: Den förlitande parten initierar en begäran om autentisering. Dennes identitet bestäms genom det SSL-klientcertifikat som erhållits under registreringsprocessen. Steg 1a: Starta Freja eid-mobilappen via anpassad URL (valfritt). fall måste tjänsten instruera slutanvändaren att starta Freja eid-mobilappen på en av de aktiverade enheterna. FrejaID Mobile App 2 2 I steg två arbetar Freja eidmobilappen och autentiseringstjänsten med att presentera inloggningsbegäran för slutanvändaren och begära godkännande av denna. Steg 2: Freja eid Autentiseringstjänst kommunicerar med Freja eid-mobilappen på användarens enhet för att användaren ska godkänna inloggningsbegäran. 3 Slutligen, i steg tre, efterfrågar den förlitande parten status på autentiseringsbegäran tills 2 Freja eid Service 3 den erhåller ett positivt resultat eller ett felmeddelande som innebär att den kan gå vidare med att tillåta eller att avvisa slutanvändarens åtkomst till sin tjänst. Steg 3: Ett svar returneras till den förlitande parten med resultatet av inloggningsbegäran. 14

15 Underskrift Med Freja eid Underskriftstjänst kan part bett om en underskrift kan en förlitande parter uppmana Freja slutanvändare ha upp till 30 dagar eid:s slutanvändare att digitalt skriva på sig för att utföra underskriften). under data och dokument. I mot- Detta gör att flexibla underskrifts- sats till underskriftstjänsten, som är lösningar kan byggas ovanpå Freja tillgänglig även om slutanvändaren eid, där användarna kan uppmanas inte har genomgått en utökad att skriva under även utanför ett registreringsprocess, är underskrifts- direkt onlinesammanhang. tjänsten endast tillgänglig för slutanvändare som har uppgraderat sin status till Freja eid+. Underskriftsflödet är nästan identiskt med det för underskrift som beskrivs i avsnittet om Underskrifts- 1a Relying party 1 tjänster. Den viktigaste skillnaden är att medan en användare endast kan ha en underskriftstransaktion aktiv vid en viss tidpunkt och tidsfristen för underskriftstransaktioner är begränsad till två minuter, kan flera underskrifter vänta på användarens godkännande och varje enskild underskriftstransaktion kan vara öppen upp till 30 dagar (vilket innebär att från det att en förlitande 2 Steg 1: Den förlitande parten initierar en begäran om underskrift. Dennes identitet bestäms genom det SSL-klientcertifikat som erhållits under registreringsprocessen. Steg 1a: Starta Freja eid-mobilappen via anpassad URL (valfritt). FrejaID Mobile App Steg 2: Freja eid Underskriftstjänst kommunicerar med Freja eid-mobilappen på användarens enhet för att användaren ska godkänna underskriftsbegäran. 2 Freja eid Service 3 Steg 3: Ett svar returneras till den förlitande parten med resultatet av underskriftsbegäran. 15

16 ID-kontrolltjänst Utgångspunkten för Freja eid är att användarna och de förlitande parterna ingår i samma ekosystem och där Freja eid kan återanvändas på en rad olika tjänster. Dock finns det speciella scenarier där en förlitande part kan behöva säkerställa identiteten på slutanvändaren och samtidigt växla över denna identitet till en annan identitetsbärarare än mobiltelefonen. Användaren kommer fortfarande att vara en del av Freja eid-ekosystemet och kunna använda mobilappen för inloggning och underskrift hos alla anslutna tjänster, men den förlitande part för vilken ID-kontrollen görs kan parallellt med detta använda den säkerställda identiteten på andra identitetsbärare. Freja eids tjänst för utfärdande av elektroniskt identitetsintyg används av parter som vill utföra identitetsväxling eller eller helt enkelt vill få bekräftat att en viss person är den vederbörande utger sig att vara. Användaren måste för att ett giltigt identitetsintyg skall kunna utfärdas ha installerat appen och uppdaterat till Freja eid+. Dock kan processen initieras av användaren redan när denne endast har basnivån installerad och uppgraderingen till Plus kan ske under processen. Relying party Steg 1: Starta (via app switch eller QR-kod) och sänd följande: RP-identitet, protokollversion och viss annan data 1 I steg ett anropar den förlitande parten (RP) en anpassad URL på en enhet där användaren har Freja eid mobilapp installerad. I URL:en finns identiteten till den förlitande parten (RP-identitet), protokollversion samt viss annan data som krävs för att upprätta kopplingen. 2 I steg två skickar Freja eid mobilapp dessa parametrar till backend för validering om något är fel visas ett felmeddelande direkt i Freja eid-appen. FrejaID Mobile App Steg 2: Användaren bekräftar med en underskrift. 3 Vad gäller steg 3 är det värt att notera att en förutsättning för ID-kontrolltjänsten är att användaren har blivit kontrollerad för Freja eid+. ID-kontrolltjänsten så användarvänlig som möjligt kan processen påbörjas (steg 1 i bilden ovan), oavsett om användaren är på Freja eid Bas eller plusnivå. Slutförandet är dock endast möjligt när användarens identitet har kontrollerats för Freja eid+. Därmed kan följande två scenarier uppstå: Identity Assertion service ID-kontrolltjänsten initieras genom någon av metoderna ovan och användaren har Freja eid Bas. En transaktion finns i kö på Freja eid:s serversida, men kan inte godkännas av slutanvändaren förrän användaren höjer säkerheten för sin identitet till Freja eid+. Steg 3: Bekräfta identiteten genom att sända ett JOSE-under- skrivet JSON-innehåll med viss data och kontrolldata. Mapping: RP + version URL for confirmation ID-kontrolltjänsten initieras och användaren har redan Freja eid+. Transaktionen kan direkt visas för användaren. Efter användarens godkännande antingen genom en PIN-kod eller en biometrisk metod, är transaktionen klar på serversidan. När användarens godkännande har mottagits och behandlats kan steg 3 påbörjas och ett svar skickas tillbaka till den förlitande part som begärde identifieringen. De skickade uppgifterna innehåller land och personnummer för den person som är associerad med Freja eid-appen på den mobilenhet där identifieringsprocessen inleddes. 16

17 Återställning Om användaren blir av med sin mobila enhet eller av annat skäl vill återställa sin mobila e-legitimation på en ny enhet finns två metoder, beroende på vilken tillitsnivå användaren har på sitt Freja eid. Freja eid Bas För att återställa Freja eid på basnivån laddar användaren ner mobilappen på nytt från Appstore eller Google Play. Registreringsförfarandet börjar på samma sätt som när appen installerades första gången. Användaren anger samma epostadress som kontot registrerades på första gången. När systemet har registrerat att adressen redan finns i registret får användaren en fråga om denne vill återställa kontot. Är svaret ja skickas ett nytt epostmeddelande till den valda adressen i vilket användaren måste bekräfta återställningen. I nästa steg får användaren registrera en ny PIN-kod och aktivera sitt fingeravtryck på nytt. Därefter kan Freja eid på basnivån användas som tidigare för de tjänster användaren har kopplat till sin e-legitimation. Freja eid+ För att återställa e-legitimationen på den högre tillitsnivån, Freja eid+, ska användaren först gå igenom återställningen på basnivån enligt ovan. Därefter genomförs registreringsförfarandet till plusnivån på nytt med angivande av ID-uppgifter samt att ett IDfoto tas med appen. Sista steget i återställningen är att användaren får besöka ett Freja eid-ombud för ID-kontroll och slutlig verifiering av identiteten. I utvecklingsplanen finns en funktion för att kunna återställa e-legitimationen även på plusnivån utan att användaren behöver göra om registreringsprocessen och göra en ID-kontroll på nytt. Systemet är i grunden utformat för att detta ska fungera. Ett exempel är det ID-foto som användaren måste ta i och med registrering till plusnivån. Den algoritm för ansiktstigenskänning som systemet lagrar när ID-fotot tas kommer då kunna användas för återställning i kombination med den PIN-kod som användaren har valt. 17

18 Fördelar Freja eid är: Nyckelfördelar: En e-legitimation för enskilda individer som kan användas till många tjänster Lätt att använda och integrera Öppet och transparent Säkert Annonsfritt Användarvänligt (stöder biometrisk autentisering, både fingeravtryck och ansiktsigenkänning) Hållbart Kostnadsfri för slutanvändarna Frihet Slipp krångliga lösenord. Logga in och skriva under digitalt på ett växande antal tjänster. Kostnadsfri för individen! Kontroll Undvik ID-stöld och bedrägerier och ta kontroll över ditt digitala liv genom Mina sidor. Integritet Ditt digitala liv tillhör dig. Vi säljer inte dina användaruppgifter till annonsörer eller någon annan. Enkelt Registrera din e-postadress och du är på basnivån för ditt eid. Uppgradera till Freja eid+ genom några enkla steg för identitetskontroll och få tillgång till ännu fler tjänster! Varför Freja eid? Ur ett slutanvändarperspektiv ID för alla Freja eid syftar till att vara en digital identitet som kan användas i många tjänsteleverantörssystem. På ingångsnivå (Freja eid Bas) kan det användas av alla i samhället oavsett ålder och nationalitet. För eid+ finns det vanligtvis nationella krav som kan begränsa vem som kan få det. Inga lösenord Kostnadsfri för individen Användarvänligt gränssnitt för webb och mobil Ur ett tjänsteperspektiv ID för alla vilken tjänst som helst kan utnyttja det och anpassa användningen till sina behov. Enkel integrering API:n som är utformade för att göra integrationsprocessen så enkel som möjligt för alla förlitande parter och leverantörer av legitimationskontroller. Låg avgift Freja eid är kostnadsfri för slutanvändarna och prisalternativen för tjänsteleverantörer är kostnadseffektiva. Transparens och integritet Säkerhet Användarvänlighet Hållbarhet 18

19 Kontakta oss Om Freja eid Freja eid är en e-legitimation för säker inloggning, underskrifter och kommunikation i den digitala världen. Freja eid är skapat av Verisec AB (publ) grundat 2002 och noterat på Nasdaq First North Premier i Stockholm. Verisecs teknik används av banker, försäkringsbolag och regeringar över hela världen för hantering av digitala identiteter. Sveriges nya e-legitimation