...
Level of trust (LoT)
Modell - Anders förslag
...
Grafiskt kan detta presenteras på två olika sätt:
Ref: https://samarbeta.digg.se/index.php/f/161796
...
Det har diskuterats en alternativ underliggande modell där tillitsmärken är per komponent och tillitsnivå är ene egenskap hos tillitsmärket. Enligt OpenID Federation och deras definition och användande av tilliitsmärken (ref: https://openid.net/specs/openid-federation-1_0.html#name-trust-marks) skulle detta kunna representeras av att vi inom Ena Federation adderar ett claim "level_of_trust" till våra trust mark claims till de tillitsmärken där vi vill kunna signalera olika tillitsnivåer. Huruvida detta är en bra lösning för våra behov kvarstår att diskutera både internt inom arbetsgruppen och även med OIDF-expertis. Framförallt att man då ställer krav på alla komponenter som ingår i en tillitskedja att verifiera värdet av level_of_trust som en del av valideringen. |
|---|
Tillitsnivåer
Vad innebär det att en komponent är innehavare av ett tillitsmärke på en viss tillitsnivå?
Vi utgår ifrån MSB:s stöd för informationsklassning (Ref: Klassningsmodell, MSB) och väljer att basera våra tillitsnivåer på stödet "Klassningsmatris A - Fyra nivåer".
| Level of TrustVad innebär det? | När ska man kräva det och vad innebär det? | LoT0 | Inga krav alls. Avsaknad av tillitsmärke. | LoT1 | Inga större krav på att identitet och åtkomststyrande attribut är korrekta | LoT2 | LoT3 | LoT4 | Jobbiga krav: 27001, Nycklar i HSM, beväpnade vakter, osv
|---|---|---|---|---|---|---|---|---|
| LoT1 | Tillräcklig tillitsgrundande förmåga hos komponenten för att tillåta samverkan där grad av konsekvens av brist på riktighet är högst R1 och brist på konfidentialitet är högst K1 | |||||||
| LoT2 | Tillräcklig tillitsgrundande förmåga hos komponenten för att tillåta samverkan där grad av konsekvens av brist på riktighet är högst R2 och brist på konfidentialitet är högst K2 | |||||||
LoT3 | Tillräcklig tillitsgrundande förmåga hos komponenten för att tillåta samverkan där grad av konsekvens av brist på riktighet är högst R3 och brist på konfidentialitet är högst K3 | |||||||
| LoT4 | Tillräcklig tillitsgrundande förmåga hos komponenten för att tillåta samverkan där grad av konsekvens av brist på riktighet är högst R4 och brist på konfidentialitet är högst K4 |
Tanken är sedan att en tillämpning som kräver en viss tillitsnivå kräver att alla komponenter som ingår i tillitskedjan har Ena tillitsmärke på minst den tillitsnivån.
Hur kan tillitsmärken nyttjas till fler saker?
...
- Tillitsmärken som representerar externt reglerad avtalsrelation. Man skulle till exempel kunna tänka sig skapa tillitsmärken för Nationella läkemedelslistan:
- NLL Klient - komponent godkänd att koppla upp sig mot NLL API i syfte att visa information för invånare.
- NLL Vårdgivare - komponent godkänd för att koppla upp sig mot NLL API i syfte att skapa recept, samt visa information för vårdmedarbetare.
- ...
- Tillitsmärken som representerar lokal tillit inom ett visst samverkanskontext där åtkomst inte bestäms regelstyrt baserat på klientegenskaper utan explicit till specifika klienter.
- ...
Tillitsmärken
| Tillitsmärke | LoT | Beskrivning | Motivering |
|---|---|---|---|
| Klient | LoT1 | ||
| LoT2 | |||
| LoT3 | |||
| LoT4 | |||
| Legitimering | LoT1 | ||
| LoT2 | |||
| LoT3 | |||
| LoT4 | |||
| Åtkomst | LoT1 | ||
| LoT2 | |||
| LoT3 | |||
| LoT4 | |||
| API | LoT1 | ||
| LoT2 | |||
| LoT3 | |||
| LoT4 |