Versions Compared

Old Version 11

changes.mady.by.user Joakim Sandberg

Saved on

compared with

New Version 12

changes.mady.by.user Joakim Sandberg

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

...ta med de olika parterna som samverkar kring tilliten (adm-katalog, katalog, avsändare/intygare, ev förmedlande parter i en kedja etc.)


Level of trust (LoT)

Modell

...

/struktur för de gemensamma tillitsmärken

Det finns i nuläget huvudsakligen tre olika förslag på modell eller struktur på tillitsmärken, de beskrivs mer ingående under respektive avsnitt:

  • Förslag #1 - Avsnitt 2.1.1 - Samtliga egenskaper kombineras till ett märke
    • Exempelvis en UTFÄRDARE på en LoT2 skulle då få ett märke enligt UTFÄRDARE_LoT2
    • Öppen fråga: Kan det finnas ett märke eller anslutning som UTFÄRDARE utan att ha gemensam LoT-nivå. Ska det då symboliseras genom LoT0? Eller bara genom UTFÄRDARE (och rimligen då kompletteras med annat TM enligt Förslag #2 eller driva att samma modell lämpligen används även vid utökade eller specifika tillämpningar)
    • Antagande att vissa typer inte har nivåer, utan endast en: att förmedla LoT<X> oavsett nivå.
  • Förslag #2 - Avsnitt 2.1.2 - Separata märken för typ och nivå
    • Exempelvis en UTFÄRDARE på LoT2 skulle då få ett märke enligt UTFÄRDARE + LoT2
    • Öppen fråga: Blir det mer komplicerat att applicera krav och förstå vad som gäller?
  • Förslag #3 - Avsnitt 2.1.3 - Utökning av specifikationen för Trust Mark (TM) så att det innehåller attribut som bär ex nivå

De olika förslagen behöver analyseras mer utifrån flera perspektiv:

  • Går det att förstå modellen, dvs kan den kommuniceras på ett bra sätt?
  • Kan kraven delas upp på ett bra sätt, utan överlapp etc?
  • Går den att bygga vidare på?
  • etc...

Förslag #1 - Samtliga egenskaper kombineras till ett märke

Ref: ena-authorization/tillitsmodell/arkitekturell_modell.md at tillitmodell · diggsweden/ena-authorization

...

Den övre bilden detaljerar att det finns totalt 4 x 4 = 16 tillitsmärken, medan den undre bilden döljer det faktum att det finns 16 märken och endast beskriver modellen konceptuellt. Detta för att förtydliga att en specifik samverkan ställer krav på tillitsnivå och att detta då gäller alla inblandade komponenter.

...

Det har diskuterats en alternativ underliggande modell där tillitsmärken är per komponent och tillitsnivå är ene egenskap hos tillitsmärket.

Enligt OpenID Federation och deras definition och användande av tilliitsmärken (ref: https://openid.net/specs/openid-federation-1_0.html#name-trust-marks) skulle detta kunna representeras av att vi inom Ena Federation adderar ett claim "level_of_trust" till våra trust mark claims till de tillitsmärken där vi vill kunna signalera olika tillitsnivåer. Huruvida detta är en bra lösning för våra behov kvarstår att diskutera både internt inom arbetsgruppen och även med OIDF-expertis. Framförallt att man då ställer krav på alla komponenter som ingår i en tillitskedja att verifiera värdet av level_of_trust som en del av valideringen.

Modell - Separata märken för typ och nivå 

Modell - Jockes förslag 

Då finns det även flera alternativ till ovanstående.

En tanke var att det är olika tillitsmärken för "level_of_trust" och den typ av komponent/organisation som är med i den federativa tillvaron. Exempelvis ligger skillnaden då i om en "intygsutfärdare" antingen

...

har TM_intygsutfärdare-LoT<1-4> eller TM_intygsutfärdare + TM_LoT<1-4>.

Oavsett lösning/modell så görs antagandet att det inte är alla komponenter som ingår i kedjan som behöver separata nivåer, det är rimligt att anta att den part som är källa eller garant för informationen behöver uppvisa nivå av "tillit", men att andra parter som förmedlar informationen endast behöver generella krav kopplat till förmedling avseende icke spridning, incidenter, PU etc...vilket då bör vara lika oavsett nivå på tillit. (då det är informationen som sådan som bör reglera detta, och inte korrektheten på den...)

Det vill säga att för att vara en förmedlande komponent så finns det grundkrav kopplat till "typen" och inte ett behov av att skala ut "LoT" i hela kedjan.

Modell - Utöka standarden för Trust Mark med egna attribut

Det har diskuterats en alternativ underliggande modell där tillitsmärken är per komponent och tillitsnivå är ene egenskap hos tillitsmärket.

Enligt OpenID Federation och deras definition och användande av tilliitsmärken (ref: https://openid.net/specs/openid-federation-1_0.html#name-trust-marks) skulle detta kunna representeras av att vi inom Ena Federation adderar ett claim "level_of_trust" till våra trust mark claims till de tillitsmärken där vi vill kunna signalera olika tillitsnivåer. Huruvida detta är en bra lösning för våra behov kvarstår att diskutera både internt inom arbetsgruppen och även med OIDF-expertis. Framförallt att man då ställer krav på alla komponenter som ingår i en tillitskedja att verifiera värdet av level_of_trust som en del av valideringen.

Tillitsnivåer

Vad innebär det att en komponent är innehavare av ett tillitsmärke på en viss tillitsnivå? 

Vi utgår ifrån MSB:s stöd för informationsklassning (Ref: Klassningsmodell, MSB) och väljer att basera våra tillitsnivåer på stödet "Klassningsmatris A - Fyra nivåer".

Not: Klassa som kommuner använder har en skala på 1-3 och på 4 faller säkerhetskyddsklassificerad information ut. Det vill säga en tre-gradig skala

Level of TrustNär ska man kräva det och vad innebär det?
LoT1

Tillräcklig tillitsgrundande förmåga hos komponenten för att tillåta samverkan där grad av konsekvens av brist på riktighet är högst R1 och brist på konfidentialitet är högst K1  

LoT2Tillräcklig tillitsgrundande förmåga hos komponenten för att tillåta samverkan där grad av konsekvens av brist på riktighet är högst R2 och brist på konfidentialitet är högst K2

LoT3

Tillräcklig tillitsgrundande förmåga hos komponenten för att tillåta samverkan där grad av konsekvens av brist på riktighet är högst R3 och brist på konfidentialitet är högst K3
LoT4Tillräcklig tillitsgrundande förmåga hos komponenten för att tillåta samverkan där grad av konsekvens av brist på riktighet är högst R4 och brist på konfidentialitet är högst K4

Tanken är sedan att en tillämpning som kräver en viss tillitsnivå kräver att alla komponenter som ingår i tillitskedjan har Ena tillitsmärke på minst den tillitsnivån.

Hur kan tillitsmärken nyttjas till fler saker?

Tillit är subjektiv och uppstår ofta lokalt mellan parter som har en befintlig relation. Vad vi gör inom Ena är att försöka skapa en modell och ett ramverk som gör att tillit kan uppstå till parter man inte har en relation med sedan tidigare. Man behöver dock inte begränsa användandet av tillitsmärken utan man kan tillåta skapandet av lokala tillitsmärken för att markera lokal tillit.

...