Schlagwortarchiv für: Identität und Privatsphäre

SuisseID – next generation

SuisseID, the swiss standard for secure identification and digtal signature was launched in 2010. The success and usage of the existing SuisseID is moderate. The use cases of end user, enterprise customer and attached service partner has changed within the last years. Therefore SwissSign has defined a new SuisseID – next generation, which will launch in 2017.

Currently, a SuisseID user has to go through every steps of the SuisseID registration process to get at the end the SuisseID Token. The steps are felt as fastidious and require media breaks as going to postal office, sending information per post or installing software etc.. Only then the user has the possibility, with his token connected, to activate Mobile Service (2nd factor authentication with email, password and SMS challenge) and use the full potential of the SuisseID.

One main motivation of the project was to give the user the possibility to get the Mobile Service in the first steps, before he has to achieve the whole steps for a full SuisseID with Identification and signature features . That’s why In the first phases of the project the project was called “Mobile First”.

The goal is also to give the possibility to the user to enable, a modular step by step, on demand the other features of the SuisseID when needed. The user will and can decide when and on what level of identity quality he wants to get registered.

Basically the SuisseID offers 3 main functionalities:
– Authentication (2 Factors)
– Identification (modular step up)
– Digitale Signature (as service)


SwissSign will launch a new bundle of identification service (Identity as as service) for Service Providers. Service Providers will get additional benefits, being administrations, eGov services, financial institutes, companies or online shops to outsource a part of their Identity and Access Management to a third reliable party. This Bundle of services consists in a Secure authentication with a second factor, and trough the step up process a digital verified identity and services for digital qualified signature capability.

The service streamlines a step by step registration process for the users and the possibility to manage the self-declared data by changing them – when necessary. IdP data will be stored at the SwissSign IdP with the adequate vetting level, self-declared or verified. Only the user is able to modify, add and use the IdP entries, with full control and privacy. The user will decide through consent screen, which identity information’s will get forwarded to his used online service providers.

The Service provider will be able to register online within a short time for the 2nd factor authentication. The service provider will get the possibility to process the user data through the authentication, with agreement of the user, and the verification level.

The Service Provider can also add the signing service within his portal to propose the digital qualified signature to his users.

Below; showing the process of the project.

The new look and feel of your own SuisseID “next generation” (fully enabled with modular identifications level [Email, 2 Factor = Mobile Number; Qualified – “prooven” Identity]

In a nutshell:

Features for users:
– Online registration
– Secure authentication with second factor (mobile service)
– Immediate use
– Upgrade for online Identification
– Upgrade for Online Qualified Signature
– Can be used on any device

Advantages for users:
– No token necessary
– No additional software
– High usability, free for the user
– Easy registration and upgrade process
– Dynamic data management
– No renewal process
– Ready for future processes

Features for Service Providers:
– Online registration
– Compatibility with “existing” SuisseID
– Possibility to get verified Identity «on demand»
– Possibility to get verified attributes «on demand»

Advantages for Service Providers:
– Easy registration process
– Standard technologies
– Compatibility with “extisting” SuisseID

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Qualität der Authentifizierung

Identitätsmissbrauch im Internet kann sehr unangenehm sein. Viele Betroffene erfahren erst davon, wenn eine Rechnung für etwas, was sie nie bestellt oder benutzt haben, per Brief zu Hause eintrifft. Aber wie kann ein Anbieter von Webanwendungen sicherstellen, dass der aktuelle Benutzer wirklich der ist, den er vorgibt zu sein?

In der realen Welt räumen wir Personen, die wir kennen, einen Vertrauensvorschuss ein. Handschlag genügt. Erst wenn es um kritische Vertragsabschlüsse geht, lassen wir uns Beweise in Form von Ausweisdokumenten zeigen oder holen Referenzen ein.

In der digitalen Welt ist das weniger offensichtlich. Eine Webanwendung kann das Vertrauen in die nutzende Person über die Qualität der Authentifizierung abschätzen. Daher legt der Betreiber entsprechend dem Schadenspotential fest, welche Qualität der Authentifizierung notwendig ist. Die Herausforderung wird grösser, wenn die Webanwendung die Registrierung und Authentifizierung nicht selbst durchführt, sondern an einen vertrauenswürdigen Dritten auslagert. Hier braucht es ein Modell, das es ermöglicht, die angebotenen Qualitäten einzustufen.

Die Vielzahl der vorhandenen Qualitätsmodelle1,2,3 und ihre unterschiedlichen Anwendungsbereiche erzeugen allerdings eher Unsicherheit. Daher erarbeitet die BFH im Auftrag des SECO und des ISB und zusammen mit dem Verein eCH ein Qualitätsmodell für das Schweizer E-Government, anwendbar auf die ganze Schweizer eSociety.

Die neue Version des Qualitätsmodells (eCH-0170 Version 2.0) berücksichtigt zudem die in der Schweiz existierenden Authentifizierungslösungen und die Anforderungen aus dem E-Government. Das resultierende Qualitätsmodell besteht aus vier Teilmodellen, die jeweils einem Prozess zugeordnet sind (siehe Abbildung).

Authentifizierung eines Subjekts.

Für jeden Prozess werden Qualitätskriterien definiert, die in der Kombination ihrer Ausprägungen die verschiedenen Stufen für die Modelle definieren. Zuletzt werden die Stufen der Teilmodelle zu einer Vertrauensstufe des Gesamtsystems kombiniert und erlauben damit eine solide Einschätzung der Qualität einer Authentifizierung.

Der Laufzeit-Prozess Subjekt authentifizieren ermöglicht – nebst der Authentifizierung des Subjekts (Benutzer) – die Steuerung des Zugriffs des Subjekts auf eine Ressource.

Erfolgt die Authentifizierung des Subjekts bei einem vertrauenswürdigen Dritten (und nicht direkt in einer Webanwendung), wird anschliessend das Ergebnis der Authentifizierung in Form einer Authentifizierungsbestätigung vom Identitätsprovider an die Relying Party (RP) übertragen (Prozess Identität föderieren).

Bevor sich ein Subjekt zur Laufzeit authentisieren kann, muss es bei einer Registrierungsstelle (RA) registriert werden. Die RA überprüft die Identität des Subjekts und erstellt eine E-Identity für das Subjekt. Der Credential Service Provider (CSP) stellt für diese E-Identity ein neues Authentifizierungsmittel aus oder bindet ein vorhandenes an. Im Credential wird die Verbindung zwischen der E-Identity und dem Authentifizierungsmittel abgelegt.

Alle Beteiligten müssen im Voraus gemeinsam die Rahmenbedingungen für den Betrieb des IAM-Systems abgestimmt haben (Prozess Registrierung und Authentifizierung steuern).

[Originalbeitrag in Spirit biel/bienne 03/16]

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.