Ord og begreper innen eID-området

Denne siden presenterer de viktigste begrepene innenfor eID-området.

    Autentisering

    Handling for å bekrefte identitet. Sterk autentisering innebærer en form for autentisering med flere autentiseringsfaktorer.

    Autentiseringsfaktor

    En faktor som er bekreftet å være knyttet til en person, og som tilhører en av følgende kategorier:

    a) «besittelsesbasert autentiseringsfaktor» en autentiseringsfaktor som personen skal bevise at den er i besittelse av,

    b) «kunnskapsbasert autentiseringsfaktor» en autentiseringsfaktor som personen skal bevise at den har kjennskap til,

    c) «iboende autentiseringsfaktor» en faktor som er basert på et fysisk attributt hos en fysisk person, og som personen skal bevise at den har.

    Basert på https://lovdata.no/static/NLX3/32015r1502.pdf

    BankID

    BankID er en kommersiell eID på høyt sikkerhetsnivå, som leveres av Vipps.

    Buypass

    Kommersiell eID-leverandør som tilbyr flere eID-ordninger på betydelig og høyt sikkerhetsnivå.

    Commfides

    Kommersiell leverandør som tilbyr eID på høyt sikkerhetsnivå.

    eID

    Elektronisk identifikasjonmiddel som brukes for autentisering på nett, for å bevise at du er den du er. Det kan sammenlignes med mer tradisjonelle legitimasjonsbevis som for eksempel førerkort, bankkort med bilde, og pass.

    eIDAS har gitt følgende definisjon av eID:

    «elektronisk identifikasjon» en prosess som omfatter bruk av personidentifikasjonsdata i elektronisk form som på en entydig måte representerer enten en fysisk eller juridisk person, eller en fysisk person som representerer en juridisk person», jf. Artikkel 3 (1).

    Se https://lovdata.no/static/NLX3/32014r0910.pdf

    eID-leverandør

    En juridisk person som tilbyr og utsteder eID-ordninger, slik som Commfides, Buypass og BankID BankAxept (BankID).

    eID-ordninger

    «ordning for elektronisk identifikasjon» et system for elektronisk identifikasjon der det utstedes elektroniske identifikasjonsmidler til fysiske eller juridiske personer, eller til fysiske personer som representerer juridiske personer», jf. eIDAS Artikkel 3 (4).

    Ofte benyttes begrepene «eID-løsninger» og «eID-ordninger» om det samme.

    eIDAS-forordningen

    eIDAS (Forordning (EU) nr. 910/2014) er et europeisk regelverk som skal sikre et velfungerende indre marked og oppnå et tilfredsstillende sikkerhetsnivå for elektronisk identifikasjon (eID) og tillitstjenester på tvers av EU/EØS-land. Forordningen er inntatt i norsk lov. eIDAS er under revisjon i EU.

    Feide

    Feide er den nasjonale løsningen for innlogging og datadeling i utdanning og forskning. Feide leveres av kunnskapssektorens tjenesteleverandør (Sikt) som samarbeider med Utdanningsdirektoratet om forvaltningen av tjenesten. Feide tilbyr også sterk autentisering for løsninger tilknyttet ansatte. Feide har ikke selvdeklarert sin eID-ordning på et angitt sikkerhetsnivå.

    FIDO2

    En åpen standard utviklet av FIDO-alliansen, som blant annet kan benyttes for passordfri sterk autentisering.

    FIDO-alliansen er en industrisammenslutning som utvikler autentiseringsstandarder

    HelseID

    Felles påloggingsløsning for helse- og omsorgssektoren som legger til rette for at helsepersonell og andre ansatte kan få engangspålogging med én eID i hele helsetjenesten, og for at sektoren lettere kan dele data og dokumenter.

    ID-porten

    ID-porten er en felles innloggingsløsning for flere offentlige tjenester og aksepterer eID-ordninger som innloggingsmetode.

    Identifikasjonsnivåforskriften

    Kommisjonens gjennomføringsforordning (EU) 2015/1502 av 8. september 2015 til eIDAS-forordningen, jf. forskrift 21. november 2019 nr. 1577 om tillitstjenester for elektroniske transaksjoner § 6

    Innrullering

    Utlevering av en ny eID til en bruker. Begrepet innrulling inkluderer utlevering, aktivering og utstedelse i en sammenhengende prosess.

    Kjernejournal

    Nasjonal e-helseløsning, en samhandlingsløsning etablert for å øke pasientsikkerheten. I den enkeltes kjernejournal er et utvalg viktige opplysninger gjort tilgjengelige for helsepersonell med tjenstlig behov, uavhengig av hvor pasienten tidligere har mottatt helsehjelp.

    Lov om elektroniske tillitstjenester

    Lov om gjennomføring av EUs forordning om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked (LOV-2018-06-15-44). Loven gjennomfører eIDAS i norsk rett og etablerer blant annet selvdeklarasjonsordninger og tilsyn.

    PKI

    Public Key Infrastructure (PKI) er et rammeverk for bruk av digitale sertifikater over datanettverk. PKI benytter asymmetriske kryptografiske nøkkelpar som hemmeligheter (en offentlig nøkkel og en privat nøkkel).

    PKI har mange anvendelsesområder, deriblant eID. For eID har de private nøklene tradisjonelt blitt beskyttet i en HSM modul, slik som smartkort eller SIM-kort.

    Selvdeklarasjonsforskriften

    Forskrift om selvdeklarasjon av ordninger for elektronisk identifikasjon med hjemmel i Lov om elektroniske tillitstjenester.

    Sikkerhetsnivå

    Sikkerhetsnivåene angir ulike grader av tillit til at påstanden om identitet, i en elektronisk kommunikasjon, er korrekt.

    Hvilket sikkerhetsnivå som skal kreves, beror på risikoen i tjenesten, herunder hvilke konsekvenser identifikasjonssvikt vil ha, samt trusselbildet for den aktuelle tjeneste mv.

    Det er virksomheten som eier tjenesten som bestemmer hvilket sikkerhetsnivå tjenesten deres skal ha.

    eIDAS er gjennomført i lov om elektroniske tillitstjenester m/forskrifter. Sikkerhetsnivåene er der kategorisert som «lavt», «betydelig» og «høyt».

    Se Forskrift om tillitstjenester for elektroniske transaksjoner og identifikasjonsnivåforskriften

    Single-sign-on (SSO)

    Omtales også som «engangspålogging». Gir brukeren muligheten til å få tilgang til flere tjenester ved å kun logge seg inn én gang, f.eks. gjennom ID-porten. Identifikasjonssystem på nettsider som lar brukere verifisere seg ved å bruke andre pålitelige nettsider.

    Smartkort

    Et kort med integrert mikroprosessor. Kortene har mange bruksområder, og teknologien benyttes stadig oftere blant annet på grunn av fleksibiliteten og sikkerhetsmulighetene. Blir også ofte kalt for PKI-kort i sammenheng med eID-ordninger. Da oppbevares den private nøkkelen på kortet, og beskyttes normalt av en pinkode.

    Andre typer bærere av eID er for eksempel SIM-kort i mobiltelefon, FIDO2-nøkkelbærere og USB-pinner.

    To-faktorautentisering

    En form for autentisering der man benytter to forskjellige autentiseringsfaktorer i kombinasjon. Datatilsynet benytter gjerne begrepet «sterk autentisering». I veilederen for identifikasjon og sporbarhet benyttes også begrepet «To-faktorløsning».