Digitala id-kort – säker avläsning krävs
Användningen av digitala id-kort för identifiering har ökat på senare tid. Många förväxlar ett digitalt id-kort med en e-legitimation, som används för att legitimera sig på distans, oftast i en e-tjänst. Ett digitalt id-kort används som en digital version av ett traditionellt id-kort där användaren legitimerar sig på plats i till exempel en butik.
En del av dessa digitala id-kortslösningar bygger på att användaren visar upp en skärmbild från en app där identitetsuppgifter och en ansiktsbild visas. En sådan lösning kräver att den som ska identifiera en person både kan avgöra om appen är äkta och att bilden föreställer personen som håller upp mobiltelefonen. Det är inte säkert nog.
– Det är ett problem att säkerheten står och faller med medarbetarens visuella bedömning. För att det ska vara säkert behövs en maskinell avläsning och kontroll mot utfärdaren, till exempel genom att skanna en QR-kod som visas vid id-kortet och verifierar informationen mot ett tjänstegränssnitt, säger Johan Gellerstedt, avdelningschef på Digg.
En central funktion i en e-legitimationslösning är att det skickas ett identitetsintyg när användaren identifierar sig gentemot en tjänst. Det är ett digitalt intyg som skickas från utfärdaren av e-legitimationen till den som ska identifiera personen. Intyget skyddas på kryptografisk väg så att det inte kan förfalskas eller ändras utan att det upptäcks, och är säkert att använda för den som ska lita på en e-legitimation. Digg anser att digitala id-kort måste fungera på motsvarande sätt för att de ska vara säkra att använda.
– QR-koder eller andra optiska verifieringsmetoder som involverar kontroller mot utfärdaren bör inte ses som valfria, utan som en nödvändighet för att upprätthålla säkerheten för digitala id-kort, säger Johan Gellerstedt.
Digitala id-kort som kontrolleras genom en visuell bedömning är inte en funktion som Myndigheten för digital förvaltning (Digg) granskar eller godkänner, till skillnad från e-legitimationer som granskas och godkänns av Digg.
Företag med digitala id-kort som fungerar som en e-legitimation kan ansöka om att få sin lösning granskad av Digg. Digg har godkänt den funktion i BankID:s digitala id-kort som kräver att den som ska identifiera personen, till exempel en butik, skannar QR-koden med en skanner som är kopplad till BankID:s tjänstegränssnitt. Freja eID har ansökt om att få funktionen i sitt digitala id-kort granskat av Digg.
Läs mer
Ditt svar hjälper oss att förbättra sidan
Publicerad: