Besøk hos Ria 26. mai 2016

Tema Bruk av eID i Estland

Referenter: Bea Dahl og Jon Berge Holden

Foredragsholdere: Mark Erlich, ekspert på eID interoperabilitet og EID prosjektleder Anne Mõtlik

Slik ble reise for å få på plass dagens vellykkete bruk av eID i Estland presentert:

Det estiske nasjonale id-kortet med eID ble lansert i 2002. Kortet inneholder bilde og fingeravtrykk (biometri i kortet). Kortet koster i dag 25 euro, og leveringstiden er 2-5 uker fra registrering. Det er mulig å få kortet produsert kjappere ved å betale et forhøyet gebyr (50 euro). Kortet har fem års gyldighet, og kan benyttes som reisedokument.

Alle eID-løsningene er basert på sertifikater utstedt av politi- og grensekontrollmyndigheten. Ved alle søknader om kort registreres fingeravtrykk, foto og signatur. Opplysningene tas vare på i politiets databaser. Det er strenge regler for tilgang til opplysningene. Personene identifiseres med estisk fødselsnummer.

I 2007 ble første generasjon mobil-løsning (Mobile-ID) etablert. Mobilløsningen er mye brukt av leger for innlogging til helsesystemer. Løsningen er populær dels fordi folk glemte kort, og dels fordi personer ikke ønsket å bruke (ha med) reisedokumentene (det nasjonale id-kortet) til sitt daglige arbeid.

I 2010 begynte man også å utstede rene eID-kort, som ikke kan brukes som fysiske legitimasjonsbevis. Disse er i enklere utførelse enn nasjonalt ID-kort, nøytrale kort uten personalisering og som kan utstedes på under en time på politistasjonen. De koster 15 euro og har 3 års levetid.

I 2014 etablerte man også løsningen for å bli e-innbygger (e-Resident) i Estland, hvor eID utstedes også til utlendinger uten fysisk opphold i Estland. Pr dato er det registrert 10 000 e-innbyggere.

Dagens policy er at en person bare kan ha én eID av hver type. Teknisk er løsningen åpen, slik at det vil være mulig å åpne for at personer kan ha flere eID-er av hver type, f.eks. for å ha et eID-kort liggende på jobb).

Det er obligatorisk (lovpålagt) å skaffe seg et ID-dokument for personer over 15 år. Barn kan også få slikt kort når de trenger det f.eks for å disponere egne midler eller til reise.

Det nasjonale EID-kortet gir tilgang til offentlige og private portaler og betalingstjenester. For å få høy bruk var det viktig med tidlig støtte for daglig bruk, ellers ville folk glemme hvordan man skal bruke kortet. Det var her avgjørende å få bankene med på laget. Bankene samarbeidet om å øke bruken av kortet, fordi det er besparende for dem at det nasjonale ID-kortet kan benyttes. Bankene hadde egne løsninger for pålogging fra midten av 90-tallet, men de ønsker nå at brukerne skal bruke estisk eID. Bl.a. har bankene begrenset beløpet som kan overføres, når man er logget inn med bankenes eID, mens det ikke er noen begrensninger ved innlogging med Nasjonalt ID-kort.

Nasjonal eID blir også akseptert av alle offentlige institusjoner og de fleste private tjenestetilbydere. Det er et par unntak: Kjøpe eiendom. Innrullering i militæret. eID-løsningen har også vært brukt til e-valg over internett, og e-velgere utgjorde 30% av velgerne som stemte i 2014 (europaparlamentet).

Sikkerhetsmessig har de gode erfaringer. Trojanere og phishing har kun vært rettet mot privat sektors løsninger (bankenes egen eID-løsning, passordbasert). Det har vært noe misbruk i tilfeller hvor nærstående har delt eID-en og tilhørende pin-kode; dette er imidlertid brukers ansvar å hindre.

Når det gjelder pris, så skal nasjonalt eID-kort produseres «så billig som mulig».

For å kunne kommunisere enkelt med borgerne, blir det tildelt en offisiell e-postadresse som borger må knytte til (aktivere) til sin personlige epost. E-posten kan også brukes med ende-til-ende-kryptering, ved at det lastes ned tilgjengelig programvare som inneholder krypteringsnøkler. Det er to nøkler, en for autentisering og en for signering.

Av et innbyggertall på ca. 1,34 millioner, er det ca 1,27 millioner eID tokens. Siden 2002 har det vært ca 443 millioner online autentiseringer og gitt ca 290 millioner digitale signaturer (pt. ca 6 millioner pr måned). En stor del av de månedlige signaturene er knyttet til betaling i nettbank (en signering kan være for betaling av én regning eller en bunke regninger).

Felles for de kortbaserte løsningene (id-kortet med eID og eID-kortet) er at brukeren må ha en kortleser. Omkring år 2002-2003 ble det brukt noen hundre tusen euro på å subsidiere kortlesere til brukerne. I dag er det inkludert i praktisk talt alle pc-er som selges i landet. Det er også mulig å kjøpe en ekstra sikker kortleser, med innebygd tastatur og enkel skjerm (display), disse er sikrere mot ev. ondsinnet kode på pc-en. Slike kortlesere koster ca 25 euro. (Se http://id.ee/index.php?id=34282, vår anm.)

Kortene støtter kravene til kvalifiserte signaturer, SSCD. Krypteringsnøkkelen brukes også til autentisering, dette er i tråd med standarder (gitt at man bruker ulike algoritmer, vår anm.)

Signering er gratis for inntil 10 signaturer per mnd per person. Ved signering i webløsninger betaler tjenesteeier pris iht. volum, nivået er fra 0.01 eurocent per signatur ved 10 000 per måned, til 1 eurocent for 1 signatur per måned.

Det utstedes også sikker eID til mobil:

Ved signering med mobil-ID beregnes et firesifret kontrollsiffer som vises både på datamaskinen og telefonen.

Lenker til ytterligere informasjon https://e-estonia.com/component/electronic-id-card/ http://www.id.ee/public/The_Estonian_ID_Card_and_Digital_Signature_Concept.pdf http://id.ee/?lang=en https://sk.ee/en/useful/digitalsigning/ http://eid.eesti.ee/index.php/EID_application_guide http://open-eid.github.io/