(Partnerský příspěvek)
Kdo dnes pracuje s našimi digitálními identitami?
Jako koncový uživatel různých služeb digitálního světa bych se chtěl v tomto článku blíže zaměřit, na jakém konceptu jsou dnes vlastně založeny přístupy k elektronickým službám dostupným v pestré škále pomocí internetu. Obecně lze říct, že model vychází z velmi jednoduchého přístupu, kdy jako uživatel aplikace přistupuji k danému systému pomocí své jednoznačné identity a prezentuji se jakýmsi digitálním identifikátorem, který je přiřazen mému uživatelskému profilu. Správa mého uživatelského profilu je tedy správou mé digitální identity, která prochází určitým životním cyklem a nabývá různých výsad, oprávnění apod.
Když v roce 2000 přicházel na trh produkt společnosti Novell s označením DirXML, poprvé se mi dostal do povědomí termín „roztroušená identita“ a společnost Novell přicházela v této době s revolučním řešením, které si kladlo za cíl správu identity podstatně zjednodušit a uživatelům minimalizovat nároky na zapamatování si různých přístupových údajů, které dennodenně používají. V té době jsem již několik let pracoval pro společnost Novell a nějakou dobu jsem byl i jejím zaměstnancem a jednou jsem si schválně spočítal, kolik identit vlastně mám přiřazeno ke své osobě. Došel jsem k závěru, že jen v rámci korporace používám 7–9 uživatelských účtů. Daleko víc účtů jsem měl pak k různým soukromým potřebám. V součtu je to poměrně hodně. Dnes jsme pokročili o 15 let a situace s množstvím používaných identit a nároky na jejich správu se příliš nezlepšila. Zcela určitě se dá říct, že každému se počet jeho digitálních identit víceméně stále navyšuje.
Autentizovaná identita
Jakým způsobem dnes vlastně prokazujeme svoji digitální identitu? Jistě není žádným překvapením, že dlouhodobě patrně stále vítězí způsob zadávání uživatelského jména a hesla. V roce 2006 prohlásil tehdejší šéf společnosti Microsoft Bill Gates, že hesla budou do 3–4 let minulostí, ale není tomu tak. Ani snahy společnosti Microsoft (a jiných), které by zvyšovaly komfort uživatelů v tom smyslu, aby se hesla nemusela opakovaně zadávat, se příliš neuchytily (mám zde na mysli koncepty Microsoft Passport nebo Live ID, aplikaci InfoCard, která se později objevila jakou součást Windows Vista pod označením CardSpace apod.).
Dnes není velkou výzvou naimplementovat dokonalý systém pro správu identit, který perfektně splňuje koncepci jednotného přihlašování Single Sign-on (SSO), přestože do toho řada firem vkládá velké technologické úsilí. Výzvou je spíše fakt, že uživatelé prostě mají velké množství svých digitálních identit, například kolem stovky! Tak jak za poslední roky na internetu přibývají nové sociální sítě, cloudové služby všeho druhu, používáme masivně mobilní telefony a jiná smart zařízení a jejich použití kombinujeme pro soukromé i pracovní účely, počty našich identit kontinuálně přibývají a problematika jejich správy se z pohledu poskytovatelů služeb stává stále komplexnější.
Osobně si však musím přiznat i fakt, že mnohdy je to velice praktické, mít rozdílné identity a různě s nimi zacházet podle vlastního uvážení a potřeb. Prostě nechci, aby některé mé osobní údaje byly jakkoli dávány do souvislostí mezi různými poskytovateli elektronických služeb, které využívám. Pokud například někdo zneužije účty aukčního portálu eBay včetně mého, nutně to neznamená, že si někdo na internetu pohodlně nakoupí na můj PayPal účet, který k placení na portále eBay používám.
Federace identit
Alternativou prokazování identity a koncepce SSO je koncept tzv. federace identit. Federace obvykle řeší otázku důvěry a technického provedení vzájemné komunikace uživatelem, poskytovateli služeb a subjektem, kterým je poskytovatel identity. Poskytovatelé služeb a identit mají mezi sebou definovanou společnou politiku, v níž se zavážou k určitému chování a dodržování jistých pravidel, na jejichž základě mohou poskytovatelé identit věřit poskytovatelům služeb a naopak. V současnosti se tento princip používá zejména v akademické komunitě, a to především mezi univerzitami a výzkumnými institucemi. Určitě bych zde uvedl jako příklad náš český projekt eduID.cz nebo mezinárodní eduGAIN. Za zmínku určitě stojí i evropský projekt s označením Stork, který má za cíl zejména podporu přeshraničního uznávání elektronických identifikačních dokladů. Obvykle se tato koncepce opírá o standard SAML 2.0. (lze uvést např. projekt Shibboleth). Federace respektuje určité soukromí, kdy poskytovatel služeb nepotřebuje znát konkrétní identitu přicházejícího uživatele. Prostě si vystačí z informací typu „ANO, toto je náš student“ , případně, že „studuje tento konkrétní obor“.
Dále bych zde uvedl již historické aliance, které prezentovaly podobné přístupy k federaci identit, založené na standardech SAML, SOAP, XML, X.509 apod., jako například WS-Security, nebo Liberty Alliance. Mezi novější iniciativy patří například Kantara nebo Open Identity Exchange.
Komu důvěřovat
Obecně však platí, že je dnes jen velmi málo organizací, které jsou dostatečně důvěryhodné k tomu, aby mohly poskytnout digitální identitu jako službu. Dokážu si i představit, že vybudování a udržování dostatečně důvěryhodného systému, kterému budou poskytovatelé služeb opravdu důvěřovat, bude i velmi nákladné. Je potřeba si uvědomit, že takový systém bude muset respektovat celou řadu pravidel, které budou určovány bezpečnostními požadavky těch systémů, jež mají poskytovatelům digitální identity důvěřovat. Systém musí být uživatelsky přívětivý a jednoduchý i pro jeho uživatele, kteří chtějí mít v rukou správu svých uživatelských profilů a osobních dat, jež jsou po nich v průběhu autentizace vyžadována, a musí respektovat i požadavky uživatelů na jejich anonymitu.
Jako příklad poskytovatele identit jako službu lze uvést například cloudové řešení Microsoft Azzure a Azzure Active Directory. Tento přístup staví adresářovou službu Active Directory do role jednotného úložiště uživatelských identit v cloudu, a poskytuje tak služby bezpečné autentizace – federace – synchronizace a jednotného přihlašování k těm aplikacím, které jsou v rámci cloudového řešení Azzure k dispozici (například Office 365 apod.).
Jako zaměstnance společnosti, která je autorem projektu CzechPOINT zde v České republice, nemohu opomenout tzv. jednotný identitní prostor (JIP), který je právě základem řešení autentizace uživatelů v tomto projektu.
Ing. David Čečelský