Qualität der Authentifizierung (QoA)

Das QoA Konzept befasst sich mit den verschiedenen QoA Klassen und deren Definition und Einstufung. Dabei entspricht jede Authentifizierungsmethode (Credentials, mit oder ohne Zweitfaktor) genau einer definierten QoA Klasse.

Mit der Spezifikation der entsprechenden QoA Klasse im SAML-/OIDC-Föderationsprotokoll ergeben sich folgende Vorteile:

  • Eine Fachapplikation muss sich nicht um die aufwändige Konfiguration der verschiedenen Authentifizierungsmethoden kümmern.
  • Es muss lediglich entschieden werden, welche QoA Klasse für die zu integrierende Fachapplikation gewünscht, respektive gefordert ist. Mit der Spezifikation der entsprechenden QoA Klasse im Föderationsprotokoll, wird automatisch sichergestellt, dass dem Benutzer alle zugelassenen Authentisierungsmethoden, die mindestens dieser QoA Klasse entsprechen, angeboten werden.
  • Neue Authentisierungsmethoden, welche in das QoA Konzept aufgenommen werden, stehen so automatisch zur Verfügung, ohne dass die Anwendung angepasst werden muss.
  • Die Einführung von neuen Authentisierungsmethoden wird so für die Fachapplikation transparent.
IdPs FED-LOGIN/BYOI und QoA (Credentials/Abklärungstypen)
IdPs FED-LOGIN/BYOI und QoA (Credentials/Abklärungstypen)

IdP+Credential(s)+Abklärungstyp = Qualität digitale Identität

Sowohl die bei einer Anmeldung verwendeten Authentisierungsverfahren (Credentials) als auch der Grad der Überprüfung (Abklärungstyp) einer Identität sind massgebend für die Qualität einer digitalen Identität. eIAM beschreibt dies als Quality of Authentication (QoA).

Für die QoA40, 50 & 60 gilt, dass die zugrundeliegende elektronische Identität nicht einfach selbstregistriert ist, sondern abgeklärt (Name, Vorname, Geburtsdatum, Ausweisart und Ausweisnummer). Abgeklärte elektronische Identitäten ermöglichen die Nachvollziehbarkeit, wer damit ausgerüstet wurde und somit wenn notwendig den Regress auf diese Personen.

Videoabklärung
×

Eine elektronische Identität gilt als abgeklärt, wenn ein amtlicher Lichtbildausweis des Inhabers der elektronischen Identität überprüft, registriert und dem Inhaber korrekt zugeordnet wird.

Das CH-LOGIN bietet hierfür die Videoidentifikation VIPS. Der Benutzer, die Benutzerin loggt sich mittels CH-LOGIN auf MyAccount ein und führt die Videoidentifikation durch. Die Videoidentifikation ist ein Videotelefonat, in welchem ein externer Dienstleister den amtlichen Lichtbildausweis und die Person kontrolliert. Die erhobenen Daten fliessen zurück ins BIT. Ab jetzt gilt das CH-LOGIN als abgeklärt, gültig 5 Jahre für alle Anwendungen der Bundesverwaltung. Die Videoidentifikation kostet CHF 45.- und wird von der Endbenutzerin, vom Endbenutzer im Moment des Eintritts in den Prozess online bezahlt (Zahlungsmittel: MasterCard, Visa, ApplePay, GooglePay, SamsungPay, Twint, PostFinance Card, PostFinance E-Finance, American Express, PayPal oder mit Voucher code aus der Bundesverwaltung).

In bestimmten Fällen muss zusätzlich ein speziell gesicherter Login-Zweitfaktor (Hardcrypto-Token) eingesetzt werden, eIAM setzt dabei auf FIDO und Mobile ID, für welche gilt, dass der Endbenutzer, die Endbenutzerin einen davon selber mitbringt. FIDO Dongles sind im Elektronikhandel erhältlich, die Mobile ID ist auf den meisten Schweizer SIM und eSIM vorinstalliert. FIDO und Mobile ID werden im Self-Service über MyAccount mit dem CH-LOGIN verbunden.

eIAM unterstützt zurzeit auch noch Vasco-Tokens für abgeklärte elektronische Identitäten.


Mobil-ID
×

Die Mobile ID ist ein Zertifikat, das auf den SIM-Karten (Subscriber Identity Module, inkl. eSIM) der (derzeit nur Schweizer) Mobiltelefonieanbieter gespeichert ist (Anbieter siehe https://www.mobileid.ch). Sie kann als Credential eingesetzt werden und wird vorgängig durch die Benutzenden im Self-Service auf MyAccount registriert. Das Zielsystem, das ein Authentifikations- und Identitätsnachweismittel anfordert und dafür die Mobile ID akzeptiert, sendet eine dedizierte Pushmeldung an das Mobilgerät, das die entsprechende SIM-Karte verwendet. Der Endbenutzer, die Endbenutzerin muss daraufhin auf diesem Mobilgerät ein Passwort eingeben, um dem anfragenden Zielsystem die Mobile ID zu übermitteln.
Der Einsatz der Mobile ID als Credential führt nicht automatisch zu einer verifizierten elektronischen Identität, dafür muss zusätzlich eine Videoidentifikation durchgeführt werden.

eIAM nutzt ab 2021 die Mobile ID als zweiten Loginfaktor für das FED-LOGIN, in Kombination mit dem Abklärungsprozess der SG-PKI, wodurch die Mobile ID als verifizierte elektronische Identität verwendet werden kann. Dies gilt jedoch ausschliesslich für Mitarbeitende der Bundesverwaltung.

eIAM akzeptiert ab 8. August 2022 die Mobile ID als zweiten Loginfaktor auch für das CH-LOGIN, in Kombination mit dem Videoidentifikationsservice. Die Mobile ID im Kontext der Bundesverwaltung richtet sich nicht an die breite Öffentlichkeit. Sie kann innerhalb der Bundesverwaltung nur auf Einladung verwendet werden. Die Einladung erhalten Sie von Ihrem Fachkontakt bei der Bundesverwaltung zusammen mit einem sogenannten MIO-Code (Mobile ID-Onboarding Code).


FIDO
×

FIDO Dongles werden als zweiter Faktor im eIAM verwendet.

FIDO Dongles sind Datenträger, z. B. in Form eines USB-Sticks, enthaltend kryptografisches Material. FIDO Dongles werden durch die Endbenutzer im Elektronikhandel selber beschafft. FIDO Dongles können als Credential eingesetzt werden und vorgängig durch die Benutzenden im Self-Service auf MyAccount registriert. Das Zielsystem, das ein Credential anfordert und dafür FIDO-Tokens akzeptiert, verifiziert das kryptografische Matierial des Tokens.

Der Einsatz von FIDO Dongles als Credential führt nicht automatisch zu einer verifizierten elektronischen Identität, dafür muss zusätzlich eine Videoidentifikation durchgeführt werden.

eIAM unterstützt folgende FIDO Dongle Typen für das CH-LOGIN.

  • YubiKey 5 FIPS Series with NFC
  • YubiKey 5 Series
  • YubiKey 5 Series with NFC
  • Security Key by Yubico with NFC
  • Feitian BioPass FIDO2 Authenticator
Generell ist zu sagen, dass Yubico einer der grössten Hersteller von FIDO-Token ist und alle Tokens der YubiKey 5 Series FIDO2 unterstützen.

Windows Hello (Fingerabdruck, Gesichtserkennung oder PIN) kann ebenfalls als Passkey (FIDO) verwendet werden. Bitte beachten Sie, dass Sie sich mit einem Windows-Hello-Passkey nur auf dem Gerät anmelden können, das Sie während der Registrierung verwendet haben.

In welchen Fällen müssen Identitäten mit QoA 40, 50 und 60 eingesetzt werden?

  1. Zugriff auf IKT-Ressourcen der Bundesverwaltung im Enterprise-Kontext (interne und externe Mitarbeitende und Partner). Minimalforderung: QoA40
  2. Zugriff auf Daten mit erhöhtem Schutzbedarf in der SZ+ und dem BV-Netz; Minimalforderung gemäss aktueller Zonenpolicy ist QoA50, dies ist nur mit Hardcrypto-Token wie Smartcard, Mobile ID/FIDO mit VIPS möglich.
  3. Notwendigkeit des Geschäftsprozesses, die handelnde Person belastbar identifizieren zu können (Regressfähigkeit, Minimalanforderung: QoA40). Dieser Fall kann z.B. auch durch die Zielapplikation erledigt werden, indem eine Ausweis-Kopie in die Zielapplikation hochgeladen wird

Login Methoden

FED-LOGIN Login Methoden

Detaillierte Informationen über die SAML QoA Spezifikation Bisher mussten die Applikationsowner . . .
Detaillierte Informationen über die OIDC QoA Spezifikation Bisher mussten die Applikationsowner . . .
Detaillierte Informationen über QoA: