Del 5
Elektroniske ID-kort
12 Behovet for elektroniske ID-kort
12.1 Beskrivelse av problemstillingen
I forbindelse med utviklingen av elektroniske tjenester fra forvaltningen basert på Internett, kan det være av interesse å vurdere en alternativ modell for spredning av offentlige personsertifikater. I denne modellen sørger det offentlige for et tilbud om å utstyre enkeltpersoner med et smartkort med sertifikater og private nøkler. Disse kortene kalles elektroniske identitetskort (EID-kort ). Slike kort vil kunne brukes til å legitimere brukerne overfor elektroniske tjenester, og for å sende signerte søknader, henvendelser etc. elektronisk til forvaltningen. Den offentlig utstedte elektroniske legitimasjonen vil i så fall også kunne brukes som en generell elektronisk identitet overfor andre elektroniske tjenester enn de som tilhører forvaltningen. Men utvalget har ikke som mandat å utrede generelle identitetskort for befolkningen.
Sertifikatene i elektroniske identitetskort skal være offentlige personsertifikater i samsvar med det høyeste av nivåene som er skissert i kapittel 8.
Det er en forutsetning for diskusjonen i dette kapitlet at det skal være valgfritt for hver enkelt person om man vil anskaffe seg et slikt kort med offentlige personsertifikater. Det skal ikke gjøres obligatorisk for den enkelte å ha et slikt kort, eller å bruke det. Det understrekes også at det heller ikke vil være tale om å gi dette offentlig utstedte kortet monopol på deler av sertifikatmarkedet, men at et slikt offentlig elektronisk identitetskort vil konkurrere med andre utstedere av sertifikater.
Problemstillingen handler om elektroniske identitetskort for enkeltpersoner der brukeren anvender en privat nøkkel til å identifisere seg overfor et system. Et elektronisk ID-kort, kan om ønskelig plasseres på samme fysiske enhet som andre fysiske og visuelle ID-kort og distribueres sammen med disse. Det kan også være mulig å kombinere identitetskortet med attributt- eller rolleinformasjon som sier noe om hvem innehaveren er i en viss sammenheng, eller spesifiserer enkelte rettigheter som innehaveren har. Et ID-kort har ofte navn, adresse, fødselsdato, gyldighetsområde (f.eks. at det er et førerkort for motorsykkel) og stempel eller annen informasjon som tilkjennegir utstederen. Vi er vant med at legitimasjon sjekkes manuelt og visuelt.
12.1.1 Hva et EID-kort kan inneholde
eRegel-prosjektet [ 47] nevner som en mulighet at objektive fakta om en person, f.eks. navn, alder, adresse, stilling, kan lagres i et personsertifikat. Et sertifikat som skal brukes som elektronisk ID-kort, må ha et innhold som med stor sannsynlighet er stabilt i gyldighetsperioden eller den tiden legitimitetsforholdet består. Dette kalles tidsinvariant informasjon . Sertifikater må byttes/fornyes når innholdet ikke lenger er korrekt, når sertifikatet går ut, eller når en nøkkel på andre måter ikke lenger er gyldig.
Adresse er et eksempel på tidsvariant informasjon (informasjon som ofte endres) som neppe bør være i et sertifikat. Det kan medføre at en stor del av befolkningens sertifikater må endres unødig ofte. Adresseinformasjon kan i stedet lett slås opp i en passende katalog.
En elektronisk ID vil være et sertifikat (eller en samling av sertifikater) signert av en sertifikatutsteder. En EID kan/bør ha nøkler for autentisering og signering, sertifikater for disse og nøkkel for dekryptering.
Sertifikatet bør inneholde:
Navn som er sjekket iht. folkeregisteret,
En identifikator som er unik innen utstederens domene, og som kan koples mot fødselsnummer ved tjenstlig behov, ev. fødselsnummer direkte,
Gyldighetsperiode,
Sertifikatutstederinformasjon.
12.1.2 Generelt om standarder for elektroniske identitetskort
Det finnes etablerte internasjonale standarder for visuelt ID-kort. (ISO Standard 7501-3 Machine Readable Travel Documents – Identity Cards).
Standard innhold i et EID-kort
Elektroniske identifikasjonskort (EID) er i ferd med å bli standardisert. Imidlertid går utviklingen fort på teknologisiden, og standardiseringsprosessen kan bli hengende etter. Sverige er i en ledende posisjon. De har allerede vedtatt viktige deler av systembeskrivelsen som svensk standard (SS 61 43 30, 61 43 31 og 61 43 32), og mer er under arbeid. Svenskene arbeider hardt for å få dette vedtatt som internasjonal standard, og mye tyder på at de vil lykkes. Finland har adoptert det vesentligste av svenskenes beskrivelser for det finske EID-kortet. Finnene har også tatt ledelsen i et arbeid med elektroniske ID-kort under eEurope-paraplyen .
De standarder og spesifikasjoner som er gjeldende for EID-kort, stiller meget strenge krav til rutinene for bestilling av kort, utstedelse av kortet via flere delprosesser, og til selve kortet og chipen.
Bruk av EID-kort
Et EID-kort kan inneholde flere nøkkelsertifikater. Et EID-kort med personsertifikater gir grunnlag for tilgang til for eksempel:
Enkelte datasystemer i forvaltningen,
Annen informasjon via navnet eller fødselsnummeret. Det kan være fra kataloger som inneholder mer om ansettelsesforhold eller sier om eieren er gammel nok til å kjøpe øl,
Andre nøkkelsertifikater for digital signering og kryptering, f.eks. rollesertifikater,
Nøkkelsertifikater med navn man er kjent ved i andre sammenhenger, tilknyttet et ansettelsesforhold, med ulike e-postadresser osv.
Et generelt identitetssertifikat som inneholder få eller ingen tidsvariante elementer, der lagringsmåten for sertifikatet er god, og der utleveringsmåten inngir tillit, kan forenkle registreringen ved utstedelse av andre sertifikater.
Bruk av EID-kort forutsetter:
Smartkort,
Smartkortleser i tilknytning til en PC,
Programvare på PC for behandling av informasjonen i kortet, inkludert tilgang til sertifikatutsteders tilbaketrekkingslister og programvare hos de forvaltningsenhetene som skal behandle informasjonen.
12.1.3 Forvaltningens behov for ID-kort
Ønsket om enklest mulig tilgang til tjenester for sertifikateiere og myndighetenes krav om bruk av identifikasjon kan stå i konflikt med personverninteresser . Store deler av forvaltningen har tjenstlig behov for tilgang til korrekt navn og fødselsnummer i henhold til folkeregisteret . Det har imidlertid kommet motforestillinger fra flere hold mot å ha fødselsnummer direkte i sertifikatene. Det synes derfor å være naturlig å kreve at elektronisk ID skal inneholde korrekt navn og en unik identifikator som utsteder vil kunne kople med fødselsnummer. Utsteder, eller en tjenesteoperatør for utsteder, må kunne framskaffe fødselsnummer til etater og brukere i forvaltningen som har et legitimt tjenestemessig behov for dette. Alternativt kan fødselsnummer brukes der dette er påkrevet.
Av praktiske grunner er det også ønskelig at flere forvaltningssektorer aksepterer det samme identitetssertifikatet, slik at ett logisk ID-kort vil gi tilgang til mange offentlige tjenester for enkeltpersoner. Kortet og nøklene i det vil kunne anvendes til f.eks. elektronisk post, fremme av klager, tjenesteyting mot gebyrer (f.eks. attester fra Løsøreregisteret) og til dokumentinnsyn.
Forvaltningen kan i enkelte sammenhenger trenge å vite om en person har organisatorisk tilknytning til en etat eller en tjeneste. Tilknytningen vil man i mange situasjoner måtte avgjøre manuelt fordi den er beskrevet i attributter (felt i sertifikatet) som ikke alltid lar seg behandle maskinelt.
Forvaltningens behov for digitale signaturer, sertifikater og elektroniske identiteter er diskutert i kapitlene 7, 8 og 9.
Utvalget anbefaler at et eventuelt EID-kort må følge de anbefalingene som er gitt i disse kapitlene.
Forvaltningens viktigste behov er at de offentlige personsertifikatene gir et troverdig grunnlag for elektronisk identifisering av personen. Det er derfor nødvendig at sertifikatene i et EID-kort er tidsinvariante (stabile over tid). Det vil gi grunnlag for oppslag om annen, mer foranderlig personinformasjon og forenkle utstedelse av andre sertifikater som for eksempel er knyttet til ansettelsesforhold. Samtidig får bare institusjoner som har tjenstlig grunn for det, tilgang til fødselsnummeret.
Forvaltningen har en opplagt interesse av at enkeltpersoner har sertifikater og private nøkler som tilfredsstiller forvaltningens krav til elektronisk kommunikasjon. I denne utredningens kapittel 9 er det satt opp noen modeller for hvordan ansvaret for utstedelse av sertifikater kan plasseres.
I en av disse modellene beskrives etablering av en sentral offentlig tjeneste som utsteder offentlige personsertifikater til enkeltpersoner. Før man oppretter en slik ordning, bør flere spørsmål avklares. Blant annet må man vurdere hvilke konsekvenser det kan få for det norske sertifikatmarkedet dersom en slik tjeneste blir en stor aktør i markedet. Videre bør man konkretisere med tanke på spørsmål om mulighet for kryptering av fødselsnummer, annen unik identitet, hva kortet kan inneholde, hva det kan brukes til, behovet for smartkort vs. mykt sertifikat for elektronisk ID og kvalifiserte sertifikater. Det må også understrekes at et slikt offentlig elektronisk identitetskort som brukes av svært mange privatpersoner, vil gjøre risikoen større for at det legges igjen elektroniske spor, og at disse kan følges.
12.1.4 Anvendelsesområder og motivasjon
Publikum må motiveres til både å anskaffe seg og å bruke sine elektroniske ID-er. Det må regnes som sannsynlig at motivasjonen for å anskaffe et sertifikat øker med antall mulige anvendelsesområder. Det kan følgelig være ønskelig at enkeltpersoner kan bruke samme sertifikater og nøkkelpar mot forvaltningen som mot andre tjenester. Derfor bør det vurderes om offentlig sektor heller bør oppfordre andre sertifikatutstedere i markedet til å utstede sertifikater som oppfyller forvaltningens krav til elektronisk ID.
Erfaringene fra Finland underbygger dette. Det finske elektroniske ID-kortet har nå eksistert i et års tid, men det har vært vanskelig å finne gode elektroniske tjenester som motiverer enkeltpersoner til å ta i bruk et slikt kort. Mangelen på praktisk nyttige elektroniske tjenester har ført til at det i løpet av det første bruksåret bare er utstedt ca. 6–7000 elektroniske ID-er. Dersom det skal skapes interesse for å ta i bruk et slikt kort, ser det derfor ut til at det må etableres tjenester som baseres på en felles autentiseringsløsning, og som kan få enkeltpersoner til å se verdien og nytten i dette kombinerte elektroniske og fysiske identifikasjonsdokumentet. I Finland har man inngått samarbeidsavtale med en stor bank om bruk av offentlig utstedte sertifikater.
Elektronisk pass er en type elektronisk identifikasjonsdokument som det har vært stilt store forventninger til. Det fysiske passet er for tiden det eneste offisielle reisedokumentet for norske borgere som skal passere grensen til andre land. Et elektronisk pass vil i praksis kunne bli sammenkoplet med et fysisk identifikasjonsdokument. Arbeidet med å standardisere og ta i bruk dette har imidlertid hatt begrenset framdrift, og status beskrives for øyeblikket som «flytende». Det kan derfor virke som om den mest fornuftige holdningen for norske myndigheter er å vente og se. Imidlertid må det, ifølge Justisdepartementet, antas at det også i Norge etter hvert vil bli spørsmål om tilsvarende «enkle» reisedokumenter på noe sikt, blant annet som en mulig forpliktelse i forbindelse med Schengen-samarbeidet . Et gjennombrudd innenfor bruken av elektroniske pass kan endre mye av diskusjonen som er ført i dette kapitlet.
12.1.5 Priser, administrasjon, organisering
Hvis forvaltningen skal opprette en sentral institusjon for tildeling av EID-kort, bør forvaltningen se nærmere på behovet og eventuelt utrede kravene i større detalj. Smartkort med sertifikater kan ha kortere levetid enn f.eks. pass og bør derfor prises lavere.
Et offentlig identitetskort bør ikke være gratis for innehaverne. Det finnes flere modeller for prising der henholdsvis utstedelse av sertifikat, periodiske avgifter for å eie sertifikater og bruken av dem er prisbelagt. I tillegg vil sertifikateierne kunne få utgifter til programvare og utrustning (f.eks. kortleser) som må installeres hos dem slik at de kan nyttiggjøre seg sertifikatene. Også sertifikatbrukere må muligens betale for å gjøre oppslag i kataloger eller for å få verifisert et mottatt sertifikat.
Administrasjon og organisering bør plasseres i et sentralt offentlig organ og må tillegges en velfungerende enhet. Denne enheten bør stå i nær forbindelse med folkeregisteret . Det må videre utredes om deler av utstedelse, registrering av brukere, distribusjon og verifisering av elektronisk identitet med fordel kan plasseres hos underleverandører. Alle disse sidene ved sertifikatutstedelse vil kreve store oppstartkostnader og løpende driftskostnader. Det vil blant annet ligge store startkostnader i å etablere et sikkert produksjonsmiljø for sertifikater og kort, og i å få på plass en logistikk for kort og data som kan ha tilstrekkelig tillit. Det vil også være kostbart å bygge opp det nødvendige apparatet for å motta meldinger om tilbaketrekking av sertifikater og iverksette slike. Programvare, både for sertifikatutstedelsen så vel som i identitetskortene, vil bli en betydelig utgift som vil kreve oppdateringer og tilpasninger.
Et viktig poeng når det gjelder publikums modenhet for å ta i bruk elektroniske ID-kort, er utbredelsen av utstyret for kortlesing. Kortlesere kan kjøpes som tilleggsutstyr til en rimelig pris, men finnes ennå i liten grad tilgjengelig som en standardisert del av PC-en. Håndtering av kortlesere krever fremdeles en del kompetanse, kompetanse som det er rimelig å anta at ikke finnes i alminnelige husholdninger. Norsk Tippings testing av elektroniske tippekort våren 2001 vil være den første prøvesteinen når det gjelder publikums modenhet for denne typen tekniske løsninger.
Utstedere som konkurrerer på markedet, arbeider nå med å etablere et produksjonsmiljø for sertifikater. Forvaltningen kan i denne sammenhengen sies å ha muligheten til både å stimulere markedet og til å konkurrere med det. Forvaltningen har ved tidligere anledninger ikke uttrykt noe ønske om å konkurrere med private sertifikatutstedere. En nærliggende løsning blir dermed at norske offentlige myndigheter spiller en sentral rolle ved å stille krav til utstederne i markedet og kjøpe sertifikater av dem som oppfyller forvaltningens krav.
12.2 Anbefaling
På grunnlag av vurderinger framlagt i dette kapitlet vil utvalget ikke anbefale at forvaltningen går i gang med etablering av en offentlig ordning for utstedelse av elektroniske ID-kort nå.
Det ansees foreløpig som tilstrekkelig at enkeltpersoner skaffer seg sertifikater fra utstedere i markedet. Offentlig sektor må motivere sertifikatutstederne til å produsere sertifikater som blir ansett som gode nok og som kan aksepteres av forvaltningen. Alle kvalifiserte sertifikater som er på de to høyeste nivåene etter punkt 8.2.5, og som oppfyller forvaltningens krav til innhold, bør kunne aksepteres for kommunikasjon mot forvaltningen. Dette kan gjøres gjennom å inngå samarbeidsavtaler med relevante aktører i markedet, jf. punkt 9.3.
Det kan heller ikke utelukkes at enkelte andre sertifikater som ikke er evaluert i henhold til disse nivåene, i mange sammenhenger kan være akseptable for forvaltningen.
Forvaltningen bør oppmuntre sertifikatutstederne til å produsere sertifikater som dekker forvaltningens behov. Bl.a. bør forvaltningen løpende vurdere om den kan ta i bruk elektroniske ID-kort som kommersielle aktører tilbyr, og på denne måten bidra til rammebetingelser som legger til rette for et velfungerende marked for bruk av elektronisk identitet.
Utvalget mener at man bør høste erfaringer både fra markedet og fra andre offentlige utstedere av slike EID-kort før en eventuell videre utredning av saken gjennomføres.
De teknologiske forholdene rundt elektroniske pass er ikke ferdig tilrettelagt og er foreløpig ikke noen motivasjon for å starte utstedelse av offentlig elektronisk ID.