作者:Sebastian Elfors,Yubico 高级解决方案架构师
FIDO在欧洲数字身份系统和eIDAS中的价值得到认可。 本月,欧洲在FIDO方面进行了两项新的更新:发布了具有里程碑意义的ENISA报告,讨论了FIDO2在eIDAS中的作用,以及捷克政府对使用FIDO2的新eID解决方案的认证。
2021 年 3 月,欧盟网络安全局 (ENISA) 发布了《远程身份证明》报告,描述了欧洲国家 远程身份证明法律、法规和实践的当前监管环境和支持标准。 ENISA 的报告基于 ETSI TR 119 460 和 ETSI TS 119 461 文件,这些文件描述了欧盟信任服务提供商之间远程身份证明的政策和实践。 特别是eIDAS法规,防止洗钱的AMLD5指令,以及欧盟关于发行身份证和交换身份信息的指令,都从法律角度考虑在内。
ENISA报告中提出了几种远程识别方法:视频录制会话、基于eID方案或电子签名的识别、银行识别、扫描现有身份证或几种方法的组合。 特别是,从 FIDO 的角度来看,使用 eID 方案识别用户的选项很有意义。 ENISA报告的“2.2.4电子识别手段”部分写有以下声明:
“几个电子身份意味着提供商使用的协议是OpenID connect。 这是一个 OAuth 2.0 之上的身份验证层,由 OpenID 基金会指定。 这 协议允许根据授权服务器执行的身份验证来验证申请人的身份,并获取有关申请人的基本信息。 另一个 可用于 eID 解决方案的技术是 FIDO2。 FIDO Alliance在 白皮书 FIDO2 如何用于 eID 意味着对应于 eIDAS 第 8 条。
同月,捷克内政部为捷克域名注册机构CZ 颁发了eIDAS认证 。NIC,这意味着在以下条件下,其标识提供者 mojeID 可以将 FIDO2 部署为 eIDAS 保证级别为“高”的 eID 方案:
- FIDO2 身份验证器已通过 2 级(或更高)的 FIDO 认证
- FIDO2 身份验证器基于经过 FIPS 140-2 级别 3 或通用标准 EAL4 + AVA_VAN.5 认证的安全元素
- FIDO2 身份验证器设置了 PIN,所有事务都需要该 PIN 在保证级别为高
- 用户名和密码与 FIDO2 结合使用
ENISA关于远程身份证明的报告和CZ的官方批准。NIC 基于 FIDO 的 eID 方案是 FIDO 在欧盟被公认为符合 eIDAS 的 eID 方案的可行身份验证协议的一个很好的例子。
