Anne RothJun 29, 2023

Das hätte ich gern schriftlich.

"Aus Ratskreisen erfuhr heise online nun, dass die Idee des eindeutigen und dauerhaften Identifikationsmerkmals im sogenannten Trilog auch mit der Kommission am Mittwochabend "nicht beibehalten" worden sei."

Und wüsste auch gern, was der Haken daran ist und gegen was das ggf. eingetauscht wurde.

#eIDAS #eID #DigitaleIdentität

https://www.heise.de/news/EU-Parlament-und-Rat-einig-Online-Ausweis-kommt-ohne-staendige-Personenkennung-9203021.html

EU-Parlament und Rat einig: Online-Ausweis kommt ohne ständige Personenkennung

Die EU-Gremien haben einen Deal zur europäischen digitalen Identität mit der eIDAS-Reform ausgehandelt. Eine permanente Personenkennziffer bleibt außen vor.

heise online
Show threadManuelJun 29, 2023
@anneroth Wahrscheinlich dürfte es für jede Person auf je eine unterschiedliche pseudonyme ID je IT-Anwendung hinauslaufen. Dann könnte im Streitfall beim ID-Provider die wahre Identität ermittelt werden. Aber die Daten der Person in den verschiedenen IT-Anwendungen ließen sich (wegen unterschiedlicher Pseudo-IDs) nicht ohne weiteres zusammenführen.
Show threadAxel NennkerJun 30, 2023

@manelu_de @anneroth
Openid connect PPID
https://openid.net/specs/openid-connect-core-1_0.html#PairwiseAlg

MobileConnect PCR
https://www.gsma.com/identity/wp-content/uploads/2016/04/Mobile-Connect-Privacy-Principles_version2.2_FINAL.pdf

#privacy #unlinkability

Final: OpenID Connect Core 1.0 incorporating errata set 1

OpenID Connect Core 1.0 incorporating errata set 1

Show threadManuelJun 30, 2023

@AxelNennker @anneroth
Analog beim Shibboleth/SAML-Authentifizierungsverfahren:

SAML Pairwise Subject Identifier:
https://docs.oasis-open.org/security/saml-subject-id-attr/v1.0/cs01/saml-subject-id-attr-v1.0-cs01.html#_Toc536097230

Vergleich der unterschiedlichen Name Identifier:
https://shibboleth.atlassian.net/wiki/spaces/CONCEPT/pages/928645231

SAML V2.0 Subject Identifier Attributes Profile Version 1.0

This specification standardizes two new SAML Attributes to identify security subjects.

Show threadAxel NennkerJun 30, 2023
@manelu_de @anneroth
SAML ist für große Firmen, meine ich. Zu teuer. Ich würde nichts neues darauf aufbauen
Show threadManuelJun 30, 2023

@AxelNennker @anneroth
Du wirst Dich wundern... SAML (mit Shibboleth als Referenz-Implementierung) ist bei Hochschulen weltweit seit 20 Jahren zum Login an Verlagsangeboten im Dauereinsatz. Es verdrängt dort zunehmend die Authentifizierung per IP-Adresse / VPN.

Parallel dazu hat sich OpenID Connect (OIDC) am Markt etabliert und kommt allmählich auch bei den Hochschulen an.

Funktionsumfang ist vergleichbar: Das Nutzerkonto Bund baut primär auf SAML, die Schulportale der Länder können beides.

Show threadAxel NennkerJun 30, 2023
@manelu_de Nein, wundert mich nicht. In einem früheren Leben war ich Mitglied der SAML WG in OASIS
Show threadManuel

@AxelNennker Oh, ich verneige mich! Hab vor 10-12 Jahren öfter mal in die Spezifikationen geschaut & die ein oder andere Shibboleth-IdP-Erweiterung selbst programmiert.

Wie gesagt, im Hochschulkontext ist Shibboleth/SAML weiterhin Gang und Gäbe, es wird auch zunehmend zum hochschulübergreifenden Login genutzt.

Problematisch wird es eigentlich erst, wenn Service Provider alternative SAML-Implementierungen (außer Shibboleth) nutzen, die nicht den vollständigen Funktionsumfang abdecken. 🤷

Jun 30, 2023 at 8:46amWeb
Show threadAxel NennkerJun 30, 2023

@manelu_de Hilfe, ich fürchte wir betreten nun die alte, weiße Männer erzählen vom Krieg Phase. 🙂 Anyway

Bin ganz froh, dass ich opensaml nur indirekt wegen des Governikus Autent SDK "nutze".
Im Bereich "government issued identity" würde ich lieber dem italienischen OpenID Federation Beispiel folgen als irgendwas mit SAML <hust>Stork</hust>
https://indico.geant.org/event/1/contributions/14/attachments/15/94/OIDCfed_TNC22-2-combined.pdf

Show threadManuelJun 30, 2023
@AxelNennker Klingt auf jeden Fall nach dem Weg der Zukunft... Möge das bessere Protokoll gewinnen! 😁