Hvordan sikrer man eIDAS 2.0-identitetspunge?
Forestil dig at kunne bevise hvem du er, hvad du har ret til, og hvorfor du skal have adgang - alt sammen fra din smartphone, lige så gnidningsfrit som når du betaler med MobilePay. Det er visionen bag den kommende EUDI Wallet, der med eIDAS 2.0 skal give 450 millioner europæere en fælles, digital identitetspung til alt fra banklog-on og biludlejning til recepthentning og skattemappe. Men med store muligheder følger store risici - og endnu større sikkerhedskrav.
I takt med at phishing 2.0, device-hijacking og tracking truer den digitale hverdag, spørger både udviklere, beslutningstagere og helt almindelige borgere:
Hvordan gør vi den digitale pung lige så sikker - og privat - som den fysiske?
Denne artikel dykker ned i grundlaget, trusselsbilledet og de regulatoriske krav bag eIDAS 2.0, før vi folder de tekniske, organisatoriske og brugercentrerede tiltag ud, der skal forvandle lovtekst og standarder til tillid i praksis. Undervejs møder du begreber som W3C Verifiable Credentials, OpenID4VC, zero-knowledge-beviser og hardwareforankret nøglebeskyttelse - men også helt jordnære emner som PIN-koder, miste-telefonen-scenarier og UX, der faktisk giver mening for både borger og verifikator.
Uanset om du er CISO, app-udvikler, jurist eller bare nysgerrig på Fremtidens IT, får du her konkrete svar på:
- Hvilke aktører og standarder udgør tillidsinfrastrukturen bag EUDI Wallet’en?
- Hvilke nye angrebsvinkler - fra verifikator-i-midten til wallet-kloning - skal vi beskytte os imod?
- Hvordan kombinerer vi Privacy-by-Design med forsvar i dybden, så borgerens data forbliver borgerens?
- Hvad kræver det at leve op til NIS2, ETSI-standarder og EU’s krav til kvalificerede tillidstjenester?
Klar til et dybdedyk, der kobler lovgivning og kryptografi med brugeroplevelse og drift? Så spænd sikkerhedsbæltet - din digitale identitetspung venter.
Grundlag, trusselsbillede og regulatoriske krav for eIDAS 2.0-identitetspunge
EU’s reviderede eIDAS-forordning (2.0) sætter de juridiske rammer for den kommende European Digital Identity Wallet (EUDI Wallet). For at kunne diskutere sikringskravene er det nødvendigt først at forstå de involverede aktører, den tekniske tillidsmodel og de regulatoriske sikkerhedsmekanismer – samt de trusler, som pungen skal stå imod.
1. Aktører, roller og tillidskæde
| Aktør | Hovedopgave | Relevante regler/standarder |
|---|---|---|
| Udsteder (Issuer) | Opretter og signerer Verifiable Credentials (VC’er) med garanteret identitet/attributter. | ETSI EN 319 411-2 (QCert), ISO 18013-5/-7 (mDL), OpenID4VCI |
| Indehaver (Holder) | Kontrollerer walleten og beslutter, hvad der videregives-til-hvem. | ARF/Toolbox UX-krav, GDPR samtykke, SIOPv2 |
| Verifikator (Relying Party) | Modtager og validerer præsentationer; må kun bede om nødvendige data. | OpenID4VP, eIDAS artikel 6a (offentlig sektor), NIS2 |
| Qualified Trust Service Provider (QTSP) | Leverer kvalificerede certifikater, remote QSCD’er og tidsstempler; er optaget på EU Trust List (EUTL). | eIDAS kapitel III, ETSI EN 319 4xx & 5xx |
Kernen i tillidsinfrastrukturen er EUTL, som lister alle QTSP’er, deres certifikater og tjenestetyper. Wallet-apps og backend-services validerer signaturkæder mod denne liste, hvilket muliggør grænseoverskridende tillid.
2. Sikkerhedsniveauer og kvalificerede tjenester
- Niveau “Lav” - minimale krav; primært til oplysninger med lav risiko.
- Niveau “Betydeligt” - kræver multifaktor-autentificering og hardware-beskyttet nøgleforvaring.
- Niveau “Højt” (High) - tilsigtet til borgeridentitet og adgang til kritiske tjenester; kræver kvalificeret elektronisk signatur-/stempling og certificeret QSCD (lokalt eller “remote”).
eIDAS 2.0 udvider begrebet qualified trust services med bl.a. “Qualified Electronic Attestation of Attributes” (QEAA), som skal kunne udstedes, lagres og fremvises fra en EUDI Wallet.
3. Centrale tekniske standarder (arf/toolbox)
- W3C Verifiable Credentials (VC) – datamodel for attesteringer.
- OpenID for Verifiable Credential Issuance (4VCI) og OpenID for Verifiable Presentations (4VP) – flows for henholdsvis udstedelse og fremvisning.
- SIOPv2 – wallet-centreret OpenID-flow, hvor indehaveren autentificerer sig direkte til verifikatoren.
- ISO 18013-5/-7 – format og offline-protokol for mobile Driving Licence (mDL); basismønster for andre mobile ID’er.
- ETSI EN 319 4xx/5xx – krav til kvalificerede e-signaturer/stempler, (remote) QSCD’er og tidsstempling.
Disse specifikationer samles i Kommissionens Architecture Reference Framework (ARF) og den tilhørende Toolbox, som medlemslandene skal implementere for at opnå interoperabilitet.
4. Trusselsbilledet for eudi wallets
-
Phishing og “verifikator-i-midten”
Angriberen udgiver sig for at være en legitim tjeneste og lokker brugeren til at dele credentials; især farligt ved QR-kode-scanninger. -
Korrelations- og tracking-angreb
Hvis faste wallet-identifikatorer genbruges, kan verifikatorer sammenkæde transaktioner og profilere borgeren. -
Credential-tyveri og wallet-kloning
Udnyttelse af svage PIN-koder, manglende hardware-binding eller kompromitterede backup-mekanismer. -
Kompromitterede enheder
Root/jailbreak, key-loggers eller on-device malware kan omgå biometrik og stjæle nøgler. -
Forsyningskæde & app-opdateringer
Indsprøjtning af ondsindet kode i udviklingsprocessen eller via falske/opdaterede APK’er. -
Backend-brud
Læk af udsteders private keys, brugerprofildata eller revokationslister underminerer tillid globalt. -
Misbrug af status-/revokationsmekanismer
DDoS eller forfalskning af Status List 2021, OCSP eller CRL kan gøre gyldige credentials ugyldige – eller omvendt.
5. Privatlivskraver og grænseoverskridende interoperabilitet
For at efterleve GDPR og eIDAS kræves privacy-by-design:
- Dataminimering – kun nødvendige attributter præsenteres.
- Unlinkability – parvise pseudonymer og skiftende DID’er, så verifikatorer ikke kan “kæde” transaktioner.
- Selektiv afsløring og Zero-Knowledge Proofs (f.eks. BBS+ eller SD-JWT VC).
EUDI Walleten skal fungere i alle medlemsstater – selv når nationale infrastrukturer benytter forskellige kryptoprofiler eller sprog. Derfor kræver Kommissionen:
- Fælles semantiske datamodeller (CORE Vocabularies, eIDAS SAML-profiler revideret til VC-format).
- Konformitetstests og certificering af både wallet-apps og bagvedliggende tjenester.
- Tilpasning til lokale tillidsankere (e.g. landespecifikke QTSP’er) gennem dynamisk download af EUTL.
Dette grundlag og trusselsbillede danner udgangspunktet for de konkrete tekniske, organisatoriske og brugercentrerede sikringstiltag, som vi behandler i næste afsnit.
Tekniske, organisatoriske og brugercentrerede sikringstiltag
Det første forsvarslag er at sikre, at private nøgler aldrig forlader enheden i klartekst:
- Secure Element (SE) eller Trusted Execution Environment (TEE) på mobiltelefoner beskytter nøgler mod malware og fysisk angreb.
- Remote QSCD-modellen: nøgler ligger i HSM’er hos en kvalificeret tillidstjensteudbyder (QTSP) og aktiveres via PSD2-lignende strong customer authentication (SCA).
- Enhedsattestation (f.eks. Android Keystore Attestation, Apple DeviceCheck) sender bevis for, at hardwaren er intakt og certificeret, før wallet-appen må udstede eller bruge nøgler.
- Kun FIPS 140-2/3- eller CC EAL4+-certificeret hardware bør indgå i høj-/betroet-niveau-wallets.
Nøglelivscyklus & genopretning
- Nøglegenerering: Lokalt i SE/TEE eller centralt i QSCD-HSM.
- Rotation: Automatisk ved udløb eller ved mistanke om kompromittering; understøt crypto-agility (f.eks. overgang til post-kvante-algoritmer).
-
Backup & migration:
- On-device QSCD: backup via krypteret escrow i cloud med bruger-kontrolleret passphrase.
- Remote QSCD: logisk migration håndteres af QTSP, men kræver ny attestation af ny enhed.
- Mistet/stjålet enhed: «Kill switch» der nulstiller nøgler, spærrer wallet og markerer relevante credentials som suspenderede på Status List 2021.
Stærk autentificering af brugeren
| Factor | Eksempel | Sikring mod |
|---|---|---|
| Viden | 6-cifret PIN, KDF-hærdet | Skulning via anti-shoulder-surfing |
| Inhærens | Fingerprint, FaceID | Replay via liveness-detection |
| Possession | SE/TEE attest | Klone-angreb |
PIN + biometrik giver AAL3-styrke. Fail-over til PUK/enhedsadministrator ved lås-out.
Kryptografi & protokoller
- End-to-end-kryptering (E2EE) mellem wallet og udsteder/verifikator over OpenID4VCI/4VP med DPoP eller mTLS.
-
Selektiv afsløring og zero-knowledge-beviser:
- BBS+ eller CL-signaturer til unlinkable presentations.
- Selective Disclosure JWT VC (SD-JWT VC) for bagudkompatibilitet med eksisterende JWT-infrastruktur.
- Post-kvantemodstand: Hybride certifikater (X25519 + Kyber) som anbefalet i ARF.
Offline-verificering & sikker tidsstempling
EUDI Wallet’en skal kunne fremvise mobile credentials i fly-mode:
- ISO 18013-7 NFC-modus med Ephemeral Device Key.
- QR-koder bundet til detached signatures og COSE countersignatures.
- Sikker tidsstempling (ETSI TS 119 441) i presentation for at forhindre replay.
Udstedelse, status & tilbagekaldelse
- OCSP/CRL for kvalificerede certifikater (QSCD).
- W3C Status List 2021 eller «revocation bitmap» for VCs - hostes redundant via CDN og IPFS.
- Graceful-degradation: Wallet’en må acceptere cacheret status i 24 timer for at sikre availability.
Privacy-by-design
- Parvise pseudonymer (pairwise DIDs) mod korrelation på tværs af tjenester.
- Samtykke-UX: Granulær valg af attributter; just-in-time notice.
- On-device behandling: Validering og ZK-proofs sker uden backend-call.
- DPIA & GDPR-logning: Kun hashede/pseudonymiserede hændelseslog-data lagres centralt.
Forsvar i dybden - App, backend & forsyningskæde
- App-hardening: Code-obfuscation, anti-debug, anti-frida, RASP.
- Root/jailbreak-detektion med multiple checks og attestation binding.
- Sikker opdateringskæde: Signed OTA, rollback-protection, reproducible builds.
- SBOM & supply-chain-kontroller: Cypress, Log4j-scanning, 3rd-party dependency review.
Kvalitetssikring & test
Integrér sikkerhed i SDLC:
- Threat-modellering (STRIDE for funktionel sikkerhed, LINDDUN for privatliv).
- SAST/DAST/IAST i CI-pipeline.
- Pen-tests mindst halvårligt + kontinuerligt bug bounty-program.
- Fuld conformance testing mod ARF Toolbox Reference Conformance Suite.
Drift & governance
- SIEM og tamper-evident logs med WORM-storage; log-signering via ETSI EN 319 522.
- Hændelsesrespons: 24/7 CSIRT, playbooks for credential-tyveri og verifikator-kompromittering.
- NIS2, ISO 27001/27701 samt ETSI EN 319 401/411 for QTSP-delen.
- Årlig certificering hos CAB og løbende selv-assessment mod EUDI Wallet Conformity Assessment Scheme.
Brugervenlighed, tilgængelighed & uddannelse
- Klar samtykke-UX: WCAG 2.2 AA, læsevenlige ikoner og «privacy nutrition label».
- Fejl-tolerant genopretning: Step-by-step guide, backup-koder, support-chatbot.
- Uddannelsesmateriale til borgere: korte video-tutorials, phishing-quiz, senior-mode.
- Verifikator-træning: e-læring, API-sandbox, red flags for spoofed wallets.
Sammenlagt etablerer disse tekniske, organisatoriske og brugercentrerede kontroller et helhedsorienteret sikkerheds- og privatlivs-forsvar, der kan bære eIDAS 2.0-identitetspungen fra proof-of-concept til masseudrulning på tværs af EU.
Indholdsfortegnelse
- Grundlag, trusselsbillede og regulatoriske krav for eIDAS 2.0-identitetspunge
- 1. Aktører, roller og tillidskæde
- 2. Sikkerhedsniveauer og kvalificerede tjenester
- 3. Centrale tekniske standarder (arf/toolbox)
- 4. Trusselsbilledet for eudi wallets
- 5. Privatlivskraver og grænseoverskridende interoperabilitet
- Tekniske, organisatoriske og brugercentrerede sikringstiltag
- Nøglelivscyklus & genopretning
- Stærk autentificering af brugeren
- Kryptografi & protokoller
- Offline-verificering & sikker tidsstempling
- Udstedelse, status & tilbagekaldelse
- Privacy-by-design
- Forsvar i dybden - App, backend & forsyningskæde
- Kvalitetssikring & test
- Drift & governance
- Brugervenlighed, tilgængelighed & uddannelse