Liberty Alliance ble etablert i september 2001 med det formål å etablere en åpen standard for samordnet (også kalt federatet/føderert) digital ID i nettverk. På vanlige norsk betyr dette en helhetlig, felles standard som kan brukes på alle nettsteder.
Alliansen vil nå dette målet, ved å utvikle tekniske spesifikasjoner som støtter et bredt spekter av identitetsbaserte programvare og utstyr. Bak alliansen står det mer enn 150 bedrifter og organisasjoner, inkludert IBM, HP, Intel, Oracle og Sun, Nokia og Ericsson, American Express, General Motors, flere store postverk og en rekke store teleselskap - men ikke Microsoft.
Som første norske selskap har nå Kantega (tidligere Numerica/Mogul) blitt med i Liberty Alliance, som arbeider utelukkende med webføderasjoner.
Her gir det norske IT-sikkerhetsselskapet, på invitasjon fra digi.no, en gjennomgang av muligheter og konsekvenser for Liberty-standardene:
Avdelingsleder Gunnar Nordseth forteller at Kantega går inn i Liberty fordi tiden er moden for å innføre webføderasjonsløsninger i Norge. Diskusjonen om løsninger er svært aktuell, for i 2005 går startskuddet i Norge for masseutrulling av digitale sertifikat. De norske bankene planlegger å dele ut over to millioner BankID-sertifikat til norske borgere i løpet av de neste årene. I tillegg kommer satsningen på Buypass-sertifikater fra Norsk Tipping, som har tilsvarende ambisiøse mål som BankID. Dermed vil den første av to viktige forutsetninger for en føderert identitet på nettet være på plass. Den andre forutsetningen er at standarder for webføderasjoner blir tatt i bruk.
Dagens situasjon medfører store kostnader for alle parter: Brukere må registrere seg på hvert eneste nettsted. De har flere forskjellige brukerkontoer, og må vedlikeholde sin personlige informasjon på isolerte nettsteder og systemer. Gjennomsnittsbrukeren i Norge må huske 15 – 20 forskjellige passord. At hvert nettsted og selskap må drifte sin egen sikkerhetsplattform er også kostbart.
Det er kostbart, vanskelig, tidkrevende og i noen tilfelle umulig å forbinde disse systemene. Selv om digitale sertifikat reduserer behovet for å huske brukernavn og passord, vil brukerne fremdeles være nødt til å administrere sine personlige opplysninger på hvert enkelt nettsted. Resultatet er redusert overskudd for virksomheter, svakere sikkerhet og frustrerte brukere.
Føderert identitet kan løse disse problemene. Liberty Alliance har utviklet standarder som gjør det mulig for brukere å knytte sammen brukerkonti mellom nettsteder. I en føderert nettverden, kan en bruker logge seg inn i nettbanken sin, og navigere videre til flyselskapets hjemmeside for å kjøpe billetter. Identiteten bringes med fra innloggingen i nettbanken, og det er også mulig å ta med annen informasjon, som for eksempel hvilket betalingsmiddel brukeren foretrekker.
Overføring av personlig informasjon mellom nettsteder er et av scenarioene som adresseres av Liberty-standardene. Noen av de andre scenarioene som Liberty dekker er Web Single Sign-on, Global Log-out og anonymisert lenking mellom nettsteder.
En brukers drøm om en føderert nettverden med fri flyt av personinformasjon, er en annen brukers mareritt om sviktende personvern og ”Storebror ser deg”. Strenge krav til personvern har lenge vært noe vi har forbundet med norsk IT-virkelighet, men resten av verden kommer etter. Både i EU og USA kommer sterkere krav til personvern. Liberty Alliance har forutsett denne utviklingen i sine standarder. Brukerkontroll er derfor sentralt i alle standarder som lar nettsteder utveksle personalia.
Digitale sertifikater som BankID og Buypass passer som hånd i hanske med føderasjonsstandarder som Liberty. Føderering mellom uavhengige virksomheter må bygge på en plattform av tillit, og PKI (krypteringssystemer med offentlige og private nøkler) med nasjonal utbredelse vil være denne plattformen.
Men hva med nettsteder utenfor Norge? Det er mange som kjøper varer og tjenester på amerikanske og andre utenlandske nettsteder. Vil det bli mulig å logge inn med BankID på et norsk nettsted, og navigere videre til et amerikansk nettsted uten ny innlogging?
Dette handler til syvende og sist om tillit. Det nettstedet som tar i mot brukeren må ha tillit til at det nettstedet som autentiserte brukeren gjorde dette på en forsvarlig måte. Her hjelper standarder som Liberty oss et stykke på vei, men det siste stykket av veien må brolegges med gjensidige avtaler og andre måter å etablere tillit på.
