edu-ID Meeting 29.1.2021

(zurück zur Übersicht)
Videokonferenz, 10:30-12:00

Thema: Levels of Assurance, Verlässlichkeit (Fortsetzung)

Materialien und Stand der Diskussion: letztes Meeting

Weitere Materialien

Hausaufgaben

Wie sind in den einzelnen Heimateinrichtungen die Anforderungen an die Datenqualität (insbesondere beim Onboarding)?
Einige Beispiele:

  • Bewerbung per beglaubigter Zeugniskopie, die als Scan hochgeladen wird. Aussage Studierendensekretariat: “Das reicht aus”, bei der Prüfung werden ja die Ausweise überprüft.
  • Dokumente werden per Post an die angegebene Adresse verschickt. Wenn die ankommen, sind die Daten wohl korrekt

Fragen:

  • Datenübermittlung per AusweisApp? Meist zu teuer und zu viel Aufwand, außerdem naturgemäß nur für deutsche Staatsangehörige
  • Wünschenswert wären aber tatsächlich elektronische Identitätsnachweise

Betrachtungen einzelner Use Cases

Umsetzung in der ersten Ausbaustufe: 3.6, 3.7, 3.10

  • 3.6 Nationallizenzen
    • Informationen über vorhandenen Wohnsitz in Deutschland
      • Unverifiziert, direkt vom Benutzer angegeben
      • Verifiziert, z.B. durch Challenge-Response-Verfahren
        • Falls schon anderweitig verifiziert, auch gut, weil dann kein weiteres CR durchgeführt werden muss
        • z.B. durch Meldeadresse aus eIDAS
          • Problematik bei eIDAS Level „Niedrig“
          • Eventuell bei den Heimateinrichtungen nachfragen, welches Level aus eIDAS ausreichend für die Verifikation der Adresse wäre
  • „Onboarding“ Bewerbungen bzw. Vermeiden von Doppelbewerbungen
    • Sind meine Daten gut genug, dass ich sie benutzen kann?
      • Was bedeutet „Gut genug“?
      • Wenn die Daten nochmal durch die Einrichtung selbst verifiziert werden müssen, wird keine hohe Akzeptanz durch die Studierendensekretariate vorhanden sein
      • wahrscheinlich würde selbst eIDAS Niedrig ausreichen, solange die Daten „irgendwie“ geprüft und korrekt sind
      • Alternative wäre Prüfung durch eine Einrichtung, mit anschließender Auszeichnung, ob und wie Daten geprüft wurden
  • „Andere UseCases“
    • Verifiziert++ (Platzhalter für besondere Use Cases)
    • verifiziert durch ein besonders sicheres, noch zu definierendes Verfahren

Fragen:

  • verifziert - vs. nicht verifiziert
  • verifiziert durch wen
  • verifiziert wann?
  • mit welchem verfahren? → Taxonomie?
  • LoA-Info als Attribut an jeweiliges Attribut hängen und Einrichtung (→ Identifier?) auswerten und selbst entscheiden lassen, ob das ausreicht

Neue Hausaufgaben

  • Kann sich eine ausländische „AusweisApp“ an einem deutschen Dienst authentifizieren?
  • Kann die deutsche AusweisApp nicht-deutsche Ausweispapiere auslesen?
  • Versuch eines Mappings von eIDAS Levels auf „edu-ID Levels“?

Fortsetzung folgt

  • Zuletzt geändert: vor 3 Jahren