Eleg-projekt October 2021

eleg-projekt@lists.dfri.se

8 participants
4 discussions

Skiss av hur en fri och öppen e-leg-lösning skulle kunna fungera
by Elias Rudberg 13 Dec '21

13 Dec '21

Hej alla på eleg-projekt-listan! Nu när vi har en egen lista för projektet tänker jag att det är lika bra att sätta igång och diskutera. :-) Den här listan arkiveras och publiceras öppet precis som den vanliga DFRI-listan men nu är det ju bara vi som valt att vara med i projektet som är prenumeranter på listan så vi behöver inte oroa oss för att störa folk som inte är intresserade. Den som är med på den här listan får skylla sig själv. Jag har skrivit en liten skiss av hur jag tänker att ett e-leg-system skulle kunna fungera, och jag vill gärna höra vad ni tänker om det. Observera att det här nu bara är mina egna tankar, kan vara helt fel tänkt, jag vill bara börja bolla såna här saker med er. Det hela bygger på asymmetrisk kryptering, "public-key cryptography". Vi tänker oss att staten utfärdar e-legitimation till en person genom en procedur där personen själv skapar ett nyckelpar (publik+privat nyckel) och staten bokför den publika nyckeln. Staten sparar alltså informationen om att personen som heter Svea Svensson med personnummer 12345678 har e-legitimation med den här publika nyckeln. Staten skapar också en "eleg-cert-fil", ett digitalt dokument som säger samma sak, alltså att Svea Svensson med personnummer 12345678 har e-legitimation med den här publika nyckeln. Staten lägger till en elektronisk signatur i eleg-cert-filen med hjälp av statens privata nyckel och ger sedan en kopia av eleg-cert-filen till Svea. Poängen med det här är att Svea senare kan visa upp eleg-cert-filen för en tredje part och den tredje parten kan då veta att just den publika nyckeln hör till Svea Svensson med personnummer 12345678. Efter att staten utfärdat e-legitimationen till Svea har hon alltså sin privata nyckel och sin eleg-cert-fil. De två delarna tillsammans utgör hennes e-legitimation. Hon kan visa eleg-cert-filen för andra när hon vill, men sin privata nyckel visar hon aldrig för någon annan. Nu tänker vi oss att Svea vill använda sin e-legitimationen till att bevisa sin identitet för en tredje part, t.ex. företaget TredjePart som behöver identifiera sina kunder. Kommunikationen sker i en krypterad kanal t.ex. via HTTPS (TLS). Svea skickar först sin eleg-cert-fil till TredjePart och säger därmed "jag är Svea Svensson med personnummer 12345678". TredjePart vet i det läget inte om det verkligen är Svea eller om det är någon annan som skickat eleg-cert-filen, men Svea kan bevisa det genom att utföra operationer som bara är möjliga för den som har hennes privata nyckel. TredjePart skickar en utmaning till Svea som bara går att svara på för den som har Sveas privata nyckel. En bedragare som kommit över eleg-cert-filen kommer alltså att misslyckas här, men Svea själv kan övertyga TredjePart tack vara att hon har sin privata nyckel. Staten behöver kunna återkalla en tidigare utfärdad e-legitimationen, till exempel om det befaras att den privata nyckeln kan komma i orätta händer. Ett sätt att hantera det är att staten har en publik lista (revocation list) över återkallade e-leg i form av de publika nycklarna. Alla som verifierar e-leg behöver kolla mot den listan när någon använder ett e-leg för att säkerställa att det inte har återkallats. Det kan också behövas ett sätt att begränsa giltighetstiden för utfärdade e-leg. Det kan hanteras genom att ett sista datum skrivs i eleg-cert-filen. Systemet kan bygga helt på öppna standarder, det enda som är hemligt är de privata nycklarna (statens och individens). Hanteringen av individens privata nyckel är förstås väldigt viktig. Det är bara individen själv som har nyckeln och har ansvaret att förvara den säkert. Individen har själv kontroll. Olika företag kan tävla om att erbjuda olika säkra lösningar (hårdvara+mjukvara) som individen kan välja att använda men individen har också friheten att välja att göra på sitt eget sätt. Om man vill beskriva det här med termer som brukar användas kring Self-sovereign identity (SSI), i så fall är eleg-cert-filen en "verifiable credential", staten är "issuer", individen är "holder" och tredje part är "verifier". Vad tror ni, är jag helt ute och cyklar eller kan något i den här stilen vara möjligt? Har jag missat något viktigt, i så fall vad? Vänliga hälsningar Elias Listan för diskussion om fri och öppen e-legitimation är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/eleg-projekt/

5 8

Sidospår
by Mikael Odhage 31 Oct '21

31 Oct '21

Hej listan! Jag har funderat lite ett tag på nåt som skulle kunna bli ett projekt med rötter i detta projekt. Ska se om jag kan förklara lite. Nu när man är "kund" eller liknande hos nån, tex ens teleoperatör, så har man en inloggning till "mina sidor" eller liknande. Det har man alltså på många ställen ... Det är som en profilsida där man utbyter information med stället där man har "sin" sida. Den här sidan som de säger är min är ju egentligen deras. Jag har mycket begränsad möjlighet till kontroll av vad de gör med vad som finns på min sida. Och eftersom det är så här på många ställen så måste jag röra mig till alla dessa ställen för att försöka få en samlad bild av vilken information jag ger om mig själv till vem eller vilka. (Olika inloggningar överallt ... puh) Tänk om jag hade en egen profilsida med kontroll över vilken information jag ger till och får av vem och en samlad inkorg (ev med pekning till min ordinarie epost) för digital brevlåda. Bara ett ställe att gå till! Behöver jag ändra nåt så gör jag det bara på ett ställe. Jag skulle kunna hosta min profilsida själv eller på annat sätt. Den skulle ju kunna vara kopplad till en e-legitimation som fungerar så som vi skissar här. Så att de skulle kunna vara trygga med att det är jag som har den profilsidan. Det skulle kunna underlätta även för dem då de inte behöver ha så stora system själva, utan det räcker med en säker kanal till mig. I det som de ser på min sida kan finnas företagsspecifika saker. Det skulle också möjliggöra att jag kan styra vilken access de kan få till vilken information. jag är inte heller beroende av deras säkerhetssystem. De behöver inte vara rädda för att skadlig kod släpper ut info om alla alla sina kunder. Är detta en utopi? Skulle det vara görligt att med e-legens hjälp hänvisa nån som vill att jag har en "mina sidor" till min profilsida istället? Har jag överhuvudtaget gjort mig begriplig? -- Vänliga hälsningar Mikael Odhage tel: 0046(0)709933651 SIP: sessrum(a)ekiga.net Jami: mikaelodhage Jabber/XMPP: mikaelodhage(a)dabber.de Matrix: @odhageM:matrix.org Diaspora: odhage(a)joindiaspora.com (https://joindiaspora.com/people/97c047d773e817e0) Listan för diskussion om fri och öppen e-legitimation är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/eleg-projekt/

4 5

Projekt-introduktion på engelska
by Elias Rudberg 08 Oct '21

08 Oct '21

Hej! Jag lade upp en sida med "Project introduction" på engelska, här: https://www.dfri.se/projekt/e-legitimation/project-introduction-in-english/ (Texten är i stort sett en översättning av det här tidigare inlägget på DFRI-listan: https://lists.dfri.se/listan/msg01875.html) Tänkte att det kan vara bra att ha något på engelska att peka på när man pratar med folk i andra länder om det här. Jag skickade länken till EDRi (https://edri.org/) och hoppas få någon kommentar från dem. Har någon förslag på andra organisationer och/eller personer i Europa (eller längre bort) som kan vara relevant att diskutera med? I så fall, ta gärna kontakt med dem själv, eller tipsa här, eller både och! / Elias Listan för diskussion om fri och öppen e-legitimation är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/eleg-projekt/

1 0

[eleg-projekt]
by Patrik Wallstrom 06 Oct '21

06 Oct '21

Listan för diskussion om fri och öppen e-legitimation är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/eleg-projekt/

1 0

2024

2023

2022

2021

Eleg-projekt October 2021