Hej
Jag har funderat lite sedan första träffen över jitsi 15 september.
Vägen framåt bör vara via en gemensam problembeskrivning. Om vi jobbar
på med lösningar eller förslag men helt olika problembeskrivningar som
grund så har jag svårt att se att vi tar det i mål. För mig handlar
det om tre saker.
1) Maktlöshet
Propertiära lösningar som existerar idag begränsar mig som användare
till specifika tekniska plattformar och applikationer. Jag har inte
möjlighet att välja varken annan plattform eller applikation.
2) Tillit i olika sammanhang
Autentisering mellan två eller flera parter bygger på tillit, oftast
till en tredjepart som verifierar en eller alla parters identitet. När
jag besöker sjukvården vill inte jag autentisera mig gentemot
bankerna, det är helt fel tredjepart att autentisera sig mot i det
sammanhanget. I andra sammanhang så som köp av bostad kanske bankerna
är bästa tredjepart att autentisera mig och min motpart.
3) Motståndskraft / Återhämntningskraft (Resilience)
Jag vill inte ha en framtid där en aktör är ensam om autentisering.
Det blir för stor risk i vardagen om den aktören får problem att
autentisera. Alla användare måste ha flera alternativ.
Jag har försökt summera mina problembeskrivningar så kortfattat som
möjligt ovanför. Jag tänker mig att någon gång innan jul kanske vi kan
få ihop en gemensam problembeskrivning för projektet.
Med vänlig hälsning
--
Christoffer Holmstedt
Listan för diskussion om fri och öppen e-legitimation är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: https://lists.dfri.se/eleg-projekt/
Hej!
Mötet med MyData Sweden var ju i oktober men jag har inte hunnit
renskriva mötesanteckningarna förrän nu. Här kommer de, bättre sent än
aldrig, det var mycket intressanta saker som togs upp:
-----------------------------------------------------------------
Anteckningar från möte om e-legitimation med MyData Sweden, 20 okt 2021
-----------------------------------------------------------------
Jag pratade med två representanter för MyData Sweden
(https://mydata.org/sweden/): Fredrik Lindén och Patrik Andersson
Anteckningar:
Myndigheter och andra organisationer som kan vara relevanta:
- DIGG: Myndigheten för digital förvaltning -- https://www.digg.se/
- Integritetsskyddsmyndigheten (IMY) -- http://www.imy.se/ (hette
tidigare Datainspektionen)
- RISE Research Institutes of Sweden AB (RISE) -- https://www.ri.se/
(statligt forskningsinstitut)
Apropå SSI (Self-Sovereign Identity) ska tydligen DIGG ha fått ansvar
för att ta fram en SSI-lösning som skulle använda blockkedjeteknik
(Ethereum). Det vore intressant att få veta mer om det.
Myndigheten DIGG är en väldigt viktig aktör, tyvärr verkar de inte ha
tillräckligt med resurser och kapacitet med tanke på hur viktigt deras
uppdrag är.
Jag försökte hitta något om hur DIGG ser på SSI och hittade det här:
"Single Digital Gateway - en katalysator för eID och betrodda tjänster i
Europa":
https://pts.se/contentassets/663dd88e7a724f5f9bb6bf53ada10dd3/forum-10-juni…
-- där står bl.a.: "Framtida tekniska vägval kring EU wallets med
inriktning mot SSI (Self-Sovereign Identity) och MyData innebär en helt
annan individcentrerad utgångspunkt [...]"
MyData Sweden vill se fokus på SSI i stället för federerad lösning.
Det gjordes en bra utredning för ca 10 år sedan som påpekade problem med
Telias id-lösning.
World Wide Web Consortium (W3C) har tagit fasta på SSI genom en
rekommendation om "Verifiable Credentials":
https://www.w3.org/TR/vc-data-model/
Det här är bra, men Google och Apple har protesterat mot det, de vill
väl ha centralisering i stället genom system de kontrollerar, och
tydligen har Google och Apple fått med sig Mozilla. I alla fall är det
mycket bra att W3C håller på att standardisera Verifiable Credentials,
det bör ge bättre förutsättningar för att kunna få till decentraliserade
lösningar baserade på öppna standarder. Vi kan hoppas att Google och
Apple inte lyckas stoppa det.
European Blockchain Services Infrastructure (EBSI) är också intressant
apropå SSI och verifiable credentials:
https://ec.europa.eu/info/news/ebsi-first-eu-wide-blockchain-infrastructure…
Estland har redan nu en SSI-liknande lösning för e-legitimation:
https://en.wikipedia.org/wiki/Estonian_identity_card
Det verkar väldigt intressant, kan Sverige göra något liknande?
Andra länder som kan vara intressanta när det gäller SSI: Italien,
Belgien, Holland.
Inom akademin finns intresse i Spanien, Portugal, Slovenien.
I Tyskland finns intresse i den privata sektorn, bland annat BMW.
I Norge finns privata aktörer som använder SSI-lösningar för
aktieägarbevis eller liknande.
I Singapore finns också privata SSI-lösningar.
Ett argument för SSI är att samhällskritisk infrastruktur bör vara
robust och oberoende.
Joel Torstensson är en kunnig person i de här frågorna, bland annat när
det gäller förslagen som W3C kommit med.
Rebooting Web-of-Trust: http://www.weboftrust.info/ (Christian Lundkvist
bland andra)
Vi pratade lite om fri/öppen vs stängd källkod, ett exempel på öppen kod
för "single-sign on" är Keycloak: https://www.keycloak.org/ (men det är
nog inte riktigt vad vi är ute efter, kanske intressant ändå)
Intressant evenemang apropå fri/öppen källkod är "foss-north":
https://foss-north.se/
När det gäller SSI finns olika varianter av Decentralized Identifiers
(DIDs), olika så kallade DID-metoder. Valet av DID-metod kan vara
viktigt. Olika aktörer vill försöka dominera genom att äga olika
namespaces för DIDs.
Johan Magnusson är en forskare vid Göteborgs universitet som jobbat
kring digitalisering och bland annat pekat på problem med inlåsning, här
är en artikel som verkar intressant: "Blockchain-Based Electronic
Identification: Cross-Country Comparison of Six Design Choices":
https://gup.ub.gu.se/publication/278627
Standardiseringen av "Verifiable Credentials" mm som W3C gör är bra!
Vi behöver kommunicera på två fronter: dels prata med myndigheter, dels
med enskilda för att få fler att uppmärksamma problemet. En sak vi kan
fundera på är om vi i DFRI-projektet skulle kunna skriva debattartiklar
eller liknande tillsammans med MyData Sweden.
--- slut på mötesanteckningarna ---
/ Elias
Listan för diskussion om fri och öppen e-legitimation är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: https://lists.dfri.se/eleg-projekt/