Hej,
Jag har tjattat med en kontakt som kan vara intresserad av att använda
https://www.w3.org/TR/did-core/ - kan det vara något för att bygga FOSS
decentraliserad e-legitimation. Kan det vara något att göra en Proof of
Concept med? Kanske personen eller kollega kommer in här med intro.
Jag är också med i https://www.w3.org/community/nordic-data/ som
Internetstiftelsen.se startat. I sin linda men kanske en bra koppling
till just Internetstiftelsen som borde gilla https://www.w3.org/TR/did-core/
Är det någon som varit i kontakt med DIGGs utredare ännu? Känns som att
det vore intressant att ta del av utredningen tittar på för underlag,
vilka de pratar med. Det här projektet bör väl ha kontakt med den personen?
Mvh,
Mattias
--
DFRI.se
Mastodon: https://mastodon.social/@dfri
Hej Eleg-projektet (cc Anders och Erik vid Truid.app),
Jag blev kontaktad av Truid.app tack vare er fina insats med
debattartikel i DN. Anders, på Truid.app, bad mig skicka kopia till
honom och deras teknikchef Erik på denna tråd. Kul om de kan få kopia på
svar genom tråden. Jag tänkte att frågorna kanske har kommit upp
tidigare men att de kanske kan hjälpa utveckla information om projektet
och kristallisera tydligare svar på det Anders undrar över:
> "Hej Mattias,
> jag har kollat igenom projektet och tycker å ena sidan att ambitionen
> om att skydda privat identitet och att säkra att man inte läcker data
> till annonsjättarna är helt rätt, å andra sidan att den tekniska
> lösning ni föreslår riskerar att öppna upp för en massa risker i
> termer av fraud, ID-stöld etc.
Vad är tanken med gruppen, behöver man skriva under på embryot till
teknisk spec som ni gjort eller är målet med integritetsskydd och frihet
från staten det viktigaste?"
Återigen, jättebra insats och kul att det genererar viktiga frågor!
Kanske detta kopplar an väl till tråd om tekniska specen DID vid W3.org.
Mvh,
Mattias
--
DFRI
Hej,
Rensade bland gamla skärmdumpar och stötte på en som jag hade tagit av
recensioner på Google Play i samband med att BankID införde GPS-krav för
första gången (juli 2018). Första gången som jag på allvar övervägde att
själv lämna en recension på Google Play. Nu blev det inget av med den
saken, men jag tog i varje fall en skärmdump som sedan dess legat glömd.
Några av recensionerna visar tydligt att att det här projektet har varit
efterfrågat länge :-)
Önskar eleg-projektet stor framgång!
Med vänliga hälsningar,
en lurker på listan
Hej!
Vet inte vem i projektet som gör omvärldsbevakning men här är tips på
event och person att kontakta ang. utredning om statlig e-legitimation:
"En statlig e-legitimation för alla?
Tisdag 7 februari 14.15-14.45
DIGG har i uppdrag från regeringen att föreslå hur en statlig
e-legitimation kan utformas. Vad är en statlig e-legitimation? Varför
behövs den och hur kan man använda den? Här får du veta mer om DIGGs
förslag och vad som händer härnäst."
Namn på person och mer info finns här:
https://digg.se/kunskap-och-stod/evenemang/e-legdagarna/programpunkter/en-s…
Kanske bra att begära möte för att framföra synpunkter och redovisa det
mötet öppet.
e-legdagarna har pris på 3900 kr per biljett, så är nog bättre att göra
något innan.
Mvh,
Mattias
--
DFRI.se
Mastodon: https://mastodon.social/@dfri
Ny DN Debatt-artikel:
"Sverige måste införa en statlig e-legitimation"
https://www.dn.se/debatt/sverige-maste-infora-en-statlig-e-legitimation/
"Sverige är ett av världens mest digitaliserade länder, men det är ett
fåtal banker och företag som i dag äger och kontroller samhällsviktig
infrastruktur i form av bank-id och Swish. Vi behöver e-legitimation på
högsta säkerhetsnivå, och det är en statlig kärnuppgift att ge ut en
sådan, skriver regeringens särskilda utredare Anna Kinberg Batra."
DIGGs pågående utredning nämns också:
"Myndigheten för digital förvaltning har nu ett uppdrag att senast 31
januari 2023 lämna förslag om framtagande och drift av en statlig
e-legitimation. Längre kan vi inte vänta."
Tyvärr inte mycket om rättighets-perspektivet. Bra i alla fall att hon
kritiserar att man måste vara kund hos en storbank för att kunna
legitimera sig. Alltid något, och det kan nog vara bra att frågan
uppmärksammas.
/ Elias
Hej alla på eleg-projekt-listan!
Styrgruppen sammanträdde tidigare i kväll och kom fram till att vi
ordnar följande två after-work-träffar, en i Stockholm och en i Göteborg:
- Torsdag 10 nov i Stockholm, på Tennstopet vid Odenplan. Från klockan
17:00.
- Torsdag 17 nov i Göteborg, på Haket vid Masthugget. Från klockan 17:00.
Båda tillfällena från klockan 17 alltså, men det går bra att droppa in
senare för den som har svårt att komma så tidigt.
Alla är välkomna!
/ Elias
Hej eleg-projekt-listan!
En sak som diskuterades på mötet med Open Source Sweden förra veckan är
förslaget till vidareutveckling av eIDAS som kommit under 2021, som
kallas "eIDAS 2.0".
eIDAS 2.0 kommer troligtvis att ha stor betydelse, bland annat för att
den (till skillnad från gamla eIDAS) kommer att kräva att varje EU-land
måste se till att ha minst en eID-lösning som följer eIDAS2-reglerna.
Till exempel kommer då Sverige inte att kunna fortsätta som hittills,
utan något måste hända.
Det verkar som om eIDAS 2.0 kommer att möjliggöra vissa aspekter av
self-sovereign identity (SSI), med vissa begränsningar.
Med på mötet var en person från KILT (se https://www.kilt.io/) som
menade att det finns stora problem med eIDAS 2.0 när det gäller att viss
kritisk information lagras centralt. Jag är inte säker på om jag
uppfattade det hela rätt men jag tror att kritiken handlade om att eIDAS
2.0 utgår från att nyckeln till en persons identitet tilldelas personen
från en centralmakt, istället för att redan från början endast
kontrolleras av individen själv så som det egentligen bör vara enligt
SSI-principer. Någon av er på listan som har bättre koll på eIDAS 2.0
får gärna hjälpa till med att rätta mig här och/eller förklara bättre.
I vilket fall som helst är relationen mellan eIDAS 2.0 och SSI
intressant och jag hittade den här artikeln från Open Identity Summit
2022 som handlar om det:
"eIDAS 2.0: Challenges, perspectives and proposals to avoid
contradictions between eIDAS 2.0 and SSI"
http://dx.doi.org/10.18420/OID2022_05 (hela artikeln finns öppen som pdf
där)
Författarna till den artikeln är positiva till eIDAS2 och tycker överlag
att eIDAS2 är kompatibelt med SSI, till exempel skriver de så här i
slutet av artikeln:
"Regarding the SSI-principles, it can be stated that there is no
fundamental contradiction with the [eIDAS2] to be seen. The [eIDAS2]
makes it possible for SSI-principles to become reality recognizing that
decentralization has to be restrained to an acceptable level for
achieving legal trust and data sovereignty. If a holder can`t trust an
identity, issuer or verifier, he cannot act self-sovereign."
Samtidigt tar de upp vissa problem, till exempel:
"Currently, [eIDAS2] and related standardization mainly focus to store
core identity information based on notified identity scheme on hardware
of mobile devices and only the attestation in the wallet software itself
[TR03159]. This means that core identity information of European
citizens will be stored in non-European hardware whose specification are
not disclosed or completely open source."
Det blir förstås väldigt viktigt här att "the wallet software" tillåts
vara fri och öppen källkod, men sen finns också frågan om hur "core
identity information" (antar att det betyder privat nyckel) hanteras.
Jag är inte säker på om jag förstått det hela rätt men misstänker att
det kan bli så att med eIDAS2 får vi ett eID-system där du kan tilldelas
en e-legitimation som förhoppningsvis kommer att gå att använda utan
stängd programvara, men den privata nyckeln som borde vara bara din kan
även finnas hos staten eller hos någon privat "qualified trust service
provider" (QTSP som det heter i artikeln ovan). Ur ett frihetsperspektiv
är det då sämre än PGP där du själv kan skapa ett nyckelpar och därmed
själv kan säkerställa att ingen annan någonsin haft den privata nyckeln.
Vad tror ni om det här?
/ Elias