Eleg-projekt April 2023

eleg-projekt@lists.dfri.se

6 participants
3 discussions

Decentralized Identifiers (DIDs) v1.0 för FOSS e-elegitimation?
by Mattias Axell 15 May '24

15 May '24

Hej, Jag har tjattat med en kontakt som kan vara intresserad av att använda https://www.w3.org/TR/did-core/ - kan det vara något för att bygga FOSS decentraliserad e-legitimation. Kan det vara något att göra en Proof of Concept med? Kanske personen eller kollega kommer in här med intro. Jag är också med i https://www.w3.org/community/nordic-data/ som Internetstiftelsen.se startat. I sin linda men kanske en bra koppling till just Internetstiftelsen som borde gilla https://www.w3.org/TR/did-core/ Är det någon som varit i kontakt med DIGGs utredare ännu? Känns som att det vore intressant att ta del av utredningen tittar på för underlag, vilka de pratar med. Det här projektet bör väl ha kontakt med den personen? Mvh, Mattias -- DFRI.se Mastodon: https://mastodon.social/@dfri

7 14

Ska vårt projekt skapa en egen decentraliserad e-leg-lösning?,
by Elias Rudberg 24 Apr '23

24 Apr '23

Hej alla på eleg-projekt-listan! Efter DIGG-rapporten[1] som kom i slutet av januari har vi i styrgruppen för projektet funderat och kommit fram till ett förslag som vi beskriver nedan. Vi skulle inom ramen för den här e-postlistan kunna utveckla en teknisk lösning som illustrerar id-växling, en viktig egenskap hos rapportens förslag utifrån decentralisering. Målet skulle vara att vår lösning ska bli en godkänd e-legitimation. Vad tycker ni, ska vi göra detta? Och vilka kan tänka sig att vara med och hjälpa till? Det går inte att veta säkert i det här läget, men det är stor chans att DIGGs förslag kommer bli verklighet, inte minst med tanke på krav som kommer i samband med eIDAS2 på EU-nivån, där ett e-leg enligt DIGGs förslag kommer att kunna hjälpa Sverige att klara kraven. DFRI:s e-legitimationsprojekts syfte har ju tidigare sammanfattats i form av fyra punkter: - fri och öppen programvara - öppen specifikation - tillgänglighet - decentralisering När man läser DIGGs rapport med de utgångspunkterna är rapporten bra på flera sätt. Bland annat är det bra att lösningen föreslås bli tillgänglig även för personer med samordningsnummer, man begränsar sig alltså inte till bara de som har personnummer. Det är också positivt att DIGGs förslag baseras på öppna standarder. Det bör alltså bli möjligt att bygga klientsidan med helt och hållet fri programvara (öppen källkod). Samtidigt finns en nackdel i att det som föreslås verkar vara ett i huvudsak centraliserat system; varje gång man använder sin e- legitimation kommer information om användandet att skickas till ett centralt system. Vi på listan vill ju ha en decentraliserad lösning, så på den punkten kan vi inte vara helt nöjda med DIGGs förslag. Rapporten öppnar dock upp för att det bör vara möjligt att använda den statliga e-legitimationen för övergång till ett annat system. Det nämns i DIGG-rapporten bland annat på följande ställen: Sidan 14: "Digg anser att den statliga e-legitimationen ska finnas med som en del i det ekosystem som byggts upp under lång tid. Den statliga e- legitimationen ska utgöra ett komplement och en möjlighet att växla över till andras lösningar, inte en konkurrent eller ersättare." Sidan 31: "Digg ser också den föreslagna lösningen som en instegslösning. Den statliga e-legitimationen kan utgöra ett sätt att skaffa andra e- legitimationer, genom så kallad id-växling." Med tanke på DIGG-förslagets för- och nackdelar tänker vi att vi inom vårt projekt skulle kunna utveckla en fri och decentraliserad lösning, där vi skulle kunna lösa "onboarding" till vårt system med hjälp av den kommande statliga e-legitimationen. Kommunikation till det centrala statliga systemet skulle då bara behövas vid utfärdandet av vår e- legitimation, när man sedan använder den för att legitimera sig skulle det kunna fungera decentraliserat. DIGGs förslag kan enligt rapporten bli verklighet om två år. Därmed försvinner det som tidigare varit det största hindret för oss att göra något eget. Det har ju tidigare varit nödvändigt att ha en komplicerad och dyr hantering för utfärdande. Ett system från vårt e-legitimationsprojekt skulle kunna utveckla en lösning som går att testa och visa upp redan innan den statliga lösningen finns på plats. Den kan på ett trovärdigt sätt visar hur id- växling från den statliga lösningen kommer att kunna användas. Under tiden fram till att den statliga lösningen finns på plats, kan vi göra utfärdande på ett annat sätt i demo-syfte och vi kan då visa hur vår lösning fungerar för olika användnings-fall, inte minst kan vi då understryka fördelarna med decentralisering. Målet skulle vara att vår lösning ska bli en godkänd e-legitimation, även om vägen dit förstås går via att ha något fungerande även om det inte är formellt godkänt ännu. Vad tycker ni, ska vi göra detta? Om vi ska göra det, vilka kan tänka sig att vara med och hjälpa till med kravspecifikation, design och implementation av de olika komponenter som kommer behövas? Vänliga hälsningar Styrgruppen Gustav, Cynthia och Elias [1] https://www.digg.se/analys-och-uppfoljning/publikationer/publikationer/2023…

6 5

Lägesuppdatering från Utredningen om säker och tillgänglig digital identitet - statlig e-ID
by Mattias Axell 16 Apr '23

16 Apr '23

Hej! Är det någon här som har kontaktat Henrik Ardhede (https://www.linkedin.com/in/henrik-ardhede-0368b11) som är särskild utredare för statlig e-id? När jag läser följande statusuppdatering så verkar det inte som det? Jag kan gärna hjälpa till att ta en kontakt då jag ser det som riskabelt att ett statligt e-leg kan komma att innehålla biometriska uppgifter vilket DFRI och EDRI.org inte brukar förorda: https://www.nytimes.com/2022/12/27/technology/for-sale-on-ebay-a-military-d… https://edri.org/our-work/mapping-the-impact-of-biometric-surveillance-and-… Jag ser också en risk i att utredningen ännu inte verkar prata om öppna standarder för e-legitimation och att ha det som en utgångspunkt för vem som helst att utfärda (fria och öppna) lösningar som implementationer. Så här låter lägesuppdateringen från Henrik Ardhede på Linkedin: Här kommer en lägesuppdatering från Utredningen om säker och tillgänglig digital identitet. I den inledande fasen har vi i huvudsak fokuserat på informationsinsamling. Vi har bl.a. med stort intresse tagit del av Betalningsutredningens betänkande och utredningssekreterare Helena Forsaeus, Björn Scharin och Anna Carlson har träffat många olika intressenter. De har bl.a. haft ett möte med Funktionsrätt Sverige och dess medlemsorganisationer. Vid det mötet lyftes från deltagarna bl.a. följande punkter fram när det gäller införandet av en statlig e-legitimation: - Det är viktigt med olika lösningar för identifiering. - Ett fysiskt kort är bra för personer med kognitiva svårigheter. - Det måste finnas bra support i samband med både utfärdande och användning. - Med hänsyn till olika hinder och kostnader måste det finnas utgivningsställen i varje kommun. Vi har även under slutet av mars hållit två öppna digitala möten med representanter för intresseorganisationer och myndigheter respektive leverantörer. Vid dessa möten framfördes många olika intressanta synpunkter. Exempelvis fanns det hög grad av samstämmighet bland deltagarna vid båda möten rörande punkterna nedan: - Den statliga e-legitimationen ska innehålla biometriska uppgifter. - Den statliga e-legitimationen ska kunna utfärdas på det nationella ID-kortet för att bl.a. inskärpa att en e-legitimation är en värdehandling. - Det ses som problematiskt om Digg både ska utfärda en e-legitimation och ansvara för granskningen av e-legitimationer inom ramen för det svenska tillitsramverket. - Det bör i första hand vara Polismyndigheten som ansvarar för grundidentifieringen. Jag vill från utredningens sida rikta ett stort tack till alla som så här långt bidragit genom att lämna synpunkter och komma med inspel! - https://www.linkedin.com/posts/henrik-ardhede-0368b11_h%C3%A4r-kommer-en-l%… Hojta till om det behövs hjälp att ta en kontakt eller vem som kan ta det. Mvh, Mattias

2 1

2024

2023

2022

2021

Eleg-projekt April 2023