Hej kära vänner!
Jag har blåst liv i en gammal kod som vi körde på jobbet för att skapa
klientcertifikat i webbläsaren, se
https://codeberg.org/DFRI-eID/dfri-eid/pulls/5
Funktionen <genkey> är dock borttagen i nyare Firefox så skulle behöva
någon skarp Javascript-kodare som ersätter klientsidan med javascript.
Det innebär att skapa ett nyckelpar, och skicka publika delen till
serversidan, läsa tillbaka certifikatet. På något vis få certifikatet in
i webläsaren, alternativt spara ner en .p12 fil som man sedan kan
importera manuellt.
Debian-utvecklare använde också <genkey> när det begav sig, men har nu
gått över till kommandoraden, see
https://wiki.debian.org/DebianSingleSignOn#line-49
Hälsningar / Christian Häggström
Sammanfattning av öppet möte nr 24 om att bygga egen e-leg-lösning, 11
nov 2024:
Tack till alla som var med på mötet!
- Implementation av en första version av CA-programvara för utgivaren
Kod finns [0]. Bra om vi kan få till det med hårdvarunyckel. Inget nytt
på denna punkt.
Flera har testat och verifierat att det fungerar, det är bra.
- Fortsättning av test med nginx
En sak att lägga till här är systematisk hantering av revokeringslista,
t.ex. med ett cron-jobb som regelbundet hämtar senaste revokeringslista.
Behöver även hantera fallet att man inte lyckas hämta.
Filer för test med nginx, gunicorn and flask finns i git-repot [1].
Bra om fler är med och testar detta, om någon vill ha nya subdomäner för
test kan vi hjälpas åt med det, säg till så löser vi det.
- OpenPGP-kort, hårdvarunycklar osv. Nitrokey? TPM2-chip i laptop?
Test med Nitrokey har gjorts och fungerar, git-repot har uppdaterats med
info om det [2]. Flera ska testa den biten också.
OpenPGP-kort återstår, hoppas vi kan få till det också snart.
Test med TPM2-chip i laptop är på gång också.
En fråga som kom upp är att för vissa saker som testats med
openssl-kommandot hade det varit bra att ta med också hur man kan göra
motsvarande med curl, t.ex. hur man anger en "engine" beroende på hur
man hanterar den privata nyckeln kan se olika ut beroende på om man
använder openssl eller curl.
- git-repo
Det gamla git-repot är arkiverat nu.
Det nya git-repot som är det som gäller nu är
https://codeberg.org/DFRI-eID/dfri-eid
- Beskrivningar av arbetsflöden för utfärdande, användning, återkallande
osv.
Det jobbas vidare med detta, bl.a. längre text-beskrivningar och andra
typer av diagram.
- Möte med DIGG?
Inget nytt här ännu, vi ska försöka få till ett möte med DIGG om
processen kring den statliga e-legitimationen (även efter att uppdraget
gått över till Polismyndigheten).
- Övrigt
Problemet med utloggning kan eventuellt lösas genom att använda en
slumpmässig sträng som subdomän som man använder klientcertifikatet mot.
När man loggar ut kastas subdomänen bort.
- När blir nästa möte?
Nästa möte blir måndagen 2024-12-09 klockan 18 till 19 (en timme)
Alla är välkomna att vara med på kommande möten. OBS även du som inte
varit med förut är mycket välkommen att vara med!
/ Elias
[0] https://codeberg.org/DFRI-eID/dfri-eid/src/branch/main/go-eid-test-ca
[1] https://codeberg.org/DFRI-eID/dfri-eid/src/branch/main/nginx-test
[2]
https://codeberg.org/DFRI-eID/dfri-eid/src/branch/main/go-eid-test-ca/USING…
PS
Läs gärna om projektet här: https://www.dfri.se/projekt/e-legitimation/
PS 2
Alla som är intresserade är välkomna att höra av sig via projektets
mejllista
Hej!
Välkomna till distans-möte nummer 24 om hur vi kan bygga en egen
decentraliserad lösning för fri och öppen e-legitimation. Vi fortsätter
med kravspecifikation, design, implementation och testning av de olika
komponenter som kommer behövas.
Tid: måndag 11 november 2024 klockan 18:00. Vi siktar på att hålla på i
upp till en timme.
Plats: https://jitsi.eliasrudberg.se/e-id-meeting
Förslag till agenda:
- Implementation av en första version av CA-programvara för utgivaren
- Fortsättning av test med nginx
- OpenPGP-kort, hårdvarunycklar osv. Nitrokey? TPM2-chip i laptop?
- git-repo
- Beskrivningar av arbetsflöden för utfärdande, användning, återkallande
osv.
- Möte med DIGG?
Alla är välkomna, både ni som varit med tidigare och alla nya som vill
vara med och diskutera och hjälpa till med det här.
Svara gärna här på mejllistan med alla frågor och funderingar inför mötet.
Välkomna!
Vänliga hälsningar
Projektets styrgrupp genom Elias
Sammanfattning av öppet möte nr 23 om att bygga egen e-leg-lösning, 21
okt 2024:
Tack till alla som var med på mötet!
- Implementation av en första version av CA-programvara för utgivaren
Bra om vi kan få till det med hårdvarunyckel. Inget nytt på denna punkt.
- Fortsättning av test med nginx
Alla uppmuntras att testa, observera att det går bra att testa alla de
olika delarna, man kan testa att agera utgivare, att agera förlitande
part, och som privatperson som använder e-leg.
- OpenPGP-kort, hårdvarunycklar osv. Använda TPM2-chip i laptop?
Att använda TPM2-chip i en laptop är en möjlighet som också kan vara
intressant att testa. Det bör fungera som en hårdvarunyckel som finns
inbyggd i datorn, om den fungerar rätt ska det betyda att det inte går
att kopiera ut den privata nyckeln så man vet att den inte kan komma på
avvägar.
Testa gärna med andra typer av kort.
- Förvirring kring olika git-repon?
Det git-repo som ska användas nu är
https://codeberg.org/DFRI-eID/dfri-eid och vi kom fram till att det
gamla repot som hette "go-eid-test-ca" ska frysas så att man inte råkar
göra ändringar på fel ställe. Ändringar som råkat hamna fel ska flyttas
över till det rätta repot. Tanken är att allt som fanns i repot
"go-eid-test-ca" ska nu istället finnas i en katalog med det namnet inne
i det nya repot, så att allt finns samlat i samma repo.
- Beskrivningar av arbetsflöden för utfärdande, användning, återkallande
osv.
Inget nytt här sedan sist på grund av att vissa personer varit upptagna
av annat, men kommer fortsätta arbetet till nästa gång.
- Diskussion om hur saker ska fungera i praktiken
När man använder det här idt, har vi pratat om att använda ett
mTLS-certifikat i browsern.
Frågor kring det:
Går det vara selektiv med certifikatet i webbläsaren?
Hur blir det med inloggningssessionen, hur länge varar den?
Vi diskuterade kring de sakerna och konstaterade att även om
användargränssnittet inte blir perfekt, delvis beroende på vad
webbläsare stöder för tillfället, så är det ändå stor fördel för oss att
använda mTLS till att börja med eftersom vi då kan använda saker som
redan finns.
- Möte med DIGG?
Mötet vi hade inplanerat med DIGG blev uppskjutet, det är nu oklart om
det blir av, vi kanske ska fortsätta försöka ändå.
En av frågorna som skulle vara intressant att ställa till DIGG på ett
sånt möte är: även om DIGG inte implementerar, är det väl fortfarande
DIGG som ska se till att regler följs och så? Kommer polisens
implementation att få särbehandling eller kommer den att behöva
godkännas som vilken e-leg som helst? Med andra ord, har DIGG
fortfarande ansvar, i godkännande-fasen?
- När blir nästa möte?
Nästa möte blir måndagen 2024-11-11 klockan 18 till 19 (en timme)
Alla är välkomna att vara med på kommande möten. OBS även du som inte
varit med förut är mycket välkommen att vara med!
/ Elias
PS
Läs gärna om projektet här: https://www.dfri.se/projekt/e-legitimation/
PS 2
Alla som är intresserade är välkomna att höra av sig via projektets
mejllista