Eleg-projekt July 2025

eleg-projekt@lists.dfri.se

7 participants
4 discussions

Re: Debattartikel [var: SVT skriver om att "Attacken mot Bank-id borde mana till en större diskussion om alternativ till tjänsten"]
by Erik Josefsson 21 Jul '25

21 Jul '25

Fattar jag rätt om det blir tydligare så här? original:ID-handlingen innehåller digitala certifikat, som då får en digital signatur av en betrodd instans, ändra till -> ID-handlingen innehåller digitala certifikat, som vid verifikationen får en digital signatur av en betrodd instans, mvh //Erik Sent from my Samsung Galaxy smartphone.-------- Original message --------From: Marcus via Eleg-projekt <eleg-projekt(a)lists.dfri.se> Date: 20/07/2025 10:41 (GMT+01:00) To: Elias Rudberg via Eleg-projekt <eleg-projekt(a)lists.dfri.se> Subject: [Eleg-projekt] Re: Debattartikel [var: SVT skriver om att "Attacken mot Bank-id borde mana till en större diskussion om alternativ till tjänsten"] Hej, jag tycker att det ser riktigt bra ut!Jag står gärna med på artikeln om det inte är för sent!! Bra jobbat allihop!! MvhMarcus On lör, jul 19 2025 at 17:49:18 +0200, Elias Rudberg via Eleg-projekt <eleg-projekt(a)lists.dfri.se> wrote: Hej, Tack Mikael och Linn för era tankar, här nedanför är en ny version där jag lagt till enligt era förslag (med den grundläggande förklaringen från Linn, jag håller med om att det nog blir för långt att ha mer än så). Jag petade in ordet "lokalt" också för att man inte ska tro att listan kräver central kommunikation varje inloggning. Allt annat är likadant som förut. Blir det bra med den här versionen? Linn, kan vi lägga till ditt namn också? / Elias -- här kommer nya versionen --- (Rubrik) Robust e-legitimation är inte svårt (Kontextualisera) Samhällsdebatten om elektronisk legitimation har aktualiserats igen efter incidenten när BankID låg nere i tre timmar. Civilminister Erik Slottner anser att staten bör ta ett större ansvar och att det behöver finnas flera lösningar. Det är en viktig diskussion, men det finns en övertro på centraliserade system. Behovet av en central server som måste vara nåbar är djupt rotat i tankesättet hos många beslutsfattare, vilket framgår av Finansinspektionens förslag om ”Uppgiftsskyldighet för vissa e-legitimationsföretag” Fi2025/00837, där myndigheten verkar ta för givet att alla elektroniska legitimeringar samlas in av utgivaren. Vidare säger Andreas Bergqvist på BankID till SVT att ”oavsett vem som driver en tjänst så kommer alla ha samma utmaning som vi när det gäller cyberangrepp”. Denna föreställning om att central aktör måste vara nåbar vid varje enskild identifiering, behöver förändras. DIGG (Myndigheten för digital förvaltning) skriver om ersättning till e-legitimationsföretag för användning av e-legitimation i MDFFS 2025:2 där den rörliga ersättningen baseras på antalet identifieringar. Återigen verkar synsättet vara att varje identifiering måste involvera någon form av bokföring hos en central part. (Teknisk förklaring) Grundtekniken som får kommunikation på internet att bli säker och trovärdig kräver inte att en central tjänst är igång och fungerar. På samma sätt som polisen kan ge ut plastkort som inte försvinner bara för att någon i protest blockerar ingången till polisstationen de hämtas från, kan företag och myndigheter ge ut elektroniska ID-handlingar som går att verifiera utan att fråga utgivaren varje gång. ID-handlingen innehåller digitala certifikat, som då får en digital signatur av en betrodd instans, t.ex. Polismyndigheten eller BankID. För att spärra en ID-handling publicerar utgivaren en lista med serienummer på ej-giltiga ID-handlingar. Denna lista innehåller i sig ingen personlig information, utan används enbart lokalt när en autentisering sker och det finns ett specifikt serienummer att kolla upp. Om du då försöker logga in hos din hyresvärd för att boka nästa tvättid kan du visa upp ditt certifikat för hyresvärden som då, utan att behöva internet-uppkoppling, kan verifiera att detta certifikat är utfärdat av någon som den litar på och att du kan boka. Det finns inget i grundtekniken som kräver att utgivaren är aktiv aktör i inloggningarna som är fallet med BankID och Freja. (Robusthet) System som är decentraliserade och kan fungera lokalt, där varje användning inte behöver gå genom en central punkt, är överlägsna när det gäller robusthet. Det gör att samhällskritiska system fortsätter att fungera under krig eller stora cyberangrepp av främmande makter. Decentraliserade lösningar är dessutom att föredra utifrån ett demokrati-perspektiv: ett starkt samhälle bygger på att det finns starka, fria individer, som inte ständigt står under statens kontroll. Auktoritära stater vill gärna ha centrala system som gör det möjligt för staten att utöva kontroll över människor. Så är det inte i ett fritt samhälle. Den centralisering som auktoritära stater strävar efter kan förstås verka bra för en diktator som vill behålla makt och kontroll, men centraliseringen gör samhället sårbart. (om vår förening) Föreningen för Digitala Fri- och Rättigheter (DFRI) har ett projekt om fri och öppen e-legitimation, där vi ger exempel på hur en lösning skulle kunna skapas baserat på fri och öppen programvara, öppen specifikation, tillgänglighet och decentralisering. Vi ser ett stort behov av samhällsförändring i riktning mot mer frihet och mindre central kontroll, både för demokratins skull och för att göra samhället mindre sårbart. (Slutkläm) Nästa gång du blir tvingad till ett inloggningssystem som kräver att du låser dig till ett visst bolags app, fråga vad för protokoll de använder, om det är decentraliserat, och om du själv eller tillsammans med den eller de du väljer är fri att skriva en egen implementation på öppna standarder. Alla förtjänar att känna trygghet i att e-id-systemet fungerar även under kris och krig! (Signatur) Christian Häggström, Elias Rudberg, Leif-Jöran Olsson, Mikael Odhage Föreningen för digitala fri- och rättigheter -- slut på nya versionen --- _______________________________________________ Eleg-projekt mailing list -- eleg-projekt(a)lists.dfri.se To unsubscribe send an email to eleg-projekt-leave(a)lists.dfri.se

2 1

SVT skriver om att "Attacken mot Bank-id borde mana till en större diskussion om alternativ till tjänsten"
by Elias Rudberg 20 Jul '25

20 Jul '25

Hej! Här säger cybersäkerhetsexperten Marcus Nohlberg att "både individer och samhället borde fundera på alternativ till Bank-id och utforma en plan b": "Avancerad överbelastningsattack mot Bank-id: ”Kommer definitivt hända igen”" https://www.svt.se/nyheter/inrikes/avancerad-overbelastningsattack-mot-bank… En representant för Bank-id säger "oavsett vem som driver en tjänst så kommer alla ha samma utmaning som vi när det gäller cyberangrepp". Det stämmer väl inte riktigt, man kan ju ha ett decentraliserat system som i sin design är mer robust. De tänker inte ens på den möjligheten verkar det som. Vi kanske kan passa på att skriva en debattartikel om det nu? Någon här på listan som skulle vilja hjälpa till med att skriva något? / Elias

7 12

Sammanfattning av öppet möte 33 om att bygga egen e-leg-lösning, 14 juli 2025
by Elias Rudberg 18 Jul '25

18 Jul '25

Sammanfattning av öppet möte 33 om att bygga egen e-leg-lösning, 14 juli 2025: Tack till alla som var med på mötet! - CA-programvara för utgivaren och test med nginx, status? Procedur för att förnya utgivarens cert? Fortfarande vill vi garna fa till hårdvarunyckel for utgivaren, inte hunnit. C p12-fil till nästa möte. - OpenPGP-kort, testat mer Se https://mailman.dfri.se/mailman3/hyperkitty/list/eleg-projekt@lists.dfri.se… LJO tänker verifiera Elias steg. Möte med Cryptas för att se att vår tolkning av best practice funkar osv. ide: prova med curl byggt med olika backend-mekanismer, openssl/gnutls/wolfssl - Sätta upp server med revokeringslista, ordna domän och webbserver för det? Börjat enligt tidigare. Nästa steg är att byta ut revokeringslistan av de olika utfärdarna. Skulle enligt tidigare mötesanteckningar behöva ett sätt att ladda upp revokeringslista till server, ljo kollar vidare på det. - Tidsplan för "release" av vår proof-of-concept? Har sagt tidigare att vi skulle ha något under 2025 Vad vill vi få med? hårdvarunycklar, p12-fil ... server med revokeringslista enligt ovan FAQ:n offentliggöra Vad får vi skjuta på? - Skriva debattartikel om robusthet apropå BankID-problemen nyligen? Inget har hänt mer än små bubblor av tankeaktivitet. Christian kallar till digitalt skrivarmöte, så får vi se hur många som kan. - Remiss-svar skickat för "Uppgiftsskyldighet för vissa e-legitimationsföretag". Andra remisser eller liknande saker på gång? Skickades in före deadline som var 8 juli. https://www.dfri.se/remissvar-pa-uppgiftsskyldighet-for-e-legitimationsfore… - Christian har varit på hackaton --> demo! Temat for hackatonet var att göra en resilient app som kunde funka även om nätverket var nere. C var med som enskild person, blev assignad till en grupp och diskuterade via en digital whiteboard. Skissade på tre aktörer: en person, en utgivare, en verifierande part. Sen var det inte så många som jobbade på det förrän på själva dagen, då samlades man och kodade tillsammans. Gjorde tre olika appar for de tre olika aktörerna, olika kataloger i ett repo https://github.com/sardnas/id-card. Gruppen kunde visa att de kunde koppla ner utgivaren och att det ända gick att logga in hos verifierande part. En tilldelad distribuerad databas användes for revokeringslistan. Fler hackaton finns på https://cillers.com/hackathons Termen "resilient" är på svenska "motståndskraftig". - När blir nästa möte? Nästa möte hålls måndag 2025-08-04 klockan 18 till 19 (en timme) Alla är välkomna att vara med på kommande möten. OBS även du som inte varit med förut är mycket välkommen att vara med! / Elias PS Läs gärna om projektet här: https://www.dfri.se/projekt/e-legitimation/ PS 2 Alla som är intresserade är välkomna att höra av sig via projektets mejllista

1 0

Välkomna på öppet möte nr 33 om att bygga egen e-leg-lösning, 14 juli klockan 18
by Elias Rudberg 13 Jul '25

13 Jul '25

Hej! Välkomna till distans-möte nummer 33 om hur vi kan bygga en egen decentraliserad lösning för fri och öppen e-legitimation. Vi fortsätter med kravspecifikation, design, implementation och testning av de olika komponenter som kommer behövas. Tid: måndag 14 juli 2025 klockan 18:00. Vi siktar på att hålla på i upp till en timme. Plats: https://jitsi.eliasrudberg.se/e-id-meeting Förslag till agenda: - CA-programvara för utgivaren och test med nginx, status? Procedur för att förnya utgivarens cert? - OpenPGP-kort, testat mer - Sätta upp server med revokeringslista, ordna domän och webbserver för det? - Tidsplan för "release" av vår proof-of-concept? - Skriva debattartikel om robusthet apropå BankID-problemen nyligen? - Remiss-svar skickat för "Uppgiftsskyldighet för vissa e-legitimationsföretag". Andra remisser eller liknande saker på gång? Alla är välkomna, både ni som varit med tidigare och alla nya som vill vara med och diskutera och hjälpa till med det här. Svara gärna här på mejllistan med alla frågor och funderingar inför mötet, och förslag på fler saker vi borde ta upp. Välkomna! Vänliga hälsningar Projektets styrgrupp genom Elias

1 0

2025

2024

2023

2022

2021

Eleg-projekt July 2025