- Eleg-projekt

Anteckningar från paneldiskussion om certifikat
by Christian Häggström 19 Jun '25

19 Jun '25

Som jag skrivit tidigare var jag med på en paneldiskussion i Stockholm den 10 Juni: https://info.knowit.se/automation_av_pki Huvudfokuset var CA/Browser Forum's beslut att förkorta websides-certifikats giltighetstid till 47 dagar, vilket ställer större krav på automatiserad förnyelse av websides-certifikat. --- Henrik Andersson från Abero Security berättade om de olika protokoll som finns för automatisk certifkat-uppdatering; * SCEP - Simple Certificate Enrollment Protocol * CMP/EST - lite modernare variant av SCEP * ACME - det nya som bl.a. Let's Encrypt använder Körde ett live-demo av ACME med smallstep-ca som server och certbot som klient. ACME har en plugin-arktitektur där det jobbas på hårdvaru-tokens (TPM och SecureEnclave) under namnet device-attest-01. Se acmeprotocol.dev --- Sedan följde en session där vi skulle reflektera över om certifikathanteringen var på väg att försvinna till förmån för ssh-nycklar, wireguard och openpgp. Det gnälldes också över att constraints i X.509 är kasst implementerat och krashar vissa mjukvaror, samt att ingen slår på CRL (revokeringslistor). --- Tomas Gustavsson tog sedan över och pratade om EJBCA och de olika entiteterna som finns i ett komplett system: * CA - Certification Authority * RA - Registration Authrorty * VA - Validation Authority * TSA - Timestamp Authority Kom in på post-quantum algorithmer och nämde att MLDSA är både vacker matematiskt och godkänd enligt NIST. --- Sedan följde mingel och folk var allmänt intresserade av vårt e-leg användningsområde. En smartcard-expert vid namn Pål Ragnarson nämnde massor av hårdvarutokens, där jag febrilt antecknade buzzwords som jag tänkte kolla upp senare (inte hunnit än): * Fortify: webb-baserad smartcard enrollment * TPM: om man har problem ska man kolla att man slagit på "Enhanced TPM" i BIOS * Yubikey: använder PIV, har plats för 24 tokens, FIDO for enterprise * Thales MD830 / MD940 använder pksc15. * SafeNET Etoken * secure channel - global platform keys * signature creation device * JCOB-kort med hemmaskriven Applet --- Vidare har jag anmält mig till ett resiliance-hackaton https://cillers.com/hackathons/couchbase-disaster-resilience-hackathon och försöker få till att min grupp ska utveckla vårt e-id :) Ses på online-mötet på måndag! / Christian

1 0

Taler och ID
by Mikael Odhage 09 Jun '25

09 Jun '25

Fann denna länk i min läsning apropå att Gnu Taler blivit myndigt: https://nlnet.nl/project/TALER-LookupService/ -- Vänliga hälsningar Mikael Odhage +46(0)709933651 Jabber/XMPP: odhagemikael(a)xabber.de Lite Fediversum: Friendica: https://libranet.de/profile/mikaelodhage/profile Bilder på: https://pixelfed.de/OdhageMikael Min publika nyckel hittas på hkp://keys.gnupg.net eller keys.gnupg.net

1 0

Fwd: [EDRi-members] Invitation: Participatory Requirements Workshop for eIDAS Oversight Platform
by Börje Ohlman 06 Jun '25

06 Jun '25

2 1

Sammanfattning av öppet möte 31 om att bygga egen e-leg-lösning, 26 maj 2025
by Elias Rudberg 27 May '25

27 May '25

Sammanfattning av öppet möte 31 om att bygga egen e-leg-lösning, 26 maj 2025: Tack till alla som var med på mötet! Länkar [1] till [6] finns längst ner i det här mejlet. - CA-programvara för utgivaren och test med nginx, status? Procedur för att förnya utgivarens cert? Vår kod finns här: [1] När det gäller utfärdarens certifikat finns ett root-cert (skapat med kommandot "genroot", se README-filen [2]) och ett issuingca-cert (skapat med kommandot "genica", se README-filen). De kan ha olika giltighetstid, "Not before", "Not after". Kedjebyggandet behöver vi ev tänka på. - Testat med "Nitrokey HSM", det fungerar, men "Nitrokey 3" funkar inte Christian testade först och Elias har nu testat och verifierat det med samma resultat, alltså "Nitrokey HSM" fungerar. Det gör att vi har åtminstone två olika typer av hårdvarunycklar där vi testat att det fungerar, yubikey och nitrokey. Vill gärna ha fler. - OpenPGP-kort, testat men inte fått det att fungera ännu Elias har skaffat ett "Open PGP SmartCard" från cryptoshop [3] och kopplat in till dator via kortläsare, det fungerar så långt att kommandot "gpg --card-status" visar information om kortet, men har inte ännu lyckats använda certifikat med nyckel i kortet så som vi skulle behöva. Du som läser detta och är bra på sånt för gärna hjälpa till med det! Vi pratade lite om olika ord som används för "hårdvarunyckel", som "hardware key", "security key", "hardware token", osv. Ett "smartcard" som det där OpenPGP-kortet är en annan variant. Poängen är i alla fall att den privata nyckeln kan finnas lagrad i en hårdvarunyckel/smartkort på ett sätt som gör att nyckeln inte kan kopieras ut därifrån. - Sätta upp server med revokeringslista, ordna domän och webbserver för det? Nu har ljo fixat en url vi kan använda för det, för test: [4] Utfärdaren (t.ex. Elias kanske, eller vem det nu är som agerar utfärdare) behöver kunna ladda upp ny revokeringslista dit, det får vi lösa, som vi sa så är det att manuellt byta till att börja med. OBS 1: om man har revokeringslistan på ett enda ställe vlir ju det en central punkt som går att slåut, så det är inte bra för robustheten i systemet. En utfärdare kan välja att ha många redundanta ställen som listan kan hämtas från. Men för tidiga test och demo kan vi ha ett ställe, det räcker ju för att få till ett system som fungerar, så att förlitande part kan hämta revokeringslista någonstans ifrån. OBS 2: vi borde sätta upp både "labbmiljö 1" och "labbmiljö 2" för att undvika att någon tror att det hela är en centraliserad lösning. Tror inte det är nåt större problem eftersom varje utfärdare har sin egen lista. Man kan också ha stället där revokeringslistan finns inkluderat i certifikat som utfärdas. - Börja använda vårt system internt inom DFRI för medlemmar? Vi tror inte det är en bra idé nu innan PoC (proof-of-concept) men det kan vara del av PoC. Absolut ett framtidsscenario att göra det efter PoC, vilka attribut, och lyfta de olika användningsfallen i olika installationer. - Skriva debattartikel om robusthet apropå BankID-problemen nyligen? Det var ett utkast på gång men glömdes bort lite, ska ta upp det igen. BankID har sagt något i stil med att "det spelar ingen roll vem som driver en sån här lösning, det blir ändå samma svårigheter", alltså de pratar som om det inte går att ha en decentraliserad lösning, det kan vi skriva om. Se tidigare tråd på mejllistan om det: [5] Var ska vi publicera? Hitta nån som accepterar, skriva om ett antal varianter - "Remiss av Uppgiftsskyldighet för vissa e-legitimationsföretag": [6] -- senaste dag att svara är den 8 juli. DFRI var inte med på listan av remissinstanser på den, men man får ju svara ändå så vi kan göra det. Verkar som om de vill använda e-leg som ett sätt för polisen att spåra folk. Det borde inte vara så. Kanske, istället för att klanka ner på förslaget i stort, kan man förklara att det här inte är tekniskt möjligt om man ska ha ett decentraliserat system som man behöver ha i ett framtida robust system. Kravet måste i så fall riktas till de olika förlitande parterna. Lagstiftning bör inte förutsätta att det finns en centraliserad punkt som allt går genom. För att inte vara för negativ, kan man påpeka andra sätt, att det behöver inte vara en inbyggd funktion i id-systemet utan det kan vara något polisen försöker få från vissa förlitande parter, det skulle kunna vara möjligt för polisen att kunna få information den vägen utan att det behöver vara inbyggt i systemet och därmed drabba all användning oavsett syfte. Om polisen vill tvinga fram att det installeras spion-programvara på varje ställe där folk loggar in, då får de säga att det är det de vill (men det låter inte så trevligt). Spårning borde inte vara inbyggt i systemet. Vi planerar att ta upp det på mejllistan, kanske ett senare tillfälle där vi kan ha ett möte om att skriva ett sånt remiss-svar. - När blir nästa möte? Nästa möte hålls måndag 2025-06-23 klockan 18 till 19 (en timme) Alla är välkomna att vara med på kommande möten. OBS även du som inte varit med förut är mycket välkommen att vara med! / Elias PS Läs gärna om projektet här: https://www.dfri.se/projekt/e-legitimation/ PS 2 Alla som är intresserade är välkomna att höra av sig via projektets mejllista Länkar: [1] https://codeberg.org/DFRI-eID/dfri-eid [2] https://codeberg.org/DFRI-eID/dfri-eid/src/branch/main/go-eid-test-ca/READM… [3] https://en.cryptoshop.com/products/smartcards/proprietary-solution-cards/op… [4] https://fritt-e-leg.se/crl/crl.pem [5] https://mailman.dfri.se/mailman3/hyperkitty/list/eleg-projekt@lists.dfri.se… [6] https://www.regeringen.se/remisser/2025/04/remiss-av-uppgiftsskyldighet-for…

1 0

Välkomna på öppet möte nr 31 om att bygga egen e-leg-lösning, 26 maj klockan 18
by Elias Rudberg 26 May '25

26 May '25

Hej! Välkomna till distans-möte nummer 31 om hur vi kan bygga en egen decentraliserad lösning för fri och öppen e-legitimation. Vi fortsätter med kravspecifikation, design, implementation och testning av de olika komponenter som kommer behövas. Tid: måndag 26 maj 2025 klockan 18:00. Vi siktar på att hålla på i upp till en timme. Plats: https://jitsi.eliasrudberg.se/e-id-meeting Förslag till agenda: - CA-programvara för utgivaren och test med nginx, status? Procedur för att förnya utgivarens cert? - Testat med "Nitrokey HSM", det fungerar, men "Nitrokey 3" funkar inte - OpenPGP-kort, testat men inte fått det att fungera ännu - Sätta upp server med revokeringslista, ordna domän och webbserver för det? - Börja använda vårt system internt inom DFRI för medlemmar? - Skriva debattartikel om robusthet apropå BankID-problemen nyligen? - "Remiss av Uppgiftsskyldighet för vissa e-legitimationsföretag": https://www.regeringen.se/remisser/2025/04/remiss-av-uppgiftsskyldighet-for… -- senaste dag att svara är den 8 juli. Alla är välkomna, både ni som varit med tidigare och alla nya som vill vara med och diskutera och hjälpa till med det här. Svara gärna här på mejllistan med alla frågor och funderingar inför mötet, och förslag på fler saker vi borde ta upp. Välkomna! Vänliga hälsningar Projektets styrgrupp genom Elias

2 1

Google FIDO säkerhetsnyckel 35kr
by Thomas Svensson 08 May '25

08 May '25

Vill bara tipsa om https://store.google.com/product/titan_security_key?hl=sv Passade på och köpte både USB-C och USB-A varianterna. 70 spänn och fraktfritt. Funkar de med vad vi jobbar på? /thomas @tsvenson <https://mastodon.online/@tsvenson>

3 3

Från Digg: Möjlighet att lämna synpunkter på genomförandeakter för EU:s digitala identitetsplånböcker
by Patrik Wallström 30 Apr '25

30 Apr '25

"Arbetet med genomförandeakterna för EU:s digitala identitetsplånböcker pågår för fullt. Nu finns möjligheten att lämna synpunkter på en ny omgång av förslag från EU-kommissionen. Synpunkter kan lämnas fram till den 13 maj 2025. https://www.digg.se/5.2ee6167319626c05540c66.html Du får det här mejlet eftersom du valt att prenumerera på nyheter från Digg. Vill du ändra eller avsluta din prenumeration? https://www.digg.se/om-oss/nyheter/mina-prenumerationer "

1 0

SVT skriver om att "Attacken mot Bank-id borde mana till en större diskussion om alternativ till tjänsten"
by Elias Rudberg 29 Apr '25

29 Apr '25

Hej! Här säger cybersäkerhetsexperten Marcus Nohlberg att "både individer och samhället borde fundera på alternativ till Bank-id och utforma en plan b": "Avancerad överbelastningsattack mot Bank-id: ”Kommer definitivt hända igen”" https://www.svt.se/nyheter/inrikes/avancerad-overbelastningsattack-mot-bank… En representant för Bank-id säger "oavsett vem som driver en tjänst så kommer alla ha samma utmaning som vi när det gäller cyberangrepp". Det stämmer väl inte riktigt, man kan ju ha ett decentraliserat system som i sin design är mer robust. De tänker inte ens på den möjligheten verkar det som. Vi kanske kan passa på att skriva en debattartikel om det nu? Någon här på listan som skulle vilja hjälpa till med att skriva något? / Elias

4 4

några tankar
by bengt.jonsson＠zetein.se 24 Apr '25

24 Apr '25

Det bästa är nog att så många som möjligt bara kort noterar "dåligheter" i förslaget, så att det finns en lista av synpunkter att sedan skriva på. Det finns ju gott om tid, och det går nog att hitta saker att reagera på redan efter en snabbtitt. Själv reagerar jag spontant på att de tycks förutsätta att e-leg skall ha en tredje part, tycker direkt verifiering utan inblandning av tredje part (förutom initialt) är att föredra. Det här förslaget tycks förutsätta en (övervakningsbar) tredje part och målar därmed in utvecklingen i ett hörn. Lägger också för kännedom in regeringens uppdrag till Polismyndigheten att utveckla statligt eID https://www.regeringen.se/regeringsuppdrag/2025/04/uppdrag-att-utfarda-en-s…

2 1

Pressmeddelande från Finansdepartementet: "Uppgiftsskyldighet för e-legitimationsföretag för att motverka kriminalitet", 8 april 2025
by Elias Rudberg 23 Apr '25

23 Apr '25

Hej! Det här kanske är relevant för projektet: Pressmeddelande från Finansdepartementet: "Uppgiftsskyldighet för e-legitimationsföretag för att motverka kriminalitet" Publicerad 08 april 2025 "Finansdepartementet har i dag remitterat en promemoria med förslag till en ny lag om uppgiftsskyldighet för vissa e-legitimationsföretag. Syftet med lagen är att brottsbekämpande myndigheter på ett effektivt sätt ska få tillgång till uppgifter om användning av e-legitimationer i brottslig verksamhet." https://www.regeringen.se/pressmeddelanden/2025/04/uppgiftsskyldighet-for-e… "Remiss av Uppgiftsskyldighet för vissa e-legitimationsföretag" https://www.regeringen.se/remisser/2025/04/remiss-av-uppgiftsskyldighet-for… Tyvärr verkar det som om regeringen vill ha ännu mer centralisering och ännu mer massövervakning. DFRI är inte med bland remissinstanserna såvitt jag kan se. (Men det brukar vara så att man får lämna synpunkter ändå, även om man inte är med på listan av remissinstanser.) / Elias

3 2

2025

2024

2023

2022

2021

Eleg-projekt