"Arbetet med genomförandeakterna för EU:s digitala identitetsplånböcker
pågår för fullt. Nu finns möjligheten att lämna synpunkter på en ny
omgång av förslag från EU-kommissionen. Synpunkter kan lämnas fram till
den 13 maj 2025.
https://www.digg.se/5.2ee6167319626c05540c66.html
Du får det här mejlet eftersom du valt att prenumerera på nyheter från
Digg.
Vill du ändra eller avsluta din prenumeration?
https://www.digg.se/om-oss/nyheter/mina-prenumerationer
"
Hej!
Här säger cybersäkerhetsexperten Marcus Nohlberg att "både individer och
samhället borde fundera på alternativ till Bank-id och utforma en plan b":
"Avancerad överbelastningsattack mot Bank-id: ”Kommer definitivt hända
igen”"
https://www.svt.se/nyheter/inrikes/avancerad-overbelastningsattack-mot-bank…
En representant för Bank-id säger "oavsett vem som driver en tjänst så
kommer alla ha samma utmaning som vi när det gäller cyberangrepp".
Det stämmer väl inte riktigt, man kan ju ha ett decentraliserat system
som i sin design är mer robust. De tänker inte ens på den möjligheten
verkar det som.
Vi kanske kan passa på att skriva en debattartikel om det nu? Någon här
på listan som skulle vilja hjälpa till med att skriva något?
/ Elias
Det bästa är nog att så många som möjligt bara kort noterar "dåligheter"
i förslaget, så att det finns en lista av synpunkter att sedan skriva
på. Det finns ju gott om tid, och det går nog att hitta saker att
reagera på redan efter en snabbtitt.
Själv reagerar jag spontant på att de tycks förutsätta att e-leg skall
ha en tredje part, tycker direkt verifiering utan inblandning av tredje
part (förutom initialt) är att föredra. Det här förslaget tycks
förutsätta en (övervakningsbar) tredje part och målar därmed in
utvecklingen i ett hörn.
Lägger också för kännedom in regeringens uppdrag till Polismyndigheten
att utveckla statligt eID
https://www.regeringen.se/regeringsuppdrag/2025/04/uppdrag-att-utfarda-en-s…
Hej!
Det här kanske är relevant för projektet:
Pressmeddelande från Finansdepartementet:
"Uppgiftsskyldighet för e-legitimationsföretag för att motverka
kriminalitet"
Publicerad 08 april 2025
"Finansdepartementet har i dag remitterat en promemoria med förslag till
en ny lag om uppgiftsskyldighet för vissa e-legitimationsföretag. Syftet
med lagen är att brottsbekämpande myndigheter på ett effektivt sätt ska
få tillgång till uppgifter om användning av e-legitimationer i brottslig
verksamhet."
https://www.regeringen.se/pressmeddelanden/2025/04/uppgiftsskyldighet-for-e…
"Remiss av Uppgiftsskyldighet för vissa e-legitimationsföretag"
https://www.regeringen.se/remisser/2025/04/remiss-av-uppgiftsskyldighet-for…
Tyvärr verkar det som om regeringen vill ha ännu mer centralisering och
ännu mer massövervakning.
DFRI är inte med bland remissinstanserna såvitt jag kan se. (Men det
brukar vara så att man får lämna synpunkter ändå, även om man inte är
med på listan av remissinstanser.)
/ Elias
Sammanfattning av öppet möte 30 om att bygga egen e-leg-lösning, 21
april 2025:
Tack till alla som var med på mötet!
- Elias har pratat med en frilansjournalist som är intresserad av de här
frågorna, visat vår proof-of-concept. Tips på bra personer för
journalisten att prata med kring e-leg-frågan? --> några andra från
projektet kanske?
Den som har förslag på personer eller organisationer som skulle vara
relevanta för journalister att prata med kring den här frågan, skriv
gärna till projektets mejllista om det.
- Testat mer med Nitrokey, verkar behövas varianten "Nitrokey HSM",
"Nitrokey 3" funkar inte för Elias iallafall. Se
https://codeberg.org/DFRI-eID/dfri-eid/issues/6
Nitrokeys översikt features: https://www.nitrokey.com/products/nitrokeys
skrolla ner bra bit. Kan vara PKI/CA featuren som vi beror på.
- Förslag: För proof-of-concept (PoC): skapa PoC-utgivare med
revokeringslista tillgänglig för test
Sätta upp server med revokeringslist åtminstone så vi får in url:en och
kan flytta den om det behövs. Leif-Jöran (ljo) kan nog ordna en domän
och webbserver för det (för vår PoC-utfärdare alltså).
- Förslag: För förlitande part: skapa komplett PoC-exempel inklusive
regelbunden nedladdning av revokeringslista (då behöver dock punkten
ovan lösas först så att det finns en lista att hämta)
- ljo: friprogramvarusyndikatet (fps) har en partnerkontakt med ett
företag som håller på med IT-juridik och dataskydd --> återkommer om det
senare, förhoppningsvis inom närmaste veckorna.
- ljo: har också fått in fler frågor till vanliga frågor genom att fps
bett några titta på videon från SamNet#3 och sen intervjuat dem efteråt.
Presentationen från SamNet finns här:
https://play.dfri.se/w/iqBpKaUzKpG3BCLqEg5Vhh
Alla SamNet-presentationer finns här:
https://play.dfri.se/w/p/sJJr8HKrVJsCSza4dXUVg3
- Christian: vi borde skapa någon sorts inloggning via temporär domän
liknande
https://login.skandia.se/?client_id=i_web_individual_short#tab-Certificate
Slumpsubdomän för inloggningen, på så vis kan man vara säker på att en
unik ny session skapas.
- Idé: Ska vi börja använda vårt system internt inom DFRI för medlemmar?
Maila ut en tidsbegränsad engångskod som ska användas när man "enrollar"
på utfärdarens hemsida.
- När blir nästa möte?
Nästa möte hålls måndag 2025-05-26 klockan 18 till 19 (en timme)
Alla är välkomna att vara med på kommande möten. OBS även du som inte
varit med förut är mycket välkommen att vara med!
/ Elias
PS
Läs gärna om projektet här: https://www.dfri.se/projekt/e-legitimation/
PS 2
Alla som är intresserade är välkomna att höra av sig via projektets
mejllista
Hej!
Det här kom idag, "Publicerad 04 april 2025" står det:
https://www.regeringen.se/regeringsuppdrag/2025/04/uppdrag-att-utfarda-en-s…
"Uppdrag att utfärda en statlig e-legitimation på högsta tillitsnivå"
"Diarienummer: Ju2025/00740"
"Regeringen ger Polismyndigheten i uppdrag att utforma och utfärda en
statlig e-legitimation på högsta tillitsnivå i enlighet med
Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli
2014 om elektronisk identifiering och betrodda tjänster för elektroniska
transaktioner på den inre marknaden och om upphävande av direktiv
1999/93/EG, ändrad genom Europaparlamentets och rådets förordning (EU)
2024/1183 av den 11 april 2024 om ändring av förordning (EU) nr 910/2014
vad gäller inrättandet av ett europeiskt ramverk för digital identitet
(den reviderade eIDASförordningen). Uppdraget ska genomföras i samverkan
med Myndigheten för digital förvaltning (Digg)."
[...]
"Uppdraget ska redovisas till Regeringskansliet (Justitiedepartementet)
senast den 2 november 2026. Senast vid tidpunkten för redovisningen ska
e- legitimationen vara redo att utfärdas, förutsatt att den svenska
lagstiftningen är på plats."
Det länkas till en pdf på 4 sidor där det står att det är
regeringsbeslut taget 2025-03-27.
/ Elias
Sammanfattning av öppet möte 29 om att bygga egen e-leg-lösning, 24 mars
2025:
Tack till alla som var med på mötet!
- CA-programvara för utgivaren och test med nginx, status
Inget nytt på den punkten.
- OpenPGP-kort, hårdvarunycklar osv. Yubikey? Nitrokey? TPM2-chip i
laptop? Tillitis TKey?
Elias har tänkt felsöka Nitrokey, men inte hunnit det än.
Christian har inte gjort nåt mer än att beställa en modernare
smartkortläsare. Mer detaljer senare Några detaljer här:
https://noerdic.se/products/nordic-usb-a-smartkort-och-simkortlasare-iso781…
Hur funkar smartcards?
Beroende på vilket operativsystem man har kan man behöva drivrutiner
dels för kortläsaren och dels för kortet
I GNU/Linux kan man be gpg visa status för kortet med kommandot "gpg
--card-status"
- Mer om WebAuthn/FIDO2, se mejl från Linn
Kompenserade för sågningen av webauthn, på yubikey, kan certifikat för
attestering laddas.
Skulle vilja ha en slit-och-släng-yubikey för att testa med, testa att
lägga in ett nytt attesterings-certifikat.
Bootstrappa med nytt certifikat från oss? Uppdateringar och förnyelse på
samma enhet. "bring your own"
Enroll safely and uniquely snyggare än döda det pålitliga certifikatet.
Behöver köpa en låda Yubikeys för att göra destruktiva teståtgärder. LJO
kan köpa några till.
- Skickat frågor till Polismyndigheten om deras arbete med statligt e-leg
Vi skickade frågor i februari, väntar fortsatt på svar.
- Artikel i Computer Sweden om att Digg utvecklar digital id-plånbok
Börje skickade länken till artikeln. LJO hade läst den precis.
https://computersweden.se/article/3840198/digg-utvecklar-digital-id-planbok…
En sak som står i artikeln är att den "digitala id-plånbok" som Digg ska
utveckla ska vara på plats i december 2026, och den ska kräva att man
har e-legitimation på högsta tillitsnivå vilket bör betyda att den
statliga e-leg-lösning som Polismyndigheten jobbar med nu också behöver
vara sjösatt senast december 2026.
- Föredrag på SamNet-konferensen 1 april 2025. Bara en vecka kvar!
Leif-Jöran har börjat ta fram bilder till presentationen.
SamNet-konferensen: https://samnet.se/
Anmälan: https://pretix.eu/dfri/samnet-3/
- När blir nästa möte?
Nästa möte hålls måndag 2025-04-21 klockan 18 till 19 (en timme)
Alla är välkomna att vara med på kommande möten. OBS även du som inte
varit med förut är mycket välkommen att vara med!
/ Elias
PS
Läs gärna om projektet här: https://www.dfri.se/projekt/e-legitimation/
PS 2
Alla som är intresserade är välkomna att höra av sig via projektets
mejllista
Hej!
Välkomna till distans-möte nummer 29 om hur vi kan bygga en egen
decentraliserad lösning för fri och öppen e-legitimation. Vi fortsätter
med kravspecifikation, design, implementation och testning av de olika
komponenter som kommer behövas.
Tid: måndag 24 mars 2025 klockan 18:00. Vi siktar på att hålla på i upp
till en timme.
Plats: https://jitsi.eliasrudberg.se/e-id-meeting
Förslag till agenda:
- CA-programvara för utgivaren och test med nginx, status
- OpenPGP-kort, hårdvarunycklar osv. Yubikey? Nitrokey? TPM2-chip i
laptop? Tillitis TKey?
- Mer om WebAuthn/FIDO2, se mejl från Linn
- Skickat frågor till Polismyndigheten om deras arbete med statligt e-leg
- Artikel i Computer Sweden om att Digg utvecklar digital id-plånbok
- Föredrag på SamNet-konferensen 1 april 2025. Bara en vecka kvar!
Alla är välkomna, både ni som varit med tidigare och alla nya som vill
vara med och diskutera och hjälpa till med det här.
Svara gärna här på mejllistan med alla frågor och funderingar inför
mötet, och förslag på fler saker vi borde ta upp.
Välkomna!
Vänliga hälsningar
Projektets styrgrupp genom Elias
Sammanfattning av öppet möte nr 28 om att bygga egen e-leg-lösning, 3
mars 2025:
Tack till alla som var med på mötet!
- CA-programvara för utgivaren och test med nginx, status
Inget nytt sedan konstaterandet på möte 27 att testdomänerna behöver tas
upp igen.
- OpenPGP-kort, hårdvarunycklar osv. Nitrokey? TPM2-chip i laptop?
Tillitis TKey?
Ett nytt ärende har skapat för Nitrokey av Elias enligt Christians
instruktion:
<https://codeberg.org/DFRI-eID/dfri-eid/issues/6>
Andra FIDO2-testsidor:
<https://demo.yubico.com/webauthn-technical/registration>
<https://webauthn.io/>
- Sammanställa frågor att skicka till Polismyndigheten om deras arbete
med statligt e-leg
Andreas på Polismyndigheten svarade kort med "Återkommer" på frågorna
som samlades ihop på möte 26 och 27.
- Föredrag på SamNet-konferensen 1 april 2025
Leif-Jöran har börjat göra bilder för till presentationen. Tar i första
läget stöd från Gustav och skickar kanske ut till mejllistan innan nästa
möte.
Webbsidan för den kommande SamNet-konferensen: <https://samnet.se/>
- Beskrivningar av arbetsflöden för utfärdande, användning, återkallande
och så vidare.
Arbetet fortsätter med FAQ-sida, diagram osv. Några av diagrammen
arbetas på i alternativa former för SamNet-presentationen
för att sen återföras.
- Relation mellan e-legitimation och European Digital Identity Wallet
I linje med diskussionen på möte 27 så konstaterar vi att det är två
skilda saker.
- FIDO2? Borde vi använda det för vårt proof-of-concept istället för mTLS?
Bakgrund:
Det finns det flera metoder för att implementera FIDO2:
* U2F (Universal 2nd Factor): ett standardformat för FIDO2 som
använder en USB-enheter eller chip på ett kort.
* CTAP2 (Challenge Transport Authentication Protocol version 2): en
metod för autentisering som använder en krypterad kanal för att
transponera autentiseringsdata.
* Passkey: en metod som använder en preautentifierad token eller
ett kort för att skydda en unik autentiseringssträng.
* WebAuthn (Web Authentication): en standard för att hantera
autentisering i webbläsare utan behov av en central punkt.
Men så här uppfattar Christian FIDO2 utifrån sina första försök:
* två bakändor, passkey eller ctap2, virtuella usb-enheter
skickar testförfrågningar serieprokollet, pin-hanteringen, knappsats hit
och dit vs fönster.
* När det gäller WebAuthn: hur tusan får vi till det i en webbläsare att
vi kan hantera en inloggning utan att behöva kommunicera till en central
punkt? Du kan inte fråga enheten om en identitet som inte är kopplad
till din nuvarande hemsida.
* För att kunna använda Webauthn behöver man ha saker som "attestation"
så att man kan bevisa att "hej, jag kommer härifrån" attestation behöver
kollas mer på för WebAuthn.
Det finns 3 eller 4 olika "attestation" varav en är "enterprise" som
troligen är vad vi skulle behöva för att kunna ha public-key-grejor,
utgivaren har då certifierat hårdvarunyckeln så att det går att kolla
att den hårdvarunyckeln kommer från en betrodd tillverkare. Då kan man
till slut kanske uppnå "bring your own device" som vi skulle vilja ha.
* Det som WebAuthn är riktigt bra till är att lätt kunna skapa olika
identiteter.
* Fråga om frihet att välja hårdvaruenhet själv eller måste välja en
enhet som är utgiven av en betrodd hårdvarutillverkare.
* Proof-of-concept kommer vara att man får välja
hårdvarunyckel/mjukvarunyckel själv och ingen ska bry sig om hur man
valt att implementera den.
Cynthia och Linn berättar mer om deras syn på WebAuthn i slutet av mötet:
För WebAuthn finns väldigt strikta regler för vem som är "relying party"
när man skapar en identitet.
När du skapat en identitet så får du inte använda den någon annanstans
på internet än just där du har skapat den!
Om du vill använda en identitet som är skapad på ett ställe på en annan
hemsida, då måste det skapas en ny identitet, för WebAuthn skapar en ny
identitet för varje hemsida. Vissa undantag t.ex. webhallen.com och
webhallen.se kan dela, men bara upp till max 5 stycken.
Om jag skapar en identitet på till exempel swedbank.se så ska inte vem
som helst kunna be om den identiteten.
Webauthn skapades för att det var problem med lösenord, då skapades
Webauthn som en lösenords-fri lösning.
För att vi ska kunna göra det vi vill göra så behöver vi ha in en massa
fler säkerhetsgrejor i det här, till exempel ändra i vad som ingår i en
challenge-response, den funktionaliteten finns inte i WebAuthn. Så vi
skulle behöva nya standarder för WebAuthn för att lösa det.
Vi skulle i så fall använda WebAuthn för ett syfte som är ganska olikt
det som WebAuthn byggdes för.
Om vi har en egen klientprogramvara (eller "app") så kan vi göra väldigt
mycket mer med de här hårdvarunycklarna, men om vi bara har webbläsare
så kan vi inte göra så mycket.
Slutsats: WebAuthn kan verka vara ungefär det vi vill ha, men tittar man
närmare så är det inte riktigt det ändå.
- Tankar på att skapa civilsamhällelig organisation, fråga från Tims mejl
eSam: <https://esam.se/>
Fråga: "känner lite folk som brukar vara med på dessa
myndighetshackathon och har fått höra att det finns tankar på att skapa
någon sorts civilsamhällelig organisation (kanske någon sorts socialt
företag) som kan bidra till tjänsteutveckling av lösningar som skapas på
dessa hackathons"
Är det intressant? Finns intresse/behov för att starta någon sorts
organisation eller inte?
Intresset var svalt eftersom det ligger långt bort från eleg-projektet.
Ingen trodde direkt på att starta någon organisation, flera var snarare
kritiska till att börja i den änden. Frågan avfördes efter diskussionen.
- När blir nästa möte?
Nästa möte hålls måndag 2025-03-24 klockan 18 till 19 (en timme)
Alla är välkomna att vara med på kommande möten. OBS även du som inte
varit med förut är mycket välkommen att vara med!
/ Leif-Jöran
PS
Läs gärna om projektet här: <https://www.dfri.se/projekt/e-legitimation/>
PS 2
Alla som är intresserade är välkomna att höra av sig via projektets
mejllista