- Eleg-projekt

Sammanfattning av öppet möte nr 24 om att bygga egen e-leg-lösning, 11 nov 2024
by Elias Rudberg 14 Nov '24

14 Nov '24

Sammanfattning av öppet möte nr 24 om att bygga egen e-leg-lösning, 11 nov 2024: Tack till alla som var med på mötet! - Implementation av en första version av CA-programvara för utgivaren Kod finns [0]. Bra om vi kan få till det med hårdvarunyckel. Inget nytt på denna punkt. Flera har testat och verifierat att det fungerar, det är bra. - Fortsättning av test med nginx En sak att lägga till här är systematisk hantering av revokeringslista, t.ex. med ett cron-jobb som regelbundet hämtar senaste revokeringslista. Behöver även hantera fallet att man inte lyckas hämta. Filer för test med nginx, gunicorn and flask finns i git-repot [1]. Bra om fler är med och testar detta, om någon vill ha nya subdomäner för test kan vi hjälpas åt med det, säg till så löser vi det. - OpenPGP-kort, hårdvarunycklar osv. Nitrokey? TPM2-chip i laptop? Test med Nitrokey har gjorts och fungerar, git-repot har uppdaterats med info om det [2]. Flera ska testa den biten också. OpenPGP-kort återstår, hoppas vi kan få till det också snart. Test med TPM2-chip i laptop är på gång också. En fråga som kom upp är att för vissa saker som testats med openssl-kommandot hade det varit bra att ta med också hur man kan göra motsvarande med curl, t.ex. hur man anger en "engine" beroende på hur man hanterar den privata nyckeln kan se olika ut beroende på om man använder openssl eller curl. - git-repo Det gamla git-repot är arkiverat nu. Det nya git-repot som är det som gäller nu är https://codeberg.org/DFRI-eID/dfri-eid - Beskrivningar av arbetsflöden för utfärdande, användning, återkallande osv. Det jobbas vidare med detta, bl.a. längre text-beskrivningar och andra typer av diagram. - Möte med DIGG? Inget nytt här ännu, vi ska försöka få till ett möte med DIGG om processen kring den statliga e-legitimationen (även efter att uppdraget gått över till Polismyndigheten). - Övrigt Problemet med utloggning kan eventuellt lösas genom att använda en slumpmässig sträng som subdomän som man använder klientcertifikatet mot. När man loggar ut kastas subdomänen bort. - När blir nästa möte? Nästa möte blir måndagen 2024-12-09 klockan 18 till 19 (en timme) Alla är välkomna att vara med på kommande möten. OBS även du som inte varit med förut är mycket välkommen att vara med! / Elias [0] https://codeberg.org/DFRI-eID/dfri-eid/src/branch/main/go-eid-test-ca [1] https://codeberg.org/DFRI-eID/dfri-eid/src/branch/main/nginx-test [2] https://codeberg.org/DFRI-eID/dfri-eid/src/branch/main/go-eid-test-ca/USING… PS Läs gärna om projektet här: https://www.dfri.se/projekt/e-legitimation/ PS 2 Alla som är intresserade är välkomna att höra av sig via projektets mejllista

1 0

Välkomna på öppet möte nr 24 om att bygga egen e-leg-lösning, 11 nov klockan 18
by Elias Rudberg 10 Nov '24

10 Nov '24

Hej! Välkomna till distans-möte nummer 24 om hur vi kan bygga en egen decentraliserad lösning för fri och öppen e-legitimation. Vi fortsätter med kravspecifikation, design, implementation och testning av de olika komponenter som kommer behövas. Tid: måndag 11 november 2024 klockan 18:00. Vi siktar på att hålla på i upp till en timme. Plats: https://jitsi.eliasrudberg.se/e-id-meeting Förslag till agenda: - Implementation av en första version av CA-programvara för utgivaren - Fortsättning av test med nginx - OpenPGP-kort, hårdvarunycklar osv. Nitrokey? TPM2-chip i laptop? - git-repo - Beskrivningar av arbetsflöden för utfärdande, användning, återkallande osv. - Möte med DIGG? Alla är välkomna, både ni som varit med tidigare och alla nya som vill vara med och diskutera och hjälpa till med det här. Svara gärna här på mejllistan med alla frågor och funderingar inför mötet. Välkomna! Vänliga hälsningar Projektets styrgrupp genom Elias

1 0

Sammanfattning av öppet möte nr 23 om att bygga egen e-leg-lösning, 21 okt 2024
by Elias Rudberg 03 Nov '24

03 Nov '24

Sammanfattning av öppet möte nr 23 om att bygga egen e-leg-lösning, 21 okt 2024: Tack till alla som var med på mötet! - Implementation av en första version av CA-programvara för utgivaren Bra om vi kan få till det med hårdvarunyckel. Inget nytt på denna punkt. - Fortsättning av test med nginx Alla uppmuntras att testa, observera att det går bra att testa alla de olika delarna, man kan testa att agera utgivare, att agera förlitande part, och som privatperson som använder e-leg. - OpenPGP-kort, hårdvarunycklar osv. Använda TPM2-chip i laptop? Att använda TPM2-chip i en laptop är en möjlighet som också kan vara intressant att testa. Det bör fungera som en hårdvarunyckel som finns inbyggd i datorn, om den fungerar rätt ska det betyda att det inte går att kopiera ut den privata nyckeln så man vet att den inte kan komma på avvägar. Testa gärna med andra typer av kort. - Förvirring kring olika git-repon? Det git-repo som ska användas nu är https://codeberg.org/DFRI-eID/dfri-eid och vi kom fram till att det gamla repot som hette "go-eid-test-ca" ska frysas så att man inte råkar göra ändringar på fel ställe. Ändringar som råkat hamna fel ska flyttas över till det rätta repot. Tanken är att allt som fanns i repot "go-eid-test-ca" ska nu istället finnas i en katalog med det namnet inne i det nya repot, så att allt finns samlat i samma repo. - Beskrivningar av arbetsflöden för utfärdande, användning, återkallande osv. Inget nytt här sedan sist på grund av att vissa personer varit upptagna av annat, men kommer fortsätta arbetet till nästa gång. - Diskussion om hur saker ska fungera i praktiken När man använder det här idt, har vi pratat om att använda ett mTLS-certifikat i browsern. Frågor kring det: Går det vara selektiv med certifikatet i webbläsaren? Hur blir det med inloggningssessionen, hur länge varar den? Vi diskuterade kring de sakerna och konstaterade att även om användargränssnittet inte blir perfekt, delvis beroende på vad webbläsare stöder för tillfället, så är det ändå stor fördel för oss att använda mTLS till att börja med eftersom vi då kan använda saker som redan finns. - Möte med DIGG? Mötet vi hade inplanerat med DIGG blev uppskjutet, det är nu oklart om det blir av, vi kanske ska fortsätta försöka ändå. En av frågorna som skulle vara intressant att ställa till DIGG på ett sånt möte är: även om DIGG inte implementerar, är det väl fortfarande DIGG som ska se till att regler följs och så? Kommer polisens implementation att få särbehandling eller kommer den att behöva godkännas som vilken e-leg som helst? Med andra ord, har DIGG fortfarande ansvar, i godkännande-fasen? - När blir nästa möte? Nästa möte blir måndagen 2024-11-11 klockan 18 till 19 (en timme) Alla är välkomna att vara med på kommande möten. OBS även du som inte varit med förut är mycket välkommen att vara med! / Elias PS Läs gärna om projektet här: https://www.dfri.se/projekt/e-legitimation/ PS 2 Alla som är intresserade är välkomna att höra av sig via projektets mejllista

1 0

Välkomna på öppet möte nr 23 om att bygga egen e-leg-lösning, 21 okt klockan 18
by Elias Rudberg 19 Oct '24

19 Oct '24

Hej! Välkomna till distans-möte nummer 23 om hur vi kan bygga en egen decentraliserad lösning för fri och öppen e-legitimation. Vi fortsätter med kravspecifikation, design, implementation och testning av de olika komponenter som kommer behövas. Tid: måndag 21 oktober 2024 klockan 18:00. Vi siktar på att hålla på i upp till en timme. Plats: https://jitsi.eliasrudberg.se/e-id-meeting Förslag till agenda: - Implementation av en första version av CA-programvara för utgivaren - Fortsättning av test med nginx - OpenPGP-kort, hårdvarunycklar osv. Använda TPM2-chip i laptop? - Förvirring kring olika git-repon? - Beskrivningar av arbetsflöden för utfärdande, användning, återkallande osv. Alla är välkomna, både ni som varit med tidigare och alla nya som vill vara med och diskutera och hjälpa till med det här. Svara gärna här på mejllistan med alla frågor och funderingar inför mötet. Välkomna! Vänliga hälsningar Projektets styrgrupp genom Elias

1 0

Resultat av TPM2-experimentet
by Christian Häggström 19 Oct '24

19 Oct '24

Hej, till att börja med vill jag tacka Andrew Dalke för att du delade med dig av ditt inspirerande meddelande till kommunen på seniorträffen! Jag sa under förra mötet att jag skulle kolla på att använda TPM2-chippet i datorn som hårdvarunyckel. Jag började med att skriva några kommandon [2] man kan använda för att testa Elias go-implementation med openssl CLI istället för nginx/letsencrypt. Sedan modifierade jag de kommandona för att prata med TPM2-chippet istället [2]. Fick inte det att fungera helt med min dator så vore bra om någon annan vill provköra som kör Linux på en modern laptop. Har tyvärr förhinder på nästa möte 21/10. Trevlig decentraliserad söndagkväll! önskar Christian [1] https://codeberg.org/DFRI-eID/go-eid-test-ca/pulls/2 [2] https://codeberg.org/DFRI-eID/go-eid-test-ca/pulls/3

2 1

BankID, seniorer, och jag
by Andrew Dalke 19 Oct '24

19 Oct '24

Hej allihopa, Jag delar lite om min aktivism. Jag skulle hellre kunna leva utan smartmobil och utan företag som portalväktare till mitt privatliv. För mig är en FOSS alternativ till BankID, som funkar på en vanlig dator med GNU/Linux, *BSD, Haiku, osv, kanske med kortläsare, funkar helt okej. Jag var på en Seniormässa igår. Arrangören var stadens "Omsorgsförvaltningens verksamhet för digitalisering och välfärd". Den startades för ungefär 8 månader sen för att stödja seniorer som har problem med den nya tekniska världen. Till example, de kan göra ett hembesök för att fixa lätta problem, och hitta ett sätt att kunna betala med faktura istället för Swish. Jag gick ditt inte för att jag är senior, utan för att kunna prata med någon från staden om antagandet att bara seniorer har problem med landets sätt att digitalisera. Jag skrev texten nedan, som jag delade med den tvåa som var där. Chefen lovade att den kommer att diskuteras med stadens IT-avdelningens chef. Jag hade chans att prata med killen som gör hembesöken. Han tycker väldigt mycket om FOSS, men det största problemet för de flesta seniorer är kunna använda BankID. En kvinna berättade att hon hade en gammal dator hemma, men den funkar inte med den nyaste Windows, så behövde hon köpa ny. Självklart bidrar BankID till e-skrott, och försämrar livet för våra äldre. Med vänliga hälsningar, Andrew Dalke dalke(a)dalkescientific.com När ni pratar om ett digitalt samhälle, finns det plats for oss som har viss digital media och enheter men inte alls skulle vilja ha Google, Apple, Microsoft, Facebook, PayPal, och så vidare i sitt privatliv? Jag är 55 år gammal, och lite yngre än dem flesta här. Jag representerar den första generationen som hade TV-spel och datorer hemma i sin barndom. Jag lärde mig att programmera när jag var 12 år gammal. Jag utbildade mig inom dator vetenskap. Jag var på webben redan 1994. Jag bodde i Silicon Valley under DotCom tiden. Jag är en av de programmerarna som har skrivit en del av mjukvaran som användas dagligen av de flesta som är online. Jag har varit online nästan dagligen i decennier, och nu jag är trött, och deprimerad, och frustrerad, att framtiden att jag hjälpte utveckla, är nu koloniserad av stora företag. Dessa företag skapar en reklamprofil, samlar person uppgifter, förstör samhället och miljön. De stödjer fascister, kämpar emot fackföreningar, sprider ljuger, och suger pengar ur vårt ekonomi. De vill ha kontroll över internet, våra enheter och vårt liv. Jag är frustrerad på staden och regionen som har skapat digitala lösningar och förväntar sig att alla har en smartmobil. Samt att alla har undertecknat ett avtal med dessa amerikanska företag. Jag är arg att vår regering verkar vilja ha en spion på varje mobil, som smyglyssnar på vårt privat liv för att informera myndigheterna - för att rädda barnen, förstås. Efter 25 år online började jag att bli utbränd på grund av notiser, reklam och memes. Nu efter 35 år vill jag hellre avstå från ett digitalt liv. Rädslan för att gå miste om något, och behovet att ha koll på allt hela tiden vilket dessa förtag utnyttjar har bidragit till min dåliga mentala hälsa. Min lösning har varit att leva utan smartmobil. Jag läser mina nyheter i (pappers)tidningarna. Jag använder konto laddning på bussen. Jag använder kontanter eller kort för att handla. Jag avstår alla tjänsterna som kräver att jag ge upp min sekretess för att mata övervaknings kapitalismen. Jag har bestämt mig att den ända moraliska lösningen är att byta till ett så-kallad Open Source system, typ Linux, för att hålla vinstdrivande företag på armlängds avstånd. Jag har redan upptäckt att kommunen inte är förberedda för människor som mig. BankID krävs för att kunna logga in till webbportalarna till mina barns skolor, och BankID kräver ju att man måste ha undertecknat avtal med Microsoft, Apple, eller Google. Jag har provat i drygt en månad för att hitta ett bra alternativt för att kunna logga in till ItsLearning, utan lösning. BankID krävs för att logga in digitalt på Maria Alberts, därför måste jag ringa dem istället. BankID krävs för att använda Swish, därför använder jag helst kontant eller kort. Det blir mer och mer krångligt, men om digitalisering innebär att jag måste minska min sekretess, är problemet mig, eller digitaliserings processen ni har valt? Kommer kommunen vara redo för min generation, blivande seniorer som är medvetna om problemen med vårt beroende av utländska företag, och som har kunskap om datorer för att kunde skapa eller hitta en annan digital lösning själva? Regeringen skulle inte att tvinga oss att använda dessa opålitliga företag och ha tillit på den amerikanska regeringen bakom dem. Kommunen förväntar redan ibland att alla har en smartmobil med sig hela tiden, till exempel, på notiser med QR-kod länk och ingen annan möjlighet att läsa mer. Kanske vet du en människa som tar en "digital detox" efter ha blivit en scrollande mobilzombie för länge. Vad har ni för tankar om en framtid där ännu mer människor blir lika mental utbrända som jag, som skulle vilja gå på promenad utan att känner sig isolerade på grund av allmänna skyltar som bara är läsbara med smartmobil? Är det en framtid där man måste ha Facebook, Instagram, eller X konto för att kunna lära sig mer om kommunens aktiviteter detta ska väl vara tillgängligt för alla? Finns plats i Trollhättans digitala framtid för människor som mig?

2 2

Sammanfattning av öppet möte nr 22 om att bygga egen e-leg-lösning, 30 sept 2024
by Elias Rudberg 01 Oct '24

01 Oct '24

Sammanfattning av öppet möte nr 22 om att bygga egen e-leg-lösning, 30 sept 2024: Tack till alla som var med på mötet! - Rapport från vårt möte med DIGG om statlig e-legitimation (tyvärr uppskjutet) Vi skulle haft ett möte med Myndigheten för digital förvaltning (DIGG) men det blev tyvärr uppskjutet p.g.a. att någon blivit sjuk. Förhoppningsvis kommer det mötet fortfarande att kunna bli av, men försenat, vi vet inte just nu om och när det kan bli. Situationen kring den kommande statliga e-legitimationen är något oklar nu efter att regeringen nyligen beslutat att ge uppdraget till Polismyndigheten istället för DIGG [0]. Alltså uppdraget att verkligen skapa den tekniska lösningen som ska användas. Vi vet inte nu, men vill gärna veta, om det är så att det som sagts tidigare (att det ska vara öppen standard och att möjliggöra id-växling till exempel) fortfarande gäller, eller om allt blir annorlunda nu. Flera på mötet uttryckte oro över att när polisen ska skapa lösningen är det risk för mer fokus på övervakning och mindre respekt för människors rättigheter. Om och när ett möte med DIGG blir av ska vi försöka få svar på det. Tack till er som mejlat förslag om saker att ta upp på mötet med DIGG, vi tar med oss era förslag till mötet med DIGG om/när det blir av. - Implementation av en första version av CA-programvara för utgivaren Samma status som tidigare: en sak vi gärna vill lägga till är att låta utfärdaren (CA) använda hårdvarunyckel, ingen har hunnit lösa den biten ännu. (Koden för CA-programvaran och även nginx-testet nedan finns på https://codeberg.org/DFRI-eID/dfri-eid för den som vill titta och/eller testa själv men OBS att det bara är utkast/arbetsmaterial i det här läget, inget som är färdigt att visa upp. Rapportera gärna om ni hittar fel eller problem där.) - Fortsättning av test med nginx, lägga till revokeringslista - privacy kring revokeringslistan? Vi har ju ett test med nginx [1] där vi även testat att använda revokeringslista (CRL) [2] vilket fungerar, en fråga kring det är om det från revokeringslistan går att läsa ut vilka personers certifikat som har återkallats. Det verkar som om standardformatet av CRL-fil som vi använt bara innehåller serienummer för certifikat och tidpunkt för återkallande, det går alltså inte att se vilka personer det gäller, vilket är bra för privacy. Vi diskuterade lite kring att en fördel med CRL-metoden är att det inte ställs någon fråga till något centralt system för varje gång man använder sin e-legitimation så det finns inget centralt system som kan spåra en på det sättet. En alternativ lösning är ju att inte ha en CRL utan att det istället ställs en fråga varje gång, som i OCSP [3]. Om det ställs en fråga varje gång finns möjlighet för en central aktör att veta varje gång man använder sin e-legitimation, vilket är dåligt för privacy. CRL-metoden har också en fördel när det gäller robusthet i samhället vid krissituationer, eftersom det bara behövs en envägs-kommunikation där utfärdaren (CA) på valfritt sätt skickar ut (broadcast) informaitonen om nuvarande CRL till alla. Det skulle i princip kunna göras med t.ex. radio-broadcast som kan fungera mycket mer robust, alltså det kräver inte att var och en har internet-uppkoppling utan det räcker att kunna ta emot radiosändningen, sen kan certifikat användas lokalt även om internet inte fungerar för tillfället, eller om internet fungerar dåligt. - OpenPGP-kort, hårdvarunycklar osv. Som tidigare vill vi gärna kunna göra något motsvarande [4, 5] även för andra typer av hårdvarunyckel än Yubikey, andra möjliga varianter är OpenPGP-kort eller t.ex. Tillitis TKey eller Nitrokey, en möjlighet är också att använda TPM2-chippet i en laptop. Alla som kan är mycket välkomna att hjälpa till här, hör av er och berätta hur man gör motsvarande [5] för olika typer av hårdvarunycklar! En fråga kring detta är om utfärdaren kan veta att man använt en hårdvarunyckel. Vill vi det? För användarens frihet är det bäst att ha full frihet i att välja hur den privata nyckeln hanteras, då kan utfärdaren inte veta hur man gjort. Om utfärdaren ska kunna veta det kan "attestering" användas, det kan bli aktuellt senare men tyvärr troligen till priset av mindre frihet, en viss makt hamnar då hos den eller de aktörer som skapar "godkända" hårdvarunycklar, och det kan bli problem kring vem som bestämmer vilka lösningar som ska anses godkända. - Beskrivningar av arbetsflöden för utfärdande, användning, återkallande osv. Det går framåt! Bland annat har bilder lagts till, pågår arbete med att snygga till dem. Arbetet fortsätter. - När blir nästa möte? Nästa möte blir måndagen 2024-10-21 klockan 18 till 19 (en timme) Alla är välkomna att vara med på kommande möten. OBS även du som inte varit med förut är mycket välkommen att vara med! / Elias [0] https://www.digg.se/digitala-tjanster/e-legitimering/statlig-e-legitimation [1] https://mailman.dfri.se/mailman3/hyperkitty/list/eleg-projekt@lists.dfri.se… [2] https://en.wikipedia.org/wiki/Certificate_revocation_list [3] https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol [4] https://johanfagerstroem.github.io/2021/https-client-certificates-with-yubi… [5] https://mailman.dfri.se/mailman3/hyperkitty/list/eleg-projekt@lists.dfri.se… PS Läs gärna om projektet här: https://www.dfri.se/projekt/e-legitimation/ PS 2 Alla som är intresserade är välkomna att höra av sig via projektets mejllista

1 0

Anggående möte med DIGG i eftermiddag
by Tim Sandgren 30 Sep '24

30 Sep '24

Hej alla, Nu kanske detta kommer iväg lite sent, men jag tänkte ändå skriva ett par frågor som kunde vara bra att ställa till DIGG så småningom: För det första så skulle det vara bra att veta om e-legitimationen kan förverkligas i samverkan mellan flera organisationer. Så som jag läste texten nu i länken jag fick från Elias: https://www.digg.se/digitala-tjanster/e-legitimering/tillitsnivaer-for-e-le… så är det skrivet som att en organisation ensam ska ge ut. Det behöver också vara en stort företag som har gott om pengar så som jag tolker texten. Så frågan är om det kunde gå att istället ge ut legitimationen i ett öppet samverkansprojekt där flera intressenter tillsammans kan se till att uppfylla kraven i ISO 27001. Polismyndigheten kunde i sådana fall bli en viktig intressent, liksom även föreningen DFRI. Det var mitt förslag på fråga! / Tim

1 0

Möte med DIGG planerat till imorgon eftermiddag, föreslå gärna frågor att ställa
by Elias Rudberg 30 Sep '24

30 Sep '24

Hej! Det har blivit så att samtidigt som DIGG säger att de inte längre är ansvariga för att bygga den kommande statliga e-legitimationen så har vi ändå fått inbokat ett möte med dem. Inte säkert att det blir av men förhoppningsvis ska det bli imorgon eftermiddag, alltså 30 september, eftermiddagen samma dag när vi sen har vårt projektmöte på kvällen. Planen är att Cynthia och jag ska vara med på mötet med DIGG och vi ska försöka få klarhet i vad den nya situationen innebär, om det är så att alla planer från de tidigare utredningarna nu kastats i sopkorgen eller om det här att polisen ska ta över bara är en ändring av vem som gör jobbet och inte själva den tekniska lösningen i sig. Det viktigaste tänker jag är att lösningen måste vara baserad på öppen standard så att den inte är låst till vissa operativsystem och så att fri programvara kan användas, så det tänker jag ta upp och fråga om. Risken är att DIGG svarar att de inte vet och att det nu är helt upp till Polismyndigheten att bestämma hur det blir nu. Vi får se. Svara gärna med era tankar och förslag om vad vi borde ta upp på mötet med DIGG. / Elias

3 2

Välkomna på öppet möte nr 22 om att bygga egen e-leg-lösning, 30 sept klockan 18
by Elias Rudberg 29 Sep '24

29 Sep '24

Hej! Välkomna till distans-möte nummer 22 om hur vi kan bygga en egen decentraliserad lösning för fri och öppen e-legitimation. Vi fortsätter med kravspecifikation, design och implementation av de olika komponenter som kommer behövas. Tid: måndag 30 september 2024 klockan 18:00. Vi siktar på att hålla på i upp till en timme. Plats: https://jitsi.eliasrudberg.se/e-id-meeting Förslag till agenda: - Implementation av en första version av CA-programvara för utgivaren - Fortsättning av test med nginx, lägga till revokeringslista - OpenPGP-kort, hårdvarunycklar osv. - Beskrivningar av arbetsflöden för utfärdande, användning, återkallande osv. - Rapport från vårt möte med DIGG om statlig e-legitimation Alla är välkomna, både ni som varit med tidigare och alla nya som vill vara med och diskutera och hjälpa till med det här. Svara gärna här på mejllistan om du har frågor eller funderingar inför mötet. Välkomna! Vänliga hälsningar Projektets styrgrupp genom Elias

3 2

2024

2023

2022

2021

Eleg-projekt