- Eleg-projekt

Google FIDO säkerhetsnyckel 35kr
by Thomas Svensson 08 May '25

08 May '25

Vill bara tipsa om https://store.google.com/product/titan_security_key?hl=sv Passade på och köpte både USB-C och USB-A varianterna. 70 spänn och fraktfritt. Funkar de med vad vi jobbar på? /thomas @tsvenson <https://mastodon.online/@tsvenson>

3 3

Från Digg: Möjlighet att lämna synpunkter på genomförandeakter för EU:s digitala identitetsplånböcker
by Patrik Wallström 30 Apr '25

30 Apr '25

"Arbetet med genomförandeakterna för EU:s digitala identitetsplånböcker pågår för fullt. Nu finns möjligheten att lämna synpunkter på en ny omgång av förslag från EU-kommissionen. Synpunkter kan lämnas fram till den 13 maj 2025. https://www.digg.se/5.2ee6167319626c05540c66.html Du får det här mejlet eftersom du valt att prenumerera på nyheter från Digg. Vill du ändra eller avsluta din prenumeration? https://www.digg.se/om-oss/nyheter/mina-prenumerationer "

1 0

SVT skriver om att "Attacken mot Bank-id borde mana till en större diskussion om alternativ till tjänsten"
by Elias Rudberg 29 Apr '25

29 Apr '25

Hej! Här säger cybersäkerhetsexperten Marcus Nohlberg att "både individer och samhället borde fundera på alternativ till Bank-id och utforma en plan b": "Avancerad överbelastningsattack mot Bank-id: ”Kommer definitivt hända igen”" https://www.svt.se/nyheter/inrikes/avancerad-overbelastningsattack-mot-bank… En representant för Bank-id säger "oavsett vem som driver en tjänst så kommer alla ha samma utmaning som vi när det gäller cyberangrepp". Det stämmer väl inte riktigt, man kan ju ha ett decentraliserat system som i sin design är mer robust. De tänker inte ens på den möjligheten verkar det som. Vi kanske kan passa på att skriva en debattartikel om det nu? Någon här på listan som skulle vilja hjälpa till med att skriva något? / Elias

4 4

några tankar
by bengt.jonsson＠zetein.se 24 Apr '25

24 Apr '25

Det bästa är nog att så många som möjligt bara kort noterar "dåligheter" i förslaget, så att det finns en lista av synpunkter att sedan skriva på. Det finns ju gott om tid, och det går nog att hitta saker att reagera på redan efter en snabbtitt. Själv reagerar jag spontant på att de tycks förutsätta att e-leg skall ha en tredje part, tycker direkt verifiering utan inblandning av tredje part (förutom initialt) är att föredra. Det här förslaget tycks förutsätta en (övervakningsbar) tredje part och målar därmed in utvecklingen i ett hörn. Lägger också för kännedom in regeringens uppdrag till Polismyndigheten att utveckla statligt eID https://www.regeringen.se/regeringsuppdrag/2025/04/uppdrag-att-utfarda-en-s…

2 1

Pressmeddelande från Finansdepartementet: "Uppgiftsskyldighet för e-legitimationsföretag för att motverka kriminalitet", 8 april 2025
by Elias Rudberg 23 Apr '25

23 Apr '25

Hej! Det här kanske är relevant för projektet: Pressmeddelande från Finansdepartementet: "Uppgiftsskyldighet för e-legitimationsföretag för att motverka kriminalitet" Publicerad 08 april 2025 "Finansdepartementet har i dag remitterat en promemoria med förslag till en ny lag om uppgiftsskyldighet för vissa e-legitimationsföretag. Syftet med lagen är att brottsbekämpande myndigheter på ett effektivt sätt ska få tillgång till uppgifter om användning av e-legitimationer i brottslig verksamhet." https://www.regeringen.se/pressmeddelanden/2025/04/uppgiftsskyldighet-for-e… "Remiss av Uppgiftsskyldighet för vissa e-legitimationsföretag" https://www.regeringen.se/remisser/2025/04/remiss-av-uppgiftsskyldighet-for… Tyvärr verkar det som om regeringen vill ha ännu mer centralisering och ännu mer massövervakning. DFRI är inte med bland remissinstanserna såvitt jag kan se. (Men det brukar vara så att man får lämna synpunkter ändå, även om man inte är med på listan av remissinstanser.) / Elias

3 2

Sammanfattning av öppet möte 30 om att bygga egen e-leg-lösning, 21 april 2025
by Elias Rudberg 22 Apr '25

22 Apr '25

Sammanfattning av öppet möte 30 om att bygga egen e-leg-lösning, 21 april 2025: Tack till alla som var med på mötet! - Elias har pratat med en frilansjournalist som är intresserad av de här frågorna, visat vår proof-of-concept. Tips på bra personer för journalisten att prata med kring e-leg-frågan? --> några andra från projektet kanske? Den som har förslag på personer eller organisationer som skulle vara relevanta för journalister att prata med kring den här frågan, skriv gärna till projektets mejllista om det. - Testat mer med Nitrokey, verkar behövas varianten "Nitrokey HSM", "Nitrokey 3" funkar inte för Elias iallafall. Se https://codeberg.org/DFRI-eID/dfri-eid/issues/6 Nitrokeys översikt features: https://www.nitrokey.com/products/nitrokeys skrolla ner bra bit. Kan vara PKI/CA featuren som vi beror på. - Förslag: För proof-of-concept (PoC): skapa PoC-utgivare med revokeringslista tillgänglig för test Sätta upp server med revokeringslist åtminstone så vi får in url:en och kan flytta den om det behövs. Leif-Jöran (ljo) kan nog ordna en domän och webbserver för det (för vår PoC-utfärdare alltså). - Förslag: För förlitande part: skapa komplett PoC-exempel inklusive regelbunden nedladdning av revokeringslista (då behöver dock punkten ovan lösas först så att det finns en lista att hämta) - ljo: friprogramvarusyndikatet (fps) har en partnerkontakt med ett företag som håller på med IT-juridik och dataskydd --> återkommer om det senare, förhoppningsvis inom närmaste veckorna. - ljo: har också fått in fler frågor till vanliga frågor genom att fps bett några titta på videon från SamNet#3 och sen intervjuat dem efteråt. Presentationen från SamNet finns här: https://play.dfri.se/w/iqBpKaUzKpG3BCLqEg5Vhh Alla SamNet-presentationer finns här: https://play.dfri.se/w/p/sJJr8HKrVJsCSza4dXUVg3 - Christian: vi borde skapa någon sorts inloggning via temporär domän liknande https://login.skandia.se/?client_id=i_web_individual_short#tab-Certificate Slumpsubdomän för inloggningen, på så vis kan man vara säker på att en unik ny session skapas. - Idé: Ska vi börja använda vårt system internt inom DFRI för medlemmar? Maila ut en tidsbegränsad engångskod som ska användas när man "enrollar" på utfärdarens hemsida. - När blir nästa möte? Nästa möte hålls måndag 2025-05-26 klockan 18 till 19 (en timme) Alla är välkomna att vara med på kommande möten. OBS även du som inte varit med förut är mycket välkommen att vara med! / Elias PS Läs gärna om projektet här: https://www.dfri.se/projekt/e-legitimation/ PS 2 Alla som är intresserade är välkomna att höra av sig via projektets mejllista

1 0

Regeringsuppdrag till Polismyndigheten 4 april 2025: Uppdrag att utfärda en statlig e-legitimation på högsta tillitsnivå
by Elias Rudberg 21 Apr '25

21 Apr '25

Hej! Det här kom idag, "Publicerad 04 april 2025" står det: https://www.regeringen.se/regeringsuppdrag/2025/04/uppdrag-att-utfarda-en-s… "Uppdrag att utfärda en statlig e-legitimation på högsta tillitsnivå" "Diarienummer: Ju2025/00740" "Regeringen ger Polismyndigheten i uppdrag att utforma och utfärda en statlig e-legitimation på högsta tillitsnivå i enlighet med Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG, ändrad genom Europaparlamentets och rådets förordning (EU) 2024/1183 av den 11 april 2024 om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av ett europeiskt ramverk för digital identitet (den reviderade eIDASförordningen). Uppdraget ska genomföras i samverkan med Myndigheten för digital förvaltning (Digg)." [...] "Uppdraget ska redovisas till Regeringskansliet (Justitiedepartementet) senast den 2 november 2026. Senast vid tidpunkten för redovisningen ska e- legitimationen vara redo att utfärdas, förutsatt att den svenska lagstiftningen är på plats." Det länkas till en pdf på 4 sidor där det står att det är regeringsbeslut taget 2025-03-27. / Elias

3 2

Sammanfattning av öppet möte 29 om att bygga egen e-leg-lösning, 24 mars 2025
by Elias Rudberg 30 Mar '25

30 Mar '25

Sammanfattning av öppet möte 29 om att bygga egen e-leg-lösning, 24 mars 2025: Tack till alla som var med på mötet! - CA-programvara för utgivaren och test med nginx, status Inget nytt på den punkten. - OpenPGP-kort, hårdvarunycklar osv. Yubikey? Nitrokey? TPM2-chip i laptop? Tillitis TKey? Elias har tänkt felsöka Nitrokey, men inte hunnit det än. Christian har inte gjort nåt mer än att beställa en modernare smartkortläsare. Mer detaljer senare Några detaljer här: https://noerdic.se/products/nordic-usb-a-smartkort-och-simkortlasare-iso781… Hur funkar smartcards? Beroende på vilket operativsystem man har kan man behöva drivrutiner dels för kortläsaren och dels för kortet I GNU/Linux kan man be gpg visa status för kortet med kommandot "gpg --card-status" - Mer om WebAuthn/FIDO2, se mejl från Linn Kompenserade för sågningen av webauthn, på yubikey, kan certifikat för attestering laddas. Skulle vilja ha en slit-och-släng-yubikey för att testa med, testa att lägga in ett nytt attesterings-certifikat. Bootstrappa med nytt certifikat från oss? Uppdateringar och förnyelse på samma enhet. "bring your own" Enroll safely and uniquely snyggare än döda det pålitliga certifikatet. Behöver köpa en låda Yubikeys för att göra destruktiva teståtgärder. LJO kan köpa några till. - Skickat frågor till Polismyndigheten om deras arbete med statligt e-leg Vi skickade frågor i februari, väntar fortsatt på svar. - Artikel i Computer Sweden om att Digg utvecklar digital id-plånbok Börje skickade länken till artikeln. LJO hade läst den precis. https://computersweden.se/article/3840198/digg-utvecklar-digital-id-planbok… En sak som står i artikeln är att den "digitala id-plånbok" som Digg ska utveckla ska vara på plats i december 2026, och den ska kräva att man har e-legitimation på högsta tillitsnivå vilket bör betyda att den statliga e-leg-lösning som Polismyndigheten jobbar med nu också behöver vara sjösatt senast december 2026. - Föredrag på SamNet-konferensen 1 april 2025. Bara en vecka kvar! Leif-Jöran har börjat ta fram bilder till presentationen. SamNet-konferensen: https://samnet.se/ Anmälan: https://pretix.eu/dfri/samnet-3/ - När blir nästa möte? Nästa möte hålls måndag 2025-04-21 klockan 18 till 19 (en timme) Alla är välkomna att vara med på kommande möten. OBS även du som inte varit med förut är mycket välkommen att vara med! / Elias PS Läs gärna om projektet här: https://www.dfri.se/projekt/e-legitimation/ PS 2 Alla som är intresserade är välkomna att höra av sig via projektets mejllista

1 0

Välkomna på öppet möte nr 29 om att bygga egen e-leg-lösning, 24 mars klockan 18
by Elias Rudberg 23 Mar '25

23 Mar '25

Hej! Välkomna till distans-möte nummer 29 om hur vi kan bygga en egen decentraliserad lösning för fri och öppen e-legitimation. Vi fortsätter med kravspecifikation, design, implementation och testning av de olika komponenter som kommer behövas. Tid: måndag 24 mars 2025 klockan 18:00. Vi siktar på att hålla på i upp till en timme. Plats: https://jitsi.eliasrudberg.se/e-id-meeting Förslag till agenda: - CA-programvara för utgivaren och test med nginx, status - OpenPGP-kort, hårdvarunycklar osv. Yubikey? Nitrokey? TPM2-chip i laptop? Tillitis TKey? - Mer om WebAuthn/FIDO2, se mejl från Linn - Skickat frågor till Polismyndigheten om deras arbete med statligt e-leg - Artikel i Computer Sweden om att Digg utvecklar digital id-plånbok - Föredrag på SamNet-konferensen 1 april 2025. Bara en vecka kvar! Alla är välkomna, både ni som varit med tidigare och alla nya som vill vara med och diskutera och hjälpa till med det här. Svara gärna här på mejllistan med alla frågor och funderingar inför mötet, och förslag på fler saker vi borde ta upp. Välkomna! Vänliga hälsningar Projektets styrgrupp genom Elias

1 0

Sammanfattning av öppet möte 28 om att bygga egen e-leg-lösning, 3 mars 2025
by Fri programvaru-syndikatet 12 Mar '25

12 Mar '25

Sammanfattning av öppet möte nr 28 om att bygga egen e-leg-lösning, 3 mars 2025: Tack till alla som var med på mötet! - CA-programvara för utgivaren och test med nginx, status Inget nytt sedan konstaterandet på möte 27 att testdomänerna behöver tas upp igen. - OpenPGP-kort, hårdvarunycklar osv. Nitrokey? TPM2-chip i laptop? Tillitis TKey? Ett nytt ärende har skapat för Nitrokey av Elias enligt Christians instruktion: <https://codeberg.org/DFRI-eID/dfri-eid/issues/6> Andra FIDO2-testsidor: <https://demo.yubico.com/webauthn-technical/registration> <https://webauthn.io/> - Sammanställa frågor att skicka till Polismyndigheten om deras arbete med statligt e-leg Andreas på Polismyndigheten svarade kort med "Återkommer" på frågorna som samlades ihop på möte 26 och 27. - Föredrag på SamNet-konferensen 1 april 2025 Leif-Jöran har börjat göra bilder för till presentationen. Tar i första läget stöd från Gustav och skickar kanske ut till mejllistan innan nästa möte. Webbsidan för den kommande SamNet-konferensen: <https://samnet.se/> - Beskrivningar av arbetsflöden för utfärdande, användning, återkallande och så vidare. Arbetet fortsätter med FAQ-sida, diagram osv. Några av diagrammen arbetas på i alternativa former för SamNet-presentationen för att sen återföras. - Relation mellan e-legitimation och European Digital Identity Wallet I linje med diskussionen på möte 27 så konstaterar vi att det är två skilda saker. - FIDO2? Borde vi använda det för vårt proof-of-concept istället för mTLS? Bakgrund: Det finns det flera metoder för att implementera FIDO2: * U2F (Universal 2nd Factor): ett standardformat för FIDO2 som använder en USB-enheter eller chip på ett kort. * CTAP2 (Challenge Transport Authentication Protocol version 2): en metod för autentisering som använder en krypterad kanal för att transponera autentiseringsdata. * Passkey: en metod som använder en preautentifierad token eller ett kort för att skydda en unik autentiseringssträng. * WebAuthn (Web Authentication): en standard för att hantera autentisering i webbläsare utan behov av en central punkt. Men så här uppfattar Christian FIDO2 utifrån sina första försök: * två bakändor, passkey eller ctap2, virtuella usb-enheter skickar testförfrågningar serieprokollet, pin-hanteringen, knappsats hit och dit vs fönster. * När det gäller WebAuthn: hur tusan får vi till det i en webbläsare att vi kan hantera en inloggning utan att behöva kommunicera till en central punkt? Du kan inte fråga enheten om en identitet som inte är kopplad till din nuvarande hemsida. * För att kunna använda Webauthn behöver man ha saker som "attestation" så att man kan bevisa att "hej, jag kommer härifrån" attestation behöver kollas mer på för WebAuthn. Det finns 3 eller 4 olika "attestation" varav en är "enterprise" som troligen är vad vi skulle behöva för att kunna ha public-key-grejor, utgivaren har då certifierat hårdvarunyckeln så att det går att kolla att den hårdvarunyckeln kommer från en betrodd tillverkare. Då kan man till slut kanske uppnå "bring your own device" som vi skulle vilja ha. * Det som WebAuthn är riktigt bra till är att lätt kunna skapa olika identiteter. * Fråga om frihet att välja hårdvaruenhet själv eller måste välja en enhet som är utgiven av en betrodd hårdvarutillverkare. * Proof-of-concept kommer vara att man får välja hårdvarunyckel/mjukvarunyckel själv och ingen ska bry sig om hur man valt att implementera den. Cynthia och Linn berättar mer om deras syn på WebAuthn i slutet av mötet: För WebAuthn finns väldigt strikta regler för vem som är "relying party" när man skapar en identitet. När du skapat en identitet så får du inte använda den någon annanstans på internet än just där du har skapat den! Om du vill använda en identitet som är skapad på ett ställe på en annan hemsida, då måste det skapas en ny identitet, för WebAuthn skapar en ny identitet för varje hemsida. Vissa undantag t.ex. webhallen.com och webhallen.se kan dela, men bara upp till max 5 stycken. Om jag skapar en identitet på till exempel swedbank.se så ska inte vem som helst kunna be om den identiteten. Webauthn skapades för att det var problem med lösenord, då skapades Webauthn som en lösenords-fri lösning. För att vi ska kunna göra det vi vill göra så behöver vi ha in en massa fler säkerhetsgrejor i det här, till exempel ändra i vad som ingår i en challenge-response, den funktionaliteten finns inte i WebAuthn. Så vi skulle behöva nya standarder för WebAuthn för att lösa det. Vi skulle i så fall använda WebAuthn för ett syfte som är ganska olikt det som WebAuthn byggdes för. Om vi har en egen klientprogramvara (eller "app") så kan vi göra väldigt mycket mer med de här hårdvarunycklarna, men om vi bara har webbläsare så kan vi inte göra så mycket. Slutsats: WebAuthn kan verka vara ungefär det vi vill ha, men tittar man närmare så är det inte riktigt det ändå. - Tankar på att skapa civilsamhällelig organisation, fråga från Tims mejl eSam: <https://esam.se/> Fråga: "känner lite folk som brukar vara med på dessa myndighetshackathon och har fått höra att det finns tankar på att skapa någon sorts civilsamhällelig organisation (kanske någon sorts socialt företag) som kan bidra till tjänsteutveckling av lösningar som skapas på dessa hackathons" Är det intressant? Finns intresse/behov för att starta någon sorts organisation eller inte? Intresset var svalt eftersom det ligger långt bort från eleg-projektet. Ingen trodde direkt på att starta någon organisation, flera var snarare kritiska till att börja i den änden. Frågan avfördes efter diskussionen. - När blir nästa möte? Nästa möte hålls måndag 2025-03-24 klockan 18 till 19 (en timme) Alla är välkomna att vara med på kommande möten. OBS även du som inte varit med förut är mycket välkommen att vara med! / Leif-Jöran PS Läs gärna om projektet här: <https://www.dfri.se/projekt/e-legitimation/> PS 2 Alla som är intresserade är välkomna att höra av sig via projektets mejllista

1 0

2025

2024

2023

2022

2021

Eleg-projekt