Sammanfattning av öppet möte 31 om att bygga egen e-leg-lösning, 26 maj
2025:
Tack till alla som var med på mötet!
Länkar [1] till [6] finns längst ner i det här mejlet.
- CA-programvara för utgivaren och test med nginx, status? Procedur för
att förnya utgivarens cert?
Vår kod finns här: [1]
När det gäller utfärdarens certifikat finns ett root-cert (skapat med
kommandot "genroot", se README-filen [2]) och ett issuingca-cert (skapat
med kommandot "genica", se README-filen). De kan ha olika giltighetstid,
"Not before", "Not after".
Kedjebyggandet behöver vi ev tänka på.
- Testat med "Nitrokey HSM", det fungerar, men "Nitrokey 3" funkar inte
Christian testade först och Elias har nu testat och verifierat det med
samma resultat, alltså "Nitrokey HSM" fungerar.
Det gör att vi har åtminstone två olika typer av hårdvarunycklar där vi
testat att det fungerar, yubikey och nitrokey. Vill gärna ha fler.
- OpenPGP-kort, testat men inte fått det att fungera ännu
Elias har skaffat ett "Open PGP SmartCard" från cryptoshop [3] och
kopplat in till dator via kortläsare, det fungerar så långt att
kommandot "gpg --card-status" visar information om kortet, men har inte
ännu lyckats använda certifikat med nyckel i kortet så som vi skulle
behöva. Du som läser detta och är bra på sånt för gärna hjälpa till med det!
Vi pratade lite om olika ord som används för "hårdvarunyckel", som
"hardware key", "security key", "hardware token", osv. Ett "smartcard"
som det där OpenPGP-kortet är en annan variant. Poängen är i alla fall
att den privata nyckeln kan finnas lagrad i en hårdvarunyckel/smartkort
på ett sätt som gör att nyckeln inte kan kopieras ut därifrån.
- Sätta upp server med revokeringslista, ordna domän och webbserver för det?
Nu har ljo fixat en url vi kan använda för det, för test: [4]
Utfärdaren (t.ex. Elias kanske, eller vem det nu är som agerar
utfärdare) behöver kunna ladda upp ny revokeringslista dit, det får vi
lösa, som vi sa så är det att manuellt byta till att börja med.
OBS 1: om man har revokeringslistan på ett enda ställe vlir ju det en
central punkt som går att slåut, så det är inte bra för robustheten i
systemet. En utfärdare kan välja att ha många redundanta ställen som
listan kan hämtas från. Men för tidiga test och demo kan vi ha ett
ställe, det räcker ju för att få till ett system som fungerar, så att
förlitande part kan hämta revokeringslista någonstans ifrån.
OBS 2: vi borde sätta upp både "labbmiljö 1" och "labbmiljö 2" för att
undvika att någon tror att det hela är en centraliserad lösning. Tror
inte det är nåt större problem eftersom varje utfärdare har sin egen
lista.
Man kan också ha stället där revokeringslistan finns inkluderat i
certifikat som utfärdas.
- Börja använda vårt system internt inom DFRI för medlemmar?
Vi tror inte det är en bra idé nu innan PoC (proof-of-concept) men det
kan vara del av PoC.
Absolut ett framtidsscenario att göra det efter PoC, vilka attribut, och
lyfta de olika användningsfallen i olika installationer.
- Skriva debattartikel om robusthet apropå BankID-problemen nyligen?
Det var ett utkast på gång men glömdes bort lite, ska ta upp det igen.
BankID har sagt något i stil med att "det spelar ingen roll vem som
driver en sån här lösning, det blir ändå samma svårigheter", alltså de
pratar som om det inte går att ha en decentraliserad lösning, det kan vi
skriva om. Se tidigare tråd på mejllistan om det: [5]
Var ska vi publicera? Hitta nån som accepterar, skriva om ett antal
varianter
- "Remiss av Uppgiftsskyldighet för vissa e-legitimationsföretag": [6]
-- senaste dag att svara är den 8 juli.
DFRI var inte med på listan av remissinstanser på den, men man får ju
svara ändå så vi kan göra det.
Verkar som om de vill använda e-leg som ett sätt för polisen att spåra
folk. Det borde inte vara så.
Kanske, istället för att klanka ner på förslaget i stort, kan man
förklara att det här inte är tekniskt möjligt om man ska ha ett
decentraliserat system som man behöver ha i ett framtida robust system.
Kravet måste i så fall riktas till de olika förlitande parterna.
Lagstiftning bör inte förutsätta att det finns en centraliserad punkt
som allt går genom.
För att inte vara för negativ, kan man påpeka andra sätt, att det
behöver inte vara en inbyggd funktion i id-systemet utan det kan vara
något polisen försöker få från vissa förlitande parter, det skulle kunna
vara möjligt för polisen att kunna få information den vägen utan att det
behöver vara inbyggt i systemet och därmed drabba all användning oavsett
syfte.
Om polisen vill tvinga fram att det installeras spion-programvara på
varje ställe där folk loggar in, då får de säga att det är det de vill
(men det låter inte så trevligt).
Spårning borde inte vara inbyggt i systemet.
Vi planerar att ta upp det på mejllistan, kanske ett senare tillfälle
där vi kan ha ett möte om att skriva ett sånt remiss-svar.
- När blir nästa möte?
Nästa möte hålls måndag 2025-06-23 klockan 18 till 19 (en timme)
Alla är välkomna att vara med på kommande möten. OBS även du som inte
varit med förut är mycket välkommen att vara med!
/ Elias
PS
Läs gärna om projektet här: https://www.dfri.se/projekt/e-legitimation/
PS 2
Alla som är intresserade är välkomna att höra av sig via projektets
mejllista
Länkar:
[1] https://codeberg.org/DFRI-eID/dfri-eid
[2]
https://codeberg.org/DFRI-eID/dfri-eid/src/branch/main/go-eid-test-ca/READM…
[3]
https://en.cryptoshop.com/products/smartcards/proprietary-solution-cards/op…
[4] https://fritt-e-leg.se/crl/crl.pem
[5]
https://mailman.dfri.se/mailman3/hyperkitty/list/eleg-projekt@lists.dfri.se…
[6]
https://www.regeringen.se/remisser/2025/04/remiss-av-uppgiftsskyldighet-for…
Hej!
Välkomna till distans-möte nummer 31 om hur vi kan bygga en egen
decentraliserad lösning för fri och öppen e-legitimation. Vi fortsätter
med kravspecifikation, design, implementation och testning av de olika
komponenter som kommer behövas.
Tid: måndag 26 maj 2025 klockan 18:00. Vi siktar på att hålla på i upp
till en timme.
Plats: https://jitsi.eliasrudberg.se/e-id-meeting
Förslag till agenda:
- CA-programvara för utgivaren och test med nginx, status? Procedur för
att förnya utgivarens cert?
- Testat med "Nitrokey HSM", det fungerar, men "Nitrokey 3" funkar inte
- OpenPGP-kort, testat men inte fått det att fungera ännu
- Sätta upp server med revokeringslista, ordna domän och webbserver för det?
- Börja använda vårt system internt inom DFRI för medlemmar?
- Skriva debattartikel om robusthet apropå BankID-problemen nyligen?
- "Remiss av Uppgiftsskyldighet för vissa e-legitimationsföretag":
https://www.regeringen.se/remisser/2025/04/remiss-av-uppgiftsskyldighet-for…
-- senaste dag att svara är den 8 juli.
Alla är välkomna, både ni som varit med tidigare och alla nya som vill
vara med och diskutera och hjälpa till med det här.
Svara gärna här på mejllistan med alla frågor och funderingar inför
mötet, och förslag på fler saker vi borde ta upp.
Välkomna!
Vänliga hälsningar
Projektets styrgrupp genom Elias
"Arbetet med genomförandeakterna för EU:s digitala identitetsplånböcker
pågår för fullt. Nu finns möjligheten att lämna synpunkter på en ny
omgång av förslag från EU-kommissionen. Synpunkter kan lämnas fram till
den 13 maj 2025.
https://www.digg.se/5.2ee6167319626c05540c66.html
Du får det här mejlet eftersom du valt att prenumerera på nyheter från
Digg.
Vill du ändra eller avsluta din prenumeration?
https://www.digg.se/om-oss/nyheter/mina-prenumerationer
"
Hej!
Här säger cybersäkerhetsexperten Marcus Nohlberg att "både individer och
samhället borde fundera på alternativ till Bank-id och utforma en plan b":
"Avancerad överbelastningsattack mot Bank-id: ”Kommer definitivt hända
igen”"
https://www.svt.se/nyheter/inrikes/avancerad-overbelastningsattack-mot-bank…
En representant för Bank-id säger "oavsett vem som driver en tjänst så
kommer alla ha samma utmaning som vi när det gäller cyberangrepp".
Det stämmer väl inte riktigt, man kan ju ha ett decentraliserat system
som i sin design är mer robust. De tänker inte ens på den möjligheten
verkar det som.
Vi kanske kan passa på att skriva en debattartikel om det nu? Någon här
på listan som skulle vilja hjälpa till med att skriva något?
/ Elias
Det bästa är nog att så många som möjligt bara kort noterar "dåligheter"
i förslaget, så att det finns en lista av synpunkter att sedan skriva
på. Det finns ju gott om tid, och det går nog att hitta saker att
reagera på redan efter en snabbtitt.
Själv reagerar jag spontant på att de tycks förutsätta att e-leg skall
ha en tredje part, tycker direkt verifiering utan inblandning av tredje
part (förutom initialt) är att föredra. Det här förslaget tycks
förutsätta en (övervakningsbar) tredje part och målar därmed in
utvecklingen i ett hörn.
Lägger också för kännedom in regeringens uppdrag till Polismyndigheten
att utveckla statligt eID
https://www.regeringen.se/regeringsuppdrag/2025/04/uppdrag-att-utfarda-en-s…
Hej!
Det här kanske är relevant för projektet:
Pressmeddelande från Finansdepartementet:
"Uppgiftsskyldighet för e-legitimationsföretag för att motverka
kriminalitet"
Publicerad 08 april 2025
"Finansdepartementet har i dag remitterat en promemoria med förslag till
en ny lag om uppgiftsskyldighet för vissa e-legitimationsföretag. Syftet
med lagen är att brottsbekämpande myndigheter på ett effektivt sätt ska
få tillgång till uppgifter om användning av e-legitimationer i brottslig
verksamhet."
https://www.regeringen.se/pressmeddelanden/2025/04/uppgiftsskyldighet-for-e…
"Remiss av Uppgiftsskyldighet för vissa e-legitimationsföretag"
https://www.regeringen.se/remisser/2025/04/remiss-av-uppgiftsskyldighet-for…
Tyvärr verkar det som om regeringen vill ha ännu mer centralisering och
ännu mer massövervakning.
DFRI är inte med bland remissinstanserna såvitt jag kan se. (Men det
brukar vara så att man får lämna synpunkter ändå, även om man inte är
med på listan av remissinstanser.)
/ Elias
Sammanfattning av öppet möte 30 om att bygga egen e-leg-lösning, 21
april 2025:
Tack till alla som var med på mötet!
- Elias har pratat med en frilansjournalist som är intresserad av de här
frågorna, visat vår proof-of-concept. Tips på bra personer för
journalisten att prata med kring e-leg-frågan? --> några andra från
projektet kanske?
Den som har förslag på personer eller organisationer som skulle vara
relevanta för journalister att prata med kring den här frågan, skriv
gärna till projektets mejllista om det.
- Testat mer med Nitrokey, verkar behövas varianten "Nitrokey HSM",
"Nitrokey 3" funkar inte för Elias iallafall. Se
https://codeberg.org/DFRI-eID/dfri-eid/issues/6
Nitrokeys översikt features: https://www.nitrokey.com/products/nitrokeys
skrolla ner bra bit. Kan vara PKI/CA featuren som vi beror på.
- Förslag: För proof-of-concept (PoC): skapa PoC-utgivare med
revokeringslista tillgänglig för test
Sätta upp server med revokeringslist åtminstone så vi får in url:en och
kan flytta den om det behövs. Leif-Jöran (ljo) kan nog ordna en domän
och webbserver för det (för vår PoC-utfärdare alltså).
- Förslag: För förlitande part: skapa komplett PoC-exempel inklusive
regelbunden nedladdning av revokeringslista (då behöver dock punkten
ovan lösas först så att det finns en lista att hämta)
- ljo: friprogramvarusyndikatet (fps) har en partnerkontakt med ett
företag som håller på med IT-juridik och dataskydd --> återkommer om det
senare, förhoppningsvis inom närmaste veckorna.
- ljo: har också fått in fler frågor till vanliga frågor genom att fps
bett några titta på videon från SamNet#3 och sen intervjuat dem efteråt.
Presentationen från SamNet finns här:
https://play.dfri.se/w/iqBpKaUzKpG3BCLqEg5Vhh
Alla SamNet-presentationer finns här:
https://play.dfri.se/w/p/sJJr8HKrVJsCSza4dXUVg3
- Christian: vi borde skapa någon sorts inloggning via temporär domän
liknande
https://login.skandia.se/?client_id=i_web_individual_short#tab-Certificate
Slumpsubdomän för inloggningen, på så vis kan man vara säker på att en
unik ny session skapas.
- Idé: Ska vi börja använda vårt system internt inom DFRI för medlemmar?
Maila ut en tidsbegränsad engångskod som ska användas när man "enrollar"
på utfärdarens hemsida.
- När blir nästa möte?
Nästa möte hålls måndag 2025-05-26 klockan 18 till 19 (en timme)
Alla är välkomna att vara med på kommande möten. OBS även du som inte
varit med förut är mycket välkommen att vara med!
/ Elias
PS
Läs gärna om projektet här: https://www.dfri.se/projekt/e-legitimation/
PS 2
Alla som är intresserade är välkomna att höra av sig via projektets
mejllista
Hej!
Det här kom idag, "Publicerad 04 april 2025" står det:
https://www.regeringen.se/regeringsuppdrag/2025/04/uppdrag-att-utfarda-en-s…
"Uppdrag att utfärda en statlig e-legitimation på högsta tillitsnivå"
"Diarienummer: Ju2025/00740"
"Regeringen ger Polismyndigheten i uppdrag att utforma och utfärda en
statlig e-legitimation på högsta tillitsnivå i enlighet med
Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli
2014 om elektronisk identifiering och betrodda tjänster för elektroniska
transaktioner på den inre marknaden och om upphävande av direktiv
1999/93/EG, ändrad genom Europaparlamentets och rådets förordning (EU)
2024/1183 av den 11 april 2024 om ändring av förordning (EU) nr 910/2014
vad gäller inrättandet av ett europeiskt ramverk för digital identitet
(den reviderade eIDASförordningen). Uppdraget ska genomföras i samverkan
med Myndigheten för digital förvaltning (Digg)."
[...]
"Uppdraget ska redovisas till Regeringskansliet (Justitiedepartementet)
senast den 2 november 2026. Senast vid tidpunkten för redovisningen ska
e- legitimationen vara redo att utfärdas, förutsatt att den svenska
lagstiftningen är på plats."
Det länkas till en pdf på 4 sidor där det står att det är
regeringsbeslut taget 2025-03-27.
/ Elias
Sammanfattning av öppet möte 29 om att bygga egen e-leg-lösning, 24 mars
2025:
Tack till alla som var med på mötet!
- CA-programvara för utgivaren och test med nginx, status
Inget nytt på den punkten.
- OpenPGP-kort, hårdvarunycklar osv. Yubikey? Nitrokey? TPM2-chip i
laptop? Tillitis TKey?
Elias har tänkt felsöka Nitrokey, men inte hunnit det än.
Christian har inte gjort nåt mer än att beställa en modernare
smartkortläsare. Mer detaljer senare Några detaljer här:
https://noerdic.se/products/nordic-usb-a-smartkort-och-simkortlasare-iso781…
Hur funkar smartcards?
Beroende på vilket operativsystem man har kan man behöva drivrutiner
dels för kortläsaren och dels för kortet
I GNU/Linux kan man be gpg visa status för kortet med kommandot "gpg
--card-status"
- Mer om WebAuthn/FIDO2, se mejl från Linn
Kompenserade för sågningen av webauthn, på yubikey, kan certifikat för
attestering laddas.
Skulle vilja ha en slit-och-släng-yubikey för att testa med, testa att
lägga in ett nytt attesterings-certifikat.
Bootstrappa med nytt certifikat från oss? Uppdateringar och förnyelse på
samma enhet. "bring your own"
Enroll safely and uniquely snyggare än döda det pålitliga certifikatet.
Behöver köpa en låda Yubikeys för att göra destruktiva teståtgärder. LJO
kan köpa några till.
- Skickat frågor till Polismyndigheten om deras arbete med statligt e-leg
Vi skickade frågor i februari, väntar fortsatt på svar.
- Artikel i Computer Sweden om att Digg utvecklar digital id-plånbok
Börje skickade länken till artikeln. LJO hade läst den precis.
https://computersweden.se/article/3840198/digg-utvecklar-digital-id-planbok…
En sak som står i artikeln är att den "digitala id-plånbok" som Digg ska
utveckla ska vara på plats i december 2026, och den ska kräva att man
har e-legitimation på högsta tillitsnivå vilket bör betyda att den
statliga e-leg-lösning som Polismyndigheten jobbar med nu också behöver
vara sjösatt senast december 2026.
- Föredrag på SamNet-konferensen 1 april 2025. Bara en vecka kvar!
Leif-Jöran har börjat ta fram bilder till presentationen.
SamNet-konferensen: https://samnet.se/
Anmälan: https://pretix.eu/dfri/samnet-3/
- När blir nästa möte?
Nästa möte hålls måndag 2025-04-21 klockan 18 till 19 (en timme)
Alla är välkomna att vara med på kommande möten. OBS även du som inte
varit med förut är mycket välkommen att vara med!
/ Elias
PS
Läs gärna om projektet här: https://www.dfri.se/projekt/e-legitimation/
PS 2
Alla som är intresserade är välkomna att höra av sig via projektets
mejllista