- Eleg-projekt

Ska vårt projekt skapa en egen decentraliserad e-leg-lösning?,
by Elias Rudberg 24 Apr '23

24 Apr '23

Hej alla på eleg-projekt-listan! Efter DIGG-rapporten[1] som kom i slutet av januari har vi i styrgruppen för projektet funderat och kommit fram till ett förslag som vi beskriver nedan. Vi skulle inom ramen för den här e-postlistan kunna utveckla en teknisk lösning som illustrerar id-växling, en viktig egenskap hos rapportens förslag utifrån decentralisering. Målet skulle vara att vår lösning ska bli en godkänd e-legitimation. Vad tycker ni, ska vi göra detta? Och vilka kan tänka sig att vara med och hjälpa till? Det går inte att veta säkert i det här läget, men det är stor chans att DIGGs förslag kommer bli verklighet, inte minst med tanke på krav som kommer i samband med eIDAS2 på EU-nivån, där ett e-leg enligt DIGGs förslag kommer att kunna hjälpa Sverige att klara kraven. DFRI:s e-legitimationsprojekts syfte har ju tidigare sammanfattats i form av fyra punkter: - fri och öppen programvara - öppen specifikation - tillgänglighet - decentralisering När man läser DIGGs rapport med de utgångspunkterna är rapporten bra på flera sätt. Bland annat är det bra att lösningen föreslås bli tillgänglig även för personer med samordningsnummer, man begränsar sig alltså inte till bara de som har personnummer. Det är också positivt att DIGGs förslag baseras på öppna standarder. Det bör alltså bli möjligt att bygga klientsidan med helt och hållet fri programvara (öppen källkod). Samtidigt finns en nackdel i att det som föreslås verkar vara ett i huvudsak centraliserat system; varje gång man använder sin e- legitimation kommer information om användandet att skickas till ett centralt system. Vi på listan vill ju ha en decentraliserad lösning, så på den punkten kan vi inte vara helt nöjda med DIGGs förslag. Rapporten öppnar dock upp för att det bör vara möjligt att använda den statliga e-legitimationen för övergång till ett annat system. Det nämns i DIGG-rapporten bland annat på följande ställen: Sidan 14: "Digg anser att den statliga e-legitimationen ska finnas med som en del i det ekosystem som byggts upp under lång tid. Den statliga e- legitimationen ska utgöra ett komplement och en möjlighet att växla över till andras lösningar, inte en konkurrent eller ersättare." Sidan 31: "Digg ser också den föreslagna lösningen som en instegslösning. Den statliga e-legitimationen kan utgöra ett sätt att skaffa andra e- legitimationer, genom så kallad id-växling." Med tanke på DIGG-förslagets för- och nackdelar tänker vi att vi inom vårt projekt skulle kunna utveckla en fri och decentraliserad lösning, där vi skulle kunna lösa "onboarding" till vårt system med hjälp av den kommande statliga e-legitimationen. Kommunikation till det centrala statliga systemet skulle då bara behövas vid utfärdandet av vår e- legitimation, när man sedan använder den för att legitimera sig skulle det kunna fungera decentraliserat. DIGGs förslag kan enligt rapporten bli verklighet om två år. Därmed försvinner det som tidigare varit det största hindret för oss att göra något eget. Det har ju tidigare varit nödvändigt att ha en komplicerad och dyr hantering för utfärdande. Ett system från vårt e-legitimationsprojekt skulle kunna utveckla en lösning som går att testa och visa upp redan innan den statliga lösningen finns på plats. Den kan på ett trovärdigt sätt visar hur id- växling från den statliga lösningen kommer att kunna användas. Under tiden fram till att den statliga lösningen finns på plats, kan vi göra utfärdande på ett annat sätt i demo-syfte och vi kan då visa hur vår lösning fungerar för olika användnings-fall, inte minst kan vi då understryka fördelarna med decentralisering. Målet skulle vara att vår lösning ska bli en godkänd e-legitimation, även om vägen dit förstås går via att ha något fungerande även om det inte är formellt godkänt ännu. Vad tycker ni, ska vi göra detta? Om vi ska göra det, vilka kan tänka sig att vara med och hjälpa till med kravspecifikation, design och implementation av de olika komponenter som kommer behövas? Vänliga hälsningar Styrgruppen Gustav, Cynthia och Elias [1] https://www.digg.se/analys-och-uppfoljning/publikationer/publikationer/2023…

6 5

Lägesuppdatering från Utredningen om säker och tillgänglig digital identitet - statlig e-ID
by Mattias Axell 16 Apr '23

16 Apr '23

Hej! Är det någon här som har kontaktat Henrik Ardhede (https://www.linkedin.com/in/henrik-ardhede-0368b11) som är särskild utredare för statlig e-id? När jag läser följande statusuppdatering så verkar det inte som det? Jag kan gärna hjälpa till att ta en kontakt då jag ser det som riskabelt att ett statligt e-leg kan komma att innehålla biometriska uppgifter vilket DFRI och EDRI.org inte brukar förorda: https://www.nytimes.com/2022/12/27/technology/for-sale-on-ebay-a-military-d… https://edri.org/our-work/mapping-the-impact-of-biometric-surveillance-and-… Jag ser också en risk i att utredningen ännu inte verkar prata om öppna standarder för e-legitimation och att ha det som en utgångspunkt för vem som helst att utfärda (fria och öppna) lösningar som implementationer. Så här låter lägesuppdateringen från Henrik Ardhede på Linkedin: Här kommer en lägesuppdatering från Utredningen om säker och tillgänglig digital identitet. I den inledande fasen har vi i huvudsak fokuserat på informationsinsamling. Vi har bl.a. med stort intresse tagit del av Betalningsutredningens betänkande och utredningssekreterare Helena Forsaeus, Björn Scharin och Anna Carlson har träffat många olika intressenter. De har bl.a. haft ett möte med Funktionsrätt Sverige och dess medlemsorganisationer. Vid det mötet lyftes från deltagarna bl.a. följande punkter fram när det gäller införandet av en statlig e-legitimation: - Det är viktigt med olika lösningar för identifiering. - Ett fysiskt kort är bra för personer med kognitiva svårigheter. - Det måste finnas bra support i samband med både utfärdande och användning. - Med hänsyn till olika hinder och kostnader måste det finnas utgivningsställen i varje kommun. Vi har även under slutet av mars hållit två öppna digitala möten med representanter för intresseorganisationer och myndigheter respektive leverantörer. Vid dessa möten framfördes många olika intressanta synpunkter. Exempelvis fanns det hög grad av samstämmighet bland deltagarna vid båda möten rörande punkterna nedan: - Den statliga e-legitimationen ska innehålla biometriska uppgifter. - Den statliga e-legitimationen ska kunna utfärdas på det nationella ID-kortet för att bl.a. inskärpa att en e-legitimation är en värdehandling. - Det ses som problematiskt om Digg både ska utfärda en e-legitimation och ansvara för granskningen av e-legitimationer inom ramen för det svenska tillitsramverket. - Det bör i första hand vara Polismyndigheten som ansvarar för grundidentifieringen. Jag vill från utredningens sida rikta ett stort tack till alla som så här långt bidragit genom att lämna synpunkter och komma med inspel! - https://www.linkedin.com/posts/henrik-ardhede-0368b11_h%C3%A4r-kommer-en-l%… Hojta till om det behövs hjälp att ta en kontakt eller vem som kan ta det. Mvh, Mattias

2 1

Rapporten från DIGG om statlig e-legitimation publicerades idag
by Elias Rudberg 02 Feb '23

02 Feb '23

Hej eleg-projekt-listan! Myndigheten DIGG har ju haft en utredning om statlig e-legitimation, nu är utredningen klar och DIGG publicerade rapporten idag: "En säker och tillgänglig statlig e-legitimation" "Digg lämnar här förslag till framtagande och drift av en statlig e-legitimation utifrån regeringsuppdraget att analysera möjligheterna för och lämna förslag om framtagandet och driften av en statlig e-legitimation." https://digg.se/analys-och-uppfoljning/publikationer/publikationer/2023-01-… Det är några olika pdf-filer, en för själva rapporten och så fyra bilagor. Nu blir det spännande läsning! / Elias

2 2

Nederländska regeringen gav ut källkod till Digid app för digital autentisering på iOS
by Mattias Axell 19 Jan '23

19 Jan '23

Kanske intressant för någon här att kika på? Såg via https://twitter.com/jeroenfrijters/status/1615204074588180481 Källkod (archive): https://github.com/MinBZK/woo-besluit-broncode-digid-app/ Mvh, Mattias -- DFRI.se Mastodon: https://mastodon.social/@dfri

1 0

Ny teknisk lösning för identitet: Tillitis TKey
by Michael Cardell Widerkrantz 16 Jan '23

16 Jan '23

Nu talar jag lite i egen sak men vill göra projektet åtminstone medveten om en ny teknisk lösning för identitet: Tillitis TKey. En av våra första PoC-användningar av TKey är en SSH-agent (host-sidan) som tillsammans med en ed25519-signerare (device-sidan) gör att man kan använda TKey som sin SSH-identitet utan att den privata nyckeln någonsin lämnar enheten eller ens sparas persistent. TKey är inte alls lika polerad eller ens inriktad på att ersätta en traditionell legitimation som BankID eller Freja e-ID men kan nog vara intressant för projektdeltagarna att känna till. Med lite hjälp från host-sidan kan man bygga mer avancerade applikationer. Tillitis TKey är en hårdvarulösning baserad på ett FPGA-chip som vi stoppar in vår hårdvarudesign i. Det är en liten dator (32-bitars RISC-V-processor) som kör godtyckliga uppladdade program. Det riktigt intressanta är att programmen ovillkorligen mäts in och skapar en unik identitet för varje program. Den identiteten kan till exempel användas som en privat nyckel som i vår signer/SSH-agent. Hårdvarudesign, alla ritningar och alla program är släppta under fria licenser. Huvudrepo med bland annat hårdvarudesign och firmware är här: https://github.com/tillitis/tillitis-key1 Host- och device-appar inklusive SSH-agenten finns här: https://github.com/tillitis/tillitis-key1-apps Vi har skrivit en emulator av TKey med hjälp av qemu så man kan testköra utan att faktiskt ha någon hårdvara: https://github.com/tillitis/qemu Använd branchen "tk1" i qemu. Företagets websida: https://tillitis.se/ Vi hänger på #tillitis på OSFC. -- MC, https://hack.org/mc/

2 2

PTS söker idéer som underlättar digital kommunikation för alla
by Mattias Axell 09 Jan '23

09 Jan '23

Hej e-leg-projekt, Det här kan vara intressant för e-legitimationsprojektet? Dels kanske för prototyp dels kanske för W3 specifikationen? Idag den 9 januari startar Post- och telestyrelsens innovationstävling ”Kommunikation för alla”. PTS vill hitta innovationer och utbildningar som underlättar digital kommunikation mellan människor. Flera projekt kan belönas med upp till tre miljoner kronor vardera. http://pts.se/sv/nyheter/pressmeddelanden/2023/pts-soker-ideer-som-underlat… Mvh, Mattias -- DFRI.se Mastodon: https://mastodon.social/@dfri

2 1

Ledartext i DN om e-legitimation argumenterar för öppen källkod och öppen standard
by Elias Rudberg 02 Jan '23

02 Jan '23

Hej alla och god fortsättning på det nya året. Dagens Nyheter skriver i sin ledare 3/1 om e-legitimation: "Blir e-legitimation ett nytt statligt it-haveri?" https://www.dn.se/ledare/blir-e-legitimation-ett-nytt-statligt-it-haveri/ I den här delen tar de upp fördelar med öppen källkod och öppen standard: "När man läser regeringens direktiv är det dock lätt att tankarna far iväg till välkända offentliga it-haverier, som polisens Pust eller Skolplattformen i Stockholm. Här sägs nämligen ingenting om att exempelvis använda öppen källkod eller öppen standard, något som är både kostnadseffektivt, innovationsfrämjande och gör det möjligt att kontrollera hur programvaran egentligen fungerar. Med öppenhet kan man också låta flera olika aktörer verka inom samma system, vilket främjar konkurrens." Lovande att de skriver så fint om det! / Elias

1 0

God jul: Regeringen tillsätter utredning om säker och tillgänglig digital identitet
by Mattias Axell 23 Dec '22

23 Dec '22

Hej, Kanske en god nyhet här? "Regeringen tillsätter utredning om säker och tillgänglig digital identitet" Mer info: https://www.regeringen.se/pressmeddelanden/2022/12/regeringen-tillsatter-ut… https://www.aftonbladet.se/nyheter/a/l34Vn7/regeringen-vill-infora-sakrare-… Kan DFRI göra en skuggutredning med fria öppna teknologier som grund kanske det kan vara rätt inflytelserikt och bistå utredaren och utredningen. FOSS bör ju kunna visa på högre kostnadseffektivitet men även säkrare och mer tillgänglig utveckling och utrullning? God jul, Mattias DFRI

5 4

Dagens Samhälle - Vad är kommunens plan B när bank-id inte fungerar?
by Mattias Axell 23 Dec '22

23 Dec '22

Hej, Den här texten tar upp ett perspektiv som projektet kanske vill spinna vidare på? Argumentationen låter förenligt med projektets syfte och mål: https://www.dagenssamhalle.se/opinion/debatt/vad-ar-kommunens-plan-b-nar-ba… Mvh, Mattias -- DFRI

5 8

Frågor från Truid.app
by Mattias Axell 13 Dec '22

13 Dec '22

Hej Eleg-projektet (cc Anders och Erik vid Truid.app), Jag blev kontaktad av Truid.app tack vare er fina insats med debattartikel i DN. Anders, på Truid.app, bad mig skicka kopia till honom och deras teknikchef Erik på denna tråd. Kul om de kan få kopia på svar genom tråden. Jag tänkte att frågorna kanske har kommit upp tidigare men att de kanske kan hjälpa utveckla information om projektet och kristallisera tydligare svar på det Anders undrar över: > "Hej Mattias, > jag har kollat igenom projektet och tycker å ena sidan att ambitionen > om att skydda privat identitet och att säkra att man inte läcker data > till annonsjättarna är helt rätt, å andra sidan att den tekniska > lösning ni föreslår riskerar att öppna upp för en massa risker i > termer av fraud, ID-stöld etc. Vad är tanken med gruppen, behöver man skriva under på embryot till teknisk spec som ni gjort eller är målet med integritetsskydd och frihet från staten det viktigaste?" Återigen, jättebra insats och kul att det genererar viktiga frågor! Kanske detta kopplar an väl till tråd om tekniska specen DID vid W3.org. Mvh, Mattias -- DFRI

3 2

2025

2024

2023

2022

2021

Eleg-projekt