- Eleg-projekt

Välkomna på öppet möte nr 37 om att bygga egen e-leg-lösning, 13 okt klockan 18
by Elias Rudberg 12 Oct '25

12 Oct '25

Hej! Välkomna till distans-möte nummer 37 om hur vi kan bygga en egen decentraliserad lösning för fri och öppen e-legitimation. Vi fortsätter med kravspecifikation, design, implementation och testning av de olika komponenter som kommer behövas. Tid: måndag 13 okt 2025 klockan 18:00. Vi siktar på att hålla på i upp till en timme. Plats: https://jitsi.eliasrudberg.se/e-id-meeting Förslag till agenda: - CA-programvara för utgivaren och test med nginx, status? - OpenPGP-kort, status? - Sätta upp server med revokeringslista, domän och webbserver för det? - "Proof of concept" klart under hösten 2025? - eleg på fil - demosida finns Alla är välkomna, både ni som varit med tidigare och alla nya som vill vara med och diskutera och hjälpa till med det här. Svara gärna här på mejllistan med alla frågor och funderingar inför mötet, och förslag på fler saker vi borde ta upp. Välkomna! Vänliga hälsningar Projektets styrgrupp genom Elias

1 0

Storm i England
by Mikael Odhage 29 Sep '25

29 Sep '25

Engelsmännen är ju vana vid storm... ;-) https://www.independent.co.uk/news/uk/politics/petition-digital-id-cards-uk… Kan vårt lilla projekt blåsa lite liv i debatten här hemma? Jag hoppas det! -- Vänliga hälsningar Mikael Odhage +46(0)709933651 Jabber/XMPP: odhagemikael(a)xabber.de Lite Fediversum: Friendica: https://libranet.de/profile/mikaelodhage/profile Bilder på: https://pixelfed.de/OdhageMikael Min publika nyckel hittas på hkp://keys.gnupg.net eller keys.gnupg.net

1 0

Sammanfattning av öppet möte 36 om att bygga egen e-leg-lösning, 22 sep 2025
by Elias Rudberg 26 Sep '25

26 Sep '25

Sammanfattning av öppet möte 36 om att bygga egen e-leg-lösning, 22 sep 2025: Tack till alla som var med på mötet! - CA-programvara för utgivaren och test med nginx, status? Inget nytt, inte hunnit. Kod finns här https://codeberg.org/DFRI-eID/dfri-eid Alla som vill är välkomna att testa och föreslå förbättringar. - OpenPGP-kort, status? Ett kort har förberetts för att skickas till C, kommer iväg snart! Bra att fler kan vara med och testa. - Sätta upp server med revokeringslista, ordna domän och webbserver för det? Servern är uppsatt, ändringar som behövdes har gjorts, sista biten kvar bara. Vi vill ha med det som en del i "proof of concept". C säger: har fått igång min domän med wildcard-cert, har en sida som funkar! C visar, men demodjävulen var framme. Ska lägga till att skicka mejl med kod för att ange på sidan. Det är det som är incheckat i MR. Ny MR om intermediary, se diskussion möte 35. GUI i egen MR? Håller tummarna. Att fixa wildcard-certet var lite krångligt, men hittade en som inte krävde betalt till slut. Konfig nästa steg. - "Proof of concept" klart under hösten 2025, klarar vi det? ljo: Om vi med hösten menar december 2025 så tror jag det. - När blir nästa möte? Nästa möte hålls måndag 2025-10-13 klockan 18 till 19 (en timme) Alla är välkomna att vara med på kommande möten. OBS även du som inte varit med förut är mycket välkommen att vara med! / Elias PS Läs gärna om projektet här: https://www.dfri.se/projekt/e-legitimation/ PPS Alla som är intresserade är välkomna att höra av sig via projektets mejllista

2 1

Välkomna på öppet möte nr 36 om att bygga egen e-leg-lösning, 22 sep klockan 18
by Elias Rudberg 21 Sep '25

21 Sep '25

Hej! Välkomna till distans-möte nummer 36 om hur vi kan bygga en egen decentraliserad lösning för fri och öppen e-legitimation. Vi fortsätter med kravspecifikation, design, implementation och testning av de olika komponenter som kommer behövas. Tid: måndag 22 sep 2025 klockan 18:00. Vi siktar på att hålla på i upp till en timme. Plats: https://jitsi.eliasrudberg.se/e-id-meeting Förslag till agenda: - CA-programvara för utgivaren och test med nginx, status? - OpenPGP-kort, status? - Sätta upp server med revokeringslista, ordna domän och webbserver för det? - "Proof of concept" klart under hösten 2025, klarar vi det? Alla är välkomna, både ni som varit med tidigare och alla nya som vill vara med och diskutera och hjälpa till med det här. Svara gärna här på mejllistan med alla frågor och funderingar inför mötet, och förslag på fler saker vi borde ta upp. Välkomna! Vänliga hälsningar Projektets styrgrupp genom Elias

1 0

Sammanfattning av öppet möte 35 om att bygga egen e-leg-lösning, 25 aug 2025
by Elias Rudberg 27 Aug '25

27 Aug '25

Sammanfattning av öppet möte 35 om att bygga egen e-leg-lösning, 25 aug 2025: Tack till alla som var med på mötet! - CA-programvara för utgivaren och test med nginx, status? Inte mycket nytt, men Christian MR för Go-implementationen Koden finns här https://codeberg.org/DFRI-eID/dfri-eid - OpenPGP-kort, status? Fler håller på och testar! ljo (FPS) skickar kort till kalvdans. Inget möte med Cryptas ännu (arbete nu, och resa nästa vecka). Försök med "openssl s_client -connect" - inget nytt där. - Sätta upp server med revokeringslista, ordna domän och webbserver för det? Ett steg framåt. Men behöver en åtgärd till innan driftning. - Klient-certifikat i p12-format? C har fått en wildcard-domän att funka med LetsEncrypt-certifikat för att kunna ha olika saker framför punkten. I vår utfärdar-kod som vi har nu är det så att det finns ett root-cert och sen skapas ett annat cert som i sin tur används för att utfärda personliga cert till personer. Det blir en kedja som är tre certifikat lång: - root-certet - "issuer"-cert även kallat intermediate-cert - det personliga certifikatet (som hör till e-legimationen) Ska man bundla ihop så att man skickar sitt personliga cert bundlat ihop med intermediate-certet? Som det är nu så är revokeringslistan signerad med intermediate-certet så därför måste intermediate-certet finnas på servern. Ska det finnas en annan revokeringslista också, för intermediate-certifikat? <-- nej det blir nog för krångligt p12-format är en fil som kan vara lösenordsskyddad och som innehåller både cert och privat nyckel och som sen kan installeras i webbläsare. det här ger inte alls lika stort skydd som en hårdvarunyckel, eftersom det kan finnas flera kopior av den privata nyckeln. p12 heter med ett längre namn "pkcs #12" Mozilla har en bloggpost där de har beskrivit ett nytt format, en komprimering av revokeringslistor. Då har de en lista på alla utfärdade serienummer och alla återkallade serienummer. En fråga för oss är om vi ska tillhandahålla en lista med alla utfärdade serienummer, eller inte. https://blog.mozilla.org/en/firefox/crlite/ - Debattartikel publicerad i ETC: https://www.etc.se/debatt/robust-e-legitimation-aer-faktiskt-inte-svaart Vad är nästa steg/vinkel i skrivandet? frihet, massövervakning, filmsynopsis? - när blir nästa möte? nästa möte blir mån 22 sept klockan 18 till 19 - När blir nästa möte? Nästa möte hålls måndag 2025-09-22 klockan 18 till 19 (en timme) Alla är välkomna att vara med på kommande möten. OBS även du som inte varit med förut är mycket välkommen att vara med! / Elias PS Läs gärna om projektet här: https://www.dfri.se/projekt/e-legitimation/ PPS Alla som är intresserade är välkomna att höra av sig via projektets mejllista

1 0

Välkomna på öppet möte nr 35 om att bygga egen e-leg-lösning, 25 aug klockan 18
by Elias Rudberg 24 Aug '25

24 Aug '25

Hej! Välkomna till distans-möte nummer 35 om hur vi kan bygga en egen decentraliserad lösning för fri och öppen e-legitimation. Vi fortsätter med kravspecifikation, design, implementation och testning av de olika komponenter som kommer behövas. Tid: måndag 25 aug 2025 klockan 18:00. Vi siktar på att hålla på i upp till en timme. Plats: https://jitsi.eliasrudberg.se/e-id-meeting Förslag till agenda: - CA-programvara för utgivaren och test med nginx, status? - OpenPGP-kort, status? - Sätta upp server med revokeringslista, ordna domän och webbserver för det? - Klient-certifikat i p12-format? - Debattartikel publicerad Alla är välkomna, både ni som varit med tidigare och alla nya som vill vara med och diskutera och hjälpa till med det här. Svara gärna här på mejllistan med alla frågor och funderingar inför mötet, och förslag på fler saker vi borde ta upp. Välkomna! Vänliga hälsningar Projektets styrgrupp genom Elias

1 0

Sammanfattning av öppet möte 34 om att bygga egen e-leg-lösning, 4 aug 2025
by Elias Rudberg 19 Aug '25

19 Aug '25

Sammanfattning av öppet möte 34 om att bygga egen e-leg-lösning, 4 aug 2025: Tack till alla som var med på mötet! - CA-programvara för utgivaren och test med nginx, status? Som tidigare inte mycket nytt. Hårdvarunyckel vore bra. LJO möte med Cryptas framskjutet på grund av semester. - OpenPGP-kort, testat mer Det var inte så enkelt som tänkt med en annan backend i Curl heller, Men kanske Cryptas-mötet kan ge nåt. För att lättare debugga kanske man kan använda "openssl s_client -connect" eller liknande för att upprätta TLS-ansluteningen och sen köra http när anslutningen är upprättad. Värt att pröva något sånt. Man skapar då en "pipe" för TLS-info, den tar stdin som blir en http-request och stdout blir det servern skickar tillbaka, det blir en cleartext-pipe med hjälp av SSL-kommandot. Sen kanske man kan använda curl och säga till den att använda stdin och stdout som motsvarar den "pipe" man skapat. - Sätta upp server med revokeringslista, ordna domän och webbserver för det? Det är påbörjat men har inte hunnit slutföra det. Pågående! - Skriva debattartikel om robusthet apropå BankID-problemen nyligen? Har skickat vårt debattartikel-förslag till följande, en i taget: DN --> nej SvD --> nej GP --> nej Sydsvenskan --> nej ETC --> vill ha kortare, max 3500 tecken inkl blanksteg, vi försöker få till en nedkortad version. Andra möjligheter är att skicka till VLT, eller till Ny Teknik: https://www.nyteknik.se/debatt/vill-du-skriva-en-debattartikel-eller-en-rep… Christian gör ett försök att korta ner texten och skickar ett nytt utkast. Vi prövar med ETC, om de inte vill ha den tar vi VLT, och sen Ny Teknik. - Christian skulle göra något med klient-certifikat i p12-format, men har inte hunnit. - Fråga om begreppet "id-växling" (Christian: efter presentationen på hackatonet var det någon som frågade om "id-växling") Vi pratade lite om "id-växling" och att vi ju har tänkt att id-växling skulle kunna användas för att den kommande statliga e-legitimationen skulle kunna användas till att utfärda vår e-legitimation. Om "id-växling" med den kommande statliga e-legitimationen: en intressant fråga är om id-växling kommer att vara tillåten bara till andra godkända e-legitimationer, eller till vilka system som helst. - När blir nästa möte? Nästa möte hålls måndag 2025-08-25 klockan 18 till 19 (en timme) Alla är välkomna att vara med på kommande möten. OBS även du som inte varit med förut är mycket välkommen att vara med! / Elias PS Läs gärna om projektet här: https://www.dfri.se/projekt/e-legitimation/ PPS Alla som är intresserade är välkomna att höra av sig via projektets mejllista

2 1

Debattartikeln publicerad i ETC idag
by Elias Rudberg 13 Aug '25

13 Aug '25

Hej! Vår debattartikel publicerades på etc.se idag: https://www.etc.se/debatt/robust-e-legitimation-aer-faktiskt-inte-svaart Tack igen alla som hjälpt till! / Elias

2 1

Välkomna på öppet möte nr 34 om att bygga egen e-leg-lösning, 4 aug klockan 18
by Elias Rudberg 04 Aug '25

04 Aug '25

Hej! Välkomna till distans-möte nummer 34 om hur vi kan bygga en egen decentraliserad lösning för fri och öppen e-legitimation. Vi fortsätter med kravspecifikation, design, implementation och testning av de olika komponenter som kommer behövas. Tid: måndag 4 aug 2025 klockan 18:00. Vi siktar på att hålla på i upp till en timme. Plats: https://jitsi.eliasrudberg.se/e-id-meeting Förslag till agenda: - CA-programvara för utgivaren och test med nginx, status? - OpenPGP-kort, testat mer - Sätta upp server med revokeringslista, ordna domän och webbserver för det? - Skriva debattartikel om robusthet apropå BankID-problemen nyligen? Alla är välkomna, både ni som varit med tidigare och alla nya som vill vara med och diskutera och hjälpa till med det här. Svara gärna här på mejllistan med alla frågor och funderingar inför mötet, och förslag på fler saker vi borde ta upp. Välkomna! Vänliga hälsningar Projektets styrgrupp genom Elias

1 0

Re: Debattartikel [var: SVT skriver om att "Attacken mot Bank-id borde mana till en större diskussion om alternativ till tjänsten"]
by Erik Josefsson 25 Jul '25

25 Jul '25

Fattar jag rätt om det blir tydligare så här? original:ID-handlingen innehåller digitala certifikat, som då får en digital signatur av en betrodd instans, ändra till -> ID-handlingen innehåller digitala certifikat, som vid verifikationen får en digital signatur av en betrodd instans, mvh //Erik Sent from my Samsung Galaxy smartphone.-------- Original message --------From: Marcus via Eleg-projekt <eleg-projekt(a)lists.dfri.se> Date: 20/07/2025 10:41 (GMT+01:00) To: Elias Rudberg via Eleg-projekt <eleg-projekt(a)lists.dfri.se> Subject: [Eleg-projekt] Re: Debattartikel [var: SVT skriver om att "Attacken mot Bank-id borde mana till en större diskussion om alternativ till tjänsten"] Hej, jag tycker att det ser riktigt bra ut!Jag står gärna med på artikeln om det inte är för sent!! Bra jobbat allihop!! MvhMarcus On lör, jul 19 2025 at 17:49:18 +0200, Elias Rudberg via Eleg-projekt <eleg-projekt(a)lists.dfri.se> wrote: Hej, Tack Mikael och Linn för era tankar, här nedanför är en ny version där jag lagt till enligt era förslag (med den grundläggande förklaringen från Linn, jag håller med om att det nog blir för långt att ha mer än så). Jag petade in ordet "lokalt" också för att man inte ska tro att listan kräver central kommunikation varje inloggning. Allt annat är likadant som förut. Blir det bra med den här versionen? Linn, kan vi lägga till ditt namn också? / Elias -- här kommer nya versionen --- (Rubrik) Robust e-legitimation är inte svårt (Kontextualisera) Samhällsdebatten om elektronisk legitimation har aktualiserats igen efter incidenten när BankID låg nere i tre timmar. Civilminister Erik Slottner anser att staten bör ta ett större ansvar och att det behöver finnas flera lösningar. Det är en viktig diskussion, men det finns en övertro på centraliserade system. Behovet av en central server som måste vara nåbar är djupt rotat i tankesättet hos många beslutsfattare, vilket framgår av Finansinspektionens förslag om ”Uppgiftsskyldighet för vissa e-legitimationsföretag” Fi2025/00837, där myndigheten verkar ta för givet att alla elektroniska legitimeringar samlas in av utgivaren. Vidare säger Andreas Bergqvist på BankID till SVT att ”oavsett vem som driver en tjänst så kommer alla ha samma utmaning som vi när det gäller cyberangrepp”. Denna föreställning om att central aktör måste vara nåbar vid varje enskild identifiering, behöver förändras. DIGG (Myndigheten för digital förvaltning) skriver om ersättning till e-legitimationsföretag för användning av e-legitimation i MDFFS 2025:2 där den rörliga ersättningen baseras på antalet identifieringar. Återigen verkar synsättet vara att varje identifiering måste involvera någon form av bokföring hos en central part. (Teknisk förklaring) Grundtekniken som får kommunikation på internet att bli säker och trovärdig kräver inte att en central tjänst är igång och fungerar. På samma sätt som polisen kan ge ut plastkort som inte försvinner bara för att någon i protest blockerar ingången till polisstationen de hämtas från, kan företag och myndigheter ge ut elektroniska ID-handlingar som går att verifiera utan att fråga utgivaren varje gång. ID-handlingen innehåller digitala certifikat, som då får en digital signatur av en betrodd instans, t.ex. Polismyndigheten eller BankID. För att spärra en ID-handling publicerar utgivaren en lista med serienummer på ej-giltiga ID-handlingar. Denna lista innehåller i sig ingen personlig information, utan används enbart lokalt när en autentisering sker och det finns ett specifikt serienummer att kolla upp. Om du då försöker logga in hos din hyresvärd för att boka nästa tvättid kan du visa upp ditt certifikat för hyresvärden som då, utan att behöva internet-uppkoppling, kan verifiera att detta certifikat är utfärdat av någon som den litar på och att du kan boka. Det finns inget i grundtekniken som kräver att utgivaren är aktiv aktör i inloggningarna som är fallet med BankID och Freja. (Robusthet) System som är decentraliserade och kan fungera lokalt, där varje användning inte behöver gå genom en central punkt, är överlägsna när det gäller robusthet. Det gör att samhällskritiska system fortsätter att fungera under krig eller stora cyberangrepp av främmande makter. Decentraliserade lösningar är dessutom att föredra utifrån ett demokrati-perspektiv: ett starkt samhälle bygger på att det finns starka, fria individer, som inte ständigt står under statens kontroll. Auktoritära stater vill gärna ha centrala system som gör det möjligt för staten att utöva kontroll över människor. Så är det inte i ett fritt samhälle. Den centralisering som auktoritära stater strävar efter kan förstås verka bra för en diktator som vill behålla makt och kontroll, men centraliseringen gör samhället sårbart. (om vår förening) Föreningen för Digitala Fri- och Rättigheter (DFRI) har ett projekt om fri och öppen e-legitimation, där vi ger exempel på hur en lösning skulle kunna skapas baserat på fri och öppen programvara, öppen specifikation, tillgänglighet och decentralisering. Vi ser ett stort behov av samhällsförändring i riktning mot mer frihet och mindre central kontroll, både för demokratins skull och för att göra samhället mindre sårbart. (Slutkläm) Nästa gång du blir tvingad till ett inloggningssystem som kräver att du låser dig till ett visst bolags app, fråga vad för protokoll de använder, om det är decentraliserat, och om du själv eller tillsammans med den eller de du väljer är fri att skriva en egen implementation på öppna standarder. Alla förtjänar att känna trygghet i att e-id-systemet fungerar även under kris och krig! (Signatur) Christian Häggström, Elias Rudberg, Leif-Jöran Olsson, Mikael Odhage Föreningen för digitala fri- och rättigheter -- slut på nya versionen --- _______________________________________________ Eleg-projekt mailing list -- eleg-projekt(a)lists.dfri.se To unsubscribe send an email to eleg-projekt-leave(a)lists.dfri.se

5 6