God morgon!
Jag tycker det ni (Elias, Cynthia och Jonas) skriver låter bra. Tror nog också att det tekniska inte är det stora problemet, utan att göra problemställningen allmänt uppmärksammad och förstådd och därmed nyttan av en alternativ lösning. Men att då ha ett fungerande alternativ att visa underlättar ju oerhört.
Tanken om nyckelpar ligger ju i linje med gpg. Jag har föreslagit att vi skulle koppla på dem på något sätt. Även om det är lite vid sidan om så finns det relevanta paralleller.
Sen är frågan om vem som ska identifiera sig. Jag tycker att det är lika viktigt att den jag ska identifiera mig hos kan bevisa sin identitet för mig! Och man skulle också kunna tänka sig en spärr för möjligheten att signera transaktioner om inte alla parter är identifierade.
Jag har också funderat kring olika säkerhetsnivåer. Men eftersom jag inte är tekniskt kunnig så kan jag vara ute och cykla här. :-) Det finns väl nåt som heter nåt i stil med 2-partsverifiering? Som jag fattar det kan det vara tex att man får en tillfällig kod via sms som man manuellt måste fylla i? Är det helt onödigt? Eller skulle man kunna tänka sig det som ytterligare en säkerhetsnivå? Hos Swedbank så har man en dosa med nån form av algoritm som jag inte fattar hur det fungerar men där banken ger mig siffror som jag matar in, får andra siffror som jag matar tillbaka till banken. Skulle man kunna tänka sig att banken istället ger siffrorna (kan vara slumpvisa) till min identitetsissuer som med en algoritm kopplad till min identitet (som bara de har) skickar resultatet av den körningen till mig och att jag omvandlar den med en algoritm kopplad till min privata nyckel och matar resultatet till banken som sen kollar med min issuer om den omvandlingen kan komma från mig. Är det för invecklat? För onödigt?
/Mikael
Den 2021-10-04 kl. 20:07, skrev Elias Rudberg:
Tack Cynthia och Jonas för svaren!
On Sun, 2021-10-03 at 15:05 +0200, Jonas Linde wrote:
En annan svårighet blir förmodligen att övertyga staten och andra aktörer att det är en bra lösning - men där kan kanske eIDAS (https://digital-strategy.ec.europa.eu/en/policies/discover-eidas) vara till hjälp.
När det gäller att övertyga andra aktörer tror jag det finns goda möjligheter att lyckas med det, särskilt de aktörer som är intresserade av att vara i någon mån oberoende och de som vill kunna undvika att läcka information om vem som identifierat sig.
Jag menar, för den som bedriver en verksamhet där man vill kunna låta folk identifiera sig men inte berätta det för varken staten eller bankerna eller andra som inte har med det att göra, för den aktören finns det tydliga fördelar. Man kan låta en person identifiera sig utan att behöva skicka info om det någonstans. Den enda kommunikation som krävs med staten är att se till att hålla en "revocation list" uppdaterad, men det kräver inte att man kommunicerar något om individerna som identifierar sig. Det blir mer som att visa upp ett gammaldags fysiskt id-kort, varken staten eller bankerna vet att du visat ditt id-kort för någon.
Att övertyga staten tycker jag också borde gå, både utifrån principer om integritetsskydd och utifrån kostnader. Stängda system kan bli väldigt dyra och staten låser in sig och tvingas fortsätta betala till en viss leverantör, när systemet är stängt är det ju svårt att byta leverantör.
M.a.o. så gissar jag att de stora problemen att lösa inte kommer att vara tekiska utan sociala och politiska.
Ja, det tror jag också.
Sen skulle det vara snyggt om det inte bara var staten som kunde utfärda certifikat - [...]
Absolut, det skulle kunna finnas olika utfärdare ("issuers") av certifikat, och den som är "verifier" och låter folk identifiera sig kan själv välja vilka utfärdare som man anser acceptabla för olika syften. Man kan välja att bara acceptera cert utfärdade av svenska staten, men det är möjligt att acceptera andra också. Det är också filosofiskt intressant kan jag tycka, min identitet som individ är mer fundamental än den svenska staten. Det finns personer utan medborgarskap, de har fortfarande sin identitet, osv.
/ Elias
Listan för diskussion om fri och öppen e-legitimation är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/eleg-projekt/