Sammanfattning av öppet möte nr 12 om att bygga egen e-leg-lösning, 29 januari 2024:
- Konferensen SamNet den 18 januari 2024 hade en session om e- legitimation där vårt projekt var med, se https://samnet.se/ och inspelningar på https://play.dfri.se/
En spellista med alla föredragen från konferensen i rätt ordning finns här: https://play.dfri.se/w/p/nCXb5kXYWpxkgHVsBqHL6N
- Uppföljning efter utredaren Henrik Ardhedes presentation på konferensen
Om Ardhedes föredrag: en sak han sa som är viktig är att när det gäller tekniska delar hänvisar den nya utredningen i stort sett till DIGG- utredningen. Därför kan man hoppas att det DIGG-utredningen sagt om öppna standarder och möjlighet till öppen källkod i stort sett fortfarande gäller.
Ardhede nämnde också 31 januari som sista datum för att skicka in remiss-svar. Det har vi gjort, se https://mailman.dfri.se/mailman3/hyperkitty/list/eleg-projekt@lists.dfri.se/...
- Frågor som kom upp om vårt projekt, alltså frågor som kom upp vid presentationen på SamNet-konferensen
Tidsaspekten vid återtagande/revokering: hur kort behöver tiden vara och är det ett problem?
Vi diskuterade det, bland annat togs upp att det kan ta en viss tid redan att upptäcka att man blivit av med nyckeln, och en viss tid att hinna få kontakt med "spärr-service" via telefon eller hur man nu gör. Frågan är om det är meningsfullt att ändå kräva att systemet ska klara att ett återkallande slår igenom väldigt snabbt. Ju kortare tid man bestämmer sig för där, desto oftare behöver kommunikation ske för att synka revokeringslistan. Om systemet ska vara robust i ett läge där internet fungerar dåligt och nätverk kanske bara fungerar lokalt eller regionalt, då kan man inte samtidigt garantera att det går att återkalla snabbt.
En annan fråga som kom upp är om man på något sätt kan eller bör garantera att den privata nyckeln hanteras på ett säkert sätt? Eventuellt kan det göras med hjälp av attestering, vi diskuterade fördelar och nackdelar med det. En möjlig fördel är att utgivaren kan få möjlighet att på tekniska väg försöka veta något om hur nyckeln hanteras. En nackdel är att bara vissa aktörer då skulle ha officiellt godkända lösningar (hårdvarunycklar) vilket betyder risk för inlåsning och hinder för den som vill skapa en ny, bättre lösning.
- Implementation av en första version av CA-programvara för utgivaren
Det är fortfarande på gång, vi har inte hunnit så mycket mer där sedan sist när det gäller det.
- Beskrivningar av arbetsflöden för utfärdande, användning, återkallande osv.
Det jobbas på att fylla på i matrisen med olika kombinationer av aktörer och processer, och att skapa en FAQ-lista (FAQ: frequently asked questions)
- Nästa möte
Nästa möte blir måndagen 2024-02-26 klockan 19 till 20 (en timme)
Alla är välkomna att vara med på kommande möten. OBS även du som inte varit med förut är mycket välkommen att vara med!
/ Elias
PS Läs gärna om projektet här: https://www.dfri.se/projekt/e-legitimation/