Hej MC,
Tack för att du berättar om det här! Jag har några frågor.
En av våra första PoC-användningar av TKey är en SSH-agent (host- sidan) som tillsammans med en ed25519-signerare (device-sidan)
Få se nu om jag förstår rätt: om jag skulle ha en TKey som jag pluggar in i en USB-port i min dator, då är min dator "host-sidan" och TKey är "device-sidan"?
TKey är inte alls lika polerad eller ens inriktad på att ersätta en traditionell legitimation som BankID eller Freja e-ID men kan nog vara intressant för projektdeltagarna att känna till.
Okej, men om vi ändå skulle tänka ett steg till på hur det skulle gå till att använda TKey för e-legitimation, hur skulle det kunna gå till? Jag föreställer mig att utfärdaren (kunde vara Skatteverket eller Polisen eller annan myndighet, eller någon privat aktör) då skulle ge varje person en egen TKey som personen har med sig i fickan, precis som man har körkort och andra id-kort i plånboken. Utfärdaren skulle också upprätthålla ett register med motsvarande publika nycklar där det framgår vem som är vem, och där det blir möjligt att återkalla en legitimation när det behövs. Skulle det gå att göra ungefär så?
Hårdvarudesign, alla ritningar och alla program är släppta under fria licenser.
Om det läser jag i readme-filen här https://github.com/tillitis/tillitis-key1/blob/main/README.md följande: "All of the TKey software, firmware, FPGA Verilog source code, schematics and PCB design files are open source. Like all trustworthy security software and hardware should be. This in itself makes it different, as other security tokens utilize at least some closed source hardware for its security-critical operations."
Är Yubikey och Nitrokey exempel på "other security tokens" som har "some closed source hardware"? Hur ser argumentationen ut där, hävdar de att det är nödvändigt för säkerheten att ha hemlig hårdvara, medan du menar att det inte är nödvändigt?
/ Elias