Elias Rudberg via Eleg-projekt eleg-projekt@lists.dfri.se, 2025-01-17 01:13 (+0100):
Men det du citerade där handlar om "European Digital Identity Wallets", det är bra att de ska vara open-source men jag befarar att det inte finns några garantier för att det underliggande "electronic identification scheme" måste vara open-source.
Inte säker på att jag förstår vad du menar.
Tänker du på programvara nere på kortet?
Tänker du på protokollet som de tänker sig att man pratar med kortets programvara över NFC? Här tycker jag förstås, som du också gör, att det ska vara en öppen standard eller åtminstone öppna specar. Det är ju inte säkert att det finns en standard för just det de vill att man ska kunna göra.
Jag vet ju inte säkert, förstås, men jag hade tänkt mig att den programvara som är inblandad för t ex en verifiering av ålder är:
1) Wallet-programmet på telefon (antagligen). Svårt att tänka mig att de tänker satsa på datorer, tyvärr. Detta program pratar direkt med NFC till...
2) Någon applet eller firmware som kör nere i det aktiva kortet.
Exakt vilket protokoll som används *över* NFC är som jag skrev ovan viktigt att speca öppet.
Det vore givetvis väldigt trevligt om den appleten också hade en trevlig licens men det är inte riktigt lika illa som om specarna för hur man pratar med den är hemliga.
Vi får vara noggranna i vår kommunikation med dem, så de fattar vad vi egentligen är ute efter, tror jag.
Flödet de tänker sig är nog, ungefär:
1) En website vill att du verifierar att du är över 18 för att du ska få beställa, inte vet jag, vin hem till dig. Websiten visar en QR-kod med någon slags begäran om en signerad attestering om att du är över 18.
2) Du startar Wallet-appen på telefonen, riktar telefonens kamera mot QR-koden. Appen tar emot begäran/utmaningen, visar för dig vad det är en begäran om så du får en chans att kontrollera att det är vettigt. Du trycker "OK" och sedan väntar appen på att...
3) Du håller aktiva kortet mot din telefon.
4) Magic. Eller, tja, något inne i kortet läser begäran, signerar en attestering och skickar tillbaka till appen.
5) Appen skickar tillbaka den signerade attesteringen till websidan.
6) Du får köpa ditt vin.
Det vore fint att få det här verifierat. Särskilt intressant är också om vi kan få den där begäran i någon annan form än en QR-kod så vi kan plocka den direkt i browsern eller i ett separat program.
Och sen den där protokollspecen för att prata med appleten, då, så vi kan skriva eller porta ett eget program som kan prata med appleten på kortet.
/MC