Hej,
On Fri, Dec 17, 2021 at 8:57 PM Michael Cardell Widerkrantz mc@hack.org wrote:
Jag ligger lite efter...
Christoffers tre punkter (Maktlöshet, Tillit i olika sammanhang, Resilience) är bra men också väldigt ambitiösa.
Ska vi inte försöka med samla krav för någon slags minimum viable product till att börja med? Projektet kan sedan forsätta mot mer ambitiösa mål när det är uppnått.
Jag tror att det nog är fel väg att gå, för då kanske vi låser in oss i någon lösning som var väldigt begränsad.
Dessutom tror jag inte att det tekniska implementationen är den svåraste biten.
Till exempel tycker jag det vore önskvärt att sikta på krav som:
Kunna identifiera sig mot myndigheter med webläsare på dator oavsett operativsystem,
Kunna identifiera sig mot myndigheter från mobil oavsett operativsystem.
Här är alltså huvudkravet att identifieringen inte är knuten till något särskilt program/app som måste finnas för plattformen.
Jag tycker att huvudkravet är att det är en öppen standard med en öppen referensimplementation.
Jag föreslår att vi tittar på existerande standarder som stöds av flera webläsare, typiskt något FIDO-aktigt med Yubikey eller liknande, och lägger mest krut på att fundera ut scenarion för hur de skulle utfärdas och användas efter att ha lusläst redan existerande myndighetskrav.
Jag tror inte Yubikeys (utan något annat) uppfyller säkerhetskraven med tanke på att det är bara en fysisk sak, inget annat. Yubikey Bio kanske skulle funka, vet ej. Återigen så tror jag inte riktigt att hur just den biten funkar är den svåraste.
Sen får väl allt ihop federeras ihop i backend mellan utgivare med SAML (brr...) som Sweden Connect verkar vilja ha. Men det hoppas jag att vi inte ska behöva ha så mycket att göra med. Det får utgivaren bekymra sig om.
Vem skulle "utgivaren" vara i det här fallet?
Jag tror det svåraste med det här är "hur får vi det att funka juridiskt och hur får vi de relevanta myndigheterna att acceptera detta?"
Det behövs ju en utgivare så klart, men jag vet inte om vi kan satsa på att något kommersiellt företag vill satsa på det om det är en helt öppen standard de inte sannolikt kan tjäna pengar på.
Jag tror att detta är något som bara realistiskt kan funka om utgivaren är en myndighet eller om staten finansierar en förening eller stiftelse som kan vara utgivare.
-Cynthia Listan för diskussion om fri och öppen e-legitimation är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/eleg-projekt/