Hej!
And Cynthia Revström spoke unto the world. And said:
Hej,
Det låter bra tycker jag och jag har lite fler tankar kring det tekniska nedan men jag tror inte att det är det primära problemet att lösa.
Ja, det låter absolut som en görbar lösning.
Svea skickar först sin eleg-cert-fil till TredjePart och säger därmed "jag är Svea Svensson med personnummer 12345678". TredjePart vet i det läget inte om det verkligen är Svea eller om det är någon annan som skickat eleg-cert-filen, men Svea kan bevisa det genom att utföra operationer som bara är möjliga för den som har hennes privata nyckel.
Jag tror att det här kan vara en av de mer komplicerade problemen att lösa på ett sätt som inte är jättelätt för scammers att lura folk genom. Även fast kanske inte alla kommer använda det här tror jag att man inte kan förvänta sig att alla som använder den här lösningen ska förstå de tekniska detaljerna.
Stämmer - det där är nog en av de svårare bitarna. En annan svårighet blir förmodligen att övertyga staten och andra aktörer att det är en bra lösning - men där kan kanske eIDAS (https://digital-strategy.ec.europa.eu/en/policies/discover-eidas) vara till hjälp.
M.a.o. så gissar jag att de stora problemen att lösa inte kommer att vara tekiska utan sociala och politiska.
Sen skulle det vara snyggt om det inte bara var staten som kunde utfärda certifikat - jag tänker mig ett system liknande Keybase', där en "identitet" kan bevisas genom kontroll över konton på olika platformar som Github och Twitter. Det kan ju räcka i de fall där ens personnummer faktiskt inte är viktigt. Att kunna ha mer än en source-of-truth för sin identitet är nog viktigt om man ska kunna kalla den self-sovereign.
/jonas