Jag ligger lite efter...
Christoffers tre punkter (Maktlöshet, Tillit i olika sammanhang, Resilience) är bra men också väldigt ambitiösa.
Ska vi inte försöka med samla krav för någon slags minimum viable product till att börja med? Projektet kan sedan forsätta mot mer ambitiösa mål när det är uppnått.
Till exempel tycker jag det vore önskvärt att sikta på krav som:
- Kunna identifiera sig mot myndigheter med webläsare på dator oavsett operativsystem,
- Kunna identifiera sig mot myndigheter från mobil oavsett operativsystem.
Här är alltså huvudkravet att identifieringen inte är knuten till något särskilt program/app som måste finnas för plattformen.
Jag föreslår att vi tittar på existerande standarder som stöds av flera webläsare, typiskt något FIDO-aktigt med Yubikey eller liknande, och lägger mest krut på att fundera ut scenarion för hur de skulle utfärdas och användas efter att ha lusläst redan existerande myndighetskrav.
Sen får väl allt ihop federeras ihop i backend mellan utgivare med SAML (brr...) som Sweden Connect verkar vilja ha. Men det hoppas jag att vi inte ska behöva ha så mycket att göra med. Det får utgivaren bekymra sig om.
Utifrån våra krav kan sedan en utgivare börja låta folk registrera Yubikeys (eller motsvarande som uppfyller samma standard), kanske på samma ställen som Freja, alltså ATG-ombud eller liknande.