Hej

Angående eIDAS 2.0: Problemet är inte den tekniska arkitekturen/implementationen som sådan, utan hur den övergripande lagstiftningen och arkitekturen tänks fungera: Det är endast från centralt håll (av godkända myndigheter) som IDn godkänns, och det är enbart dessa myndigheter som federerar mellan varandra inom unionen. De har således kontroll och kännedom om samtliga digitala identiteter, (och det kan tänkas, direkt eller indirekt även hur de används/var de används, även om sådant inte beskrivs i de tekniska specifikationerna). Om fristående aktörer vill skapa digitala identiteter för sina ändamål, kan de således inte använda eIDAS för detta.

I motsats till vad Kilt påstod har jag inte fått uppfattningen om att man från centralt håll kontrollerar alla nycklar (dvs. även privata nycklar), utan enbart signaturer och publika nycklar. Tål att dyka ner i denna fråga för att reda ut vad som verkligen gäller.

(PS: Man tittar på eIDAS 2.0 även i Chile, där jag delar i ett utskott där frågan kommit upp. Anledningen till att många är intresserade är inte på grund av tekniska fördelar, utan helt enkelt för att EU använder/vill använda detta, och det inflytande EU har i området…)

Med vänlig hälsning

Peter

Hej eleg-projekt-listan!

En sak som diskuterades på mötet med Open Source Sweden förra veckan är

förslaget till vidareutveckling av eIDAS som kommit under 2021, som

kallas "eIDAS 2.0".

eIDAS 2.0 kommer troligtvis att ha stor betydelse, bland annat för att

den (till skillnad från gamla eIDAS) kommer att kräva att varje EU-land

måste se till att ha minst en eID-lösning som följer eIDAS2-reglerna.

Till exempel kommer då Sverige inte att kunna fortsätta som hittills,

utan något måste hända.

Det verkar som om eIDAS 2.0 kommer att möjliggöra vissa aspekter av

self-sovereign identity (SSI), med vissa begränsningar.

Med på mötet var en person från KILT (se https://www.kilt.io/) som

menade att det finns stora problem med eIDAS 2.0 när det gäller att viss

kritisk information lagras centralt. Jag är inte säker på om jag

uppfattade det hela rätt men jag tror att kritiken handlade om att eIDAS

2.0 utgår från att nyckeln till en persons identitet tilldelas personen

från en centralmakt, istället för att redan från början endast

kontrolleras av individen själv så som det egentligen bör vara enligt

SSI-principer. Någon av er på listan som har bättre koll på eIDAS 2.0

får gärna hjälpa till med att rätta mig här och/eller förklara bättre.

I vilket fall som helst är relationen mellan eIDAS 2.0 och SSI

intressant och jag hittade den här artikeln från Open Identity Summit

2022 som handlar om det:

"eIDAS 2.0: Challenges, perspectives and proposals to avoid

contradictions between eIDAS 2.0 and SSI"

http://dx.doi.org/10.18420/OID2022_05 (hela artikeln finns öppen som pdf

där)

Författarna till den artikeln är positiva till eIDAS2 och tycker överlag

att eIDAS2 är kompatibelt med SSI, till exempel skriver de så här i

slutet av artikeln:

"Regarding the SSI-principles, it can be stated that there is no

fundamental contradiction with the [eIDAS2] to be seen. The [eIDAS2]

makes it possible for SSI-principles to become reality recognizing that

decentralization has to be restrained to an acceptable level for

achieving legal trust and data sovereignty. If a holder can`t trust an

identity, issuer or verifier, he cannot act self-sovereign."

Samtidigt tar de upp vissa problem, till exempel:

"Currently, [eIDAS2] and related standardization mainly focus to store

core identity information based on notified identity scheme on hardware

of mobile devices and only the attestation in the wallet software itself

[TR03159]. This means that core identity information of European

citizens will be stored in non-European hardware whose specification are

not disclosed or completely open source."

Det blir förstås väldigt viktigt här att "the wallet software" tillåts

vara fri och öppen källkod, men sen finns också frågan om hur "core

identity information" (antar att det betyder privat nyckel) hanteras.

Jag är inte säker på om jag förstått det hela rätt men misstänker att

det kan bli så att med eIDAS2 får vi ett eID-system där du kan tilldelas

en e-legitimation som förhoppningsvis kommer att gå att använda utan

stängd programvara, men den privata nyckeln som borde vara bara din kan

även finnas hos staten eller hos någon privat "qualified trust service

provider" (QTSP som det heter i artikeln ovan). Ur ett frihetsperspektiv

är det då sämre än PGP där du själv kan skapa ett nyckelpar och därmed

själv kan säkerställa att ingen annan någonsin haft den privata nyckeln.

Vad tror ni om det här?

/ Elias

_______________________________________________

Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se

To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se