Även om någon bombar polisen, som utfärdade mitt nationella ID-kort, kan jag fortfarande gå till Systembolaget och verifiera min identitet och köpa en flaska sprit.

Men om någon får för sig att skicka väldigt mycket trafik till BankID kan jag inte ens boka tvättstugan, för jag behöver BankID för att logga in hos min hyresvärd och komma åt bokningssystemet. Jag kan inte heller logga in och se när min nästa läkartid är på 1177 eller Alltid Öppet.

Även om jag nu skaffar Freja, så har de samma strukturella problem som BankID, nämligen, en enda instans som måste vara uppe för att någon del av systemet ska fungera.

Absolut, om någon attackerar polisen kan vi kanske inte få nya pass/ID-handlingar fören problemet är löst, men det är väldigt begränsat i jämförelse med att alla ID-handlingar som utgivits blir oanvändbara så snart en kontrollerande instans har problem. Må de vara på grund av en attack, naturkatastrof, eller vanliga enkla mänskliga misstag.

Grundtekniken som får kommunikation på internet att bli säker och trovärdig kräver inte att en central tjänst är igång och fungerar. På samma sätt som polisen kan ge ut plastkort som inte försvinner bara för att någon i protest blockerar ingången till polisstationen de hämtas från, kan företag och myndigheter ge ut elektroniska ID-handlingar som går att verifiera utan att fråga utgivaren varje gång. Dessa kallas “digitala certifikat”, som då får en “digital signatur” av en betrodd instans, Polismyndigheten eller BankID t.ex. Om jag då försöker logga in hos min hyresvärd för att boka nästa tvättid kan jag “visa upp” mitt certifikat, de kan verifiera att detta certifikat är utfärdat av någon som är godkänd att göra det, och att jag då är den jag utger mig för att vara. De kan sedan matcha ett anonymt ID-nummer som varje certifikat får mot en s.k. återkallelselista som utgivaren publicerar med certifikat som inte längre ska anses giltiga. Då de kan ladda ned och spara de här listorna lokalt med jämna mellanrum kan alltså en attack mot t.ex BankID bara påverka hur färsk den här listan är hos de som vill verifiera användare, och då kan instansen jag försöker logga in på avgöra hur de ska hantera situationen. T.ex kanske det är viktigare att låta sina hyresgäster kunna boka tvättstugan, även om de inte kan verifiera att e-legitimationen inte återkallats de senaste 2 timmarna, men det kanske är lite känsligare med att skriva på nya kontrakt för bostäder och parkeringar, och de kan kräva att den listan är purfärsk.

Grundtanken är att det är den som tillhandahåller en tjänst som avgör hur den ska hantera när utgivaren har problem, och till vilken grad den behöver veta om ett certifikat återkallats, snarare än att hela samhället kollapsar inte enbart för att en enda instans råkar ligga nere i ett par timmar.

Denna teknik finns redan i ditt pass eller nationella ID-kort. BankID använder den när du ska skapa det där id-kortet som du visar upp på skärmen, det är alltså ingen ny och osäker teknik vi pratar om, utan välbeprövad och redan existerande teknik som finns överallt på internet och i den fysiska världen idag redan.