Hej
Verkligen fantastiskt dumt.
Jag tycke mig också ha sett copy-pastan om modifierad kopia eller skript redan i tidigare svar som återpublicerats här.
Vad betyder det liksom ens?
Som redan nämnts så är chain-of-trust här primärt inlåsning i oligopolet - "säkerheten" bryts ju allt som oftast (Magisk etc).
Dessutom handlar det ju allt som oftast att låsa ute användaren ur sina egna enheter - med förinstallerade spamappar som gömmer sig bakom samma skydd.
Jag har haft smartphone sedan 2011, men aldrig Android eller iOS (SailfishOS sedan 2013) och det är väldigt tröttsamt att bli behandlad som någon slags andraklassmedborgare.
Detta alltså trots Android-kompatibilitet och att jag gärna skulle ta tjänstledigt och vispa ihop en app om det bara fanns förutsättningar.
En sak som kommit upp där är att attestering inte måste vara google-inlåsande, och Volla Systeme GMBH har gjort ett alternativ:
https://uattest.net/Jag har svårt att bedöma hur tillämpligt det är. Sannolikt finns mer kompetenta personer på listan.
Det här med att gömma sig bakom att "det ju finns andra lösningar" är osnyggt nog när det gäller kommersiella aktörer, men totalt ovärdigt en myndighet.
Jag brukar ge liknelsen med vägtullar - ponera att du skulle behöva ha Tesla eller nåt från VAG-gruppen för att kunna passera en vägtull eftersom de är "attesterade".
Vill du köra Volvo? Haha, nej, hårt liv! (Här man man göra liknelsen med tåg och stationär dator, men det blir lite rörigt...)
Staten behöver ta ansvar för att identifiering fungerar för *alla* medborgare. Vi behöver eID-världens motsvarighet till registreringsskylten, inte någon jäkla plattformsberoende app.
Man borde inte heller få gynna vissa specifika företag bara för att de lyckats försätta sig i monopolställning. Hur ska någon någonsin kunna konkurrera då?
Det är hög tid att man slutar behandla digitala lösningar som nån slags best-effort-hobby där tillgänglighet och rättigheter inte spelar någon roll.
/@
Hej!
Jag hade ställt en liknande fråga och fick ett svar som var till vissa
delar copy-paste från ditt, Elias. Frågan som jag ställde den 7 mars var:
---
Angående artilken "Polismyndigheten utvecklar en ny e-legitimation på
högsta säkerhetsnivå",
https://polisen.se/aktuellt/nyheter/nationell/2026/mars/polismyndigheten-utvecklar-en-ny-e-legitimation-pa-hogsta-sakerhetsniva/
Det står att "När man väl fått sitt Sverige-id använder man det genom en
app som laddas ner på mobiltelefonen".
Vanligen när man talar om "appar" menar man appar för antingen Apples
iOS eller Googles Android, även om det finns andra mobiloperativsystem.
Nedladdning och/eller användande av någon av dessa två typer av appar
kräver vanligen att man underkastar sig företagens respektive
användarvillkor som är omfattande, för gemene man oöverskådliga och som
dessutom när som helst kan ändras.
Om staten förväntar sig att medborgaren godkänner ett sådant avtal med
tredje part (dessutom i tredje land) så vore det ett problem.
Därför frågar jag: kommer medborgare att kunna använda den statliga
e-legitimationen utan att tvingas ingå avtal med nämnda företag?
---
Svaret kom i torsdags, den 16 april:
---
Tack för ditt mejl! Polismyndigheten utvecklar just nu en statlig
e-legitimation på uppdrag av regeringen (JU2025/00740). E-legitimationen
heter Sverige-id och är tänkt att komplettera dagens e-legitimationer
och bidra till ett mer robust och mindre sårbart system över tid. Om
lagstiftning finns på plats så är planen att Sverige-id ska kunna gå att
ansöka om den 1 december 2026 på Polisens passexpeditioner.
Sverige-id kommer att ha en mycket hög säkerhetsnivå. Det innebär att
Sverige-id kan få en särskild betydelse i sammanhang där mycket hög
säkerhet krävs, i takt med att sådana behov utvecklas. Ambitionen är att
Sverige-id ska kunna användas brett, särskilt inom offentlig sektor,
samtidigt som införandet i andra delar av samhället i stor utsträckning
kommer att ske stegvis och i samspel med marknaden. Sammantaget handlar
det om att skapa bättre förutsättningar för långsiktig stabilitet på
e-legitimationsområdet och att komplettera andra lösningar på marknaden.
Du har ställt en fråga om vår tekniska miljö och Sverige-id. Det som
planeras nu är en mobil app för IOS och Android och det innebär att man
behöver en smartphone av någon av de typerna för att använda den.
För ett uppfylla en tillräcklig säkerhetsnivå måste appen vid varje
användning kunna bevisa bland annat att det är den äkta appen som körs
(inte en modifierad kopia eller ett skript) och att den kör på en enhet
som inte är manipulerad. Det förutsätter en kedja av förtroende från
hårdvarutvecklare till operativsystem till app, och den kedjan existerar
i praktiken bara hos Apple och Google idag. Det är en konsekvens av
säkerhetsnivån, inte ett aktivt beslut att exkludera vissa användare.
Uppdraget är under utveckling och vi hänvisar till
https://polisen.se/tjanster-tillstand/pass-och-nationellt-id-kort/statlig-e-legitimation-sverige-id/
där vi löpande lägger ut information.
---
Jag skulle vilja fråga vad de har för underlag för deras konstateranden:
- att en "kedja av förtroende" behöver se ut just så och
- att det bara är Apple och Google som kan tillfredsställa det
Dessutom skulle jag vilja veta om de har gjort någon konsekvensutredning
för deras val, t.ex. vad gäller digital suveränitet, beroende av mäktiga
företag och individer som lämnas utanför.
Jag grubblar över hur jag ska formulera en sådan fråga för att få tag i
deras (eventuella) underlag och utan att det leder till en meningslös
diskussion där vi har olika ståndpunkter. Har ni några förslag? Finns
det kunskaper och lärdomar från E-legprojektet som går att använda som
argument?
../jonarvid
On Fri 17 Apr 2026 07:44, Elias Rudberg via Eleg-projekt wrote:
> Hej!
>
> Jag fick igår svar från Polismyndigheten på frågor jag ställt om den
kommande statliga e-legitimationen.
>
> Frågorna hade jag skickat 2026-03-30 via "Kontakta registrator på
nationella avdelningar" på polisens hemsida:
https://polisen.se/om-polisen/kontakt/polisens-adresser/
>
> Frågorna var:
>
> "Kommer systemet att kunna användas av alla, eller kommer det bara
att fungera för personer som har mobiltelefon? Kommer det att vara så
att för att använda er e-legitimation måste man ha en mobiltelefon med
operativsystem som kontrolleras av vissa USA-ägda storföretag?
> Kommer systemet att baseras på öppna standarder som tidigare statliga
utredningar har föreslagit, eller kommer ni att låsa användningen till
vissa operativsystem? Om bara vissa operativsystem kommer att stödjas,
vilka är i så fall de operativsystemen?"
>
> Här är svaret från polisen:
>
> ----- början på svaret från polisen -----
>
> From: "serviceavdelningen.kansli@polisen.se"
> Subject: "VB: #Ärendevalslista med E-post#"
> Date: Thu, 16 Apr 2026 11:45:51 +0000
>
> Hej!
>
> Tack för ditt mejl! Polismyndigheten utvecklar just nu en statlig
e-legitimation på uppdrag av regeringen (JU2025/00740). E-legitimationen
heter Sverige-id och är tänkt att komplettera dagens e-legitimationer
och bidra till ett mer robust och mindre sårbart system över tid. Om
lagstiftning finns på plats så är planen att Sverige-id ska kunna gå att
ansöka om den 1 december 2026 på Polisens passexpeditioner.
>
> Sverige-id kommer att ha en mycket hög säkerhetsnivå. Det innebär att
Sverige-id kan få en särskild betydelse i sammanhang där mycket hög
säkerhet krävs, i takt med att sådana behov utvecklas. Ambitionen är att
Sverige-id ska kunna användas brett, särskilt inom offentlig sektor,
samtidigt som införandet i andra delar av samhället i stor utsträckning
kommer att ske stegvis och i samspel med marknaden. Sammantaget handlar
det om att skapa bättre förutsättningar för långsiktig stabilitet på
e-legitimationsområdet och att komplettera andra lösningar på marknaden.
>
> Du har ställt en fråga om vår tekniska miljö och svar på din fråga är
att det som planeras nu är en mobilapplikation för IOS och Android och
det innebär att man behöver en smartphone av någon av de typerna för att
använda den.
>
> För ett uppfylla en tillräcklig säkerhetsnivå måste appen vid varje
användning kunna bevisa bland annat att det är den äkta appen som körs
(inte en modifierad kopia eller ett skript) och att den kör på en enhet
som inte är manipulerad. Det förutsätter en kedja av förtroende från
hårdvarutvecklare till operativsystem till app, och den kedjan existerar
i praktiken bara hos Apple och Google idag. Det är en konsekvens av
säkerhetsnivån, inte ett aktivt beslut att exkludera vissa användare.
>
> När det gäller öppna standarder är det viktigt att särskilja på två
saker. Själva innehållet i en e-legitimation, alltså hur
identitetsuppgifterna struktureras, hur de signeras kryptografiskt, hur
certifikatskedjor verifieras och hur kommunikation mellan en fysisk
identitetshandling och en läsande enhet går till bygger på etablerade
och publika standarder.
>
> Det som däremot är knutet till Apple och Google är infrastruktur och
driftmiljö för appen. Alltså distributionen via App Store och Google
play, och de ovannämnda mekanismer som låter vår server verifiera att
det verkligen är den äkta appen som kör på en oförändrad enhet.
>
> Uppdraget Sverige-id är under utveckling och vi hänvisar till
https://polisen.se/tjanster-tillstand/pass-och-nationellt-id-kort/statlig-e-legitimation-sverige-id/
där vi löpande lägger ut information.
>
> Med vänliga hälsningar
>
> Serviceavdelningen (SE)
>
> Polismyndigheten
> 106 75 Stockholm
> Besök: Polhemsgatan 30
> Telefon till polisen: 114 14
>
> ----- slut på svaret från polisen -----
>
> Bara Apple och Google alltså, inget annat. Den som vill vara fri från
Apple och Google kommer inte att kunna använda den statliga
e-legitimationen, om jag förstår rätt vad de skriver nu.
>
> / Elias
> _______________________________________________
> Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se
> To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
_______________________________________________
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se
To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se