Hej alla på eleg-projekt-listan!
Efter DIGG-rapporten[1] som kom i slutet av januari har vi i styrgruppen för projektet funderat och kommit fram till ett förslag som vi beskriver nedan.
Vi skulle inom ramen för den här e-postlistan kunna utveckla en teknisk lösning som illustrerar id-växling, en viktig egenskap hos rapportens förslag utifrån decentralisering. Målet skulle vara att vår lösning ska bli en godkänd e-legitimation. Vad tycker ni, ska vi göra detta? Och vilka kan tänka sig att vara med och hjälpa till?
Det går inte att veta säkert i det här läget, men det är stor chans att DIGGs förslag kommer bli verklighet, inte minst med tanke på krav som kommer i samband med eIDAS2 på EU-nivån, där ett e-leg enligt DIGGs förslag kommer att kunna hjälpa Sverige att klara kraven.
DFRI:s e-legitimationsprojekts syfte har ju tidigare sammanfattats i form av fyra punkter:
- fri och öppen programvara - öppen specifikation - tillgänglighet - decentralisering
När man läser DIGGs rapport med de utgångspunkterna är rapporten bra på flera sätt.
Bland annat är det bra att lösningen föreslås bli tillgänglig även för personer med samordningsnummer, man begränsar sig alltså inte till bara de som har personnummer.
Det är också positivt att DIGGs förslag baseras på öppna standarder. Det bör alltså bli möjligt att bygga klientsidan med helt och hållet fri programvara (öppen källkod).
Samtidigt finns en nackdel i att det som föreslås verkar vara ett i huvudsak centraliserat system; varje gång man använder sin e- legitimation kommer information om användandet att skickas till ett centralt system. Vi på listan vill ju ha en decentraliserad lösning, så på den punkten kan vi inte vara helt nöjda med DIGGs förslag.
Rapporten öppnar dock upp för att det bör vara möjligt att använda den statliga e-legitimationen för övergång till ett annat system. Det nämns i DIGG-rapporten bland annat på följande ställen:
Sidan 14: "Digg anser att den statliga e-legitimationen ska finnas med som en del i det ekosystem som byggts upp under lång tid. Den statliga e- legitimationen ska utgöra ett komplement och en möjlighet att växla över till andras lösningar, inte en konkurrent eller ersättare."
Sidan 31: "Digg ser också den föreslagna lösningen som en instegslösning. Den statliga e-legitimationen kan utgöra ett sätt att skaffa andra e- legitimationer, genom så kallad id-växling."
Med tanke på DIGG-förslagets för- och nackdelar tänker vi att vi inom vårt projekt skulle kunna utveckla en fri och decentraliserad lösning, där vi skulle kunna lösa "onboarding" till vårt system med hjälp av den kommande statliga e-legitimationen. Kommunikation till det centrala statliga systemet skulle då bara behövas vid utfärdandet av vår e- legitimation, när man sedan använder den för att legitimera sig skulle det kunna fungera decentraliserat.
DIGGs förslag kan enligt rapporten bli verklighet om två år. Därmed försvinner det som tidigare varit det största hindret för oss att göra något eget. Det har ju tidigare varit nödvändigt att ha en komplicerad och dyr hantering för utfärdande.
Ett system från vårt e-legitimationsprojekt skulle kunna utveckla en lösning som går att testa och visa upp redan innan den statliga lösningen finns på plats. Den kan på ett trovärdigt sätt visar hur id- växling från den statliga lösningen kommer att kunna användas. Under tiden fram till att den statliga lösningen finns på plats, kan vi göra utfärdande på ett annat sätt i demo-syfte och vi kan då visa hur vår lösning fungerar för olika användnings-fall, inte minst kan vi då understryka fördelarna med decentralisering.
Målet skulle vara att vår lösning ska bli en godkänd e-legitimation, även om vägen dit förstås går via att ha något fungerande även om det inte är formellt godkänt ännu.
Vad tycker ni, ska vi göra detta?
Om vi ska göra det, vilka kan tänka sig att vara med och hjälpa till med kravspecifikation, design och implementation av de olika komponenter som kommer behövas?
Vänliga hälsningar Styrgruppen Gustav, Cynthia och Elias
[1] https://www.digg.se/analys-och-uppfoljning/publikationer/publikationer/2023-...