Hej eleg-projekt-listan!
Efter att ha läst DIGGs nya spännande rapport [1] som kom i måndags: här är några delar som är särskilt intressanta ur vårt projekts perspektiv, när det gäller fri och öppen programvara, öppen specifikation, tillgänglighet och decentralisering.
sid 9: "I dagsläget är vi helt beroende av privata företags leveranser av e-legitimationer och det stora beroendet av en enskild leverantör gör samhället sårbart."
Bra att DIGG vågar säga det.
sid 14: "Dagens Nyheter ställde på sin ledarsida den 3 januari 2023 frågan om e-legitimation blir ett nytt statligt it-haveri30. Ledarskribenten såg en risk i att den statliga e-legitimationen skulle bli ett nytt, stort it-projekt som sedermera havererar, i likhet med polisens Pust eller Stockholms Skolplattform. Skälet till denna risk uppgavs bland annat vara att det i direktiven till regeringens nya utredning inte fanns med något om öppen källkod, öppna standarder, eller att titta på existerande lösningar. Digg menar att den nu föreslagna statliga e-legitimationen är just en sådan beprövad lösning som bygger på öppna standarder som kan förväntas leda till kort införandetid och god hushållning med det allmännas resurser. Ytterligare detaljer kring den tekniska utformningen finns i avsnitt 4.1 samt i bilaga 1."
Där säger alltså DIGG i stort sett att de tycker att rapporten borde göra DN nöjda. Eftersom argumenten den där DN-ledaren tog upp till stor del också var våra argument, verkar det lovande.
sid 26: "En annan metod är att i samband med en elektronisk identifiering tekniskt förmedla vissa riskindikatorer till förlitande aktör. Sådana riskindikatorer kan användas av förlitande aktör för att avgöra behovet av vidare kontroller i syfte att säkerställa att en viss åtgärd inte genomförs obehörigen. Riskindikatorerna framställs från tekniska parametrar som härrör från användningen. Digg bedömer att hur dessa bör utformas för att bli ett effektivt verktyg för förlitande parter, och de rättsliga förutsättningar som behövs för att kunna förmedla sådana uppgifter, behöver utredas vidare." (resonemanget om "riskindikatorer" kommer igen på sid 95)
Det där med att "förmedla vissa riskindikatorer till förlitande aktör" låter suspekt, såvitt jag kunnat se förklaras det ingenstans i rapporten eller bilagorna specifikt vad de där "riskindikatorerna" skulle vara. Jag föreställer mig att det bland annat skulle kunna vara individens position hämtad från GPS i en smarttelefon, för att t.ex. kunna fånga upp om positionen flyttats orimligt snabbt. Det låter som en mycket dålig idé eftersom det innebär statlig massövervakning i form av att det skulle sparas var varje individ befinner sig varje gång hen använder e-legitimation. Kan hända att jag missförstår. I vilket fall som helst hade det väl varit bra om de skrivit vad de faktiskt menar med "vissa riskindikatorer". Vad menas?
sid 27: "Digg har i analysen utgått ifrån att för att möta dessa användargruppers behov bör utgivningen inte kräva att sökanden har egen teknisk utrustning, varken i form av egen dator eller smarttelefon."
Det är bra, undviker krav på att folk måste ha vissa typer av datorer eller smarttelefoner, åtminstone för utgivningen.
sid 32: "Digg behöver, som tidigare nämnts, ta fram den programvara och sådan handledning som behövs för att kunna använda kortet tillsammans med smarttelefoner, surfplattor och datorer. Genom att bygga på PIV-specifikationerna finns ett stort utbud av program-bibliotek att tillgå och standardapplikationer som bygger på öppen källkod. Detta kortar ner utvecklingstider och minskar kostnaderna."
Bra, där lyfts fördelarna med öppna standarder och öppen källkod fram igen.
sid 32: "Den app för smarttelefoner som föreslås är endast ett hjälpmedel för att läsa kortet och innehåller alltså inte någon e-legitimation. Appen förmedlar endast kommunikationen mellan Diggs system och kortet. Kommunikationen sker krypterat. Detta innebär att personer som behöver hjälp med att utföra ett ärende digitalt kan låna en närståendes eller en väns telefon, och bruka den för att identifiera sig. Ingen känslig information behandlas eller bevaras i smarttelefonen. Diggs bedömning är att de allra flesta identifieringar kommer ske med stöd av appen, vilket kräver att den är säker, användarvänlig och tillgänglig. De tekniska kraven på smarttelefonen är i det här sammanhanget låga, och i princip samtliga smarttelefoner som finns i omlopp idag har den nödvändiga tekniken inbyggd."
Med "den nödvändiga tekniken" menas här NFC (Near-Field-Communication), och med "i princip samtliga smarttelefoner som finns i omlopp idag" menas i princip alla utom Librem 5, alltså alla utom min telefon. :-) Det borde väl gå att lösa med en USB-dongle.
Viktigare att diskutera är nog det här påståendet: "Ingen känslig information behandlas eller bevaras i smarttelefonen."
Det stämmer ju inte! Den personliga koden behandlas ju i smarttelefonen. Om smarttelefonen kontrolleras av ett utländskt storföretag som Google/Apple, då kommer det företaget ha möjlighet att lägga vantarna på den personliga koden, och dessutom kan de manipulera informationen som visas för användaren, de kan låta användaren tro att en sak händer medan de i verkligheten gör något annat. Det borde väl diskvalificera stängda företags-ägda operativsystem från att användas för e-legitimation, åtminstone för den högsta tillitsnivån?
sid 32: "Det kan också finnas behov av att stödja funktionen på olika plattformar, till exempel Linux, Microsoft Windows och Mac OS."
Bra att Linux nämns. När det gäller Microsoft Windows och Mac OS saknar jag en diskussion om säkerhetsriskerna med att det är stängda system ägda av utländska företag, som kommer att ha teknisk möjlighet att kringgå säkerheten.
sid 32: "Digg bedömer att det är det lämpligt att låta publicera relevanta delar som öppen källkod, så att intressenter kan granska och förstå hur lösningen fungerar samt ta fram egna anpassade klientprogramvaror."
Bra! Dock antyder formuleringen "relevanta delar" att inte alla delar kommer vara öppen källkod, vilket i så fall fråntar användaren möjligheten att kontrollera vad som händer.
sid 38: "Digg föreslår att den statliga e-legitimationen får ges ut även till den som har tilldelats ett samordningsnummer och kan styrka sin identitet."
Bra.
sid 92: "Där bör exempelvis beroenden till annan infrastruktur och även samhällsviktig verksamhets beroenden till systemet, samt exempelvis frågor om digital suveränitet, hanteras."
När digital suveränitet ska diskuteras borde frågan om vilken roll Google/Apple/Microsoft spelar tas upp. Kan Sverige acceptera att de företagen har teknisk möjlighet att kringgå säkerheten för svensk statlig e-legitimation på högsta tillitsnivån?
sid 95: "Digg bedömer att vissa riskindikatorer, framställda ur tekniska parametrar från användningen av e-legitimationen, skulle kunna tjäna som ett värdefullt verktyg för förlitande aktörer i att kontrollera att en viss åtgärd inte genomförs obehörigen. De rättsliga förutsättningar som behövs för att det ska kunna bli möjligt att förmedla sådana uppgifter behöver utredas vidare."
Suspekt, vad menas egentligen med "vissa riskindikatorer"?
sid 96: "Diggs förslag bygger på öppna standarder, vilket minskar risken för inlåsning i specifika tekniska lösningar139. Digg har också för avsikt att publicera bland annat stödprogramvaror som öppen källkod."
Bra!
bilaga 1, sid 1: "Verifieringen av användarens identitet bör i användningsfasen inbegripa kontroller mot centralt placerade systemkomponenter, främst i syfte att a. avlasta det säkerhetsmässiga beroendet till den tekniska bäraren b. kunna spärra e-legitimationen centralt efter ett visst antal felaktiga försök att ange den personliga koden där också en tidsfaktor ingår c. kunna ge underlag för att framställa en sammanvägd riskindikator baserad på vissa parametrar i användningsmönster som kan användas av förlitande aktör för att avgöra om vidare kontroller behöver genomföras för att förhindra obehörig användning av den statliga e-legitimationen."
Där står det rakt ut att det föreslås kontroller mot ett centralt system, alltså inte den decentralisering som vi hade velat se. I punkt "c" där kommer "riskindikator" igen, och igen verkar det för mig handla om massövervakning. Det blir inte bättre av att man låter bli att säga vad det är för information som ska samlas in.
bilaga 1, sid 2: "ingen del av den tekniska säkerheten ska bero på att klientprogramvarans utformning hålls dold."
Bra! Dock en bakvänd formulering, varför inte säga att klientprogramvaran ska vara öppen källkod? Kanske vill DIGG hålla dörren öppen för att klientprogramvaran kommer att kunna vara dold av andra anledningar, t.ex. att Google/Apple/Microsoft kan kräva att saker ska hållas dolda.
bilaga 1, sid 2: "Klientprogramvarans integritet kommer dock oundvikligen vara av säkerhetsmässig betydelse för interaktionen mot användaren, så att den information användaren får genom dialoger m.m. är korrekta och beskriver de verkliga skeendena."
Bra att det uppmärksammas!
Dock saknar jag här en diskussion om vad det innebär om klientprogramvaran körs i stängda operativsystem ägda av Google/Apple/Microsoft. Klientprogramvarans integritet (och omgivningen där den körs) kommer då inte att kunna kontrolleras, varken av DIGG eller av användaren. Även om programmet i sig självt skulle vara intakt, kan det fortfarande hända att operativsystemet sparar information och/eller manipulerar det som visas för användaren och det som kommuniceras ut, via alla de funktioner i operativsystemet som programmet interagerar med. OBS att klientprogramvaran inte kommer att ha direktkontakt med användaren, operativsystemet kommer att sitta mellan och kommer både att kunna se och manipulera saker. Då borde väl även operativsystemet vara öppet, så att det kan granskas?
bilaga 1, sid 3-4: "Personalisering av kortet med certifikat för elektronisk identifiering och underskrift kan sedan ske på distans, genom funktionen för säker kortkommunikation. Dessa certifikat behöver stämplas av en betrodd certifikatutfärdare inom ramen för en traditionell PKI och föreslås som en påbyggnadsfunktion till lösningen, och endast för de användare som begär funktionen och som därför har behov av dessa certifikat. Detta då riskerna med obehörig användning bedöms öka, eftersom den kontroll som annars kan göras genom de centrala infrastrukturkomponenterna går om intet. Samtidigt som relativt få användare förväntas ha behov av att genomföra underskrifter och identifieringar oberoende av den statliga identifieringstjänsten som Digg tillhandahåller."
Det där låter väldigt intressant, som en möjlig räddning för att kunna använda e-legitimation på ett decentraliserat sätt, men "endast för de användare som begär funktionen". Samtidigt blir det bakvänt om den stora majoriteten hanteras centraliserat med de risker det innebär (massövervakning och dålig robusthet), och endast ett fåtal får tillgång till den bättre lösningen.
Det där tyckte i alla fall jag var några av de mest intressanta delarna i rapporten.
Kommentera gärna, särskilt om det är något där du inte håller med eller om jag missförstått någonting helt!
Jag har satts upp som talare på SamNet (Vinterkonferensen) 2023, den 14 februari [2] och har tänkt att prata om de här sakerna då, tacksam för så mycket synpunkter som möjligt innan dess. Även Anneli Hagdahl från DIGG ska vara med då, det kan bli ett bra tillfälle att kunna prata direkt med DIGG.
/ Elias
[1] https://digg.se/analys-och-uppfoljning/publikationer/publikationer/2023-01-3... [2] https://www.eventbrite.se/e/samnet-vinterkonferensen-2023-biljetter-49486260...