On Thu, Mar 30, 2023 at 9:31 PM Elias Rudberg <mail@eliasrudberg.se> wrote:

Hej alla på eleg-projekt-listan!

Efter DIGG-rapporten[1] som kom i slutet av januari har vi i
styrgruppen för projektet funderat och kommit fram till ett förslag som
vi beskriver nedan.

Vi skulle inom ramen för den här e-postlistan kunna utveckla en teknisk
lösning som illustrerar id-växling, en viktig egenskap hos rapportens
förslag utifrån decentralisering. Målet skulle vara att vår lösning ska
bli en godkänd e-legitimation. Vad tycker ni, ska vi göra detta? Och
vilka kan tänka sig att vara med och hjälpa till?

Det går inte att veta säkert i det här läget, men det är stor chans att
DIGGs förslag kommer bli verklighet, inte minst med tanke på krav som
kommer i samband med eIDAS2 på EU-nivån, där ett e-leg enligt DIGGs
förslag kommer att kunna hjälpa Sverige att klara kraven.

DFRI:s e-legitimationsprojekts syfte har ju tidigare sammanfattats i
form av fyra punkter:

- fri och öppen programvara
- öppen specifikation
- tillgänglighet
- decentralisering

När man läser DIGGs rapport med de utgångspunkterna är rapporten bra på
flera sätt.

Bland annat är det bra att lösningen föreslås bli tillgänglig även för
personer med samordningsnummer, man begränsar sig alltså inte till bara
de som har personnummer.

Det är också positivt att DIGGs förslag baseras på öppna standarder.
Det bör alltså bli möjligt att bygga klientsidan med helt och hållet
fri programvara (öppen källkod).

Samtidigt finns en nackdel i att det som föreslås verkar vara ett i
huvudsak centraliserat system; varje gång man använder sin e-
legitimation kommer information om användandet att skickas till ett
centralt system. Vi på listan vill ju ha en decentraliserad lösning, så
på den punkten kan vi inte vara helt nöjda med DIGGs förslag.

Rapporten öppnar dock upp för att det bör vara möjligt att använda den
statliga e-legitimationen för övergång till ett annat system. Det nämns
i DIGG-rapporten bland annat på följande ställen:

Sidan 14:
"Digg anser att den statliga e-legitimationen ska finnas med som en del
i det ekosystem som byggts upp under lång tid. Den statliga e-
legitimationen ska utgöra ett komplement och en möjlighet att växla
över till andras lösningar, inte en konkurrent eller ersättare."

Sidan 31:
"Digg ser också den föreslagna lösningen som en instegslösning. Den
statliga e-legitimationen kan utgöra ett sätt att skaffa andra e-
legitimationer, genom så kallad id-växling."

Med tanke på DIGG-förslagets för- och nackdelar tänker vi att vi inom
vårt projekt skulle kunna utveckla en fri och decentraliserad lösning,
där vi skulle kunna lösa "onboarding" till vårt system med hjälp av den
kommande statliga e-legitimationen. Kommunikation till det centrala
statliga systemet skulle då bara behövas vid utfärdandet av vår e-
legitimation, när man sedan använder den för att legitimera sig skulle
det kunna fungera decentraliserat.

DIGGs förslag kan enligt rapporten bli verklighet om två år. Därmed
försvinner det som tidigare varit det största hindret för oss att göra
något eget. Det har ju tidigare varit nödvändigt att ha en komplicerad
och dyr hantering för utfärdande.

Ett system från vårt e-legitimationsprojekt skulle kunna utveckla en
lösning som går att testa och visa upp redan innan den statliga
lösningen finns på plats. Den kan på ett trovärdigt sätt visar hur id-
växling från den statliga lösningen kommer att kunna användas. Under
tiden fram till att den statliga lösningen finns på plats, kan vi göra
utfärdande på ett annat sätt i demo-syfte och vi kan då visa hur vår
lösning fungerar för olika användnings-fall, inte minst kan vi då
understryka fördelarna med decentralisering.

Målet skulle vara att vår lösning ska bli en godkänd e-legitimation,
även om vägen dit förstås går via att ha något fungerande även om det
inte är formellt godkänt ännu.

Vad tycker ni, ska vi göra detta?

Om vi ska göra det, vilka kan tänka sig att vara med och hjälpa till
med kravspecifikation, design och implementation av de olika
komponenter som kommer behövas?

Vänliga hälsningar
Styrgruppen
Gustav, Cynthia och Elias

[1]
https://www.digg.se/analys-och-uppfoljning/publikationer/publikationer/2023-01-30-en-saker-och-tillganglig-statlig-e-legitimation

_______________________________________________
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se
To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se