Sammanfattning av öppet möte nr 21 om att bygga egen e-leg-lösning, 9 sept 2024 - Eleg-projekt

10 Sep 2024


      Sammanfattning av öppet möte nr 21 om att bygga egen e-leg-lösning, 9
september 2024:
Tack till alla som var med på mötet!
- Kontakt med DIGG om statlig e-legitimation?
Det finns möjlighet att lämna synpunkter på "SOU 2024:45 Kompletterande
bestämmelser till EU:s reviderade förordning om elektronisk
identifiering" senast den 1 november 2024 [1].
Se även vad Mattias skrev om det förra veckan [2].
DIGG säger att de gjort en övergång från förberedelse till
implementationsfas, men samtidigt finns inget beslut ännu, så vi
behöver försöka få in våra synpunkter till DIGG före 1a nov.
Vi siktar på att försöka få till ett möte med DIGG, antingen digitalt
eller fysiskt.
Om de inte kan eller vill träffa oss, bör vi ändå skicka in något
skriftligt.
- Använda tokens för att hantera inlogg/utloggning?
Vår prototyp som finns idag (https://codeberg.org/DFRI-eID/dfri-eid)
som ju använder mTLS fungerar ju för att skydda en anslutning, men det
är kanske inte så bra användargränssnitt och inte så bra hantering av
när en anslutning öppnas och stängs, hur man loggar ut. T.ex. kan det
vara ett problem om samma dator används av flera personer, vi behöver
då säga att man ska stänga webbläsaren för att vara säkert utloggad
vilket inte är så elegant.
Fördelen med mTLS är att då är klient-sidan "redan klar", inget arbete
behövs där.
Vi diskuterade lite kring detta och kom fram till att för att ha
enklast möjliga första version, en "minimum viable product" (MVP) som
är så enkel som möjligt, siktar vi fortfarande på mTLS, men att det
samtidigt är intressant att titta på hur lösningen kan förbättras
senare.
Vi kan komma till ett läge där vi kan visa en fungerande MVP med mTLS
som kan vara klar snart, och samtidigt ha planer för kommande
förbättringar som kanske inte blir klara förrän längre fram.
Utöver bättre hantering av utloggning kan signering av saker kan vara
bra att kunna hantera.
En bra sak med att börja med mTLS är att man sen kan ha samma
certifikat senare när man skapar en lösning som kan hantera mer, som
signering mm.
- Implementation av en första version av CA-programvara för utgivaren
Den delen som är kvar där är att utgivaren ska kunna använda en
hårdvarunyckel (OpenPGP-kort, yubikey eller liknande), den biten är
inte klar ännu.
- Fortsättning av test med nginx, lägga till revokeringslista
Återkallning har testats med hjälp av CRL-fil, verkar fungera.
Förlitande part måste uppdatera revokeringslistan med jämna mellanrum.
Alla som vill testa får gärna testa själva, eller höra av sig så att vi
kan testa tillsammans. Vem som helst kan testa att agera vilken som
helst av de olika rollerna utgivare (CA), eller förlitande part, eller
klient.
- OpenPGP-kort, hårdvarunycklar osv.
Status: inget nytt sedan förra mötet: det funkar med YubiKey [3], vi
vill gärna få till det med generellt OpenPGP-kort också.
- Beskrivningar av arbetsflöden för utfärdande, användning,
återkallande osv.
Det jobbas vidare med detta, en sak som fortfarande saknas är längre
beskrivningar av saker, och bilder.
Det nämndes att med "mermaid" kan man skapa illustrationer i markdown
[4].
- När blir nästa möte?
Nästa möte blir måndagen 2024-09-30 klockan 18 till 19 (en timme)
Alla är välkomna att vara med på kommande möten. OBS även du som inte
varit med förut är mycket välkommen att vara med!
/ Elias
[1]
https://www.regeringen.se/remisser/2024/07/remiss-av-sou-202445-kompletteran...
[2]
https://mailman.dfri.se/mailman3/hyperkitty/list/eleg-projekt@lists.dfri.se/...
[3]
https://mailman.dfri.se/mailman3/hyperkitty/list/eleg-projekt@lists.dfri.se/...
[4] https://mermaid.js.org/syntax/sequenceDiagram.html
PS
Läs gärna om projektet här: https://www.dfri.se/projekt/e-legitimation/
PS 2
Alla som är intresserade är välkomna att höra av sig via projektets
mejllista