Hej!
Mötet med MyData Sweden var ju i oktober men jag har inte hunnit renskriva mötesanteckningarna förrän nu. Här kommer de, bättre sent än aldrig, det var mycket intressanta saker som togs upp:
----------------------------------------------------------------- Anteckningar från möte om e-legitimation med MyData Sweden, 20 okt 2021 -----------------------------------------------------------------
Jag pratade med två representanter för MyData Sweden (https://mydata.org/sweden/): Fredrik Lindén och Patrik Andersson
Anteckningar:
Myndigheter och andra organisationer som kan vara relevanta:
- DIGG: Myndigheten för digital förvaltning -- https://www.digg.se/
- Integritetsskyddsmyndigheten (IMY) -- http://www.imy.se/ (hette tidigare Datainspektionen)
- RISE Research Institutes of Sweden AB (RISE) -- https://www.ri.se/ (statligt forskningsinstitut)
Apropå SSI (Self-Sovereign Identity) ska tydligen DIGG ha fått ansvar för att ta fram en SSI-lösning som skulle använda blockkedjeteknik (Ethereum). Det vore intressant att få veta mer om det.
Myndigheten DIGG är en väldigt viktig aktör, tyvärr verkar de inte ha tillräckligt med resurser och kapacitet med tanke på hur viktigt deras uppdrag är.
Jag försökte hitta något om hur DIGG ser på SSI och hittade det här: "Single Digital Gateway - en katalysator för eID och betrodda tjänster i Europa": https://pts.se/contentassets/663dd88e7a724f5f9bb6bf53ada10dd3/forum-10-juni-... -- där står bl.a.: "Framtida tekniska vägval kring EU wallets med inriktning mot SSI (Self-Sovereign Identity) och MyData innebär en helt annan individcentrerad utgångspunkt [...]"
MyData Sweden vill se fokus på SSI i stället för federerad lösning.
Det gjordes en bra utredning för ca 10 år sedan som påpekade problem med Telias id-lösning.
World Wide Web Consortium (W3C) har tagit fasta på SSI genom en rekommendation om "Verifiable Credentials": https://www.w3.org/TR/vc-data-model/ Det här är bra, men Google och Apple har protesterat mot det, de vill väl ha centralisering i stället genom system de kontrollerar, och tydligen har Google och Apple fått med sig Mozilla. I alla fall är det mycket bra att W3C håller på att standardisera Verifiable Credentials, det bör ge bättre förutsättningar för att kunna få till decentraliserade lösningar baserade på öppna standarder. Vi kan hoppas att Google och Apple inte lyckas stoppa det.
European Blockchain Services Infrastructure (EBSI) är också intressant apropå SSI och verifiable credentials: https://ec.europa.eu/info/news/ebsi-first-eu-wide-blockchain-infrastructure-...
Estland har redan nu en SSI-liknande lösning för e-legitimation: https://en.wikipedia.org/wiki/Estonian_identity_card Det verkar väldigt intressant, kan Sverige göra något liknande?
Andra länder som kan vara intressanta när det gäller SSI: Italien, Belgien, Holland.
Inom akademin finns intresse i Spanien, Portugal, Slovenien.
I Tyskland finns intresse i den privata sektorn, bland annat BMW.
I Norge finns privata aktörer som använder SSI-lösningar för aktieägarbevis eller liknande.
I Singapore finns också privata SSI-lösningar.
Ett argument för SSI är att samhällskritisk infrastruktur bör vara robust och oberoende.
Joel Torstensson är en kunnig person i de här frågorna, bland annat när det gäller förslagen som W3C kommit med.
Rebooting Web-of-Trust: http://www.weboftrust.info/ (Christian Lundkvist bland andra)
Vi pratade lite om fri/öppen vs stängd källkod, ett exempel på öppen kod för "single-sign on" är Keycloak: https://www.keycloak.org/ (men det är nog inte riktigt vad vi är ute efter, kanske intressant ändå) Intressant evenemang apropå fri/öppen källkod är "foss-north": https://foss-north.se/
När det gäller SSI finns olika varianter av Decentralized Identifiers (DIDs), olika så kallade DID-metoder. Valet av DID-metod kan vara viktigt. Olika aktörer vill försöka dominera genom att äga olika namespaces för DIDs.
Johan Magnusson är en forskare vid Göteborgs universitet som jobbat kring digitalisering och bland annat pekat på problem med inlåsning, här är en artikel som verkar intressant: "Blockchain-Based Electronic Identification: Cross-Country Comparison of Six Design Choices": https://gup.ub.gu.se/publication/278627
Standardiseringen av "Verifiable Credentials" mm som W3C gör är bra!
Vi behöver kommunicera på två fronter: dels prata med myndigheter, dels med enskilda för att få fler att uppmärksamma problemet. En sak vi kan fundera på är om vi i DFRI-projektet skulle kunna skriva debattartiklar eller liknande tillsammans med MyData Sweden.
--- slut på mötesanteckningarna ---
/ Elias
Listan för diskussion om fri och öppen e-legitimation är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/eleg-projekt/