SVT skriver om att "Attacken mot Bank-id borde mana till en större diskussion om alternativ till tjänsten"
Hej!
Här säger cybersäkerhetsexperten Marcus Nohlberg att "både individer och samhället borde fundera på alternativ till Bank-id och utforma en plan b":
"Avancerad överbelastningsattack mot Bank-id: ”Kommer definitivt hända igen”"
https://www.svt.se/nyheter/inrikes/avancerad-overbelastningsattack-mot-bank-...
En representant för Bank-id säger "oavsett vem som driver en tjänst så kommer alla ha samma utmaning som vi när det gäller cyberangrepp". Det stämmer väl inte riktigt, man kan ju ha ett decentraliserat system som i sin design är mer robust. De tänker inte ens på den möjligheten verkar det som.
Vi kanske kan passa på att skriva en debattartikel om det nu? Någon här på listan som skulle vilja hjälpa till med att skriva något?
/ Elias
Hej,! Jag kanske inte är en bra skrivare och jag är dålig på att stava men det var nåt med bank-id elendet som fick det att rinna över..... Nedan har jag skrivit en liten text som kanske går att använda som underlag för nån artikel, har försökt att använda "vardagliga" uttryck. Använd texten som ni vill och om det behövs att man skriver under en artikel så kan jag vara med på det.
Mvh Marcus
Text: Vad gör vi när cyber-armeerna anfaller? Kära makthavare, Alla som jobbar inom IT idag är fullt medvetna om det ständigt ökande hotet av både cyber-kriminella och cyber-armeer som ofta både försörjs och premieras av främmande makter och andra organisationer med politisk agenda. Precis som det i denna oroliga värld är extremt viktigt att vi rustar vårt fysiska försvar så är det minst lika viktigt att vi rustar vårt digitala försvar. För att kunna skydda civilsamhällets digitala möjligheter att fortsätta fungera under digital kris och krig har ni makthavare ett stort ansvar. Detta har bara aktualiserats än mer med den senaste tidens händelser där olika centralicerade system har slutat fungera på grund av överbelastningattacker och så vidare. Den senaste bekymmersamma händelsen är belastningsattackerna på Bank-ID där deras tjänst slutar att fungera och inverkan på samhället blir enorm. Ur ett IT perpektiv är ju detta fullkommligt oacceptabelt med en "single point of failure", påverkan för civilsammhället blir förödande. Betänk också situationen om och när ett intrång lyckas i ett centralt system som detta. Denna situation skulle innebära att majoriteten av samtliga invånares Bank-ID transaktioner skulle spridas på internet och denna data avslöjar massor av personlig information, enkla analyser som många inloggningar på 1177 innebär troligt att individen har hälsoproblem men det finns naturligtvis mycket mer ingående analyser att genomföra som ger en mycket större exakthet i profilering på individnivå. Det blir bara mer och mer viktigt att det finns alternativ till en ensam stor spelare och det är där som statligt nationellt e-id har möjlighet att bli ett bra försvar i en orolig digital värld. För att statligt e-id ska kunna förbättra situationen krävs dock att man tänker igenom riskerna och möjligheterna för att kunna skapa ett robust och tillförlitligt system. För att nå framgång är det flertalet lösningar som behöver beaktas och nyttjas i implemenationen. För det första så måste invånare känna tilltro till systemet och en viktig del i detta är att all källkod är öppen och alla har möjlighet att se in i systemet och att allt inte bara är en svart låda utan insyn vilket fallet blir med stängd källkod. Med öppen källkod finns även möjlighet för samhället att hjälpa till med buggar samt att oberoende parter kan göra säkerhetsaudit på källkoden for att hitta säkerhetshål i systemet, fler ögon ger ett säkrare system. Den andra stora avgörande lösningen för att kunna minska risken med att tjänsten slutar fungera är att systemet byggs decentraliserat och federerat,det vill säga det finns inte längre en "single point of failure", tas en nod ner så går det alltid att ansluta till en annan nod. Med en decentralicerad lösning kan man också ha flera aktörer som kör olika noder vilket gör att man inte blir beroende av just en enda aktör. Riskspridning!! Jämför en centralicerad lösning med att vårt fysiska försvar förvarar alla vapen, pansarvagnar, flygplan, försvarssystem osv. i samma hangar och det då endast behövs en ända välriktad attack för att slå ut hela vårt försvar, med en decentralicerad lösning blir det mycket svårare att slå ut ett system och gissningsvis liknande hur vårt fysiska försvar arbetar. Ett stort ansvar ligger på er makthavare att ta de rätta besluten och ställa de rätta kraven så att vi står rätt rustade vid ett digitalt krig. Nästa gång du som makthavare blir uppvaktad av en lobbyist fråga varför deras lösning inte beaktar högre säkerhet och varför de inte använder öppen källkod och decentralicerade system. Trots allt är ju allt detta publika pengar så självklart borde koden också vara publik! Medborgarna förtjänar att känna trygghet i att e-id systemet fungerar även under kris och krig!
Tycker det är en bra text från perspektivet "cyberkrigsföringsoro från en medborgare". Med den senaste överbelastningsattacken mot BankID har vi dessutom ett guldläge där folk kan vara mottagliga för den här sortens information, så tror det definitivt finns ett värde med flera texter med lite olika perspektiv.
Jag har skrivit en text för att försöka få fram budskapet att alternativet till att göra det centraliserat är inte "läskigt, nytt och osäkert", utan finns redan. Samt lite enkelt förklara hur det fungerar, fördelarna med det ur en robusthetssynpunkt, och dra paralleler till hur det kan liknas med fysiska ID-handlingar.
Då frågan om "digitalt privatliv" har blivit ganska polariserad i dagens samhälle har jag undvikit att ta upp argument i den frågan, då de som bryr sig om sånt borde kunna förstå fördelarna baserat på beskrivningen av hur det fungerar, samt att de som har lärt sig att "privatliv == hjälpa gängkriminella" inte drar öronen åt sig.
Jag tror att, för opinionsbildning, är ord som "robust", "svårattackerat" bra. Även att det inte blir en "single point of failure" som Marcus skrev känns slående. Det faktum att göra så att identfikationshandlingen fungerar utan central instans gör att den blir bättre på kärnfunktionen "att vara en identifikationshandling" är nog våran absolut bästa angreppsvinkel, för den är väldigt svår att argumentera mot, oavsett politik!
Jag bifogar det jag skrev som en text-fil, dock kom inte på någon bra rubrik. Om det känns som en text värd att försöka få publicerad kan jag gå igenom den ett par varv till och fixa till formuleringar, meningsstrukturer, upprepningar och dyl.
Har vi någon idé om hur vi får in våra texter till tidningar/instanser? Finns det mer åtgärder vi kan ta för att opinionsbilda?
- Linn
On 04/26/2025 12:57 PM CEST Marcus via Eleg-projekt eleg-projekt@lists.dfri.se wrote:
Hej,! Jag kanske inte är en bra skrivare och jag är dålig på att stava men det var nåt med bank-id elendet som fick det att rinna över..... Nedan har jag skrivit en liten text som kanske går att använda som underlag för nån artikel, har försökt att använda "vardagliga" uttryck. Använd texten som ni vill och om det behövs att man skriver under en artikel så kan jag vara med på det.
Mvh Marcus
Text: Vad gör vi när cyber-armeerna anfaller? Kära makthavare, Alla som jobbar inom IT idag är fullt medvetna om det ständigt ökande hotet av både cyber-kriminella och cyber-armeer som ofta både försörjs och premieras av främmande makter och andra organisationer med politisk agenda. Precis som det i denna oroliga värld är extremt viktigt att vi rustar vårt fysiska försvar så är det minst lika viktigt att vi rustar vårt digitala försvar. För att kunna skydda civilsamhällets digitala möjligheter att fortsätta fungera under digital kris och krig har ni makthavare ett stort ansvar. Detta har bara aktualiserats än mer med den senaste tidens händelser där olika centralicerade system har slutat fungera på grund av överbelastningattacker och så vidare. Den senaste bekymmersamma händelsen är belastningsattackerna på Bank-ID där deras tjänst slutar att fungera och inverkan på samhället blir enorm. Ur ett IT perpektiv är ju detta fullkommligt oacceptabelt med en "single point of failure", påverkan för civilsammhället blir förödande. Betänk också situationen om och när ett intrång lyckas i ett centralt system som detta. Denna situation skulle innebära att majoriteten av samtliga invånares Bank-ID transaktioner skulle spridas på internet och denna data avslöjar massor av personlig information, enkla analyser som många inloggningar på 1177 innebär troligt att individen har hälsoproblem men det finns naturligtvis mycket mer ingående analyser att genomföra som ger en mycket större exakthet i profilering på individnivå. Det blir bara mer och mer viktigt att det finns alternativ till en ensam stor spelare och det är där som statligt nationellt e-id har möjlighet att bli ett bra försvar i en orolig digital värld. För att statligt e-id ska kunna förbättra situationen krävs dock att man tänker igenom riskerna och möjligheterna för att kunna skapa ett robust och tillförlitligt system. För att nå framgång är det flertalet lösningar som behöver beaktas och nyttjas i implemenationen. För det första så måste invånare känna tilltro till systemet och en viktig del i detta är att all källkod är öppen och alla har möjlighet att se in i systemet och att allt inte bara är en svart låda utan insyn vilket fallet blir med stängd källkod. Med öppen källkod finns även möjlighet för samhället att hjälpa till med buggar samt att oberoende parter kan göra säkerhetsaudit på källkoden for att hitta säkerhetshål i systemet, fler ögon ger ett säkrare system. Den andra stora avgörande lösningen för att kunna minska risken med att tjänsten slutar fungera är att systemet byggs decentraliserat och federerat,det vill säga det finns inte längre en "single point of failure", tas en nod ner så går det alltid att ansluta till en annan nod. Med en decentralicerad lösning kan man också ha flera aktörer som kör olika noder vilket gör att man inte blir beroende av just en enda aktör. Riskspridning!! Jämför en centralicerad lösning med att vårt fysiska försvar förvarar alla vapen, pansarvagnar, flygplan, försvarssystem osv. i samma hangar och det då endast behövs en ända välriktad attack för att slå ut hela vårt försvar, med en decentralicerad lösning blir det mycket svårare att slå ut ett system och gissningsvis liknande hur vårt fysiska försvar arbetar. Ett stort ansvar ligger på er makthavare att ta de rätta besluten och ställa de rätta kraven så att vi står rätt rustade vid ett digitalt krig. Nästa gång du som makthavare blir uppvaktad av en lobbyist fråga varför deras lösning inte beaktar högre säkerhet och varför de inte använder öppen källkod och decentralicerade system. Trots allt är ju allt detta publika pengar så självklart borde koden också vara publik! Medborgarna förtjänar att känna trygghet i att e-id systemet fungerar även under kris och krig!
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Hej,
Tack Linn och Marcus!
Jag tror att Linns text är jättebra som grund för en debattartikel.
Linn skrev:
Jag bifogar det jag skrev som en text-fil, dock kom inte på någon bra rubrik. Om det känns som en text värd att försöka få publicerad kan jag gå igenom den ett par varv till och fixa till formuleringar, meningsstrukturer, upprepningar och dyl.
Toppen, gör gärna det!
När det gäller rubrik, kanske något med "decentralisering" och "robusthet"? "Satsa på decentraliserade system för ett starkt och robust samhälle"? (i så fall bra om det går att få in "decentralisering" någonstans i texten)
Ett förslag jag har är att korta ner den del av texten som handlar om återkallelselistan, att ha mindre detaljer om det och bara skriva kort att det går att lösa så att det inte blir för stor del av texten.
Sen kanske någon slutkläm där det kan komma in att DFRI finns och att vi har ett projekt om decentraliserade id-lösningar?
Kanske kunde det också läggas till något om att samhället rimligen behöver kunna fortsätta fungera även vid mycket större störningar än det som hände förra veckan.
Har vi någon idé om hur vi får in våra texter till tidningar/instanser?
Jag tänker att ett bra sätt är att när man har en bra text så skickar man den till någon av de stora tidningarna, t.ex. DN Debatt, om de säger nej prövar man en annan, osv.
När det gäller textens längd står det för DN Debatt här https://www.dn.se/debatt/fragor-och-svar-om-dn-debatt/ att de vill ha mellan 4000 och 5500 tecken inkl mellanslag. (Linns text nu var ca 3100 tecken inkl mellanslag så det finns plats för lite mer text då, om man vill sikta på DN Debatt.)
/ Elias
On 2025-04-28 09:46, Linn Dahlgren via Eleg-projekt wrote:
Tycker det är en bra text från perspektivet "cyberkrigsföringsoro från en medborgare". Med den senaste överbelastningsattacken mot BankID har vi dessutom ett guldläge där folk kan vara mottagliga för den här sortens information, så tror det definitivt finns ett värde med flera texter med lite olika perspektiv.
Jag har skrivit en text för att försöka få fram budskapet att alternativet till att göra det centraliserat är inte "läskigt, nytt och osäkert", utan finns redan. Samt lite enkelt förklara hur det fungerar, fördelarna med det ur en robusthetssynpunkt, och dra paralleler till hur det kan liknas med fysiska ID-handlingar.
Då frågan om "digitalt privatliv" har blivit ganska polariserad i dagens samhälle har jag undvikit att ta upp argument i den frågan, då de som bryr sig om sånt borde kunna förstå fördelarna baserat på beskrivningen av hur det fungerar, samt att de som har lärt sig att "privatliv == hjälpa gängkriminella" inte drar öronen åt sig.
Jag tror att, för opinionsbildning, är ord som "robust", "svårattackerat" bra. Även att det inte blir en "single point of failure" som Marcus skrev känns slående. Det faktum att göra så att identfikationshandlingen fungerar utan central instans gör att den blir bättre på kärnfunktionen "att vara en identifikationshandling" är nog våran absolut bästa angreppsvinkel, för den är väldigt svår att argumentera mot, oavsett politik!
Jag bifogar det jag skrev som en text-fil, dock kom inte på någon bra rubrik. Om det känns som en text värd att försöka få publicerad kan jag gå igenom den ett par varv till och fixa till formuleringar, meningsstrukturer, upprepningar och dyl.
Har vi någon idé om hur vi får in våra texter till tidningar/instanser? Finns det mer åtgärder vi kan ta för att opinionsbilda?
- Linn
On 04/26/2025 12:57 PM CEST Marcus via Eleg-projekt <eleg- projekt@lists.dfri.se> wrote: Hej,! Jag kanske inte är en bra skrivare och jag är dålig på att stava men det var nåt med bank-id elendet som fick det att rinna över..... Nedan har jag skrivit en liten text som kanske går att använda som underlag för nån artikel, har försökt att använda "vardagliga" uttryck. Använd texten som ni vill och om det behövs att man skriver under en artikel så kan jag vara med på det. Mvh Marcus Text: Vad gör vi när cyber-armeerna anfaller? Kära makthavare, Alla som jobbar inom IT idag är fullt medvetna om det ständigt ökande hotet av både cyber-kriminella och cyber-armeer som ofta både försörjs och premieras av främmande makter och andra organisationer med politisk agenda. Precis som det i denna oroliga värld är extremt viktigt att vi rustar vårt fysiska försvar så är det minst lika viktigt att vi rustar vårt digitala försvar. För att kunna skydda civilsamhällets digitala möjligheter att fortsätta fungera under digital kris och krig har ni makthavare ett stort ansvar. Detta har bara aktualiserats än mer med den senaste tidens händelser där olika centralicerade system har slutat fungera på grund av överbelastningattacker och så vidare. Den senaste bekymmersamma händelsen är belastningsattackerna på Bank-ID där deras tjänst slutar att fungera och inverkan på samhället blir enorm. Ur ett IT perpektiv är ju detta fullkommligt oacceptabelt med en "single point of failure", påverkan för civilsammhället blir förödande. Betänk också situationen om och när ett intrång lyckas i ett centralt system som detta. Denna situation skulle innebära att majoriteten av samtliga invånares Bank-ID transaktioner skulle spridas på internet och denna data avslöjar massor av personlig information, enkla analyser som många inloggningar på 1177 innebär troligt att individen har hälsoproblem men det finns naturligtvis mycket mer ingående analyser att genomföra som ger en mycket större exakthet i profilering på individnivå. Det blir bara mer och mer viktigt att det finns alternativ till en ensam stor spelare och det är där som statligt nationellt e-id har möjlighet att bli ett bra försvar i en orolig digital värld. För att statligt e-id ska kunna förbättra situationen krävs dock att man tänker igenom riskerna och möjligheterna för att kunna skapa ett robust och tillförlitligt system. För att nå framgång är det flertalet lösningar som behöver beaktas och nyttjas i implemenationen. För det första så måste invånare känna tilltro till systemet och en viktig del i detta är att all källkod är öppen och alla har möjlighet att se in i systemet och att allt inte bara är en svart låda utan insyn vilket fallet blir med stängd källkod. Med öppen källkod finns även möjlighet för samhället att hjälpa till med buggar samt att oberoende parter kan göra säkerhetsaudit på källkoden for att hitta säkerhetshål i systemet, fler ögon ger ett säkrare system. Den andra stora avgörande lösningen för att kunna minska risken med att tjänsten slutar fungera är att systemet byggs decentraliserat och federerat,det vill säga det finns inte längre en "single point of failure", tas en nod ner så går det alltid att ansluta till en annan nod. Med en decentralicerad lösning kan man också ha flera aktörer som kör olika noder vilket gör att man inte blir beroende av just en enda aktör. Riskspridning!! Jämför en centralicerad lösning med att vårt fysiska försvar förvarar alla vapen, pansarvagnar, flygplan, försvarssystem osv. i samma hangar och det då endast behövs en ända välriktad attack för att slå ut hela vårt försvar, med en decentralicerad lösning blir det mycket svårare att slå ut ett system och gissningsvis liknande hur vårt fysiska försvar arbetar. Ett stort ansvar ligger på er makthavare att ta de rätta besluten och ställa de rätta kraven så att vi står rätt rustade vid ett digitalt krig. Nästa gång du som makthavare blir uppvaktad av en lobbyist fråga varför deras lösning inte beaktar högre säkerhet och varför de inte använder öppen källkod och decentralicerade system. Trots allt är ju allt detta publika pengar så självklart borde koden också vara publik! Medborgarna förtjänar att känna trygghet i att e-id systemet fungerar även under kris och krig! _______________________________________________ Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Hej,
Bra initiativ allihopa! Jag kanske hinner skumma igenom lite och ge kommentarer, men vänta inte på mig för det. Som rubrik kanske man kan ha t.ex. "BankID behöver en resilient och decentraliserad ersättare". Jag föreslår att mer skrivs om decentralisering i texten. Jag tror det är bra att vi uttrycker att vi är DFRI, men det är väl dumt om det låter som en reklam genom att marknadsföra vårt projekt i artikeln.
Mvh, Hampus Rydh
On April 29, 2025 8:29:03 AM GMT+02:00, Elias Rudberg via Eleg-projekt eleg-projekt@lists.dfri.se wrote:
Hej,
Tack Linn och Marcus!
Jag tror att Linns text är jättebra som grund för en debattartikel.
Linn skrev:
Jag bifogar det jag skrev som en text-fil, dock kom inte på någon bra rubrik. Om det känns som en text värd att försöka få publicerad kan jag gå igenom den ett par varv till och fixa till formuleringar, meningsstrukturer, upprepningar och dyl.
Toppen, gör gärna det!
När det gäller rubrik, kanske något med "decentralisering" och "robusthet"? "Satsa på decentraliserade system för ett starkt och robust samhälle"? (i så fall bra om det går att få in "decentralisering" någonstans i texten)
Ett förslag jag har är att korta ner den del av texten som handlar om återkallelselistan, att ha mindre detaljer om det och bara skriva kort att det går att lösa så att det inte blir för stor del av texten.
Sen kanske någon slutkläm där det kan komma in att DFRI finns och att vi har ett projekt om decentraliserade id-lösningar?
Kanske kunde det också läggas till något om att samhället rimligen behöver kunna fortsätta fungera även vid mycket större störningar än det som hände förra veckan.
Har vi någon idé om hur vi får in våra texter till tidningar/instanser?
Jag tänker att ett bra sätt är att när man har en bra text så skickar man den till någon av de stora tidningarna, t.ex. DN Debatt, om de säger nej prövar man en annan, osv.
När det gäller textens längd står det för DN Debatt här https://www.dn.se/debatt/fragor-och-svar-om-dn-debatt/ att de vill ha mellan 4000 och 5500 tecken inkl mellanslag. (Linns text nu var ca 3100 tecken inkl mellanslag så det finns plats för lite mer text då, om man vill sikta på DN Debatt.)
/ Elias
On 2025-04-28 09:46, Linn Dahlgren via Eleg-projekt wrote:
Tycker det är en bra text från perspektivet "cyberkrigsföringsoro från en medborgare". Med den senaste överbelastningsattacken mot BankID har vi dessutom ett guldläge där folk kan vara mottagliga för den här sortens information, så tror det definitivt finns ett värde med flera texter med lite olika perspektiv.
Jag har skrivit en text för att försöka få fram budskapet att alternativet till att göra det centraliserat är inte "läskigt, nytt och osäkert", utan finns redan. Samt lite enkelt förklara hur det fungerar, fördelarna med det ur en robusthetssynpunkt, och dra paralleler till hur det kan liknas med fysiska ID-handlingar.
Då frågan om "digitalt privatliv" har blivit ganska polariserad i dagens samhälle har jag undvikit att ta upp argument i den frågan, då de som bryr sig om sånt borde kunna förstå fördelarna baserat på beskrivningen av hur det fungerar, samt att de som har lärt sig att "privatliv == hjälpa gängkriminella" inte drar öronen åt sig.
Jag tror att, för opinionsbildning, är ord som "robust", "svårattackerat" bra. Även att det inte blir en "single point of failure" som Marcus skrev känns slående. Det faktum att göra så att identfikationshandlingen fungerar utan central instans gör att den blir bättre på kärnfunktionen "att vara en identifikationshandling" är nog våran absolut bästa angreppsvinkel, för den är väldigt svår att argumentera mot, oavsett politik!
Jag bifogar det jag skrev som en text-fil, dock kom inte på någon bra rubrik. Om det känns som en text värd att försöka få publicerad kan jag gå igenom den ett par varv till och fixa till formuleringar, meningsstrukturer, upprepningar och dyl.
Har vi någon idé om hur vi får in våra texter till tidningar/instanser? Finns det mer åtgärder vi kan ta för att opinionsbilda?
- Linn
On 04/26/2025 12:57 PM CEST Marcus via Eleg-projekt <eleg- projekt@lists.dfri.se> wrote: Hej,! Jag kanske inte är en bra skrivare och jag är dålig på att stava men det var nåt med bank-id elendet som fick det att rinna över..... Nedan har jag skrivit en liten text som kanske går att använda som underlag för nån artikel, har försökt att använda "vardagliga" uttryck. Använd texten som ni vill och om det behövs att man skriver under en artikel så kan jag vara med på det. Mvh Marcus Text: Vad gör vi när cyber-armeerna anfaller? Kära makthavare, Alla som jobbar inom IT idag är fullt medvetna om det ständigt ökande hotet av både cyber-kriminella och cyber-armeer som ofta både försörjs och premieras av främmande makter och andra organisationer med politisk agenda. Precis som det i denna oroliga värld är extremt viktigt att vi rustar vårt fysiska försvar så är det minst lika viktigt att vi rustar vårt digitala försvar. För att kunna skydda civilsamhällets digitala möjligheter att fortsätta fungera under digital kris och krig har ni makthavare ett stort ansvar. Detta har bara aktualiserats än mer med den senaste tidens händelser där olika centralicerade system har slutat fungera på grund av överbelastningattacker och så vidare. Den senaste bekymmersamma händelsen är belastningsattackerna på Bank-ID där deras tjänst slutar att fungera och inverkan på samhället blir enorm. Ur ett IT perpektiv är ju detta fullkommligt oacceptabelt med en "single point of failure", påverkan för civilsammhället blir förödande. Betänk också situationen om och när ett intrång lyckas i ett centralt system som detta. Denna situation skulle innebära att majoriteten av samtliga invånares Bank-ID transaktioner skulle spridas på internet och denna data avslöjar massor av personlig information, enkla analyser som många inloggningar på 1177 innebär troligt att individen har hälsoproblem men det finns naturligtvis mycket mer ingående analyser att genomföra som ger en mycket större exakthet i profilering på individnivå. Det blir bara mer och mer viktigt att det finns alternativ till en ensam stor spelare och det är där som statligt nationellt e-id har möjlighet att bli ett bra försvar i en orolig digital värld. För att statligt e-id ska kunna förbättra situationen krävs dock att man tänker igenom riskerna och möjligheterna för att kunna skapa ett robust och tillförlitligt system. För att nå framgång är det flertalet lösningar som behöver beaktas och nyttjas i implemenationen. För det första så måste invånare känna tilltro till systemet och en viktig del i detta är att all källkod är öppen och alla har möjlighet att se in i systemet och att allt inte bara är en svart låda utan insyn vilket fallet blir med stängd källkod. Med öppen källkod finns även möjlighet för samhället att hjälpa till med buggar samt att oberoende parter kan göra säkerhetsaudit på källkoden for att hitta säkerhetshål i systemet, fler ögon ger ett säkrare system. Den andra stora avgörande lösningen för att kunna minska risken med att tjänsten slutar fungera är att systemet byggs decentraliserat och federerat,det vill säga det finns inte längre en "single point of failure", tas en nod ner så går det alltid att ansluta till en annan nod. Med en decentralicerad lösning kan man också ha flera aktörer som kör olika noder vilket gör att man inte blir beroende av just en enda aktör. Riskspridning!! Jämför en centralicerad lösning med att vårt fysiska försvar förvarar alla vapen, pansarvagnar, flygplan, försvarssystem osv. i samma hangar och det då endast behövs en ända välriktad attack för att slå ut hela vårt försvar, med en decentralicerad lösning blir det mycket svårare att slå ut ett system och gissningsvis liknande hur vårt fysiska försvar arbetar. Ett stort ansvar ligger på er makthavare att ta de rätta besluten och ställa de rätta kraven så att vi står rätt rustade vid ett digitalt krig. Nästa gång du som makthavare blir uppvaktad av en lobbyist fråga varför deras lösning inte beaktar högre säkerhet och varför de inte använder öppen källkod och decentralicerade system. Trots allt är ju allt detta publika pengar så självklart borde koden också vara publik! Medborgarna förtjänar att känna trygghet i att e-id systemet fungerar även under kris och krig! _______________________________________________ Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Hej! Tänkte att vi skulle få till något och kallar till en virtuell skrivarstuga kl 12:15 nu på fredag. Möteslänk: https://public-meet1.glesys.com/dfri-debattartikel och kalenderevent bifogas. Hoppas ni har möjlighet att ringa in!
Lite relaterat så har DFRI har nyss skrivit ett remissvar på "Uppgiftsskyldighet för vissa e-legitimationsföretag.", bifogat här och nu även upplagt på vår hemsida: https://www.dfri.se/remissvar-pa-uppgiftsskyldighet-for-e-legitimationsforet...
/ Christian
On 2025-04-29 12:50, Hampus Rydh via Eleg-projekt wrote:
Hej,
Bra initiativ allihopa! Jag kanske hinner skumma igenom lite och ge kommentarer, men vänta inte på mig för det. Som rubrik kanske man kan ha t.ex. "BankID behöver en resilient och decentraliserad ersättare". Jag föreslår att mer skrivs om decentralisering i texten. Jag tror det är bra att vi uttrycker att vi är DFRI, men det är väl dumt om det låter som en reklam genom att marknadsföra vårt projekt i artikeln.
Mvh, Hampus Rydh
On April 29, 2025 8:29:03 AM GMT+02:00, Elias Rudberg via Eleg-projekt eleg-projekt@lists.dfri.se wrote:
Hej, Tack Linn och Marcus! Jag tror att Linns text är jättebra som grund för en debattartikel. Linn skrev: Jag bifogar det jag skrev som en text-fil, dock kom inte på någon bra rubrik. Om det känns som en text värd att försöka få publicerad kan jag gå igenom den ett par varv till och fixa till formuleringar, meningsstrukturer, upprepningar och dyl. Toppen, gör gärna det! När det gäller rubrik, kanske något med "decentralisering" och "robusthet"? "Satsa på decentraliserade system för ett starkt och robust samhälle"? (i så fall bra om det går att få in "decentralisering" någonstans i texten) Ett förslag jag har är att korta ner den del av texten som handlar om återkallelselistan, att ha mindre detaljer om det och bara skriva kort att det går att lösa så att det inte blir för stor del av texten. Sen kanske någon slutkläm där det kan komma in att DFRI finns och att vi har ett projekt om decentraliserade id-lösningar? Kanske kunde det också läggas till något om att samhället rimligen behöver kunna fortsätta fungera även vid mycket större störningar än det som hände förra veckan. Har vi någon idé om hur vi får in våra texter till tidningar/instanser? Jag tänker att ett bra sätt är att när man har en bra text så skickar man den till någon av de stora tidningarna, t.ex. DN Debatt, om de säger nej prövar man en annan, osv. När det gäller textens längd står det för DN Debatt här https://www.dn.se/debatt/fragor-och-svar-om-dn-debatt/ <https://www.dn.se/debatt/fragor-och-svar-om-dn-debatt/> att de vill ha mellan 4000 och 5500 tecken inkl mellanslag. (Linns text nu var ca 3100 tecken inkl mellanslag så det finns plats för lite mer text då, om man vill sikta på DN Debatt.) / Elias On 2025-04-28 09:46, Linn Dahlgren via Eleg-projekt wrote: Tycker det är en bra text från perspektivet "cyberkrigsföringsoro från en medborgare". Med den senaste överbelastningsattacken mot BankID har vi dessutom ett guldläge där folk kan vara mottagliga för den här sortens information, så tror det definitivt finns ett värde med flera texter med lite olika perspektiv. Jag har skrivit en text för att försöka få fram budskapet att alternativet till att göra det centraliserat är inte "läskigt, nytt och osäkert", utan finns redan. Samt lite enkelt förklara hur det fungerar, fördelarna med det ur en robusthetssynpunkt, och dra paralleler till hur det kan liknas med fysiska ID-handlingar. Då frågan om "digitalt privatliv" har blivit ganska polariserad i dagens samhälle har jag undvikit att ta upp argument i den frågan, då de som bryr sig om sånt borde kunna förstå fördelarna baserat på beskrivningen av hur det fungerar, samt att de som har lärt sig att "privatliv == hjälpa gängkriminella" inte drar öronen åt sig. Jag tror att, för opinionsbildning, är ord som "robust", "svårattackerat" bra. Även att det inte blir en "single point of failure" som Marcus skrev känns slående. Det faktum att göra så att identfikationshandlingen fungerar utan central instans gör att den blir bättre på kärnfunktionen "att vara en identifikationshandling" är nog våran absolut bästa angreppsvinkel, för den är väldigt svår att argumentera mot, oavsett politik! Jag bifogar det jag skrev som en text-fil, dock kom inte på någon bra rubrik. Om det känns som en text värd att försöka få publicerad kan jag gå igenom den ett par varv till och fixa till formuleringar, meningsstrukturer, upprepningar och dyl. Har vi någon idé om hur vi får in våra texter till tidningar/instanser? Finns det mer åtgärder vi kan ta för att opinionsbilda? - Linn On 04/26/2025 12:57 PM CEST Marcus via Eleg-projekt <eleg- projekt@lists.dfri.se> wrote: Hej,! Jag kanske inte är en bra skrivare och jag är dålig på att stava men det var nåt med bank-id elendet som fick det att rinna över..... Nedan har jag skrivit en liten text som kanske går att använda som underlag för nån artikel, har försökt att använda "vardagliga" uttryck. Använd texten som ni vill och om det behövs att man skriver under en artikel så kan jag vara med på det. Mvh Marcus Text: Vad gör vi när cyber-armeerna anfaller? Kära makthavare, Alla som jobbar inom IT idag är fullt medvetna om det ständigt ökande hotet av både cyber-kriminella och cyber-armeer som ofta både försörjs och premieras av främmande makter och andra organisationer med politisk agenda. Precis som det i denna oroliga värld är extremt viktigt att vi rustar vårt fysiska försvar så är det minst lika viktigt att vi rustar vårt digitala försvar. För att kunna skydda civilsamhällets digitala möjligheter att fortsätta fungera under digital kris och krig har ni makthavare ett stort ansvar. Detta har bara aktualiserats än mer med den senaste tidens händelser där olika centralicerade system har slutat fungera på grund av överbelastningattacker och så vidare. Den senaste bekymmersamma händelsen är belastningsattackerna på Bank-ID där deras tjänst slutar att fungera och inverkan på samhället blir enorm. Ur ett IT perpektiv är ju detta fullkommligt oacceptabelt med en "single point of failure", påverkan för civilsammhället blir förödande. Betänk också situationen om och när ett intrång lyckas i ett centralt system som detta. Denna situation skulle innebära att majoriteten av samtliga invånares Bank-ID transaktioner skulle spridas på internet och denna data avslöjar massor av personlig information, enkla analyser som många inloggningar på 1177 innebär troligt att individen har hälsoproblem men det finns naturligtvis mycket mer ingående analyser att genomföra som ger en mycket större exakthet i profilering på individnivå. Det blir bara mer och mer viktigt att det finns alternativ till en ensam stor spelare och det är där som statligt nationellt e-id har möjlighet att bli ett bra försvar i en orolig digital värld. För att statligt e-id ska kunna förbättra situationen krävs dock att man tänker igenom riskerna och möjligheterna för att kunna skapa ett robust och tillförlitligt system. För att nå framgång är det flertalet lösningar som behöver beaktas och nyttjas i implemenationen. För det första så måste invånare känna tilltro till systemet och en viktig del i detta är att all källkod är öppen och alla har möjlighet att se in i systemet och att allt inte bara är en svart låda utan insyn vilket fallet blir med stängd källkod. Med öppen källkod finns även möjlighet för samhället att hjälpa till med buggar samt att oberoende parter kan göra säkerhetsaudit på källkoden for att hitta säkerhetshål i systemet, fler ögon ger ett säkrare system. Den andra stora avgörande lösningen för att kunna minska risken med att tjänsten slutar fungera är att systemet byggs decentraliserat och federerat,det vill säga det finns inte längre en "single point of failure", tas en nod ner så går det alltid att ansluta till en annan nod. Med en decentralicerad lösning kan man också ha flera aktörer som kör olika noder vilket gör att man inte blir beroende av just en enda aktör. Riskspridning!! Jämför en centralicerad lösning med att vårt fysiska försvar förvarar alla vapen, pansarvagnar, flygplan, försvarssystem osv. i samma hangar och det då endast behövs en ända välriktad attack för att slå ut hela vårt försvar, med en decentralicerad lösning blir det mycket svårare att slå ut ett system och gissningsvis liknande hur vårt fysiska försvar arbetar. Ett stort ansvar ligger på er makthavare att ta de rätta besluten och ställa de rätta kraven så att vi står rätt rustade vid ett digitalt krig. Nästa gång du som makthavare blir uppvaktad av en lobbyist fråga varför deras lösning inte beaktar högre säkerhet och varför de inte använder öppen källkod och decentralicerade system. Trots allt är ju allt detta publika pengar så självklart borde koden också vara publik! Medborgarna förtjänar att känna trygghet i att e-id systemet fungerar även under kris och krig!
Hej Ett bra remissvar! Särskilt punkt 6 och 7 som väl belyser vissa brister. Jag har nog missat det men jag hittar inte någon uppgift hur länge uppgifter ska sparas hos legitimationsföretagen, vare sig hos polisens remiss eller i PM:n. Inte det viktigaste men ändå. Tills sist, tack för Ert arbete!Niclas
On 7/16/25 7:42 AM, Christian Häggström via Eleg-projekt wrote:
Hej! Tänkte att vi skulle få till något och kallar till en virtuell skrivarstuga kl 12:15 nu på fredag. Möteslänk: https://public-meet1.glesys.com/dfri-debattartikel och kalenderevent bifogas. Hoppas ni har möjlighet att ringa in!
Vi var ett antal skribenter som utifrån Marcus och Linns texter formulerade vad vi tycker duger att skicka in. Läs och kom med synpunkter och säg till om ni vill signera med era namn! Deadline är måndag 21/7 då jag eller Elias skickar in det till DN.
Texten följer nedan, det inom parentes klipper vi bort. Och länken kommer såklart inte att vara en länk.
--------
*(Rubrik) *Robust e-legitimation är inte svårt
(Kontextualisera)
Samhällsdebatten om elektronisk legitimation har aktualiserats igen efter incidenten när BankID låg nere i tre timmar. Civilminister Erik Slottner anser att staten bör ta ett större ansvar och att det behöver finnas flera lösningar. Det är en viktig diskussion, men det finns en övertro på centraliserade system
Behovet av en central server som måste vara nåbar är djupt rotat i tankesättet hos många beslutsfattare, vilket framgår av Finansinspektionens förslag om ”Uppgiftsskyldighet för vissa e-legitimationsföretag https://www.regeringen.se/rattsliga-dokument/departementsserien-och-promemorior/2025/04/uppgiftsskyldighet-for-vissa-e-legitimationsforetag/” Fi2025/00837, där myndigheten verkar ta för givet att alla elektroniska legitimeringar samlas in av utgivaren.
Vidare säger Andreas Bergqvist på BankID till SVT att ”oavsett vem som driver en tjänst så kommer alla ha samma utmaning som vi när det gäller cyberangrepp”. Denna föreställning om att central aktör måste vara nåbar vid varje enskild identifiering, behöver förändras.
DIGG (Myndigheten för digital förvaltning) skriver om ersättning till e-legitimationsföretag för användning av e-legitimation i MDFFS 2025:2 där den rörliga ersättningen baseras på antalet identifieringar. Återigen verkar synsättet vara att varje identifiering måste involvera någon form av bokföring hos en central part.
*(Teknisk förklaring)*
Grundtekniken som får kommunikation på internet att bli säker och trovärdig kräver inte att en central tjänst är igång och fungerar. På samma sätt som polisen kan ge ut plastkort som inte försvinner bara för att någon i protest blockerar ingången till polisstationen de hämtas från, kan företag och myndigheter ge ut elektroniska ID-handlingar som går att verifiera utan att fråga utgivaren varje gång. ID-handlingen innehåller /digitala certifikat/, som då får en /digital signatur/ av en betrodd instans, t.ex. Polismyndigheten eller BankID.
Om du då försöker logga in hos din hyresvärd för att boka nästa tvättid kan du visa upp ditt certifikat för hyresvärden som då, utan att behöva internet-uppkoppling, kan verifiera att detta certifikat är utfärdat av någon som den litar på och att du kan boka.
Det finns inget i grundtekniken som kräver att utgivaren är aktiv aktör i inloggningarna som är fallet med BankID och Freja.
*(Robusthet)*
System som är decentraliserade och kan fungera lokalt, där varje användning inte behöver gå genom en central punkt, är överlägsna när det gäller robusthet.
Det gör att samhällskritiska system fortsätter att fungera under krig eller stora cyberangrepp av främmande makter.
Decentraliserade lösningar är dessutom att föredra utifrån ett demokrati-perspektiv: ett starkt samhälle bygger på att det finns starka, fria individer, som inte ständigt står under statens kontroll. Auktoritära stater vill gärna ha centrala system som gör det möjligt för staten att utöva kontroll över människor. Så är det inte i ett fritt samhälle.
Den centralisering som auktoritära stater strävar efter kan förstås verka bra för en diktator som vill behålla makt och kontroll, men centraliseringen gör samhället sårbart.
*(om vår förening)*
Föreningen för Digitala Fri- och Rättigheter (DFRI) har ett projekt om fri och öppen e-legitimation, där vi ger exempel på hur en lösning skulle kunna skapas baserat på fri och öppen programvara, öppen specifikation, tillgänglighet och decentralisering. Vi ser ett stort behov av samhällsförändring i riktning mot mer frihet och mindre central kontroll, både för demokratins skull och för att göra samhället mindre sårbart.
* *
*(Slutkläm)*
Nästa gång du blir tvingad till ett inloggningsystem som kräver att du låser dig till ett visst bolags app, fråga vad för protokoll de använder, om det är decentraliserat, och om du är fri att skriva en egen implementation på öppna standarder.
Alla förtjänar att känna trygghet i att e-id systemet fungerar även under kris och krig!
(Signatur)
Christian Häggström, Elias Rudberg, Leif-Jöran Olsson Föreningen för digitala fri- och rättigheter
Kanonbra! I slutklämmen kan det finnas poäng med att skriva "... om du själv eller tillsammans med den eller de du väljer är fri att skriva en egen implementation på öppna standarder." Vi vill ju frihet inte bara för programmerare. ;-) Sätt gärna mitt namn med i signaturen. /Mikael
Den 18 juli 2025 14:57:26 CEST, "Christian Häggström via Eleg-projekt" eleg-projekt@lists.dfri.se skrev:
On 7/16/25 7:42 AM, Christian Häggström via Eleg-projekt wrote:
Hej! Tänkte att vi skulle få till något och kallar till en virtuell skrivarstuga kl 12:15 nu på fredag. Möteslänk: https://public-meet1.glesys.com/dfri-debattartikel och kalenderevent bifogas. Hoppas ni har möjlighet att ringa in!
Vi var ett antal skribenter som utifrån Marcus och Linns texter formulerade vad vi tycker duger att skicka in. Läs och kom med synpunkter och säg till om ni vill signera med era namn! Deadline är måndag 21/7 då jag eller Elias skickar in det till DN.
Texten följer nedan, det inom parentes klipper vi bort. Och länken kommer såklart inte att vara en länk.
*(Rubrik) *Robust e-legitimation är inte svårt
(Kontextualisera)Samhällsdebatten om elektronisk legitimation har aktualiserats igen efter incidenten när BankID låg nere i tre timmar. Civilminister Erik Slottner anser att staten bör ta ett större ansvar och att det behöver finnas flera lösningar. Det är en viktig diskussion, men det finns en övertro på centraliserade system
Behovet av en central server som måste vara nåbar är djupt rotat i tankesättet hos många beslutsfattare, vilket framgår av Finansinspektionens förslag om ”Uppgiftsskyldighet för vissa e-legitimationsföretag https://www.regeringen.se/rattsliga-dokument/departementsserien-och-promemorior/2025/04/uppgiftsskyldighet-for-vissa-e-legitimationsforetag/” Fi2025/00837, där myndigheten verkar ta för givet att alla elektroniska legitimeringar samlas in av utgivaren.
Vidare säger Andreas Bergqvist på BankID till SVT att ”oavsett vem som driver en tjänst så kommer alla ha samma utmaning som vi när det gäller cyberangrepp”. Denna föreställning om att central aktör måste vara nåbar vid varje enskild identifiering, behöver förändras.
DIGG (Myndigheten för digital förvaltning) skriver om ersättning till e-legitimationsföretag för användning av e-legitimation i MDFFS 2025:2 där den rörliga ersättningen baseras på antalet identifieringar. Återigen verkar synsättet vara att varje identifiering måste involvera någon form av bokföring hos en central part.
*(Teknisk förklaring)*
Grundtekniken som får kommunikation på internet att bli säker och trovärdig kräver inte att en central tjänst är igång och fungerar. På samma sätt som polisen kan ge ut plastkort som inte försvinner bara för att någon i protest blockerar ingången till polisstationen de hämtas från, kan företag och myndigheter ge ut elektroniska ID-handlingar som går att verifiera utan att fråga utgivaren varje gång. ID-handlingen innehåller /digitala certifikat/, som då får en /digital signatur/ av en betrodd instans, t.ex. Polismyndigheten eller BankID.
Om du då försöker logga in hos din hyresvärd för att boka nästa tvättid kan du visa upp ditt certifikat för hyresvärden som då, utan att behöva internet-uppkoppling, kan verifiera att detta certifikat är utfärdat av någon som den litar på och att du kan boka.
Det finns inget i grundtekniken som kräver att utgivaren är aktiv aktör i inloggningarna som är fallet med BankID och Freja.
*(Robusthet)*
System som är decentraliserade och kan fungera lokalt, där varje användning inte behöver gå genom en central punkt, är överlägsna när det gäller robusthet.
Det gör att samhällskritiska system fortsätter att fungera under krig eller stora cyberangrepp av främmande makter.
Decentraliserade lösningar är dessutom att föredra utifrån ett demokrati-perspektiv: ett starkt samhälle bygger på att det finns starka, fria individer, som inte ständigt står under statens kontroll. Auktoritära stater vill gärna ha centrala system som gör det möjligt för staten att utöva kontroll över människor. Så är det inte i ett fritt samhälle.
Den centralisering som auktoritära stater strävar efter kan förstås verka bra för en diktator som vill behålla makt och kontroll, men centraliseringen gör samhället sårbart.
*(om vår förening)*
Föreningen för Digitala Fri- och Rättigheter (DFRI) har ett projekt om fri och öppen e-legitimation, där vi ger exempel på hur en lösning skulle kunna skapas baserat på fri och öppen programvara, öppen specifikation, tillgänglighet och decentralisering. Vi ser ett stort behov av samhällsförändring i riktning mot mer frihet och mindre central kontroll, både för demokratins skull och för att göra samhället mindre sårbart.
*(Slutkläm)*
Nästa gång du blir tvingad till ett inloggningsystem som kräver att du låser dig till ett visst bolags app, fråga vad för protokoll de använder, om det är decentraliserat, och om du är fri att skriva en egen implementation på öppna standarder.
Alla förtjänar att känna trygghet i att e-id systemet fungerar även under kris och krig!
(Signatur)
Christian Häggström, Elias Rudberg, Leif-Jöran Olsson Föreningen för digitala fri- och rättigheter
Tycker det ser bra ut!
Det enda jag känner kan "saknas" är att förklara att även om verifiering sker decentraliserat kan man återkalla digitala ID-handlingar (genom CRL). För om man läser det som är skrivet så verkar det som att man kan komma till slutsatsen att "centralisering är ett nödvändigt ont för att kunna spärra ID-handlingar som hamnat på vift, och därmed är våran lösning som gjord för ID-kapning"
Grundläggande förklaring
"För att spärra en ID-handling publicerar utgivaren en lista med serienummer på ej-giltiga ID-handlingar. Denna lista innehåller i sig ingen personlig information, utan används enbart när en autentisering sker och du har ett specifikt serienummer att kolla upp."
Om man vill utveckla hur detta skulle fungera vid problem:
"Om utgivaren då blir attackerad eller går ner av andra skäl är påverkan begränsad till att nyligen spärrade ID-handlingar inte publiceras fram tills problemet åtgärdats. Alternativt kan uppdateringar publicerats på andra sätt till samhällskritiska tjänster vid extremfall."
Tycker att den grundläggande förklaringen är ganska viktig, men att delen om "vad som händer vid problem" kanske gör artikeln lite för lång och spretig?
Hej,
Tack Mikael och Linn för era tankar, här nedanför är en ny version där jag lagt till enligt era förslag (med den grundläggande förklaringen från Linn, jag håller med om att det nog blir för långt att ha mer än så). Jag petade in ordet "lokalt" också för att man inte ska tro att listan kräver central kommunikation varje inloggning. Allt annat är likadant som förut.
Blir det bra med den här versionen?
Linn, kan vi lägga till ditt namn också?
/ Elias
-- här kommer nya versionen ---
(Rubrik) Robust e-legitimation är inte svårt
(Kontextualisera)
Samhällsdebatten om elektronisk legitimation har aktualiserats igen efter incidenten när BankID låg nere i tre timmar. Civilminister Erik Slottner anser att staten bör ta ett större ansvar och att det behöver finnas flera lösningar. Det är en viktig diskussion, men det finns en övertro på centraliserade system.
Behovet av en central server som måste vara nåbar är djupt rotat i tankesättet hos många beslutsfattare, vilket framgår av Finansinspektionens förslag om ”Uppgiftsskyldighet för vissa e-legitimationsföretag” Fi2025/00837, där myndigheten verkar ta för givet att alla elektroniska legitimeringar samlas in av utgivaren.
Vidare säger Andreas Bergqvist på BankID till SVT att ”oavsett vem som driver en tjänst så kommer alla ha samma utmaning som vi när det gäller cyberangrepp”. Denna föreställning om att central aktör måste vara nåbar vid varje enskild identifiering, behöver förändras.
DIGG (Myndigheten för digital förvaltning) skriver om ersättning till e-legitimationsföretag för användning av e-legitimation i MDFFS 2025:2 där den rörliga ersättningen baseras på antalet identifieringar. Återigen verkar synsättet vara att varje identifiering måste involvera någon form av bokföring hos en central part.
(Teknisk förklaring)
Grundtekniken som får kommunikation på internet att bli säker och trovärdig kräver inte att en central tjänst är igång och fungerar. På samma sätt som polisen kan ge ut plastkort som inte försvinner bara för att någon i protest blockerar ingången till polisstationen de hämtas från, kan företag och myndigheter ge ut elektroniska ID-handlingar som går att verifiera utan att fråga utgivaren varje gång.
ID-handlingen innehåller digitala certifikat, som då får en digital signatur av en betrodd instans, t.ex. Polismyndigheten eller BankID. För att spärra en ID-handling publicerar utgivaren en lista med serienummer på ej-giltiga ID-handlingar. Denna lista innehåller i sig ingen personlig information, utan används enbart lokalt när en autentisering sker och det finns ett specifikt serienummer att kolla upp.
Om du då försöker logga in hos din hyresvärd för att boka nästa tvättid kan du visa upp ditt certifikat för hyresvärden som då, utan att behöva internet-uppkoppling, kan verifiera att detta certifikat är utfärdat av någon som den litar på och att du kan boka.
Det finns inget i grundtekniken som kräver att utgivaren är aktiv aktör i inloggningarna som är fallet med BankID och Freja.
(Robusthet)
System som är decentraliserade och kan fungera lokalt, där varje användning inte behöver gå genom en central punkt, är överlägsna när det gäller robusthet.
Det gör att samhällskritiska system fortsätter att fungera under krig eller stora cyberangrepp av främmande makter.
Decentraliserade lösningar är dessutom att föredra utifrån ett demokrati-perspektiv: ett starkt samhälle bygger på att det finns starka, fria individer, som inte ständigt står under statens kontroll. Auktoritära stater vill gärna ha centrala system som gör det möjligt för staten att utöva kontroll över människor. Så är det inte i ett fritt samhälle.
Den centralisering som auktoritära stater strävar efter kan förstås verka bra för en diktator som vill behålla makt och kontroll, men centraliseringen gör samhället sårbart.
(om vår förening)
Föreningen för Digitala Fri- och Rättigheter (DFRI) har ett projekt om fri och öppen e-legitimation, där vi ger exempel på hur en lösning skulle kunna skapas baserat på fri och öppen programvara, öppen specifikation, tillgänglighet och decentralisering. Vi ser ett stort behov av samhällsförändring i riktning mot mer frihet och mindre central kontroll, både för demokratins skull och för att göra samhället mindre sårbart.
(Slutkläm)
Nästa gång du blir tvingad till ett inloggningssystem som kräver att du låser dig till ett visst bolags app, fråga vad för protokoll de använder, om det är decentraliserat, och om du själv eller tillsammans med den eller de du väljer är fri att skriva en egen implementation på öppna standarder.
Alla förtjänar att känna trygghet i att e-id-systemet fungerar även under kris och krig!
(Signatur)
Christian Häggström, Elias Rudberg, Leif-Jöran Olsson, Mikael Odhage Föreningen för digitala fri- och rättigheter
-- slut på nya versionen ---
Hej, jag tycker att det ser riktigt bra ut! Jag står gärna med på artikeln om det inte är för sent!!
Bra jobbat allihop!!
Mvh Marcus
On lör, jul 19 2025 at 17:49:18 +0200, Elias Rudberg via Eleg-projekt eleg-projekt@lists.dfri.se wrote:
Hej,
Tack Mikael och Linn för era tankar, här nedanför är en ny version där jag lagt till enligt era förslag (med den grundläggande förklaringen från Linn, jag håller med om att det nog blir för långt att ha mer än så). Jag petade in ordet "lokalt" också för att man inte ska tro att listan kräver central kommunikation varje inloggning. Allt annat är likadant som förut.
Blir det bra med den här versionen?
Linn, kan vi lägga till ditt namn också?
/ Elias
-- här kommer nya versionen ---
(Rubrik) Robust e-legitimation är inte svårt
(Kontextualisera)
Samhällsdebatten om elektronisk legitimation har aktualiserats igen efter incidenten när BankID låg nere i tre timmar. Civilminister Erik Slottner anser att staten bör ta ett större ansvar och att det behöver finnas flera lösningar. Det är en viktig diskussion, men det finns en övertro på centraliserade system.
Behovet av en central server som måste vara nåbar är djupt rotat i tankesättet hos många beslutsfattare, vilket framgår av Finansinspektionens förslag om ”Uppgiftsskyldighet för vissa e-legitimationsföretag” Fi2025/00837, där myndigheten verkar ta för givet att alla elektroniska legitimeringar samlas in av utgivaren.
Vidare säger Andreas Bergqvist på BankID till SVT att ”oavsett vem som driver en tjänst så kommer alla ha samma utmaning som vi när det gäller cyberangrepp”. Denna föreställning om att central aktör måste vara nåbar vid varje enskild identifiering, behöver förändras.
DIGG (Myndigheten för digital förvaltning) skriver om ersättning till e-legitimationsföretag för användning av e-legitimation i MDFFS 2025:2 där den rörliga ersättningen baseras på antalet identifieringar. Återigen verkar synsättet vara att varje identifiering måste involvera någon form av bokföring hos en central part.
(Teknisk förklaring)
Grundtekniken som får kommunikation på internet att bli säker och trovärdig kräver inte att en central tjänst är igång och fungerar. På samma sätt som polisen kan ge ut plastkort som inte försvinner bara för att någon i protest blockerar ingången till polisstationen de hämtas från, kan företag och myndigheter ge ut elektroniska ID-handlingar som går att verifiera utan att fråga utgivaren varje gång.
ID-handlingen innehåller digitala certifikat, som då får en digital signatur av en betrodd instans, t.ex. Polismyndigheten eller BankID. För att spärra en ID-handling publicerar utgivaren en lista med serienummer på ej-giltiga ID-handlingar. Denna lista innehåller i sig ingen personlig information, utan används enbart lokalt när en autentisering sker och det finns ett specifikt serienummer att kolla upp.
Om du då försöker logga in hos din hyresvärd för att boka nästa tvättid kan du visa upp ditt certifikat för hyresvärden som då, utan att behöva internet-uppkoppling, kan verifiera att detta certifikat är utfärdat av någon som den litar på och att du kan boka.
Det finns inget i grundtekniken som kräver att utgivaren är aktiv aktör i inloggningarna som är fallet med BankID och Freja.
(Robusthet)
System som är decentraliserade och kan fungera lokalt, där varje användning inte behöver gå genom en central punkt, är överlägsna när det gäller robusthet.
Det gör att samhällskritiska system fortsätter att fungera under krig eller stora cyberangrepp av främmande makter.
Decentraliserade lösningar är dessutom att föredra utifrån ett demokrati-perspektiv: ett starkt samhälle bygger på att det finns starka, fria individer, som inte ständigt står under statens kontroll. Auktoritära stater vill gärna ha centrala system som gör det möjligt för staten att utöva kontroll över människor. Så är det inte i ett fritt samhälle.
Den centralisering som auktoritära stater strävar efter kan förstås verka bra för en diktator som vill behålla makt och kontroll, men centraliseringen gör samhället sårbart.
(om vår förening)
Föreningen för Digitala Fri- och Rättigheter (DFRI) har ett projekt om fri och öppen e-legitimation, där vi ger exempel på hur en lösning skulle kunna skapas baserat på fri och öppen programvara, öppen specifikation, tillgänglighet och decentralisering. Vi ser ett stort behov av samhällsförändring i riktning mot mer frihet och mindre central kontroll, både för demokratins skull och för att göra samhället mindre sårbart.
(Slutkläm)
Nästa gång du blir tvingad till ett inloggningssystem som kräver att du låser dig till ett visst bolags app, fråga vad för protokoll de använder, om det är decentraliserat, och om du själv eller tillsammans med den eller de du väljer är fri att skriva en egen implementation på öppna standarder.
Alla förtjänar att känna trygghet i att e-id-systemet fungerar även under kris och krig!
(Signatur)
Christian Häggström, Elias Rudberg, Leif-Jöran Olsson, Mikael Odhage Föreningen för digitala fri- och rättigheter
-- slut på nya versionen ---
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se mailto:eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se mailto:eleg-projekt-leave@lists.dfri.se
Jag är okej med att mitt namn står med på signaturen!
- Linn
-
Christian Häggström -
Elias Rudberg -
Hampus Rydh -
Linn Dahlgren -
Marcus -
Mikael Odhage -
Name