Hej Jag har funderat lite sedan första träffen över jitsi 15 september. Vägen framåt bör vara via en gemensam problembeskrivning. Om vi jobbar på med lösningar eller förslag men helt olika problembeskrivningar som grund så har jag svårt att se att vi tar det i mål. För mig handlar det om tre saker.
1) Maktlöshet Propertiära lösningar som existerar idag begränsar mig som användare till specifika tekniska plattformar och applikationer. Jag har inte möjlighet att välja varken annan plattform eller applikation.
2) Tillit i olika sammanhang Autentisering mellan två eller flera parter bygger på tillit, oftast till en tredjepart som verifierar en eller alla parters identitet. När jag besöker sjukvården vill inte jag autentisera mig gentemot bankerna, det är helt fel tredjepart att autentisera sig mot i det sammanhanget. I andra sammanhang så som köp av bostad kanske bankerna är bästa tredjepart att autentisera mig och min motpart.
3) Motståndskraft / Återhämntningskraft (Resilience) Jag vill inte ha en framtid där en aktör är ensam om autentisering. Det blir för stor risk i vardagen om den aktören får problem att autentisera. Alla användare måste ha flera alternativ.
Jag har försökt summera mina problembeskrivningar så kortfattat som möjligt ovanför. Jag tänker mig att någon gång innan jul kanske vi kan få ihop en gemensam problembeskrivning för projektet.
Med vänlig hälsning
Tidsplanen kanske är orealistisk nu när några veckor har passerat men jag lyfter fram detta igen. Aktuellt bekymmer från dagen; Region västmanland börjar anlita Kivra för kallelser till diverse mottagningar och Kivra kan man endast använda om man har mobilt bank id.
Den lör 6 nov. 2021 kl 19:23 skrev Christoffer Holmstedt christoffer.holmstedt@gmail.com:
Hej Jag har funderat lite sedan första träffen över jitsi 15 september. Vägen framåt bör vara via en gemensam problembeskrivning. Om vi jobbar på med lösningar eller förslag men helt olika problembeskrivningar som grund så har jag svårt att se att vi tar det i mål. För mig handlar det om tre saker.
- Maktlöshet
Propertiära lösningar som existerar idag begränsar mig som användare till specifika tekniska plattformar och applikationer. Jag har inte möjlighet att välja varken annan plattform eller applikation.
- Tillit i olika sammanhang
Autentisering mellan två eller flera parter bygger på tillit, oftast till en tredjepart som verifierar en eller alla parters identitet. När jag besöker sjukvården vill inte jag autentisera mig gentemot bankerna, det är helt fel tredjepart att autentisera sig mot i det sammanhanget. I andra sammanhang så som köp av bostad kanske bankerna är bästa tredjepart att autentisera mig och min motpart.
- Motståndskraft / Återhämntningskraft (Resilience)
Jag vill inte ha en framtid där en aktör är ensam om autentisering. Det blir för stor risk i vardagen om den aktören får problem att autentisera. Alla användare måste ha flera alternativ.
Jag har försökt summera mina problembeskrivningar så kortfattat som möjligt ovanför. Jag tänker mig att någon gång innan jul kanske vi kan få ihop en gemensam problembeskrivning för projektet.
Med vänlig hälsning
Christoffer Holmstedt
Hej Christoffer!
Tack för att du skriver om det här, ber om ursäkt för att jag inte hunnit svara tidigare. Jag tycker att dina tre punkter är bra.
En sak jag funderat på när det gäller problembeskrivning är om frågan om elektroniska signaturer borde vara med. Det kan ses som en del av vad e-legitimation ska kunna användas till, eller det kan ses som något separat.
Själv tänker jag just nu att e-signaturer hänger så pass nära ihop med e-leg att det är rimligt att ha med det i problembeskrivningen också. Alltså, om jag vill signera någon sorts dokument borde jag kunna göra det med hjälp av min privata nyckel kopplad till min fria och öppna e- legitimation och både myndigheter och andra bör kunna verifiera min signatur. Tekniskt sett borde det inte vara några konstigheter utan det är något som redan finns, som Mikael tagit upp finns ju bland annat GPG som kan användas för digitala signaturer.
Samtidigt har jag fått intrycket att digitala signaturer ibland betraktas som något helt annat än e-legitimation, men jag förstår inte riktigt varför, för mig verkar de sakerna hänga ihop. Jag vill gärna höra vad ni andra tänker om det.
Med vänlig hälsning Elias
On Thu, 2021-11-25 at 15:21 +0100, Christoffer Holmstedt wrote:
Tidsplanen kanske är orealistisk nu när några veckor har passerat men jag lyfter fram detta igen. Aktuellt bekymmer från dagen; Region västmanland börjar anlita Kivra för kallelser till diverse mottagningar och Kivra kan man endast använda om man har mobilt bank id.
Den lör 6 nov. 2021 kl 19:23 skrev Christoffer Holmstedt christoffer.holmstedt@gmail.com:
Hej Jag har funderat lite sedan första träffen över jitsi 15 september. Vägen framåt bör vara via en gemensam problembeskrivning. Om vi jobbar på med lösningar eller förslag men helt olika problembeskrivningar som grund så har jag svårt att se att vi tar det i mål. För mig handlar det om tre saker.
- Maktlöshet
Propertiära lösningar som existerar idag begränsar mig som användare till specifika tekniska plattformar och applikationer. Jag har inte möjlighet att välja varken annan plattform eller applikation.
- Tillit i olika sammanhang
Autentisering mellan två eller flera parter bygger på tillit, oftast till en tredjepart som verifierar en eller alla parters identitet. När jag besöker sjukvården vill inte jag autentisera mig gentemot bankerna, det är helt fel tredjepart att autentisera sig mot i det sammanhanget. I andra sammanhang så som köp av bostad kanske bankerna är bästa tredjepart att autentisera mig och min motpart.
- Motståndskraft / Återhämntningskraft (Resilience)
Jag vill inte ha en framtid där en aktör är ensam om autentisering. Det blir för stor risk i vardagen om den aktören får problem att autentisera. Alla användare måste ha flera alternativ.
Jag har försökt summera mina problembeskrivningar så kortfattat som möjligt ovanför. Jag tänker mig att någon gång innan jul kanske vi kan få ihop en gemensam problembeskrivning för projektet.
Med vänlig hälsning
Christoffer Holmstedt
Listan för diskussion om fri och öppen e-legitimation är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/eleg-projekt/
Hej,
On Thu, Nov 25, 2021 at 3:54 PM Elias Rudberg mail@eliasrudberg.se wrote:
Samtidigt har jag fått intrycket att digitala signaturer ibland betraktas som något helt annat än e-legitimation, men jag förstår inte riktigt varför, för mig verkar de sakerna hänga ihop. Jag vill gärna höra vad ni andra tänker om det.
Jag tänker att de är ju typ samma sak från ett tekniskt perspektiv men att det mer har med hur det används att göra. Du signerar antingen en gärning eller ett intygande att det är du som försöker logga in.
T.ex. man kanske vill ha en tillitsnivå för att kunna logga in på en bank och se hur mycket som finns på kontot och transaktionshistorik, och en annan för att göra en överföring eller ansöka om ett lån. D.v.s. en används som ett ID-kort och en annan används som att skriva på ett avtal, även fast det kanske bara är någon liten bit metadata som ändras.
Jag hoppas att det är tydligt nog, säg gärna till om inte så kan jag försöka förtydliga.
-Cynthia
Tidsplanen tänker jag är att vi får ta det steg för steg och acceptera att vi gör det här på ledig tid.
Jag är enig med dig om de tre punkterna i problembeskrivningen och enig med dig om att vi behöver en gemensam problembeskrivning att utgå ifrån.
/Mikael
Den 2021-11-25 kl. 15:21, skrev Christoffer Holmstedt:
Tidsplanen kanske är orealistisk nu när några veckor har passerat men jag lyfter fram detta igen. Aktuellt bekymmer från dagen; Region västmanland börjar anlita Kivra för kallelser till diverse mottagningar och Kivra kan man endast använda om man har mobilt bank id.
Den lör 6 nov. 2021 kl 19:23 skrev Christoffer Holmstedt christoffer.holmstedt@gmail.com:
Hej Jag har funderat lite sedan första träffen över jitsi 15 september. Vägen framåt bör vara via en gemensam problembeskrivning. Om vi jobbar på med lösningar eller förslag men helt olika problembeskrivningar som grund så har jag svårt att se att vi tar det i mål. För mig handlar det om tre saker.
- Maktlöshet
Propertiära lösningar som existerar idag begränsar mig som användare till specifika tekniska plattformar och applikationer. Jag har inte möjlighet att välja varken annan plattform eller applikation.
- Tillit i olika sammanhang
Autentisering mellan två eller flera parter bygger på tillit, oftast till en tredjepart som verifierar en eller alla parters identitet. När jag besöker sjukvården vill inte jag autentisera mig gentemot bankerna, det är helt fel tredjepart att autentisera sig mot i det sammanhanget. I andra sammanhang så som köp av bostad kanske bankerna är bästa tredjepart att autentisera mig och min motpart.
- Motståndskraft / Återhämntningskraft (Resilience)
Jag vill inte ha en framtid där en aktör är ensam om autentisering. Det blir för stor risk i vardagen om den aktören får problem att autentisera. Alla användare måste ha flera alternativ.
Jag har försökt summera mina problembeskrivningar så kortfattat som möjligt ovanför. Jag tänker mig att någon gång innan jul kanske vi kan få ihop en gemensam problembeskrivning för projektet.
Med vänlig hälsning
Christoffer Holmstedt
Den tors 25 nov. 2021 kl 15:52 skrev Elias Rudberg mail@eliasrudberg.se:
Hej Christoffer!
Tack för att du skriver om det här, ber om ursäkt för att jag inte hunnit svara tidigare. Jag tycker att dina tre punkter är bra.
En sak jag funderat på när det gäller problembeskrivning är om frågan om elektroniska signaturer borde vara med. Det kan ses som en del av vad e-legitimation ska kunna användas till, eller det kan ses som något separat.
Själv tänker jag just nu att e-signaturer hänger så pass nära ihop med e-leg att det är rimligt att ha med det i problembeskrivningen också. Alltså, om jag vill signera någon sorts dokument borde jag kunna göra det med hjälp av min privata nyckel kopplad till min fria och öppna e- legitimation och både myndigheter och andra bör kunna verifiera min signatur. Tekniskt sett borde det inte vara några konstigheter utan det är något som redan finns, som Mikael tagit upp finns ju bland annat GPG som kan användas för digitala signaturer.
Samtidigt har jag fått intrycket att digitala signaturer ibland betraktas som något helt annat än e-legitimation, men jag förstår inte riktigt varför, för mig verkar de sakerna hänga ihop. Jag vill gärna höra vad ni andra tänker om det.
Med vänlig hälsning Elias
Ja, det är bra att ha med. Jag har varit med i några diskussioner om det skillnaden mellan autentisering och signering. Jag kommer inte ihåg detaljerna men som Cynthia säger så är det rent tekniskt väldigt lika. Sedan kan man fundera väldigt länga på vad en signatur egentligen är. När kortköp bekräftas med mobild bank-id signatur eller när jag "signerar" en blankett från försäkringskassan med mobilt bankid är det aldrig själva innehåller som blir signerat utan bara texten "Jag bekräftar härmed att jag sanningsenligt fyllt i korrekta uppgifter...osv".
Hade samma förfarande gällt i pappersformat så hade man haft avtal på ett papper och sedan signerat ett annat papper vid sidan av. Det är säkert någon metadata koppling där emellan men det får en att tänka till, varför får jag inte signera exakt det som ska signeras?
Den lör 27 nov. 2021 kl 14:18 skrev Mikael Odhage mikael.odhage@fripost.org:
Tidsplanen tänker jag är att vi får ta det steg för steg och acceptera att vi gör det här på ledig tid.
Jag är enig med dig om de tre punkterna i problembeskrivningen och enig med dig om att vi behöver en gemensam problembeskrivning att utgå ifrån.
/Mikael
Det håller jag med om. Vi tar det så som det kommer.
Med vänlig hälsning
Hej,
Jag tror inte de här detaljerna är speciellt viktiga men för mig så står det belopp och mottagare när jag signerar en 3D Secure kortbetalning med min bank.
-Cynthia
On Thu, Dec 2, 2021 at 9:48 PM Christoffer Holmstedt christoffer.holmstedt@gmail.com wrote:
Den tors 25 nov. 2021 kl 15:52 skrev Elias Rudberg mail@eliasrudberg.se:
Hej Christoffer!
Tack för att du skriver om det här, ber om ursäkt för att jag inte hunnit svara tidigare. Jag tycker att dina tre punkter är bra.
En sak jag funderat på när det gäller problembeskrivning är om frågan om elektroniska signaturer borde vara med. Det kan ses som en del av vad e-legitimation ska kunna användas till, eller det kan ses som något separat.
Själv tänker jag just nu att e-signaturer hänger så pass nära ihop med e-leg att det är rimligt att ha med det i problembeskrivningen också. Alltså, om jag vill signera någon sorts dokument borde jag kunna göra det med hjälp av min privata nyckel kopplad till min fria och öppna e- legitimation och både myndigheter och andra bör kunna verifiera min signatur. Tekniskt sett borde det inte vara några konstigheter utan det är något som redan finns, som Mikael tagit upp finns ju bland annat GPG som kan användas för digitala signaturer.
Samtidigt har jag fått intrycket att digitala signaturer ibland betraktas som något helt annat än e-legitimation, men jag förstår inte riktigt varför, för mig verkar de sakerna hänga ihop. Jag vill gärna höra vad ni andra tänker om det.
Med vänlig hälsning Elias
Ja, det är bra att ha med. Jag har varit med i några diskussioner om det skillnaden mellan autentisering och signering. Jag kommer inte ihåg detaljerna men som Cynthia säger så är det rent tekniskt väldigt lika. Sedan kan man fundera väldigt länga på vad en signatur egentligen är. När kortköp bekräftas med mobild bank-id signatur eller när jag "signerar" en blankett från försäkringskassan med mobilt bankid är det aldrig själva innehåller som blir signerat utan bara texten "Jag bekräftar härmed att jag sanningsenligt fyllt i korrekta uppgifter...osv".
Hade samma förfarande gällt i pappersformat så hade man haft avtal på ett papper och sedan signerat ett annat papper vid sidan av. Det är säkert någon metadata koppling där emellan men det får en att tänka till, varför får jag inte signera exakt det som ska signeras?
Den lör 27 nov. 2021 kl 14:18 skrev Mikael Odhage mikael.odhage@fripost.org:
Tidsplanen tänker jag är att vi får ta det steg för steg och acceptera att vi gör det här på ledig tid.
Jag är enig med dig om de tre punkterna i problembeskrivningen och enig med dig om att vi behöver en gemensam problembeskrivning att utgå ifrån.
/Mikael
Det håller jag med om. Vi tar det så som det kommer.
Med vänlig hälsning
Christoffer Holmstedt Listan för diskussion om fri och öppen e-legitimation är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/eleg-projekt/
Listan för diskussion om fri och öppen e-legitimation är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/eleg-projekt/
Den fre 3 dec. 2021 kl 01:39 skrev Cynthia Revström me@cynthia.re:
Hej,
Jag tror inte de här detaljerna är speciellt viktiga men för mig så står det belopp och mottagare när jag signerar en 3D Secure kortbetalning med min bank.
-Cynthia
Ja, det har du rätt i, fel av mig att ta med kortköpen som exempel, innehållet syns faktiskt för användaren. Dock oklart vad som exakt signeras och vad det innebär tekniskt. Rent generellt tycker jag detaljerna i signering är det viktiga, vad består en digital signering av? Jag har sett PDFer med digitala signaturer inkluderade i metadata, inkl. fullständiga personnummer. Det är långt ifrån alla som förstår att de skickar runt personnummer när det vidarebefodrar ett avtal i form av en PDF via epost. När jag signerar något på papper så ser jag att det är min namnteckning på sista sidan och enklare signatur på övriga sidor, jag vet själv exakt vilka papper jag har skrivit på.
Med vänlig hälsning
Ja, det där med signering är lurigt. Att visa vem man är är en sak, att signera nånting innebär att man går i god för nåt. Det borde man kanske bygga in en lite högre tröskel för.
En lite filosofisk tanke kring det där med att signera. När man sätter sin signatur på nånting så förändrar man det. Egentligen är det det osignerade man vill gå i god för med sin signatur. Konstnärer har alltid fått förhålla sig till det när de ska signera sina verk. En del väljer ibland att sätta signaturen på baksidan.
Kopplingen mellan signaturen och det dokument jag vill signera har väl en liknande teknisk problematik som den med licensiering. Hur gör dom på Creative Commons?
På mitt jobb har arbetsgivaren köpt in Visma för digital signering. Visma använder sig av Bank-id. Signeringarna kan bli flera sidor extra i dokumentet om man är några stycken som signerar.
/Mikael
Den 2021-12-03 kl. 07:37, skrev Christoffer Holmstedt:
Den fre 3 dec. 2021 kl 01:39 skrev Cynthia Revström me@cynthia.re:
Hej,
Jag tror inte de här detaljerna är speciellt viktiga men för mig så står det belopp och mottagare när jag signerar en 3D Secure kortbetalning med min bank.
-Cynthia
Ja, det har du rätt i, fel av mig att ta med kortköpen som exempel, innehållet syns faktiskt för användaren. Dock oklart vad som exakt signeras och vad det innebär tekniskt. Rent generellt tycker jag detaljerna i signering är det viktiga, vad består en digital signering av? Jag har sett PDFer med digitala signaturer inkluderade i metadata, inkl. fullständiga personnummer. Det är långt ifrån alla som förstår att de skickar runt personnummer när det vidarebefodrar ett avtal i form av en PDF via epost. När jag signerar något på papper så ser jag att det är min namnteckning på sista sidan och enklare signatur på övriga sidor, jag vet själv exakt vilka papper jag har skrivit på.
Med vänlig hälsning
2021-11-06 19:23 skrev Christoffer Holmstedt:
[...]
Alla användare måste ha flera alternativ.
[...]
Man ska inte klippa ut textsnuttar ur sitt sammanhang, men för egen del känns det här mest som en klassisk fråga om standarder.
Det jag skulle kunna bidra med är ett personligt use case, tex genom att köpa en Libremtelefon om jag visste att den åtminstone gick att ringa och SMSa med. Och det var vettigt ur projektets synvinkel förståss.
Vet inte hur det gick till när Freja eID fick vara med, men redan nu nu finns det iallafall två alternativ.
Dom skriver på hemsidan att "Freja eID is the first mobile e-ID in Sweden that got the 'Svensk e-legitimation' quality mark - issued by the Swedish government's Agency for Digital Government DIGG.".
Är det kanske någon från DIGG här på listan? Vilka egenskaper krävs för att få kalla sig 'Svensk e-legitimation'?
Alltså, vad måste göras innan man kan apt get 'Svensk e-legitimation'?
mvh
//Erik Listan för diskussion om fri och öppen e-legitimation är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/eleg-projekt/
2021-12-13 04:38 skrev ehj@fripost.org:
Alltså, vad måste göras innan man kan apt get 'Svensk e-legitimation'?
Pressrelease från 8 december. Nån som vet konkret vad kommissionen menar med "eSignature"?
"An example of the benefits of open sourcing is eSignature, a set of free standards, tools and services that help public administrations and businesses accelerate the creation and verification of electronic signatures that are legally valid in all EU Member States."
https://ec.europa.eu/commission/presscorner/detail/en/ip_21_6649
mvh
//Erik Listan för diskussion om fri och öppen e-legitimation är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/eleg-projekt/
Jag skulle tro att de menar eIDAS eSignature: https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/eSignature
-Cynthia
On Mon, Dec 13, 2021 at 4:52 AM ehj@fripost.org wrote:
2021-12-13 04:38 skrev ehj@fripost.org:
Alltså, vad måste göras innan man kan apt get 'Svensk e-legitimation'?
Pressrelease från 8 december. Nån som vet konkret vad kommissionen menar med "eSignature"?
"An example of the benefits of open sourcing is eSignature, a set of free standards, tools and services that help public administrations and businesses accelerate the creation and verification of electronic signatures that are legally valid in all EU Member States."
https://ec.europa.eu/commission/presscorner/detail/en/ip_21_6649
mvh
//Erik Listan för diskussion om fri och öppen e-legitimation är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/eleg-projekt/
Listan för diskussion om fri och öppen e-legitimation är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/eleg-projekt/
2021-12-13 08:40 skrev Cynthia Revström:
Jag skulle tro att de menar eIDAS eSignature: https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/eSignature
Förlåt, jag har fått mejl off-list som visar att jag varit otydlig. Vet inte riktigt var jag ska svara, hoppas det är OK här.
Utan att det riktigt var meningen uppstod en fråga om vad apt get freedom egentligen är. Förr i tiden hade vi T-shirts med texten "Free Software Free Society" och "No Software Patents". Alla visste vad ordet Software betydde i det sammanhanget. Det betydde debian.
Nu säger mobian att man nästan är som debian.
"You could think of Mobian as a Debian Pure Blend, and indeed we aim at becoming one at some point in time."
https://blog.mobian-project.org/posts/2021/02/18/what_is_mobian/
Så frågan är om "nästan som debian" är tillräckligt för mig?
Det beror på vad "we aim at becoming one" innehåller för konkreta, tekniska, steg. Vad exakt skall programmeras när? Användarfrågorna måste också konkretiseras. Pratar vi om tagelskjortan i tre år så kanske jag kan hjälpa till. Fem år? Nej, det orkar jag inte. Convenience or death, fast tvärt om då.
Användarfrågorna först: Är det någon här som kör mobian på sin Pinephone? Går det att ringa och SMSa med den?
Om det gör det köper jag den gärna så jag får prova om jag också klarar av det.
mvh
//Erik Listan för diskussion om fri och öppen e-legitimation är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/eleg-projekt/
Hej Erik!
Det här är ett svar på något du frågade i tråden "Hur kommer vi fram till gemensam problembeskrivning" tidigare. Försöker återknyta till frågan om fri e-legitimation i slutet.
Förlåt, jag har fått mejl off-list som visar att jag varit otydlig. Vet inte riktigt var jag ska svara, hoppas det är OK här.
Utan att det riktigt var meningen uppstod en fråga om vad apt get freedom egentligen är. Förr i tiden hade vi T-shirts med texten "Free Software Free Society" och "No Software Patents". Alla visste vad ordet Software betydde i det sammanhanget. Det betydde debian.
Nu säger mobian att man nästan är som debian.
[...]
Användarfrågorna först: Är det någon här som kör mobian på sin Pinephone? Går det att ringa och SMSa med den?
Jag har en PinePhone med Mobian och ja, det fungerar att ringa och SMSa med den. Jag har också en Librem 5 som är den jag använder som min vanliga telefon så att säga, PinePhone har jag bara testat lite grann. Båda fungerar i alla fall.
Om det gör det köper jag den gärna så jag får prova om jag också klarar av det.
Gör det! Var beredd på att det nog fortfarande dyker upp en och annan bug, det är "not for the faint of heart" som det brukar heta på engelska.
För att komma tillbaka till frågan om e-legitimation så är det intressanta inte om alternativ som PinePhone eller Librem 5 är bra eller populära, utan det viktiga är att var och en ska vara fri att använda den dator/telefon som man själv vill. Det ska inte vara så att alla människor måste använda prylar som kontrolleras av Apple/Google/Microsoft. Där är PinePhone och Librem 5 intressanta för att de utgör verkliga exempel på alternativ. Dessa fria alternativ finns och fungerar, utom just när det gäller e-legitimation.
Jag tror att de flesta (även folk som själva är jättenöjda med mobilt BankID i sina Googl/Apple-telefoner och inte alls vill ändra något för egen del) skulle hålla med om att det ska kunna finnas alternativ, att det ska vara möjligt att välja något annat.
/ Elias
--- Listan för diskussion om fri och öppen e-legitimation är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/eleg-projekt/
Hej Elias!
Håller på att bekanta mig med en Fairphone 2. Mina Galaxy III med en död gren av LineageOS var för trasiga, kunde inte vänta längre på jesustelefonen. Jag kan tyvärr inte köpa din just nu.
Som jag tänker är infrastruktur ett annat ord för "det ska vara möjligt att välja något annat". Finns många olika sätt att uttrycka saken.
Antag att projektet mobian är en så kallad Debian Pure Blend som kommer att lyckas. Vad exakt behöver man i så fall göra/koda för att få e-legitimation att fungera?
Vad skulle då hindra apt get install Freja?
Är hela Freja helt proprietär?
mvh
//Erik
2022-02-26 12:33 skrev Elias Rudberg:
Hej Erik!
Det här är ett svar på något du frågade i tråden "Hur kommer vi fram till gemensam problembeskrivning" tidigare. Försöker återknyta till frågan om fri e-legitimation i slutet.
Förlåt, jag har fått mejl off-list som visar att jag varit otydlig. Vet inte riktigt var jag ska svara, hoppas det är OK här.
Utan att det riktigt var meningen uppstod en fråga om vad apt get freedom egentligen är. Förr i tiden hade vi T-shirts med texten "Free Software Free Society" och "No Software Patents". Alla visste vad ordet Software betydde i det sammanhanget. Det betydde debian.
Nu säger mobian att man nästan är som debian.
[...]
Användarfrågorna först: Är det någon här som kör mobian på sin Pinephone? Går det att ringa och SMSa med den?
Jag har en PinePhone med Mobian och ja, det fungerar att ringa och SMSa med den. Jag har också en Librem 5 som är den jag använder som min vanliga telefon så att säga, PinePhone har jag bara testat lite grann. Båda fungerar i alla fall.
Om det gör det köper jag den gärna så jag får prova om jag också klarar av det.
Gör det! Var beredd på att det nog fortfarande dyker upp en och annan bug, det är "not for the faint of heart" som det brukar heta på engelska.
För att komma tillbaka till frågan om e-legitimation så är det intressanta inte om alternativ som PinePhone eller Librem 5 är bra eller populära, utan det viktiga är att var och en ska vara fri att använda den dator/telefon som man själv vill. Det ska inte vara så att alla människor måste använda prylar som kontrolleras av Apple/Google/Microsoft. Där är PinePhone och Librem 5 intressanta för att de utgör verkliga exempel på alternativ. Dessa fria alternativ finns och fungerar, utom just när det gäller e-legitimation.
Jag tror att de flesta (även folk som själva är jättenöjda med mobilt BankID i sina Googl/Apple-telefoner och inte alls vill ändra något för egen del) skulle hålla med om att det ska kunna finnas alternativ, att det ska vara möjligt att välja något annat.
/ Elias
Listan för diskussion om fri och öppen e-legitimation är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/eleg-projekt/
Listan för diskussion om fri och öppen e-legitimation är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/eleg-projekt/
Här finns ramverket för granskning inför utdelning av kvalitetsmärket "svensk e-legitimation": https://www.digg.se/digital-identitet/e-legitimering/tillitsnivaer/tillitsra....
Vad gäller att köpa en telefon för tester så kan jag bekräfta att det går att ringa/smsa med Pinephone [1], som är betydligt billigare än en librem.
-- Mvh, Mattias Rubenson Partisekreterare, Piratpartiet
2021-12-13 04:38 skrev ehj@fripost.org:
2021-11-06 19:23 skrev Christoffer Holmstedt:
[...]
Alla användare måste ha flera alternativ.
[...]
Man ska inte klippa ut textsnuttar ur sitt sammanhang, men för egen del känns det här mest som en klassisk fråga om standarder.
Det jag skulle kunna bidra med är ett personligt use case, tex genom att köpa en Libremtelefon om jag visste att den åtminstone gick att ringa och SMSa med. Och det var vettigt ur projektets synvinkel förståss.
Vet inte hur det gick till när Freja eID fick vara med, men redan nu nu finns det iallafall två alternativ.
Dom skriver på hemsidan att "Freja eID is the first mobile e-ID in Sweden that got the 'Svensk e-legitimation' quality mark - issued by the Swedish government's Agency for Digital Government DIGG.".
Är det kanske någon från DIGG här på listan? Vilka egenskaper krävs för att få kalla sig 'Svensk e-legitimation'?
Alltså, vad måste göras innan man kan apt get 'Svensk e-legitimation'?
mvh
//Erik Listan för diskussion om fri och öppen e-legitimation är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/eleg-projekt/
Links: ------ [1] https://www.pine64.org/pinephone/
Jo, ja, jovisst, men jag tror att alla egentligen vill köra debian.
Var det inte apt get freedom man ville ha?
Ska man dra igång ett stort projekt måste man vara tydlig.
mvh
//Erik
2021-12-13 08:49 skrev Mattias Rubenson:
Här finns ramverket för granskning inför utdelning av kvalitetsmärket "svensk e-legitimation": https://www.digg.se/digital-identitet/e-legitimering/tillitsnivaer/tillitsra....
Vad gäller att köpa en telefon för tester så kan jag bekräfta att det går att ringa/smsa med Pinephone [1], som är betydligt billigare än en librem.
-- Mvh, Mattias Rubenson Partisekreterare, Piratpartiet
2021-12-13 04:38 skrev ehj@fripost.org: 2021-11-06 19:23 skrev Christoffer Holmstedt:
[...] Alla användare måste ha flera alternativ. [...]
Man ska inte klippa ut textsnuttar ur sitt sammanhang, men för egen del känns det här mest som en klassisk fråga om standarder.
Det jag skulle kunna bidra med är ett personligt use case, tex genom att köpa en Libremtelefon om jag visste att den åtminstone gick att ringa och SMSa med. Och det var vettigt ur projektets synvinkel förståss.
Vet inte hur det gick till när Freja eID fick vara med, men redan nu nu finns det iallafall två alternativ.
Dom skriver på hemsidan att "Freja eID is the first mobile e-ID in Sweden that got the 'Svensk e-legitimation' quality mark - issued by the Swedish government's Agency for Digital Government DIGG.".
Är det kanske någon från DIGG här på listan? Vilka egenskaper krävs för att få kalla sig 'Svensk e-legitimation'?
Alltså, vad måste göras innan man kan apt get 'Svensk e-legitimation'?
mvh
//Erik Listan för diskussion om fri och öppen e-legitimation är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/eleg-projekt/
Links: ------ [1] https://www.pine64.org/pinephone/
Jag ligger lite efter...
Christoffers tre punkter (Maktlöshet, Tillit i olika sammanhang, Resilience) är bra men också väldigt ambitiösa.
Ska vi inte försöka med samla krav för någon slags minimum viable product till att börja med? Projektet kan sedan forsätta mot mer ambitiösa mål när det är uppnått.
Till exempel tycker jag det vore önskvärt att sikta på krav som:
- Kunna identifiera sig mot myndigheter med webläsare på dator oavsett operativsystem,
- Kunna identifiera sig mot myndigheter från mobil oavsett operativsystem.
Här är alltså huvudkravet att identifieringen inte är knuten till något särskilt program/app som måste finnas för plattformen.
Jag föreslår att vi tittar på existerande standarder som stöds av flera webläsare, typiskt något FIDO-aktigt med Yubikey eller liknande, och lägger mest krut på att fundera ut scenarion för hur de skulle utfärdas och användas efter att ha lusläst redan existerande myndighetskrav.
Sen får väl allt ihop federeras ihop i backend mellan utgivare med SAML (brr...) som Sweden Connect verkar vilja ha. Men det hoppas jag att vi inte ska behöva ha så mycket att göra med. Det får utgivaren bekymra sig om.
Utifrån våra krav kan sedan en utgivare börja låta folk registrera Yubikeys (eller motsvarande som uppfyller samma standard), kanske på samma ställen som Freja, alltså ATG-ombud eller liknande.
Hej,
On Fri, Dec 17, 2021 at 8:57 PM Michael Cardell Widerkrantz mc@hack.org wrote:
Jag ligger lite efter...
Christoffers tre punkter (Maktlöshet, Tillit i olika sammanhang, Resilience) är bra men också väldigt ambitiösa.
Ska vi inte försöka med samla krav för någon slags minimum viable product till att börja med? Projektet kan sedan forsätta mot mer ambitiösa mål när det är uppnått.
Jag tror att det nog är fel väg att gå, för då kanske vi låser in oss i någon lösning som var väldigt begränsad.
Dessutom tror jag inte att det tekniska implementationen är den svåraste biten.
Till exempel tycker jag det vore önskvärt att sikta på krav som:
Kunna identifiera sig mot myndigheter med webläsare på dator oavsett operativsystem,
Kunna identifiera sig mot myndigheter från mobil oavsett operativsystem.
Här är alltså huvudkravet att identifieringen inte är knuten till något särskilt program/app som måste finnas för plattformen.
Jag tycker att huvudkravet är att det är en öppen standard med en öppen referensimplementation.
Jag föreslår att vi tittar på existerande standarder som stöds av flera webläsare, typiskt något FIDO-aktigt med Yubikey eller liknande, och lägger mest krut på att fundera ut scenarion för hur de skulle utfärdas och användas efter att ha lusläst redan existerande myndighetskrav.
Jag tror inte Yubikeys (utan något annat) uppfyller säkerhetskraven med tanke på att det är bara en fysisk sak, inget annat. Yubikey Bio kanske skulle funka, vet ej. Återigen så tror jag inte riktigt att hur just den biten funkar är den svåraste.
Sen får väl allt ihop federeras ihop i backend mellan utgivare med SAML (brr...) som Sweden Connect verkar vilja ha. Men det hoppas jag att vi inte ska behöva ha så mycket att göra med. Det får utgivaren bekymra sig om.
Vem skulle "utgivaren" vara i det här fallet?
Jag tror det svåraste med det här är "hur får vi det att funka juridiskt och hur får vi de relevanta myndigheterna att acceptera detta?"
Det behövs ju en utgivare så klart, men jag vet inte om vi kan satsa på att något kommersiellt företag vill satsa på det om det är en helt öppen standard de inte sannolikt kan tjäna pengar på.
Jag tror att detta är något som bara realistiskt kan funka om utgivaren är en myndighet eller om staten finansierar en förening eller stiftelse som kan vara utgivare.
-Cynthia Listan för diskussion om fri och öppen e-legitimation är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/eleg-projekt/
Cynthia Revström me@cynthia.re, 2021-12-18 05:48 (+0100):
Jag tror att det nog är fel väg att gå, för då kanske vi låser in oss i någon lösning som var väldigt begränsad.
Jag förstår farhågan. Jag tror personligen inte att det är ett så stort problem att föreslå en lösning först och en annan lösning senare.
Jag tycker att huvudkravet är att det är en öppen standard med en öppen referensimplementation.
Medhåll! Den tror jag att jag tog för givet.
Jag föreslår att vi tittar på existerande standarder som stöds av flera webläsare, typiskt något FIDO-aktigt med Yubikey eller liknande, och lägger mest krut på att fundera ut scenarion för hur de skulle utfärdas och användas efter att ha lusläst redan existerande myndighetskrav.
Jag tror inte Yubikeys (utan något annat) uppfyller säkerhetskraven med tanke på att det är bara en fysisk sak, inget annat.
Vems säkerhetskrav? Jämför med Mobilt BankID eller Freja eID som "bara är en app" + PIN.
FIDO2/smart card (+ PIN, antagligen?) duger nog för rätt många hotbilder.
Jag blir rätt nöjd om jag kan använda Firefox och en Yubikey under Linux för att identifiera mig mot 1177.
Återigen så tror jag inte riktigt att hur just den biten funkar är den svåraste.
Det tror inte jag heller. Det svåraste är allt runt omkring.
Sen får väl allt ihop federeras ihop i backend mellan utgivare med SAML (brr...) som Sweden Connect verkar vilja ha. Men det hoppas jag att vi inte ska behöva ha så mycket att göra med. Det får utgivaren bekymra sig om.
Vem skulle "utgivaren" vara i det här fallet?
Polisen? Skatteverket? Bankerna?
Jag tror det svåraste med det här är "hur får vi det att funka juridiskt och hur får vi de relevanta myndigheterna att acceptera detta?"
Instämmer. Jag tror det därför är enklare att utgå från något minimalt snarare än att försöka lösa alla problem.
Jag tror att detta är något som bara realistiskt kan funka om utgivaren är en myndighet eller om staten finansierar en förening eller stiftelse som kan vara utgivare.
Instämmer också. Jag tycker därför vi bör fundera ut scenarion och uppvakta myndigheter och liknande med förslag på användning.
Jag har följt detta med stort intresse. Ändå är det en stor puckel som gnager för mig och det är konkurrensen med efreja och bankid. Att få bägge ändar (användare och organisationer) att lägga in det och ta det till sig. E-freja är nog största utmaningen. BankID börjar bli något föråldrad. Användare och organisationer måste få ett mervärde för att förmås lägga in ännu en app eller program i sina system. Annars riskerar projektet att självdö.
Jag har några egna förslag som skulle avhjälpa något: - gratis för bägge ändar - riktigt enkelt att implementera - identifiering mellan privatpersoner - skicka dokument som bara kan öppnas av rätt personer (med detta) - Någon oberoende part helst på myndighetsnivå behöver granska och godkänna systemet offentligt
Jag förstår att önskelistor av den här typen är väl tidigt och kan vänta men de är ack så viktiga. Hur det skall säljas in är också en viktig fråga. Att växa organiskt tar lång tid. Det behövs lite bränsle för att pusha ut ”produkten”. Det finns kanske någon reklamfirma eller något bolag som är open source-vänner?
Sedan behövs ett projektnamn. Vad sägs om ”Open E-ID”?
Sist är ju Signal ett förträffligt system. Om projektet blir oöverstigligt eller allt går alltför långsamt skulle då detta elegsystem kunna ingå på något sätt i Signal som redan har ett högt förtroende utöver ett fristående system?
Mycket frågor och lite svar men jag skulle så gärna vilja se detta i drift. /Niclas
Jag tror att det är fel att integrera med någon annan app på det sättet, då får man bara ett större "attack surface".
(Bortsett från de specifika problemen signal har som t.ex. väldigt svårt att byta telefonnummer)
-Cynthia
On Sat, Dec 18, 2021, 19:31 Niclas Jacobsson jacobsson@tutanota.com wrote:
Jag har följt detta med stort intresse. Ändå är det en stor puckel som gnager för mig och det är konkurrensen med efreja och bankid. Att få bägge ändar (användare och organisationer) att lägga in det och ta det till sig. E-freja är nog största utmaningen. BankID börjar bli något föråldrad. Användare och organisationer måste få ett mervärde för att förmås lägga in ännu en app eller program i sina system. Annars riskerar projektet att självdö.
Jag har några egna förslag som skulle avhjälpa något:
- gratis för bägge ändar
- riktigt enkelt att implementera
- identifiering mellan privatpersoner
- skicka dokument som bara kan öppnas av rätt personer (med detta)
- Någon oberoende part helst på myndighetsnivå behöver granska och
godkänna systemet offentligt
Jag förstår att önskelistor av den här typen är väl tidigt och kan vänta men de är ack så viktiga. Hur det skall säljas in är också en viktig fråga. Att växa organiskt tar lång tid. Det behövs lite bränsle för att pusha ut ”produkten”. Det finns kanske någon reklamfirma eller något bolag som är open source-vänner?
Sedan behövs ett projektnamn. Vad sägs om ”Open E-ID”?
Sist är ju Signal ett förträffligt system. Om projektet blir oöverstigligt eller allt går alltför långsamt skulle då detta elegsystem kunna ingå på något sätt i Signal som redan har ett högt förtroende utöver ett fristående system?
Mycket frågor och lite svar men jag skulle så gärna vilja se detta i drift. /Niclas -- Skickad med Tutanota, den säkra reklamfria e-posttjänsten.
17 dec. 2021 20:55 av mc@hack.org:
Jag ligger lite efter...
Christoffers tre punkter (Maktlöshet, Tillit i olika sammanhang, Resilience) är bra men också väldigt ambitiösa.
Ska vi inte försöka med samla krav för någon slags minimum viable product till att börja med? Projektet kan sedan forsätta mot mer ambitiösa mål när det är uppnått.
Till exempel tycker jag det vore önskvärt att sikta på krav som:
- Kunna identifiera sig mot myndigheter med webläsare på dator oavsett
operativsystem,
- Kunna identifiera sig mot myndigheter från mobil oavsett
operativsystem.
Här är alltså huvudkravet att identifieringen inte är knuten till något särskilt program/app som måste finnas för plattformen.
Jag föreslår att vi tittar på existerande standarder som stöds av flera webläsare, typiskt något FIDO-aktigt med Yubikey eller liknande, och lägger mest krut på att fundera ut scenarion för hur de skulle utfärdas och användas efter att ha lusläst redan existerande myndighetskrav.
Sen får väl allt ihop federeras ihop i backend mellan utgivare med SAML (brr...) som Sweden Connect verkar vilja ha. Men det hoppas jag att vi inte ska behöva ha så mycket att göra med. Det får utgivaren bekymra sig om.
Utifrån våra krav kan sedan en utgivare börja låta folk registrera Yubikeys (eller motsvarande som uppfyller samma standard), kanske på samma ställen som Freja, alltså ATG-ombud eller liknande.
-- MC, https://hack.org/mc/ Listan för diskussion om fri och öppen e-legitimation är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/eleg-projekt/
Listan för diskussion om fri och öppen e-legitimation är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/eleg-projekt/
Det är ju sant förstås. Det är nog bäst att släppa det spåret. Finns ju nya problem som tillkommer med integrering i annat. /Niclas
Den fre 17 dec. 2021 kl 20:57 skrev Michael Cardell Widerkrantz mc@hack.org:
Jag ligger lite efter...
Christoffers tre punkter (Maktlöshet, Tillit i olika sammanhang, Resilience) är bra men också väldigt ambitiösa.
Ska vi inte försöka med samla krav för någon slags minimum viable product till att börja med? Projektet kan sedan forsätta mot mer ambitiösa mål när det är uppnått.
Anledningen till att jag frågade om problembeskrivning är för att det är svårt att kravställa när vi inte vet vad vi är ute efter, vilket/vilka problem är det vi vill lösa? Är det en teknisk lösning som behövs eller någoting annat?
Nästa steg tror jag är att fråga runt inom andra organisationer och börja nätverka med de som redan har jobbat med dessa frågor under månader och år. Hur ser dessa personer och organisationer på situationen vi har i Sverige nu?
Med vänlig hälsning
-
Christoffer Holmstedt -
Cynthia Revström -
ehj@fripost.org -
Elias Rudberg -
Mattias Rubenson -
Michael Cardell Widerkrantz -
Mikael Odhage -
Niclas Jacobsson -
Niclas Jacobsson