Sammanfattning av öppet möte 28 om att bygga egen e-leg-lösning, 3 mars 2025 - Eleg-projekt

12 Mar 2025


      Sammanfattning av öppet möte nr 28 om att bygga egen e-leg-lösning, 3 
mars 2025:
Tack till alla som var med på mötet!
- CA-programvara för utgivaren och test med nginx, status
Inget nytt sedan konstaterandet på möte 27 att testdomänerna behöver tas 
upp igen.
- OpenPGP-kort, hårdvarunycklar osv. Nitrokey? TPM2-chip i laptop? 
Tillitis TKey?
Ett nytt ärende har skapat för Nitrokey av Elias enligt Christians 
instruktion:
https://codeberg.org/DFRI-eID/dfri-eid/issues/6
Andra FIDO2-testsidor:
https://demo.yubico.com/webauthn-technical/registration
https://webauthn.io/
- Sammanställa frågor att skicka till Polismyndigheten om deras arbete 
med statligt e-leg
Andreas på Polismyndigheten svarade kort med "Återkommer" på frågorna 
som samlades ihop på möte 26 och 27.
- Föredrag på SamNet-konferensen 1 april 2025
Leif-Jöran har börjat göra bilder för till presentationen. Tar i första 
läget stöd från Gustav och skickar kanske ut till mejllistan innan nästa 
möte.
Webbsidan för den kommande SamNet-konferensen: https://samnet.se/
- Beskrivningar av arbetsflöden för utfärdande, användning, återkallande 
och så vidare.
Arbetet fortsätter med FAQ-sida, diagram osv. Några av diagrammen 
arbetas på i alternativa former för SamNet-presentationen
för att sen återföras.
- Relation mellan e-legitimation och European Digital Identity Wallet
I linje med diskussionen på möte 27 så konstaterar vi att det är två 
skilda saker.
- FIDO2? Borde vi använda det för vårt proof-of-concept istället för mTLS?
Bakgrund:
Det finns det flera metoder för att implementera FIDO2:
     * U2F (Universal 2nd Factor): ett standardformat för FIDO2 som 
använder en USB-enheter eller chip på ett kort.
     * CTAP2 (Challenge Transport Authentication Protocol version 2): en 
metod för autentisering som använder en krypterad kanal för att 
transponera autentiseringsdata.
     * Passkey: en metod som använder en preautentifierad token eller 
ett kort för att skydda en unik autentiseringssträng.
     * WebAuthn (Web Authentication): en standard för att hantera 
autentisering i webbläsare utan behov av en central punkt.
Men så här uppfattar Christian FIDO2 utifrån sina första försök:
* två bakändor, passkey eller ctap2, virtuella usb-enheter
skickar testförfrågningar serieprokollet, pin-hanteringen, knappsats hit 
och dit vs fönster.
* När det gäller WebAuthn: hur tusan får vi till det i en webbläsare att 
vi kan hantera en inloggning utan att behöva kommunicera till en central 
punkt? Du kan inte fråga enheten om en identitet som inte är kopplad
till din nuvarande hemsida.
* För att kunna använda Webauthn behöver man ha saker som "attestation" 
så att man kan bevisa att "hej, jag kommer härifrån" attestation behöver 
kollas mer på för WebAuthn.
Det finns 3 eller 4 olika "attestation" varav en är "enterprise" som 
troligen är vad vi skulle behöva för att kunna ha public-key-grejor, 
utgivaren har då certifierat hårdvarunyckeln så att det går att kolla 
att den hårdvarunyckeln kommer från en betrodd tillverkare. Då kan man 
till slut kanske uppnå "bring your own device" som vi skulle vilja ha.
* Det som WebAuthn är riktigt bra till är att lätt kunna skapa olika 
identiteter.
* Fråga om frihet att välja hårdvaruenhet själv eller måste välja en 
enhet som är utgiven av en betrodd hårdvarutillverkare.
* Proof-of-concept kommer vara att man får välja 
hårdvarunyckel/mjukvarunyckel själv och ingen ska bry sig om hur man 
valt att implementera den.
Cynthia och Linn berättar mer om deras syn på WebAuthn i slutet av mötet:
För WebAuthn finns väldigt strikta regler för vem som är "relying party" 
när man skapar en identitet.
När du skapat en identitet så får du inte använda den någon annanstans 
på internet än just där du har skapat den!
Om du vill använda en identitet som är skapad på ett ställe på en annan 
hemsida, då måste det skapas en ny identitet, för WebAuthn skapar en ny 
identitet för varje hemsida. Vissa undantag t.ex. webhallen.com och 
webhallen.se kan dela, men bara upp till max 5 stycken.
Om jag skapar en identitet på till exempel swedbank.se så ska inte vem 
som helst kunna be om den identiteten.
Webauthn skapades för att det var problem med lösenord, då skapades 
Webauthn som en lösenords-fri lösning.
För att vi ska kunna göra det vi vill göra så behöver vi ha in en massa 
fler säkerhetsgrejor i det här, till exempel ändra i vad som ingår i en 
challenge-response, den funktionaliteten finns inte i WebAuthn. Så vi 
skulle behöva nya standarder för WebAuthn för att lösa det.
Vi skulle i så fall använda WebAuthn för ett syfte som är ganska olikt 
det som WebAuthn byggdes för.
Om vi har en egen klientprogramvara (eller "app") så kan vi göra väldigt 
mycket mer med de här hårdvarunycklarna, men om vi bara har webbläsare 
så kan vi inte göra så mycket.
Slutsats: WebAuthn kan verka vara ungefär det vi vill ha, men tittar man 
närmare så är det inte riktigt det ändå.
- Tankar på att skapa civilsamhällelig organisation, fråga från Tims mejl
eSam: https://esam.se/
Fråga: "känner lite folk som brukar vara med på dessa 
myndighetshackathon och har fått höra att det finns tankar på att skapa 
någon sorts civilsamhällelig organisation (kanske någon sorts socialt 
företag) som kan bidra till tjänsteutveckling av lösningar som skapas på 
dessa hackathons"
Är det intressant? Finns intresse/behov för att starta någon sorts 
organisation eller inte?
Intresset var svalt eftersom det ligger långt bort från eleg-projektet. 
Ingen trodde direkt på att starta någon organisation, flera var snarare 
kritiska till att börja i den änden. Frågan avfördes efter diskussionen.
- När blir nästa möte?
Nästa möte hålls måndag 2025-03-24 klockan 18 till 19 (en timme)
Alla är välkomna att vara med på kommande möten. OBS även du som inte 
varit med förut är mycket välkommen att vara med!
/ Leif-Jöran
PS
Läs gärna om projektet här: https://www.dfri.se/projekt/e-legitimation/
PS 2
Alla som är intresserade är välkomna att höra av sig via projektets 
mejllista