Sammanfattning av öppet möte nr 22 om att bygga egen e-leg-lösning, 30 sept 2024 - Eleg-projekt

1 Oct 2024


      Sammanfattning av öppet möte nr 22 om att bygga egen e-leg-lösning, 30 
sept 2024:
Tack till alla som var med på mötet!
- Rapport från vårt möte med DIGG om statlig e-legitimation (tyvärr 
uppskjutet)
Vi skulle haft ett möte med Myndigheten för digital förvaltning (DIGG) 
men det blev tyvärr uppskjutet p.g.a. att någon blivit sjuk. 
Förhoppningsvis kommer det mötet fortfarande att kunna bli av, men 
försenat, vi vet inte just nu om och när det kan bli.
Situationen kring den kommande statliga e-legitimationen är något oklar 
nu efter att regeringen nyligen beslutat att ge uppdraget till 
Polismyndigheten istället för DIGG [0]. Alltså uppdraget att verkligen 
skapa den tekniska lösningen som ska användas. Vi vet inte nu, men vill 
gärna veta, om det är så att det som sagts tidigare (att det ska vara 
öppen standard och att möjliggöra id-växling till exempel) fortfarande 
gäller, eller om allt blir annorlunda nu. Flera på mötet uttryckte oro 
över att när polisen ska skapa lösningen är det risk för mer fokus på 
övervakning och mindre respekt för människors rättigheter. Om och när 
ett möte med DIGG blir av ska vi försöka få svar på det.
Tack till er som mejlat förslag om saker att ta upp på mötet med DIGG, 
vi tar med oss era förslag till mötet med DIGG om/när det blir av.
- Implementation av en första version av CA-programvara för utgivaren
Samma status som tidigare: en sak vi gärna vill lägga till är att låta 
utfärdaren (CA) använda hårdvarunyckel, ingen har hunnit lösa den biten 
ännu.
(Koden för CA-programvaran och även nginx-testet nedan finns på 
https://codeberg.org/DFRI-eID/dfri-eid för den som vill titta och/eller 
testa själv men OBS att det bara är utkast/arbetsmaterial i det här 
läget, inget som är färdigt att visa upp. Rapportera gärna om ni hittar 
fel eller problem där.)
- Fortsättning av test med nginx, lägga till revokeringslista - privacy 
kring revokeringslistan?
Vi har ju ett test med nginx [1] där vi även testat att använda 
revokeringslista (CRL) [2] vilket fungerar, en fråga kring det är om det 
från revokeringslistan går att läsa ut vilka personers certifikat som 
har återkallats.
Det verkar som om standardformatet av CRL-fil som vi använt bara 
innehåller serienummer för certifikat och tidpunkt för återkallande, det 
går alltså inte att se vilka personer det gäller, vilket är bra för privacy.
Vi diskuterade lite kring att en fördel med CRL-metoden är att det inte 
ställs någon fråga till något centralt system för varje gång man 
använder sin e-legitimation så det finns inget centralt system som kan 
spåra en på det sättet. En alternativ lösning är ju att inte ha en CRL 
utan att det istället ställs en fråga varje gång, som i OCSP [3]. Om det 
ställs en fråga varje gång finns möjlighet för en central aktör att veta 
varje gång man använder sin e-legitimation, vilket är dåligt för privacy.
CRL-metoden har också en fördel när det gäller robusthet i samhället vid 
krissituationer, eftersom det bara behövs en envägs-kommunikation där 
utfärdaren (CA) på valfritt sätt skickar ut (broadcast) informaitonen om 
nuvarande CRL till alla. Det skulle i princip kunna göras med t.ex. 
radio-broadcast som kan fungera mycket mer robust, alltså det kräver 
inte att var och en har internet-uppkoppling utan det räcker att kunna 
ta emot radiosändningen, sen kan certifikat användas lokalt även om 
internet inte fungerar för tillfället, eller om internet fungerar dåligt.
- OpenPGP-kort, hårdvarunycklar osv.
Som tidigare vill vi gärna kunna göra något motsvarande [4, 5] även för 
andra typer av hårdvarunyckel än Yubikey, andra möjliga varianter är 
OpenPGP-kort eller t.ex. Tillitis TKey eller Nitrokey, en möjlighet är 
också att använda TPM2-chippet i en laptop. Alla som kan är mycket 
välkomna att hjälpa till här, hör av er och berätta hur man gör 
motsvarande [5] för olika typer av hårdvarunycklar!
En fråga kring detta är om utfärdaren kan veta att man använt en 
hårdvarunyckel. Vill vi det? För användarens frihet är det bäst att ha 
full frihet i att välja hur den privata nyckeln hanteras, då kan 
utfärdaren inte veta hur man gjort. Om utfärdaren ska kunna veta det kan 
"attestering" användas, det kan bli aktuellt senare men tyvärr troligen 
till priset av mindre frihet, en viss makt hamnar då hos den eller de 
aktörer som skapar "godkända" hårdvarunycklar, och det kan bli problem 
kring vem som bestämmer vilka lösningar som ska anses godkända.
- Beskrivningar av arbetsflöden för utfärdande, användning, återkallande 
osv.
Det går framåt! Bland annat har bilder lagts till, pågår arbete med att 
snygga till dem. Arbetet fortsätter.
- När blir nästa möte?
Nästa möte blir måndagen 2024-10-21 klockan 18 till 19 (en timme)
Alla är välkomna att vara med på kommande möten. OBS även du som inte
varit med förut är mycket välkommen att vara med!
/ Elias
[0] 
https://www.digg.se/digitala-tjanster/e-legitimering/statlig-e-legitimation
[1] 
https://mailman.dfri.se/mailman3/hyperkitty/list/eleg-projekt@lists.dfri.se/...
[2] https://en.wikipedia.org/wiki/Certificate_revocation_list
[3] https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol
[4] 
https://johanfagerstroem.github.io/2021/https-client-certificates-with-yubik...
[5] 
https://mailman.dfri.se/mailman3/hyperkitty/list/eleg-projekt@lists.dfri.se/...
PS
Läs gärna om projektet här: https://www.dfri.se/projekt/e-legitimation/
PS 2
Alla som är intresserade är välkomna att höra av sig via projektets 
mejllista