Sammanfattning av öppet möte nr 5 om att bygga egen e-leg-lösning, 24 aug 2023 - Eleg-projekt

25 Aug 2023


      Sammanfattning av öppet möte nr 5 om att bygga egen e-leg-lösning, 24
aug 2023
- Plan: vi gör en proof-of-concept med mutual TLS (mTLS)
Vi pratade lite om det och kom fram till att planen ligger fast, vi
fortsätter med det som vi hade tänkt.
Kort om hur det är tänkt:
- Användaren skapar själv ett nyckelpar, privat och publik nyckel.
- Användaren skapar sen en "certificate signing request" (CSR) där
användarens publika nyckel ingår, signerad med hjälp av användarens
privata nyckel.
- Användaren ger/skickar sin CSR till utgivaren (CA)
- CA tar användarens publika nyckel och bakar in den i en ny cert-fil
som CA signerar med sin privata nyckel. Den nya cert-filen är själva e-
legitimationen som ges till användaren och som användaren sedan kan
visa upp för förlitande part där användaren vill logga in.
- CA ger certifikatet (e-legitimationen) till användaren.
- Nu kan användaren bevisa sin identitet för en förlitande part med
hjälp av mTLS.
- Implementation av en första version av CA-programvara för utgivaren
Det har påbörjats och verkar lovande, inga hinder har dykt upp. Vi
pratade om hur informationen om personnummer eller motsvarande kan
lagras i samband med CSR och utfärdade certifikat, utifrån vilka
möjligheter som finns i X.509-standarden. Det går att göra på olika
sätt, vi väljer något enkelt till att börja med.
- Beskriva konkret hur användare kommunicerar med utgivaren
Vi pratade om vad användaren konkret behöver göra för att kunna få sin
e-legitimation. Det första är att skapa ett nyckelpar, vilket i en
första proof-of-concept kan göras med några openssl-kommandon. Sedan
kan användaren skapa CSR som ges till utgivaren. Viktigt är att
användarens privata nyckel skapas av användaren själv med fri
programvara och aldrig hanteras av någon annan, inte heller av
utgivaren.
- Fördelar jämfört med stängda lösningar
Vi diskuterade en del kring detta, bland annat att en öppen lösning ger
möjligheten att verifiera saker enligt tankarna bakom "web of trust".
Till exempel kan en användare publicera sin publika nyckel på andra
sätt, liknande hur man kan skicka PGP-nycklar till en keyserver. Det
här kan ge individen ett skydd mot manipulation från utgivarens sida på
ett sätt som inte är möjligt med stängda lösningar.
- Nästa möte
Nästa möte är 2023-09-07 klockan 19:00 - 20:30.
Till alla här på mejllistan: tyck gärna till om det här, eller ställ
frågor, och välkomna att vara med på nästa möte!
/ Elias