Du satte ord på mina tankar, Elias!
Jag släpper ut det på the Fediverse också. Det behöver spridas.
/Mikael
Den 2023-02-02 kl. 11:08, skrev Elias Rudberg:
Hej eleg-projekt-listan!
Efter att ha läst DIGGs nya spännande rapport [1] som kom i måndags:
här är några delar som är särskilt intressanta ur vårt projekts
perspektiv, när det gäller fri och öppen programvara, öppen
specifikation, tillgänglighet och decentralisering.
sid 9:
"I dagsläget är vi helt beroende av privata företags leveranser av
e-legitimationer och det stora beroendet av en enskild leverantör gör
samhället sårbart."
Bra att DIGG vågar säga det.
sid 14:
"Dagens Nyheter ställde på sin ledarsida den 3 januari 2023 frågan om
e-legitimation blir ett nytt statligt it-haveri30. Ledarskribenten såg
en risk i att den statliga e-legitimationen skulle bli ett nytt, stort
it-projekt som sedermera havererar, i likhet med polisens Pust eller
Stockholms Skolplattform. Skälet till denna risk uppgavs bland annat
vara att det i direktiven till regeringens nya utredning inte fanns
med något om öppen källkod, öppna standarder, eller att titta på
existerande lösningar. Digg menar att den nu föreslagna statliga
e-legitimationen är just en sådan beprövad lösning som bygger på öppna
standarder som kan förväntas leda till kort införandetid och god
hushållning med det allmännas resurser. Ytterligare detaljer kring den
tekniska utformningen finns i avsnitt 4.1 samt i bilaga 1."
Där säger alltså DIGG i stort sett att de tycker att rapporten borde
göra DN nöjda. Eftersom argumenten den där DN-ledaren tog upp till
stor del också var våra argument, verkar det lovande.
sid 26:
"En annan metod är att i samband med en elektronisk identifiering
tekniskt förmedla vissa riskindikatorer till förlitande aktör. Sådana
riskindikatorer kan användas av förlitande aktör för att avgöra
behovet av vidare kontroller i syfte att säkerställa att en viss
åtgärd inte genomförs obehörigen. Riskindikatorerna framställs från
tekniska parametrar som härrör från användningen. Digg bedömer att hur
dessa bör utformas för att bli ett effektivt verktyg för förlitande
parter, och de rättsliga förutsättningar som behövs för att kunna
förmedla sådana uppgifter, behöver utredas vidare." (resonemanget om
"riskindikatorer" kommer igen på sid 95)
Det där med att "förmedla vissa riskindikatorer till förlitande aktör"
låter suspekt, såvitt jag kunnat se förklaras det ingenstans i
rapporten eller bilagorna specifikt vad de där "riskindikatorerna"
skulle vara. Jag föreställer mig att det bland annat skulle kunna vara
individens position hämtad från GPS i en smarttelefon, för att t.ex.
kunna fånga upp om positionen flyttats orimligt snabbt. Det låter som
en mycket dålig idé eftersom det innebär statlig massövervakning i
form av att det skulle sparas var varje individ befinner sig varje
gång hen använder e-legitimation. Kan hända att jag missförstår. I
vilket fall som helst hade det väl varit bra om de skrivit vad de
faktiskt menar med "vissa riskindikatorer". Vad menas?
sid 27:
"Digg har i analysen utgått ifrån att för att möta dessa
användargruppers behov bör utgivningen inte kräva att sökanden har
egen teknisk utrustning, varken i form av egen dator eller smarttelefon."
Det är bra, undviker krav på att folk måste ha vissa typer av datorer
eller smarttelefoner, åtminstone för utgivningen.
sid 32:
"Digg behöver, som tidigare nämnts, ta fram den programvara och sådan
handledning som behövs för att kunna använda kortet tillsammans med
smarttelefoner, surfplattor och datorer. Genom att bygga på
PIV-specifikationerna finns ett stort utbud av program-bibliotek att
tillgå och standardapplikationer som bygger på öppen källkod. Detta
kortar ner utvecklingstider och minskar kostnaderna."
Bra, där lyfts fördelarna med öppna standarder och öppen källkod fram
igen.
sid 32:
"Den app för smarttelefoner som föreslås är endast ett hjälpmedel för
att läsa kortet och innehåller alltså inte någon e-legitimation. Appen
förmedlar endast kommunikationen mellan Diggs system och kortet.
Kommunikationen sker krypterat. Detta innebär att personer som behöver
hjälp med att utföra ett ärende digitalt kan låna en närståendes eller
en väns telefon, och bruka den för att identifiera sig. Ingen känslig
information behandlas eller bevaras i smarttelefonen. Diggs bedömning
är att de allra flesta identifieringar kommer ske med stöd av appen,
vilket kräver att den är säker, användarvänlig och tillgänglig. De
tekniska kraven på smarttelefonen är i det här sammanhanget låga, och
i princip samtliga smarttelefoner som finns i omlopp idag har den
nödvändiga tekniken inbyggd."
Med "den nödvändiga tekniken" menas här NFC
(Near-Field-Communication), och med "i princip samtliga smarttelefoner
som finns i omlopp idag" menas i princip alla utom Librem 5, alltså
alla utom min telefon. :-)
Det borde väl gå att lösa med en USB-dongle.
Viktigare att diskutera är nog det här påståendet: "Ingen känslig
information behandlas eller bevaras i smarttelefonen."
Det stämmer ju inte! Den personliga koden behandlas ju i
smarttelefonen. Om smarttelefonen kontrolleras av ett utländskt
storföretag som Google/Apple, då kommer det företaget ha möjlighet att
lägga vantarna på den personliga koden, och dessutom kan de manipulera
informationen som visas för användaren, de kan låta användaren tro att
en sak händer medan de i verkligheten gör något annat. Det borde väl
diskvalificera stängda företags-ägda operativsystem från att användas
för e-legitimation, åtminstone för den högsta tillitsnivån?
sid 32:
"Det kan också finnas behov av att stödja funktionen på olika
plattformar, till exempel Linux, Microsoft Windows och Mac OS."
Bra att Linux nämns. När det gäller Microsoft Windows och Mac OS
saknar jag en diskussion om säkerhetsriskerna med att det är stängda
system ägda av utländska företag, som kommer att ha teknisk möjlighet
att kringgå säkerheten.
sid 32:
"Digg bedömer att det är det lämpligt att låta publicera relevanta
delar som öppen källkod, så att intressenter kan granska och förstå
hur lösningen fungerar samt ta fram egna anpassade klientprogramvaror."
Bra! Dock antyder formuleringen "relevanta delar" att inte alla delar
kommer vara öppen källkod, vilket i så fall fråntar användaren
möjligheten att kontrollera vad som händer.
sid 38:
"Digg föreslår att den statliga e-legitimationen får ges ut även till
den som har tilldelats ett samordningsnummer och kan styrka sin
identitet."
Bra.
sid 92:
"Där bör exempelvis beroenden till annan infrastruktur och även
samhällsviktig verksamhets beroenden till systemet, samt exempelvis
frågor om digital suveränitet, hanteras."
När digital suveränitet ska diskuteras borde frågan om vilken roll
Google/Apple/Microsoft spelar tas upp. Kan Sverige acceptera att de
företagen har teknisk möjlighet att kringgå säkerheten för svensk
statlig e-legitimation på högsta tillitsnivån?
sid 95:
"Digg bedömer att vissa riskindikatorer, framställda ur tekniska
parametrar från användningen av e-legitimationen, skulle kunna tjäna
som ett värdefullt verktyg för förlitande aktörer i att kontrollera
att en viss åtgärd inte genomförs obehörigen. De rättsliga
förutsättningar som behövs för att det ska kunna bli möjligt att
förmedla sådana uppgifter behöver utredas vidare."
Suspekt, vad menas egentligen med "vissa riskindikatorer"?
sid 96:
"Diggs förslag bygger på öppna standarder, vilket minskar risken för
inlåsning i specifika tekniska lösningar139. Digg har också för avsikt
att publicera bland annat stödprogramvaror som öppen källkod."
Bra!
bilaga 1, sid 1:
"Verifieringen av användarens identitet bör i användningsfasen
inbegripa kontroller mot centralt placerade systemkomponenter, främst
i syfte att
a. avlasta det säkerhetsmässiga beroendet till den tekniska bäraren
b. kunna spärra e-legitimationen centralt efter ett visst antal
felaktiga försök att ange den personliga koden där också en tidsfaktor
ingår
c. kunna ge underlag för att framställa en sammanvägd riskindikator
baserad på vissa parametrar i användningsmönster som kan användas av
förlitande aktör för att avgöra om vidare kontroller behöver
genomföras för att förhindra obehörig användning av den statliga
e-legitimationen."
Där står det rakt ut att det föreslås kontroller mot ett centralt
system, alltså inte den decentralisering som vi hade velat se.
I punkt "c" där kommer "riskindikator" igen, och igen verkar det för
mig handla om massövervakning. Det blir inte bättre av att man låter
bli att säga vad det är för information som ska samlas in.
bilaga 1, sid 2:
"ingen del av den tekniska säkerheten ska bero på att
klientprogramvarans utformning hålls dold."
Bra! Dock en bakvänd formulering, varför inte säga att
klientprogramvaran ska vara öppen källkod? Kanske vill DIGG hålla
dörren öppen för att klientprogramvaran kommer att kunna vara dold av
andra anledningar, t.ex. att Google/Apple/Microsoft kan kräva att
saker ska hållas dolda.
bilaga 1, sid 2:
"Klientprogramvarans integritet kommer dock oundvikligen vara av
säkerhetsmässig betydelse för interaktionen mot användaren, så att den
information användaren får genom dialoger m.m. är korrekta och
beskriver de verkliga skeendena."
Bra att det uppmärksammas!
Dock saknar jag här en diskussion om vad det innebär om
klientprogramvaran körs i stängda operativsystem ägda av
Google/Apple/Microsoft. Klientprogramvarans integritet (och
omgivningen där den körs) kommer då inte att kunna kontrolleras,
varken av DIGG eller av användaren. Även om programmet i sig självt
skulle vara intakt, kan det fortfarande hända att operativsystemet
sparar information och/eller manipulerar det som visas för användaren
och det som kommuniceras ut, via alla de funktioner i operativsystemet
som programmet interagerar med. OBS att klientprogramvaran inte kommer
att ha direktkontakt med användaren, operativsystemet kommer att sitta
mellan och kommer både att kunna se och manipulera saker. Då borde väl
även operativsystemet vara öppet, så att det kan granskas?
bilaga 1, sid 3-4:
"Personalisering av kortet med certifikat för elektronisk
identifiering och underskrift kan sedan ske på distans, genom
funktionen för säker kortkommunikation. Dessa certifikat behöver
stämplas av en betrodd certifikatutfärdare inom ramen för en
traditionell PKI och föreslås som en påbyggnadsfunktion till
lösningen, och endast för de användare som begär funktionen och som
därför har behov av dessa certifikat. Detta då riskerna med obehörig
användning bedöms öka, eftersom den kontroll som annars kan göras
genom de centrala infrastrukturkomponenterna går om intet. Samtidigt
som relativt få användare förväntas ha behov av att genomföra
underskrifter och identifieringar oberoende av den statliga
identifieringstjänsten som Digg tillhandahåller."
Det där låter väldigt intressant, som en möjlig räddning för att kunna
använda e-legitimation på ett decentraliserat sätt, men "endast för de
användare som begär funktionen".
Samtidigt blir det bakvänt om den stora majoriteten hanteras
centraliserat med de risker det innebär (massövervakning och dålig
robusthet), och endast ett fåtal får tillgång till den bättre lösningen.
Det där tyckte i alla fall jag var några av de mest intressanta
delarna i rapporten.
Kommentera gärna, särskilt om det är något där du inte håller med
eller om jag missförstått någonting helt!
Jag har satts upp som talare på SamNet (Vinterkonferensen) 2023, den
14 februari [2] och har tänkt att prata om de här sakerna då, tacksam
för så mycket synpunkter som möjligt innan dess. Även Anneli Hagdahl
från DIGG ska vara med då, det kan bli ett bra tillfälle att kunna
prata direkt med DIGG.
/ Elias
[1]
https://digg.se/analys-och-uppfoljning/publikationer/publikationer/2023-01-…
[2]
https://www.eventbrite.se/e/samnet-vinterkonferensen-2023-biljetter-4948626…
_______________________________________________
Eleg-projekt mailing list -- eleg-projekt(a)lists.dfri.se
To unsubscribe send an email to eleg-projekt-leave(a)lists.dfri.se
--
Vänliga hälsningar
Mikael Odhage
+46(0)709933651
SIP: sessrum(a)ekiga.net
Jabber/XMPP: odhagemikael(a)xabber.de
Diaspora: odhage(a)diasp.nl eller