Tack för ett mycket spännande initiativ!
Några spontana tankar:
– Frågan är större än "det ska gå att använda BankID på Linux". Ens om appen BankID hade varit FOSS återstår exempelvis frågan varför min bank ska behöva känna till vilka sjukvårdstjänster jag använder, eller varför den som saknar svenskt personnummer ska uteslutas.
– Det finns betydande litteratur (mer eller mindre vetenskaplig) om hur e-legitimation kunde eller borde fungera. En tidig milstolpe var Kim Camerons "Laws of Identity"[1]. Ett nyare teoretiskt ramverk är Self- Sovereign Identity[2,3]. Om någon hittat annat, tipsa gärna!
– Samma diskussion pågår säkert parallellt i andra länder. Undrar om DFRI har kontakt med grupper som driver liknande frågor, exempelvis genom EDRI? Jämförande verksamhet vore mycket värdefull. Om man fastställer kriterier för "god" e-legitimation kan man sedan skapa en jämförande informationsresurs, i stil med EFF:s Secure Messaging Scorecard[4].
– Det finns FOSS-lösningar där ute som används redan idag. Exempelvis i Italien utfärdar staten identitetskort med inbyggd e-legitimation, som används via NFC med en app som heter CieID (BSD-3 licens)[5]. Den har relativt få användare (än), då bankerna var ute tidigare och har appar som upplevs som mindre "bökiga". Undrar hur svårt det vore att med CieID:s källkod bygga en svensk "proof of concept"?
– Daniel pekade pa EU:s eID/eIDAS ramverk. Där jobbar man dels med att se till att EU-länders e-legitimation ska gå att använda över gränser. Sverige ligger lite efter med detta, exempelvis kan man använda utländsk e-legitimation hos Skatteverket (testa inloggning i Mina sidor, välj "Foreign eID"), men inte hos Försäkringskassan, där inloggningen ska vara kopplad till ett svenskt personnummer. (I och för sig får Sverige jämt kritik för den utanförskap som följer av systemet med personnummer, inte minst från just EU[6].)
– Ett intressant och ganska färskt initiativ på EU-nivå är ESSIF, som just är en implementering av Self-Sovereign Identity[7]. Detta utvecklas inom European Blockchain Services Infrastructure (EBSI). (Jag har ingen koll alls på vem som är vem i dessa miljöer, men initiativet låter spännande. Någon som har bättre koll?)
– Frågan om e-legitimation hänger tätt ihop med e-signatur och "säkra brevlådor". Vem utsåg Adobe till internets notarier? Och varför ska min brevlåda finnas någon annanstans än hos mig? (Antar att jag predikar för de redan frälsta, här på DFRI-listan!) I vissa sammanhang kan det vara värt att behandla legitimation, signatur och meddelandesekretess som olika fasetter av en och samma fråga.
Jag kan tänka mig vara med på ett hörn, dock med just nu begränsat tid. (Har blivit lite försiktigare sedan jag någon gång lovat mer än jag kunnat hålla.)
Hälsningar, Haro
PS Det ser ut som att vi jobbar vid samma universitet, Elias.
[1] https://www.identityblog.com/stories/2005/05/13/TheLawsOfIdentity.pdf [2] http://www.lifewithalacrity.com/2016/04/the-path-to-self-soverereign-identit... [3] https://en.wikipedia.org/wiki/Self-sovereign_identity [4] https://www.eff.org/pages/secure-messaging-scorecard [5] https://it.wikipedia.org/wiki/CieID [6] https://www.thelocal.se/20171128/sweden-in-breach-of-eu-law-for-refusal-to-i... [7] https://ec.europa.eu/cefdigital/wiki/pages/viewpage.action?pageId=379913698