Hej!
Jag skulle vilja starta ett DFRI-projekt som handlar om hur en fri och öppen lösning för svensk e-legitimation kan bli verklighet. Här nedanför försöker jag förklara tanken med detta. Tacksam för all sorts återkoppling, särskilt om du kan tänka dig att vara med och delta i projektet.
-------- Bakgrund --------
Utgångspunkten är att e-legitimation är väldigt användbart och används mer och mer, inte minst i kontakt med myndigheter. Det är därför viktigt att ha system för e-legitimation som respekterar digitala fri- och rättigheter.
En viktig princip när det gäller digitala fri- och rättigheter är att var och en själv ska kunna bestämma vad hen vill installera på sin dator/smartphone/motsvarande. Staten ska till exempel inte bestämma vilket operativsystem jag kör på min dator.
Problemet som det här projektet handlar om är att i dagsläget har vi i Sverige situationen att den som behöver använda e-legitimation måste använda operativsystem ägda och kontrollerade av Microsoft, Apple eller Google. Om någon insisterar på att använda system baserade på fri och öppen källkod (som GNU/Linux) kan den personen i praktiken inte använda e-legitimation. Vi tvingas välja mellan att antingen leva helt utan e- legitimation (vilket blir allt svårare), eller ge upp vår frihet och installera system som ger Microsoft/Apple/Google makt över oss.
---------- Projektmål ----------
Målet är att det ska finnas en fri och öppen lösning för svensk e- legitimation som ska kunna användas av alla, en lösning som respekterar våra digitala fri- och rättigheter.
I stället för att kräva installation av saker som användaren inte kan kontrollera på användarens dator/smartphone/motsvarande bör systemet för e-legitimation öppet redovisa ett protokoll för hur man kommunicerar med systemet. Det blir då möjligt för alla att använda e- legitimation, oavsett vilken typ av dator/smartphone/motsvarande personen väljer att använda.
---------------- Vägar till målet ----------------
Följande är fem olika förslag på hur projektmålet kan nås:
- Övertala någon av existerande kommersiella aktörer, BankID eller Freja eID Plus så att någon av dem gör sin lösning tillgänglig även för den som bara använder fri och öppen källkod på sin dator.
- Övertala staten via relevanta myndigheter t.ex. Skatteverket som ger ut "AB Svenska Pass" e-legitimation så att den görs tillgänglig även för den som bara använder fri och öppen källkod på sin dator.
- Övertala politiker så att myndigheter tvingas lösa problemet via lagändringar eller direktiv från politiker till myndigheterna.
- Stödja utveckling av alternativa lösningar som respekterar digitala fri- och rättigheter, om sådana lösningar finns.
- Utveckla en egen lösning som "proof of concept" för att visa hur en fri och öppen lösning skulle kunna fungera.
------------------------------------------------------------- Nuvarande alternativ för e-legitimation och problemen med dem -------------------------------------------------------------
Se https://www.elegitimation.se/skaffa-e-legitimation där de nuvarande typerna av e-legitimation finns listade.
- BankID (utgiven av bankerna): fungerar bara för den som använder stängda operativsystem från Microsoft/Apple/Google. Dessutom stängd källkod för själva klient-programvaran för e-legitimation som installeras på användarens dator/smartphone. Användaren kan inte kontrollera vad som händer på ens egen dator/smartphone.
- Freja eID Plus (utgiven av Freja eID Group AB): kräver operativsystem från Apple/Google, samma nackdelar som BankID.
- AB Svenska Pass (utgiven av Skatteverket): Jämfört med de andra två har denna fördelen att den går att använda i GNU/Linux men själva klient-programvaran för e-legitimation är stängd och användaren måste acceptera ett "End-User License Agreement" som säger att reverse- engineering är förbjudet osv. Även här gäller alltså att användaren inte kan kontrollera vad som händer på ens egen dator/smartphone.
--------------------------- Vad vi kan göra i projektet ---------------------------
Vi kan göra många olika saker i projektet, till exempel:
- Ta reda på och sammanställa information om hur system för e- legitimation fungerar och vilka svårigheterna är, för att förstå problemet bättre.
- Kommunicera med existerande utgivare av e-legitimation för att övertala dem till att utveckla en öppen lösning, men också för att få mer förståelse och kunskap om varför de gör som de gör i dagsläget.
- Kommunicera med myndigheter för att ta reda på hur de ser på problemet.
- Genomföra en informationskampanj riktad till allmänheten för att få fler att förstå problemet och kräva en förändring. Kanske leder det till fler projektmedlemmar.
- Ta reda på om det finns politiker som är insatta och/eller intresserade av att driva frågan.
- Ta reda på om det finns journalister som är intresserade av att rapportera kring frågan.
- Undersöka vilka system för e-legitimation som finns i andra länder för att se om något av dem respekterar digitala fri- och rättigheter bättre än de system som finns i Sverige i dag.
- Undersöka situationen juridiskt, t.ex. ta reda på om det är olagligt för staten att erbjuda tjänster för bara de medborgare som är kunder hos vissa specifika storföretag.
- Undersöka om existerade öppna standarder för kryptering, e-signering osv. kan användas som grund för e-legitimation. Det finns ju beprövade öppna standarder för t.ex. hur publika och privata nycklar kan användas, Diffie-Hellman key agreement, certifikat osv, med existerande mjukvara baserad på fri och öppen källkod som hanterar sådant, t.ex. programvara för https och ssh.
- Skissa förslag på hur ett framtida fritt och öppet system för e- legitimation skulle kunna se ut. (Förenklat exempel: en myndighet ansvarig för e-legitimation skulle kunna hålla ett register över individers publika nycklar och varje person kunde ha sin egen privata nyckel och använda den för att bevisa sin identitet.)
- Utveckla en egen lösning som "proof of concept".
------------------------------------ Argument för varför projektet behövs ------------------------------------
Här är några andra argument som kan användas för att förklara varför det här är en viktig fråga:
- Orättvist övertag för teknikjättarna jämfört med möjliga konkurrenter: dagens situation ger jättarna Google/Apple/Microsoft ett stort övertag genom att alla som behöver e-legitimation måste använda Google/Apple/Microsoft-operativsystem. Det gör att det blir mycket svårare för alternativ att etablera sig. Exempel är smartphones som Librem 5 och PinePhone som använder GNU/Linux och alltså gör det möjligt att vara fri från Google/Apple/Microsoft och deras ständiga övervakning. Situationen med e-legitimation gör det lättare för jättarna att behålla sin dominans, eftersom friare alternativ inte kan konkurrera på den punkten.
- Jämfört med en del andra frågor kring digitala fri- och rättigheter är frågan om e-legitimation ett fall där staten har en tydlig roll, det går att argumentera för att staten har ett ansvar att göra e- legitimation tillgängligt på ett rättvist sätt för alla. Vem tjänar på dagens situation? Bankerna är nöjda. Google/Apple är nöjda. Vem missgynnas av dagens situation? Enskilda människor som vill ha makt över sitt eget liv, och staten som misslyckas med att bevaka medborgarnas intressen och i stället gjort sig beroende av enorma företag.
- Man kan ifrågasätta säkerheten i nuvarande system, "security by obscurity" är inte alltid det bästa. Avslöjandena kring NSO och Pegasus nyligen har också visat att Android och iOS inte nödvändigtvis är säkra plattformar. Det är då olyckligt om staten hänvisar alla till att använda bara de plattformarna. Man borde åtminstone ha möjligheten att själv se till att förvara sin privata nyckel säkert och inte tvingas använda system baserade på Android/iOS som inte går att verifiera.
- Statens ansvar för att värna digital säkerhet oberoende företag: när den svenska staten hänvisar till system som bara fungerar för Apple/Google-kunder ger det en stor fördel för Apple och Google, företag som redan har en extremt stor makt över människors liv. Den svenska staten borde inte bidra till att ytterligare öka Apples och Googles makt. I stället borde staten ha kontroll över sina egna system och låta medborgarna själva besluta om de vill vara kunder hos Apple/Google eller inte. Det är fel att staten de facto styr människor till att bli kunder hos Apple/Google för att kunna använda e- legitimation. Varför ska den svenska staten hjälpa Apple/Google på det här sättet?
- Övervakningssamhället: eftersom de nuvarande systemen för e- legitimation kräver att man installerar för användaren okänd, stängd programvara på sin dator/smartphone, kan det hända att man därigenom övervakas av staten och/eller Apple/Google/andra aktörer, utan att man som användare har någon möjlighet att kontrollera vad programvaran faktiskt gör.
- Säkerhetspolitik: dagens situation, med extremt stort beroende av Apple/Google, innebär att ett gigantiskt storföretag kan trycka på en knapp så slutar de svenska systemen för e-legitimation fungera. Den svenska staten har inte kontroll utan har gjort sig beroende av Apple/Google.
- I myndigheternas information kring covid-19-vaccination den senaste tiden förklaras tydligt hur man gör för att boka vaccination för den som har BankID. Den som inte har BankID betraktas som en besvärlig person och hänvisas till telefon-bokning och får sämre förutsättningar, t.ex. skickas påminnelse inför vaccinationen tydligen endast till de som har BankID. Det här skapar ett starkt tryck att staten förväntar sig att alla ska ha BankID, vilket innebär att staten förväntar sig att alla ska vara kunder hos Google/Apple/Microsoft. Det är lätt att få intrycket att den som inte vill installera stängd hemlig programvara från Google/Apple/Microsoft är en besvärlig medborgare som staten helst vill slippa befatta sig med.
----------------- Delta i projektet -----------------
Svara gärna på detta mejl om du: 1. Har någon form av fråga eller annan återkoppling kring detta med en fri och öppen e-legitimation. 2. Vill delta i projektet på något sätt.
Vänliga hälsningar Elias Rudberg Medlem i DFRI