Projekt-förslag: Driv på för fri och öppen lösning för svensk e-legitimation (alternativ till BankID)
Hej!
Jag skulle vilja starta ett DFRI-projekt som handlar om hur en fri och öppen lösning för svensk e-legitimation kan bli verklighet. Här nedanför försöker jag förklara tanken med detta. Tacksam för all sorts återkoppling, särskilt om du kan tänka dig att vara med och delta i projektet.
-------- Bakgrund --------
Utgångspunkten är att e-legitimation är väldigt användbart och används mer och mer, inte minst i kontakt med myndigheter. Det är därför viktigt att ha system för e-legitimation som respekterar digitala fri- och rättigheter.
En viktig princip när det gäller digitala fri- och rättigheter är att var och en själv ska kunna bestämma vad hen vill installera på sin dator/smartphone/motsvarande. Staten ska till exempel inte bestämma vilket operativsystem jag kör på min dator.
Problemet som det här projektet handlar om är att i dagsläget har vi i Sverige situationen att den som behöver använda e-legitimation måste använda operativsystem ägda och kontrollerade av Microsoft, Apple eller Google. Om någon insisterar på att använda system baserade på fri och öppen källkod (som GNU/Linux) kan den personen i praktiken inte använda e-legitimation. Vi tvingas välja mellan att antingen leva helt utan e- legitimation (vilket blir allt svårare), eller ge upp vår frihet och installera system som ger Microsoft/Apple/Google makt över oss.
---------- Projektmål ----------
Målet är att det ska finnas en fri och öppen lösning för svensk e- legitimation som ska kunna användas av alla, en lösning som respekterar våra digitala fri- och rättigheter.
I stället för att kräva installation av saker som användaren inte kan kontrollera på användarens dator/smartphone/motsvarande bör systemet för e-legitimation öppet redovisa ett protokoll för hur man kommunicerar med systemet. Det blir då möjligt för alla att använda e- legitimation, oavsett vilken typ av dator/smartphone/motsvarande personen väljer att använda.
---------------- Vägar till målet ----------------
Följande är fem olika förslag på hur projektmålet kan nås:
- Övertala någon av existerande kommersiella aktörer, BankID eller Freja eID Plus så att någon av dem gör sin lösning tillgänglig även för den som bara använder fri och öppen källkod på sin dator.
- Övertala staten via relevanta myndigheter t.ex. Skatteverket som ger ut "AB Svenska Pass" e-legitimation så att den görs tillgänglig även för den som bara använder fri och öppen källkod på sin dator.
- Övertala politiker så att myndigheter tvingas lösa problemet via lagändringar eller direktiv från politiker till myndigheterna.
- Stödja utveckling av alternativa lösningar som respekterar digitala fri- och rättigheter, om sådana lösningar finns.
- Utveckla en egen lösning som "proof of concept" för att visa hur en fri och öppen lösning skulle kunna fungera.
------------------------------------------------------------- Nuvarande alternativ för e-legitimation och problemen med dem -------------------------------------------------------------
Se https://www.elegitimation.se/skaffa-e-legitimation där de nuvarande typerna av e-legitimation finns listade.
- BankID (utgiven av bankerna): fungerar bara för den som använder stängda operativsystem från Microsoft/Apple/Google. Dessutom stängd källkod för själva klient-programvaran för e-legitimation som installeras på användarens dator/smartphone. Användaren kan inte kontrollera vad som händer på ens egen dator/smartphone.
- Freja eID Plus (utgiven av Freja eID Group AB): kräver operativsystem från Apple/Google, samma nackdelar som BankID.
- AB Svenska Pass (utgiven av Skatteverket): Jämfört med de andra två har denna fördelen att den går att använda i GNU/Linux men själva klient-programvaran för e-legitimation är stängd och användaren måste acceptera ett "End-User License Agreement" som säger att reverse- engineering är förbjudet osv. Även här gäller alltså att användaren inte kan kontrollera vad som händer på ens egen dator/smartphone.
--------------------------- Vad vi kan göra i projektet ---------------------------
Vi kan göra många olika saker i projektet, till exempel:
- Ta reda på och sammanställa information om hur system för e- legitimation fungerar och vilka svårigheterna är, för att förstå problemet bättre.
- Kommunicera med existerande utgivare av e-legitimation för att övertala dem till att utveckla en öppen lösning, men också för att få mer förståelse och kunskap om varför de gör som de gör i dagsläget.
- Kommunicera med myndigheter för att ta reda på hur de ser på problemet.
- Genomföra en informationskampanj riktad till allmänheten för att få fler att förstå problemet och kräva en förändring. Kanske leder det till fler projektmedlemmar.
- Ta reda på om det finns politiker som är insatta och/eller intresserade av att driva frågan.
- Ta reda på om det finns journalister som är intresserade av att rapportera kring frågan.
- Undersöka vilka system för e-legitimation som finns i andra länder för att se om något av dem respekterar digitala fri- och rättigheter bättre än de system som finns i Sverige i dag.
- Undersöka situationen juridiskt, t.ex. ta reda på om det är olagligt för staten att erbjuda tjänster för bara de medborgare som är kunder hos vissa specifika storföretag.
- Undersöka om existerade öppna standarder för kryptering, e-signering osv. kan användas som grund för e-legitimation. Det finns ju beprövade öppna standarder för t.ex. hur publika och privata nycklar kan användas, Diffie-Hellman key agreement, certifikat osv, med existerande mjukvara baserad på fri och öppen källkod som hanterar sådant, t.ex. programvara för https och ssh.
- Skissa förslag på hur ett framtida fritt och öppet system för e- legitimation skulle kunna se ut. (Förenklat exempel: en myndighet ansvarig för e-legitimation skulle kunna hålla ett register över individers publika nycklar och varje person kunde ha sin egen privata nyckel och använda den för att bevisa sin identitet.)
- Utveckla en egen lösning som "proof of concept".
------------------------------------ Argument för varför projektet behövs ------------------------------------
Här är några andra argument som kan användas för att förklara varför det här är en viktig fråga:
- Orättvist övertag för teknikjättarna jämfört med möjliga konkurrenter: dagens situation ger jättarna Google/Apple/Microsoft ett stort övertag genom att alla som behöver e-legitimation måste använda Google/Apple/Microsoft-operativsystem. Det gör att det blir mycket svårare för alternativ att etablera sig. Exempel är smartphones som Librem 5 och PinePhone som använder GNU/Linux och alltså gör det möjligt att vara fri från Google/Apple/Microsoft och deras ständiga övervakning. Situationen med e-legitimation gör det lättare för jättarna att behålla sin dominans, eftersom friare alternativ inte kan konkurrera på den punkten.
- Jämfört med en del andra frågor kring digitala fri- och rättigheter är frågan om e-legitimation ett fall där staten har en tydlig roll, det går att argumentera för att staten har ett ansvar att göra e- legitimation tillgängligt på ett rättvist sätt för alla. Vem tjänar på dagens situation? Bankerna är nöjda. Google/Apple är nöjda. Vem missgynnas av dagens situation? Enskilda människor som vill ha makt över sitt eget liv, och staten som misslyckas med att bevaka medborgarnas intressen och i stället gjort sig beroende av enorma företag.
- Man kan ifrågasätta säkerheten i nuvarande system, "security by obscurity" är inte alltid det bästa. Avslöjandena kring NSO och Pegasus nyligen har också visat att Android och iOS inte nödvändigtvis är säkra plattformar. Det är då olyckligt om staten hänvisar alla till att använda bara de plattformarna. Man borde åtminstone ha möjligheten att själv se till att förvara sin privata nyckel säkert och inte tvingas använda system baserade på Android/iOS som inte går att verifiera.
- Statens ansvar för att värna digital säkerhet oberoende företag: när den svenska staten hänvisar till system som bara fungerar för Apple/Google-kunder ger det en stor fördel för Apple och Google, företag som redan har en extremt stor makt över människors liv. Den svenska staten borde inte bidra till att ytterligare öka Apples och Googles makt. I stället borde staten ha kontroll över sina egna system och låta medborgarna själva besluta om de vill vara kunder hos Apple/Google eller inte. Det är fel att staten de facto styr människor till att bli kunder hos Apple/Google för att kunna använda e- legitimation. Varför ska den svenska staten hjälpa Apple/Google på det här sättet?
- Övervakningssamhället: eftersom de nuvarande systemen för e- legitimation kräver att man installerar för användaren okänd, stängd programvara på sin dator/smartphone, kan det hända att man därigenom övervakas av staten och/eller Apple/Google/andra aktörer, utan att man som användare har någon möjlighet att kontrollera vad programvaran faktiskt gör.
- Säkerhetspolitik: dagens situation, med extremt stort beroende av Apple/Google, innebär att ett gigantiskt storföretag kan trycka på en knapp så slutar de svenska systemen för e-legitimation fungera. Den svenska staten har inte kontroll utan har gjort sig beroende av Apple/Google.
- I myndigheternas information kring covid-19-vaccination den senaste tiden förklaras tydligt hur man gör för att boka vaccination för den som har BankID. Den som inte har BankID betraktas som en besvärlig person och hänvisas till telefon-bokning och får sämre förutsättningar, t.ex. skickas påminnelse inför vaccinationen tydligen endast till de som har BankID. Det här skapar ett starkt tryck att staten förväntar sig att alla ska ha BankID, vilket innebär att staten förväntar sig att alla ska vara kunder hos Google/Apple/Microsoft. Det är lätt att få intrycket att den som inte vill installera stängd hemlig programvara från Google/Apple/Microsoft är en besvärlig medborgare som staten helst vill slippa befatta sig med.
----------------- Delta i projektet -----------------
Svara gärna på detta mejl om du: 1. Har någon form av fråga eller annan återkoppling kring detta med en fri och öppen e-legitimation. 2. Vill delta i projektet på något sätt.
Vänliga hälsningar Elias Rudberg Medlem i DFRI
+1
mvh
//Erik
On 8/2/21, Elias Rudberg mail@eliasrudberg.se wrote:
Hej!
Jag skulle vilja starta ett DFRI-projekt som handlar om hur en fri och öppen lösning för svensk e-legitimation kan bli verklighet. Här nedanför försöker jag förklara tanken med detta. Tacksam för all sorts återkoppling, särskilt om du kan tänka dig att vara med och delta i projektet.
Bakgrund
Utgångspunkten är att e-legitimation är väldigt användbart och används mer och mer, inte minst i kontakt med myndigheter. Det är därför viktigt att ha system för e-legitimation som respekterar digitala fri- och rättigheter.
En viktig princip när det gäller digitala fri- och rättigheter är att var och en själv ska kunna bestämma vad hen vill installera på sin dator/smartphone/motsvarande. Staten ska till exempel inte bestämma vilket operativsystem jag kör på min dator.
Problemet som det här projektet handlar om är att i dagsläget har vi i Sverige situationen att den som behöver använda e-legitimation måste använda operativsystem ägda och kontrollerade av Microsoft, Apple eller Google. Om någon insisterar på att använda system baserade på fri och öppen källkod (som GNU/Linux) kan den personen i praktiken inte använda e-legitimation. Vi tvingas välja mellan att antingen leva helt utan e- legitimation (vilket blir allt svårare), eller ge upp vår frihet och installera system som ger Microsoft/Apple/Google makt över oss.
Projektmål
Målet är att det ska finnas en fri och öppen lösning för svensk e- legitimation som ska kunna användas av alla, en lösning som respekterar våra digitala fri- och rättigheter.
I stället för att kräva installation av saker som användaren inte kan kontrollera på användarens dator/smartphone/motsvarande bör systemet för e-legitimation öppet redovisa ett protokoll för hur man kommunicerar med systemet. Det blir då möjligt för alla att använda e- legitimation, oavsett vilken typ av dator/smartphone/motsvarande personen väljer att använda.
Vägar till målet
Följande är fem olika förslag på hur projektmålet kan nås:
- Övertala någon av existerande kommersiella aktörer, BankID eller
Freja eID Plus så att någon av dem gör sin lösning tillgänglig även för den som bara använder fri och öppen källkod på sin dator.
- Övertala staten via relevanta myndigheter t.ex. Skatteverket som ger
ut "AB Svenska Pass" e-legitimation så att den görs tillgänglig även för den som bara använder fri och öppen källkod på sin dator.
- Övertala politiker så att myndigheter tvingas lösa problemet via
lagändringar eller direktiv från politiker till myndigheterna.
- Stödja utveckling av alternativa lösningar som respekterar digitala
fri- och rättigheter, om sådana lösningar finns.
- Utveckla en egen lösning som "proof of concept" för att visa hur en
fri och öppen lösning skulle kunna fungera.
Nuvarande alternativ för e-legitimation och problemen med dem
Se https://www.elegitimation.se/skaffa-e-legitimation där de nuvarande typerna av e-legitimation finns listade.
- BankID (utgiven av bankerna): fungerar bara för den som använder
stängda operativsystem från Microsoft/Apple/Google. Dessutom stängd källkod för själva klient-programvaran för e-legitimation som installeras på användarens dator/smartphone. Användaren kan inte kontrollera vad som händer på ens egen dator/smartphone.
- Freja eID Plus (utgiven av Freja eID Group AB): kräver operativsystem
från Apple/Google, samma nackdelar som BankID.
- AB Svenska Pass (utgiven av Skatteverket): Jämfört med de andra två
har denna fördelen att den går att använda i GNU/Linux men själva klient-programvaran för e-legitimation är stängd och användaren måste acceptera ett "End-User License Agreement" som säger att reverse- engineering är förbjudet osv. Även här gäller alltså att användaren inte kan kontrollera vad som händer på ens egen dator/smartphone.
Vad vi kan göra i projektet
Vi kan göra många olika saker i projektet, till exempel:
- Ta reda på och sammanställa information om hur system för e-
legitimation fungerar och vilka svårigheterna är, för att förstå problemet bättre.
- Kommunicera med existerande utgivare av e-legitimation för att
övertala dem till att utveckla en öppen lösning, men också för att få mer förståelse och kunskap om varför de gör som de gör i dagsläget.
- Kommunicera med myndigheter för att ta reda på hur de ser på
problemet.
- Genomföra en informationskampanj riktad till allmänheten för att få
fler att förstå problemet och kräva en förändring. Kanske leder det till fler projektmedlemmar.
- Ta reda på om det finns politiker som är insatta och/eller
intresserade av att driva frågan.
- Ta reda på om det finns journalister som är intresserade av att
rapportera kring frågan.
- Undersöka vilka system för e-legitimation som finns i andra länder
för att se om något av dem respekterar digitala fri- och rättigheter bättre än de system som finns i Sverige i dag.
- Undersöka situationen juridiskt, t.ex. ta reda på om det är olagligt
för staten att erbjuda tjänster för bara de medborgare som är kunder hos vissa specifika storföretag.
- Undersöka om existerade öppna standarder för kryptering, e-signering
osv. kan användas som grund för e-legitimation. Det finns ju beprövade öppna standarder för t.ex. hur publika och privata nycklar kan användas, Diffie-Hellman key agreement, certifikat osv, med existerande mjukvara baserad på fri och öppen källkod som hanterar sådant, t.ex. programvara för https och ssh.
- Skissa förslag på hur ett framtida fritt och öppet system för e-
legitimation skulle kunna se ut. (Förenklat exempel: en myndighet ansvarig för e-legitimation skulle kunna hålla ett register över individers publika nycklar och varje person kunde ha sin egen privata nyckel och använda den för att bevisa sin identitet.)
- Utveckla en egen lösning som "proof of concept".
Argument för varför projektet behövs
Här är några andra argument som kan användas för att förklara varför det här är en viktig fråga:
- Orättvist övertag för teknikjättarna jämfört med möjliga
konkurrenter: dagens situation ger jättarna Google/Apple/Microsoft ett stort övertag genom att alla som behöver e-legitimation måste använda Google/Apple/Microsoft-operativsystem. Det gör att det blir mycket svårare för alternativ att etablera sig. Exempel är smartphones som Librem 5 och PinePhone som använder GNU/Linux och alltså gör det möjligt att vara fri från Google/Apple/Microsoft och deras ständiga övervakning. Situationen med e-legitimation gör det lättare för jättarna att behålla sin dominans, eftersom friare alternativ inte kan konkurrera på den punkten.
- Jämfört med en del andra frågor kring digitala fri- och rättigheter
är frågan om e-legitimation ett fall där staten har en tydlig roll, det går att argumentera för att staten har ett ansvar att göra e- legitimation tillgängligt på ett rättvist sätt för alla. Vem tjänar på dagens situation? Bankerna är nöjda. Google/Apple är nöjda. Vem missgynnas av dagens situation? Enskilda människor som vill ha makt över sitt eget liv, och staten som misslyckas med att bevaka medborgarnas intressen och i stället gjort sig beroende av enorma företag.
- Man kan ifrågasätta säkerheten i nuvarande system, "security by
obscurity" är inte alltid det bästa. Avslöjandena kring NSO och Pegasus nyligen har också visat att Android och iOS inte nödvändigtvis är säkra plattformar. Det är då olyckligt om staten hänvisar alla till att använda bara de plattformarna. Man borde åtminstone ha möjligheten att själv se till att förvara sin privata nyckel säkert och inte tvingas använda system baserade på Android/iOS som inte går att verifiera.
- Statens ansvar för att värna digital säkerhet oberoende företag: när
den svenska staten hänvisar till system som bara fungerar för Apple/Google-kunder ger det en stor fördel för Apple och Google, företag som redan har en extremt stor makt över människors liv. Den svenska staten borde inte bidra till att ytterligare öka Apples och Googles makt. I stället borde staten ha kontroll över sina egna system och låta medborgarna själva besluta om de vill vara kunder hos Apple/Google eller inte. Det är fel att staten de facto styr människor till att bli kunder hos Apple/Google för att kunna använda e- legitimation. Varför ska den svenska staten hjälpa Apple/Google på det här sättet?
- Övervakningssamhället: eftersom de nuvarande systemen för e-
legitimation kräver att man installerar för användaren okänd, stängd programvara på sin dator/smartphone, kan det hända att man därigenom övervakas av staten och/eller Apple/Google/andra aktörer, utan att man som användare har någon möjlighet att kontrollera vad programvaran faktiskt gör.
- Säkerhetspolitik: dagens situation, med extremt stort beroende av
Apple/Google, innebär att ett gigantiskt storföretag kan trycka på en knapp så slutar de svenska systemen för e-legitimation fungera. Den svenska staten har inte kontroll utan har gjort sig beroende av Apple/Google.
- I myndigheternas information kring covid-19-vaccination den senaste
tiden förklaras tydligt hur man gör för att boka vaccination för den som har BankID. Den som inte har BankID betraktas som en besvärlig person och hänvisas till telefon-bokning och får sämre förutsättningar, t.ex. skickas påminnelse inför vaccinationen tydligen endast till de som har BankID. Det här skapar ett starkt tryck att staten förväntar sig att alla ska ha BankID, vilket innebär att staten förväntar sig att alla ska vara kunder hos Google/Apple/Microsoft. Det är lätt att få intrycket att den som inte vill installera stängd hemlig programvara från Google/Apple/Microsoft är en besvärlig medborgare som staten helst vill slippa befatta sig med.
Delta i projektet
Svara gärna på detta mejl om du:
- Har någon form av fråga eller annan återkoppling kring detta med en
fri och öppen e-legitimation. 2. Vill delta i projektet på något sätt.
Vänliga hälsningar Elias Rudberg Medlem i DFRI
-- DFRI-listan är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/listan/ Listpolicy: https://www.dfri.se/regler-for-listan
Lovvärt!
Möjligen vill man forska lite i EID/EIDAS också, och fundera på hur det kan påverka det hela. Det verkar vara ett projekt för gemensam identifiering inom EU. Och är väl än så länge en vision från kommissionen... Nog inte så bra länk, men iaf: https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/eID
-- Daniel lublin.se
Jag är gärna med. I kontakt med Svenska myndigheter är det hopplöst utan BankID. Jag har AB Svenska Pass men har aldrig fått det att fungera i *buntu.
Redan för 10 år sedan pratades det en hel del om elegitimationer och möjliggöra för flera olika aktörer att agera identitetsleverantör i en "federation". Jag har inte följt det i detalj men bevisligen har det inte bildats så många aktörer på marknaden så oklart vad som har gått snett. Det verkar heta Sweden Connect idag och bygger på SAML [1], det verkar också vara svenska kopplingen till andra nationer inom eIDAS. Vad jag vet är varken Freja eID eller BankID anslutna till federationen utan kör sina egna spår. När det begav sig så var det många klagomål på SAML tekniken och FRA(?) gjorde en genomgång av tekniken. En hel del var utsuddat i rapporten av sekretesskäl så oklart vad FRA påpekade för brister. Befintliga inloggningstjänster som bygger på samma teknik är skolfederation ( https://www.skolfederation.se/) för skolor gymnasie och lägre, SAMBI för apotek, kommuner och andra aktörer inom vård och omsorg ( https://www.sambi.se/) samt SWAMID för universitet och högskolor ( https://wiki.sunet.se/display/SWAMID)
Precis som skrivs på elegitimation.se [2] kan inte DIGG ställa krav på privata aktörer att de ska ha stöd för viss teknik i deras eID lösningar, och det tycker jag är rätt. Det skulle vara konstigt om staten går in och tvingar Freja eID eller BankID att de måste ha stöd för ett visst operativsystem. Nuvarande situation öppnar upp för fler aktörer som faktiskt är intresserad av att ha stöd för fler platformar och desto mer FOSS. Mina tankar har snurrat kring SoloKey (eller annan nyckel)/WebAuthn osv. för inloggning, dock oklart om det duger för högre tillitsnivåer. En annan funderare är hur man binder en hårdvarunyckel till en individ (identifiering). Högsta tillitsnivå i Sverige kräver att man gör det i person, vilket kräver en affärsmodell där man anlitar något företag som finns över hela Sverige som kan göra identifieringen precis som FrejaID löser det med ATG och QR-koder. Här tror jag djävulen finns i detaljerna minst sagt och att det är därför det inte finns så många aktörer.
Detta är bara toppen av isberget, finns säkert en hel del historik från de senaste 10 åren om svensk e-legitimation. Första lämpliga stegen är nog att grotta ner sig mer i hur Sweden Connect/eIDAS fungerar idag och är tänkt att fungera i en perfekt värld. Samt titta vilka alternativ det finns på öppna lösningar där Proof of concept kan vara intressant. Förutom det tekniska är det högst intressant att fråga runt bland erfarna/kunniga om affärsmodeller och hur "marknaden" fungerar idag rent ekonomiskt.
[1] https://www.swedenconnect.se/ [2] https://www.elegitimation.se/sa-fungerar-e-legitimation
Med vänlig hälsning
On Tue, 2021-08-03 at 19:29 +0200, Christoffer Holmstedt wrote:
Jag är gärna med. I kontakt med Svenska myndigheter är det hopplöst utan BankID. Jag har AB Svenska Pass men har aldrig fått det att fungera i *buntu.
Redan för 10 år sedan pratades det en hel del om elegitimationer och möjliggöra för flera olika aktörer att agera identitetsleverantör i en "federation". Jag har inte följt det i detalj men bevisligen har det inte bildats så många aktörer på marknaden så oklart vad som har gått snett. Det verkar heta Sweden Connect idag och bygger på SAML [1], det verkar också vara svenska kopplingen till andra nationer inom eIDAS. Vad jag vet är varken Freja eID eller BankID anslutna till federationen utan kör sina egna spår. När det begav sig så var det många klagomål på SAML tekniken och FRA(?) gjorde en genomgång av tekniken. En hel del var utsuddat i rapporten av sekretesskäl så oklart vad FRA påpekade för brister. Befintliga inloggningstjänster som bygger på samma teknik är skolfederation (https://www.skolfederation.se/) för skolor gymnasie och lägre, SAMBI för apotek, kommuner och andra aktörer inom vård och omsorg (https://www.sambi.se/) samt SWAMID för universitet och högskolor (https://wiki.sunet.se/display/SWAMID)
Precis som skrivs på elegitimation.se [2] kan inte DIGG ställa krav på privata aktörer att de ska ha stöd för viss teknik i deras eID lösningar, och det tycker jag är rätt. Det skulle vara konstigt om staten går in och tvingar Freja eID eller BankID att de måste ha stöd för ett visst operativsystem. Nuvarande situation öppnar upp för fler aktörer som faktiskt är intresserad av att ha stöd för fler platformar och desto mer FOSS. Mina tankar har snurrat kring SoloKey (eller annan nyckel)/WebAuthn osv. för inloggning, dock oklart om det duger för högre tillitsnivåer. En annan funderare är hur man binder en hårdvarunyckel till en individ (identifiering). Högsta tillitsnivå i Sverige kräver att man gör det i person, vilket kräver en affärsmodell där man anlitar något företag som finns över hela Sverige som kan göra identifieringen precis som FrejaID löser det med ATG och QR-koder. Här tror jag djävulen finns i detaljerna minst sagt och att det är därför det inte finns så många aktörer.
Detta är bara toppen av isberget, finns säkert en hel del historik från de senaste 10 åren om svensk e-legitimation. Första lämpliga stegen är nog att grotta ner sig mer i hur Sweden Connect/eIDAS fungerar idag och är tänkt att fungera i en perfekt värld. Samt titta vilka alternativ det finns på öppna lösningar där Proof of concept kan vara intressant. Förutom det tekniska är det högst intressant att fråga runt bland erfarna/kunniga om affärsmodeller och hur "marknaden" fungerar idag rent ekonomiskt.
[1] https://www.swedenconnect.se/ [2] https://www.elegitimation.se/sa-fungerar-e-legitimation
Med vänlig hälsning
Hej,
Det här kan också vara intressant att kolla in apropå det som Cynthia Revström skrev om eID för papperslösa:
"eID Ny i Sverige - Dokumentation för samarbetsprojektet e-leg för asylsökande. Verkar för att papperslösa eller medborgare från länder utanför EU ska kunna använda sig utav myndigheternas digitala utbud."
Länk: https://gitlab.com/open-data-knowledge-sharing/e-leg/wiki
Mvh, Mattias Axell
On 2021-09-05 23:42, Henrik Grimler wrote:
On Tue, 2021-08-03 at 19:29 +0200, Christoffer Holmstedt wrote:
Jag är gärna med. I kontakt med Svenska myndigheter är det hopplöst utan BankID. Jag har AB Svenska Pass men har aldrig fått det att fungera i *buntu.
Redan för 10 år sedan pratades det en hel del om elegitimationer och möjliggöra för flera olika aktörer att agera identitetsleverantör i en "federation". Jag har inte följt det i detalj men bevisligen har det inte bildats så många aktörer på marknaden så oklart vad som har gått snett. Det verkar heta Sweden Connect idag och bygger på SAML [1], det verkar också vara svenska kopplingen till andra nationer inom eIDAS. Vad jag vet är varken Freja eID eller BankID anslutna till federationen utan kör sina egna spår. När det begav sig så var det många klagomål på SAML tekniken och FRA(?) gjorde en genomgång av tekniken. En hel del var utsuddat i rapporten av sekretesskäl så oklart vad FRA påpekade för brister. Befintliga inloggningstjänster som bygger på samma teknik är skolfederation (https://www.skolfederation.se/) för skolor gymnasie och lägre, SAMBI för apotek, kommuner och andra aktörer inom vård och omsorg (https://www.sambi.se/) samt SWAMID för universitet och högskolor (https://wiki.sunet.se/display/SWAMID)
Precis som skrivs på elegitimation.se [2] kan inte DIGG ställa krav på privata aktörer att de ska ha stöd för viss teknik i deras eID lösningar, och det tycker jag är rätt. Det skulle vara konstigt om staten går in och tvingar Freja eID eller BankID att de måste ha stöd för ett visst operativsystem. Nuvarande situation öppnar upp för fler aktörer som faktiskt är intresserad av att ha stöd för fler platformar och desto mer FOSS. Mina tankar har snurrat kring SoloKey (eller annan nyckel)/WebAuthn osv. för inloggning, dock oklart om det duger för högre tillitsnivåer. En annan funderare är hur man binder en hårdvarunyckel till en individ (identifiering). Högsta tillitsnivå i Sverige kräver att man gör det i person, vilket kräver en affärsmodell där man anlitar något företag som finns över hela Sverige som kan göra identifieringen precis som FrejaID löser det med ATG och QR-koder. Här tror jag djävulen finns i detaljerna minst sagt och att det är därför det inte finns så många aktörer.
Detta är bara toppen av isberget, finns säkert en hel del historik från de senaste 10 åren om svensk e-legitimation. Första lämpliga stegen är nog att grotta ner sig mer i hur Sweden Connect/eIDAS fungerar idag och är tänkt att fungera i en perfekt värld. Samt titta vilka alternativ det finns på öppna lösningar där Proof of concept kan vara intressant. Förutom det tekniska är det högst intressant att fråga runt bland erfarna/kunniga om affärsmodeller och hur "marknaden" fungerar idag rent ekonomiskt.
[1] https://www.swedenconnect.se/ [2] https://www.elegitimation.se/sa-fungerar-e-legitimation
Med vänlig hälsning
Hej alla!
(Nytt försök, texten i förra mailet trollades bort av min mailklient)
Kanonbra initiativ! När webbläsarplugin varianten av bankid försvann 2014 så hänvisades GNU/linux användare till mobilt bank-id. Alla har dock inte tillräckligt ny android/iphone mobil, och idag finns det ju tämligen väl fungerande linux-telefoner utan möjlighet till användning av mobilt bankid.
Till den gamla bankid varianten fanns det åtminstone ett helt öppet (inte ens knutet till webbläsare) alternativ, fribid [1]. På den gamla wikin [2] för det projektet finns även en del reverse-engineerings anteckningar för den nya bank-id varianten.
Förhoppningsvis går det att övertyga nån befintlig aktör att släppa sin lösning fri. Att behöva reverse-engineera nånting är väl knappast önskvärt, och som Elias nämne i ursprungsmailet har åtminstone AB Svenska Pass förbjudit reverse-engineering i sina villkor. Min bank skriver i sina villkor add kunden åtager sig att "endast använda sig av banken godkänd programvara vid styrkande av identitet och signering med hjälp av BankID".
On Tue, 2021-08-03 at 19:29 +0200, Christoffer Holmstedt wrote:
Jag är gärna med. I kontakt med Svenska myndigheter är det hopplöst utan BankID. Jag har AB Svenska Pass men har aldrig fått det att fungera i *buntu.
Deras program fungerar dåligt för mig också, men jag brukar få det att fungera efter några försö. När det inte fungerar låser plugin:en hela webbläsaren tills läsaren eller kortet kopplas bort. Jag har ringt deras telefonsupport två gånger, men de har inte varit så intresserade av att felsöka eller hjälpa till ("försök igen senare"). pcscd måste köras i bakgrunden i alla fall, och deras plugin installerad (så klart).
Ses på mötet! Med vänlig hälsning Henrik Grimler
[1] https://fribid.se/ [2] https://wiki.fribid.se/
Mailet från Elias verkar inte ha kommit fram till mig så jag kan inte svara på det direkt men, jag är definitivt intresserad av att hjälpa till med det här projektet.
Jag tror nog också att jag kan ha några mer unika edge-cases som jag stött på relaterat till BankID som kan vara bra att tänka på ifall man vill komma på ett bättre förslag.
Jag vet inte hur det ser ut med de avtalen men jag skulle väl tro att även fast DIGG inte kan ställa vissa krav på eID leverantörerna så borde väl Skatteverket kunna ställa det på eID på deras ID-kort?
-Cynthia
On Tue, Aug 3, 2021 at 8:31 AM Daniel Lublin daniel@lublin.se wrote:
Lovvärt!
Möjligen vill man forska lite i EID/EIDAS också, och fundera på hur det kan påverka det hela. Det verkar vara ett projekt för gemensam identifiering inom EU. Och är väl än så länge en vision från kommissionen... Nog inte så bra länk, men iaf: https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/eID
-- Daniel lublin.se -- DFRI-listan är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/listan/ Listpolicy: https://www.dfri.se/regler-for-listan
Tack Elias,
Ett jättebra initiativ som passar föreningen!
Hälsningar, Tobias
On 02/08/2021 10:37, Elias Rudberg wrote:
Hej!
Jag skulle vilja starta ett DFRI-projekt som handlar om hur en fri och öppen lösning för svensk e-legitimation kan bli verklighet. Här nedanför försöker jag förklara tanken med detta. Tacksam för all sorts återkoppling, särskilt om du kan tänka dig att vara med och delta i projektet.
Bakgrund
Utgångspunkten är att e-legitimation är väldigt användbart och används mer och mer, inte minst i kontakt med myndigheter. Det är därför viktigt att ha system för e-legitimation som respekterar digitala fri- och rättigheter.
En viktig princip när det gäller digitala fri- och rättigheter är att var och en själv ska kunna bestämma vad hen vill installera på sin dator/smartphone/motsvarande. Staten ska till exempel inte bestämma vilket operativsystem jag kör på min dator.
Problemet som det här projektet handlar om är att i dagsläget har vi i Sverige situationen att den som behöver använda e-legitimation måste använda operativsystem ägda och kontrollerade av Microsoft, Apple eller Google. Om någon insisterar på att använda system baserade på fri och öppen källkod (som GNU/Linux) kan den personen i praktiken inte använda e-legitimation. Vi tvingas välja mellan att antingen leva helt utan e- legitimation (vilket blir allt svårare), eller ge upp vår frihet och installera system som ger Microsoft/Apple/Google makt över oss.
Projektmål
Målet är att det ska finnas en fri och öppen lösning för svensk e- legitimation som ska kunna användas av alla, en lösning som respekterar våra digitala fri- och rättigheter.
I stället för att kräva installation av saker som användaren inte kan kontrollera på användarens dator/smartphone/motsvarande bör systemet för e-legitimation öppet redovisa ett protokoll för hur man kommunicerar med systemet. Det blir då möjligt för alla att använda e- legitimation, oavsett vilken typ av dator/smartphone/motsvarande personen väljer att använda.
Vägar till målet
Följande är fem olika förslag på hur projektmålet kan nås:
- Övertala någon av existerande kommersiella aktörer, BankID eller
Freja eID Plus så att någon av dem gör sin lösning tillgänglig även för den som bara använder fri och öppen källkod på sin dator.
- Övertala staten via relevanta myndigheter t.ex. Skatteverket som ger
ut "AB Svenska Pass" e-legitimation så att den görs tillgänglig även för den som bara använder fri och öppen källkod på sin dator.
- Övertala politiker så att myndigheter tvingas lösa problemet via
lagändringar eller direktiv från politiker till myndigheterna.
- Stödja utveckling av alternativa lösningar som respekterar digitala
fri- och rättigheter, om sådana lösningar finns.
- Utveckla en egen lösning som "proof of concept" för att visa hur en
fri och öppen lösning skulle kunna fungera.
Nuvarande alternativ för e-legitimation och problemen med dem
Se https://www.elegitimation.se/skaffa-e-legitimation där de nuvarande typerna av e-legitimation finns listade.
- BankID (utgiven av bankerna): fungerar bara för den som använder
stängda operativsystem från Microsoft/Apple/Google. Dessutom stängd källkod för själva klient-programvaran för e-legitimation som installeras på användarens dator/smartphone. Användaren kan inte kontrollera vad som händer på ens egen dator/smartphone.
- Freja eID Plus (utgiven av Freja eID Group AB): kräver operativsystem
från Apple/Google, samma nackdelar som BankID.
- AB Svenska Pass (utgiven av Skatteverket): Jämfört med de andra två
har denna fördelen att den går att använda i GNU/Linux men själva klient-programvaran för e-legitimation är stängd och användaren måste acceptera ett "End-User License Agreement" som säger att reverse- engineering är förbjudet osv. Även här gäller alltså att användaren inte kan kontrollera vad som händer på ens egen dator/smartphone.
Vad vi kan göra i projektet
Vi kan göra många olika saker i projektet, till exempel:
- Ta reda på och sammanställa information om hur system för e-
legitimation fungerar och vilka svårigheterna är, för att förstå problemet bättre.
- Kommunicera med existerande utgivare av e-legitimation för att
övertala dem till att utveckla en öppen lösning, men också för att få mer förståelse och kunskap om varför de gör som de gör i dagsläget.
- Kommunicera med myndigheter för att ta reda på hur de ser på
problemet.
- Genomföra en informationskampanj riktad till allmänheten för att få
fler att förstå problemet och kräva en förändring. Kanske leder det till fler projektmedlemmar.
- Ta reda på om det finns politiker som är insatta och/eller
intresserade av att driva frågan.
- Ta reda på om det finns journalister som är intresserade av att
rapportera kring frågan.
- Undersöka vilka system för e-legitimation som finns i andra länder
för att se om något av dem respekterar digitala fri- och rättigheter bättre än de system som finns i Sverige i dag.
- Undersöka situationen juridiskt, t.ex. ta reda på om det är olagligt
för staten att erbjuda tjänster för bara de medborgare som är kunder hos vissa specifika storföretag.
- Undersöka om existerade öppna standarder för kryptering, e-signering
osv. kan användas som grund för e-legitimation. Det finns ju beprövade öppna standarder för t.ex. hur publika och privata nycklar kan användas, Diffie-Hellman key agreement, certifikat osv, med existerande mjukvara baserad på fri och öppen källkod som hanterar sådant, t.ex. programvara för https och ssh.
- Skissa förslag på hur ett framtida fritt och öppet system för e-
legitimation skulle kunna se ut. (Förenklat exempel: en myndighet ansvarig för e-legitimation skulle kunna hålla ett register över individers publika nycklar och varje person kunde ha sin egen privata nyckel och använda den för att bevisa sin identitet.)
- Utveckla en egen lösning som "proof of concept".
Argument för varför projektet behövs
Här är några andra argument som kan användas för att förklara varför det här är en viktig fråga:
- Orättvist övertag för teknikjättarna jämfört med möjliga
konkurrenter: dagens situation ger jättarna Google/Apple/Microsoft ett stort övertag genom att alla som behöver e-legitimation måste använda Google/Apple/Microsoft-operativsystem. Det gör att det blir mycket svårare för alternativ att etablera sig. Exempel är smartphones som Librem 5 och PinePhone som använder GNU/Linux och alltså gör det möjligt att vara fri från Google/Apple/Microsoft och deras ständiga övervakning. Situationen med e-legitimation gör det lättare för jättarna att behålla sin dominans, eftersom friare alternativ inte kan konkurrera på den punkten.
- Jämfört med en del andra frågor kring digitala fri- och rättigheter
är frågan om e-legitimation ett fall där staten har en tydlig roll, det går att argumentera för att staten har ett ansvar att göra e- legitimation tillgängligt på ett rättvist sätt för alla. Vem tjänar på dagens situation? Bankerna är nöjda. Google/Apple är nöjda. Vem missgynnas av dagens situation? Enskilda människor som vill ha makt över sitt eget liv, och staten som misslyckas med att bevaka medborgarnas intressen och i stället gjort sig beroende av enorma företag.
- Man kan ifrågasätta säkerheten i nuvarande system, "security by
obscurity" är inte alltid det bästa. Avslöjandena kring NSO och Pegasus nyligen har också visat att Android och iOS inte nödvändigtvis är säkra plattformar. Det är då olyckligt om staten hänvisar alla till att använda bara de plattformarna. Man borde åtminstone ha möjligheten att själv se till att förvara sin privata nyckel säkert och inte tvingas använda system baserade på Android/iOS som inte går att verifiera.
- Statens ansvar för att värna digital säkerhet oberoende företag: när
den svenska staten hänvisar till system som bara fungerar för Apple/Google-kunder ger det en stor fördel för Apple och Google, företag som redan har en extremt stor makt över människors liv. Den svenska staten borde inte bidra till att ytterligare öka Apples och Googles makt. I stället borde staten ha kontroll över sina egna system och låta medborgarna själva besluta om de vill vara kunder hos Apple/Google eller inte. Det är fel att staten de facto styr människor till att bli kunder hos Apple/Google för att kunna använda e- legitimation. Varför ska den svenska staten hjälpa Apple/Google på det här sättet?
- Övervakningssamhället: eftersom de nuvarande systemen för e-
legitimation kräver att man installerar för användaren okänd, stängd programvara på sin dator/smartphone, kan det hända att man därigenom övervakas av staten och/eller Apple/Google/andra aktörer, utan att man som användare har någon möjlighet att kontrollera vad programvaran faktiskt gör.
- Säkerhetspolitik: dagens situation, med extremt stort beroende av
Apple/Google, innebär att ett gigantiskt storföretag kan trycka på en knapp så slutar de svenska systemen för e-legitimation fungera. Den svenska staten har inte kontroll utan har gjort sig beroende av Apple/Google.
- I myndigheternas information kring covid-19-vaccination den senaste
tiden förklaras tydligt hur man gör för att boka vaccination för den som har BankID. Den som inte har BankID betraktas som en besvärlig person och hänvisas till telefon-bokning och får sämre förutsättningar, t.ex. skickas påminnelse inför vaccinationen tydligen endast till de som har BankID. Det här skapar ett starkt tryck att staten förväntar sig att alla ska ha BankID, vilket innebär att staten förväntar sig att alla ska vara kunder hos Google/Apple/Microsoft. Det är lätt att få intrycket att den som inte vill installera stängd hemlig programvara från Google/Apple/Microsoft är en besvärlig medborgare som staten helst vill slippa befatta sig med.
Delta i projektet
Svara gärna på detta mejl om du:
- Har någon form av fråga eller annan återkoppling kring detta med en
fri och öppen e-legitimation. 2. Vill delta i projektet på något sätt.
Vänliga hälsningar Elias Rudberg Medlem i DFRI
Tack för ett mycket spännande initiativ!
Några spontana tankar:
– Frågan är större än "det ska gå att använda BankID på Linux". Ens om appen BankID hade varit FOSS återstår exempelvis frågan varför min bank ska behöva känna till vilka sjukvårdstjänster jag använder, eller varför den som saknar svenskt personnummer ska uteslutas.
– Det finns betydande litteratur (mer eller mindre vetenskaplig) om hur e-legitimation kunde eller borde fungera. En tidig milstolpe var Kim Camerons "Laws of Identity"[1]. Ett nyare teoretiskt ramverk är Self- Sovereign Identity[2,3]. Om någon hittat annat, tipsa gärna!
– Samma diskussion pågår säkert parallellt i andra länder. Undrar om DFRI har kontakt med grupper som driver liknande frågor, exempelvis genom EDRI? Jämförande verksamhet vore mycket värdefull. Om man fastställer kriterier för "god" e-legitimation kan man sedan skapa en jämförande informationsresurs, i stil med EFF:s Secure Messaging Scorecard[4].
– Det finns FOSS-lösningar där ute som används redan idag. Exempelvis i Italien utfärdar staten identitetskort med inbyggd e-legitimation, som används via NFC med en app som heter CieID (BSD-3 licens)[5]. Den har relativt få användare (än), då bankerna var ute tidigare och har appar som upplevs som mindre "bökiga". Undrar hur svårt det vore att med CieID:s källkod bygga en svensk "proof of concept"?
– Daniel pekade pa EU:s eID/eIDAS ramverk. Där jobbar man dels med att se till att EU-länders e-legitimation ska gå att använda över gränser. Sverige ligger lite efter med detta, exempelvis kan man använda utländsk e-legitimation hos Skatteverket (testa inloggning i Mina sidor, välj "Foreign eID"), men inte hos Försäkringskassan, där inloggningen ska vara kopplad till ett svenskt personnummer. (I och för sig får Sverige jämt kritik för den utanförskap som följer av systemet med personnummer, inte minst från just EU[6].)
– Ett intressant och ganska färskt initiativ på EU-nivå är ESSIF, som just är en implementering av Self-Sovereign Identity[7]. Detta utvecklas inom European Blockchain Services Infrastructure (EBSI). (Jag har ingen koll alls på vem som är vem i dessa miljöer, men initiativet låter spännande. Någon som har bättre koll?)
– Frågan om e-legitimation hänger tätt ihop med e-signatur och "säkra brevlådor". Vem utsåg Adobe till internets notarier? Och varför ska min brevlåda finnas någon annanstans än hos mig? (Antar att jag predikar för de redan frälsta, här på DFRI-listan!) I vissa sammanhang kan det vara värt att behandla legitimation, signatur och meddelandesekretess som olika fasetter av en och samma fråga.
Jag kan tänka mig vara med på ett hörn, dock med just nu begränsat tid. (Har blivit lite försiktigare sedan jag någon gång lovat mer än jag kunnat hålla.)
Hälsningar, Haro
PS Det ser ut som att vi jobbar vid samma universitet, Elias.
[1] https://www.identityblog.com/stories/2005/05/13/TheLawsOfIdentity.pdf [2] http://www.lifewithalacrity.com/2016/04/the-path-to-self-soverereign-identit... [3] https://en.wikipedia.org/wiki/Self-sovereign_identity [4] https://www.eff.org/pages/secure-messaging-scorecard [5] https://it.wikipedia.org/wiki/CieID [6] https://www.thelocal.se/20171128/sweden-in-breach-of-eu-law-for-refusal-to-i... [7] https://ec.europa.eu/cefdigital/wiki/pages/viewpage.action?pageId=379913698
[...]
– Frågan är större än "det ska gå att använda BankID på Linux". Ens om appen BankID hade varit FOSS återstår exempelvis frågan varför min bank ska behöva känna till vilka sjukvårdstjänster jag använder, eller varför den som saknar svenskt personnummer ska uteslutas.
[...]
Det är mer komplicerat och tyvärr tror jag att komma ifrån personnummer är vi väldigt långt ifrån med tanke på hur vi inte ens lyckades göra personnummer könsneutrala som gjordes med födelseplats på 90-talet. (det skulle bara ändra hur man läste numren)
Det finns många problem med det men jag tror att det är en allt för stor sak att lyckas med i nuvarande läget.
Men om man bygger en öppen standard borde man bygga den för att ha möjlighet att använda andra "identifiers" i framtiden.
-Cynthia
On Thu, Aug 5, 2021 at 5:02 PM Haro de Grauw me@hadg.eu wrote:
Tack för ett mycket spännande initiativ!
Några spontana tankar:
– Frågan är större än "det ska gå att använda BankID på Linux". Ens om appen BankID hade varit FOSS återstår exempelvis frågan varför min bank ska behöva känna till vilka sjukvårdstjänster jag använder, eller varför den som saknar svenskt personnummer ska uteslutas.
– Det finns betydande litteratur (mer eller mindre vetenskaplig) om hur e-legitimation kunde eller borde fungera. En tidig milstolpe var Kim Camerons "Laws of Identity"[1]. Ett nyare teoretiskt ramverk är Self- Sovereign Identity[2,3]. Om någon hittat annat, tipsa gärna!
– Samma diskussion pågår säkert parallellt i andra länder. Undrar om DFRI har kontakt med grupper som driver liknande frågor, exempelvis genom EDRI? Jämförande verksamhet vore mycket värdefull. Om man fastställer kriterier för "god" e-legitimation kan man sedan skapa en jämförande informationsresurs, i stil med EFF:s Secure Messaging Scorecard[4].
– Det finns FOSS-lösningar där ute som används redan idag. Exempelvis i Italien utfärdar staten identitetskort med inbyggd e-legitimation, som används via NFC med en app som heter CieID (BSD-3 licens)[5]. Den har relativt få användare (än), då bankerna var ute tidigare och har appar som upplevs som mindre "bökiga". Undrar hur svårt det vore att med CieID:s källkod bygga en svensk "proof of concept"?
– Daniel pekade pa EU:s eID/eIDAS ramverk. Där jobbar man dels med att se till att EU-länders e-legitimation ska gå att använda över gränser. Sverige ligger lite efter med detta, exempelvis kan man använda utländsk e-legitimation hos Skatteverket (testa inloggning i Mina sidor, välj "Foreign eID"), men inte hos Försäkringskassan, där inloggningen ska vara kopplad till ett svenskt personnummer. (I och för sig får Sverige jämt kritik för den utanförskap som följer av systemet med personnummer, inte minst från just EU[6].)
– Ett intressant och ganska färskt initiativ på EU-nivå är ESSIF, som just är en implementering av Self-Sovereign Identity[7]. Detta utvecklas inom European Blockchain Services Infrastructure (EBSI). (Jag har ingen koll alls på vem som är vem i dessa miljöer, men initiativet låter spännande. Någon som har bättre koll?)
– Frågan om e-legitimation hänger tätt ihop med e-signatur och "säkra brevlådor". Vem utsåg Adobe till internets notarier? Och varför ska min brevlåda finnas någon annanstans än hos mig? (Antar att jag predikar för de redan frälsta, här på DFRI-listan!) I vissa sammanhang kan det vara värt att behandla legitimation, signatur och meddelandesekretess som olika fasetter av en och samma fråga.
Jag kan tänka mig vara med på ett hörn, dock med just nu begränsat tid. (Har blivit lite försiktigare sedan jag någon gång lovat mer än jag kunnat hålla.)
Hälsningar, Haro
PS Det ser ut som att vi jobbar vid samma universitet, Elias.
[1] https://www.identityblog.com/stories/2005/05/13/TheLawsOfIdentity.pdf [2]
http://www.lifewithalacrity.com/2016/04/the-path-to-self-soverereign-identit... [3] https://en.wikipedia.org/wiki/Self-sovereign_identity [4] https://www.eff.org/pages/secure-messaging-scorecard [5] https://it.wikipedia.org/wiki/CieID [6]
https://www.thelocal.se/20171128/sweden-in-breach-of-eu-law-for-refusal-to-i... [7] https://ec.europa.eu/cefdigital/wiki/pages/viewpage.action?pageId=379913698
-- DFRI-listan är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/listan/ Listpolicy: https://www.dfri.se/regler-for-listan
Hej,
Vilka spännande och lärorika inspel från så många här!
@Elias det ser ut som att du fått fint med intresse på detta projektförslag. Ytterligare en grej är de 60-80 000 mobiler som blev oanvändbara för BankID i Sverige i juni när minimikraven höjdes för Android respektive iOS. https://support.bankid.com/sv/fragor-svar/tekniska-fragor/varfoer-har-ni-avi... Tror def. att DFRI kan ta kontakt med systerorganisationer inom Europa genom EDRI för projektet. Kanske det finns liknande situationer i fler länder och kanske det går att söka gemensamma projektmedel.
Om möjligt kan styrelsen ta upp detta på nästa styrelsemöte nästa onsdag 18/8 som en mötespunkt. Meddela isf så kan jag lägga in det i protokollet.
Mvh, Mattias
DFRI
On 2021-08-08 23:54, Cynthia Revström wrote:
[...] – Frågan är större än "det ska gå att använda BankID på Linux". Ens om appen BankID hade varit FOSS återstår exempelvis frågan varför min bank ska behöva känna till vilka sjukvårdstjänster jag använder, eller varför den som saknar svenskt personnummer ska uteslutas. [...]Det är mer komplicerat och tyvärr tror jag att komma ifrån personnummer är vi väldigt långt ifrån med tanke på hur vi inte ens lyckades göra personnummer könsneutrala som gjordes med födelseplats på 90-talet. (det skulle bara ändra hur man läste numren) Det finns många problem med det men jag tror att det är en allt för stor sak att lyckas med i nuvarande läget. Men om man bygger en öppen standard borde man bygga den för att ha möjlighet att använda andra "identifiers" i framtiden. -Cynthia On Thu, Aug 5, 2021 at 5:02 PM Haro de Grauw <me@hadg.eu mailto:me@hadg.eu> wrote:
Tack för ett mycket spännande initiativ! Några spontana tankar: – Frågan är större än "det ska gå att använda BankID på Linux". Ens om appen BankID hade varit FOSS återstår exempelvis frågan varför min bank ska behöva känna till vilka sjukvårdstjänster jag använder, eller varför den som saknar svenskt personnummer ska uteslutas. – Det finns betydande litteratur (mer eller mindre vetenskaplig) om hur e-legitimation kunde eller borde fungera. En tidig milstolpe var Kim Camerons "Laws of Identity"[1]. Ett nyare teoretiskt ramverk är Self- Sovereign Identity[2,3]. Om någon hittat annat, tipsa gärna! – Samma diskussion pågår säkert parallellt i andra länder. Undrar om DFRI har kontakt med grupper som driver liknande frågor, exempelvis genom EDRI? Jämförande verksamhet vore mycket värdefull. Om man fastställer kriterier för "god" e-legitimation kan man sedan skapa en jämförande informationsresurs, i stil med EFF:s Secure Messaging Scorecard[4]. – Det finns FOSS-lösningar där ute som används redan idag. Exempelvis i Italien utfärdar staten identitetskort med inbyggd e-legitimation, som används via NFC med en app som heter CieID (BSD-3 licens)[5]. Den har relativt få användare (än), då bankerna var ute tidigare och har appar som upplevs som mindre "bökiga". Undrar hur svårt det vore att med CieID:s källkod bygga en svensk "proof of concept"? – Daniel pekade pa EU:s eID/eIDAS ramverk. Där jobbar man dels med att se till att EU-länders e-legitimation ska gå att använda över gränser. Sverige ligger lite efter med detta, exempelvis kan man använda utländsk e-legitimation hos Skatteverket (testa inloggning i Mina sidor, välj "Foreign eID"), men inte hos Försäkringskassan, där inloggningen ska vara kopplad till ett svenskt personnummer. (I och för sig får Sverige jämt kritik för den utanförskap som följer av systemet med personnummer, inte minst från just EU[6].) – Ett intressant och ganska färskt initiativ på EU-nivå är ESSIF, som just är en implementering av Self-Sovereign Identity[7]. Detta utvecklas inom European Blockchain Services Infrastructure (EBSI). (Jag har ingen koll alls på vem som är vem i dessa miljöer, men initiativet låter spännande. Någon som har bättre koll?) – Frågan om e-legitimation hänger tätt ihop med e-signatur och "säkra brevlådor". Vem utsåg Adobe till internets notarier? Och varför ska min brevlåda finnas någon annanstans än hos mig? (Antar att jag predikar för de redan frälsta, här på DFRI-listan!) I vissa sammanhang kan det vara värt att behandla legitimation, signatur och meddelandesekretess som olika fasetter av en och samma fråga. Jag kan tänka mig vara med på ett hörn, dock med just nu begränsat tid. (Har blivit lite försiktigare sedan jag någon gång lovat mer än jag kunnat hålla.) Hälsningar, Haro PS Det ser ut som att vi jobbar vid samma universitet, Elias. [1] https://www.identityblog.com/stories/2005/05/13/TheLawsOfIdentity.pdf <https://www.identityblog.com/stories/2005/05/13/TheLawsOfIdentity.pdf> [2] http://www.lifewithalacrity.com/2016/04/the-path-to-self-soverereign-identity.html <http://www.lifewithalacrity.com/2016/04/the-path-to-self-soverereign-identity.html> [3]https://en.wikipedia.org/wiki/Self-sovereign_identity <https://en.wikipedia.org/wiki/Self-sovereign_identity> [4]https://www.eff.org/pages/secure-messaging-scorecard <https://www.eff.org/pages/secure-messaging-scorecard> [5]https://it.wikipedia.org/wiki/CieID <https://it.wikipedia.org/wiki/CieID> [6] https://www.thelocal.se/20171128/sweden-in-breach-of-eu-law-for-refusal-to-issue-a-personnummer-to-eu- <https://www.thelocal.se/20171128/sweden-in-breach-of-eu-law-for-refusal-to-issue-a-personnummer-to-eu-> [7] https://ec.europa.eu/cefdigital/wiki/pages/viewpage.action?pageId=379913698 <https://ec.europa.eu/cefdigital/wiki/pages/viewpage.action?pageId=379913698> -- DFRI-listan är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv:https://lists.dfri.se/listan/ <https://lists.dfri.se/listan/> Listpolicy:https://www.dfri.se/regler-for-listan <https://www.dfri.se/regler-for-listan>
Hej,
Tack alla som svarat om e-legitimation, väldigt roligt med så många kloka och intressanta synpunkter!
Med så många engagerade borde det finnas bra möjligheter att få igång ett DFRI-projekt om det här. Jag pratade igår med Mattias om vad som kan vara nästa steg och kom fram till att det kan vara bra att ha ett möte som en sorts projekt-start:
Tid: onsdag 15 september klockan 19:00-20:30
Plats: https://jitsi.eliasrudberg.se/e-id-meeting (det är min egen jitsi-server utan spårning och sådant)
Vem kan vara med: alla som är intresserade av att delta i ett projekt om e-legitimation
Planen är att vid det mötet kan vi komma överens om att starta projektet och vi kan diskutera bland annat de olika punkterna här: https://www.dfri.se/projekt/projektguide-och-kriterier/
Så skriv upp den 15 september 19:00 i kalendern, hoppas att så många som möjligt kan vara med då. Förhoppningsvis kan DFRI-styrelsen sedan besluta att starta projektet som ett officiellt DFRI-projekt.
Tack igen för alla kloka svar, hoppas vi ses på mötet!
Vänliga hälsningar Elias
PS När det gäller Self-Sovereign Identity (SSI) som bland annat Haro tog upp har jag precis skaffat en nyutkommen bok om det, "Self-Sovereign Identity: Decentralized digital identity and verifiable credentials" (2021) av Alex Preukschat och Drummond Reed. Har inte hunnit läsa ännu, men SSI verkar väldigt intressant och relevant för det här projektet och jag hoppas hinna läsa och lära mig mer om det före mötet. Boken tar också upp SSI kopplat till eIDAS.
On 2021-08-10 18:49, Mattias Axell wrote:
Hej,
Vilka spännande och lärorika inspel från så många här!
@Elias det ser ut som att du fått fint med intresse på detta projektförslag. Ytterligare en grej är de 60-80 000 mobiler som blev oanvändbara för BankID i Sverige i juni när minimikraven höjdes för Android respektive iOS.https://support.bankid.com/sv/fragor-svar/tekniska-fragor/varfoer-har-ni-avi... Tror def. att DFRI kan ta kontakt med systerorganisationer inom Europa genom EDRI för projektet. Kanske det finns liknande situationer i fler länder och kanske det går att söka gemensamma projektmedel.
Om möjligt kan styrelsen ta upp detta på nästa styrelsemöte nästa onsdag 18/8 som en mötespunkt. Meddela isf så kan jag lägga in det i protokollet.
Mvh, Mattias
DFRI
On 2021-08-08 23:54, Cynthia Revström wrote:
[...] – Frågan är större än "det ska gå att använda BankID på Linux". Ens om appen BankID hade varit FOSS återstår exempelvis frågan varför min bank ska behöva känna till vilka sjukvårdstjänster jag använder, eller varför den som saknar svenskt personnummer ska uteslutas. [...]Det är mer komplicerat och tyvärr tror jag att komma ifrån personnummer är vi väldigt långt ifrån med tanke på hur vi inte ens lyckades göra personnummer könsneutrala som gjordes med födelseplats på 90-talet. (det skulle bara ändra hur man läste numren) Det finns många problem med det men jag tror att det är en allt för stor sak att lyckas med i nuvarande läget. Men om man bygger en öppen standard borde man bygga den för att ha möjlighet att använda andra "identifiers" i framtiden. -Cynthia On Thu, Aug 5, 2021 at 5:02 PM Haro de Grauw <me@hadg.eu mailto:me@hadg.eu> wrote:
Tack för ett mycket spännande initiativ! Några spontana tankar: – Frågan är större än "det ska gå att använda BankID på Linux".[...]
Hej,
Jag såg en artikel om eHälsomyndighetens problem med att covidbevis inte finns tillgängliga för personer med samordningsnummer.
Jag tänkte att det kanske kunde vara intressant för vissa här eftersom att jag antar att e-legitimation är en stor del av problemet här.
https://www.svt.se/nyheter/lokalt/skane/far-inget-covidbevis-trots-dubbla-va...
-Cynthia
On Thu, Aug 26, 2021, 14:18 Elias Rudberg mail@eliasrudberg.se wrote:
Hej,
Tack alla som svarat om e-legitimation, väldigt roligt med så många kloka och intressanta synpunkter!
Med så många engagerade borde det finnas bra möjligheter att få igång ett DFRI-projekt om det här. Jag pratade igår med Mattias om vad som kan vara nästa steg och kom fram till att det kan vara bra att ha ett möte som en sorts projekt-start:
Tid: onsdag 15 september klockan 19:00-20:30
Plats: https://jitsi.eliasrudberg.se/e-id-meeting (det är min egen jitsi-server utan spårning och sådant)
Vem kan vara med: alla som är intresserade av att delta i ett projekt om e-legitimation
Planen är att vid det mötet kan vi komma överens om att starta projektet och vi kan diskutera bland annat de olika punkterna här: https://www.dfri.se/projekt/projektguide-och-kriterier/
Så skriv upp den 15 september 19:00 i kalendern, hoppas att så många som möjligt kan vara med då. Förhoppningsvis kan DFRI-styrelsen sedan besluta att starta projektet som ett officiellt DFRI-projekt.
Tack igen för alla kloka svar, hoppas vi ses på mötet!
Vänliga hälsningar Elias
PS När det gäller Self-Sovereign Identity (SSI) som bland annat Haro tog upp har jag precis skaffat en nyutkommen bok om det, "Self-Sovereign Identity: Decentralized digital identity and verifiable credentials" (2021) av Alex Preukschat och Drummond Reed. Har inte hunnit läsa ännu, men SSI verkar väldigt intressant och relevant för det här projektet och jag hoppas hinna läsa och lära mig mer om det före mötet. Boken tar också upp SSI kopplat till eIDAS.
On 2021-08-10 18:49, Mattias Axell wrote:
Hej,
Vilka spännande och lärorika inspel från så många här!
@Elias det ser ut som att du fått fint med intresse på detta
projektförslag. Ytterligare en grej är de 60-80 000 mobiler som blev oanvändbara för BankID i Sverige i juni när minimikraven höjdes för Android respektive iOS. https://support.bankid.com/sv/fragor-svar/tekniska-fragor/varfoer-har-ni-avi...
Tror def. att DFRI kan ta kontakt med systerorganisationer inom Europa
genom EDRI för projektet. Kanske det finns liknande situationer i fler länder och kanske det går att söka gemensamma projektmedel.
Om möjligt kan styrelsen ta upp detta på nästa styrelsemöte nästa onsdag
18/8 som en mötespunkt. Meddela isf så kan jag lägga in det i protokollet.
Mvh, Mattias
DFRI
On 2021-08-08 23:54, Cynthia Revström wrote:
[...] – Frågan är större än "det ska gå att använda BankID på Linux". Ensom
appen BankID hade varit FOSS återstår exempelvis frågan varför minbank
ska behöva känna till vilka sjukvårdstjänster jag använder, eller varför den som saknar svenskt personnummer ska uteslutas. [...]Det är mer komplicerat och tyvärr tror jag att komma ifrån personnummer
är vi väldigt långt ifrån med tanke på hur vi inte ens lyckades göra personnummer könsneutrala som gjordes med födelseplats på 90-talet. (det skulle bara ändra hur man läste numren)
Det finns många problem med det men jag tror att det är en allt för
stor sak att lyckas med i nuvarande läget.
Men om man bygger en öppen standard borde man bygga den för att ha
möjlighet att använda andra "identifiers" i framtiden.
-Cynthia On Thu, Aug 5, 2021 at 5:02 PM Haro de Grauw <me@hadg.eu <mailto:
me@hadg.eu>> wrote:
Tack för ett mycket spännande initiativ! Några spontana tankar: – Frågan är större än "det ska gå att använda BankID på Linux".[...]
-- DFRI-listan är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/listan/ Listpolicy: https://www.dfri.se/regler-for-listan
-
Christoffer Holmstedt -
Cynthia Revström -
Daniel Lublin -
Elias Rudberg -
Erik Josefsson -
Haro de Grauw -
Henrik Grimler -
Mattias Axell -
Tobias Pulls