[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [eleg-projekt] Skiss av hur en fri och öppen e-leg-lösning skulle kunna fungera



God morgon!

Jag tycker det ni (Elias, Cynthia och Jonas) skriver låter bra. Tror nog också att det tekniska inte är det stora problemet, utan att göra problemställningen allmänt uppmärksammad och förstådd och därmed nyttan av en alternativ lösning. Men att då ha ett fungerande alternativ att visa underlättar ju oerhört.

Tanken om nyckelpar ligger ju i linje med gpg. Jag har föreslagit att vi skulle koppla på dem på något sätt. Även om det är lite vid sidan om så finns det relevanta paralleller.

Sen är frågan om vem som ska identifiera sig. Jag tycker att det är lika viktigt att den jag ska identifiera mig hos kan bevisa sin identitet för mig! Och man skulle också kunna tänka sig en spärr för möjligheten att signera transaktioner om inte alla parter är identifierade.

Jag har också funderat kring olika säkerhetsnivåer. Men eftersom jag inte är tekniskt kunnig så kan jag vara ute och cykla här. :-) Det finns väl nåt som heter nåt i stil med 2-partsverifiering? Som jag fattar det kan det vara tex att man får en tillfällig kod via sms som man manuellt måste fylla i? Är det helt onödigt? Eller skulle man kunna tänka sig det som ytterligare en säkerhetsnivå? Hos Swedbank så har man en dosa med nån form av algoritm som jag inte fattar hur det fungerar men där banken ger mig siffror som jag matar in, får andra siffror som jag matar tillbaka till banken.  Skulle man kunna tänka sig att banken istället ger siffrorna (kan vara slumpvisa) till min identitetsissuer som med en algoritm kopplad till min identitet (som bara de har) skickar resultatet av den körningen till mig och att jag omvandlar den med en algoritm kopplad till min privata nyckel och matar resultatet till banken som sen kollar med min issuer om den omvandlingen kan komma från mig. Är det för invecklat? För onödigt?

/Mikael

Den 2021-10-04 kl. 20:07, skrev Elias Rudberg:
Tack Cynthia och Jonas för svaren!

On Sun, 2021-10-03 at 15:05 +0200, Jonas Linde wrote:

En annan svårighet blir förmodligen att
övertyga staten och andra aktörer att det är en bra lösning - men där
kan kanske eIDAS
(https://digital-strategy.ec.europa.eu/en/policies/discover-eidas)
vara till hjälp.
När det gäller att övertyga andra aktörer tror jag det finns goda
möjligheter att lyckas med det, särskilt de aktörer som är intresserade
av att vara i någon mån oberoende och de som vill kunna undvika att
läcka information om vem som identifierat sig.

Jag menar, för den som bedriver en verksamhet där man vill kunna låta
folk identifiera sig men inte berätta det för varken staten eller
bankerna eller andra som inte har med det att göra, för den aktören
finns det tydliga fördelar. Man kan låta en person identifiera sig utan
att behöva skicka info om det någonstans. Den enda kommunikation som
krävs med staten är att se till att hålla en "revocation list"
uppdaterad, men det kräver inte att man kommunicerar något om
individerna som identifierar sig. Det blir mer som att visa upp ett
gammaldags fysiskt id-kort, varken staten eller bankerna vet att du
visat ditt id-kort för någon.

Att övertyga staten tycker jag också borde gå, både utifrån principer
om integritetsskydd och utifrån kostnader. Stängda system kan bli
väldigt dyra och staten låser in sig och tvingas fortsätta betala till
en viss leverantör, när systemet är stängt är det ju svårt att byta
leverantör.

M.a.o. så gissar jag att de stora problemen att lösa inte kommer att
vara tekiska utan sociala och politiska.
Ja, det tror jag också.

Sen skulle det vara snyggt om det inte bara var staten som kunde
utfärda certifikat - [...]
Absolut, det skulle kunna finnas olika utfärdare ("issuers") av
certifikat, och den som är "verifier" och låter folk identifiera sig
kan själv välja vilka utfärdare som man anser acceptabla för olika
syften. Man kan välja att bara acceptera cert utfärdade av svenska
staten, men det är möjligt att acceptera andra också. Det är också
filosofiskt intressant kan jag tycka, min identitet som individ är mer
fundamental än den svenska staten. Det finns personer utan
medborgarskap, de har fortfarande sin identitet, osv.

/ Elias



Listan för diskussion om fri och öppen e-legitimation är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: https://lists.dfri.se/eleg-projekt/

--
Vänliga hälsningar
Mikael Odhage
tel: 0046(0)709933651
SIP: sessrum@xxxxxxxxx
Jami: mikaelodhage
Jabber/XMPP: mikaelodhage@xxxxxxxxx
Matrix: @odhageM:matrix.org
Diaspora: odhage@xxxxxxxxxxxxxxxx
(https://joindiaspora.com/people/97c047d773e817e0)

Listan för diskussion om fri och öppen e-legitimation är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: https://lists.dfri.se/eleg-projekt/