Re: [eleg-projekt] Skiss av hur en fri och öppen e-leg-lösning skulle kunna fungera

[Mikael Odhage <mikael.odhage@xxxxxxxxxxx>]

God morgon!

Jag tycker det ni (Elias, Cynthia och Jonas) skriver låter bra. Tror nog 
också att det tekniska inte är det stora problemet, utan att göra 
problemställningen allmänt uppmärksammad och förstådd och därmed nyttan 
av en alternativ lösning. Men att då ha ett fungerande alternativ att 
visa underlättar ju oerhört.

Tanken om nyckelpar ligger ju i linje med gpg. Jag har föreslagit att vi 
skulle koppla på dem på något sätt. Även om det är lite vid sidan om så 
finns det relevanta paralleller.

Sen är frågan om vem som ska identifiera sig. Jag tycker att det är lika 
viktigt att den jag ska identifiera mig hos kan bevisa sin identitet för 
mig! Och man skulle också kunna tänka sig en spärr för möjligheten att 
signera transaktioner om inte alla parter är identifierade.

Jag har också funderat kring olika säkerhetsnivåer. Men eftersom jag 
inte är tekniskt kunnig så kan jag vara ute och cykla här. :-) Det finns 
väl nåt som heter nåt i stil med 2-partsverifiering? Som jag fattar det 
kan det vara tex att man får en tillfällig kod via sms som man manuellt 
måste fylla i? Är det helt onödigt? Eller skulle man kunna tänka sig det 
som ytterligare en säkerhetsnivå? Hos Swedbank så har man en dosa med 
nån form av algoritm som jag inte fattar hur det fungerar men där banken 
ger mig siffror som jag matar in, får andra siffror som jag matar 
tillbaka till banken.  Skulle man kunna tänka sig att banken istället 
ger siffrorna (kan vara slumpvisa) till min identitetsissuer som med en 
algoritm kopplad till min identitet (som bara de har) skickar resultatet 
av den körningen till mig och att jag omvandlar den med en algoritm 
kopplad till min privata nyckel och matar resultatet till banken som sen 
kollar med min issuer om den omvandlingen kan komma från mig. Är det för 
invecklat? För onödigt?

/Mikael

Den 2021-10-04 kl. 20:07, skrev Elias Rudberg:
> Tack Cynthia och Jonas för svaren!
>
> On Sun, 2021-10-03 at 15:05 +0200, Jonas Linde wrote:
>
> > En annan svårighet blir förmodligen att
> > övertyga staten och andra aktörer att det är en bra lösning - men där
> > kan kanske eIDAS
> > (https://digital-strategy.ec.europa.eu/en/policies/discover-eidas)
> > vara till hjälp.
> När det gäller att övertyga andra aktörer tror jag det finns goda
> möjligheter att lyckas med det, särskilt de aktörer som är intresserade
> av att vara i någon mån oberoende och de som vill kunna undvika att
> läcka information om vem som identifierat sig.
>
> Jag menar, för den som bedriver en verksamhet där man vill kunna låta
> folk identifiera sig men inte berätta det för varken staten eller
> bankerna eller andra som inte har med det att göra, för den aktören
> finns det tydliga fördelar. Man kan låta en person identifiera sig utan
> att behöva skicka info om det någonstans. Den enda kommunikation som
> krävs med staten är att se till att hålla en "revocation list"
> uppdaterad, men det kräver inte att man kommunicerar något om
> individerna som identifierar sig. Det blir mer som att visa upp ett
> gammaldags fysiskt id-kort, varken staten eller bankerna vet att du
> visat ditt id-kort för någon.
>
> Att övertyga staten tycker jag också borde gå, både utifrån principer
> om integritetsskydd och utifrån kostnader. Stängda system kan bli
> väldigt dyra och staten låser in sig och tvingas fortsätta betala till
> en viss leverantör, när systemet är stängt är det ju svårt att byta
> leverantör.
>
> > M.a.o. så gissar jag att de stora problemen att lösa inte kommer att
> > vara tekiska utan sociala och politiska.
> Ja, det tror jag också.
>
> > Sen skulle det vara snyggt om det inte bara var staten som kunde
> > utfärda certifikat - [...]
> Absolut, det skulle kunna finnas olika utfärdare ("issuers") av
> certifikat, och den som är "verifier" och låter folk identifiera sig
> kan själv välja vilka utfärdare som man anser acceptabla för olika
> syften. Man kan välja att bara acceptera cert utfärdade av svenska
> staten, men det är möjligt att acceptera andra också. Det är också
> filosofiskt intressant kan jag tycka, min identitet som individ är mer
> fundamental än den svenska staten. Det finns personer utan
> medborgarskap, de har fortfarande sin identitet, osv.
>
> / Elias
>
>
>
> Listan för diskussion om fri och öppen e-legitimation är öppen för alla.
> Listan arkiveras och publiceras öppet på internet.
> Arkiv: https://lists.dfri.se/eleg-projekt/
--
Vänliga hälsningar
Mikael Odhage
tel: 0046(0)709933651
SIP: sessrum@xxxxxxxxx
Jami: mikaelodhage
Jabber/XMPP: mikaelodhage@xxxxxxxxx
Matrix: @odhageM:matrix.org
Diaspora: odhage@xxxxxxxxxxxxxxxx
(https://joindiaspora.com/people/97c047d773e817e0)

Listan för diskussion om fri och öppen e-legitimation är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: https://lists.dfri.se/eleg-projekt/