[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [eleg-projekt] Hur kommer vi fram till gemensam problembeskrivning?



Hej,

On Fri, Dec 17, 2021 at 8:57 PM Michael Cardell Widerkrantz <mc@xxxxxxxx> wrote:
>
> Jag ligger lite efter...
>
> Christoffers tre punkter (Maktlöshet, Tillit i olika sammanhang,
> Resilience) är bra men också väldigt ambitiösa.
>
> Ska vi inte försöka med samla krav för någon slags minimum viable
> product till att börja med? Projektet kan sedan forsätta mot mer
> ambitiösa mål när det är uppnått.

Jag tror att det nog är fel väg att gå, för då kanske vi låser in oss
i någon lösning som var väldigt begränsad.

Dessutom tror jag inte att det tekniska implementationen är den svåraste biten.

> Till exempel tycker jag det vore önskvärt att sikta på krav som:
>
> - Kunna identifiera sig mot myndigheter med webläsare på dator oavsett
>   operativsystem,
>
> - Kunna identifiera sig mot myndigheter från mobil oavsett
>   operativsystem.
>
> Här är alltså huvudkravet att identifieringen inte är knuten till något
> särskilt program/app som måste finnas för plattformen.

Jag tycker att huvudkravet är att det är en öppen standard med en
öppen referensimplementation.

> Jag föreslår att vi tittar på existerande standarder som stöds av flera
> webläsare, typiskt något FIDO-aktigt med Yubikey eller liknande, och
> lägger mest krut på att fundera ut scenarion för hur de skulle utfärdas
> och användas efter att ha lusläst redan existerande myndighetskrav.

Jag tror inte Yubikeys (utan något annat) uppfyller säkerhetskraven
med tanke på att det är bara en fysisk sak, inget annat. Yubikey Bio
kanske skulle funka, vet ej.
Återigen så tror jag inte riktigt att hur just den biten funkar är den svåraste.

> Sen får väl allt ihop federeras ihop i backend mellan utgivare med SAML
> (brr...) som Sweden Connect verkar vilja ha. Men det hoppas jag att vi
> inte ska behöva ha så mycket att göra med. Det får utgivaren bekymra sig
> om.

Vem skulle "utgivaren" vara i det här fallet?

Jag tror det svåraste med det här är "hur får vi det att funka
juridiskt och hur får vi de relevanta myndigheterna att acceptera
detta?"

Det behövs ju en utgivare så klart, men jag vet inte om vi kan satsa
på att något kommersiellt företag vill satsa på det om det är en helt
öppen standard de inte sannolikt kan tjäna pengar på.

Jag tror att detta är något som bara realistiskt kan funka om
utgivaren är en myndighet eller om staten finansierar en förening
eller stiftelse som kan vara utgivare.

-Cynthia
Listan för diskussion om fri och öppen e-legitimation är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: https://lists.dfri.se/eleg-projekt/