[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [eleg-projekt] Hur kommer vi fram till gemensam problembeskrivning?
- To: eleg-projekt@xxxxxxxxxxxxx
- Subject: Re: [eleg-projekt] Hur kommer vi fram till gemensam problembeskrivning?
- From: Michael Cardell Widerkrantz <mc@xxxxxxxx>
- Date: Sat, 18 Dec 2021 12:49:48 +0100
- Delivered-to: eleg-projekt@xxxxxxxxxxxxx
- In-reply-to: <CAKw1M3PoMWyydrSGKC7FjdJfz_U7ZRuduLR=VqZG2qnDdHCbTA@mail.gmail.com>
- References: <CAG9Fz+uKMLG4Zc_=1P=T=tfFhk7hfZJbum2kxZiSJEWr_yMPmQ@mail.gmail.com> <877dc39fb5.fsf@hack.org> <CAKw1M3PoMWyydrSGKC7FjdJfz_U7ZRuduLR=VqZG2qnDdHCbTA@mail.gmail.com>
Cynthia Revström <me@xxxxxxxxxx>, 2021-12-18 05:48 (+0100):
> Jag tror att det nog är fel väg att gå, för då kanske vi låser in oss
> i någon lösning som var väldigt begränsad.
Jag förstår farhågan. Jag tror personligen inte att det är ett så stort
problem att föreslå en lösning först och en annan lösning senare.
> Jag tycker att huvudkravet är att det är en öppen standard med en
> öppen referensimplementation.
Medhåll! Den tror jag att jag tog för givet.
>> Jag föreslår att vi tittar på existerande standarder som stöds av flera
>> webläsare, typiskt något FIDO-aktigt med Yubikey eller liknande, och
>> lägger mest krut på att fundera ut scenarion för hur de skulle utfärdas
>> och användas efter att ha lusläst redan existerande myndighetskrav.
>
> Jag tror inte Yubikeys (utan något annat) uppfyller säkerhetskraven
> med tanke på att det är bara en fysisk sak, inget annat.
Vems säkerhetskrav? Jämför med Mobilt BankID eller Freja eID som "bara
är en app" + PIN.
FIDO2/smart card (+ PIN, antagligen?) duger nog för rätt många
hotbilder.
Jag blir rätt nöjd om jag kan använda Firefox och en Yubikey under Linux
för att identifiera mig mot 1177.
> Återigen så tror jag inte riktigt att hur just den biten funkar är den
> svåraste.
Det tror inte jag heller. Det svåraste är allt runt omkring.
>> Sen får väl allt ihop federeras ihop i backend mellan utgivare med SAML
>> (brr...) som Sweden Connect verkar vilja ha. Men det hoppas jag att vi
>> inte ska behöva ha så mycket att göra med. Det får utgivaren bekymra sig
>> om.
>
> Vem skulle "utgivaren" vara i det här fallet?
Polisen? Skatteverket? Bankerna?
> Jag tror det svåraste med det här är "hur får vi det att funka
> juridiskt och hur får vi de relevanta myndigheterna att acceptera
> detta?"
Instämmer. Jag tror det därför är enklare att utgå från något minimalt
snarare än att försöka lösa alla problem.
> Jag tror att detta är något som bara realistiskt kan funka om
> utgivaren är en myndighet eller om staten finansierar en förening
> eller stiftelse som kan vara utgivare.
Instämmer också. Jag tycker därför vi bör fundera ut scenarion och
uppvakta myndigheter och liknande med förslag på användning.
--
MC, https://hack.org/mc/
Listan för diskussion om fri och öppen e-legitimation är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: https://lists.dfri.se/eleg-projekt/