[eleg-projekt] Anteckningar från möte om e-legitimation med MyData Sweden

[Elias Rudberg <mail@xxxxxxxxxxxxxxx>]

Hej!

Mötet med MyData Sweden var ju i oktober men jag har inte hunnit 
renskriva mötesanteckningarna förrän nu. Här kommer de, bättre sent än 
aldrig, det var mycket intressanta saker som togs upp:

-----------------------------------------------------------------
Anteckningar från möte om e-legitimation med MyData Sweden, 20 okt 2021
-----------------------------------------------------------------

Jag pratade med två representanter för MyData Sweden 
(https://mydata.org/sweden/): Fredrik Lindén och Patrik Andersson

Anteckningar:

Myndigheter och andra organisationer som kan vara relevanta:

- DIGG: Myndigheten för digital förvaltning -- https://www.digg.se/

- Integritetsskyddsmyndigheten (IMY) -- http://www.imy.se/ (hette 
tidigare Datainspektionen)

- RISE Research Institutes of Sweden AB (RISE) -- https://www.ri.se/ 
(statligt forskningsinstitut)

Apropå SSI (Self-Sovereign Identity) ska tydligen DIGG ha fått ansvar 
för att ta fram en SSI-lösning som skulle använda blockkedjeteknik 
(Ethereum). Det vore intressant att få veta mer om det.

Myndigheten DIGG är en väldigt viktig aktör, tyvärr verkar de inte ha 
tillräckligt med resurser och kapacitet med tanke på hur viktigt deras 
uppdrag är.

Jag försökte hitta något om hur DIGG ser på SSI och hittade det här: 
"Single Digital Gateway - en katalysator för eID och betrodda tjänster i 
Europa":
https://pts.se/contentassets/663dd88e7a724f5f9bb6bf53ada10dd3/forum-10-juni-2021/single-digital-gateway---en-katalysator-for-eid-och-betrodda-tjanster-i-europa.pdf
-- där står bl.a.: "Framtida tekniska vägval kring EU wallets med 
inriktning mot SSI (Self-Sovereign Identity) och MyData innebär en helt 
annan individcentrerad utgångspunkt [...]"

MyData Sweden vill se fokus på SSI i stället för federerad lösning.

Det gjordes en bra utredning för ca 10 år sedan som påpekade problem med 
Telias id-lösning.

World Wide Web Consortium (W3C) har tagit fasta på SSI genom en 
rekommendation om "Verifiable Credentials": 
https://www.w3.org/TR/vc-data-model/
Det här är bra, men Google och Apple har protesterat mot det, de vill 
väl ha centralisering i stället genom system de kontrollerar, och 
tydligen har Google och Apple fått med sig Mozilla. I alla fall är det 
mycket bra att W3C håller på att standardisera Verifiable Credentials, 
det bör ge bättre förutsättningar för att kunna få till decentraliserade 
lösningar baserade på öppna standarder. Vi kan hoppas att Google och 
Apple inte lyckas stoppa det.

European Blockchain Services Infrastructure (EBSI) är också intressant 
apropå SSI och verifiable credentials: 
https://ec.europa.eu/info/news/ebsi-first-eu-wide-blockchain-infrastructure-surging-ahead-2021-oct-14_en

Estland har redan nu en SSI-liknande lösning för e-legitimation: 
https://en.wikipedia.org/wiki/Estonian_identity_card
Det verkar väldigt intressant, kan Sverige göra något liknande?

Andra länder som kan vara intressanta när det gäller SSI: Italien, 
Belgien, Holland.

Inom akademin finns intresse i Spanien, Portugal, Slovenien.

I Tyskland finns intresse i den privata sektorn, bland annat BMW.

I Norge finns privata aktörer som använder SSI-lösningar för 
aktieägarbevis eller liknande.

I Singapore finns också privata SSI-lösningar.

Ett argument för SSI är att samhällskritisk infrastruktur bör vara 
robust och oberoende.

Joel Torstensson är en kunnig person i de här frågorna, bland annat när 
det gäller förslagen som W3C kommit med.

Rebooting Web-of-Trust: http://www.weboftrust.info/ (Christian Lundkvist 
bland andra)

Vi pratade lite om fri/öppen vs stängd källkod, ett exempel på öppen kod 
för "single-sign on" är Keycloak: https://www.keycloak.org/ (men det är 
nog inte riktigt vad vi är ute efter, kanske intressant ändå)
Intressant evenemang apropå fri/öppen källkod är "foss-north": 
https://foss-north.se/

När det gäller SSI finns olika varianter av Decentralized Identifiers 
(DIDs), olika så kallade DID-metoder. Valet av DID-metod kan vara 
viktigt. Olika aktörer vill försöka dominera genom att äga olika 
namespaces för DIDs.

Johan Magnusson är en forskare vid Göteborgs universitet som jobbat 
kring digitalisering och bland annat pekat på problem med inlåsning, här 
är en artikel som verkar intressant: "Blockchain-Based Electronic 
Identification: Cross-Country Comparison of Six Design Choices": 
https://gup.ub.gu.se/publication/278627

Standardiseringen av "Verifiable Credentials" mm som W3C gör är bra!

Vi behöver kommunicera på två fronter: dels prata med myndigheter, dels 
med enskilda för att få fler att uppmärksamma problemet. En sak vi kan 
fundera på är om vi i DFRI-projektet skulle kunna skriva debattartiklar 
eller liknande tillsammans med MyData Sweden.

--- slut på mötesanteckningarna ---

/ Elias

Listan för diskussion om fri och öppen e-legitimation är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: https://lists.dfri.se/eleg-projekt/