[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [eleg-projekt] Kan vi skapa en egen lösning och ansluta den till Sweden Connect?



Hej!

Tack Cynthia, kanske har du rätt i att det skulle vara bäst med en
separat juridisk person som kunde vara e-legitimationsutfärdare. Men
vem skulle det vara, i så fall?

I alla fall har den här frågan har lagts till i dagordningen för DFRI:s
öppna styrelsemöte ikväll:

https://www.dfri.se/styrelsemote-17-maj-2022/

Dagordningen finns här:

https://www.dfri.se/dfri/protokoll/y2022/styrelsemote-6-2022-05-17/

med punkten "5. Kan DFRI bli en formell e-legitimationsutfärdare
ansluten till Sweden Connect?"

Så vi får se ikväll vad styrelsen säger om saken. Det är ett öppet
styrelsemöte alltså, medlemmar och andra intresserade är välkomna att
delta. För den som vill vara med gäller det bara att anmäla sig, se den
första länken ovan.

/ Elias


On Tue, 2022-05-10 at 18:06 +0200, Cynthia Revström wrote:
> Hej!
> 
> Personligen tycker jag att det vore mest rimligt att en separat
> juridisk person har tjänsten om en sådan ska drivas.
> Men sedan tror jag att det kan behövas mer resurser än vad som finns
> i
> gruppen i dagsläget för att göra det.
> 
> Jag tror tyvärr att vi inte kommer kunna vara en
> e-legitimationsutfärdare själva, det skulle nog behövas ett antal
> anställda för att faktiskt göra det skulle jag gissa från de bitarna
> jag har läst hittills.
> Det enda sättet jag tror det skulle kunna funka på är ifall vi lyckas
> få typ EU att stödja det här genom att ge tillräckligt mycket pengar
> att det går att anställa folk.
> Det är nog inte omöjligt men det skulle vara svårt och jag tror nog
> att det är den primära vägen om vi vill vara en
> e-legitimationsutfärdare.
> 
> Det andra alternativet skulle ju vara ifall vi kunde få inflytande i
> någon process för att ta fram en statlig e-legitimationsutfärdare,
> det
> känns som att det inte är omöjligt.
> 
> -Cynthia
> 
> On Tue, May 10, 2022 at 8:03 AM Mikael Odhage
> <mikael.odhage@xxxxxxxxxxx> wrote:
> > 
> > Hej Elias (och listan)!
> > 
> > Som jag har förstått diskussionen på listan så finns det en vilja
> > att
> > skapa en fri lösning. Om det innebär att DFRI skulle bli en
> > IdP-leverantör så skulle därmed DFRI som förening ta på sig ett
> > tämligen
> > stort samhällsansvar. Har vi styrelsen med oss på det?
> > 
> > /Mikael
> > 
> > Den 2022-05-10 kl. 06:31, skrev Elias Rudberg:
> > > Hej!
> > > 
> > > Jag ställde frågan "Kan vi bygga en IdP-lösning på öppen
> > > källkod?"
> > > till DIGG med en förklaring av bakgrunden, jag fick förljande
> > > svar
> > > från DIGG:
> > > 
> > > ----- svar från DIGG ----------
> > > I Sverige har vi, som ett av få länder inom EU, en öppenhet för
> > > att
> > > olika aktörer inom såväl privat som offentlig sektor får ta fram
> > > och
> > > erbjuda e-legitimationer. Efter ansökan från e-
> > > legitimationsutfärdaren
> > > granskar och godkänner DIGG e-legitimationer mot Tillitsramverket
> > > för
> > > Svensk e-legitimation. Tillitsramverket är teknikneutralt och
> > > ställer
> > > exempelvis inga krav på att endast vissa operativsystem ska
> > > användas.
> > > 
> > > När e-legitimationen används i offentliga e-tjänster
> > > rekommenderar
> > > DIGG användning av den öppna standarden SAML 2.0, som stöds av
> > > öppen
> > > programvara, för elektronisk identifiering (det vill säga
> > > trafiken
> > > mellan e-legitimationsutfärdarens intygsfunktion och den
> > > förlitande
> > > partens digitala tjänst).
> > > -------------------------------
> > > 
> > > Om jag förstår det här rätt bör det vara möjligt för en ideell
> > > aktör
> > > som t.ex. DFRI att bli vad DIGG kallar en "e-
> > > legitimationsutfärdare"
> > > och skapa en egen lösning byggd på fri källkod, skicka in en
> > > ansökan
> > > till DIGG och lösningen ska då bli godkänd förutsatt att den
> > > uppfyller
> > > kraven i "Tillitsramverket för Svensk e-legitimation".
> > > 
> > > https://www.digg.se/digital-identitet/e-legitimering/tillitsnivaer/tillitsramverket
> > > 
> > > 
> > > En relevant del borde vara "Vägledning för IdP-leverantör":
> > > 
> > > https://www.digg.se/digital-identitet/e-legitimering/tillitsnivaer/tillitsramverket/vagledning-idp
> > > 
> > > 
> > > Jag vill gärna höra vad ni andra på listan tänker om det här. Är
> > > det
> > > en bra idé att försöka bli en "e-legitimationsutfärdare" på det
> > > här
> > > sättet, kopplad till Sweden Connect? Varför/varför inte? Vad
> > > tycker ni?
> > > 
> > > / Elias
> > > 
> > > 
> > > On 2022-04-20 19:07, Elias Rudberg wrote:
> > > > Hej alla på eleg-listan!
> > > > 
> > > > Det finns ju en så kallad "identitetsfederation" som heter
> > > > Sweden
> > > > Connect som myndigheten DIGG har skapat.
> > > > 
> > > > Citerar från https://www.swedenconnect.se/om
> > > > 
> > > > --------------------------
> > > > 
> > > > Två olika parter ingår: IdP och SP
> > > > 
> > > > De parter som ingår i Sweden Connect är:
> > > > 
> > > > - Identity provider (IdP): Utför en elektronisk identifiering
> > > > av
> > > > användaren, det vill säga kontrollerar att användaren är den
> > > > som hen
> > > > utger sig för att vara vid legitimering i en e-tjänst, och
> > > > utfärdar
> > > > ett identitetsintyg till e-tjänsten. En IdP kallas också för
> > > > legitimeringstjänst.
> > > > 
> > > > - Service provider (SP): Tillhandahåller en e-tjänst och
> > > > behöver få
> > > > reda på användarens identitet. En SP kallas också för
> > > > förlitande part
> > > > eftersom denne litar på det identitetsintyg som ställs ut vid
> > > > en
> > > > e-legitimering, och kan vara såväl en privat som offentlig
> > > > aktör.
> > > > 
> > > > --------------------------
> > > > 
> > > > Vi (DFRI och/eller eleg-projektet i någon form) skulle då vara
> > > > en
> > > > "Identity provider" (IdP) och vår eleg-lösning skulle då i
> > > > princip
> > > > kunna dyka upp som ett alternativ hos olika "service providers"
> > > > som
> > > > är anslutna till Sweden Connect.
> > > > 
> > > > Läser vidare här:
> > > > https://www.digg.se/digital-identitet/e-legitimering
> > > > 
> > > > Under "Funktioner i e-legitimeringsprocessen" står det:
> > > > 
> > > > --------------------------
> > > > 
> > > > Flera olika funktioner samverkar för att e-
> > > > legitimeringsprocessen ska
> > > > fungera:
> > > > 
> > > > - Användare: Har en e-legitimation som hen använder för att
> > > > legitimera sig elektroniskt mot en tjänst.
> > > > 
> > > > - E-legitimationsutfärdare: Förser användaren med en e-
> > > > legitimation
> > > > och tillhandahåller de stödfunktioner som krävs.
> > > > 
> > > > - Leverantör av identitetsintyg: Utför en elektronisk
> > > > identifiering
> > > > av användaren, det vill säga kontrollerar att användaren är den
> > > > som
> > > > hen utger sig för att vara. För de e-legitimationsutfärdare som
> > > > har
> > > > kvalitetsmärket Svensk e-legitimation faller denna funktion
> > > > inom
> > > > utfärdarens ansvar. Kallas också för "identity provider" eller
> > > > IdP.
> > > > 
> > > > - Tillhandahållare av e-tjänst: Är den som litar på det
> > > > identitetsintyg som ställs ut, och kan vara såväl en privat som
> > > > offentlig aktör. Kallas också för "service provider" eller SP.
> > > > 
> > > > --------------------------
> > > > 
> > > > Vi skulle då vara både "E-legitimationsutfärdare" och
> > > > "Leverantör av
> > > > identitetsintyg".
> > > > 
> > > > Rent tekniskt skulle lösningen till exempel kunna bygga på GPG
> > > > och
> > > > att den privata nyckeln lagras i en YubiKey eller liknande. Det
> > > > skulle krävas att läsa på mer i detalj om hur Sweden Connect
> > > > fungerar
> > > > och sen bygga kopplingar mellan vår lösning och "tekniskt
> > > > ramverk"
> > > > för Sweden Connect vilket ser ut att handla mycket om SAML
> > > > (Security
> > > > Assertion Markup Language).
> > > > 
> > > > När det gäller att använda fri och öppen källkod nämns det här
> > > > för
> > > > SP, "Kan vi bygga vår SP-lösning på öppen källkod?"
> > > > https://www.swedenconnect.se/support/fragor-och-svar
> > > > Där står det "Visst kan ni bygga er SP-lösning på öppen
> > > > källkod.
> > > > [...]" men det framgår inte om samma sak också gäller IdP-
> > > > lösningar.
> > > > Någon som vet?
> > > > 
> > > > Kan vi skapa en egen lösning med fri och öppen källkod på ett
> > > > sånt
> > > > sätt att den kan anslutas till Sweden Connect?
> > > > 
> > > > Om vi kan det, ska vi då göra det, är det en bra idé?
> > > > 
> > > > / Elias
> > > > 
> > > > ---
> > > > Listan för diskussion om fri och öppen e-legitimation är öppen
> > > > för alla.
> > > > Listan arkiveras och publiceras öppet på internet.
> > > > Arkiv: https://lists.dfri.se/eleg-projekt/
> > > > 
> > > 
> > > Listan för diskussion om fri och öppen e-legitimation är öppen
> > > för alla.
> > > Listan arkiveras och publiceras öppet på internet.
> > > Arkiv: https://lists.dfri.se/eleg-projekt/
> > > 
> > --
> > Vänliga hälsningar
> > Mikael Odhage
> > Min publika nyckel hittas på hkp://keys.gnupg.net eller
> > http://keys.gnupg.net
> > +46(0)709933651
> > SIP: sessrum@xxxxxxxxx
> > Jabber/XMPP: odhagemikael@xxxxxxxxx
> > Diaspora: odhage@xxxxxxxx eller https://diasp.nl/u/odhage
> > Matrix: @odhage:matrix.org
> > Session: OdhageSess
> > Bilder på: https://pixelfed.de/OdhageMikael
> > 
> > Listan för diskussion om fri och öppen e-legitimation är öppen för
> > alla.
> > Listan arkiveras och publiceras öppet på internet.
> > Arkiv: https://lists.dfri.se/eleg-projekt/
> > 



Listan för diskussion om fri och öppen e-legitimation är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: https://lists.dfri.se/eleg-projekt/