[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [DFRI-listan] Projekt-förslag: Driv på för fri och öppen lösning för svensk e-legitimation (alternativ till BankID)



+1

mvh

//Erik

On 8/2/21, Elias Rudberg <mail@xxxxxxxxxxxxxxx> wrote:
> Hej!
>
> Jag skulle vilja starta ett DFRI-projekt som handlar om hur en fri och
> öppen lösning för svensk e-legitimation kan bli verklighet. Här
> nedanför försöker jag förklara tanken med detta. Tacksam för all sorts
> återkoppling, särskilt om du kan tänka dig att vara med och delta i
> projektet.
>
> --------
> Bakgrund
> --------
>
> Utgångspunkten är att e-legitimation är väldigt användbart och används
> mer och mer, inte minst i kontakt med myndigheter. Det är därför
> viktigt att ha system för e-legitimation som respekterar digitala fri-
> och rättigheter.
>
> En viktig princip när det gäller digitala fri- och rättigheter är att
> var och en själv ska kunna bestämma vad hen vill installera på sin
> dator/smartphone/motsvarande. Staten ska till exempel inte bestämma
> vilket operativsystem jag kör på min dator.
>
> Problemet som det här projektet handlar om är att i dagsläget har vi i
> Sverige situationen att den som behöver använda e-legitimation måste
> använda operativsystem ägda och kontrollerade av Microsoft, Apple eller
> Google. Om någon insisterar på att använda system baserade på fri och
> öppen källkod (som GNU/Linux) kan den personen i praktiken inte använda
> e-legitimation. Vi tvingas välja mellan att antingen leva helt utan e-
> legitimation (vilket blir allt svårare), eller ge upp vår frihet och
> installera system som ger Microsoft/Apple/Google makt över oss.
>
> ----------
> Projektmål
> ----------
>
> Målet är att det ska finnas en fri och öppen lösning för svensk e-
> legitimation som ska kunna användas av alla, en lösning som respekterar
> våra digitala fri- och rättigheter.
>
> I stället för att kräva installation av saker som användaren inte kan
> kontrollera på användarens dator/smartphone/motsvarande bör systemet
> för e-legitimation öppet redovisa ett protokoll för hur man
> kommunicerar med systemet. Det blir då möjligt för alla att använda e-
> legitimation, oavsett vilken typ av dator/smartphone/motsvarande
> personen väljer att använda.
>
> ----------------
> Vägar till målet
> ----------------
>
> Följande är fem olika förslag på hur projektmålet kan nås:
>
> - Övertala någon av existerande kommersiella aktörer, BankID eller
> Freja eID Plus så att någon av dem gör sin lösning tillgänglig även för
> den som bara använder fri och öppen källkod på sin dator.
>
> - Övertala staten via relevanta myndigheter t.ex. Skatteverket som ger
> ut "AB Svenska Pass" e-legitimation så att den görs tillgänglig även
> för den som bara använder fri och öppen källkod på sin dator.
>
> - Övertala politiker så att myndigheter tvingas lösa problemet via
> lagändringar eller direktiv från politiker till myndigheterna.
>
> - Stödja utveckling av alternativa lösningar som respekterar digitala
> fri- och rättigheter, om sådana lösningar finns.
>
> - Utveckla en egen lösning som "proof of concept" för att visa hur en
> fri och öppen lösning skulle kunna fungera.
>
> -------------------------------------------------------------
> Nuvarande alternativ för e-legitimation och problemen med dem
> -------------------------------------------------------------
>
> Se https://www.elegitimation.se/skaffa-e-legitimation där de nuvarande
> typerna av e-legitimation finns listade.
>
> - BankID (utgiven av bankerna): fungerar bara för den som använder
> stängda operativsystem från Microsoft/Apple/Google. Dessutom stängd
> källkod för själva klient-programvaran för e-legitimation som
> installeras på användarens dator/smartphone. Användaren kan inte
> kontrollera vad som händer på ens egen dator/smartphone.
>
> - Freja eID Plus (utgiven av Freja eID Group AB): kräver operativsystem
> från Apple/Google, samma nackdelar som BankID.
>
> - AB Svenska Pass (utgiven av Skatteverket): Jämfört med de andra två
> har denna fördelen att den går att använda i GNU/Linux men själva
> klient-programvaran för e-legitimation är stängd och användaren måste
> acceptera ett "End-User License Agreement" som säger att reverse-
> engineering är förbjudet osv. Även här gäller alltså att användaren
> inte kan kontrollera vad som händer på ens egen dator/smartphone.
>
> ---------------------------
> Vad vi kan göra i projektet
> ---------------------------
>
> Vi kan göra många olika saker i projektet, till exempel:
>
> - Ta reda på och sammanställa information om hur system för e-
> legitimation fungerar och vilka svårigheterna är, för att förstå
> problemet bättre.
>
> - Kommunicera med existerande utgivare av e-legitimation för att
> övertala dem till att utveckla en öppen lösning, men också för att få
> mer förståelse och kunskap om varför de gör som de gör i dagsläget.
>
> - Kommunicera med myndigheter för att ta reda på hur de ser på
> problemet.
>
> - Genomföra en informationskampanj riktad till allmänheten för att få
> fler att förstå problemet och kräva en förändring. Kanske leder det
> till fler projektmedlemmar.
>
> - Ta reda på om det finns politiker som är insatta och/eller
> intresserade av att driva frågan.
>
> - Ta reda på om det finns journalister som är intresserade av att
> rapportera kring frågan.
>
> - Undersöka vilka system för e-legitimation som finns i andra länder
> för att se om något av dem respekterar digitala fri- och rättigheter
> bättre än de system som finns i Sverige i dag.
>
> - Undersöka situationen juridiskt, t.ex. ta reda på om det är olagligt
> för staten att erbjuda tjänster för bara de medborgare som är kunder
> hos vissa specifika storföretag.
>
> - Undersöka om existerade öppna standarder för kryptering, e-signering
> osv. kan användas som grund för e-legitimation. Det finns ju beprövade
> öppna standarder för t.ex. hur publika och privata nycklar kan
> användas, Diffie-Hellman key agreement, certifikat osv, med existerande
> mjukvara baserad på fri och öppen källkod som hanterar sådant, t.ex.
> programvara för https och ssh.
>
> - Skissa förslag på hur ett framtida fritt och öppet system för e-
> legitimation skulle kunna se ut. (Förenklat exempel: en myndighet
> ansvarig för e-legitimation skulle kunna hålla ett register över
> individers publika nycklar och varje person kunde ha sin egen privata
> nyckel och använda den för att bevisa sin identitet.)
>
> - Utveckla en egen lösning som "proof of concept".
>
> ------------------------------------
> Argument för varför projektet behövs
> ------------------------------------
>
> Här är några andra argument som kan användas för att förklara varför
> det här är en viktig fråga:
>
> - Orättvist övertag för teknikjättarna jämfört med möjliga
> konkurrenter: dagens situation ger jättarna Google/Apple/Microsoft ett
> stort övertag genom att alla som behöver e-legitimation måste använda
> Google/Apple/Microsoft-operativsystem. Det gör att det blir mycket
> svårare för alternativ att etablera sig. Exempel är smartphones som
> Librem 5 och PinePhone som använder GNU/Linux och alltså gör det
> möjligt att vara fri från Google/Apple/Microsoft och deras ständiga
> övervakning. Situationen med e-legitimation gör det lättare för
> jättarna att behålla sin dominans, eftersom friare alternativ inte kan
> konkurrera på den punkten.
>
> - Jämfört med en del andra frågor kring digitala fri- och rättigheter
> är frågan om e-legitimation ett fall där staten har en tydlig roll, det
> går att argumentera för att staten har ett ansvar att göra e-
> legitimation tillgängligt på ett rättvist sätt för alla. Vem tjänar på
> dagens situation? Bankerna är nöjda. Google/Apple är nöjda. Vem
> missgynnas av dagens situation? Enskilda människor som vill ha makt
> över sitt eget liv, och staten som misslyckas med att bevaka
> medborgarnas intressen och i stället gjort sig beroende av enorma
> företag.
>
> - Man kan ifrågasätta säkerheten i nuvarande system, "security by
> obscurity" är inte alltid det bästa. Avslöjandena kring NSO och Pegasus
> nyligen har också visat att Android och iOS inte nödvändigtvis är säkra
> plattformar. Det är då olyckligt om staten hänvisar alla till att
> använda bara de plattformarna. Man borde åtminstone ha möjligheten att
> själv se till att förvara sin privata nyckel säkert och inte tvingas
> använda system baserade på Android/iOS som inte går att verifiera.
>
> - Statens ansvar för att värna digital säkerhet oberoende företag: när
> den svenska staten hänvisar till system som bara fungerar för
> Apple/Google-kunder ger det en stor fördel för Apple och Google,
> företag som redan har en extremt stor makt över människors liv. Den
> svenska staten borde inte bidra till att ytterligare öka Apples och
> Googles makt. I stället borde staten ha kontroll över sina egna system
> och låta medborgarna själva besluta om de vill vara kunder hos
> Apple/Google eller inte. Det är fel att staten de facto styr människor
> till att bli kunder hos Apple/Google för att kunna använda e-
> legitimation. Varför ska den svenska staten hjälpa Apple/Google på det
> här sättet?
>
> - Övervakningssamhället: eftersom de nuvarande systemen för e-
> legitimation kräver att man installerar för användaren okänd, stängd
> programvara på sin dator/smartphone, kan det hända att man därigenom
> övervakas av staten och/eller Apple/Google/andra aktörer, utan att man
> som användare har någon möjlighet att kontrollera vad programvaran
> faktiskt gör.
>
> - Säkerhetspolitik: dagens situation, med extremt stort beroende av
> Apple/Google, innebär att ett gigantiskt storföretag kan trycka på en
> knapp så slutar de svenska systemen för e-legitimation fungera. Den
> svenska staten har inte kontroll utan har gjort sig beroende av
> Apple/Google.
>
> - I myndigheternas information kring covid-19-vaccination den senaste
> tiden förklaras tydligt hur man gör för att boka vaccination för den
> som har BankID. Den som inte har BankID betraktas som en besvärlig
> person och hänvisas till telefon-bokning och får sämre förutsättningar,
> t.ex. skickas påminnelse inför vaccinationen tydligen endast till de
> som har BankID. Det här skapar ett starkt tryck att staten förväntar
> sig att alla ska ha BankID, vilket innebär att staten förväntar sig att
> alla ska vara kunder hos Google/Apple/Microsoft. Det är lätt att få
> intrycket att den som inte vill installera stängd hemlig programvara
> från Google/Apple/Microsoft är en besvärlig medborgare som staten helst
> vill slippa befatta sig med.
>
> -----------------
> Delta i projektet
> -----------------
>
> Svara gärna på detta mejl om du:
> 1. Har någon form av fråga eller annan återkoppling kring detta med en
> fri och öppen e-legitimation.
> 2. Vill delta i projektet på något sätt.
>
> Vänliga hälsningar
> Elias Rudberg
> Medlem i DFRI
>
>
> --
> DFRI-listan är öppen för alla.
> Listan arkiveras och publiceras öppet på internet.
> Arkiv: https://lists.dfri.se/listan/
> Listpolicy: https://www.dfri.se/regler-for-listan
>
>
--
DFRI-listan är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: https://lists.dfri.se/listan/
Listpolicy: https://www.dfri.se/regler-for-listan