[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [DFRI-listan] Projekt-förslag: Driv på för fri och öppen lösning för svensk e-legitimation (alternativ till BankID)



Jag är gärna med. I kontakt med Svenska myndigheter är det hopplöst utan BankID. Jag har AB Svenska Pass men har aldrig fått det att fungera i *buntu.

Redan för 10 år sedan pratades det en hel del om elegitimationer och möjliggöra för flera olika aktörer att agera identitetsleverantör i en "federation". Jag har inte följt det i detalj men bevisligen har det inte bildats så många aktörer på marknaden så oklart vad som har gått snett. Det verkar heta Sweden Connect idag och bygger på SAML [1], det verkar också vara svenska kopplingen till andra nationer inom eIDAS. Vad jag vet är varken Freja eID eller BankID anslutna till federationen utan kör sina egna spår. När det begav sig så var det många klagomål på SAML tekniken och FRA(?) gjorde en genomgång av tekniken. En hel del var utsuddat i rapporten av sekretesskäl så oklart vad FRA påpekade för brister. Befintliga inloggningstjänster som bygger på samma teknik är skolfederation (https://www.skolfederation.se/) för skolor gymnasie och lägre, SAMBI för apotek, kommuner och andra aktörer inom vård och omsorg (https://www.sambi.se/) samt SWAMID för universitet och högskolor (https://wiki.sunet.se/display/SWAMID)

Precis som skrivs på elegitimation.se [2] kan inte DIGG ställa krav på privata aktörer att de ska ha stöd för viss teknik i deras eID lösningar, och det tycker jag är rätt. Det skulle vara konstigt om staten går in och tvingar Freja eID eller BankID att de måste ha stöd för ett visst operativsystem. Nuvarande situation öppnar upp för fler aktörer som faktiskt är intresserad av att ha stöd för fler platformar och desto mer FOSS. Mina tankar har snurrat kring SoloKey (eller annan nyckel)/WebAuthn osv. för inloggning, dock oklart om det duger för högre tillitsnivåer. En annan funderare är hur man binder en hårdvarunyckel till en individ (identifiering). Högsta tillitsnivå i Sverige kräver att man gör det i person, vilket kräver en affärsmodell där man anlitar något företag som finns över hela Sverige som kan göra identifieringen precis som FrejaID löser det med ATG och QR-koder. Här tror jag djävulen finns i detaljerna minst sagt och att det är därför det inte finns så många aktörer.

Detta är bara toppen av isberget, finns säkert en hel del historik från de senaste 10 åren om svensk e-legitimation. Första lämpliga stegen är nog att grotta ner sig mer i hur Sweden Connect/eIDAS fungerar idag och är tänkt att fungera i en perfekt värld. Samt titta vilka alternativ det finns på öppna lösningar där Proof of concept kan vara intressant. Förutom det tekniska är det högst intressant att fråga runt bland erfarna/kunniga om affärsmodeller och hur "marknaden" fungerar idag rent ekonomiskt.

[1] https://www.swedenconnect.se/
[2] https://www.elegitimation.se/sa-fungerar-e-legitimation

Med vänlig hälsning
--
Christoffer Holmstedt