[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [DFRI-listan] Projekt-förslag: Driv på för fri och öppen lösning för svensk e-legitimation (alternativ till BankID)



Hej,

Vilka spännande och lärorika inspel från så många här! 

@Elias det ser ut som att du fått fint med intresse på detta projektförslag. Ytterligare en grej är de 60-80 000 mobiler som blev oanvändbara för BankID i Sverige i juni när minimikraven höjdes för Android respektive iOS. https://support.bankid.com/sv/fragor-svar/tekniska-fragor/varfoer-har-ni-aviserat-att-bankid-appen-kommer-att-sluta-stoedja-android-5-etc
Tror def. att DFRI kan ta kontakt med systerorganisationer inom Europa genom EDRI för projektet. Kanske det finns liknande situationer i fler länder och kanske det går att söka gemensamma projektmedel.

Om möjligt kan styrelsen ta upp detta på nästa styrelsemöte nästa onsdag 18/8 som en mötespunkt. Meddela isf så kan jag lägga in det i protokollet.

Mvh,
Mattias
DFRI
On 2021-08-08 23:54, Cynthia Revström wrote:

      
[...]

– Frågan är större än "det ska gå att använda BankID på Linux". Ens om
appen BankID hade varit FOSS återstår exempelvis frågan varför min bank
ska behöva känna till vilka sjukvårdstjänster jag använder, eller
varför den som saknar svenskt personnummer ska uteslutas.

            
[...]

          
Det är mer komplicerat och tyvärr tror jag att komma ifrån personnummer är vi väldigt långt ifrån med tanke på hur vi inte ens lyckades göra personnummer könsneutrala som gjordes med födelseplats på 90-talet. (det skulle bara ändra hur man läste numren)

          
Det finns många problem med det men jag tror att det är en allt för stor sak att lyckas med i nuvarande läget.

          
Men om man bygger en öppen standard borde man bygga den för att ha möjlighet att använda andra "identifiers" i framtiden.

          
-Cynthia

      
On Thu, Aug 5, 2021 at 5:02 PM Haro de Grauw <me@xxxxxxx> wrote:
Tack för ett mycket spännande initiativ!

          
Några spontana tankar:

          
– Frågan är större än "det ska gå att använda BankID på Linux". Ens om
appen BankID hade varit FOSS återstår exempelvis frågan varför min bank
ska behöva känna till vilka sjukvårdstjänster jag använder, eller
varför den som saknar svenskt personnummer ska uteslutas.

          
– Det finns betydande litteratur (mer eller mindre vetenskaplig) om hur
e-legitimation kunde eller borde fungera. En tidig milstolpe var Kim
Camerons "Laws of Identity"[1]. Ett nyare teoretiskt ramverk är Self-
Sovereign Identity[2,3]. Om någon hittat annat, tipsa gärna!

          
– Samma diskussion pågår säkert parallellt i andra länder. Undrar om
DFRI har kontakt med grupper som driver liknande frågor, exempelvis
genom EDRI? Jämförande verksamhet vore mycket värdefull. Om man
fastställer kriterier för "god" e-legitimation kan man sedan skapa en
jämförande informationsresurs, i stil med EFF:s Secure Messaging
Scorecard[4].

          
– Det finns FOSS-lösningar där ute som används redan idag. Exempelvis i
Italien utfärdar staten identitetskort med inbyggd e-legitimation, som
används via NFC med en app som heter CieID (BSD-3 licens)[5]. Den har
relativt få användare (än), då bankerna var ute tidigare och har appar
som upplevs som mindre "bökiga". Undrar hur svårt det vore att med
CieID:s källkod bygga en svensk "proof of concept"?

          
– Daniel pekade pa EU:s eID/eIDAS ramverk. Där jobbar man dels med att
se till att EU-länders e-legitimation ska gå att använda över gränser.
Sverige ligger lite efter med detta, exempelvis kan man använda
utländsk e-legitimation hos Skatteverket (testa inloggning i Mina
sidor, välj "Foreign eID"), men inte hos Försäkringskassan, där
inloggningen ska vara kopplad till ett svenskt personnummer. (I och för
sig får Sverige jämt kritik för den utanförskap som följer av systemet
med personnummer, inte minst från just EU[6].)

          
– Ett intressant och ganska färskt initiativ på EU-nivå är ESSIF, som
just är en implementering av Self-Sovereign Identity[7]. Detta
utvecklas inom European Blockchain Services Infrastructure (EBSI). (Jag
har ingen koll alls på vem som är vem i dessa miljöer, men initiativet
låter spännande. Någon som har bättre koll?)

          
– Frågan om e-legitimation hänger tätt ihop med e-signatur och "säkra
brevlådor". Vem utsåg Adobe till internets notarier? Och varför ska min
brevlåda finnas någon annanstans än hos mig? (Antar att jag predikar
för de redan frälsta, här på DFRI-listan!) I vissa sammanhang kan det
vara värt att behandla legitimation, signatur och meddelandesekretess
som olika fasetter av en och samma fråga.

          
Jag kan tänka mig vara med på ett hörn, dock med just nu begränsat tid.
(Har blivit lite försiktigare sedan jag någon gång lovat mer än jag
kunnat hålla.)

          
Hälsningar,
Haro

          

          
PS Det ser ut som att vi jobbar vid samma universitet, Elias.

          

          
[1] 
https://www.identityblog.com/stories/2005/05/13/TheLawsOfIdentity.pdf
[2] 
http://www.lifewithalacrity.com/2016/04/the-path-to-self-soverereign-identity.html
[3] https://en.wikipedia.org/wiki/Self-sovereign_identity
[4] https://www.eff.org/pages/secure-messaging-scorecard
[5] https://it.wikipedia.org/wiki/CieID
[6] 
https://www.thelocal.se/20171128/sweden-in-breach-of-eu-law-for-refusal-to-issue-a-personnummer-to-eu-
[7] 
https://ec.europa.eu/cefdigital/wiki/pages/viewpage.action?pageId=379913698

          

          

          
-- 
DFRI-listan är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: https://lists.dfri.se/listan/
Listpolicy: https://www.dfri.se/regler-for-listan