Tack för ett mycket spännande initiativ!
Några spontana tankar:
– Frågan är större än "det ska gå att använda BankID på Linux". Ens om
appen BankID hade varit FOSS återstår exempelvis frågan varför min bank
ska behöva känna till vilka sjukvårdstjänster jag använder, eller
varför den som saknar svenskt personnummer ska uteslutas.
– Det finns betydande litteratur (mer eller mindre vetenskaplig) om hur
e-legitimation kunde eller borde fungera. En tidig milstolpe var Kim
Camerons "Laws of Identity"[1]. Ett nyare teoretiskt ramverk är Self-
Sovereign Identity[2,3]. Om någon hittat annat, tipsa gärna!
– Samma diskussion pågår säkert parallellt i andra länder. Undrar om
DFRI har kontakt med grupper som driver liknande frågor, exempelvis
genom EDRI? Jämförande verksamhet vore mycket värdefull. Om man
fastställer kriterier för "god" e-legitimation kan man sedan skapa en
jämförande informationsresurs, i stil med EFF:s Secure Messaging
Scorecard[4].
– Det finns FOSS-lösningar där ute som används redan idag. Exempelvis i
Italien utfärdar staten identitetskort med inbyggd e-legitimation, som
används via NFC med en app som heter CieID (BSD-3 licens)[5]. Den har
relativt få användare (än), då bankerna var ute tidigare och har appar
som upplevs som mindre "bökiga". Undrar hur svårt det vore att med
CieID:s källkod bygga en svensk "proof of concept"?
– Daniel pekade pa EU:s eID/eIDAS ramverk. Där jobbar man dels med att
se till att EU-länders e-legitimation ska gå att använda över gränser.
Sverige ligger lite efter med detta, exempelvis kan man använda
utländsk e-legitimation hos Skatteverket (testa inloggning i Mina
sidor, välj "Foreign eID"), men inte hos Försäkringskassan, där
inloggningen ska vara kopplad till ett svenskt personnummer. (I och för
sig får Sverige jämt kritik för den utanförskap som följer av systemet
med personnummer, inte minst från just EU[6].)
– Ett intressant och ganska färskt initiativ på EU-nivå är ESSIF, som
just är en implementering av Self-Sovereign Identity[7]. Detta
utvecklas inom European Blockchain Services Infrastructure (EBSI). (Jag
har ingen koll alls på vem som är vem i dessa miljöer, men initiativet
låter spännande. Någon som har bättre koll?)
– Frågan om e-legitimation hänger tätt ihop med e-signatur och "säkra
brevlådor". Vem utsåg Adobe till internets notarier? Och varför ska min
brevlåda finnas någon annanstans än hos mig? (Antar att jag predikar
för de redan frälsta, här på DFRI-listan!) I vissa sammanhang kan det
vara värt att behandla legitimation, signatur och meddelandesekretess
som olika fasetter av en och samma fråga.
Jag kan tänka mig vara med på ett hörn, dock med just nu begränsat tid.
(Har blivit lite försiktigare sedan jag någon gång lovat mer än jag
kunnat hålla.)
Hälsningar,
Haro
PS Det ser ut som att vi jobbar vid samma universitet, Elias.
[1]
https://www.identityblog.com/stories/2005/05/13/TheLawsOfIdentity.pdf
[2]
http://www.lifewithalacrity.com/2016/04/the-path-to-self-soverereign-identity.html
[3] https://en.wikipedia.org/wiki/Self-sovereign_identity
[4] https://www.eff.org/pages/secure-messaging-scorecard
[5] https://it.wikipedia.org/wiki/CieID
[6]
https://www.thelocal.se/20171128/sweden-in-breach-of-eu-law-for-refusal-to-issue-a-personnummer-to-eu-
[7]
https://ec.europa.eu/cefdigital/wiki/pages/viewpage.action?pageId=379913698
--
DFRI-listan är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: https://lists.dfri.se/listan/
Listpolicy: https://www.dfri.se/regler-for-listan