Re: [DFRI-listan] Projekt-förslag: Driv på för fri och öppen lösning för svensk e-legitimation (alternativ till BankID)

[Henrik Grimler <henrik@xxxxxxxxxx>]

On Tue, 2021-08-03 at 19:29 +0200, Christoffer Holmstedt wrote:
> Jag är gärna med. I kontakt med Svenska myndigheter är det hopplöst
> utan BankID. Jag har AB Svenska Pass men har aldrig fått det att
> fungera i *buntu.
> 
> Redan för 10 år sedan pratades det en hel del om elegitimationer och
> möjliggöra för flera olika aktörer att agera identitetsleverantör i
> en "federation". Jag har inte följt det i detalj men bevisligen har
> det inte bildats så många aktörer på marknaden så oklart vad som har
> gått snett. Det verkar heta Sweden Connect idag och bygger på SAML
> [1], det verkar också vara svenska kopplingen till andra nationer
> inom eIDAS. Vad jag vet är varken Freja eID eller BankID anslutna
> till federationen utan kör sina egna spår. När det begav sig så var
> det många klagomål på SAML tekniken och FRA(?) gjorde en genomgång av
> tekniken. En hel del var utsuddat i rapporten av sekretesskäl så
> oklart vad FRA påpekade för brister. Befintliga inloggningstjänster
> som bygger på samma teknik är skolfederation
> (https://www.skolfederation.se/) för skolor gymnasie och lägre, SAMBI
> för apotek, kommuner och andra aktörer inom vård och omsorg
> (https://www.sambi.se/) samt SWAMID för universitet och högskolor
> (https://wiki.sunet.se/display/SWAMID)
> 
> Precis som skrivs på elegitimation.se [2] kan inte DIGG ställa krav
> på privata aktörer att de ska ha stöd för viss teknik i deras eID
> lösningar, och det tycker jag är rätt. Det skulle vara konstigt om
> staten går in och tvingar Freja eID eller BankID att de måste ha stöd
> för ett visst operativsystem. Nuvarande situation öppnar upp för fler
> aktörer som faktiskt är intresserad av att ha stöd för fler
> platformar och desto mer FOSS. Mina tankar har snurrat kring SoloKey
> (eller annan nyckel)/WebAuthn osv. för inloggning, dock oklart om det
> duger för högre tillitsnivåer. En annan funderare är hur man binder
> en hårdvarunyckel till en individ (identifiering). Högsta tillitsnivå
> i Sverige kräver att man gör det i person, vilket kräver en
> affärsmodell där man anlitar något företag som finns över hela
> Sverige som kan göra identifieringen precis som FrejaID löser det med
> ATG och QR-koder. Här tror jag djävulen finns i detaljerna minst sagt
> och att det är därför det inte finns så många aktörer.
> 
> Detta är bara toppen av isberget, finns säkert en hel del historik
> från de senaste 10 åren om svensk e-legitimation. Första lämpliga
> stegen är nog att grotta ner sig mer i hur Sweden Connect/eIDAS
> fungerar idag och är tänkt att fungera i en perfekt värld. Samt titta
> vilka alternativ det finns på öppna lösningar där Proof of concept
> kan vara intressant. Förutom det tekniska är det högst intressant att
> fråga runt bland erfarna/kunniga om affärsmodeller och hur
> "marknaden" fungerar idag rent ekonomiskt.
> 
> [1] https://www.swedenconnect.se/
> [2] https://www.elegitimation.se/sa-fungerar-e-legitimation
> 
> Med vänlig hälsning


-- 
DFRI-listan är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: https://lists.dfri.se/listan/
Listpolicy: https://www.dfri.se/regler-for-listan