Jag är gärna med. I kontakt med Svenska myndigheter är det hopplöst
utan BankID. Jag har AB Svenska Pass men har aldrig fått det att
fungera i *buntu.
Redan för 10 år sedan pratades det en hel del om elegitimationer och
möjliggöra för flera olika aktörer att agera identitetsleverantör i
en "federation". Jag har inte följt det i detalj men bevisligen har
det inte bildats så många aktörer på marknaden så oklart vad som har
gått snett. Det verkar heta Sweden Connect idag och bygger på SAML
[1], det verkar också vara svenska kopplingen till andra nationer
inom eIDAS. Vad jag vet är varken Freja eID eller BankID anslutna
till federationen utan kör sina egna spår. När det begav sig så var
det många klagomål på SAML tekniken och FRA(?) gjorde en genomgång av
tekniken. En hel del var utsuddat i rapporten av sekretesskäl så
oklart vad FRA påpekade för brister. Befintliga inloggningstjänster
som bygger på samma teknik är skolfederation
(https://www.skolfederation.se/) för skolor gymnasie och lägre, SAMBI
för apotek, kommuner och andra aktörer inom vård och omsorg
(https://www.sambi.se/) samt SWAMID för universitet och högskolor
(https://wiki.sunet.se/display/SWAMID)
Precis som skrivs på elegitimation.se [2] kan inte DIGG ställa krav
på privata aktörer att de ska ha stöd för viss teknik i deras eID
lösningar, och det tycker jag är rätt. Det skulle vara konstigt om
staten går in och tvingar Freja eID eller BankID att de måste ha stöd
för ett visst operativsystem. Nuvarande situation öppnar upp för fler
aktörer som faktiskt är intresserad av att ha stöd för fler
platformar och desto mer FOSS. Mina tankar har snurrat kring SoloKey
(eller annan nyckel)/WebAuthn osv. för inloggning, dock oklart om det
duger för högre tillitsnivåer. En annan funderare är hur man binder
en hårdvarunyckel till en individ (identifiering). Högsta tillitsnivå
i Sverige kräver att man gör det i person, vilket kräver en
affärsmodell där man anlitar något företag som finns över hela
Sverige som kan göra identifieringen precis som FrejaID löser det med
ATG och QR-koder. Här tror jag djävulen finns i detaljerna minst sagt
och att det är därför det inte finns så många aktörer.
Detta är bara toppen av isberget, finns säkert en hel del historik
från de senaste 10 åren om svensk e-legitimation. Första lämpliga
stegen är nog att grotta ner sig mer i hur Sweden Connect/eIDAS
fungerar idag och är tänkt att fungera i en perfekt värld. Samt titta
vilka alternativ det finns på öppna lösningar där Proof of concept
kan vara intressant. Förutom det tekniska är det högst intressant att
fråga runt bland erfarna/kunniga om affärsmodeller och hur
"marknaden" fungerar idag rent ekonomiskt.
[1] https://www.swedenconnect.se/
[2] https://www.elegitimation.se/sa-fungerar-e-legitimation
Med vänlig hälsning