Re: [DFRI-listan] Projekt-förslag: Driv på för fri och öppen lösning för svensk e-legitimation (alternativ till BankID)

[Henrik Grimler]

Hej alla!

(Nytt försök, texten i förra mailet trollades bort av min mailklient)

Kanonbra initiativ! När webbläsarplugin varianten av bankid försvann
2014 så hänvisades GNU/linux användare till mobilt bank-id. Alla har
dock inte tillräckligt ny android/iphone mobil, och idag finns det ju
tämligen väl fungerande linux-telefoner utan möjlighet till användning
av mobilt bankid.

Till den gamla bankid varianten fanns det åtminstone ett helt öppet
(inte ens knutet till webbläsare) alternativ, fribid [1]. På den gamla
wikin [2] för det projektet finns även en del reverse-engineerings
anteckningar för den nya bank-id varianten.

Förhoppningsvis går det att övertyga nån befintlig aktör att släppa
sin lösning fri. Att behöva reverse-engineera nånting är väl knappast
önskvärt, och som Elias nämne i ursprungsmailet har åtminstone AB
Svenska Pass förbjudit reverse-engineering i sina villkor. Min bank
skriver i sina villkor add kunden åtager sig att "endast använda sig
av banken godkänd programvara vid styrkande av identitet och signering
med hjälp av BankID".

On Tue, 2021-08-03 at 19:29 +0200, Christoffer Holmstedt wrote:
> Jag är gärna med. I kontakt med Svenska myndigheter är det hopplöst
> utan BankID. Jag har AB Svenska Pass men har aldrig fått det att
> fungera i *buntu.

Deras program fungerar dåligt för mig också, men jag brukar få det att
fungera efter några försö. När det inte fungerar låser plugin:en hela
webbläsaren tills läsaren eller kortet kopplas bort. Jag har ringt
deras telefonsupport två gånger, men de har inte varit så intresserade
av att felsöka eller hjälpa till ("försök igen senare"). pcscd måste
köras i bakgrunden i alla fall, och deras plugin installerad (så
klart).

Ses på mötet!
Med vänlig hälsning
Henrik Grimler

[1] https://fribid.se/
[2] https://wiki.fribid.se/


-- 
DFRI-listan är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: https://lists.dfri.se/listan/
Listpolicy: https://www.dfri.se/regler-for-listan

Re: [DFRI-listan] Projekt-förslag: Driv på för fri och öppen lösning för svensk e-legitimation (alternativ till BankID)

[Mattias Axell]

Hej,

Det här kan också vara intressant att kolla in apropå det som Cynthia Revström 
skrev om eID för papperslösa:

"eID Ny i Sverige - Dokumentation för samarbetsprojektet e-leg för asylsökande. 
Verkar för att papperslösa 
eller medborgare från länder utanför EU ska kunna använda sig utav 
myndigheternas digitala utbud."

Länk: https://gitlab.com/open-data-knowledge-sharing/e-leg/wiki

Mvh,
Mattias Axell

On 2021-09-05 23:42, Henrik Grimler wrote:

>
> On Tue, 2021-08-03 at 19:29 +0200, Christoffer Holmstedt wrote:
>> Jag är gärna med. I kontakt med Svenska myndigheter är det hopplöst
>> utan BankID. Jag har AB Svenska Pass men har aldrig fått det att
>> fungera i *buntu.
>>
>> Redan för 10 år sedan pratades det en hel del om elegitimationer och
>> möjliggöra för flera olika aktörer att agera identitetsleverantör i
>> en "federation". Jag har inte följt det i detalj men bevisligen har
>> det inte bildats så många aktörer på marknaden så oklart vad som har
>> gått snett. Det verkar heta Sweden Connect idag och bygger på SAML
>> [1], det verkar också vara svenska kopplingen till andra nationer
>> inom eIDAS. Vad jag vet är varken Freja eID eller BankID anslutna
>> till federationen utan kör sina egna spår. När det begav sig så var
>> det många klagomål på SAML tekniken och FRA(?) gjorde en genomgång av
>> tekniken. En hel del var utsuddat i rapporten av sekretesskäl så
>> oklart vad FRA påpekade för brister. Befintliga inloggningstjänster
>> som bygger på samma teknik är skolfederation
>> (https://www.skolfederation.se/) för skolor gymnasie och lägre, SAMBI
>> för apotek, kommuner och andra aktörer inom vård och omsorg
>> (https://www.sambi.se/) samt SWAMID för universitet och högskolor
>> (https://wiki.sunet.se/display/SWAMID)
>>
>> Precis som skrivs på elegitimation.se [2] kan inte DIGG ställa krav
>> på privata aktörer att de ska ha stöd för viss teknik i deras eID
>> lösningar, och det tycker jag är rätt. Det skulle vara konstigt om
>> staten går in och tvingar Freja eID eller BankID att de måste ha stöd
>> för ett visst operativsystem. Nuvarande situation öppnar upp för fler
>> aktörer som faktiskt är intresserad av att ha stöd för fler
>> platformar och desto mer FOSS. Mina tankar har snurrat kring SoloKey
>> (eller annan nyckel)/WebAuthn osv. för inloggning, dock oklart om det
>> duger för högre tillitsnivåer. En annan funderare är hur man binder
>> en hårdvarunyckel till en individ (identifiering). Högsta tillitsnivå
>> i Sverige kräver att man gör det i person, vilket kräver en
>> affärsmodell där man anlitar något företag som finns över hela
>> Sverige som kan göra identifieringen precis som FrejaID löser det med
>> ATG och QR-koder. Här tror jag djävulen finns i detaljerna minst sagt
>> och att det är därför det inte finns så många aktörer.
>>
>> Detta är bara toppen av isberget, finns säkert en hel del historik
>> från de senaste 10 åren om svensk e-legitimation. Första lämpliga
>> stegen är nog att grotta ner sig mer i hur Sweden Connect/eIDAS
>> fungerar idag och är tänkt att fungera i en perfekt värld. Samt titta
>> vilka alternativ det finns på öppna lösningar där Proof of concept
>> kan vara intressant. Förutom det tekniska är det högst intressant att
>> fråga runt bland erfarna/kunniga om affärsmodeller och hur
>> "marknaden" fungerar idag rent ekonomiskt.
>>
>> [1] https://www.swedenconnect.se/
>> [2] https://www.elegitimation.se/sa-fungerar-e-legitimation
>>
>> Med vänlig hälsning
>
>

Re: [DFRI-listan] Projekt-förslag: Driv på för fri och öppen lösning för svensk e-legitimation (alternativ till BankID)

[Henrik Grimler]

On Tue, 2021-08-03 at 19:29 +0200, Christoffer Holmstedt wrote:
> Jag är gärna med. I kontakt med Svenska myndigheter är det hopplöst
> utan BankID. Jag har AB Svenska Pass men har aldrig fått det att
> fungera i *buntu.
> 
> Redan för 10 år sedan pratades det en hel del om elegitimationer och
> möjliggöra för flera olika aktörer att agera identitetsleverantör i
> en "federation". Jag har inte följt det i detalj men bevisligen har
> det inte bildats så många aktörer på marknaden så oklart vad som har
> gått snett. Det verkar heta Sweden Connect idag och bygger på SAML
> [1], det verkar också vara svenska kopplingen till andra nationer
> inom eIDAS. Vad jag vet är varken Freja eID eller BankID anslutna
> till federationen utan kör sina egna spår. När det begav sig så var
> det många klagomål på SAML tekniken och FRA(?) gjorde en genomgång av
> tekniken. En hel del var utsuddat i rapporten av sekretesskäl så
> oklart vad FRA påpekade för brister. Befintliga inloggningstjänster
> som bygger på samma teknik är skolfederation
> (https://www.skolfederation.se/) för skolor gymnasie och lägre, SAMBI
> för apotek, kommuner och andra aktörer inom vård och omsorg
> (https://www.sambi.se/) samt SWAMID för universitet och högskolor
> (https://wiki.sunet.se/display/SWAMID)
> 
> Precis som skrivs på elegitimation.se [2] kan inte DIGG ställa krav
> på privata aktörer att de ska ha stöd för viss teknik i deras eID
> lösningar, och det tycker jag är rätt. Det skulle vara konstigt om
> staten går in och tvingar Freja eID eller BankID att de måste ha stöd
> för ett visst operativsystem. Nuvarande situation öppnar upp för fler
> aktörer som faktiskt är intresserad av att ha stöd för fler
> platformar och desto mer FOSS. Mina tankar har snurrat kring SoloKey
> (eller annan nyckel)/WebAuthn osv. för inloggning, dock oklart om det
> duger för högre tillitsnivåer. En annan funderare är hur man binder
> en hårdvarunyckel till en individ (identifiering). Högsta tillitsnivå
> i Sverige kräver att man gör det i person, vilket kräver en
> affärsmodell där man anlitar något företag som finns över hela
> Sverige som kan göra identifieringen precis som FrejaID löser det med
> ATG och QR-koder. Här tror jag djävulen finns i detaljerna minst sagt
> och att det är därför det inte finns så många aktörer.
> 
> Detta är bara toppen av isberget, finns säkert en hel del historik
> från de senaste 10 åren om svensk e-legitimation. Första lämpliga
> stegen är nog att grotta ner sig mer i hur Sweden Connect/eIDAS
> fungerar idag och är tänkt att fungera i en perfekt värld. Samt titta
> vilka alternativ det finns på öppna lösningar där Proof of concept
> kan vara intressant. Förutom det tekniska är det högst intressant att
> fråga runt bland erfarna/kunniga om affärsmodeller och hur
> "marknaden" fungerar idag rent ekonomiskt.
> 
> [1] https://www.swedenconnect.se/
> [2] https://www.elegitimation.se/sa-fungerar-e-legitimation
> 
> Med vänlig hälsning


-- 
DFRI-listan är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: https://lists.dfri.se/listan/
Listpolicy: https://www.dfri.se/regler-for-listan

Re: [DFRI-listan] Projekt-förslag: Driv på för fri och öppen lösning för svensk e-legitimation (alternativ till BankID)

[Cynthia Revström]

Hej,

Jag såg en artikel om eHälsomyndighetens problem med att covidbevis inte
finns tillgängliga för personer med samordningsnummer.

Jag tänkte att det kanske kunde vara intressant för vissa här eftersom att
jag antar att e-legitimation är en stor del av problemet här.

https://www.svt.se/nyheter/lokalt/skane/far-inget-covidbevis-trots-dubbla-vaccin

-Cynthia

On Thu, Aug 26, 2021, 14:18 Elias Rudberg  wrote:

> Hej,
>
> Tack alla som svarat om e-legitimation, väldigt roligt med så många
> kloka och intressanta synpunkter!
>
> Med så många engagerade borde det finnas bra möjligheter att få igång
> ett DFRI-projekt om det här. Jag pratade igår med Mattias om vad som kan
> vara nästa steg och kom fram till att det kan vara bra att ha ett möte
> som en sorts projekt-start:
>
> Tid: onsdag 15 september klockan 19:00-20:30
>
> Plats: https://jitsi.eliasrudberg.se/e-id-meeting (det är min egen
> jitsi-server utan spårning och sådant)
>
> Vem kan vara med: alla som är intresserade av att delta i ett projekt om
> e-legitimation
>
> Planen är att vid det mötet kan vi komma överens om att starta projektet
> och vi kan diskutera bland annat de olika punkterna här:
> https://www.dfri.se/projekt/projektguide-och-kriterier/
>
> Så skriv upp den 15 september 19:00 i kalendern, hoppas att så många som
> möjligt kan vara med då. Förhoppningsvis kan DFRI-styrelsen sedan
> besluta att starta projektet som ett officiellt DFRI-projekt.
>
> Tack igen för alla kloka svar, hoppas vi ses på mötet!
>
> Vänliga hälsningar
> Elias
>
> PS
> När det gäller Self-Sovereign Identity (SSI) som bland annat Haro tog
> upp har jag precis skaffat en nyutkommen bok om det, "Self-Sovereign
> Identity: Decentralized digital identity and verifiable credentials"
> (2021) av Alex Preukschat och Drummond Reed. Har inte hunnit läsa ännu,
> men SSI verkar väldigt intressant och relevant för det här projektet och
> jag hoppas hinna läsa och lära mig mer om det före mötet. Boken tar
> också upp SSI kopplat till eIDAS.
>
>
>
> On 2021-08-10 18:49, Mattias Axell wrote:
> > Hej,
> >
> > Vilka spännande och lärorika inspel från så många här!
> >
> > @Elias det ser ut som att du fått fint med intresse på detta
> projektförslag. Ytterligare en grej är de 60-80 000 mobiler som blev
> oanvändbara för BankID i Sverige i juni när minimikraven höjdes för Android
> respektive iOS.
> https://support.bankid.com/sv/fragor-svar/tekniska-fragor/varfoer-har-ni-aviserat-att-bankid-appen-kommer-att-sluta-stoedja-android-5-etc
> > Tror def. att DFRI kan ta kontakt med systerorganisationer inom Europa
> genom EDRI för projektet. Kanske det finns liknande situationer i fler
> länder och kanske det går att söka gemensamma projektmedel.
> >
> > Om möjligt kan styrelsen ta upp detta på nästa styrelsemöte nästa onsdag
> 18/8 som en mötespunkt. Meddela isf så kan jag lägga in det i protokollet.
> >
> > Mvh,
> > Mattias
> >
> > DFRI
> >
> > On 2021-08-08 23:54, Cynthia Revström wrote:
> >
> >> [...]
> >>
> >> – Frågan är större än "det ska gå att använda BankID på Linux". Ens
> om
> >>
> >> appen BankID hade varit FOSS återstår exempelvis frågan varför min
> bank
> >>
> >> ska behöva känna till vilka sjukvårdstjänster jag använder, eller
> >>
> >> varför den som saknar svenskt personnummer ska uteslutas.
> >>
> >> [...]
> >>
> >> Det är mer komplicerat och tyvärr tror jag att komma ifrån personnummer
> är vi väldigt långt ifrån med tanke på hur vi inte ens lyckades göra
> personnummer könsneutrala som gjordes med födelseplats på 90-talet. (det
> skulle bara ändra hur man läste numren)
> >> Det finns många problem med det men jag tror att det är en allt för
> stor sak att lyckas med i nuvarande läget.
> >> Men om man bygger en öppen standard borde man bygga den för att ha
> möjlighet att använda andra "identifiers" i framtiden.
> >> -Cynthia
> >> On Thu, Aug 5, 2021 at 5:02 PM Haro de Grauw  m...@hadg.eu>> wrote:
> >>
> >> Tack för ett mycket spännande initiativ!
> >>
> >> Några spontana tankar:
> >>
> >> – Frågan är större än "det ska gå att använda BankID på Linux".
>  >> [...]
> --
> DFRI-listan är öppen för alla.
> Listan arkiveras och publiceras öppet på internet.
> Arkiv: https://lists.dfri.se/listan/
> Listpolicy: https://www.dfri.se/regler-for-listan
>
>

Re: [DFRI-listan] Projekt-förslag: Driv på för fri och öppen lösning för svensk e-legitimation (alternativ till BankID)

[Elias Rudberg]

Hej,

Tack alla som svarat om e-legitimation, väldigt roligt med så många 
kloka och intressanta synpunkter!


Med så många engagerade borde det finnas bra möjligheter att få igång 
ett DFRI-projekt om det här. Jag pratade igår med Mattias om vad som kan 
vara nästa steg och kom fram till att det kan vara bra att ha ett möte 
som en sorts projekt-start:


Tid: onsdag 15 september klockan 19:00-20:30

Plats: https://jitsi.eliasrudberg.se/e-id-meeting (det är min egen 
jitsi-server utan spårning och sådant)


Vem kan vara med: alla som är intresserade av att delta i ett projekt om 
e-legitimation


Planen är att vid det mötet kan vi komma överens om att starta projektet 
och vi kan diskutera bland annat de olika punkterna här: 
https://www.dfri.se/projekt/projektguide-och-kriterier/


Så skriv upp den 15 september 19:00 i kalendern, hoppas att så många som 
möjligt kan vara med då. Förhoppningsvis kan DFRI-styrelsen sedan 
besluta att starta projektet som ett officiellt DFRI-projekt.


Tack igen för alla kloka svar, hoppas vi ses på mötet!

Vänliga hälsningar
Elias

PS
När det gäller Self-Sovereign Identity (SSI) som bland annat Haro tog 
upp har jag precis skaffat en nyutkommen bok om det, "Self-Sovereign 
Identity: Decentralized digital identity and verifiable credentials" 
(2021) av Alex Preukschat och Drummond Reed. Har inte hunnit läsa ännu, 
men SSI verkar väldigt intressant och relevant för det här projektet och 
jag hoppas hinna läsa och lära mig mer om det före mötet. Boken tar 
också upp SSI kopplat till eIDAS.




On 2021-08-10 18:49, Mattias Axell wrote:

Hej,

Vilka spännande och lärorika inspel från så många här!

@Elias det ser ut som att du fått fint med intresse på detta projektförslag. 
Ytterligare en grej är de 60-80 000 mobiler som blev oanvändbara för BankID i 
Sverige i juni när minimikraven höjdes för Android respektive 
iOS.https://support.bankid.com/sv/fragor-svar/tekniska-fragor/varfoer-har-ni-aviserat-att-bankid-appen-kommer-att-sluta-stoedja-android-5-etc
Tror def. att DFRI kan ta kontakt med systerorganisationer inom Europa genom 
EDRI för projektet. Kanske det finns liknande situationer i fler länder och 
kanske det går att söka gemensamma projektmedel.

Om möjligt kan styrelsen ta upp detta på nästa styrelsemöte nästa onsdag 18/8 
som en mötespunkt. Meddela isf så kan jag lägga in det i protokollet.

Mvh,
Mattias

DFRI

On 2021-08-08 23:54, Cynthia Revström wrote:


[...]

– Frågan är större än "det ska gå att använda BankID på Linux". Ens om

appen BankID hade varit FOSS återstår exempelvis frågan varför min bank

ska behöva känna till vilka sjukvårdstjänster jag använder, eller

varför den som saknar svenskt personnummer ska uteslutas.

[...]

Det är mer komplicerat och tyvärr tror jag att komma ifrån personnummer är vi 
väldigt långt ifrån med tanke på hur vi inte ens lyckades göra personnummer 
könsneutrala som gjordes med födelseplats på 90-talet. (det skulle bara ändra 
hur man läste numren)
Det finns många problem med det men jag tror att det är en allt för stor sak 
att lyckas med i nuvarande läget.
Men om man bygger en öppen standard borde man bygga den för att ha möjlighet att använda 
andra "identifiers" i framtiden.
-Cynthia
On Thu, Aug 5, 2021 at 5:02 PM Haro de Grauw mailto:m...@hadg.eu>> wrote:

Tack för ett mycket spännande initiativ!

Några spontana tankar:

– Frågan är större än "det ska gå att använda BankID på Linux".

>> [...]
--
DFRI-listan är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: https://lists.dfri.se/listan/
Listpolicy: https://www.dfri.se/regler-for-listan

Re: [DFRI-listan] Projekt-förslag: Driv på för fri och öppen lösning för svensk e-legitimation (alternativ till BankID)

[Mattias Axell]

Hej,

Vilka spännande och lärorika inspel från så många här!

@Elias det ser ut som att du fått fint med intresse på detta projektförslag. 
Ytterligare en grej är de 60-80 000 mobiler som blev oanvändbara för BankID i 
Sverige i juni när minimikraven höjdes för Android respektive iOS. 
https://support.bankid.com/sv/fragor-svar/tekniska-fragor/varfoer-har-ni-aviserat-att-bankid-appen-kommer-att-sluta-stoedja-android-5-etc
Tror def. att DFRI kan ta kontakt med systerorganisationer inom Europa genom 
EDRI för projektet. Kanske det finns liknande situationer i fler länder och 
kanske det går att söka gemensamma projektmedel.

Om möjligt kan styrelsen ta upp detta på nästa styrelsemöte nästa onsdag 18/8 
som en mötespunkt. Meddela isf så kan jag lägga in det i protokollet.

Mvh,
Mattias

DFRI

On 2021-08-08 23:54, Cynthia Revström wrote:


[...]


– Frågan är större än "det ska gå att använda BankID på Linux". Ens om

appen BankID hade varit FOSS återstår exempelvis frågan varför min bank

ska behöva känna till vilka sjukvårdstjänster jag använder, eller

varför den som saknar svenskt personnummer ska uteslutas.

[...]

Det är mer komplicerat och tyvärr tror jag att komma ifrån personnummer är vi 
väldigt långt ifrån med tanke på hur vi inte ens lyckades göra personnummer 
könsneutrala som gjordes med födelseplats på 90-talet. (det skulle bara ändra 
hur man läste numren)
Det finns många problem med det men jag tror att det är en allt för stor sak 
att lyckas med i nuvarande läget.
Men om man bygger en öppen standard borde man bygga den för att ha möjlighet att använda 
andra "identifiers" i framtiden.
-Cynthia
On Thu, Aug 5, 2021 at 5:02 PM Haro de Grauw mailto:m...@hadg.eu>> wrote:

Tack för ett mycket spännande initiativ!

Några spontana tankar:

– Frågan är större än "det ska gå att använda BankID på Linux". Ens om

appen BankID hade varit FOSS återstår exempelvis frågan varför min bank

ska behöva känna till vilka sjukvårdstjänster jag använder, eller

varför den som saknar svenskt personnummer ska uteslutas.

– Det finns betydande litteratur (mer eller mindre vetenskaplig) om hur

e-legitimation kunde eller borde fungera. En tidig milstolpe var Kim

Camerons "Laws of Identity"[1]. Ett nyare teoretiskt ramverk är Self-

Sovereign Identity[2,3]. Om någon hittat annat, tipsa gärna!

– Samma diskussion pågår säkert parallellt i andra länder. Undrar om

DFRI har kontakt med grupper som driver liknande frågor, exempelvis

genom EDRI? Jämförande verksamhet vore mycket värdefull. Om man

fastställer kriterier för "god" e-legitimation kan man sedan skapa en

jämförande informationsresurs, i stil med EFF:s Secure Messaging

Scorecard[4].

– Det finns FOSS-lösningar där ute som används redan idag. Exempelvis i

Italien utfärdar staten identitetskort med inbyggd e-legitimation, som

används via NFC med en app som heter CieID (BSD-3 licens)[5]. Den har

relativt få användare (än), då bankerna var ute tidigare och har appar

som upplevs som mindre "bökiga". Undrar hur svårt det vore att med

CieID:s källkod bygga en svensk "proof of concept"?

– Daniel pekade pa EU:s eID/eIDAS ramverk. Där jobbar man dels med att

se till att EU-länders e-legitimation ska gå att använda över gränser.

Sverige ligger lite efter med detta, exempelvis kan man använda

utländsk e-legitimation hos Skatteverket (testa inloggning i Mina

sidor, välj "Foreign eID"), men inte hos Försäkringskassan, där

inloggningen ska vara kopplad till ett svenskt personnummer. (I och för

sig får Sverige jämt kritik för den utanförskap som följer av systemet

med personnummer, inte minst från just EU[6].)

– Ett intressant och ganska färskt initiativ på EU-nivå är ESSIF, som

just är en implementering av Self-Sovereign Identity[7]. Detta

utvecklas inom European Blockchain Services Infrastructure (EBSI). (Jag

har ingen koll alls på vem som är vem i dessa miljöer, men initiativet

låter spännande. Någon som har bättre koll?)

– Frågan om e-legitimation hänger tätt ihop med e-signatur och "säkra

brevlådor". Vem utsåg Adobe till internets notarier? Och varför ska min

brevlåda finnas någon annanstans än hos mig? (Antar att jag predikar

för de redan frälsta, här på DFRI-listan!) I vissa sammanhang kan det

vara värt att behandla legitimation, signatur och meddelandesekretess

som olika fasetter av en och samma fråga.

Jag kan tänka mig vara med på ett hörn, dock med just nu begränsat tid.

(Har blivit lite försiktigare sedan jag någon gång lovat mer än jag

kunnat hålla.)

Hälsningar,

Haro

PS Det ser ut som att vi jobbar vid samma universitet, Elias.

[1]

https://www.identityblog.com/stories/2005/05/13/TheLawsOfIdentity.pdf  


[2]

Re: [DFRI-listan] Projekt-förslag: Driv på för fri och öppen lösning för svensk e-legitimation (alternativ till BankID)

[Cynthia Revström]

>
> [...]
>
> – Frågan är större än "det ska gå att använda BankID på Linux". Ens om
> appen BankID hade varit FOSS återstår exempelvis frågan varför min bank
> ska behöva känna till vilka sjukvårdstjänster jag använder, eller
> varför den som saknar svenskt personnummer ska uteslutas.
>
> [...]
>

Det är mer komplicerat och tyvärr tror jag att komma ifrån personnummer är
vi väldigt långt ifrån med tanke på hur vi inte ens lyckades göra
personnummer könsneutrala som gjordes med födelseplats på 90-talet. (det
skulle bara ändra hur man läste numren)

Det finns många problem med det men jag tror att det är en allt för stor
sak att lyckas med i nuvarande läget.

Men om man bygger en öppen standard borde man bygga den för att ha
möjlighet att använda andra "identifiers" i framtiden.

-Cynthia

On Thu, Aug 5, 2021 at 5:02 PM Haro de Grauw  wrote:

> Tack för ett mycket spännande initiativ!
>
> Några spontana tankar:
>
> – Frågan är större än "det ska gå att använda BankID på Linux". Ens om
> appen BankID hade varit FOSS återstår exempelvis frågan varför min bank
> ska behöva känna till vilka sjukvårdstjänster jag använder, eller
> varför den som saknar svenskt personnummer ska uteslutas.
>
> – Det finns betydande litteratur (mer eller mindre vetenskaplig) om hur
> e-legitimation kunde eller borde fungera. En tidig milstolpe var Kim
> Camerons "Laws of Identity"[1]. Ett nyare teoretiskt ramverk är Self-
> Sovereign Identity[2,3]. Om någon hittat annat, tipsa gärna!
>
> – Samma diskussion pågår säkert parallellt i andra länder. Undrar om
> DFRI har kontakt med grupper som driver liknande frågor, exempelvis
> genom EDRI? Jämförande verksamhet vore mycket värdefull. Om man
> fastställer kriterier för "god" e-legitimation kan man sedan skapa en
> jämförande informationsresurs, i stil med EFF:s Secure Messaging
> Scorecard[4].
>
> – Det finns FOSS-lösningar där ute som används redan idag. Exempelvis i
> Italien utfärdar staten identitetskort med inbyggd e-legitimation, som
> används via NFC med en app som heter CieID (BSD-3 licens)[5]. Den har
> relativt få användare (än), då bankerna var ute tidigare och har appar
> som upplevs som mindre "bökiga". Undrar hur svårt det vore att med
> CieID:s källkod bygga en svensk "proof of concept"?
>
> – Daniel pekade pa EU:s eID/eIDAS ramverk. Där jobbar man dels med att
> se till att EU-länders e-legitimation ska gå att använda över gränser.
> Sverige ligger lite efter med detta, exempelvis kan man använda
> utländsk e-legitimation hos Skatteverket (testa inloggning i Mina
> sidor, välj "Foreign eID"), men inte hos Försäkringskassan, där
> inloggningen ska vara kopplad till ett svenskt personnummer. (I och för
> sig får Sverige jämt kritik för den utanförskap som följer av systemet
> med personnummer, inte minst från just EU[6].)
>
> – Ett intressant och ganska färskt initiativ på EU-nivå är ESSIF, som
> just är en implementering av Self-Sovereign Identity[7]. Detta
> utvecklas inom European Blockchain Services Infrastructure (EBSI). (Jag
> har ingen koll alls på vem som är vem i dessa miljöer, men initiativet
> låter spännande. Någon som har bättre koll?)
>
> – Frågan om e-legitimation hänger tätt ihop med e-signatur och "säkra
> brevlådor". Vem utsåg Adobe till internets notarier? Och varför ska min
> brevlåda finnas någon annanstans än hos mig? (Antar att jag predikar
> för de redan frälsta, här på DFRI-listan!) I vissa sammanhang kan det
> vara värt att behandla legitimation, signatur och meddelandesekretess
> som olika fasetter av en och samma fråga.
>
> Jag kan tänka mig vara med på ett hörn, dock med just nu begränsat tid.
> (Har blivit lite försiktigare sedan jag någon gång lovat mer än jag
> kunnat hålla.)
>
> Hälsningar,
> Haro
>
>
> PS Det ser ut som att vi jobbar vid samma universitet, Elias.
>
>
> [1]
> https://www.identityblog.com/stories/2005/05/13/TheLawsOfIdentity.pdf
> [2]
>
> http://www.lifewithalacrity.com/2016/04/the-path-to-self-soverereign-identity.html
> [3] https://en.wikipedia.org/wiki/Self-sovereign_identity
> [4] https://www.eff.org/pages/secure-messaging-scorecard
> [5] https://it.wikipedia.org/wiki/CieID
> [6]
>
> https://www.thelocal.se/20171128/sweden-in-breach-of-eu-law-for-refusal-to-issue-a-personnummer-to-eu-
> [7]
> https://ec.europa.eu/cefdigital/wiki/pages/viewpage.action?pageId=379913698
>
>
>
> --
> DFRI-listan är öppen för alla.
> Listan arkiveras och publiceras öppet på internet.
> Arkiv: https://lists.dfri.se/listan/
> Listpolicy: https://www.dfri.se/regler-for-listan
>
>

Re: [DFRI-listan] Projekt-förslag: Driv på för fri och öppen lösning för svensk e-legitimation (alternativ till BankID)

[Cynthia Revström]

Mailet från Elias verkar inte ha kommit fram till mig så jag kan inte svara
på det direkt men, jag är definitivt intresserad av att hjälpa till med det
här projektet.

Jag tror nog också att jag kan ha några mer unika edge-cases som jag stött
på relaterat till BankID som kan vara bra att tänka på ifall man vill komma
på ett bättre förslag.

Jag vet inte hur det ser ut med de avtalen men jag skulle väl tro att även
fast DIGG inte kan ställa vissa krav på eID leverantörerna så borde väl
Skatteverket kunna ställa det på eID på deras ID-kort?

-Cynthia

On Tue, Aug 3, 2021 at 8:31 AM Daniel Lublin  wrote:

> Lovvärt!
>
> Möjligen vill man forska lite i EID/EIDAS också, och fundera på hur det kan
> påverka det hela. Det verkar vara ett projekt för gemensam identifiering
> inom EU. Och är väl än så länge en vision från kommissionen... Nog inte så
> bra länk, men iaf:
> https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/eID
>
> --
> Daniel
> lublin.se
> --
> DFRI-listan är öppen för alla.
> Listan arkiveras och publiceras öppet på internet.
> Arkiv: https://lists.dfri.se/listan/
> Listpolicy: https://www.dfri.se/regler-for-listan
>
>

Re: [DFRI-listan] Projekt-förslag: Driv på för fri och öppen lösning för svensk e-legitimation (alternativ till BankID)

[Haro de Grauw]

Tack för ett mycket spännande initiativ!

Några spontana tankar:

– Frågan är större än "det ska gå att använda BankID på Linux". Ens om
appen BankID hade varit FOSS återstår exempelvis frågan varför min bank
ska behöva känna till vilka sjukvårdstjänster jag använder, eller
varför den som saknar svenskt personnummer ska uteslutas.

– Det finns betydande litteratur (mer eller mindre vetenskaplig) om hur
e-legitimation kunde eller borde fungera. En tidig milstolpe var Kim
Camerons "Laws of Identity"[1]. Ett nyare teoretiskt ramverk är Self-
Sovereign Identity[2,3]. Om någon hittat annat, tipsa gärna!

– Samma diskussion pågår säkert parallellt i andra länder. Undrar om
DFRI har kontakt med grupper som driver liknande frågor, exempelvis
genom EDRI? Jämförande verksamhet vore mycket värdefull. Om man
fastställer kriterier för "god" e-legitimation kan man sedan skapa en
jämförande informationsresurs, i stil med EFF:s Secure Messaging
Scorecard[4].

– Det finns FOSS-lösningar där ute som används redan idag. Exempelvis i
Italien utfärdar staten identitetskort med inbyggd e-legitimation, som
används via NFC med en app som heter CieID (BSD-3 licens)[5]. Den har
relativt få användare (än), då bankerna var ute tidigare och har appar
som upplevs som mindre "bökiga". Undrar hur svårt det vore att med
CieID:s källkod bygga en svensk "proof of concept"?

– Daniel pekade pa EU:s eID/eIDAS ramverk. Där jobbar man dels med att
se till att EU-länders e-legitimation ska gå att använda över gränser.
Sverige ligger lite efter med detta, exempelvis kan man använda
utländsk e-legitimation hos Skatteverket (testa inloggning i Mina
sidor, välj "Foreign eID"), men inte hos Försäkringskassan, där
inloggningen ska vara kopplad till ett svenskt personnummer. (I och för
sig får Sverige jämt kritik för den utanförskap som följer av systemet
med personnummer, inte minst från just EU[6].)

– Ett intressant och ganska färskt initiativ på EU-nivå är ESSIF, som
just är en implementering av Self-Sovereign Identity[7]. Detta
utvecklas inom European Blockchain Services Infrastructure (EBSI). (Jag
har ingen koll alls på vem som är vem i dessa miljöer, men initiativet
låter spännande. Någon som har bättre koll?)

– Frågan om e-legitimation hänger tätt ihop med e-signatur och "säkra
brevlådor". Vem utsåg Adobe till internets notarier? Och varför ska min
brevlåda finnas någon annanstans än hos mig? (Antar att jag predikar
för de redan frälsta, här på DFRI-listan!) I vissa sammanhang kan det
vara värt att behandla legitimation, signatur och meddelandesekretess
som olika fasetter av en och samma fråga.

Jag kan tänka mig vara med på ett hörn, dock med just nu begränsat tid.
(Har blivit lite försiktigare sedan jag någon gång lovat mer än jag
kunnat hålla.)

Hälsningar,
Haro


PS Det ser ut som att vi jobbar vid samma universitet, Elias.


[1] 
https://www.identityblog.com/stories/2005/05/13/TheLawsOfIdentity.pdf
[2] 
http://www.lifewithalacrity.com/2016/04/the-path-to-self-soverereign-identity.html
[3] https://en.wikipedia.org/wiki/Self-sovereign_identity
[4] https://www.eff.org/pages/secure-messaging-scorecard
[5] https://it.wikipedia.org/wiki/CieID
[6] 
https://www.thelocal.se/20171128/sweden-in-breach-of-eu-law-for-refusal-to-issue-a-personnummer-to-eu-
[7] 
https://ec.europa.eu/cefdigital/wiki/pages/viewpage.action?pageId=379913698



-- 
DFRI-listan är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: https://lists.dfri.se/listan/
Listpolicy: https://www.dfri.se/regler-for-listan

Re: [DFRI-listan] Projekt-förslag: Driv på för fri och öppen lösning för svensk e-legitimation (alternativ till BankID)

[Tobias Pulls]

Tack Elias,

Ett jättebra initiativ som passar föreningen!

Hälsningar,
Tobias

On 02/08/2021 10:37, Elias Rudberg wrote:

Hej!

Jag skulle vilja starta ett DFRI-projekt som handlar om hur en fri och
öppen lösning för svensk e-legitimation kan bli verklighet. Här
nedanför försöker jag förklara tanken med detta. Tacksam för all sorts
återkoppling, särskilt om du kan tänka dig att vara med och delta i
projektet.


Bakgrund


Utgångspunkten är att e-legitimation är väldigt användbart och används
mer och mer, inte minst i kontakt med myndigheter. Det är därför
viktigt att ha system för e-legitimation som respekterar digitala fri-
och rättigheter.

En viktig princip när det gäller digitala fri- och rättigheter är att
var och en själv ska kunna bestämma vad hen vill installera på sin
dator/smartphone/motsvarande. Staten ska till exempel inte bestämma
vilket operativsystem jag kör på min dator.

Problemet som det här projektet handlar om är att i dagsläget har vi i
Sverige situationen att den som behöver använda e-legitimation måste
använda operativsystem ägda och kontrollerade av Microsoft, Apple eller
Google. Om någon insisterar på att använda system baserade på fri och
öppen källkod (som GNU/Linux) kan den personen i praktiken inte använda
e-legitimation. Vi tvingas välja mellan att antingen leva helt utan e-
legitimation (vilket blir allt svårare), eller ge upp vår frihet och
installera system som ger Microsoft/Apple/Google makt över oss.

--
Projektmål
--

Målet är att det ska finnas en fri och öppen lösning för svensk e-
legitimation som ska kunna användas av alla, en lösning som respekterar
våra digitala fri- och rättigheter.

I stället för att kräva installation av saker som användaren inte kan
kontrollera på användarens dator/smartphone/motsvarande bör systemet
för e-legitimation öppet redovisa ett protokoll för hur man
kommunicerar med systemet. Det blir då möjligt för alla att använda e-
legitimation, oavsett vilken typ av dator/smartphone/motsvarande
personen väljer att använda.


Vägar till målet


Följande är fem olika förslag på hur projektmålet kan nås:

- Övertala någon av existerande kommersiella aktörer, BankID eller
Freja eID Plus så att någon av dem gör sin lösning tillgänglig även för
den som bara använder fri och öppen källkod på sin dator.

- Övertala staten via relevanta myndigheter t.ex. Skatteverket som ger
ut "AB Svenska Pass" e-legitimation så att den görs tillgänglig även
för den som bara använder fri och öppen källkod på sin dator.

- Övertala politiker så att myndigheter tvingas lösa problemet via
lagändringar eller direktiv från politiker till myndigheterna.

- Stödja utveckling av alternativa lösningar som respekterar digitala
fri- och rättigheter, om sådana lösningar finns.

- Utveckla en egen lösning som "proof of concept" för att visa hur en
fri och öppen lösning skulle kunna fungera.

-
Nuvarande alternativ för e-legitimation och problemen med dem
-

Se https://www.elegitimation.se/skaffa-e-legitimation där de nuvarande
typerna av e-legitimation finns listade.

- BankID (utgiven av bankerna): fungerar bara för den som använder
stängda operativsystem från Microsoft/Apple/Google. Dessutom stängd
källkod för själva klient-programvaran för e-legitimation som
installeras på användarens dator/smartphone. Användaren kan inte
kontrollera vad som händer på ens egen dator/smartphone.

- Freja eID Plus (utgiven av Freja eID Group AB): kräver operativsystem
från Apple/Google, samma nackdelar som BankID.

- AB Svenska Pass (utgiven av Skatteverket): Jämfört med de andra två
har denna fördelen att den går att använda i GNU/Linux men själva
klient-programvaran för e-legitimation är stängd och användaren måste
acceptera ett "End-User License Agreement" som säger att reverse-
engineering är förbjudet osv. Även här gäller alltså att användaren
inte kan kontrollera vad som händer på ens egen dator/smartphone.

---
Vad vi kan göra i projektet
---

Vi kan göra många olika saker i projektet, till exempel:

- Ta reda på och sammanställa information om hur system för e-
legitimation fungerar och vilka svårigheterna är, för att förstå
problemet bättre.

- Kommunicera med existerande utgivare av e-legitimation för att
övertala dem till att utveckla en öppen lösning, men också för att få
mer förståelse och kunskap om varför de gör som de gör i dagsläget.

- Kommunicera med myndigheter för att ta reda på hur de ser på
problemet.

- Genomföra en informationskampanj riktad till allmänheten för att få
fler att förstå problemet och kräva en förändring. Kanske leder det
till fler projektmedlemmar.

- Ta reda på om det finns politiker som är insatta och/eller
intresserade av att driva frågan.

- Ta reda på om det finns journalister som är intresserade av att
rapportera kring 

Re: [DFRI-listan] Projekt-förslag: Driv på för fri och öppen lösning för svensk e-legitimation (alternativ till BankID)

[Daniel Lublin]

Lovvärt!

Möjligen vill man forska lite i EID/EIDAS också, och fundera på hur det kan
påverka det hela. Det verkar vara ett projekt för gemensam identifiering
inom EU. Och är väl än så länge en vision från kommissionen... Nog inte så
bra länk, men iaf:
https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/eID

--
Daniel
lublin.se
-- 
DFRI-listan är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: https://lists.dfri.se/listan/
Listpolicy: https://www.dfri.se/regler-for-listan