På fredag den 24 maj anordnar Amelia en paneldiskussion om e-legitimation och den nya förordning som är på väg genom EU.
I korta drag handlar det om hur EU vill att den privata och säkra kommunikationen mellan medborgare och den offentliga förvaltningen ska ske, hur vi ska identifieras/autentiseras mot varandra och hur det ska fungera över gränserna i EU. Problemet med förordningen är att den försöker harmonisera en uppsjö av olika system och rättsliga traditioner (såsom den tyska byråkratiska traditionen med det italienska närmast traumatiska myndighetskommunicerande med den svenska e-legitimationen som administreras av banker osv osv) och detta är en himla röra.
Allmänheten är hjärtligt välkommen att delta i publiken i den 1,5 timme långa paneldiskussionen på Europahuset i Stockholm kl 15:00, ställa frågor eller bara fika.
I panelen sitter Eva Ekenberg från E-legitimationsnämnden, Tobias Pulls från Karlstad Universitet och Jörgen Sandberg från Sveriges Kommuner och Landsting.
Välkomna till Europahuset på Regeringsgatan 65 Stockholm. Fikat börjar en stund innan evenemanget.
Den svenska e-legitimationen.. ta gärna upp att detta elände kräver speciella webbläsare, att man måste tillåta körande av extern kod vilket gör datorn osäkrare och kanske värst av allt, att användare måste installera ett program med sluten källkod. Jag kan tom. hävda att det programmet är en säkerhetsrisk eller ett spionprogram. Ingen, absolut ingen i panelen kan säga något som trovärdigt kan motsäga detta, just eftersom det är sluten källkod vi talar om. Endast den som skrivit koden vet, och de som vill att vi skall använda e-legitimationen tycker att vi skall lita på dem och programmakaren som vägrar låta sig granskas. I andra situationer i livet som vi konfrontras med något liknande, så avfärdar vi dem som skojare och ber dem dra åt helvete.
det var ingen som försökta säga emot det du anför. precis som du säger.
"det var ingen som försökta säga emot det du anför. precis som du säger."
Vad skall vi då med en e-legitimation som inte är pålitlig?
Hej,
Det finns inget som stoppar en identitetsleverantör (IdP), såsom din bank, att släppa all kod som berör slutanvändare öppet. Om något, i förslaget från E-legitimationsnämnden, så finns det alla möjligheter för att det ska finnas många olika identitetsleverantörer att välja mellan framöver. Kanske är det som upplaggt för att starta upp en IdP som är helt öppen samt minimerar den personliga datan som IdPn kan samla på sig i SAML 2.0 miljön?
Vad gäller lösningar baserade på "anonymous credentials", som deltagaren (Nils) från E-legitimationsnämnden öppnade dörren för i framtiden om det visar sig praktiskt, så finns det en hel del öppen kod att leka med idag. Mycket av de resultat från EU finansierade forskningsprojekt släpps fritt. Idemix http://www.zurich.ibm.com/security/idemix/ med kod: https://prime.inf.tu-dresden.de/idemix/ . U-Prove https://research.microsoft.com/en-us/projects/u-prove/ med kod: https://uprovecsharp.codeplex.com/ . "Motor" från forskningsprojektet ABC4Trust för att leka med Idemix eller U-Prove: https://github.com/p2abcengine/p2abcengine .
Det _svenska_ förslaget från E-legitimationsnämnden fokuserar på SAML 2.0, som sålänge som du har en lösning som kan "prata" SAML 2.0 leder till teknikneutralitet. Det finns problem med SAML, såsom att IdPn kan profilera slutanvändare, men det finns också många möjligheter för många olika aktörer att komma in, såsom en IdP fokuserad på öppenhet och respekt för den personliga integriteten, så långt som det är möjligt i en SAML 2.0 miljö. Det _europeiska_ förslaget på förordning kring eID, såsom presenterad, omöjliggör att skapa lösningar som respekterar den personliga integriteten, bla pga kravet på _identifiering_ istället för _autentisering_. Förhoppningsvis klubbas flera av Amelias förslag genom för att rätta till detta.
Jag föreslår att PTS eller liknande anställer _en_ programmerare som skriver ihop en grundläggande lösning, sätter upp en CVS-server och en epostlista. Publicerar sin grundläggande kod och därmed startar projektet, precis som det går till vid all annan utveckling av öppna och fria program. Det räcker alltså med en enda person. När projektet väl är igång så tillströmmar det fler på e-postlistan och buggfixandet, förslagen och grnskandet är igång, inom en mycket kort tid, kan handla om dagar inte veckor, så kommer projektet att ha spottat ut sig ett antal nya betaversioner. Inom några månader så lugnar det ner sig, koden börjar bli användbar och mer stabil. Det här är inte "rocket-science", det är bara revirpinkandet och katedralbyggandet som måste släppas rent mentalt.
@Tobias Pulls som skrev: "Det finns inget som stoppar en identitetsleverantör (IdP), såsom din bank, att släppa all kod som berör slutanvändare öppet."
Det finns helt säker en massa saker som hindrar, bara det faktum att koden är sluten idag bevisar att de har något att dölja, de döljer ju sin kod.
Nu spammar jag nästan.
Det här är ett gyllene tillfälle för sverige att plocka upp taktpinnen, inte genom ändlösa möten, olika nämder eller allmän beslutsvånda som egentligen grundas i rädsla att göra fel, utan att helt sonika sätta igång. Bara genom att starta det jag föreslog tidigare så tar sverige automatiskt ledningen och genom öppenheten så är det bara för alla anadra intressenter att haka på, precis så som det går till vid utvecklingen av alla andra öppna program. Helt garanterat så kommer andra länder att tillsätta folk som lurkar på den där e-postlistan, redan inom ett par dagar. Med lämppligtvis PTS bakom projektets rygg så finns ju en del resurser att informera så att projektet blir välkänt på mycket kort tid, i detta ligger en del av nyckeln till att få en bra start. Men det måste finnas ett litet stycke åtminstone rudimentärt fungerande kod först, något att kunna bidra till, något att granska och fixa, sedan går det per automatik när alla andra intressenter strömmar till. Projektledaren måste dock vara någon som redan är van vid utveckling av öppen kod och inte vara styrd uppifrån, projektet styr sig självt när det väl är igång, lyckligtvis råder det ingen som helst brist på sådana, i synnerhet inte om en anställning hos PTS hägrar. Den enda risk som finns är att projektet forkas om projektet dabbar sig. Precis som vid utveckling av all annan öppen kod.
Hejhej,
Det svenska valfrihetssystemet för e-legitimation är frivilligt för alla kommuner. Den som hellre arbetar med öppna kodlösningar eller vill ha anonymous credentials kan alltså enkelt sätta upp ett eget företag och sälja en sådan produkt till kommuner. Sveriges kommuner och landsting vill dessutom ha sådana tjänster, så det finns uppenbarligen plats på marknaden för sådana lösningar.
Man kan sätta upp en non-profit IdP i SAML-miljön också - det beror på vilken marknadsstruktur man tror sig kunna få bäst framgång i. Jag tror personligen inte att den prismodell regeringen valt för identitetsfederationen i Sverige kommer att vara särskilt vänlig mot non-profit-organisationer eftersom man säkerställt enorma privata intressen av att maxa autenticeringstillfällen. Kan man inte konkurrera med stor marknadsföringsbudget lär man alltså aldrig bli något annat än en nisch-lösning, om man inte kan erbjuda någonting annat (som t ex en annorlunda och eventuellt bättre arkitektur för lösningarna).
Vill bara säga att jag är helt enig med Steelneck.
Redan det faktum att det är bankerna som driver detta och att staten (Skatteverket, FK) i princip kräver att alla skall ha en "relation" till en privat aktör är utmanande.
Ärligt talat kan jag inte se annat än att bankerna och staten smält samman och det till större nytta för bankerna än för det allmänna.
Om staten vill ha en e-legitimation, då skall de också tillhandahålla en. Med öppna system för autentifiering, inte identifiering.
Lägg till ny kommentar