+1 mvh
//Erik On 8/2/21, Elias Rudberg <[email protected]> wrote: > Hej! > > Jag skulle vilja starta ett DFRI-projekt som handlar om hur en fri och > öppen lösning för svensk e-legitimation kan bli verklighet. Här > nedanför försöker jag förklara tanken med detta. Tacksam för all sorts > återkoppling, särskilt om du kan tänka dig att vara med och delta i > projektet. > > -------- > Bakgrund > -------- > > Utgångspunkten är att e-legitimation är väldigt användbart och används > mer och mer, inte minst i kontakt med myndigheter. Det är därför > viktigt att ha system för e-legitimation som respekterar digitala fri- > och rättigheter. > > En viktig princip när det gäller digitala fri- och rättigheter är att > var och en själv ska kunna bestämma vad hen vill installera på sin > dator/smartphone/motsvarande. Staten ska till exempel inte bestämma > vilket operativsystem jag kör på min dator. > > Problemet som det här projektet handlar om är att i dagsläget har vi i > Sverige situationen att den som behöver använda e-legitimation måste > använda operativsystem ägda och kontrollerade av Microsoft, Apple eller > Google. Om någon insisterar på att använda system baserade på fri och > öppen källkod (som GNU/Linux) kan den personen i praktiken inte använda > e-legitimation. Vi tvingas välja mellan att antingen leva helt utan e- > legitimation (vilket blir allt svårare), eller ge upp vår frihet och > installera system som ger Microsoft/Apple/Google makt över oss. > > ---------- > Projektmål > ---------- > > Målet är att det ska finnas en fri och öppen lösning för svensk e- > legitimation som ska kunna användas av alla, en lösning som respekterar > våra digitala fri- och rättigheter. > > I stället för att kräva installation av saker som användaren inte kan > kontrollera på användarens dator/smartphone/motsvarande bör systemet > för e-legitimation öppet redovisa ett protokoll för hur man > kommunicerar med systemet. Det blir då möjligt för alla att använda e- > legitimation, oavsett vilken typ av dator/smartphone/motsvarande > personen väljer att använda. > > ---------------- > Vägar till målet > ---------------- > > Följande är fem olika förslag på hur projektmålet kan nås: > > - Övertala någon av existerande kommersiella aktörer, BankID eller > Freja eID Plus så att någon av dem gör sin lösning tillgänglig även för > den som bara använder fri och öppen källkod på sin dator. > > - Övertala staten via relevanta myndigheter t.ex. Skatteverket som ger > ut "AB Svenska Pass" e-legitimation så att den görs tillgänglig även > för den som bara använder fri och öppen källkod på sin dator. > > - Övertala politiker så att myndigheter tvingas lösa problemet via > lagändringar eller direktiv från politiker till myndigheterna. > > - Stödja utveckling av alternativa lösningar som respekterar digitala > fri- och rättigheter, om sådana lösningar finns. > > - Utveckla en egen lösning som "proof of concept" för att visa hur en > fri och öppen lösning skulle kunna fungera. > > ------------------------------------------------------------- > Nuvarande alternativ för e-legitimation och problemen med dem > ------------------------------------------------------------- > > Se https://www.elegitimation.se/skaffa-e-legitimation där de nuvarande > typerna av e-legitimation finns listade. > > - BankID (utgiven av bankerna): fungerar bara för den som använder > stängda operativsystem från Microsoft/Apple/Google. Dessutom stängd > källkod för själva klient-programvaran för e-legitimation som > installeras på användarens dator/smartphone. Användaren kan inte > kontrollera vad som händer på ens egen dator/smartphone. > > - Freja eID Plus (utgiven av Freja eID Group AB): kräver operativsystem > från Apple/Google, samma nackdelar som BankID. > > - AB Svenska Pass (utgiven av Skatteverket): Jämfört med de andra två > har denna fördelen att den går att använda i GNU/Linux men själva > klient-programvaran för e-legitimation är stängd och användaren måste > acceptera ett "End-User License Agreement" som säger att reverse- > engineering är förbjudet osv. Även här gäller alltså att användaren > inte kan kontrollera vad som händer på ens egen dator/smartphone. > > --------------------------- > Vad vi kan göra i projektet > --------------------------- > > Vi kan göra många olika saker i projektet, till exempel: > > - Ta reda på och sammanställa information om hur system för e- > legitimation fungerar och vilka svårigheterna är, för att förstå > problemet bättre. > > - Kommunicera med existerande utgivare av e-legitimation för att > övertala dem till att utveckla en öppen lösning, men också för att få > mer förståelse och kunskap om varför de gör som de gör i dagsläget. > > - Kommunicera med myndigheter för att ta reda på hur de ser på > problemet. > > - Genomföra en informationskampanj riktad till allmänheten för att få > fler att förstå problemet och kräva en förändring. Kanske leder det > till fler projektmedlemmar. > > - Ta reda på om det finns politiker som är insatta och/eller > intresserade av att driva frågan. > > - Ta reda på om det finns journalister som är intresserade av att > rapportera kring frågan. > > - Undersöka vilka system för e-legitimation som finns i andra länder > för att se om något av dem respekterar digitala fri- och rättigheter > bättre än de system som finns i Sverige i dag. > > - Undersöka situationen juridiskt, t.ex. ta reda på om det är olagligt > för staten att erbjuda tjänster för bara de medborgare som är kunder > hos vissa specifika storföretag. > > - Undersöka om existerade öppna standarder för kryptering, e-signering > osv. kan användas som grund för e-legitimation. Det finns ju beprövade > öppna standarder för t.ex. hur publika och privata nycklar kan > användas, Diffie-Hellman key agreement, certifikat osv, med existerande > mjukvara baserad på fri och öppen källkod som hanterar sådant, t.ex. > programvara för https och ssh. > > - Skissa förslag på hur ett framtida fritt och öppet system för e- > legitimation skulle kunna se ut. (Förenklat exempel: en myndighet > ansvarig för e-legitimation skulle kunna hålla ett register över > individers publika nycklar och varje person kunde ha sin egen privata > nyckel och använda den för att bevisa sin identitet.) > > - Utveckla en egen lösning som "proof of concept". > > ------------------------------------ > Argument för varför projektet behövs > ------------------------------------ > > Här är några andra argument som kan användas för att förklara varför > det här är en viktig fråga: > > - Orättvist övertag för teknikjättarna jämfört med möjliga > konkurrenter: dagens situation ger jättarna Google/Apple/Microsoft ett > stort övertag genom att alla som behöver e-legitimation måste använda > Google/Apple/Microsoft-operativsystem. Det gör att det blir mycket > svårare för alternativ att etablera sig. Exempel är smartphones som > Librem 5 och PinePhone som använder GNU/Linux och alltså gör det > möjligt att vara fri från Google/Apple/Microsoft och deras ständiga > övervakning. Situationen med e-legitimation gör det lättare för > jättarna att behålla sin dominans, eftersom friare alternativ inte kan > konkurrera på den punkten. > > - Jämfört med en del andra frågor kring digitala fri- och rättigheter > är frågan om e-legitimation ett fall där staten har en tydlig roll, det > går att argumentera för att staten har ett ansvar att göra e- > legitimation tillgängligt på ett rättvist sätt för alla. Vem tjänar på > dagens situation? Bankerna är nöjda. Google/Apple är nöjda. Vem > missgynnas av dagens situation? Enskilda människor som vill ha makt > över sitt eget liv, och staten som misslyckas med att bevaka > medborgarnas intressen och i stället gjort sig beroende av enorma > företag. > > - Man kan ifrågasätta säkerheten i nuvarande system, "security by > obscurity" är inte alltid det bästa. Avslöjandena kring NSO och Pegasus > nyligen har också visat att Android och iOS inte nödvändigtvis är säkra > plattformar. Det är då olyckligt om staten hänvisar alla till att > använda bara de plattformarna. Man borde åtminstone ha möjligheten att > själv se till att förvara sin privata nyckel säkert och inte tvingas > använda system baserade på Android/iOS som inte går att verifiera. > > - Statens ansvar för att värna digital säkerhet oberoende företag: när > den svenska staten hänvisar till system som bara fungerar för > Apple/Google-kunder ger det en stor fördel för Apple och Google, > företag som redan har en extremt stor makt över människors liv. Den > svenska staten borde inte bidra till att ytterligare öka Apples och > Googles makt. I stället borde staten ha kontroll över sina egna system > och låta medborgarna själva besluta om de vill vara kunder hos > Apple/Google eller inte. Det är fel att staten de facto styr människor > till att bli kunder hos Apple/Google för att kunna använda e- > legitimation. Varför ska den svenska staten hjälpa Apple/Google på det > här sättet? > > - Övervakningssamhället: eftersom de nuvarande systemen för e- > legitimation kräver att man installerar för användaren okänd, stängd > programvara på sin dator/smartphone, kan det hända att man därigenom > övervakas av staten och/eller Apple/Google/andra aktörer, utan att man > som användare har någon möjlighet att kontrollera vad programvaran > faktiskt gör. > > - Säkerhetspolitik: dagens situation, med extremt stort beroende av > Apple/Google, innebär att ett gigantiskt storföretag kan trycka på en > knapp så slutar de svenska systemen för e-legitimation fungera. Den > svenska staten har inte kontroll utan har gjort sig beroende av > Apple/Google. > > - I myndigheternas information kring covid-19-vaccination den senaste > tiden förklaras tydligt hur man gör för att boka vaccination för den > som har BankID. Den som inte har BankID betraktas som en besvärlig > person och hänvisas till telefon-bokning och får sämre förutsättningar, > t.ex. skickas påminnelse inför vaccinationen tydligen endast till de > som har BankID. Det här skapar ett starkt tryck att staten förväntar > sig att alla ska ha BankID, vilket innebär att staten förväntar sig att > alla ska vara kunder hos Google/Apple/Microsoft. Det är lätt att få > intrycket att den som inte vill installera stängd hemlig programvara > från Google/Apple/Microsoft är en besvärlig medborgare som staten helst > vill slippa befatta sig med. > > ----------------- > Delta i projektet > ----------------- > > Svara gärna på detta mejl om du: > 1. Har någon form av fråga eller annan återkoppling kring detta med en > fri och öppen e-legitimation. > 2. Vill delta i projektet på något sätt. > > Vänliga hälsningar > Elias Rudberg > Medlem i DFRI > > > -- > DFRI-listan är öppen för alla. > Listan arkiveras och publiceras öppet på internet. > Arkiv: https://lists.dfri.se/listan/ > Listpolicy: https://www.dfri.se/regler-for-listan > > -- DFRI-listan är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: https://lists.dfri.se/listan/ Listpolicy: https://www.dfri.se/regler-for-listan
