För en bättre e-legitimation

Publicerad denFörfattareAnders_S5 kommentarer

För en bättre e-legitimation. Ett av de projekt som Föreningen för Digitala Fri- och Rättigheter (DFRI) driver är att ta fram en ny och bättre digital legitimation. Anledningen till varför det behövs en bättre e-legitimation anger de tydligt i projektbeskrivningen.

För att kunna använda e-legitimation måste en person idag använda operativsystem ägda och kontrollerade av Microsoft, Apple eller Google. Om någon insisterar på att använda system baserade på fri och öppen källkod (som Linux) kan den personen i praktiken inte använda e-legitimation. Alla tvingas välja mellan att antingen leva helt utan e- legitimation (vilket blir allt svårare), eller ge upp friheten och
installera system och skänka en del av friheten till Microsoft, Apple eller Google som på det sättet får makt över användarna.

Idag finns tre dominerande system för e-legitimation i Sverige:
  • BankID som ges ut av bankerna och bara fungerar bara för den som använder operativsystem från Microsoft, Apple eller Google. Dessutom stängd källkod för själva klient-programvaran för e-legitimation som installeras på användarens dator/smartphone. Användaren kan inte kontrollera vad som händer på deras egen dator/smartphone.
  • Freja eID Plus (utgiven av Freja eID Group AB) som kräver operativsystem från Apple eller Google, samma nackdelar som BankID.
  • AB Svenska Pass (utgiven av Skatteverket): Jämfört med de andra två har denna fördelen att den går att använda i Linux men själva klient-programvaran för e-legitimation är stängd. Även här gäller alltså att användaren inte kan kontrollera vad som händer på ens egen dator/smartphone.
  • Inom vård och omsorg finns en fjärde godkänd e-legitimation för säker åtkomst information som heter SITHS.

Dessutom kräver alla de aktuella elektroniska id-lösningarna att program varan på användarens dator eller telefon kommunicerar med en central server. Om servern går ner, dvs slutar fungera, av någon anledning fungerar det inte att identifiera sig. Det gör systemet sårbart. Att Microsoft, Apple och Google kan bsluta att det inte längre ska kunna fungera är ytterligare en svgahet som gör oss beroende av USA och deras politik. De kan genom att inte tillåta Bank-Id i praktiken lamslå Sverige.

Ny e-legitimation

En ny e-legitimation behöver därför gå att köra på alla typer av hårdvara. För att det ska vara möjligt i praktiken krävs öppen källkod så att vem som helst kan modfiera koden för vilket operativsystem som helst. Det gör också att storföretagens (Apple, Google, Microsoft, Bankerna) makt kan minskas. Genom öppen källkod kan programvaran dessuom skrivas så att den inte behöver en central server. Vilkety skulle minska storföretagens makt ytterligare. Om det sistnämnda har DFRI skrivit i ETC:

Grundtekniken för betrodda webbplatser kräver inte att en central tjänst är igång. På samma sätt som att ID-kort i plast inte försvinner bara för att någon blockerar ingången till polisstationen, kan företag och myndigheter ge ut elektroniska ID-handlingar som går att verifiera utan att fråga utgivaren varje gång.

ID-handlingen innehåller certifikat, som fått en digital signatur av en betrodd instans, till exempel Polismyndigheten. För spärr av ID-handlingar publicerar utgivaren en lista med serienummer på spärrade handlingar. Denna lista innehåller ingen personlig information, utan används lokalt vid en identifiering.

Inget i grundtekniken kräver att utgivaren är aktiv aktör i inloggningarna som är fallet med BankID och Freja.

När du loggar in hos din hyresvärd för att boka tvättid visas certifikatet för hyresvärden, som utan internetuppkoppling verifierar att certifikatet är utfärdat av någon som den litar på, och du kan boka.

Byggs samhällskritiska system upp på detta robusta sätt utan central punkt, fungerar de även under krig eller cyberangrepp av främmande makter.

Decentraliserade lösningar är dessutom att föredra utifrån ett demokratiperspektiv: ett starkt samhälle bygger på att det finns starka, fria individer, som inte ständigt står under statens kontroll.

Den centralisering som auktoritära stater strävar efter kan förstås verka bra för en diktator som vill behålla makt och kontroll, men centraliseringen gör samhället sårbart.

Läs mer:

Upptäck mer från Svenssons Nyheter

Prenumerera för att få de senaste inläggen skickade till din e-post.

5 svar på “För en bättre e-legitimation”

  2. Det finns andra problem också. Jag bor, av familjeskäl, i Frankrike numera men har också ett konto i Sverige eftersom pensionen kommer från Sverige och det är dumt att översätta till euro och sen tillbaka till kronor när jag är i Sverige och hälsar på.
    Men min bank – Swedbank – vägrar ge mig en e-legitimation med hänvisning till att jag inte bor i Sverige.

    I Frankrike behövs ingen särskild e-legitimation, köper jag något på internet får jag knappa in min kortkod plus en kod som banken sänder till min telefon. Andra transaktioner kan kräva en inloggningskod, det är allt.

    Men i Sverige är det en massa myndigheter som kräver mig på en legitimation jag inte har och inte kan få, och som jag därför inte kan kommunicera med utan att åka till Sverige och presentera mig personligen.

    Dessutom har vi ju problemet som Bloombergs varnade för: https://www.bloomberg.com/news/articles/2024-06-21/sweden-led-europe-s-move-to-cashless-economy-now-it-faces-soaring-fraud

    Svara

    1. Min dotter i USA (hon har bott där i 25 år) fixar e-legitimation när hon är i Sverige. Men hon måste besöka banken personligen för att fixa det. Hon har SEB.

      När en köper grejer i Sverige eller från Sverige behövs ingen e-legitimation. Utan det går bra med kort och kortkod.

      Svara

      1. Kanske Swedbank är gnidigare än SEB.

        Köpa saker i Sverige går inte, Postnords porton ligger skyhögt över alla andras. Mitt problem är att t.ex. skatteverket eller pensionsmyndigheten ibland kräver e-legitimation.

        Svara

  3. Med reservation för min högst begränsade IT-kunskap måste jag ändå ställa frågan om inte ”öppen källkod” skulle kunna bli ett ”mumma” för hackers och bedragande? Jag kan på något sätt känna att ju färre implementationer desto bättre.

    Sedan känns det väl också som om att detta är främst är ett problem för en relativt begränsad skara av IT-kunniga som har förmågan att laborera och sätta upp egna lösningar med Linux eller vad det nu kan vara.

    Alla vi andra – ”vi vanliga dödliga” – som saknar denna förmåga får hålla tillgodo med det utbud som erbjuds på marknaden. För oss är det allra viktigaste att det är enkelt och robust, det ska liksom ”bara fungera” … Och där är det väl bara att inse att det knappast finns några andra alternativ än Microsoft, Apple samt olika Android-implementationer på mobiler för oss ”vanliga dödliga”. Även om jag i ett principiellt perspektiv delar skepsisen mot stora ”amerikanska drakar” måste jag ändå konstatera att det hela fungerar oerhört bra. Bara för några år sedan var det en grannlaga uppgift att byta laptop och mobil och få allting som det var tidigare, nu fungerar allt direkt.

    … sedan är det väl också så att nästan alla ”vi vanliga dödliga” har vår e-legitimation på mobilen vilket ju även fungerar utmärkt när man behöver logga in till någon e-legitimationskrävande tjänst via laptopen. Jag kan nog därför ändå tycka att det finns mycket viktigare IT-frågor än just denna att ta sig an …

    Svara

Kommentera gärna med hjälp av ett Mastodonkonto

Denna webbplats använder Akismet för att minska skräppost. Lär dig om hur din kommentarsdata bearbetas.

För att kommentera med ett inlägg på din egen webbsajt skriv en URL till artikeln på din sajt. Artikeln ska innehålla en länk till denna post. Ditt svar kommer sen att synas på denna sida (efter att den modererats). För att uppdatera ett svar så radera din post och skriv in postens URL igen (Läs mer)