BankID för Linux slopas

[swecarp]

detta är märkligt att sverige ligger efter estonia i utveklingen. Estonia har ett system som heter digidoc som funkar på nästan alla linux distar.
jag själv använder inte ubuntu, men detta är en fråga som jag försöker hålla mig informerad om. här är länken till digdocs sida http://www.id.ee/index.php?id=30467

vill passa på att tacka alla som lägger ner arbete på att få myndigheter och andra att inse att Linux inte är en liten grupp av människor.

[Gunnar Hjalmarsson]

Det besvärar mig att de antar att alla har en så pass avancerad och dyr mobiltelefon.

Mig också. Kan ha att göra med att jag själv inte har det.

Fast bankfolk som vi nu kontaktar baserar nog inte sina kommentarer på egna antaganden. De säger vad de säger för att de är instruerade att säga så.

[serafim]

Det besvärar mig att de antar att alla har en så pass avancerad och dyr mobiltelefon.

Mig också. Kan ha att göra med att jag själv inte har det.

Fast bankfolk som vi nu kontaktar baserar nog inte sina kommentarer på egna antaganden. De säger vad de säger för att de är instruerade att säga så.

Mig också och dessutom har inte jag daglig tillgång till trådlöst internet och inte internetabonnemang till min skäligen enkla telefon (som ändå inte stöds). Har testat Mobilt BankID på sonens ena mobil men det är ju inte heller en bra lösning.

[Osprey]

Nu har jag fått ihop ett utkast till en pressrelease, men först måste vi reda ut hur ”spelplanen” ser ut.

Jag har tagit mig tid nu att prova Mobilt BankID också och ur mitt perspektiv är det en lösning som fungerar. Men egentligen är det en helt annan fråga som vi kanske inte ska låta få för stor betydelse i det här sammanhanget.

Varför ska det till exempel finnas stöd för både Windows och MacOS – om Mobilt BankID fungerar alldeles utmärkt? Varför ska det finnas stöd för både Windows och MacOS, men inte Linux?? Frågan är alltså egentligen inte om det går att lösa på annat sätt, utan det är snarare varför det ska lösas på annat sätt, för Linux.

Pressreleasen är skriven precis just som en pressrelease det vill säga en artikel som tidningarna antingen kan publicera direkt, eller använda som grund för en egen artikel. För att tidningarna ska kunna gå vidare med det och ställa flera frågor, så finns lämplig kontaktperson omnämnd i texten.

Tux2.png (59.08 KiB) Visad 5146 gånger

Ubuntu Sverige går nu vidare ytterligare ett steg i kampen om BankID för Linux genom att gå ut i Europa. Det grundläggande problemet är att uppskattningsvis 120 000 Linuxanvändare riskerar att hamna utanför hela det digitala systemet för banker, skatteverk, försäkringskassa, arbetsförmedling, CSN och så vidare.

Det förefaller varken rimligt eller modernt i en demokrati, att en såpass stor samhällsgrupp ska kunna särbehandlas och uteslutas från alla dessa tjänster, enbart på grund av en enkel teknikfråga. Inte heller är det rimligt att denna grupp ska särbehandlas och ensidigt tvingas köpa nya datorer, när det nu handlar om såpass många.

Ekonomiskt och miljömässigt skulle så många datorer med eventuell skrotning av gamla, innebära en ganska stor inverkan. Hur mycket utsläpp krävs det till exempel för att tillverka 120 000 datorer?

Tidigare har anmälan gjorts till Post- och Telestyrelsen och Konkurrensverket, men tyvärr har ingen av dem haft möjlighet eller befogenhet att agera och någon annan statlig myndighet har ännu inte heller fått det ansvaret. Den statliga myndighet som befinner sig närmast i det avseendet är E-legitimationsnämnden som lyder under Näringsdepartementet.

Ser man till det grundläggande problemet så är det dock inte det att Finansiell ID-Teknik ska avsluta stödet för Linux som är ett problem, utan det att det inte finns några alternativ, säger Magnus Ewert på Ubuntu Sverige. Att det ska komma och uppstå sådana alternativ är en del av E-legitimationsnämndens plan inför framtiden, men tills detta kommer så anser Ubuntu Sverige att Finansiell ID-teknik borde åläggas att fullgöra det samhällsansvar som uppstått genom att de i stort sett har monopol på elektroniska legitimationer i Sverige.

För övrigt har Digitaliseringsstyrelsen i Danmark (Köpenhamn) redan kontaktats, men de har än så länge bara talat om att de först valde Java men sedan när de fick problem med detta, så tvingades de gå över till JavaScript.

Vidare har jag börjat kika på de av Europarlamentets och Rådets direktiv för ett gemenskapsramverk för elektroniska signaturer. Där det bland annat står:

Medlemsstaterna får förena användningen av elektroniska signaturer i den offentliga sektorn med eventuella ytterligare krav. Sådana krav skall vara objektiva, tydliga, proportionella och icke-diskriminerande och skall endast gälla de särskilda egenskaperna för den berörda tillämpningen. Dessa krav får inte utgöra ett hinder för gränsöverskridande tjänster för medborgaren.

Exakt hur allt det här ska tolkas vet jag inte ännu, jag har lite läsning framför mig...

[serafim]

Vidare har jag börjat kika på de av Europarlamentets och Rådets direktiv för ett gemenskapsramverk för elektroniska signaturer. Där det bland annat står:

Medlemsstaterna får förena användningen av elektroniska signaturer i den offentliga sektorn med eventuella ytterligare krav. Sådana krav skall vara objektiva, tydliga, proportionella och icke-diskriminerande och skall endast gälla de särskilda egenskaperna för den berörda tillämpningen. Dessa krav får inte utgöra ett hinder för gränsöverskridande tjänster för medborgaren.

Exakt hur allt det här ska tolkas vet jag inte ännu, jag har lite läsning framför mig...

Osprey, det ska finnas ett nyare direktiv som kör över delar av det du citerar, som är från 1999. Jag har inte hittat det men letar ...

Dessutom finns en lite oroande formulering i regeringens proposition 1999/2000:117 där man behandlar EU-direktivet du refererar till i punkten 6.12 Tillsyn:

Formen för tillsynen
För den som vill uppträda som certifikatutfärdare är det helt avgörande
att han bygger upp en tillit till sina certifikat. Utan det förtroendet finns
inget användningsområde för de elektroniska signaturer som är baserade
på hans certifikat. Detta talar för att marknaden i hög grad kommer att
reglera sig själv. Samtidigt kan det för tilliten till systemet i sin helhet
vara värdefullt med en instans som kan ingripa mot missförhållanden.
För att denna tillsyn skall ha något reellt innehåll bör instansen ha
möjlighet till myndighetsutövning. Detta, i kombination med berättigade
krav på insyn, rättssäkerhet, möjlighet till överprövning etc. talar för att
övervakningen bör anförtros en statlig myndighet, även om direktivet ger
en möjlighet till att låta övervakningen skötas av en privat institution.
Frågan om vilken myndighet som skall utses diskuteras i avsnitt 7.
Den tillsyn som utövas bör vara så marknadsorienterad som möjligt.
Med hänsyn till att verksamheten för en certifikatutfärdare är beroende
av att det finns ett förtroende för certifikaten, kan tillsynssystemet
utformas så att det inte lägger några onödiga administrativa bördor på
certifikatutfärdaren, utan inriktas på att vid klagomål kontrollera en
utfärdare närmare.

[Osprey]

Osprey, det ska finnas ett nyare direktiv som kör över delar av det du citerar, som är från 1999. Jag har inte hittat det men letar ...

Att jag tog upp just det direktivet beror på att det är det som ligger till grund för Danmarks utformning av e-legitimationer och det borde även varit det som ligger till grund för Sveriges nuvarande lösning...

Dessutom finns en lite oroande formulering i regeringens proposition 1999/2000:117 där man behandlar EU-direktivet du refererar till i punkten 6.12 Tillsyn:

Formen för tillsynen
[...]

Jag är lite osäker på vad du avser som oroande här... förklara

[serafim]

Detta talar för att marknaden i hög grad kommer att
reglera sig själv. ... kan tillsynssystemet
utformas så att det inte lägger några onödiga administrativa bördor på
certifikatutfärdaren, utan inriktas på att vid klagomål kontrollera en
utfärdare närmare.

[Gunnar Hjalmarsson]

Jag tror att vårt fokus bör vara tillgängligheten till offentliga myndigheters webbtjänster, vilket rimligen inte är en fråga för "marknaden" att avgöra.

Den här formuleringen i pressmeddelandet tycker jag är bra, eftersom den berör pudelns kärna:

Ser man till det grundläggande problemet så är det dock inte det att Finansiell ID-Teknik ska avsluta stödet för Linux som är ett problem, utan det att det inte finns några alternativ, säger Magnus Ewert på Ubuntu Sverige. Att det ska komma och uppstå sådana alternativ är en del av E-legitimationsnämndens plan inför framtiden, men tills detta kommer så anser Ubuntu Sverige att Finansiell ID-teknik borde åläggas att fullgöra det samhällsansvar som uppstått genom att de i stort sett har monopol på elektroniska legitimationer i Sverige.

[Osprey]

Detta talar för att marknaden i hög grad kommer att
reglera sig själv. ... kan tillsynssystemet
utformas så att det inte lägger några onödiga administrativa bördor på
certifikatutfärdaren, utan inriktas på att vid klagomål kontrollera en
utfärdare närmare.

Värt att notera är dock att det här avser certifikatutfärdare och inte nödvändigtvis de som utvecklar själva systemet...

[serafim]

Detta talar för att marknaden i hög grad kommer att
reglera sig själv. ... kan tillsynssystemet
utformas så att det inte lägger några onödiga administrativa bördor på
certifikatutfärdaren, utan inriktas på att vid klagomål kontrollera en
utfärdare närmare.

Värt att notera är dock att det här avser certifikatutfärdare och inte nödvändigtvis de som utvecklar själva systemet...

Sant. Dessutom inte så alarmerande när jag läser det igen. Kändes mera hotfullt då, för 14 år sedan. Och du har rätt i att det ligger till grund för den svenska linjen, där man låter marknaden reglera e-leg och e-legutfärdare.

Jag vill ändå gärna hitta det EU-direktiv som kör över delar av det citerade. Jag har läst det men kommer inte ihåg vilka delar som kördes över. Någon gång 2003-2004 kanske (jag läste en hel del propositioner avseende EU-direktiv då). Kan vara senare. Jag sätter mig vid tillfälle och läser rubriklistor .... Kanske kan man söka på referenser till antingen regeringens proposition 1999/2000:117 eller EU-direktivet. Återkommer om detta...

[Osprey]

Jag har försökt hitta någon nyare version nu också, men det enda jag kan hitta som någotsånär stämmer är ETSI:s TR119-serie, men det är ju förstås ETSI och inte Celex...

Helt färska (2013) är de förstås och kan förtjäna en genomläsning, eftersom även ETSI har visst inflytande i sammanhanget. Jag har dock inte hittat något som berör Linux eller andra operativsystem i dem...

[Osprey]

Du får gärna skicka adressen till mej också, jag är har ett konto i Skandiabanken också.

Du har PM...

[serafim]

Jag har försökt hitta någon nyare version nu också, men det enda jag kan hitta som någotsånär stämmer är ETSI:s TR119-serie, men det är ju förstås ETSI och inte Celex...

Helt färska (2013) är de förstås och kan förtjäna en genomläsning, eftersom även ETSI har visst inflytande i sammanhanget. Jag har dock inte hittat något som berör Linux eller andra operativsystem i dem...

Hittar inte heller någonting och 2013 är väl sent, mina minnen är från tidigare genomläsningar, men ETSI brukar med viss eftersläpning spegla skrivningar i Celex så det kunde vara värt att läsa. Men det handlade nog inte specifikt om Linux. Dessutom är det ett skott i mörkret. Senast jag var intresserad av EU-direktiv handlade det om mjukvarupatent och innan dess om tillförlitlighet i pki och jag noterade ATT man kört över någonting i svenska lagen 2000:832 och den handlar om avancerade elektroniska signaturer men jag var inte tillräckligt alarmerad för att notera vad man körde över. Så nu vill jag egentligen bara komma på VAD, se att det inte har med oss nu att göra och släppa det. Troligen kan vi släppa det och anta att det dyker upp om det är relevant.

[serafim]

Lite konstig fråga men hur fungerar det för dom som har Amex då?

Ja, verkligen konstig fråga. Amex är ju ett samlingsnamn för kreditkort från American Express. Det har (väl??) ingenting med elektroniskt ID att göra eller utfärdar man numera e-ID i Sverige?

[Pink Panther]

Tack!

Att det lobbas i kulisserna för att röka ut Linux/Ubuntu i Sverige eller alternativt minglas på diverse event för att något sådan ska ske. Det kan vi alla lugnt räkna med att Microsoft Sverige personal med underleverantör och utbildningsanordnare för deras produkter arbetat med under ett par år. De har noterat Linux/distars framfart eller utveckling i Tyskland/Munchen, England, Spanien och andra länder. Att rädda kvar BankID för alla Linux användare eller att få tillstånd en förändring av hanteringen av ID-legitimation i Sverige är en principiell viktig fråga. Vi var relativt starka för ett antal år sedan innan vi alla av någon outgrundlig anledning började tjafsa om oväsentligheter. Ja! Idag kan det ses som oväsentligheter. Det var och är oväsentligheter. För målet för alla deltagare i diverse debatter var och är i de allra flest fall välment. Men det blev fel. Det saknades en stark ledare med ett genuint förtroende ibland medlemmarna.

[Gunnar Hjalmarsson]

Pressmeddelandet gick ut igår. Tjusigt, Osprey!

[Osprey]

Följande har just inkommit från Regeringskansliet/Näringsdepartementet:

Namn: Magnus Ewert
E-post: bankid4linux@gmail.com
Dnr: N2014/2163/BREV

Hej Magnus!

Tack för ditt brev, ledsen att svaret dröjt.

I maj 2014 beslutade regeringen att ge e-legitimationsnämnden ett uppdrag – texten biläggs längre ned i detta mail.

Som du ser så vill man öka valfriheten att använda olika leverantörer av e-leg (jämfört med dagens marknadssituation med ett fåtal aktörer), och man anser också att digitala tjänster, e-leg inkluderat, i så stor utsträckning som möjligt bör bygga på öppna standarder och använda programvara som frigör statsförvaltningen från beroendet av enskilda tekniker och lösningar.

Återigen – jag beklagar att svaret tog tid.

Med vänlig hälsning

Hans Öqvist

Kansliråd



Regeringskansliet
Näringsdepartementet
103 33 Stockholm
08-405 10 00
n.registrator@regeringskansliet.se
http://www.regeringen.se

==========================================================

Regeringsbeslut II 2

2014-05-08 N2014/2207/ITP

Näringsdepartementet

E-legitimationsnämnden

171 94 Solna

Uppdrag om Svensk e-legitimation

Regeringens beslut
Regeringen uppdrar åt E-legitimationsnämnden att inom ramen för sitt uppdrag genomföra fördjupade analyser av Svensk e-legitimation. Analyserna ska ske utifrån ett säkerhetsperspektiv med fokus på de enskilda användarna av e-legitimationer och infrastrukturen som helhet. Analyserna ska också redogöra för och utgå från såväl de enskilda myndigheternas som den offentliga sektorns behov när det gäller användningen av e-legitimationer i digitala tjänster och de överväganden som behöver göras ur säkerhetssynpunkt. Även det samarbete och den samverkan som bedrivs för säker Svensk e-legitimation ska beskrivas. Vidare ska eventuella ytterligare åtgärder och framtida utvecklings-möjligheter för att trygga en säker Svensk e-legitimation och högt förtroende för modellen beskrivas.

Uppdraget ska genomföras i nära dialog med Myndigheten för samhälls-skydd och beredskap och synpunkter ska inhämtas från Arbetsförmedlingen, Bolagsverket, Centrala studiestödsnämnden, Datainspektionen, Försvarets radioanstalt, Försvarsmakten, Försäkringskassan, Rikspolisstyrelsen, Skatteverket, Sveriges Kommuner och Landsting, samt Vetenskapsrådet/SUNET.

Uppdraget ska redovisas till Regeringskansliet (Näringsdepartementet) senast den 30 september 2014.

Bakgrund
En av de viktigaste förutsättningarna för effektiva och framgångsrika digitala tjänster är att det finns väl fungerande tjänster för elektronisk identifiering, signering och validering. E-legitimation utgör en sådan förvaltningsgemensam tjänst. Med hjälp av en e-legitimation kan en användare av elektroniska tjänster både bevisa sin identitet och med elektronisk signatur bekräfta lämnade uppgifter. Det är regeringens uppfattning att utveckling och användning av e-legitimation för identi-fiering och signering i digitala tjänster är en av förutsättningarna för effektiva och framgångsrika digitala tjänster. Regeringen har därför förstärkt samordningen av e-legitimationer genom att den 1 januari 2011 inrätta E-legitimationsnämnden.

E-legitimationsnämnden har bland annat i uppdrag att stödja och samordna elektronisk identifiering och signering i den offentliga förvaltningens e-tjänster och administrera valfrihetssystemet för elektronisk identifiering, Svensk e-legitimation. E-legitimationsnämnden tillhandahåller en infrastruktur för säker elektronisk identifiering, en s.k. identitetsfederation. Denna består av det regelverk som nämnden har tagit fram och som bl.a. innehåller bestämmelser om tillitsnivåer för
e-legitimationer, servicenivåer, skadeståndsbestämmelser och avtals-reglerad möjlighet för E-legitimationsnämnden att utföra tillsyn och vid behov suspendera aktörer. Federationen innehåller även vissa tekniska komponenter, som metadataregister, anvisningstjänst och en central signeringstjänst.

Valfrihetssystemet ger den enskilde rätt att välja leverantör av
e-legitimation bland de leverantörer som E-legitimationsnämnden har godkänt. Valfrihetssystemet är tänkt att möjliggöra tjänster från flera
e-legitimationsleverantörer än vad som är fallet i nuvarande modell. Regeringen vill genom användning av valfrihetssystem uppmuntra och underlätta marknadsdriven teknikutveckling och skapa ökad konkurrens genom att samtliga aktörer som tillhandahåller e-legitimationer i dag ges möjlighet att erbjuda sina tjänster samtidigt som också nya leverantörer fritt kan etablera sig under förutsättning att de uppfyller uppställda krav.

Enligt lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering kan myndigheter välja att inrätta valfrihets-system. Lagen ger förutsättningar för offentlig sektor att upphandla flera leverantörer så att den enskilde kan välja e-legitimation. Lagen är inte tvingande men ger myndigheterna möjlighet att använda modellen som ger den enskilde rätt att välja leverantör av e-legitimation. Myndig-heterna ska kunna köpa tjänster för elektronisk identifiering från alla leverantörer som har godkänts av E-legitimationsnämnden. Mer konkret så innebär detta att myndigheterna ger E-legitimationsnämnden i uppdrag att administrera sina valfrihetssystem. E-legitimationsnämnden annonserar efter tjänster för elektronisk identifiering och signering och leverantörer som ansöker om att få delta och som uppfyller kraven ska godkännas. Kontrakt tecknas därefter mellan myndigheten och leveran-tören. Myndigheten betalar för utförda tjänster enligt ett i förväg bestämt pris. Valfrihetssystemet möjliggör att så många enskilda som möjligt ska kunna använda e-tjänster som kräver säker elektronisk identifiering. Det nuvarande systemet för e-legitimation har lett till en marknadssituation med ett fåtal aktörer. Valfrihetssystemet ger nya aktörer ett enklare tillträde till marknaden vilket kommer att främja innovation och bättre tjänster. Digitala tjänster bör i så stor utsträckning som möjligt bygga på öppna standarder och använda programvara som frigör statsförvaltningen från beroendet av enskilda tekniker och lösningar.

Den 13 december 2012 beslutade regeringen om Med medborgaren i centrum – Regeringens strategi för en digitalt samverkande statsförvaltning (dnr N2012/6402/ITP). Strategin beskriver regeringens mål för digitala tjänster som är gemensamma för hela statsförvaltningen. Dessa mål ligger till grund för regeringens koordinering och prioritering av
fö¬rvaltningsgemensamma utvecklingsprojekt där medborgarens och företagens behov ska sättas i centrum. Fler förvaltningsgemensamma digitala tjänster bidrar till att förenkla vardagen för privatpersoner och företag. Tjänsterna ska därför utformas efter användarnas behov, vara enkla och säkra att använda, och vara lätta för medborgare att hitta.

Skälen för regeringens beslut

Modellen, dvs. valfrihetssystemet, för Svensk e-legitimation är
bety¬delsefull för att nå regeringens mål om en enklare vardag för medborgare. Det är avgörande att användare och myndigheter har förtroende för modellen med Svensk e-legitimation. Det är därför viktigt att modellen kännetecknas av en tillräcklig grad av säkerhet och att fördjupade analyser görs utifrån ett säkerhetsperspektiv. Vidare är det för förtroendet viktigt att E-legitimationsnämnden inhämtar synpunkter från relevanta myndigheter vid genomförandet av uppdraget.

På regeringens vägnar



Anna-Karin Hatt

Anneli Hagdahl



Kopia till

Statsrådsberedningen/SAM
Justitiedepartementet/PO och Å
Försvarsdepartementet/MFI, SSK och SUND
Socialdepartementet/SF och SFÖ
Finansdepartementet/Ba, KSÄ och SKA
Utbildningsdepartementet/F och SF
Näringsdepartementet/ENT
Arbetsmarknadsdepartementet/A
Rikspolisstyrelsen
Datainspektionen
Försvarsmakten
Försvarets radioanstalt
Myndigheten för samhällsskydd och beredskap
Försäkringskassan
Skatteverket
Vetenskapsrådet/SUNET
Centrala studiestödsnämnden
Bolagsverket
Arbetsförmedlingen
Sveriges Kommuner och Landsting

Det är i stort sett samma sak som e-legnämnden säger och det är väl för den delen inte så konstigt heller, eftersom de bör ha samma åsikter som e-legnämnden. Positivt är det däremot att de noterat problematiken och ansett det såpass viktigt att de skrivit ett (iofs kort) personligt svar. Det svaret han skrivit är också väldigt bra i så måtto att det markerar att statsförvaltningen inte är nöjda med nuvarande situation, utan vill ha en lösning med öppna standarder, där de inte blir beroende av enskilda tekniker och lösningar.

Problemet som det är just nu är bara det att det i stort sett inte finns några alternativ till BankID. Dessutom håller de banker som fortfarande har stöd för Telias E-leg på att avsluta detta, för att enbart stödja BankID. Just det kan vi väl dock inte göra så mycket åt, bankerna är privata, affärsdrivande företag och kan göra som de själva vill. Vill de stänga in sig i en garderob så finns det ingen laglig väg att hindra dem från det...

I övrigt så fortgår arbetet med "Europaspåret"...

[Gunnar Hjalmarsson]

Problemet som det är just nu är bara det att det i stort sett inte finns några alternativ till BankID. Dessutom håller de banker som fortfarande har stöd för Telias E-leg på att avsluta detta, för att enbart stödja BankID. Just det kan vi väl dock inte göra så mycket åt, bankerna är privata, affärsdrivande företag och kan göra som de själva vill. Vill de stänga in sig i en garderob så finns det ingen laglig väg att hindra dem från det...

Absolut, de har rätt att försvåra för sina kunder, om de vill.

Men myndigheterna kan inte utan vidare försvåra för medborgarna, och i det korta perspektivet är det inte oväsentligt för oss som Linux-användare att myndigheterna fortsätter stödja Telias e-leg. Vi har väl inga tecken på att de planerar något annat?

[serafim]

De flesta jag varit i kontakt med är överens om att
1. Telias e-leg ska stödjas av alla (utom bankerna som avvecklar stödet).
2. Telia kommer fortsätta sitt stöd för Linux.

[JoWa]

Jag vet inte vad det innebär för en tjänst, tekniskt sett, att stödja flera varianter e-leg, men det kan möjligen bli lättare med den nya lösningen, med egna protokoll. För att stödja BankID måste protokollet bankid:// stödjas, för att även stödja Telias e-leg (Net iD-klienten) måste även protokollet netid:// stödjas. Om ett extra protokoll och en extra knapp på webbsidan är allt som krävs ser det ju bra ut.