BankID för Linux slopas

[serafim]

jag har skickat följande brev till Datainspektionen och till alla på Svenska Bankföreningen som kan tänkas ha med saken att göra:

Hej,

jag är en pensionär som fortfarande jobbar på med några oavslutade
uppdrag. För att kunna fullfölja dessa uppdrag har jag Linux på mina
datorer och har dessutom inget trådlöst internet. Allt på grund av
säkerhetsaspekter som föreskriver Unix eller (s.k. härdad) Linux.

När mina uppdrag kommit till vägs ände kommer jag fortsätta använda
Linux eftersom det är säkert, resurssnålt och, naturligtvis, bekant.

Nu har jag fått ett problem. Finansiell ID-Teknik BID AB, som jag
väljer att förkorta BID, har annonserat att man kommer sluta med
stödet för Linux eftersom användarbasen är för liten, endast 5000
användare.

BankID, som är deras enda produkt, har hittills levererats för
Microsoft Windows (alla varianter, numera utom XP), MacOSX, Linux samt
för trådlösa enheter med Android, iOS (Apple iPhone) eller Windows 8
Phone.

Linuxvarianten har varit extremt begränsad, man har haft stöd endast
för Ubuntu 32-bitarsvariant.

Som för alla icke trådlösa enheter körs de flesta Linuxanvändare,
oavsett Linux-distribution med 64-bitars-variant och nästan ingen
använder 32-bitars utom för riktigt gammal hårdvara. Alltså har BID
redan från början sett till att stödet för Linux är minimalt. Trots
detta har jag och tydligen c:a 5000 andra Linuxanvändare lyckats få
BankID att fungera på 64-bitars Linux.

E-legitimationsnämnden, den myndighet som har i uppdrag att ställa
kraven på vad som får kallas e-legitimation skriver i sin kravlista
att stöd skall finnas för de vanligt förekommande operativsystemen,
Windows, MacOSX, Linux, Symbian, Android, iPhone, Blackberry.

Enligt Skandiabanken är BankID inte leverantör av e-legitimation i
e-legitimationsnämndens bemärkelse och behöver därför inte underkasta
sig dess regler och enligt samma person på Skandiabanken, Anders
Nygren, bankens säkerhetsansvarige ("Produktområdesansvarig Säkerhet")
kan nämnden syssla med vad de vill men har inte med BankID eller krav
på BankID att göra.

Emellertid utger sig BankID för att vara Sveriges mest använda
e-legitimation och borde väl då också underkasta sig reglerna eller
diskvalificeras som e-legitimations-leverantör och inte få använda
benämningen legitimation eller ID-handling.

För att göra saken än värre avvecklar de flesta bankerna stödet för
Telias e-legitimation med motiveringen (enligt Anders Nygren) att
Telias e-leg inte ges ut på samma sätt och med samma processer som
BankID utan att närmare specificera vad han menar. Vad jag förstår
efter mer än 30 år i branchen är det samma teknik som används i båda
fallen och att Nygrens lite raljerande ton är hans sätt att, utan
egentliga sakskäl, nedvärdera Telias e-leg.

Tittar man nu närmare på problemet med Linux eller inte Linux kan man
se att Linux används av mellan 1,5 och 4 procent av datoranvändarna.
Grovt räknat betyder det minst 75000 och som mest 125000 användare i
Sverige. Dessa blir alltså utan möjlighet att kontakta sin bank då
stödet för Linux upphör om de inte antingen har en dator med Windows,
en investering på c:a 3500 kr, eller MacOSX (kostnad 9000) eller en
smartphone med antingen Android, iOS eller Windows Phone på, en
kostnad på minst 1400 och fungerar endast om man har trådlöst internet
eller prenumererar på internet via telefonen (som också kostar ganska
mycket). Allt verkar vara specialarrangerat för att så många som
möjligt ska kunna profitera så mycket som möjligt på att jag måste
kunna betala mina räkningar.

Ser vi sedan på Statskontorets rekommendationer för internetaccess så
anser de att det ska finnas stöd (på vanliga datorer) även för Linux.

Går vi bort från mitt specifika problem och ser mer generellt på saken
så är det många pensionärer som anser att det är för dyrt med Windows
och även för dyrt att hela tiden uppdatera sina datorer till nyare och
jag har hjälpt många i min omgivning att komma igång med Linux som
fungerar utmärkt på äldre hårdvara för att surfa, betala räkningar, ha
kontakt med myndigheter, handla på nätet, o.s.v.

BID anser enligt Nygren att de genom lanseringen av Mobilt BankID har
uppfyllt kraven på plattformsoberoende men de stödjer inte heller där
ens de plattformar som e-legitimationsnämnden nämner utan även där
finns krav på att man har en s.k. smartphone som använder Andriod,
iOS eller Windows 8 Phone.

Jag anser att BID, om BankID inte uppfyller e-legitimationsnämndens
krav på e-legitimation antingen bör tvingas uppfylla nämndens krav
eller, om de inte vill göra det, inte längre ska ha rätten att benämna
sin produkt "e-legitimation" utan byta namn till något som inte ger
allmänheten orsak att anta att det handlar om en legitimation,
t.ex. "Bankinloggning" eller liknande.

Jag anser också att staten bör ta fram en e-legitimation (eller ge
någon i uppdrag att göra det) som uppfyller e-legitimationsnämndens
krav och som alla aktörer tvingas stödja för inloggning, identifiering
och signering på samma sätt som i Norge och Danmark. En sådan lösning
bör dessutom vara teknikneutral i den meningen att den ska fungera
oavsett hårdvaru- och mjukvaruplattform. Sådana lösningar är möjliga
att uppnå. Man kan lätt hitta företag som levererar avsevärt mer
komplicerade produkter än BankID för alla, eller nästan alla,
plattformar.

Jag anser dessutom att BID med sitt BankID de facto måste betraktas
som myndighetsutövare eftersom de kallar sin produkt för
e-legitimation och därför bör likställas med andra
legitimationsutfärdare som polisen och skatteverket. Skatteverkets
ID-kort innehåller en e-legitimation som bankerna (oftast) inte
godkänner eller håller på att avveckla stödet för med förevändningen
att det rör sig om Telias e-legitimation på kort.

Det är dessutom bråttom, om mindre än ett halvt år tvingas 75000
(kanske upp till 120000) svenskar att göra omfattande investeringar
för att kunna betala sina räkningar.

Observera att marknadens övriga parter (andra än bankerna) anser att
Telias e-legitimation fungrar bra. Det är bara bankerna som
diskvalificerar Telias e-legitimation.

Hälsningar
Serafim Dahl,
yrkesaktiv pensionär

[Gunnar Hjalmarsson]

Det blev lite galet med matematiken, men en lysande skrivelse annars.

[serafim]

Det blev lite galet med matematiken, men en lysande skrivelse annars.

Det gick lite fort och under ett stort mått med irritation. Rätta mig gärna. De kan få tåla rättelser och uppdateringar, om inte annat så som påminnelse om att det kommer fortsätta ..... och fortsätta ... och fort...

[serafim]

Jag vet inte vad det innebär för en tjänst, tekniskt sett, att stödja flera varianter e-leg, men det kan möjligen bli lättare med den nya lösningen, med egna protokoll. För att stödja BankID måste protokollet bankid:// stödjas, för att även stödja Telias e-leg (Net iD-klienten) måste även protokollet netid:// stödjas. Om ett extra protokoll och en extra knapp på webbsidan är allt som krävs ser det ju bra ut.

Det man gör är att starta ett litet program som tar emot lösenordet och kontrollerar detta mot den lagrade informationen i de filer man får då man laddar ner sitt BankID eller e-leg.
Jag tror att det skulle gå att göra programsnutten så att den, bara rätt bibliotek finns på datorn, fungerar på alla plattformar eller till och med så att en signerad binärfil i t.ex. JavaScript skulle fungera och, i så fall, helt teknikneutral. Jag tror inte det vill uppnå neutralitet utan snarare att de vill maximera profiten för de inblandade företagen. Öppen källkod och öppna standarder är röda skynken för dem.

[Gunnar Hjalmarsson]

Det blev lite galet med matematiken, men en lysande skrivelse annars.

Det gick lite fort och under ett stort mått med irritation. Rätta mig gärna. De kan få tåla rättelser och uppdateringar, om inte annat så som påminnelse om att det kommer fortsätta ..... och fortsätta ... och fort...

Om du utgår från 5 miljoner datoranvändare, så stämmer det ju att 1,5% är 75 000, men inte att 4% är 125 000. Å andra sidan kanske 4% är en något optimistisk siffra...

[serafim]

Om du utgår från 5 miljoner datoranvändare, så stämmer det ju att 1,5% är 75 000, men inte att 4% är 125 000. Å andra sidan kanske 4% är en något optimistisk siffra...

Ja, 4% var högsta uppmätta dagarna efter att stödet för XP upphörde.

Men jag vill ha orsak att påminna om min existens.

[Broder Tuck]

......... en lysande skrivelse annars.

+1 Förträffligt. Tack för den.

[Osprey]

Jättebra, det beskriver hela den sjuka situationen och hur FID/BID och bankerna försöker topprida den och göra som de själva vill utan att ta något ansvar. Kalasbra!!

[serafim]

Jättebra, det beskriver hela den sjuka situationen och hur FID/BID och bankerna försöker topprida den och göra som de själva vill utan att ta något ansvar. Kalasbra!!

Tack alla! I stort sett samma skrivelse har gått till alla politiska partier och till valda delar av regerings- och riksdagsledamöterna (jag var inte riktigt lika irriterad då).

[serafim]

Tristaste svaret?

Hej Serafim

Tack för ditt mejl.

Vi har tagit del av dina synpunkter.

Vänliga hälsningar

Socialdemokraterna

[serafim]

Editerat svar från Datainspektionen:

Hej ...
Datainspektionen är tillsynsmyndighet enligt personuppgiftslagen och ska verka för att lagen efterlevs.
Din fråga faller utanför Datainspektionens verksamhetsområde.
...
Vänlig hälsning ...

[Lynxor]

Skulle behövas en organiserad lobbygrupp för Linux-användare, som träffade och snackade med politiker. De här skrivelserna verkar de bara bocka av som avklarade med ett standardsvar och arkivering.

[Osprey]

Tristaste svaret?

Hej Serafim
Tack för ditt mejl.
Vi har tagit del av dina synpunkter.
Vänliga hälsningar
Socialdemokraterna

Du får väl svara med att -"Var det inte ni som sa att -'Alla ska med'..?? eller gällde det inte linuxanvändare..?"

Skulle behövas en organiserad lobbygrupp för Linux-användare, som träffade och snackade med politiker. De här skrivelserna verkar de bara bocka av som avklarade med ett standardsvar och arkivering.

Ja det som behövs (förutom europaspåret som vi jobbar på) är så mycket uppmärksamhet som möjligt i nyheter och media, plus att så många som möjligt skickar in klagomål/synpunkter till sina banker och övriga berörda myndigheter...

[Lynxor]

Ursäkta för att jag inte tog mig tiden att läsa på från all info i denna lång tråd tidigare. Nu har jag läst på lite mer, och tackar för allt jobb ni gör och gjort, särskilt stort tack till Osprey!

Bilden har klarnat över den märkliga (och unika?) situationen i Sverige med ett privat företag som har monopol på utfärdandet av E-leg.
Åtminstone hoppfullt med svaret från Näringsdepartementet där de ju är medvetna om problemet vad det verkar. Och jag tror definitivt på Europaspåret!

Kanske får jag tummen ur och skickar ett eget brev till Handelsbanken och olika myndigheter. Finns det möjligen en adress-lista sammanställd som jag inte sett?
Det går ju att kopiera från brev och Ospreys press-release, som publicerats i den här tråden, och ganska enkelt göra sitt eget brev, eller finns någon annan mall att gå efter?

[Osprey]

Kanske får jag tummen ur och skickar ett eget brev till Handelsbanken och olika myndigheter. Finns det möjligen en adress-lista sammanställd som jag inte sett?

Det finns adresslistor till de flesta banker och många myndigheter. Anledningen till att jag inte lagt ut dem öppet här är att det kan vara lite känsligt just det där med lägga ut sådant öppet här... En del av det finns här tidigare i tråden och annars är det bara att säga till vilka adresser du vill ha så skickar jag dem som PM...

[roland_larsson100]

Har skrivit till min kontakt på Handelsbanken. Han envisades med att vidarebefordra mina synpunkter till supporten, trots att jag försökte få honom att förstå att detta var ett affärsärende, snarare än ett support ärende....

[Osprey]

Har skrivit till min kontakt på Handelsbanken. Han envisades med att vidarebefordra mina synpunkter till supporten, trots att jag försökte få honom att förstå att detta var ett affärsärende, snarare än ett support ärende....

Ja supporten kan ju inte göra mer än att säga att BankID slutat med stödet för Linux, om någon ska påverka det hela så att stödet kommer tillbaka, så ligger det snarare ett par steg uppåt...

[serafim]

Lite nedslående svar från e-legitimationsnämnden:

Hej,
Tack för ditt mail till E-legitimationsnämnden.

E-legitimationsnämnden har till uppgift att se till att offentlig sektor har möjlighet att nyttja e-legitimationer i sina respektive e-tjänster. Detta genomförs genom att upphandla rätten (via ett valfrihetssystem) att nyttja olika utfärdares e-legitimationer i sina e-tjänster. E-legitimationsnämnden har tagit fram den kravställning som leverantörerna (utfärdarna) framöver har att uppfylla för att få leverera till offentlig sektor (existerande avtal med BankID-samarbetet och den kravställning som för närvarande ligger till grund för leverans av eID-tjänster till offentlig sektor har sin grund i ramavtalet eID2008 som Kammarkollegiet ansvarar för). I den kommande kravställningen finns t.ex. generella krav på användbarhet och tillgänglighet som ska tillgodoses, men det finns dock inte krav ner på nivån vilka operativsystem som ska stödjas i klientprogramvara för en viss e-legitimation (det finns emellertid rekommendationer i vägledning om att erbjuda tjänster för så många operativsystem som möjligt för att ge slutanvändaren en bra helhetsupplevelse). Det finns inte heller krav på att en utfärdare ska tillhandahålla olika typer av e-legitimationer eller vilken teknik som ska nyttjas för en viss e-legitimation. När det gäller säkerhetsnivån på e-legitimationerna finns kravställningen i det så kallade tillitsramverket. Tillitsramverket anger vilka tekniska, administrativa och övriga säkerhetsrelaterade krav som behöver uppfyllas när det gäller t.ex. utfärdandet av e-legitimationen, utformningen av e-legitimationen och användningen av e-legitimationen. E-legitimationsnämnden säkerställer genom krav, granskning och uppföljning att samtliga godkända utfärdare av Svensk e-legitimation lever upp till de minimikrav som gäller för respektive tillitsnivå.

Tanken med valfrihetssystemet och identitetsfederationen är att skapa ett ekosystem med godkända utfärdare som alla lever upp till de högt ställda säkerhetskraven, men där de olika utfärdarna kan konkurrera med varandra genom att erbjuda olika typer av e-legitimation på olika plattformar för att tillgodose olika målgruppers specifika behov. En e-legitimationsutfärdare kan exempelvis välja att enbart erbjuda e-legitimation för mobiltelefon, utan någon skyldighet att erbjuda lösning med klientprogramvara för ett specifikt operativsystem. Regeringens ambition på området är att fler utfärdare av e-legitimation ska intressera sig för att erbjuda tjänster till privatpersoner och även om det inte går att uttala sig i dagsläget om vilka eller hur många det kommer att bli, är vår förhoppning även att det kommer att anslutas e-legitimationer som tillgodoser de behov som finns hos målgruppen med Linux-användare. E-legitimationsnämnden för en nära dialog med både existerande utfärdare och nya potentiella utfärdare av Svensk e-legitimation för att säkerställa en så bred tjänsteplattform som möjligt i den kommande infrastruktur för Svensk e-legitimation som fasas in med start under 2014.

Med vänlig hälsning
Lena

Lena Segerhammar-Pusic
administratör


och nedan mitt följdbrev:

Hej, och tack för snabbt svar.

Jag har lite svårt att förstå svaret i ljuset av det som skrevs i regeringens betänkande för bildandet av e-legitimationsnämnden (punkt 5, bilaga 17, SOU 2010:104 - på sid 313-314):

5 Krav
Följande kravlista har utgjort grunden för utformning av en
signeringstjänst. Kravlistan är utarbetad inom ramen för
utredningen om bildandet av en e-legitimationsnämnd och är
resultatet av såväl diskussioner inom utredningen som diskussioner
med representanter från myndigheter och offentlig verksamhet.

• Användarna ska kunna signera dokument med en standard dator
och en standard webbläsare som kör under marknadens vanligt
förekommande operativsystem (Windows, Mac OSX, Linux,
Symbian, Android, iPhone, Blackberry, m.m.).
...

Hälsningar,
Serafim Dahl

[Osprey]

Jättebra!!

Men som vanligt så siktar de lite fel med sitt svar. Om det är för att försöka komma undan den egentliga frågan, eller om det bara är för att försöka minimera relevansen av vår ståndpunkt vet jag inte.

De skriver:

I den kommande kravställningen finns t.ex. generella krav på användbarhet och tillgänglighet som ska tillgodoses, men det finns dock inte krav ner på nivån vilka operativsystem som ska stödjas i klientprogramvara för en viss e-legitimation (det finns emellertid rekommendationer i vägledning om att erbjuda tjänster för så många operativsystem som möjligt för att ge slutanvändaren en bra helhetsupplevelse).

Och visst tror jag att vi alla här kan acceptera att det i så övergripande regler som det handlar om, inte står angivet exakt vilka operativsystem som ska stödjas, eller för hur lång tid. Hade detta funnits med så hade reglerna kontinuerligt behövt uppdateras och den biten klarar nog marknaden av själv enligt den modell de har.

Men... det de missar eller försöker komma undan, är det att grundfrågan egentligen inte är vilka operativsystem som ska stödjas eller inte stödjas - utan om det är rätt att kravställningen inte alls har några krav på hur god tillgängligheten ska vara!! Ska det vara rätt att att utesluta över 100 000 medborgare (2-4%) bara för att de kör ett visst operativsystem... (eller för att de har en viss läggning, eller för att de kommer från en viss del av världen, eller för att de kör ett visst bilmärke...). Det viktigaste i det här är egentligen inte det att vi kör ett "speciellt" operativsystem, utan att reglerna och kravställningen uppenbarligen inte är utformade för att ta hänsyn till hur många som egentligen får tillgång till tjänsterna... Stat och kommun kan säkert få tag på en mycket billigare lösning än BankID, eftersom det uppenbarligen inte finns några krav på hur många som ska kunna använda det...

Det ger de inget svar på, utan glider lite fint över till frågan om operativsystem istället... och det är här vi måste lägga ned kraften nu, just det att reglerna och kravställningen helt verkar utelämna hur stor del av medborgarna som ska ha tillgång till en tjänst... vill man utelämna ett par hundratusen av någon orsak eller för att det är lättare, så är det helt ok, för stat och kommun har inga krav på det ändå......

[Gunnar Hjalmarsson]

Men... det de missar eller försöker komma undan, är det att grundfrågan egentligen inte är vilka operativsystem som ska stödjas eller inte stödjas - utan om det är rätt att kravställningen inte alls har några krav på hur god tillgängligheten ska vara!! Ska det vara rätt att att utesluta över 100 000 medborgare (2-4%) bara för att de kör ett visst operativsystem...

Är det inte lite olika saker?

E-legitimationsnämnden tycks vara fullt upptagen med att ställa krav på anslutna utfärdare, och det är tydligt att man inte ställer något fullsortimentskrav på enskilda utfärdare.

Vårt intresse är, som du säger, tillgängligheten till webbtjänster inom offentlig verksamhet som kräver säker inloggning. I det nya systemet blir det uppenbarligen viktigt att webbtjänsterna även framdeles förses med alternativa inloggningsmetoder för att säkerställa en rimlig nivå på tillgänglighet för alla medborgare. Frågan är vem/vilka som har ansvar för den aspekten av systemet. Jag får intrycket att det är det myndigheterna/kommunerna själva.