E-legitimationsdagen 2016

[serafim]

Jag deltog som observatör för Ubuntu Sverige på årets E-legitimationsdag som ett slags uppföljning av förra årets motsvarighet då vi var ett helt gäng. Eftersom inte mycket (läs inget) har hänt så tyckte vi det räckte med en observatör.



Linux och konflikten med Ubuntu nämndes redan i inledningsanförandet som moderatorn Karin Klingenstierna höll. Hon fick t.o.m. handuppräckning som gav vid handen att c:a 10 % av deltagarna var aktiva Linux-användare (aktiva = har valt att använda Linux till skillnad från de som på arbetsplatsen "råkat ut för" Linux). Hon var moderator även förra året.

Dagen inleddes annars med att E-leg-nämndens nya ordförande, höll ett inledningsanförande där hon berättade den "spännande nyheten" att man nu sjösätter "övergångslösningen", ett nytt ramavtal som ska gälla tills det nya ramavtalet kommer. Det lät spännande men ..., se nedan

Tal av IT-minister Mehmet Kaplan: Kaplan höll ett anförande som var ganska ointressant. Vi ska lösa allt tillsammans. Lite segt och omständligt om att vi klarar allt om vi gör det tillsammans, men det gör vi ju inte (min kommentar) så man undrar vad han egentligen ville säga.

Inspirationsföreläsning "Medborgarnytta":
Anders Ekholm höll en kul föreläsning där han raljerade en hel del om framtiden och nuvarande aktörers krampaktiga försök att verka hänga med. Kul och tankeväckande. Många kände sig nog avklädda och lite nervösa skratt hördes här och där bland skrattsalvorna.

Paneldiskussion om framtidens E-legitimationer: nästa steg:
Christina Henryson, Näringsdepartementet, Valter Nordh, SUNET, Leif Karlsson, Swedbank och Gunilla Nordlöf, E-legitimationsnämnden hade en paneldiskussion som i stort sett uteslöt åskådarna och man slog sig för bröstet och undvek noga att svara på frågor. Varför Leif Karlsson var med förstår jag inte - han är ju ny ordförande i Finansiell ID-Teknik och var som en fluga i soppan. Man märkte att han kände sig obekväm trots att alla undvek svåra ämnen.
Valter Nord presenterade sin roll i ett SUNET-projekt som går ut på att skapa en allomfattande svensk nationell e-legitimation, se nedan

Det framkom att det nya "övergångsavtalet" som gjordes stort nummer av i inledningsanförandet egentligen är de gamla ramavtalen som har paketerats om, helt utan ändringar, och nu kallas för en "övergångstjänst" och som presenterades som en bra "övergångslösning" som man var stolt över. Mellan raderna kan man utläsa att man misslyckats, dels med att få leverantörer att ansluta sig till den nya lösningen och dels med att hålla deadlines för införandet av det nya systemet.

Självklart är alla nöjda med att man inte behöver göra något...

Det nya systemet anses "mycket säkert" (inga argument som verifierar påståendet) och min kommentar är att det är klart att det är säkert så länge ingen ansluter sig. Säkrare kan det inte vara än om alla låter bli.

Det framkom att orsaken till att ingen ansluter sig till det nya systemet är att regelverket är för krångligt och att prisbilden inte säkert säger att man kommer tjäna pengar på att vara med och då kommer naturligtvis inga kommersiella aktörer att ställa upp.

Alla seminarier, varav jag aktivt följde två, gick ut på att prata om framtiden utom ett som tillbakablickande. Eftersom det var två pass med 5 respektive 6 parallella sessioner gick det inte att delta på mer än två.

Seminarium 1:
"Så gör vi e-legitimationerna ännu säkrare."
Ganska intetsägande om det nya systemet. Man pratade sig mest varma för det nya systemet, det efter "övergångslösningen". Intressant var att man återigen vidrörde det nya SUNET-projektet för att ta fram en enhetlig lösning för svenskt e-leg.

Seminarium 2:
"Möjligheter med utländska e-legitimationer i svenska tjänster."
Vad händer med utländska besökare som vill använda sina hemlandslegitimationer när de är här? Det visade sig att man kan ansluta till främmande länders system via ett system där det främmande landets inloggning bäddas in i den svenska och det verkar fungera. I alla fall på demonstrationen som ju kan vara fejkad. Jag har ju gjort sådana demonstrationer själv. Skulle det fungera kan man argumentera för inbäddning av svensk e-legitimation i Linux på samma sätt som folk nu kör mobilt BankID via ARC eller via virtuellt android eller som jag via hackat BankID (som jag nu övergivit för ARC-lösningen). Det här lovar i alla fall lite för framtiden. Har man sådana lösningar blir det svårt argumentera för att utesluta Linux. Hur stor del av inloggningarna på svenska banker och myndigheter kommer utföras av besökare? Intressant här var att det finns en deadline. Senast 2018-09-29 ska man vara igång med att låta medborgare från övriga EU logga in på myndighets-sajter med sitt hemlands-eID. Man har alltså 2,5 år på sig.

Sista punkten på programmet var en "paneldiskussion" om säkerhet och användbarhet, där man återigen prisade det nya systemets säkerhet och passade på att racka ner på användarnamn-lösenord som nu skickas "härs och tvärs över nätet utan någon som helst säkerhet, vem vill ha sånt?"

Jag påpekade att i system som kerberos/heimdal skickas varken användar-id eller lösenord, men jag håller med om att det annars är ganska betänkligt. Man slog ett slag för "alla slag biometriska" system men jag blir lite tveksam efter att ha läst att fingeravtryck är ganska värdelösa eftersom man bara inom EU inte kan identifiera 20% av alla fingeravtryck, mest beroende på tillkortakommanden i fingeravtrycksdatabaserna samt att Frankrike redan brottas med c:a 1/2 miljon biometriska pass som man anar är skickliga förfalskningar.

Intressant är att många kände igen mig och frågade efter de andra som var med förra året. Vi väckte alltså en del uppmärksamhet, trots allt.

Minglade och fick samtala med Valter Nordh som tyckte våra synpunkter är relevanta men tror inte det har någon effekt. Jag ställde en del frågor om hans projekt och om det kommer att bli tvingande för alla att använda hans projekts "allomfattande nationella eID" men han svarade att ingen kan tvinga andra än myndigheter att ansluta sig och att, med tanke på bankernas investeringar i BankID, det nog säkert blir så att bankerna fortsätter som nu.

Pratade också med folk från näringsdeparetmentet och drog våra synpunkter och noterade att det verkade ta, på något sätt. En kommentar i en av paneldiskussionerna gav mig idén att tala om operativsystem och om människor med funktionshinder som två grupper som har svårt att få sina behov tillgodosedda eftersom båda är olönsamma för kommersiella aktörer.

Hur det gick? Jag tror vi är tämligen ointressanta för alla utom möjligen det projekt som Valter Nordh håller på med på SUNET, men jag tror inte det har någon inverkan på vår situation.

Jag tycker också att man fjärmat sig lite från de basala tekniska frågorna och att man känner lättnad över att kunna prata mer övergripande och intrycket är att alla tycker att man lämnat den nivån och nu är på väg mot "högre mål" trots att, i stort sett, inte mycket har hänt.

Vi kanske ska skicka någon "observatör" i framtiden. Men det är inte säkert till någon nytta.

Vi behöver en diskussion på forumet om hur vi ska gå vidare och med vad..

[Gunnar Hjalmarsson]

Ett stort tack, serafim, för att du bevakade Linux-gemenskapens intressen på E-legitimationsdagen i år också, och tack för en utmärkt redogörelse!

Personligen tror jag att vi, för att göra skillnad, skulle behöva lobba mot utvalda nyckelpersoner. Låter som om Valter Nordh skulle kunna vara en av dem. Även folk på Näringsdepartementet, som faktiskt kan frågan, borde vara intressanta. Frågan är om några är tillräckligt intresserade för att fortsätta 'slåss mot väderkvarnarna' den vägen.

Jag är skeptisk till att delta på E-legitimationsdagen framöver. Mitt intryck - både från förra året, då jag själv var med, och från serafims redogörelse ovan - är att E-legitimationsdagen främst är ett sätt för E-legitimationsnämnden att, i brist på egentliga framsteg, legitimera sin existens.

Idag använder förmodligen de flesta sin Android- eller iPhone-telefon för elektronisk identifiering och signering. Linux-användare som inte är (o)lyckliga innehavare av en sådan telefon, eller som av andra skäl vill kunna göra det direkt från datorn, är satta på undantag.

ARC-lösningen ger oss förvisso en möjlighet att använda BankID på Linux-datorer. Lösningen är dock bräcklig, dvs. vi är utlämnade till både Googles och FIDs nycker. Det har funkat i ett halvår nu, men skulle kunna sluta fungera i morgon utan att vi har något att sätta emot.

Lösningen med en virtuell Android verkar inte fungera längre, eller i varje fall är den mycket skakig, eftersom man tycks bli påtvingad en nyare version av BankID-appen för Android, som inte är kompatibel med Android-x86. Det som "Gubben i Kalmar" råkade ut för illustrerar problemet.

Telia e-legitimation finns förstås också, men den lösningen är både krånglig att få till, och funkar bara på webbtjänster hos offentliga sektorn.

[serafim]

Jag tror inte att Valter Nordh är en person att bearbeta. SUNETs huvudmål är att tillgodose, i första hand, Sveriges studenter med faciliteter och det lät på honom som om den "allmänna nationella e-legitimationen" var inriktad på just universitet och högskolor men att man räknar med att det som något slags spin-off kan bli "för alla" men jag är långt ifrån säker. Det var många som vill mingla och vid lunchen många som ville prata och fråga. Troligen är intresset för Linux svagt men han måste ta med Linux i beräkningarna.

Det intressanta var att ett sådant projekt har satts igång och jag ska försöka luska lite i vad de gör och exakt vad de har för mål. Valter nämnde inte själv Linux, det var bara jag som gjorde förutom det som sades vid moderatorns inlägg i början av dagen.

[morpa]

Stort tack för din rapport Serafim. Jag har inte involverat mig själv mycket i denna fråga, men följer den intresserat och tycker den är viktig.

[serafim]

Lägger upp en engelsk version av min redogörelse för att våra sponsorer på Cononical ska se att vi publicerar rapporter om events för vilka de sponsrar vårt deltagande.

Klaga gärna på formuleringar och stavfel.

[serafim]

Report from the 2016 eID Board Conference 'E-legitimationsdagen 2016':

The Conference in question is held by the swedish eID board mainly for people involved in delivering eID for authentication on government sites or expected to be involved in it in the future.

Our involvment stems from the fact that the main, not to say the only, contributor to eID in the banking sector of the commercial world, Finansiell ID-Teknik (Financial ID-Technology) also is one of two companies to deliver eID and also the dominant one with more than 95% of the market. This company stated that they would drop the support for Linux, which to that date had been less than satisfactory, almost non-existing. They did drop it in december 2014 leaving 200 000 Linux users in Sweden with no means to contact their bank. So, last year we had a group of members attending the eID Board conference hoping that we could make a difference but this year I was sent to the conference more as an observer and to find out if something positive had happened and if we might find new input for our quest for a governement supported eID not in the hands of commercial corporations.

Today the Swedish government rely totally on commercial providers of eID.

Reading the conference program alone left me with the feeling that nothing happened in between conferences but that there might be an opportunity to make contact with some people, mainly from the Ministry of Industry, people who were mentioned in the conference program.

The conference and my impressions from it:
The new president (chairwoman?) of the eID Board started the conference with the proud announcement of a new general framework agreement accepted by all parties but it turned out to in fact be a prolongation of the old, by now obsolete framework agreement between the state, the administrative authorities and the commercial sector, originally due to be terminated in mid 2012 but already prolonged once and now, twice.

This means that we are still at the mercy of a commercial company with no interest in delivering eID solutions for all and, as it seems, specifically not for Linux users.

The moderator of the conference, who also was last years conference moderator, did however raise the Linux question asking the audience how many that were 'active' Linux users, meaning users who had actively chosen Linux as their OS without being forced to use it at work and it was an amazing 10%.

The IT Minister held a speech about "together we can make it", a dull unengaging speech constantly repeating the same thing in a variety of ways. Didn't say much about government involment in the issue...

The next speaker, Anders Ekholm, Executive Vice President of the Institute for Future Studies (an "independent research foundation that promotes future perspectives in research and public debate") delivered an interesting speech scourging authorities and corporations for being too laid back about the problems ahead. An interesting and entertaining speech that resulted in nervous laughters from many and was very appreciated. Hopefully, many understood the underlying seriousness. The angle was on 'Usefulness for Citizens' in the IT-sector.

Next was a panel discussion on 'The Next Step - The eID of the Future', a discussion that was entirely between the panelists and the moderator who tried to involve the audience but to no avail as one panelist or the other immediately took over. One of the subjects was the 'transitional agreement' presented as a novelty by the new president of the eID Board and during this panel discussion I realized that my concerns of the agreement were correct, it was a re-packaging of the by now obsolete agreement. In other words, the Board had failed and during this panel discussion the reasons became clear. Due to an overly complicated set of regulations in order to become a provider and a large uncertainty on how to make money as a provider of eID, no one(!) has shown any interest in becoming a provider and also the fact that deadlines repeatedly were pushed into the future making it uncertain when and how the new system will be up and running. Commercial corporations are in it to make money so of course they hesitate.

The new system for eID was said to be very secure and as long as no one provides anything, of course it is safe (personal opinion).

There were 11 seminars with first 5 in parallel and later 6 in parallel

I attended two seminars.

1.
'How to make eID safer in the future':
Quite uninteresting talk about the emerging new system. One interesting point, however, was the fact that the SUNET (Swedish University NETwork) organization have a project with the aim to sometime in the near future deliver a common national eID solution. How near future? I don't know.

It also turned out that even after the introduction of such a solution, the government cannot make the use of it mandatory for commercial companies and while many corporations will most certainly accept the new national eID, the banks have invested too much in their own system and will also most certainly not use it but stick to their own, already existing solution.

2.
'Foreign eID in Swedish e-Services':
It turns out that there is a EU directive stating that member states have to accept foreign eID by September 29, 2018, by 'foreign' meaning EU member states. Interesting emerging technology where all kinds of EU member state eID may be used by embedding the application for the authentication of any foreign citizen (EU citizen) in a window opened by the Swedish application. That technology must work regardless of the OS used by the person accessing it. May be a strong argument against the policy upheld by Swedish banking corporations.

The last item on the programme was a closing session on safety and usability where, once again, the security of the new system was praised while username/password systems were said to be too insecure. While I generally agree, there are systems like kerberos, in which no username or password is sent over the network. They claimed that biometrical data would make IDs safe but I'm skeptical.

Large numbers of biometrical passports are forged and in the EU alone, about 20% of the fingerprints cannot be verified due to deficiencies in fingerprint databases.

All in all my impression is that we may or may not send someone to the next eID Board Conferences. I'm not certain that we will benefit from it. The aim of these conferences seem to be beyond our concern for Linux and getting further away by each conference. Last year had more items within the scope of our interests.

We need a discussion on how to proceed and on what to proceed with.

/Serafim

[Osprey]

Jättebra skrivet och en mycket omfattande och klok analys av det hela.

Men jag håller inte med om att det är bankerna och deras ointresse som är vårt problem. Det är inte bankerna som är problemet, utan problemet är att bankerna har fått den roll de har. Bankerna är privata affärsdrivande företag och ska inte ha varken rättighet eller möjlighet att bestämma över hela landets e-legitimationssystem!!

Problemet ligger istället hos Näringsdepartementet, som är "moderbolag" för E-legitimationsnämnden. Att försöka påverka E-legitimationsnämnden tror jag också är utsiktslöst eftersom de mest verkar vara inriktade på att slippa ta något ansvar. Om detta är rätt eller fel enligt de föreskrifter de har vet jag inte, men vi måste upp på en högre nivå för att det ska kunna hända något.

Svårigheten här verkar vara att det här med utfärdande av e-legitimation verkar falla mellan alla stolar, alla inklusive e-legitimationsnämnden har en förmåga att slippa ansvaret för det och detta gör att bankerna har fått den roll de har.

Så enda möjligheten är nog om vi försöker få kontakt med någon inom Näringsdepartementet som befinner sig på såpass hög nivå att vederbörande inte kan smita undan eller försöka bolla över ansvaret till någon annan. Den som då förefaller mest naturlig är Mikael Damberg, som är närings- och innovationsminister.

Ingen i Näringsdepartementet ingående del har lyckats med att ta ansvar för och driva den här frågan, trots att den är mycket viktig för både landet infrastruktur och säkerhet. Och mest lämpad för att utreda varför ingen har lyckats med detta, borde vara just ifrågavarande departements chef.

Vi måste få dem att begripa att det är kvalificerat vansinne att låta privata företag som bankerna hantera den här typen av ytterst samhällsviktiga funktioner. E-legitimationer borde på alla sätt och vis jämställas med pass och körkort.

En bra artikel i sammanhanget är den här och att vidareutveckla kontakten med författaren av denna kan kanske också vara en god väg att gå.

Steg #1 i dagsläget är inte att få stöd för Linux i e-legitimationen, utan steg #1 är att få någon del av staten att ta ansvar för denna för landet ytterst viktiga funktion. Sedan när det finns någon som tar ansvar för det så kan vi börja driva Linux-biten, fast mycket kommer kanske att lösa sig av sig självt då, när det inte är affärsdrivande företag som avgör reglerna...

[serafim]

Jag håller med osprey. Min "översättnings" sista rad är olyckligt formulerad. Kan ändras efter förslag, kanske som i den svenska, "we need a discussion on how to proceed. The banks don't care"
Men även den formuleringen präglas snarast av min frustration över hur man slår sig för bröstet över att ha hittat på formuleringar som döljer ens oförmåga och fjädrar sig av stolthet för att man lyckats slippa undan.

We need a discussion on how to proceed.
Kanske det räcker.

Bankvärlden har investerat mycket pengar i ett system de inte lär överge, där håller jag med Valter Nordh, så den diskussionen är troligtvis över.
Staten har ingen möjlighet att tvinga alla att använda den svenska eID som eventuellt blir resultatet av SUNETs projekt.

Det är de två fakta vi har att förhålla oss till.

Sedan tror jag att vi måste diskutera vad vårt framtida mål ska vara. Det förra initiativet var ju ett försök att påverka för att få möjlighet att använda en svensk e-legitimation med Linux som OS. Även om vi får detta till stånd kommer antagligen inte bankerna anamma en sådan e-legitimation.
Så, vem ska vi påverka och om vad? Och, i förlängningen, kanske slutorden i båda versionerna av min redogörelse borde vara:

Vi behöver en diskussion på forumet om hur vi ska gå vidare, och om vad vi ska gå vidare med /
we need a discussion on how to proceed and on what to proceed with.

[Osprey]

Problemet är väl att det idag egentligen saknas förutsättningar för att driva frågan vidare. Det finns idag ingen framkomlig väg som vi kan gå vidare på inom ramarna för Linux.

Så som det ser ut så är den mest aktuella och akuta frågan det med att det borde/måste finnas någon form av nationell e-legitimation som hanteras av staten och inte privata affärsdrivande företag. Om en sådan hade skapats eller funnits, så hade staten också kunnat tvinga bankerna att acceptera den, likaväl som de kan tvinga dem att acceptera pass och körkort.

När det gäller bankerna så är de privata, affärsdrivande företag och har full rätt att agera som de gör. Vill de inte stödja/acceptera Linux, så behöver de inte heller göra det, lika lite som en bilverkstad måste acceptera att reparera alla bilmärken. I det här finns också den problematiken med att bankerna alltmer fjärmar sig ifrån privatkunder, bara för att det är både enklare och lönsammare att bara arbeta med företag och myndigheter.

Det finns alltså ingen framkomlig väg nu, så länge staten inte vill ta något ansvar och alla därunder lydande myndigheter bara försöker komma undan...

Skulle vi gå vidare med något, så vore det just med att gå på Näringsdepartementet och försöka få dem att inse hur viktigt det är med e-legitimationer och att det inte går att överlåta allt kring detta till privata affärsdrivande aktörer. Eventuellt skulle man också blanda in MSB, eftersom detta antagligen är en fråga som även berör dem.

Men frågan är då om vi verkligen har kapacitet och kunskap nog att ge oss in i maktens korridorer och försöka få dem att begripa att det inte är någon merit att de bevisar att de är duktiga på att smita undan. Frågan är om det här verkligen är något som vi ska lägga tid på, eftersom de förutsättningar som borde funnits för att få stöd för Linux, helt saknas....

[Gunnar Hjalmarsson]

Intressanta synpunkter, Osprey. Gillar särskilt artikeln i Sydsvenskan.

Vem som styr infrastrukturen för e-legitimation är förstås en mycket större fråga än vårt problem med att BankID saknar Linux-stöd. Bankerna visar även på andra sätt att de inte fullt ut erkänner sitt ansvar som en viktig samhällsfunktion.

Samtidigt ligger det i vårt intresse att något händer, så det hela kokar väl ner till om någon/några är tillräckligt intresserade och beredda att avsätta tid för att fortsätta jobba med frågan.

[serafim]

Mera av Magnus Kolsjö "Jag hade fel - Marknaden kan inte ta ansvar för e-legitimationer"

[serafim]

Om ingen misstycker så har jag ändrat sista raden i mina redogörelser.

[Gunnar Hjalmarsson]

Mera av Magnus Kolsjö "Jag hade fel - Marknaden kan inte ta ansvar för e-legitimationer"

Oj då, mycket intressant! Den killen verkar ju dels vara delansvarig för hur nuvarande uppdrag till E-legitimationsnämnden formulerades, dels inse att det var feltänkt.

[morpa]

Kolsjö körde dessutom 2009 Ubuntu:) Undrar om han gör det idag? Jag träffade honom nämligen då på ett seminarium i ett helt annat ämne, och vi började prata därför att båda satt med en Ubuntu-installation på datorn minns jag, om jag inte blivit helt senil. Tyvärr, var det inte e-legitimation vi pratade om då. Det hade ju varit intressant så här många år senare.

[serafim]

Jag råkade komma åt den lilla gröna bocken i höger nederkant och nu är den här tråden markerad som "löst". Kan någon ta bort markeringen? Jag vet inte hur man gör.

[serafim]

Man kan kontakta Magnus Kolsjö, se hans kontaktsida. Dock är jag twitter- och facebook-vägrare så någon annan som inte är det kanske vill göra det.

[JoWa]

Jag råkade komma åt den lilla gröna bocken i höger nederkant och nu är den här tråden markerad som "löst". Kan någon ta bort markeringen? Jag vet inte hur man gör.

Borttagen.

[Osprey]

Eftersom digitaliseringen är den viktigaste frågan för Sverige, så borde ju en väl fungerande och öppen e-legitimation vara en minst sagt fundamental pusselbit i detta....

[Mumintroll]

Hej! Vill framföra ett jättetack till alla Er som fortsätter att engagera Er i denna viktiga fråga och framför allt ett jättetack till Serafim som tog sig tiden att närvara och sammanfatta en mycket bra redogörelse av sina intryck från E-legitimationnämndens dag.

Beroende på min frånvaro på detta forum har jag inte hållt mig helt uppdaterad vad som har hänt och skett. Vill här dela lite "gamla" länkar där det verkar som Mehmet Kaplan (MP) har varit i farten. Jag är medveten att vissa av dessa länkar kan vara gamla nyheter för de som är aktiva, men jag är lite "gammalmodig" av mig.

Miljöpartiets kongress tog beslut att jobba för en plattformsoberoende e-legitimation

Regeringen ger upp tidsplan för e-legitimation

Nämnden har misslyckats med uppdraget

[Mumintroll]

Ytterligare en tanke. Varför inte också bearbeta den nya styrelsen i e-legnämnden?


Ny nämnd
Regeringen har utsett en ny nämnd med förordnande från 1 december 2015 till och med 31 december 2016.

Nya ledamöter i E-legitimationsnämnden är Gunilla Nordlöf, generaldirektör Tillväxtverket och ordförande i nämnden. Stefan Olowsson, IT-direktör Försäkringskassan och Jan Zetterdahl, IT-direktör Skatteverket. Ledamöter som har fått förlängt mandat är Annika Bränström, generaldirektör Bolagsverket, Katrin Westling Palm, generaldirektör Pensionsmyndigheten och Per Mosseby, direktör Sveriges kommuner och landsting.