eIDAS

Statligt ”Bank-ID”?

31 januari 2023 av Henrik Alexandersson Lämna en kommentar

Myndigheten för digital förvaltning (DIGG) har fått i uppdrag att ta fram en statlig e-legitimation. En positiv aspekt är att man gör detta på ett mjukt sätt, utan att tvinga någon.

Ett statligt elektroniskt ID kan vara förfärligt och farligt om det inte finns några alternativ.

Men desto bättre är tanken att det skall vara ett av flera eID, tillsammans med dagens aktörer som till exempel BankID, Freja eID, AB Svenska Pass och Foreign eID.

Det vill säga på ungefär samma sätt som det nationella ID-kortet finns för den som inte har (eller vill använda) körkort eller annan godkänd svensk ID-handling.

Ett statligt eID kan vara en bra lösning för personer med samordningsnummer och andra som inte kan eller vill använda dagens lösningar.

Men det räcker inte med mångfald av alternativ, utan det krävs även möjlighet att använda dem. Idag är BankID ofta det enda alternativet på olika tjänster. Idealt bör alla godkända former av eID fungera på alla plattformar.

Samtidigt bör man se upp så att eID inte kommer att krävas i större omfattning än nödvändigt. Det måste till exempel finnas utrymme för anonymitet och privat kommunikation på nätet. Det kan även hända att man vill ha en ”identitet” privat och en i jobbet.

ID-krav bör rent generellt bara förekomma när det är nödvändigt, inte av slentrian.

Möjligheten att välja eID måste även fungera med EU:s planerade digitala plånbok (EU:s eIDAS Regulation). Det talas om att denna kan bli ett alternativ för inloggningar på nätet.

• DIGG: Statlig e-legitimation »
• SVT: Så kan en statligt e-legitimation utformas »

Ett europeiskt eID – snart i din mobil

7 februari 2022 av Henrik Alexandersson 1 kommentar

EU vill se ett gemensamt system för elektronisk identifikation. Men vilka risker kommer det att medföra?

Ökad digitalisering kan göra livet bekvämare och minska byråkratin. Men den kan också öppna för ökad övervakning och ett samhälle där vi tvingas blippa oss fram.

EU:s eIDAS Regulation håller på att uppdateras. Ett av förslagen är en digital plånbok som skall gälla i hela EU. Den är tänkt att kunna användas för till exempel identifikation, körkort, licenser, examina, medicinsk information och annat vi behöver i vår vardag.

På sikt verkar tanken vara att även sådant som bibliotekskort, kollektivtrafikbiljetter, träningspass, betalkort och validering i olika kommersiella sammanhang också skall finnas i din digitala plånbok. Det låter lite som en blandning mellan Apple iOS wallet och BankID.

EU:s digitala plånbok är även tänkt att användas för inloggningar på nätet, som ett alternativ till inloggning hos tredje part med Google och Facebook.

Vilket i så fall innebär att det blir svårare, kanske omöjligt att vara anonym på nätet. (Samtidigt driver Europaparlamentet en linje i förhandlingarna om EU:s Digital Services Act om att den som vill skall ha rätt att vara anonym på nätplattformarna. Detta är två ståndpunkter som kan vara svåra att få ihop.)

Den stora frågan i sammanhanget är hur ett digitalt EU-ID kan komma att användas för att övervaka och registrera medborgarna.

Även om syftet är ett annat, så öppnar ett eID i EU för kontroll och social scoring av kinesisk modell. (Tanken på ett digitalt klimatpass har redan diskuterats i politiska kretsar.) Lägg till det stora möjligheter till insamling av persondata.

Frågan är om vi kan vara säkra på att makthavare i framtiden aldrig någonsin kommer att utöka syftet eller missbruka systemet.

Risken är att smidighet och bekvämlighet kommer att vinna över individens rätt till privatliv. Som vanligt förekommer ingen bredare diskussion eller rapportering i media om saken.

Det finns dock en intressant rapport från EDRi och Epicenter – som föreslår några förändringar av eIDAS till det bättre:

• eIDAS Policy Paper (PDF) »

Notera även att eIDAS innehåller ett förslag om att din webb-läsare måste acceptera allt som regeringen säger att den skall acceptera – helt utanför HTTPS certifikatsystem. Uppdatering: Läs mer hos EFF »

Relaterat:
• Nu kommer EU-ID – ett samhälle där man blippar sig fram? »
• European Digital Identity Wallets »

Förslag: Din webb-läsare måste acceptera allt staten säger åt den att acceptera

17 december 2021 av Henrik Alexandersson 4 kommentarer

Nu föreslås att din webb-läsare måste acceptera allt som regeringen säger att den skall acceptera – helt utanför HTTPS certifikatsystem.

Vid behandlingen av EU:s Digital Identity Framework (eIDAS) har det lagts fram ett oroväckande ändringsförslag: Den browser du använder skall tvingas acceptera interaktion med sådan tredje part som beslutas av regeringen – utan nödvändiga säkerhetsgarantier och helt utanför HTTPS certifikatsystem.

See what they did there?

2019 försökte Kazakstans regering något liknande. Den använde certifikat-knepet för att övervaka sin befolkning. Men då kunde Chrome, Firefox och Safari blockera det aktuella certifikatet och därmed försvara kazakstanernas rätt till privatliv.

Med förslaget ovan kommer en sådan blockering inte längre vara möjlig i EU. I vart fall inte laglig. Då kommer staten att kunna snoka och placera ut vad som helst via vårt webb-interface. Det är orimligt.

Dessutom skapar man ett allmänt säkerhetsproblem. EFF:

»The amendment would require browsers to trust third parties designated by the government, without necessary security assurances. But trusting a third party that turns out to be insecure or careless could mean compromising user privacy, leaking personal or financial information, being targeted by malware, or having one’s web traffic snooped on.«

Läs mer hos EFF: EU’s Digital Identity Framework Endangers Browser Security »

Uppdatering 11 februari: EFF har mer information »