Net iD Service
 

Alla ska ge ut e-legitimationer!

EDIT: En klok och insatt person har efter detta inläggs publicering upplyst mig om att man för att vara godkänd utfärdare av LoA3-identiteter i Sambi förutsätts det att man är godkänd utfärdare av svensk e-legitimation. Det må väl kanske vara hänt, men det är inte riktigt så det framställs i alla sammanhang.

En av mina kollegor var idag (27/5 2016) på Offentliga Rummet 2016 i Malmö. Under anförandet:

"Vad händer med Svensk e-legitimation? Hur står vi rustade inför framtiden?"

...får jag en fråga på mail:

De på scenen pratar om Huddinge kommun som nu är godkända som utfärdare av e-leg till sin personal. De uppmanar nu kommuner att bli egna utfärdare av e-leg. Vad har jag missat, är det inte befängt?!?!

Hmm, tänker jag, och anar att den frågande kollegan är lite skeptisk. Men faktum är att även jag är lite skeptisk, såhär svarade jag:

*********************************************************************************************************

När jag började på iD2 Technologies den 1:a april 2000 var tidsandan: (lite raljant uttryckt)

”Alla företag och alla organisationer ska ha varsin CA. Inte nödvändigtvis bara för internt bruk. Att ha en egen CA skänker en inre frid och är den grund varpå samhället vilar”

(Min kollega Magnus (CTO på SecMaker), som också jobbade på iD2 kanske skriker nu, men jag satt en våning upp på sälj och marknad och där lät det så i mina öron)

På den tiden var det förstås inte så mycket snack om federationer/SAML… så vissa hävdade att trust mellan olika parter skulle lösas enkelt via ”bridged CAs” Det gick ju som det gick med det där och några år senare föddes i Sverige SITHS, dvs motsatsen till att alla ska ha en egen CA, man samsas helt enkelt i de fall där så är möjligt och kompletterar med ett visst eget utfärdande av certifikat för interna grejer. Det interna utfärdandet har förstås underlättats av att MS CA blivit bättre och bättre med åren samt fått trevliga frontsystem, t.ex. Net iD Card Portal, i den mån de inbyggda verktygen från Microsoft kommit till korta.

Men sedan några år tillbaka råder en federationshysteri...
(av samma psykologiska typ som hysterin för 16 år sedan men av en annan teknisk art)
...där man fokuserar på att ”gömma” alla dessa CAs eller andra typer av autentiseringsmetoder bakom en federation:

a) Icke desto mindre står och faller hela förtroendet för denna nationella federation med att ALLA medlemmar som utfärdar olika typer av elektroniska ID-handlingar (med olika säkerhetsnivåer) gör det på ett grannlaga sätt och att någon med rimlig regelbundenhet kontrollerar deras arbete. T.ex. besöker Huddinge Kommun och skärskådar deras teknik och processer. Har Huddinge råd med detta? Är det rimligt? Hade skattemedel för lösningar och revisioner kunnat sparas genom samverkan även på PKI/CA/ID- sidan? (Svar JA, skulle jag gissa)

b) En gammal kritik mot PKI är att det är så himla jobbigt att skriva dessa policys och CPS-dokument som externa parter kan granska, även detta med viss möda. I den nya ljuva federationsvärlden har man snarast ökat mängden ”lättläst” dokumentation. Bara för att man lägger på ett federationslager så innebär det ju inte att underliggande PKI kan hanteras lite hipp som happ.

c) Vidare undrar jag personligen vad de anställda på dessa kommuner ska med sina e-leg till…. Antag att jag jobbar på Finnpörtemansbo kommuns IT-avdelning som projektledare, jag får ett kort som jag förstås använder till att logga in i min dator med och får lite blandad SSO mot interna system i urval. Sen åker jag hem till mitt radhus och vill betala räkningarna… Installerar jag då först en kortläsare och dess drivrutin och sedan en PKI-klient för att därpå… vadå? Logga in på Swedbank via federationen med mitt e-leg? Knappast, då Swedbank inte lär släppa in SAML-tickets utfärdade baserat på nån för dem okänd Kommun-PKI. Nåväl, jag kan ju istället logga på Försäkringskassan och anmäla vård av sjukt barn tack vare att mitt Finnpörtemansbo-leg ingår i federationen. Knappast, även om det tekniskt fungerar! Jag använder förstås mitt Mobila BankID både mot FK och Swedbank.

d) Men hallå, invänder då vän av ordning; Kommuner samarbetar/samverkar ju och även mellan kommun <-> landsting och kommun <-> myndighet. Är det inte i det läget bra med en federationslösning som stödjer massor av olika bakomliggande CAs och inloggningslösningar på ett enkelt sätt? Jovisst är det bra, särskilt i en värld som helt gått över till webbapplikationer. Ser världen ut så?
Nej, den är ett sammelsurium av olika typer av kopplingar och applikationstyper där federationstekniken inte sällan är svårare att klämma in.

e) Låt oss nu leka med tanken att kamratföreningen "Kött, knark och utpressning" via ett helt legalt aktiebolag, Helylle ID-handlingar AB, ansöker om att få vara med i federationen baserat på en PKI-lösning som utfärdar ID-handlingar på en trevlig USB-pinne med chip. Aktiebolaget lyckas uppfylla alla villkor och krav som framställs och börjar därefter utfärda ID-handlingar som är betrodda i federationen vilket ger användarna möjlighet att anmäla VAB, deklarera, betala in moms, ansöka om bygglov etc. Men nu justerar aktiebolagets styrelse i tysthet verksamhetens inriktning och man börjar medvetet att utfärda falska ID-handlingar från en betrodd CA. ID- handlingarna ingår i federationen…. Nu blir det verkligt roligt ett tag. Ända tills den dag då revisionssystemet tuggat sig igenom BankID, Telia, CGI, Pressbyrån, OKQ8 och 290 kommuners PKI:er och till slut kommer fram till Helylle ID-handlingar AB…. Men vid det laget finns inte ens en brevlåda kvar, bara spår till några målvakter på en parkbänk i Borås….

f) Men varför har detta falska ID-utfärdande inte redan skett? Tja, det har det säkert gjort. Men INTE på initiativ från BankID/Nordea/Telia själva, det skulle liksom skada deras image lite grann, om det kröp fram via Aftonpressen och Exbladet...

Jag förutsäger härmed att hela rasket kommer att gå i diket. Eftersom många glömmer, eller låtsas glömma, två viktiga saker:
1) Världen är större än webbapplikationer
2) Världen består av människor med sedvanliga tillkortakommanden

(jag kan dock inte i tid precisera exakt när ”i diket"” inträder)

Sen vore det förvisso gott för det företag jag arbetar på om varje svensk kommun hade en egen Microsoft CA, Net iD Enterprise, Net iD Access och Net iD Portal 5.1, men INTE för att ge sig in i e-legitimationssvängen

Med utmärkt högakning,
Jonas Öholm, SecMaker AB

Not 1:
Sedan det ovanstående skrevs har jag uppmärksammats på att E-legitimationsnämnden har beslutat att ta ner annonsen kring valfrihetssystemet för Svensk E-legitimation, se länk här.

Not 2:
Detta annonsnedtagande innebär dock inte att möjligheten om att ansöka om att utfärda "Svensk e-legitimation" stoppats. Den möjligheten finns fortfarande kvar. Men utan den tänkta federationslösningen så blir förstås antalet publika tjänster som e-legitimationen kan användas mot tämligen begränsat (0 st). Men det finns förstås en möjlighet tack vare övergångstjänsten. Om Finnpörtemansbo kommun har minst 500.000 utfärdade e-legitimationer så kan de få vara med i övergångstjänsten.

Not 3:
Kika även gärna på denna utmärkta bloggpost från Ayoy AB. Jag vill påpeka att "affärsidén" om att försöka utnyttja "Svensk e-legitimation" för att göra dumheter på intet sätt är min egen, den kan delvis sägas vara hämtad härifrån.

*********************************************************************************************************