Subject: [Re: Linux och BankID]

[Re: Linux och BankID]

From: Roland Hedayat <roland_at_inherit.se>
Date: Wed, 23 Apr 2014 10:32:47 +0200

Hej,

Jag hoppas det är ok att ta upp detta på denna listan.

Jag utgår ifrån att de allra flesta på listan ogillar
att Linux-plattformen kommer att stängas ute från
den dominerande e-leg-tjänsten i Sverige.

Jag ringde min bankförbindelse (SHB) och blev
vidareförmedlad till deras representant hos BankID. SHB
avböjde delansvar för beslutet, och hänvisade till
"kollektivet" inom Finansiell ID-teknik.

Nedan en bekräftelse från Handelsbanken som skickades
efter vårt samtal, samt mitt svar längre ner.

Jag anser att det är synnerligen allvarligt att öppna
operativsystem stängs ute från Sveriges
it-infrastruktur på grunder som i alla fall inte är
tekniska.

FriBid-implementationen, som vi har använt flera år, är
ett exempel på att Finansiell ID-tekniks nuvarande
bidrag till säkerheten är ett "obfuskeringslager" på
toppen av en vedertagen PKI-infrastruktur. Detta
obfuskeringslager har i och med FriBid varit hackat
i flera år. Finansiell ID-teknik måste ha varit
medvetna om detta, vilket är ett implicit erkännande av
att säkerheten ligger i PKI-infrastrukturen i sig, och
inte i Finansiell ID-tekniks programvara.

De av er som på ett eller annat sätt vill engagera er
i detta kan svara mej, så kan vi komma överens om hur
vi går vidare.

/Roland Hedayat

===============================================================

On Thu, Apr 10, 2014 at 12:53:59PM +0200, Guy Wennerholm wrote:

    Hej!

    Tack för ett givande samtal igår.

    Som jag nämnde även igår tar jag till mig dina
    synpunkter och kommer att ta upp dem inom det
    bankgemensamma arbetet inom Finansiell ID-Teknik.
    Det kommer naturligtvis också att vara en del av
    våra interna diskussioner när vi diskuterar
    nuvarande och kommande säkerhetslösningar för våra
    självbetjäningstjänster.

    Jag lovade återkomma med ett besked om hur länge vi
    har kvar stödet för Linux. Svaret är inte helt
    entydigt men ger kanske åtminstone en bättre bild
    av vad du kan förvänta dig.

    Alla förlitande parter (alla företag eller
    myndigheter) som accepterar BankID för inloggning
    och signering måste gå över till den nya tekniska
    infrastrukturen innan årsskiftet. En del har redan
    gjort det andra planerar att göra det under hösten
    2014. I Handelsbanken är planen också att genomföra
    detta under hösten 2014. Utredning pågår hur detta
    ska göras på bästa sätt men troligt att vi gör
    övergången någon gång under perioden oktober till
    november.

    Med vänlig hälsning
    Guy Wennerholm

Och mitt svar:

----- Forwarded message from Roland Hedayat <roland_at_inherit.se> -----

Date: Mon, 21 Apr 2014 23:20:13 +0200
From: Roland Hedayat <roland_at_inherit.se>
To: Guy Wennerholm <guwe05_at_handelsbanken.se>
Subject: Re: Linux och BankID
User-Agent: Mutt/1.5.21 (2010-09-15)

Hej!

Tack för ditt svar.

On Thu, Apr 10, 2014 at 12:53:59PM +0200, Guy Wennerholm wrote:
> Hej!

> Tack för ett givande samtal igår.

> Som jag nämnde även igår tar jag till mig dina
> synpunkter och kommer att ta upp dem inom det
> bankgemensamma arbetet inom Finansiell ID-Teknik. Det
> kommer naturligtvis också att vara en del av våra
> interna diskussioner när vi diskuterar nuvarande och
> kommande säkerhetslösningar för våra
> självbetjäningstjänster.

Jag anser att det är ett stort misstag att inte stödja
Linux för denna typ av infrastrukturprogramvara. Det
innebär en inlåsning för medborgarna som inte kan vara
i någons intresse, utom givetvis för Apple och
Microsoft.

Jag är övertygad om att den snäva vinstmaximeringen som
(möjligtvis) uppnås genom att inte stödja
Linux-plattformen är ett klassiskt exempel på
kortsiktigt tänkande. Apples OS är en Unixvariant, som
sådan besläktad med Linux, vilket med stor sannolikhet
innebär att BankID för Apple borde ha mycket gemensamt
med dito för Linux. Och om så inte är fallet, borde bra
design av programvaran göra att stora delar av den kan
återanvändas för de tre plattformarna.
 
> Jag lovade återkomma med ett besked om hur länge vi
> har kvar stödet för Linux. Svaret är inte helt
> entydigt men ger kanske åtminstone en bättre bild av
> vad du kan förvänta dig.
 
> Alla förlitande parter (alla företag eller
> myndigheter) som accepterar BankID för inloggning och
> signering måste gå över till den nya tekniska
> infrastrukturen innan årsskiftet. En del har redan
> gjort det andra planerar att göra det under hösten
> 2014. I Handelsbanken är planen också att genomföra
> detta under hösten 2014. Utredning pågår hur detta
> ska göras på bästa sätt men troligt att vi gör
> övergången någon gång under perioden oktober till
> november.

Tack för denna information.

Några kommentarer:

Vår kundrelation
================

    För det första är jag privatkund i Handelsbanken sedan
    1988, men utöver det har jag två företagskonti hos SHB,
    den ena nystartad.

    Det nystartade företaget utvecklar en källkodsöppen
    plattform för hantering BPM (Business Process Management)
    och e-tjänster, först och främst riktat mot offentlig
    sektor.

    I en vidare bemärkelse är företagets affärside att ta
    fram samverkanslösningar där öppen källkod är en
    nyckelfaktor för framgång.

    I det sammanhanget uppfattar vi Finansiell ID-tekniks
    beslut som direkt konkurrensvridande.

    I förbindelse med att vi öppnade den nya firman köpte
    vi också SHB:s företagspaket. Vi tog för givet att
    stödet för Linux (som inte är bra i dag) inte skulle
    bli sämre.

    Vi kommer nu att undersöka våra optioner.

Principiella aspekter
=====================

Men den viktiga frågan är principiell.

BankID är ett exempel på att privat sektor är
anförtrodd att utveckla en programvara/tjänst, som
kommer att användas i andra sammanhang, också för
medborgarens utnyttjande av e-tjänster inom offentlig
sektor

Eftersom BankID är privat, må det möjligtvis vara så
att man kan betrakta det som konsortiets deltagares
rätt att själva bestämma vad som är optimalt för dem.

Det är ändå påfallande att man inom den privata sektorn
tar så lätt på konkurrensen när det kommer till
kritan. I andra sammanhang, när det är mer opportunt,
framhävs fri konkurrens som nyckeln till framgång för
såväl den enskilde som för gemenskapen.

Det säger sig självt att ett beslut att stänga ute
Linux från autenticerings- och signeringstjänster i
praktiken gör denna plattform oanvändbar för de flesta,
både i privata och professionella sammanhang. Mycket få
kommer att skaffa en egen Windowsdator, eller Mac,
enbart för att sköta sina ärenden hos bank, och vis a
vis offentlig sektor.

Situationen är speciellt graverande eftersom BankID är
en så marknadsdominerande tjänst.

Sedan är det klart att Staten har ett ansvar för den
uppkomna situationen, genom att inte förstå vilka krav
som måste ställas på infrastrukturtjänsters
konkurrensneutralitet. Det är oacceptabelt att Stat
och kommun kan acceptera en eId plattform som stänger
ute en högkvalitativ, säker, fri och öppen plattform
som Linux, och som dessutom inte har några dolda
bakdörrar, vilket kanske torde vara av visst intresse i
dessa tider. Linux har dessutom stöd för alla öppna
säkerhetsstandarder av relevans för ett PKI av den
sort som BankID är baserat på.

Vad hade PTS sagt om Motorola-telefoner vore utestängda
från de marknadsominerande operatörernas nät bara för
att de hade låg marknadsandel, trots att de uppfyller
samma standarder som övriga?

PS:

  * Visste du att 96% av världens 500 starkaste
    superdatorer kör Linux?

  * Att Android är en variant av Linux?

  * Att enligt CESG (Communications-Electronics
    Security Group), ett statligt Brittisk
    Cybersäkerhetsorgan så är Linux (Ubuntu 12.04) i
    särklass den mest säkra plattformen med avseende på
    ett antal säkerhetstester och kriteria.

Jag hoppas ni framför detta till "kollektivet" i
Finansiell ID-teknik.

Med vänlig hälsning,

Roland Hedayat

-- 
Roland Hedayat
Inherit S AB
Långsjövägen 8
131 33 Nacka
www.inherit.se
Tel: +46 (0)8-641 64 14
Mob: +46 (0)708-18 07 69
_______________________________________________
http://www.foss-sthlm.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2014-04-23