Subject: Re: [Re: Linux och BankID]

Re: [Re: Linux och BankID]

From: Olle E. Johansson <oej_at_edvina.net>
Date: Thu, 24 Apr 2014 09:55:34 +0200

On 23 Apr 2014, at 19:33, bengt bäverman <bengt_at_baverman.se> wrote:

> Jag tror att man överskattar "det offentliga Sveriges" möjlighet att påverka Finansiell ID-teknik. Det finns INGEN transparens alls. Ingen utanför FID vet någon om den faktiska säkerheten. Även om myndigheterna använder BankID så saknar de möjlighet att ställa krav. Den senaste tidens diskussioner om e-legitimationsnämndens lösning visar väl det rätt tydligt?
>
Jo, det har jag hört från många källor - att den faktiska säkerheten är ett mysterium. Det är inte bra. Men på något sätt har en rad myndigheter fattat beslut om att använda det och jag tror inte att det är gratis. När det finns
ett flöde av pengar borde man kunna ställa lite krav eller åtminstone se till att det gör lite ont. Frågan är bara
om det finns någon på någon av dessa myndigheter vi kan hitta som bryr sig.

Ett transparent system som SAML är lättare att granska och validera. På ett sätt är det ganska krångligt, vilket lett till utveckling av enklare lösningar som OAuth, OpenID connect och andra. På andra sätt är det väldigt läckert. Man skiljer hårt på förtroendesystemet och autenticeringen, vilket jag tycker är bra. Ett förtroendenätverk som skoldatanätet eller BussigaBenkeBusNätet kan välja krav på parternas autenticering - om det krävs DNA-koll eller om det räcker med Facebooklogin (eller något där emellan).

/O
> /B
>
> Den 23 apr 2014 17:22 skrev "Roland Hedayat" <roland_at_inherit.se>:
> On Wed, Apr 23, 2014 at 03:45:02PM +0200, Andreas Hedström wrote:
>
> > Bankid har inget incitament att fixa detta själva, om
> > inte bankerna (och andra som nyttjar tjänsten)
> > ställer krav.
>
> Det är poängen. Och med begreppet "nyttjar tjänsten"
> måste man inkludera Skatteverket, Försäkringskassan och
> alla andra offentliga aktörer i e-Sverige som
> tillhandahåller BankID som autenticeringsmetod.
>
> I dag finns stöd för BankID på 32-bitars Linux, men inte
> för 64 bitar. Tack vare hjälteinsatsen från de som
> ligger bakom FriBid, har vi stöd också för 64-bitars
> Linux, som de flesta använder i dag.
>
> Nu vill man ta bort stödet för Linux helt och hållet.
>
> Det hade varit mycket enkelt för det offentliga
> e-Sverige, uppbackad av Konsumentombudsmannen,
> Konkurrensverket, mm. att _kräva_ att den nya versionen
> av BankID skall ha stöd för minst Linux och eventuellt
> andra öppna plattformar, på lika linje med slutna
> plattformar.
>
> En bra början vore att de som skall tillhandahålla en
> autenticeringstjänst som är godkänd för nyttjande av
> Stat och Kommun avkrävs publicera de tekniska
> specifikationerna för en klient som skall nyttja
> tjänsten. Säkerheten skall ju ligga i PKI-strukturen,
> inte i någon "security by obscurity". FriBid har med
> sin reverse engineering av BankID visat att försöket
> att stoppa koden i en svart låda är ett meningslöst
> tilltag som enbart skapar en illusion av utökad
> säkerhet.
>
> Med öppna specifikationer kan de som vill implementera
> det som ligger på toppen av PKI-infrastrukturen, något
> som kan finansieras med crowdfunding, men där kostnaden
> för en referensimplementation borde bäras av Staten.
> Det handlar om infrastruktur, och är en lika naturlig
> fråga för det offentliga som kostnaden för t.ex vägar.
>
> //Roland
>
> > Och bankerna själva har inte incitament att ändra
> > något heller, om inte kunderna ställer krav. Och där
> > är vi tyvärr försvinnande få för att nå ut ur
> > supportens lokaler och in på ritbordet.
>
> Just det. Och det offentliga Sveriges fina ord om öppen
> källkod förblir just det, om de inte tar denna fråga på
> allvar.
>
>
> > E-id 2.0 ser lovande ut (alla stora aktörer står bakom
> > avsiktsdeklarationen), men hur lång tid tar det? Det ser ut som de redan
> > kört över sin egen tidsplan med ett år eller två.
>
> Oavsett om den nya tjänsten i princip skall fungera på
> alla plattformar så är det inte fel att kräva det
> också. Och det är tydligen utanför
> elegitimationsnämndens mandat.
>
> //Roland
>
>
> > // A
> >
> >
> >
> > 2014-04-23 15:19 GMT+02:00 jonas <jonas.hedman_at_fripost.org>:
> >
> > > Hejsan,
> > >
> > > Är också mycket bekymrad över detta. Är det någon poäng att försöka
> > > tjata och gnälla på sin bank (i mitt fall Swedbank) tror ni? Eller bör
> > > man vända sig till utvecklarna av bankid?
> > >
> > > /Jonas
> > >
> > > On Wed, 2014-04-23 at 10:32 +0200, Roland Hedayat wrote:
> > > > Hej,
> > > >
> > > > Jag hoppas det är ok att ta upp detta på denna listan.
> > > >
> > > >
> > > > Jag utgår ifrån att de allra flesta på listan ogillar
> > > > att Linux-plattformen kommer att stängas ute från
> > > > den dominerande e-leg-tjänsten i Sverige.
> > > >
> > > > Jag ringde min bankförbindelse (SHB) och blev
> > > > vidareförmedlad till deras representant hos BankID. SHB
> > > > avböjde delansvar för beslutet, och hänvisade till
> > > > "kollektivet" inom Finansiell ID-teknik.
> > > >
> > > > Nedan en bekräftelse från Handelsbanken som skickades
> > > > efter vårt samtal, samt mitt svar längre ner.
> > > >
> > > > Jag anser att det är synnerligen allvarligt att öppna
> > > > operativsystem stängs ute från Sveriges
> > > > it-infrastruktur på grunder som i alla fall inte är
> > > > tekniska.
> > > >
> > > > FriBid-implementationen, som vi har använt flera år, är
> > > > ett exempel på att Finansiell ID-tekniks nuvarande
> > > > bidrag till säkerheten är ett "obfuskeringslager" på
> > > > toppen av en vedertagen PKI-infrastruktur. Detta
> > > > obfuskeringslager har i och med FriBid varit hackat
> > > > i flera år. Finansiell ID-teknik måste ha varit
> > > > medvetna om detta, vilket är ett implicit erkännande av
> > > > att säkerheten ligger i PKI-infrastrukturen i sig, och
> > > > inte i Finansiell ID-tekniks programvara.
> > > >
> > > > De av er som på ett eller annat sätt vill engagera er
> > > > i detta kan svara mej, så kan vi komma överens om hur
> > > > vi går vidare.
> > > >
> > > > /Roland Hedayat
> > > >
> > > > ===============================================================
> > > >
> > > > On Thu, Apr 10, 2014 at 12:53:59PM +0200, Guy Wennerholm wrote:
> > > >
> > > > Hej!
> > > >
> > > > Tack för ett givande samtal igår.
> > > >
> > > > Som jag nämnde även igår tar jag till mig dina
> > > > synpunkter och kommer att ta upp dem inom det
> > > > bankgemensamma arbetet inom Finansiell ID-Teknik.
> > > > Det kommer naturligtvis också att vara en del av
> > > > våra interna diskussioner när vi diskuterar
> > > > nuvarande och kommande säkerhetslösningar för våra
> > > > självbetjäningstjänster.
> > > >
> > > > Jag lovade återkomma med ett besked om hur länge vi
> > > > har kvar stödet för Linux. Svaret är inte helt
> > > > entydigt men ger kanske åtminstone en bättre bild
> > > > av vad du kan förvänta dig.
> > > >
> > > > Alla förlitande parter (alla företag eller
> > > > myndigheter) som accepterar BankID för inloggning
> > > > och signering måste gå över till den nya tekniska
> > > > infrastrukturen innan årsskiftet. En del har redan
> > > > gjort det andra planerar att göra det under hösten
> > > > 2014. I Handelsbanken är planen också att genomföra
> > > > detta under hösten 2014. Utredning pågår hur detta
> > > > ska göras på bästa sätt men troligt att vi gör
> > > > övergången någon gång under perioden oktober till
> > > > november.
> > > >
> > > > Med vänlig hälsning
> > > > Guy Wennerholm
> > > >
> > > > Och mitt svar:
> > > >
> > > > ----- Forwarded message from Roland Hedayat <roland_at_inherit.se> -----
> > > >
> > > > Date: Mon, 21 Apr 2014 23:20:13 +0200
> > > > From: Roland Hedayat <roland_at_inherit.se>
> > > > To: Guy Wennerholm <guwe05_at_handelsbanken.se>
> > > > Subject: Re: Linux och BankID
> > > > User-Agent: Mutt/1.5.21 (2010-09-15)
> > > >
> > > > Hej!
> > > >
> > > > Tack för ditt svar.
> > > >
> > > > On Thu, Apr 10, 2014 at 12:53:59PM +0200, Guy Wennerholm wrote:
> > > > > Hej!
> > > >
> > > > > Tack för ett givande samtal igår.
> > > >
> > > > > Som jag nämnde även igår tar jag till mig dina
> > > > > synpunkter och kommer att ta upp dem inom det
> > > > > bankgemensamma arbetet inom Finansiell ID-Teknik. Det
> > > > > kommer naturligtvis också att vara en del av våra
> > > > > interna diskussioner när vi diskuterar nuvarande och
> > > > > kommande säkerhetslösningar för våra
> > > > > självbetjäningstjänster.
> > > >
> > > > Jag anser att det är ett stort misstag att inte stödja
> > > > Linux för denna typ av infrastrukturprogramvara. Det
> > > > innebär en inlåsning för medborgarna som inte kan vara
> > > > i någons intresse, utom givetvis för Apple och
> > > > Microsoft.
> > > >
> > > > Jag är övertygad om att den snäva vinstmaximeringen som
> > > > (möjligtvis) uppnås genom att inte stödja
> > > > Linux-plattformen är ett klassiskt exempel på
> > > > kortsiktigt tänkande. Apples OS är en Unixvariant, som
> > > > sådan besläktad med Linux, vilket med stor sannolikhet
> > > > innebär att BankID för Apple borde ha mycket gemensamt
> > > > med dito för Linux. Och om så inte är fallet, borde bra
> > > > design av programvaran göra att stora delar av den kan
> > > > återanvändas för de tre plattformarna.
> > > >
> > > > > Jag lovade återkomma med ett besked om hur länge vi
> > > > > har kvar stödet för Linux. Svaret är inte helt
> > > > > entydigt men ger kanske åtminstone en bättre bild av
> > > > > vad du kan förvänta dig.
> > > >
> > > > > Alla förlitande parter (alla företag eller
> > > > > myndigheter) som accepterar BankID för inloggning och
> > > > > signering måste gå över till den nya tekniska
> > > > > infrastrukturen innan årsskiftet. En del har redan
> > > > > gjort det andra planerar att göra det under hösten
> > > > > 2014. I Handelsbanken är planen också att genomföra
> > > > > detta under hösten 2014. Utredning pågår hur detta
> > > > > ska göras på bästa sätt men troligt att vi gör
> > > > > övergången någon gång under perioden oktober till
> > > > > november.
> > > >
> > > > Tack för denna information.
> > > >
> > > > Några kommentarer:
> > > >
> > > > Vår kundrelation
> > > > ================
> > > >
> > > > För det första är jag privatkund i Handelsbanken sedan
> > > > 1988, men utöver det har jag två företagskonti hos SHB,
> > > > den ena nystartad.
> > > >
> > > > Det nystartade företaget utvecklar en källkodsöppen
> > > > plattform för hantering BPM (Business Process Management)
> > > > och e-tjänster, först och främst riktat mot offentlig
> > > > sektor.
> > > >
> > > > I en vidare bemärkelse är företagets affärside att ta
> > > > fram samverkanslösningar där öppen källkod är en
> > > > nyckelfaktor för framgång.
> > > >
> > > > I det sammanhanget uppfattar vi Finansiell ID-tekniks
> > > > beslut som direkt konkurrensvridande.
> > > >
> > > > I förbindelse med att vi öppnade den nya firman köpte
> > > > vi också SHB:s företagspaket. Vi tog för givet att
> > > > stödet för Linux (som inte är bra i dag) inte skulle
> > > > bli sämre.
> > > >
> > > > Vi kommer nu att undersöka våra optioner.
> > > >
> > > > Principiella aspekter
> > > > =====================
> > > >
> > > > Men den viktiga frågan är principiell.
> > > >
> > > > BankID är ett exempel på att privat sektor är
> > > > anförtrodd att utveckla en programvara/tjänst, som
> > > > kommer att användas i andra sammanhang, också för
> > > > medborgarens utnyttjande av e-tjänster inom offentlig
> > > > sektor
> > > >
> > > > Eftersom BankID är privat, må det möjligtvis vara så
> > > > att man kan betrakta det som konsortiets deltagares
> > > > rätt att själva bestämma vad som är optimalt för dem.
> > > >
> > > > Det är ändå påfallande att man inom den privata sektorn
> > > > tar så lätt på konkurrensen när det kommer till
> > > > kritan. I andra sammanhang, när det är mer opportunt,
> > > > framhävs fri konkurrens som nyckeln till framgång för
> > > > såväl den enskilde som för gemenskapen.
> > > >
> > > > Det säger sig självt att ett beslut att stänga ute
> > > > Linux från autenticerings- och signeringstjänster i
> > > > praktiken gör denna plattform oanvändbar för de flesta,
> > > > både i privata och professionella sammanhang. Mycket få
> > > > kommer att skaffa en egen Windowsdator, eller Mac,
> > > > enbart för att sköta sina ärenden hos bank, och vis a
> > > > vis offentlig sektor.
> > > >
> > > > Situationen är speciellt graverande eftersom BankID är
> > > > en så marknadsdominerande tjänst.
> > > >
> > > > Sedan är det klart att Staten har ett ansvar för den
> > > > uppkomna situationen, genom att inte förstå vilka krav
> > > > som måste ställas på infrastrukturtjänsters
> > > > konkurrensneutralitet. Det är oacceptabelt att Stat
> > > > och kommun kan acceptera en eId plattform som stänger
> > > > ute en högkvalitativ, säker, fri och öppen plattform
> > > > som Linux, och som dessutom inte har några dolda
> > > > bakdörrar, vilket kanske torde vara av visst intresse i
> > > > dessa tider. Linux har dessutom stöd för alla öppna
> > > > säkerhetsstandarder av relevans för ett PKI av den
> > > > sort som BankID är baserat på.
> > > >
> > > > Vad hade PTS sagt om Motorola-telefoner vore utestängda
> > > > från de marknadsominerande operatörernas nät bara för
> > > > att de hade låg marknadsandel, trots att de uppfyller
> > > > samma standarder som övriga?
> > > >
> > > > PS:
> > > >
> > > > * Visste du att 96% av världens 500 starkaste
> > > > superdatorer kör Linux?
> > > >
> > > > * Att Android är en variant av Linux?
> > > >
> > > > * Att enligt CESG (Communications-Electronics
> > > > Security Group), ett statligt Brittisk
> > > > Cybersäkerhetsorgan så är Linux (Ubuntu 12.04) i
> > > > särklass den mest säkra plattformen med avseende på
> > > > ett antal säkerhetstester och kriteria.
> > > >
> > > >
> > > > Jag hoppas ni framför detta till "kollektivet" i
> > > > Finansiell ID-teknik.
> > > >
> > > > Med vänlig hälsning,
> > > >
> > > > Roland Hedayat
> > > >
> > >
> > >
> > > _______________________________________________
> > > http://www.foss-sthlm.se/
> > > http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
> > >
> > >
>
> > _______________________________________________
> > http://www.foss-sthlm.se/
> > http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>
>
> --
> Roland Hedayat
> Inherit S AB
> Långsjövägen 8
> 131 33 Nacka
> www.inherit.se
> Tel: +46 (0)8-641 64 14
> Mob: +46 (0)708-18 07 69
>
> _______________________________________________
> http://www.foss-sthlm.se/
> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
> _______________________________________________
> http://www.foss-sthlm.se/
> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm

_______________________________________________
http://www.foss-sthlm.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2014-04-24