Ubuntu Sverige håller på med en skrivelse såg jag, ge gärna synpunkter där
med,
den har inte gått iväg än.
http://ubuntu-se.org/phpBB3/viewtopic.php?f=223&t=58799&start=200
/Josef
torsdagen den 24:e april 2014 skrev Olle E. Johansson <oej_at_edvina.net>:
>
> On 23 Apr 2014, at 19:33, bengt bäverman <bengt_at_baverman.se<javascript:_e(%7B%7D,'cvml','bengt_at_baverman.se');>>
> wrote:
>
> Jag tror att man överskattar "det offentliga Sveriges" möjlighet att
> påverka Finansiell ID-teknik. Det finns INGEN transparens alls. Ingen
> utanför FID vet någon om den faktiska säkerheten. Även om myndigheterna
> använder BankID så saknar de möjlighet att ställa krav. Den senaste tidens
> diskussioner om e-legitimationsnämndens lösning visar väl det rätt tydligt?
>
> Jo, det har jag hört från många källor - att den faktiska säkerheten är
> ett mysterium. Det är inte bra. Men på något sätt har en rad myndigheter
> fattat beslut om att använda det och jag tror inte att det är gratis. När
> det finns
> ett flöde av pengar borde man kunna ställa lite krav eller åtminstone se
> till att det gör lite ont. Frågan är bara
> om det finns någon på någon av dessa myndigheter vi kan hitta som bryr sig.
>
> Ett transparent system som SAML är lättare att granska och validera. På
> ett sätt är det ganska krångligt, vilket lett till utveckling av enklare
> lösningar som OAuth, OpenID connect och andra. På andra sätt är det väldigt
> läckert. Man skiljer hårt på förtroendesystemet och autenticeringen, vilket
> jag tycker är bra. Ett förtroendenätverk som skoldatanätet eller
> BussigaBenkeBusNätet kan välja krav på parternas autenticering - om det
> krävs DNA-koll eller om det räcker med Facebooklogin (eller något där
> emellan).
>
> /O
>
> /B
> Den 23 apr 2014 17:22 skrev "Roland Hedayat" <roland_at_inherit.se>:
>
> On Wed, Apr 23, 2014 at 03:45:02PM +0200, Andreas Hedström wrote:
>
> > Bankid har inget incitament att fixa detta själva, om
> > inte bankerna (och andra som nyttjar tjänsten)
> > ställer krav.
>
> Det är poängen. Och med begreppet "nyttjar tjänsten"
> måste man inkludera Skatteverket, Försäkringskassan och
> alla andra offentliga aktörer i e-Sverige som
> tillhandahåller BankID som autenticeringsmetod.
>
> I dag finns stöd för BankID på 32-bitars Linux, men inte
> för 64 bitar. Tack vare hjälteinsatsen från de som
> ligger bakom FriBid, har vi stöd också för 64-bitars
> Linux, som de flesta använder i dag.
>
> Nu vill man ta bort stödet för Linux helt och hållet.
>
> Det hade varit mycket enkelt för det offentliga
> e-Sverige, uppbackad av Konsumentombudsmannen,
> Konkurrensverket, mm. att _kräva_ att den nya versionen
> av BankID skall ha stöd för minst Linux och eventuellt
> andra öppna plattformar, på lika linje med slutna
> plattformar.
>
> En bra början vore att de som skall tillhandahålla en
> autenticeringstjänst som är godkänd för nyttjande av
> Stat och Kommun avkrävs publicera de tekniska
> specifikationerna för en klient som skall nyttja
> tjänsten. Säkerheten skall ju ligga i PKI-strukturen,
> inte i någon "security by obscurity". FriBid har med
> sin reverse engineering av BankID visat att försöket
> att stoppa koden i en svart låda är ett meningslöst
> tilltag som enbart skapar en illusion av utökad
> säkerhet.
>
> Med öppna specifikationer kan de som vill implementera
> det som ligger på toppen av PKI-infrastrukturen, något
> som kan finansieras med crowdfunding, men där kostnaden
> för en referensimplementation borde bäras av Staten.
> Det handlar om infrastruktur, och är en lika naturlig
> fråga för det offentliga som kostnaden för t.ex vägar.
>
> //Roland
>
> > Och bankerna själva har inte incitament att ändra
> > något heller, om inte kunderna ställer krav. Och där
> > är vi tyvärr försvinnande få för att nå ut ur
> > supportens lokaler och in på ritbordet.
>
> Just det. Och det offentliga Sveriges fina ord om öppen
> källkod förblir just det, om de inte tar denna fråga på
> allvar.
>
>
> > E-id 2.0 ser lovande ut (alla stora aktörer står bakom
> > avsiktsdeklarationen), men hur lång tid tar det? Det ser ut som de redan
> > kört över sin egen tidsplan med ett år eller två.
>
> Oavsett om den nya tjänsten i princip skall fungera på
> alla plattformar så är det inte fel att kräva det
> också. Och det är tydligen utanför
> elegitimationsnämndens mandat.
>
> //Roland
>
>
> > // A
> >
> >
> >
> > 2014-04-23 15:19 GMT+02:00 jonas <jonas.hedman_at_fripost.org>:
> >
> > > Hejsan,
> > >
> > > Är också mycket bekymrad över detta. Är det någon poäng att försöka
> > > tjata och gnälla på sin bank (i mitt fall Swedbank) tror ni? Eller bör
> > > man vända sig till utvecklarna av bankid?
> > >
> > > /Jonas
> > >
> > > On Wed, 2014-04-23 at 10:32 +0200, Roland Hedayat wrote:
> > > > Hej,
> > > >
> > > > Jag hoppas det är ok att ta upp detta på denna listan.
> > > >
> > > >
> > > > Jag utgår ifrån att de allra flesta på listan ogillar
> > > > att Linux-plattformen kommer att stängas ute från
> > > > den dominerande e-leg-tjänsten i Sverige.
> > > >
> > > > Jag ringde min bankförbindelse (SHB) och blev
> > > > vidareförmedlad till deras representant hos BankID. SHB
> > > > avböjde delansvar för beslutet, och hänvisade till
> > > > "kollektivet" inom Finansiell ID-teknik.
> > > >
> > > > Nedan en bekräftelse från Handelsbanken som skickades
> > > > efter vårt samtal, samt mitt svar längre ner.
> > > >
> > > > Jag anser att det är synnerligen allvarligt att öppna
> > > > operativsystem stängs ute från Sveriges
> > > > it-infrastruktur på grunder som i alla fall inte är
> > > > tekniska.
> > > >
> > > > FriBid-implementationen, som vi har använt flera år, är
> > > > ett exempel på att Finansiell ID-tekniks nuvarande
> > > > bidrag till säkerheten är ett "obfuskeringslager" på
> > > > toppen av en vedertagen PKI-infrastruktur. Detta
> > > > obfus
>
>
>
-- Vänligen/Best regards Josef Andersson Skickat från min ZX Spectrum
_______________________________________________
http://www.foss-sthlm.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2014-04-24