Subject: Re: [Re: Linux och BankID]

Re: [Re: Linux och BankID]

From: Roland Hedayat <roland_at_inherit.se>
Date: Thu, 24 Apr 2014 21:20:07 +0200

On Wed, Apr 23, 2014 at 04:31:39PM +0200, Martin Vilcans wrote:
> En sak jag undrar är varför det behövs ett separat program över huvud
> taget. Vad är det browsern saknar som gör att det krävs en
> native-applikation? Löser man det med web-teknik blir det ju cross platform
> av sig själv.

Så sant. Och FriBids reverse engineering av
BankID-klienten visar ju att Finansiell ID-teknik inte
anser att det är ett säkerhetsproblem att man har
hackat deras lösning. Då hade de ropat varg, nu låter
de i stället det passera i diskretion. Men jag skulle
inte bli förvånad om försöker försvåra för FriBid eller
liknande lösning i den kommande versionen, om inte
annat för att de går så hårt ut och avfärdar stöd för
Linux.

Säkerheten ligger i PKI-strukturen och inte i
programvaran på toppen av den.

> On Apr 23, 2014 3:45 PM, "Andreas Hedström" <ahedstrom_at_gmail.com> wrote:
>
> > Bankid har inget incitament att fixa detta själva, om inte bankerna (och
> > andra som nyttjar tjänsten) ställer krav.
> > Och bankerna själva har inte incitament att ändra något heller, om inte
> > kunderna ställer krav.
> > Och där är vi tyvärr försvinnande få för att nå ut ur supportens lokaler
> > och in på ritbordet.
> >
> > E-id 2.0 ser lovande ut (alla stora aktörer står bakom
> > avsiktsdeklarationen), men hur lång tid tar det? Det ser ut som de redan
> > kört över sin egen tidsplan med ett år eller två.
> >
> > // A
> >
> >
> >
> > 2014-04-23 15:19 GMT+02:00 jonas <jonas.hedman_at_fripost.org>:
> >
> >> Hejsan,
> >>
> >> Är också mycket bekymrad över detta. Är det någon poäng att försöka
> >> tjata och gnälla på sin bank (i mitt fall Swedbank) tror ni? Eller bör
> >> man vända sig till utvecklarna av bankid?
> >>
> >> /Jonas
> >>
> >> On Wed, 2014-04-23 at 10:32 +0200, Roland Hedayat wrote:
> >> > Hej,
> >> >
> >> > Jag hoppas det är ok att ta upp detta på denna listan.
> >> >
> >> >
> >> > Jag utgår ifrån att de allra flesta på listan ogillar
> >> > att Linux-plattformen kommer att stängas ute från
> >> > den dominerande e-leg-tjänsten i Sverige.
> >> >
> >> > Jag ringde min bankförbindelse (SHB) och blev
> >> > vidareförmedlad till deras representant hos BankID. SHB
> >> > avböjde delansvar för beslutet, och hänvisade till
> >> > "kollektivet" inom Finansiell ID-teknik.
> >> >
> >> > Nedan en bekräftelse från Handelsbanken som skickades
> >> > efter vårt samtal, samt mitt svar längre ner.
> >> >
> >> > Jag anser att det är synnerligen allvarligt att öppna
> >> > operativsystem stängs ute från Sveriges
> >> > it-infrastruktur på grunder som i alla fall inte är
> >> > tekniska.
> >> >
> >> > FriBid-implementationen, som vi har använt flera år, är
> >> > ett exempel på att Finansiell ID-tekniks nuvarande
> >> > bidrag till säkerheten är ett "obfuskeringslager" på
> >> > toppen av en vedertagen PKI-infrastruktur. Detta
> >> > obfuskeringslager har i och med FriBid varit hackat
> >> > i flera år. Finansiell ID-teknik måste ha varit
> >> > medvetna om detta, vilket är ett implicit erkännande av
> >> > att säkerheten ligger i PKI-infrastrukturen i sig, och
> >> > inte i Finansiell ID-tekniks programvara.
> >> >
> >> > De av er som på ett eller annat sätt vill engagera er
> >> > i detta kan svara mej, så kan vi komma överens om hur
> >> > vi går vidare.
> >> >
> >> > /Roland Hedayat
> >> >
> >> > ===============================================================
> >> >
> >> > On Thu, Apr 10, 2014 at 12:53:59PM +0200, Guy Wennerholm wrote:
> >> >
> >> > Hej!
> >> >
> >> > Tack för ett givande samtal igår.
> >> >
> >> > Som jag nämnde även igår tar jag till mig dina
> >> > synpunkter och kommer att ta upp dem inom det
> >> > bankgemensamma arbetet inom Finansiell ID-Teknik.
> >> > Det kommer naturligtvis också att vara en del av
> >> > våra interna diskussioner när vi diskuterar
> >> > nuvarande och kommande säkerhetslösningar för våra
> >> > självbetjäningstjänster.
> >> >
> >> > Jag lovade återkomma med ett besked om hur länge vi
> >> > har kvar stödet för Linux. Svaret är inte helt
> >> > entydigt men ger kanske åtminstone en bättre bild
> >> > av vad du kan förvänta dig.
> >> >
> >> > Alla förlitande parter (alla företag eller
> >> > myndigheter) som accepterar BankID för inloggning
> >> > och signering måste gå över till den nya tekniska
> >> > infrastrukturen innan årsskiftet. En del har redan
> >> > gjort det andra planerar att göra det under hösten
> >> > 2014. I Handelsbanken är planen också att genomföra
> >> > detta under hösten 2014. Utredning pågår hur detta
> >> > ska göras på bästa sätt men troligt att vi gör
> >> > övergången någon gång under perioden oktober till
> >> > november.
> >> >
> >> > Med vänlig hälsning
> >> > Guy Wennerholm
> >> >
> >> > Och mitt svar:
> >> >
> >> > ----- Forwarded message from Roland Hedayat <roland_at_inherit.se> -----
> >> >
> >> > Date: Mon, 21 Apr 2014 23:20:13 +0200
> >> > From: Roland Hedayat <roland_at_inherit.se>
> >> > To: Guy Wennerholm <guwe05_at_handelsbanken.se>
> >> > Subject: Re: Linux och BankID
> >> > User-Agent: Mutt/1.5.21 (2010-09-15)
> >> >
> >> > Hej!
> >> >
> >> > Tack för ditt svar.
> >> >
> >> > On Thu, Apr 10, 2014 at 12:53:59PM +0200, Guy Wennerholm wrote:
> >> > > Hej!
> >> >
> >> > > Tack för ett givande samtal igår.
> >> >
> >> > > Som jag nämnde även igår tar jag till mig dina
> >> > > synpunkter och kommer att ta upp dem inom det
> >> > > bankgemensamma arbetet inom Finansiell ID-Teknik. Det
> >> > > kommer naturligtvis också att vara en del av våra
> >> > > interna diskussioner när vi diskuterar nuvarande och
> >> > > kommande säkerhetslösningar för våra
> >> > > självbetjäningstjänster.
> >> >
> >> > Jag anser att det är ett stort misstag att inte stödja
> >> > Linux för denna typ av infrastrukturprogramvara. Det
> >> > innebär en inlåsning för medborgarna som inte kan vara
> >> > i någons intresse, utom givetvis för Apple och
> >> > Microsoft.
> >> >
> >> > Jag är övertygad om att den snäva vinstmaximeringen som
> >> > (möjligtvis) uppnås genom att inte stödja
> >> > Linux-plattformen är ett klassiskt exempel på
> >> > kortsiktigt tänkande. Apples OS är en Unixvariant, som
> >> > sådan besläktad med Linux, vilket med stor sannolikhet
> >> > innebär att BankID för Apple borde ha mycket gemensamt
> >> > med dito för Linux. Och om så inte är fallet, borde bra
> >> > design av programvaran göra att stora delar av den kan
> >> > återanvändas för de tre plattformarna.
> >> >
> >> > > Jag lovade återkomma med ett besked om hur länge vi
> >> > > har kvar stödet för Linux. Svaret är inte helt
> >> > > entydigt men ger kanske åtminstone en bättre bild av
> >> > > vad du kan förvänta dig.
> >> >
> >> > > Alla förlitande parter (alla företag eller
> >> > > myndigheter) som accepterar BankID för inloggning och
> >> > > signering måste gå över till den nya tekniska
> >> > > infrastrukturen innan årsskiftet. En del har redan
> >> > > gjort det andra planerar att göra det under hösten
> >> > > 2014. I Handelsbanken är planen också att genomföra
> >> > > detta under hösten 2014. Utredning pågår hur detta
> >> > > ska göras på bästa sätt men troligt att vi gör
> >> > > övergången någon gång under perioden oktober till
> >> > > november.
> >> >
> >> > Tack för denna information.
> >> >
> >> > Några kommentarer:
> >> >
> >> > Vår kundrelation
> >> > ================
> >> >
> >> > För det första är jag privatkund i Handelsbanken sedan
> >> > 1988, men utöver det har jag två företagskonti hos SHB,
> >> > den ena nystartad.
> >> >
> >> > Det nystartade företaget utvecklar en källkodsöppen
> >> > plattform för hantering BPM (Business Process Management)
> >> > och e-tjänster, först och främst riktat mot offentlig
> >> > sektor.
> >> >
> >> > I en vidare bemärkelse är företagets affärside att ta
> >> > fram samverkanslösningar där öppen källkod är en
> >> > nyckelfaktor för framgång.
> >> >
> >> > I det sammanhanget uppfattar vi Finansiell ID-tekniks
> >> > beslut som direkt konkurrensvridande.
> >> >
> >> > I förbindelse med att vi öppnade den nya firman köpte
> >> > vi också SHB:s företagspaket. Vi tog för givet att
> >> > stödet för Linux (som inte är bra i dag) inte skulle
> >> > bli sämre.
> >> >
> >> > Vi kommer nu att undersöka våra optioner.
> >> >
> >> > Principiella aspekter
> >> > =====================
> >> >
> >> > Men den viktiga frågan är principiell.
> >> >
> >> > BankID är ett exempel på att privat sektor är
> >> > anförtrodd att utveckla en programvara/tjänst, som
> >> > kommer att användas i andra sammanhang, också för
> >> > medborgarens utnyttjande av e-tjänster inom offentlig
> >> > sektor
> >> >
> >> > Eftersom BankID är privat, må det möjligtvis vara så
> >> > att man kan betrakta det som konsortiets deltagares
> >> > rätt att själva bestämma vad som är optimalt för dem.
> >> >
> >> > Det är ändå påfallande att man inom den privata sektorn
> >> > tar så lätt på konkurrensen när det kommer till
> >> > kritan. I andra sammanhang, när det är mer opportunt,
> >> > framhävs fri konkurrens som nyckeln till framgång för
> >> > såväl den enskilde som för gemenskapen.
> >> >
> >> > Det säger sig självt att ett beslut att stänga ute
> >> > Linux från autenticerings- och signeringstjänster i
> >> > praktiken gör denna plattform oanvändbar för de flesta,
> >> > både i privata och professionella sammanhang. Mycket få
> >> > kommer att skaffa en egen Windowsdator, eller Mac,
> >> > enbart för att sköta sina ärenden hos bank, och vis a
> >> > vis offentlig sektor.
> >> >
> >> > Situationen är speciellt graverande eftersom BankID är
> >> > en så marknadsdominerande tjänst.
> >> >
> >> > Sedan är det klart att Staten har ett ansvar för den
> >> > uppkomna situationen, genom att inte förstå vilka krav
> >> > som måste ställas på infrastrukturtjänsters
> >> > konkurrensneutralitet. Det är oacceptabelt att Stat
> >> > och kommun kan acceptera en eId plattform som stänger
> >> > ute en högkvalitativ, säker, fri och öppen plattform
> >> > som Linux, och som dessutom inte har några dolda
> >> > bakdörrar, vilket kanske torde vara av visst intresse i
> >> > dessa tider. Linux har dessutom stöd för alla öppna
> >> > säkerhetsstandarder av relevans för ett PKI av den
> >> > sort som BankID är baserat på.
> >> >
> >> > Vad hade PTS sagt om Motorola-telefoner vore utestängda
> >> > från de marknadsominerande operatörernas nät bara för
> >> > att de hade låg marknadsandel, trots att de uppfyller
> >> > samma standarder som övriga?
> >> >
> >> > PS:
> >> >
> >> > * Visste du att 96% av världens 500 starkaste
> >> > superdatorer kör Linux?
> >> >
> >> > * Att Android är en variant av Linux?
> >> >
> >> > * Att enligt CESG (Communications-Electronics
> >> > Security Group), ett statligt Brittisk
> >> > Cybersäkerhetsorgan så är Linux (Ubuntu 12.04) i
> >> > särklass den mest säkra plattformen med avseende på
> >> > ett antal säkerhetstester och kriteria.
> >> >
> >> >
> >> > Jag hoppas ni framför detta till "kollektivet" i
> >> > Finansiell ID-teknik.
> >> >
> >> > Med vänlig hälsning,
> >> >
> >> > Roland Hedayat
> >> >
> >>
> >>
> >> _______________________________________________
> >> http://www.foss-sthlm.se/
> >> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
> >>
> >>
> >
> > _______________________________________________
> > http://www.foss-sthlm.se/
> > http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
> >
> >

> _______________________________________________
> http://www.foss-sthlm.se/
> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm

-- 
Roland Hedayat
Inherit S AB
Långsjövägen 8
131 33 Nacka
www.inherit.se
Tel: +46 (0)8-641 64 14
Mob: +46 (0)708-18 07 69
_______________________________________________
http://www.foss-sthlm.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2014-04-24