Nej, jag tror ocksÄ bankerna Àr en bit bort men myndigheterna Àr positiva
och de Àr dem som Àr de största kunderna av BankID idag. Via tidigare
idg.senyhet hittade jag förfrÄgningarna till MSB frÄn CSN [1], hade
missat dem
tidigare. I deras begÀran fanns allting lite mer konkret nerskrivet (som
bilaga med namnet Finansiell ID teknik.docx).
Efter att ha skummat igenom punkterna sÄ verkar de mesta handla om vanlig
rÀdsla för öppna system kontra mer stÀngda lösningar. Punkterna om risk för
DDoS och kommentaren om att tekniken SAML lÄser anvÀndarna till webblÀsare
istÀllet för specifika applikationer förstÄr jag inte. Även om SAML styr
vad som ska skickas mellan noder sÄ tvingas man ju inte till att anvÀnda
webblÀsare för det. Om nÄgon annan kan detaljerna dÀr fÄr ni gÀrna försöka
förklara det resonemanget.
FÄr se om mer tid medges senare i veckan att lÀsa igenom mer noggrant.
[1]
https://www.documentcloud.org/documents/1070123-begaran-till-msb-diarienummer-006451-2014.html
Med vÀnlig hÀlsning
-- Christoffer Holmstedt Den 7 maj 2014 16:00 skrev Nils Agnesson <nils.agnesson_at_piratpartiet.se>: > Det finns ingenting som tyder pÄ att bankerna Àr med pÄ tÄget. LÀs dagens > artikel http://www.idg.se/2.1085/1.559953/svajigt-kring-svensk-e- > legitimation > > /Nils > > > > On 2014-04-23 10:32, Roland Hedayat wrote: > >> Hej, >> >> Jag hoppas det Àr ok att ta upp detta pÄ denna listan. >> >> >> Jag utgÄr ifrÄn att de allra flesta pÄ listan ogillar >> att Linux-plattformen kommer att stÀngas ute frÄn >> den dominerande e-leg-tjÀnsten i Sverige. >> >> Jag ringde min bankförbindelse (SHB) och blev >> vidareförmedlad till deras representant hos BankID. SHB >> avböjde delansvar för beslutet, och hÀnvisade till >> "kollektivet" inom Finansiell ID-teknik. >> >> Nedan en bekrÀftelse frÄn Handelsbanken som skickades >> efter vÄrt samtal, samt mitt svar lÀngre ner. >> >> Jag anser att det Àr synnerligen allvarligt att öppna >> operativsystem stÀngs ute frÄn Sveriges >> it-infrastruktur pÄ grunder som i alla fall inte Àr >> tekniska. >> >> FriBid-implementationen, som vi har anvÀnt flera Är, Àr >> ett exempel pÄ att Finansiell ID-tekniks nuvarande >> bidrag till sÀkerheten Àr ett "obfuskeringslager" pÄ >> toppen av en vedertagen PKI-infrastruktur. Detta >> obfuskeringslager har i och med FriBid varit hackat >> i flera Är. Finansiell ID-teknik mÄste ha varit >> medvetna om detta, vilket Àr ett implicit erkÀnnande av >> att sÀkerheten ligger i PKI-infrastrukturen i sig, och >> inte i Finansiell ID-tekniks programvara. >> >> De av er som pÄ ett eller annat sÀtt vill engagera er >> i detta kan svara mej, sÄ kan vi komma överens om hur >> vi gÄr vidare. >> >> /Roland Hedayat >> >> =============================================================== >> >> On Thu, Apr 10, 2014 at 12:53:59PM +0200, Guy Wennerholm wrote: >> >> Hej! >> >> Tack för ett givande samtal igÄr. >> >> Som jag nÀmnde Àven igÄr tar jag till mig dina >> synpunkter och kommer att ta upp dem inom det >> bankgemensamma arbetet inom Finansiell ID-Teknik. >> Det kommer naturligtvis ocksÄ att vara en del av >> vÄra interna diskussioner nÀr vi diskuterar >> nuvarande och kommande sÀkerhetslösningar för vÄra >> sjÀlvbetjÀningstjÀnster. >> >> Jag lovade Äterkomma med ett besked om hur lÀnge vi >> har kvar stödet för Linux. Svaret Àr inte helt >> entydigt men ger kanske Ätminstone en bÀttre bild >> av vad du kan förvÀnta dig. >> >> Alla förlitande parter (alla företag eller >> myndigheter) som accepterar BankID för inloggning >> och signering mÄste gÄ över till den nya tekniska >> infrastrukturen innan Ärsskiftet. En del har redan >> gjort det andra planerar att göra det under hösten >> 2014. I Handelsbanken Àr planen ocksÄ att genomföra >> detta under hösten 2014. Utredning pÄgÄr hur detta >> ska göras pÄ bÀsta sÀtt men troligt att vi gör >> övergÄngen nÄgon gÄng under perioden oktober till >> november. >> >> Med vÀnlig hÀlsning >> Guy Wennerholm >> >> Och mitt svar: >> >> ----- Forwarded message from Roland Hedayat <roland_at_inherit.se> ----- >> >> Date: Mon, 21 Apr 2014 23:20:13 +0200 >> From: Roland Hedayat <roland_at_inherit.se> >> To: Guy Wennerholm <guwe05_at_handelsbanken.se> >> Subject: Re: Linux och BankID >> User-Agent: Mutt/1.5.21 (2010-09-15) >> >> Hej! >> >> Tack för ditt svar. >> >> On Thu, Apr 10, 2014 at 12:53:59PM +0200, Guy Wennerholm wrote: >> >>> Hej! >>> Tack för ett givande samtal igÄr. >>> Som jag nÀmnde Àven igÄr tar jag till mig dina >>> synpunkter och kommer att ta upp dem inom det >>> bankgemensamma arbetet inom Finansiell ID-Teknik. Det >>> kommer naturligtvis ocksÄ att vara en del av vÄra >>> interna diskussioner nÀr vi diskuterar nuvarande och >>> kommande sÀkerhetslösningar för vÄra >>> sjÀlvbetjÀningstjÀnster. >>> >> Jag anser att det Àr ett stort misstag att inte stödja >> Linux för denna typ av infrastrukturprogramvara. Det >> innebÀr en inlÄsning för medborgarna som inte kan vara >> i nÄgons intresse, utom givetvis för Apple och >> Microsoft. >> >> Jag Àr övertygad om att den snÀva vinstmaximeringen som >> (möjligtvis) uppnÄs genom att inte stödja >> Linux-plattformen Àr ett klassiskt exempel pÄ >> kortsiktigt tÀnkande. Apples OS Àr en Unixvariant, som >> sÄdan beslÀktad med Linux, vilket med stor sannolikhet >> innebÀr att BankID för Apple borde ha mycket gemensamt >> med dito för Linux. Och om sÄ inte Àr fallet, borde bra >> design av programvaran göra att stora delar av den kan >> ÄteranvÀndas för de tre plattformarna. >> >> >>> Jag lovade Äterkomma med ett besked om hur lÀnge vi >>> har kvar stödet för Linux. Svaret Àr inte helt >>> entydigt men ger kanske Ätminstone en bÀttre bild av >>> vad du kan förvÀnta dig. >>> >> >> >>> Alla förlitande parter (alla företag eller >>> myndigheter) som accepterar BankID för inloggning och >>> signering mÄste gÄ över till den nya tekniska >>> infrastrukturen innan Ärsskiftet. En del har redan >>> gjort det andra planerar att göra det under hösten >>> 2014. I Handelsbanken Àr planen ocksÄ att genomföra >>> detta under hösten 2014. Utredning pÄgÄr hur detta >>> ska göras pÄ bÀsta sÀtt men troligt att vi gör >>> övergÄngen nÄgon gÄng under perioden oktober till >>> november. >>> >> Tack för denna information. >> >> NÄgra kommentarer: >> >> VÄr kundrelation >> ================ >> >> För det första Àr jag privatkund i Handelsbanken sedan >> 1988, men utöver det har jag tvÄ företagskonti hos SHB, >> den ena nystartad. >> >> Det nystartade företaget utvecklar en kÀllkodsöppen >> plattform för hantering BPM (Business Process Management) >> och e-tjÀnster, först och frÀmst riktat mot offentlig >> sektor. >> >> I en vidare bemÀrkelse Àr företagets affÀrside att ta >> fram samverkanslösningar dÀr öppen kÀllkod Àr en >> nyckelfaktor för framgÄng. >> >> I det sammanhanget uppfattar vi Finansiell ID-tekniks >> beslut som direkt konkurrensvridande. >> >> I förbindelse med att vi öppnade den nya firman köpte >> vi ocksÄ SHB:s företagspaket. Vi tog för givet att >> stödet för Linux (som inte Àr bra i dag) inte skulle >> bli sÀmre. >> >> Vi kommer nu att undersöka vÄra optioner. >> >> Principiella aspekter >> ===================== >> >> Men den viktiga frÄgan Àr principiell. >> >> BankID Àr ett exempel pÄ att privat sektor Àr >> anförtrodd att utveckla en programvara/tjÀnst, som >> kommer att anvÀndas i andra sammanhang, ocksÄ för >> medborgarens utnyttjande av e-tjÀnster inom offentlig >> sektor >> >> Eftersom BankID Àr privat, mÄ det möjligtvis vara sÄ >> att man kan betrakta det som konsortiets deltagares >> rÀtt att sjÀlva bestÀmma vad som Àr optimalt för dem. >> >> Det Àr ÀndÄ pÄfallande att man inom den privata sektorn >> tar sÄ lÀtt pÄ konkurrensen nÀr det kommer till >> kritan. I andra sammanhang, nÀr det Àr mer opportunt, >> framhÀvs fri konkurrens som nyckeln till framgÄng för >> sÄvÀl den enskilde som för gemenskapen. >> >> Det sÀger sig sjÀlvt att ett beslut att stÀnga ute >> Linux frÄn autenticerings- och signeringstjÀnster i >> praktiken gör denna plattform oanvÀndbar för de flesta, >> bÄde i privata och professionella sammanhang. Mycket fÄ >> kommer att skaffa en egen Windowsdator, eller Mac, >> enbart för att sköta sina Àrenden hos bank, och vis a >> vis offentlig sektor. >> >> Situationen Àr speciellt graverande eftersom BankID Àr >> en sÄ marknadsdominerande tjÀnst. >> >> Sedan Àr det klart att Staten har ett ansvar för den >> uppkomna situationen, genom att inte förstÄ vilka krav >> som mÄste stÀllas pÄ infrastrukturtjÀnsters >> konkurrensneutralitet. Det Àr oacceptabelt att Stat >> och kommun kan acceptera en eId plattform som stÀnger >> ute en högkvalitativ, sÀker, fri och öppen plattform >> som Linux, och som dessutom inte har nÄgra dolda >> bakdörrar, vilket kanske torde vara av visst intresse i >> dessa tider. Linux har dessutom stöd för alla öppna >> sÀkerhetsstandarder av relevans för ett PKI av den >> sort som BankID Àr baserat pÄ. >> >> Vad hade PTS sagt om Motorola-telefoner vore utestÀngda >> frÄn de marknadsominerande operatörernas nÀt bara för >> att de hade lÄg marknadsandel, trots att de uppfyller >> samma standarder som övriga? >> >> PS: >> >> * Visste du att 96% av vÀrldens 500 starkaste >> superdatorer kör Linux? >> >> * Att Android Àr en variant av Linux? >> >> * Att enligt CESG (Communications-Electronics >> Security Group), ett statligt Brittisk >> CybersÀkerhetsorgan sÄ Àr Linux (Ubuntu 12.04) i >> sÀrklass den mest sÀkra plattformen med avseende pÄ >> ett antal sÀkerhetstester och kriteria. >> >> >> Jag hoppas ni framför detta till "kollektivet" i >> Finansiell ID-teknik. >> >> Med vÀnlig hÀlsning, >> >> Roland Hedayat >> >> > _______________________________________________ > http://www.foss-sthlm.se/ > http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm >
_______________________________________________
http://www.foss-sthlm.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2014-05-07