Subject: Re: [Re: Linux och BankID]

Re: [Re: Linux och BankID]

From: bengt bäverman <bengt_at_baverman.se>
Date: Fri, 9 May 2014 13:56:19 +0200

Senaste nytt: http://www.regeringen.se/sb/d/119/a/239960

/B

Den 23 april 2014 10:32 skrev Roland Hedayat <roland_at_inherit.se>:
> Hej,
>
> Jag hoppas det är ok att ta upp detta på denna listan.
>
>
> Jag utgår ifrån att de allra flesta på listan ogillar
> att Linux-plattformen kommer att stängas ute från
> den dominerande e-leg-tjänsten i Sverige.
>
> Jag ringde min bankförbindelse (SHB) och blev
> vidareförmedlad till deras representant hos BankID. SHB
> avböjde delansvar för beslutet, och hänvisade till
> "kollektivet" inom Finansiell ID-teknik.
>
> Nedan en bekräftelse från Handelsbanken som skickades
> efter vårt samtal, samt mitt svar längre ner.
>
> Jag anser att det är synnerligen allvarligt att öppna
> operativsystem stängs ute från Sveriges
> it-infrastruktur på grunder som i alla fall inte är
> tekniska.
>
> FriBid-implementationen, som vi har använt flera år, är
> ett exempel på att Finansiell ID-tekniks nuvarande
> bidrag till säkerheten är ett "obfuskeringslager" på
> toppen av en vedertagen PKI-infrastruktur. Detta
> obfuskeringslager har i och med FriBid varit hackat
> i flera år. Finansiell ID-teknik måste ha varit
> medvetna om detta, vilket är ett implicit erkännande av
> att säkerheten ligger i PKI-infrastrukturen i sig, och
> inte i Finansiell ID-tekniks programvara.
>
> De av er som på ett eller annat sätt vill engagera er
> i detta kan svara mej, så kan vi komma överens om hur
> vi går vidare.
>
> /Roland Hedayat
>
> ===============================================================
>
> On Thu, Apr 10, 2014 at 12:53:59PM +0200, Guy Wennerholm wrote:
>
> Hej!
>
> Tack för ett givande samtal igår.
>
> Som jag nämnde även igår tar jag till mig dina
> synpunkter och kommer att ta upp dem inom det
> bankgemensamma arbetet inom Finansiell ID-Teknik.
> Det kommer naturligtvis också att vara en del av
> våra interna diskussioner när vi diskuterar
> nuvarande och kommande säkerhetslösningar för våra
> självbetjäningstjänster.
>
> Jag lovade återkomma med ett besked om hur länge vi
> har kvar stödet för Linux. Svaret är inte helt
> entydigt men ger kanske åtminstone en bättre bild
> av vad du kan förvänta dig.
>
> Alla förlitande parter (alla företag eller
> myndigheter) som accepterar BankID för inloggning
> och signering måste gå över till den nya tekniska
> infrastrukturen innan årsskiftet. En del har redan
> gjort det andra planerar att göra det under hösten
> 2014. I Handelsbanken är planen också att genomföra
> detta under hösten 2014. Utredning pågår hur detta
> ska göras på bästa sätt men troligt att vi gör
> övergången någon gång under perioden oktober till
> november.
>
> Med vänlig hälsning
> Guy Wennerholm
>
> Och mitt svar:
>
> ----- Forwarded message from Roland Hedayat <roland_at_inherit.se> -----
>
> Date: Mon, 21 Apr 2014 23:20:13 +0200
> From: Roland Hedayat <roland_at_inherit.se>
> To: Guy Wennerholm <guwe05_at_handelsbanken.se>
> Subject: Re: Linux och BankID
> User-Agent: Mutt/1.5.21 (2010-09-15)
>
> Hej!
>
> Tack för ditt svar.
>
> On Thu, Apr 10, 2014 at 12:53:59PM +0200, Guy Wennerholm wrote:
>> Hej!
>
>> Tack för ett givande samtal igår.
>
>> Som jag nämnde även igår tar jag till mig dina
>> synpunkter och kommer att ta upp dem inom det
>> bankgemensamma arbetet inom Finansiell ID-Teknik. Det
>> kommer naturligtvis också att vara en del av våra
>> interna diskussioner när vi diskuterar nuvarande och
>> kommande säkerhetslösningar för våra
>> självbetjäningstjänster.
>
> Jag anser att det är ett stort misstag att inte stödja
> Linux för denna typ av infrastrukturprogramvara. Det
> innebär en inlåsning för medborgarna som inte kan vara
> i någons intresse, utom givetvis för Apple och
> Microsoft.
>
> Jag är övertygad om att den snäva vinstmaximeringen som
> (möjligtvis) uppnås genom att inte stödja
> Linux-plattformen är ett klassiskt exempel på
> kortsiktigt tänkande. Apples OS är en Unixvariant, som
> sådan besläktad med Linux, vilket med stor sannolikhet
> innebär att BankID för Apple borde ha mycket gemensamt
> med dito för Linux. Och om så inte är fallet, borde bra
> design av programvaran göra att stora delar av den kan
> återanvändas för de tre plattformarna.
>
>> Jag lovade återkomma med ett besked om hur länge vi
>> har kvar stödet för Linux. Svaret är inte helt
>> entydigt men ger kanske åtminstone en bättre bild av
>> vad du kan förvänta dig.
>
>> Alla förlitande parter (alla företag eller
>> myndigheter) som accepterar BankID för inloggning och
>> signering måste gå över till den nya tekniska
>> infrastrukturen innan årsskiftet. En del har redan
>> gjort det andra planerar att göra det under hösten
>> 2014. I Handelsbanken är planen också att genomföra
>> detta under hösten 2014. Utredning pågår hur detta
>> ska göras på bästa sätt men troligt att vi gör
>> övergången någon gång under perioden oktober till
>> november.
>
> Tack för denna information.
>
> Några kommentarer:
>
> Vår kundrelation
> ================
>
> För det första är jag privatkund i Handelsbanken sedan
> 1988, men utöver det har jag två företagskonti hos SHB,
> den ena nystartad.
>
> Det nystartade företaget utvecklar en källkodsöppen
> plattform för hantering BPM (Business Process Management)
> och e-tjänster, först och främst riktat mot offentlig
> sektor.
>
> I en vidare bemärkelse är företagets affärside att ta
> fram samverkanslösningar där öppen källkod är en
> nyckelfaktor för framgång.
>
> I det sammanhanget uppfattar vi Finansiell ID-tekniks
> beslut som direkt konkurrensvridande.
>
> I förbindelse med att vi öppnade den nya firman köpte
> vi också SHB:s företagspaket. Vi tog för givet att
> stödet för Linux (som inte är bra i dag) inte skulle
> bli sämre.
>
> Vi kommer nu att undersöka våra optioner.
>
> Principiella aspekter
> =====================
>
> Men den viktiga frågan är principiell.
>
> BankID är ett exempel på att privat sektor är
> anförtrodd att utveckla en programvara/tjänst, som
> kommer att användas i andra sammanhang, också för
> medborgarens utnyttjande av e-tjänster inom offentlig
> sektor
>
> Eftersom BankID är privat, må det möjligtvis vara så
> att man kan betrakta det som konsortiets deltagares
> rätt att själva bestämma vad som är optimalt för dem.
>
> Det är ändå påfallande att man inom den privata sektorn
> tar så lätt på konkurrensen när det kommer till
> kritan. I andra sammanhang, när det är mer opportunt,
> framhävs fri konkurrens som nyckeln till framgång för
> såväl den enskilde som för gemenskapen.
>
> Det säger sig självt att ett beslut att stänga ute
> Linux från autenticerings- och signeringstjänster i
> praktiken gör denna plattform oanvändbar för de flesta,
> både i privata och professionella sammanhang. Mycket få
> kommer att skaffa en egen Windowsdator, eller Mac,
> enbart för att sköta sina ärenden hos bank, och vis a
> vis offentlig sektor.
>
> Situationen är speciellt graverande eftersom BankID är
> en så marknadsdominerande tjänst.
>
> Sedan är det klart att Staten har ett ansvar för den
> uppkomna situationen, genom att inte förstå vilka krav
> som måste ställas på infrastrukturtjänsters
> konkurrensneutralitet. Det är oacceptabelt att Stat
> och kommun kan acceptera en eId plattform som stänger
> ute en högkvalitativ, säker, fri och öppen plattform
> som Linux, och som dessutom inte har några dolda
> bakdörrar, vilket kanske torde vara av visst intresse i
> dessa tider. Linux har dessutom stöd för alla öppna
> säkerhetsstandarder av relevans för ett PKI av den
> sort som BankID är baserat på.
>
> Vad hade PTS sagt om Motorola-telefoner vore utestängda
> från de marknadsominerande operatörernas nät bara för
> att de hade låg marknadsandel, trots att de uppfyller
> samma standarder som övriga?
>
> PS:
>
> * Visste du att 96% av världens 500 starkaste
> superdatorer kör Linux?
>
> * Att Android är en variant av Linux?
>
> * Att enligt CESG (Communications-Electronics
> Security Group), ett statligt Brittisk
> Cybersäkerhetsorgan så är Linux (Ubuntu 12.04) i
> särklass den mest säkra plattformen med avseende på
> ett antal säkerhetstester och kriteria.
>
>
> Jag hoppas ni framför detta till "kollektivet" i
> Finansiell ID-teknik.
>
> Med vänlig hälsning,
>
> Roland Hedayat
>
> --
> Roland Hedayat
> Inherit S AB
> Långsjövägen 8
> 131 33 Nacka
> www.inherit.se
> Tel: +46 (0)8-641 64 14
> Mob: +46 (0)708-18 07 69
> _______________________________________________
> http://www.foss-sthlm.se/
> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm

_______________________________________________
http://www.foss-sthlm.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2014-05-09