måndag, oktober 19, 2009

Missledande om ny e-legitimation

Av ett TT-telegram, som man kan hitta hos bland annat SvD och DN, får man lätt intrycket att dagens e-legitimationer ska ersättas av något slags online-kontroll hos Skatteverket.

Men så är det inte, vilket man lätt kan kontrollera i E-delegationens delbetänkande:
De system som finns för legitimering och elektronisk underskrift bör bibehållas och utvecklas så att nuvarande och framtida behov tillgodoses. Befintliga system synes för närvarande – med undantag för komplikationer rörande personer som inte har hemvist här samt alternativa krav på affärsmodell – kunna täcka de behov som finns av personliga e-legitimationer och stämpelcertifikat inom offentlig sektor.
(sidan 96)
Men det man gör är att man dessutom öppnar för möjligheten att införa ytterligare federerade identitetslösningar, koordinerade av Skatteverket. Och det är väldigt vettigt.

Som ett hypotetiskt exempel kan man tänka sig att Skatteverket sluter ett avtal med Linköpings universitet om att universitetet ska fungera som identitetsleverantör (IdP, Identity Provider) för sina anställda och studenter. Då skulle man kunna identifiera sig även för tjänster hos andra myndigheter genom sitt LiU-konto, utan att den andra myndigheten kan se mer information om en själv utöver vad som är strikt nödvändigt för tjänsten i fråga. (Och Skatteverket är överhuvudtaget inte inblandade i transaktionen.)

De svenska universiteten bedriver redan ett samarbete för federerade identiteter, SWAMID, och det är roligt att se att de här tankarna slagit genom även hos E-delegationen.

E-delegationens delbetänkande innehåller även många andra intressanta frågor, om öppna standarder, öppen källkod, och om outsourcing av IT-support, men det ber jag att få återkomma till.

4 kommentarer:

Anonym sa...

I dagens system med e-id kan man som bankkund helt plötsligt stå utan e-id om banken så vill.
En annan brist hos dagens E-legitimation är att utfärdarna äger och kontrollerar den digitala identiteten hos de personer för vilka man utfärdar e-legitimationer. Utfärdaren beslutar således ensidigt i vilka sammanhang som e-legitimationen får användas och när den slutar gälla. Detta strider såväl mot de mänskliga rättigheterna som mot den uppfattning som EU har uttryckt

Kurre sa...

Både Nixon och Anonym har väl lite rätt. Jag antar att Nixon sett ur ett datateknisktperspektiv tycker att utredning Odell presenterade framhävs som om Mesias kommit till jorden en gång till och så är det väl naturligtvis inte. Jag själv är inte ett dugg kunning inom den typen av applikationer(eller några andra) men det svåra behöver väl inte alltid vara det bästa.

Man behöver ju inte vara raketforskare för att räkna ut att logiken som ligger bakom den nya tekniken är riktigt banbrytande om det skulle bli som så att det blir en "standard" i större delar av världen. Tänk om man kunde aplicera denna juridiskt korrekta säkerhet på konotkortsföretag, XBLR-lösningar, signering av avtal you name it. Det blir ju en viss skillnad om man slår mynt av det hela jämfört med att man kan gå in och betala räkningar med endast en pin-kod eller kolla skattekontot vid den datorn du laddade hem ID:t till. Vad vet jag ?

leifj sa...

Läs gärna hur jag, Fredrik och Amel tänkte kring detta medans vi väntade på att e-delegationen skulle släppa sitt betänkande: http://www.kirei.se/2009/10/19/eid-i-sverige/. Själv är jag lite orolig för att lägga alla ägg i skattekorgen men det är ju fantastiskt mycket bättre än den sörjan vi har idag.

Leif Nixon sa...

Leif: jo, jag hittade den texten lite senare, och har den på lager till ett senare inlägg.

Anonym: Staten kan dra in ditt vanliga fysiska pass också. Så länge det är under väldefinierade omständigheter pass kan återkallas och certifikat revokeras har jag svårt att se det som något större problem, än mindre ett brott mot de mänskliga rättigheterna. Fast med tanke på hur många cert jag har revokerat i tjänsten är det kanske inte så konstigt att jag tycker det...

 
MediaCreeper Creeper