Kammarkollegium och organisationslegitimationerna

Det är svårt att tänka om.

Nyligen kom e-delegationen ut med sitt betänkande kring bla eID där man tydligt säger att man vill satsa på identitetsfederationer och på öppna lösningar för identifiering i Sverige. Ingen blir nog förvånad om Skatteverket kommer att få ansvara för nämnden för e-samordning och om Kammarkollegium kommer att få göra alla upphandlingar som blir resultatet av de standarder och regelverk som nämnden förhoppningsvis kommer att etablera. So far so no surprises…

Det är därför med växande förvåning jag har följt hanteringen av sk organisations-legitimationer hos Kammarkollegium under sommaren och hösten. Där har man suttit och räknat ut att X509-certifikat med både personnummer och organisationsnummer är det bästa sättet att representera att NN jobbar på firma X.

Alla som har någon insikt i hur identitetssystem byggs idag inser att det finns en del problem med ett sådant angreppsätt och att en modernare lösning kanske hade varit att jobba med teknologi som kan hantera attribut i någon form, tex OpenID, SAML, InfoCard eller varför inte attributcertifikat!

Trots att det alltså finns invändningar i sak och ett uppenbart behov att samordna med nära förestående arbete inom ramen för nämnden för e-samordning så kör Kammarkollegium på som om inget har hänt…

Idag var det informationsmöte på Sheraton. Det kändes lite som att sitta på en diskussion i 15 punkter kring färg, form, placering, material och distribution av havrepåsar för framtidens hästlösa vagnar. Vid varje punkt påpekade någon i publiken att det kanske inte behövs en häst eller att om det behövs en slags häst så kanske det är en järnhäst som inte äter havre. Efter varje diskussion så gick presentationen av nästa punkt vidare (“.. och såhär tror vi att havrepåsen ska spikas fast…”).

Någon påpekade helt korrekt (om också tämligen irrelevant) att det kan finnas användning av certifikat med organisationsnummer instoppade även om man använder federationsteknologi.

Jo man kan ju vilja leda en häst bredvid bilen och då vill man kanske ha en havrepåse…

Som vanligt i dessa sammanhang så drog någon med jämna mellanrum fram “signaturs-kortet”: “Det går ju inte att göra offline signaturer med en sån däringa federations-pryl…”. Helt rätt. Man kan inte köra sin hästlösa vagn ut i skogen om man skulle behöva avverka ett träd på vägen mellan Konsum och hemmet men genom att optimera för det vanligaste fallet (identifiering) så blir hela systemet så mycket billigare att man har råd att hyra sig en skogsmaskin när man behöver den.

Vi behöver mer konkurrens inom eID i Sverige, inte mindre! Kammarkollegium har ett ansvar att göra upphandlingar som inte i onödan begränsar spelplanen till de få företag (jag kan räkna dom på ena handens fingrar även om jag har tappat ett par fingrar) som utfärdar den typ av ḱort som Kammarkollegium uppenbarligen har i åtanke. Jag menar att Kammarkollegium (om man alls ska ge sig in i detta) bör bredda upphandlingen till att inkludera all teknologi som rimligen kan anses ha samma nivå av tekniska skydd som ett klassiskt PKI-kort, tex olika former av OTP-tokens som av goda skäl blivit allt mer populära på senare tid.

I och med etableringen av federations-lösningar så spelar det ingen roll vad som används för inloggningen så länge det finns ett assuransnivå-begrepp (LoA) som både identifierande part och förlitande part kan enas om. Sådana assuransbegrepp finns det flera färdiga man kan använda – tex Kantara Identity Assurance Framework som av allt att döma är bra nog för att bli godkänt för användning inom USAs statsförvaltning.

Missförstå mig rätt nu – jag gillar 2-faktors-inloggning! Jag menar bara att efter 10+ år med PKI-kort som flaxar med armarna och aldrig lyfter så är det hög tid att vi släpper in några nya spelare i laget och ser om dom lyckas bättre. Federationsteknologi är bla ett sätt att göra spelplanen lite öppnare och lite jämnare.

Comments Off on Kammarkollegium och organisationslegitimationerna

Filed under E-delegationen

Comments are closed.