Blockchain för eID

Jag ser det inte så svart och vitt. Vi utgår inom MyData från:

• Affärsmässig hållbarhet
• Legala biten
• Teknik
• Samhället

Med dessa fyra komponenter kan man sedan ställa sig frågan om detta behövs. Vad tjänar det för syfte och hur kan man förändra nuvarande läge för att ta sig mot de nya lösningarna.

För att se behoven måste man också förstå problemen. Låt mig måla upp en enkel bild kring detta:

Här på detta forum eller i andra medier är jag i kontakt med flera personer inom både myndigheter, akademin och inom näringslivet. Där man bland annat pekar ut tillit till samhället. Detta är delar i en helhet som inom t.ex. domänen Identiteter. Tillit att lita på att en person verkligen är den som man utgår ifrån. Vilken tillitsnivå ska man lägga sig på? Denna fråga i sin tur öppnar upp ett relativt djupt hål inom IAM, som måste ses med nya ögon. Där blockchain inte bara är en ny teknik eller trend, utan ett nytt paradigm kring PKI. Vilka utmaningar och hinder har du stött på inom detta området som exempel på hur systemen kan öppnas för medborgare?

Min utgångspunkt är att här krävs det insatser inom utbildning av både beslutsfattare och teknisk personal såsom arkitekter och utvecklare inom flera delar i samhället. Det går inte längre att avfärda blockchain som en teknik som kanske kommer och går. EU finansierar detta på flera sätt, där myndigheterna jag är i kontakt med fortfarande inte har lyckats ta för sig av de medel som finns.

För egen del arbetar jag med både en ideell rörelse som vill sätta människan i centrum av sin digitala egenmakt och försöker genom det egna bolaget hitta en näring på området. Utöver mitt uppdrag åt regeringskansliet, där jag är en av de svenska representanterna i EBP / EBSI. Jag bidrar även till framtida standardisering inom området genom ISO TC 307 (Blockchain och DLT).

Jag ber dig ändra uppfattning att EBSI skulle vara någon forskningsprojekt. Jag misstänker att du varit kontakt med RISE, som påstår något annat. Det ligger såklart i deras intresse. Det var därför jag lämnade min roll som forskare där i våras.

Jag är här för att bedriva förändring och visa att det faktiskt finns något som fungerar där ute. Dels kan jag peka ut att EBSI redan genomför funktionella tester och genom dess piloter har verkliga användningsfall. Dessutom finns det stöd kring eIDAS, vilket innebär att legala strukturer finns på plats för att påbörja omställningen.

Ska man peka ut öppen källkod så finns det enorma bibliotek av kod kring de blockkedjor som EBSI är byggt på. Sök mer information om Ethereum och Hyperledger. Min expertis ligger främst inom ethereum där jag varit drivande som community skapare.

Sist men inte minst är ju RPA och mikrotjänster intressanta i sig. RPA har dock inget med saken att göra här. Däremot har blockkedjor en intressant koppling till att man kan köra program genom smarta kontrakt och dess infrastruktur bidrar till att lösa vissa problem även här. Här går dock min gräns för vad jag bidrar med kostnadsfritt. Vill du veta mer om saker kring Multicloud and polyglots - serverless arkitekturer mm. så är du välkommen att skicka ett PM.

För att adressera din sista fråga så är det olöst för oss företag. Hur ska vi hjälpa Sverige att bidra med öppen källkod utan ersättning? Det gäller inte specifikt blockchain eller öppen data. Det måste finnas incitament. Jag har en del erfarenhet hur t.ex. ethereum arbetar. Låt oss hitta nya vägar framåt tillsammans.

Tack Patrik för en utförlig beskrivning av din syn på läget.

Som du förmodligen är medveten om så gav regeringen nyligen ett uppdrag till Arbetsförmedlingen, E-hälsomyndigheten, DIGG och Skatteverket att göra en omvärldsanalys och ett koncepttest för en eller flera lösningar som kan fungera förvaltningsgemensamt för att individen ska få ökad insyn och kontroll över sina personuppgifter:

https://www.regeringen.se/pressmeddelanden/2020/07/individen-ska-fa-okad-insyn-och-kontroll-over-sin-personliga-data/

Detta uppdrag är det som i första hand kommer att analysera behov och förutsättningar inom det offentliga Sverige på detta område och det ingår uttryckligen att särskilt bevaka utvecklingen av självägande digitala identiteter (SSI) och verktyg för detta som enligt EU-kommissionen “är i sin linda”.

Jag känner dock att vi börjar hamna rejält utanför ämnet för både denna tråd och detta forum nu eftersom ovanstående primärt handlar om lösningar för personuppgifter och inte om öppna data eller öppen källkod.

Hur ska i praktiken arbeta tillsammans i denna frågan kring blockchain? Är expert i EBSI och söker vägar framåt.

@Patrik-MyData-Priva Hur ser du själv att blockchain kan skapa nytta genom att öppna upp våra system (som tråden handlar om)?

Jag ser det som att digitaliseringen måste utgå från behovsdriven och inte teknikdriven utveckling och att blockchain kanske är ett av de tydligaste exemplen just nu där man ofta verkar utgå från en teknisk lösning utan att ha förstått behoven. Samma sak kan väl också sägas om andra tekniktrender som RPA m.fl. och vi som har jobbat länge i IT-branschen är ju väl medvetna om trender som kommer och går och även återuppstår i nya skepnader (t.ex. microservices).

EU:s EBSI-initiativ uppfattar jag främst som ett projekt på forskningsnivå för att testa blockchain som en möjlig teknik för distribuerad lagring och distribuerad tillit inom EU? Dvs ganska off-topic för denna diskussion som främst handlade om öppen källkod? Eller var frågan hur vi kan arbeta gemensamt med öppen källkod för blockchain-lösningar?

@Patrik-MyData-Priva och @sven-erik, jag skapar en ny tråd som jag kallar Blockchain för eID. Den passar bättre som en egen diskussion. Jag tror att det kan finnas en del som är kopplade till nätverket eID ny i Sverige ( tidigare eID för asylsökande ) som kan vara intresserade av tråden.

Håller med om att man inte bara ska göra saker “because teknik” - men ibland finns det ändå goda skäl. Jag är personligen väldigt mycket inte övertygad om att blockchain har något med identitet att göra men jag förstår varför många är väldigt sugna.

Jag har försökt tänka igenom och presentera några av de skäl som gör mig tveksam till SSI för eID - jag ber på förhand om ursäkt för om mina argument är rätt kortfattade men detta är kanske inte rätt medium för en längre utläggning. Jag hoppas på en intressant diskussion!

Jag har valt att försöka uttrycka min tveksamhet på följande 3 område:

• Affären - Bygga nya möjligheter
• Ideologin - Flytta kontrollen över attribut från utfärdare till subjektet
• Användbarheten - Din identitet som “plånbok” full av plastkort

Affären

Det jag har sett av Sovrin handlar till 100% om att bygga upp en slags “replika” av ICANN-modellen för domäner - affären handlar om att via “trusted introducers” (jfr domän-registrars) sälja ingångar till Sovrn-nätverket.

Personerna bakom Sovrn har försökt samma sak de senaste 10-15 åren (det senaste försöket hette fö XRI). EBSI är annorlunda - där utgår man från medlemsstaternas suveränitet och det är bättre. Jag ser dock inte hur man ska skala EBSI till privat sektor utan att bygga nån slags distribuerat system med tillhörande affärsmodell för hur man lyfter in nya tjänster. Jag tror vi i värsta fall kommer se en upprepning av ICANN-modellen fast utan reglering.

Ideologin

Tanken att flytta ägandet och kontroll av information till subjektet är … ideologiskt drivet och stämmer inte med verkligheten i många viktiga fall. Inom offentlig sektor är det inte subjektet som “äger” sin data - tex kan man inte välja huruvida man vill dela med sig av sin data till rättsvårdande myndigheter eller ej. Ett motargument är kanske att vi behöver lagstiftning som ändrar på detta. Det är en helt rimlig ståndpunkt men knappast realistisk - iaf inte annat än på mycket lång sikt.

Jag förstår att man kan tänka annorlunda inom privat sektor (och där kanske det tom är bra att flytta fokus till individen!). I privat sektor har man dock problemet att för att genomföra detta ideologiska skifte mot individuell kontroll över identitet måste man antingen lagstifta eller hitta affärsmodeller som funkar bättre än dagens affär (som är baserad på att sälja med individens data).

Det är helt enkelt för lönsamt att sälja folks indentiteter idag! Min gissning är att de som idag tjänar pengar på person-data helt enkelt tar ledningen inom området och bygger affärsmodeller där användaren i ännu större utsträckning än idag blir en produkt snarare än en konsument.

Ekonomifieringen av individens data blir dessutom enklare att sälja till användaren eftersom man valt att presentera ID som något man har i plånboken. Detta är ett ideologiskt val som har sitt ursprung i att förespråkarna för SSI har en bakgrund inom kryptovalutor och tycker att det är naturligt att tänka i termer av betalningsmedel. Det finns inget öht som talar för att “medlemskortet i plånkan” är en bra modell för eID. Detta leder oss osökt över till…

Användbarheten

Det är här jag ser det största problemet med eID+blockchain: alla implementationer bygger på att användare hanterar sina identiteter i en wallet-app. Det största problemet med wallets är att dom är väldigt sårbara för phishing - en vanlig användare har inte en chans att se skillnad på app:en och en webbsida som ser ut som app:en.

Integration mellan förlitande part (ofta webb) kräver uppmärksamhet och medvetenhet från användarens sida som vanliga användare helt enkelt inte kan förväntas ha. Som exempel - tänk på skyddsmekanismerna som swish införde (“snöfallet”) för att hantera alla fall av falska swish-sidor - det krävdes att folk förlorade pengar för att medvetenheten om detta skulle sprida sig och det är fortfarande inte ovanligt att folk i allmänhet inte vet att dom ska peta på swish-app:en för att “authenticera” den.

Jag misstänker att det enda sättet att skydda wallets mot phishing är integrera dem med plattformens inbyggda authenticeringsmekanismer - dvs FIDO2/webauthn (vilket fö i gör resten av SSI-projektet rätt meningslöst eftersom FIDO2 redan erbjuder full pseudonymitet men det är en annan historia). En sådan integration gör att plattformen garanterar sk “mutual authentication” mellan wallet och förlitande part dvs förlitande part vet att det är rätt wallet och wallet vet att det är rätt förlitande part.

Det skulle dock förvåna mig om plattformarna i långa loppet kommer tillåta app:ar som presenterar UX som påminner om deras inbyggda payment-lösningar (google/apple pay) vilket är precis vad en ID-wallet gör. Jag gissar att det kommer komma restriktioner från plattformarna som gör det svårt att “konkurrera” med apple/google pay som också gör det svårare att bygga säkra ID-wallets på sikt. Att detta inte skett redan beror kanske på att man inte ser SSI som ett reellt hot ännu.

Mitt förslag för alla som ändå tänker att dom kommer lyckas med SSI och wallets är att läsa om Windows CardSpace och tänka igenom varför det kommer lyckas bättre denna gång.

Tack! @leifj Bra och ingående text som belyser några osäkerheter. Dock finns det förklaringar till dessa. Låt oss se om detta mediet passar eller inte. Ökad kunskap på området behövs oavsett och jag för gärna debatt kring detta i offentliga forum.

Jag kan inte nog understryka att SSI för eID är en sak att ta på allvar. Trots kritiska röster från flera håll i Sverige.

Kring Affären och ideologin:
Vill gärna börja med att regeringen redan arbetar med lagstiftning och att hjälpa “subjektet”. Här gäller det att du hänger med på de förändringar som kommer till följd av EUs nya lagar och förordningar. Detta händer nog mycket fortare än du uppskattar.
Läs mer här: https://www.regeringen.se/pressmeddelanden/2020/07/individen-ska-fa-okad-insyn-och-kontroll-over-sin-personliga-data/

Detta omskrivs redan i direktiv som nu DIGG behöver omsätta i praktiken. Vi saknar en nationell aktionsplan för detta, vilket flera andra medlemsstater redan tagit fram. Särskilt i linje med den nya strategin som EU kom tagit fram. Där ligger MyData som ideell rörelse långt framme i andra länder med sitt samarbete. Jag söker vägar framåt för sk. Public-private partnerships i Sverige. Som egenföretagare är det också oerhört svårt att komma in som konsult att hjälpa till i omställningen har jag märkt, där “affären” är i princip borta om man inte tillhör någon av de stora konsultföretagen eller upphandlade nätverken. Detta behöver också förändras.

Idén kring SSI är ju att lösa problemet med information hamnar i sk. “Silos”. Där användaren själv kan återanvända och administrera sin information. En del av detta borde man ingående utreda i fler användningsfall för offentlig sektor. Där just principer för “Only-once” eller överföring av information mellan två myndigheter är ett problem som söker lösningar just nu. Här krävs mer arbete och förståelse för vad “user centric” betyder i kontext av SSI. Jag ställer mer än gärna upp att förklara med både teori och praktiskta lösningar på området.

Vad avser den privata marknaden så är min erfarenhet att en del jurister (utan tekniskt kompetens att utvärdera hur en databas fungerar) agerat som dataskyddombud och ställt till det i frågan kring “kundinformation”. Jag brukar påtala att detta i och med GDPR. Nu är det ju “kundens information” och portabilitet tas inte på allvar. Här måste också datainspektionen ta tag i frågan för att förändring ska till.

Vad avser Sovrin håller jag med. Man ska dock inte dra alla över en kant. Sovrin är bara ett av flera nätverk…

Frågor som berör vem som ska skatta och tjäna pengar på transaktionen kring “Ekonomifieringen av individens data”. Kan man inte från början se till att användaren är den som faktiskt har kontroll över sitt egna värde och få en digital egenmakt. Tänk vilken framtida digital ekonomi man kan skapa här… Det behövs statligt stöd i och regleringar för att komma runt hur Microsoft, Facebook och Google tjänar pengar på “annons-id” etc.

Kring Användbarheten:

Här finns det enorma utmaningar. I grunden så bygger problemet idag på att organisationer likt din i bästa fall redan tagit fram en identitet och kan hantera denna i en federation som är svåra att utmana och förändra, även hur användaren är bunden till ekosystem från Google och Apple ligger till grund för problemet med adoption. Till exempel behöver man Google play services för att ladda ner mobilt bank-id. Oavsett om man använder FIDO2/webauthn. Tänker inte gå in mer på detta då man hamnar i spåret kring ideologi. Dock väldigt relevant när man börjar prata öppen källkod!

I övrigt är “Digitala plånböcker” redan väl utvecklade. Swish till exempel har hämtat mycket av sin UX från just krypto-plånböcker. Där man började använda QR-koder för att minska risken för att manuellt skriva in fel adress. Att detta sedan missbrukas och att flera fall av MITM-attacker uppdagas beror på andra problem och inte själva tekniken.

Tjänstedesignen behöver utvecklas i takt med användarnas vana att hantera en digital identitet. I USA har man redan tagit fram strategier för “branding”, där man som användare har en grafisk profil som hjälper en. Saknar även detta i Sverige. Eftersom min insyn i EBSI-ESSIF gruppen är begränsad till endast ett Use-case så ser jag gärna att vi utvecklar ett samarbete kring dessa frågor.

Oavsett vad de stora plattformsägarna arbetar på borde man även ha en demokratisk och nationell ansats till SSI och wallets.

I övrigt är “Digitala plånböcker” redan väl utvecklade. Swish till exempel har hämtat mycket av sin UX från just krypto-plånböcker. Där man började använda QR-koder för att minska risken för att manuellt skriva in fel adress. Att detta sedan missbrukas och att flera fall av MITM-attacker uppdagas beror på andra problem och inte själva tekniken.

Här är vi definitivt inte överens. Problemet är precis på tekniken. Användning av QR-koder i BankID och Swish elliminerar inte risken för phishing-attacker - man höjer bara ribban en aning. Det enda som är tillgänligt idag som har ett reellt skydd mot phishing är webauthn. Det medför i sin tur att du inte har något annat val än att knyta din wallet till plattformen - på gott och ont.

Jag tycker vi ska köra en workshop där vi ritar upp en user journey kring detta och dokumenterar alla möjliga och omöjliga utfall kring själva tekniken.

Med en sund lösning där man inte slarvat med minneshanteringen så ser jag ingen anledningen till att utgå från en plattform. Här finns det fler personer med mer erfarenhet än mig som vill bidra.

Generellt skulle jag säga att denna diskussion utgår från att den vanliga användaren är mycket mer tekniskt bevandrad än, enligt min erfarenhet, de flesta är.

Redan idag omsätt ransomware mer pengar än den globala narkotikahandeln. Om personer var tillräckligt tekniskt bevandrade skulle de inte klicka på de länkar de idag klickar på och ransomware skulle inte vara den grej det är idag.

Det är inte bara “gamla” personer som har svårt med tekniken och är lättlurade. Människor är lättlurade och har många hänger inte med i den tekniska utvecklingen. Att ändra beteenden tar väldigt lång tid. Vi måste hitta metoder och sätt att använda tekniken som mer anpassad efter människorna och inte efter teknikerna.

Detta är precis vad målet med MyData är. Utmaningarna är enorma att hitta hållbara lösningar som är tillgängliga för alla. Särskilt för de som kan eller måste ha ombud.

Arbetsförmedlingen var med i produktionen av detta whitepaper angående hur MyData skulle kunna tillämpas inom arbetsmarknaden. Dokumentet löser inte identitetsfrågan, men kan vara värt att läsa iaf.

Yes, det har jag såklart sett!

Väldigt bra att ni var med där

Precis som du skriver så löser inte det frågan kring identiteter. Det finns vad jag förstår inte heller en infrastruktur på plats. Jag arbetar lite bakom kulisserna genom “MyData Operator” för att bidra på området utifrån mitt ideella engagemang. Dock har vi inte certifierat vår lösning byggd på EBSI där ännu. Det återstår en behovsägare som t.ex. arbetsförmedlingen, som kan vara med att ta nästa steg. Som du vet håller jag löpande möten kring detta genom MyData infrastructure - the open source initiative by Arbetsförmedlingen. Har dock svårt att hitta min näring kring detta.

Branding är definitivt inte ett skydd mot phishing - det gör snarare målet enklare att skjuta på! Tänk på EV-certifikat tex - där har du ett försök att koppla branding till säkerhet som misslyckades kapitalt.

Det är precis min påäng. SSI har utvecklats av folk som generellt sätt inte förstår begränsningarna i UX eller hur dåligt analogin plånbok-wallet funkar i verkligheten.

Det verkar finnas en föreställning i den här tråden att majoriteten av användare önskar valfrihet och kontroll över sina data.

Min erfarenhet är att det är tvärtom. Majoriteten av användarna föredrar minskad valfrihet till förmån för enkelhet och användbarhet.

Ta bankernas webbar som exempel som har fler valmöjligheter och fler funktioner en bankernas appar. Bankdosorna samlar damm medan mobiltBankID och bankapparna används av 7,5 miljoner svenskar (källa BankID själva per 2019) i ett land på 10 miljoner.

Sedan måste man dra en skiljelinje användarfall som gäller offentlig sektor och privat sektor - t ex mellan rättsvårdande myndigheters rätt/behov av att bevara information för all framtid (t ex SÄPO-spärrar i Migrationsverkets system för personer som begått krigsbrott) och privata företags behov/rätt att spara information om en konsument som inte vill vara kund där längre.

Forts. Om man är medborgare i en nation så har jag svårt att se att rättsvårdande myndigheter ska kunna upprätthålla lagen om de inte får behålla medborgares information i myndighetsärenden. Hur ska man tex annars veta vem som äger en fastighet, vem har rätt att vistas i landet, vem som är part i en rättegång eller vem som ska ha rätt till bidrag?