Ja, det lär nog bli lite knepigt att få igenom krav på lagändringar om samtycke från medborgare för att rättsvårdande myndigheter ska få hantera deras personuppgifter om de är misstänkta eller dömda för brott eller om de har rätt att vistas i landet. Jag har dock inte hört någon inom SSI-communityn som diskuterar den typen av användningsfall.
Rent allmänt kan man också säga att SSI-konceptet innebär lite av en helomvändning jämfört med EU:s princip om En-uppgift-en-gång (Once-Only Principle) som innebär att myndigheter inte ska efterfråga medborgares uppgifter om uppgifterna redan finns tillgängliga inom någon del av offentlig förvaltning (oavsett myndighet på nationell eller europeisk nivå). Denna princip styr EU:s nuvarande digitaliseringsstrategi för offentlig sektor med stöd av förordningen om Single Digital Gateway som ska träda i kraft fullt ut i december 2023:
EU:s Blockchain-forum har bl.a. släppt en rapport om digital identitet under 2019 som försöker beskriva möjliga användningsfall för blockchain och digital identitet:
Ett av användningsfallen i rapporten som för mig känns som ett ganska krystat exempel är att en medborgare ska kunna skicka in ansökan om subvention för elbilsinköp genom att via sin digitala plånbok kunna presentera inköpsbeviset från bilförsäljaren för behörig myndighet. Detta lyfts fram som en teoretisk möjlighet inom 5-10 år (!) via EU:s framtida SSI-lösningar. För mig och många andra medborgare i Sverige skulle det förmodligen kännas betydligt mer naturligt och tilltalande att Transportstyrelsen har full koll på att jag är registrerad ägare av en elbil med rätt till subvention och att jag helt slipper intyga detta genom att manuellt vidareförmedla något digitalt bevis som har signerats av bilförsäljaren. I andra hand kan jag kanske tänka mig att ge samtycke i samband med ansökan via Transportstyrelsens e-tjänst som inhämtar mitt inköpsbevis direkt via bilförsäljarens öppna API?
Utmaningen är att kombinera användbarhet med säkerhet. Det är det som gör webauthn så intressant - för de flesta användare så blir inloggningen samma sak som att låsa upp telefonen.
Webauthn är intressant men nog lite sent ute - Jag har svårt att se att någon som helst webbaserad lösning för autentisering skulle kunna konkurrera ut en app som mobilt BankID eller liknande appbaserade lösningar utgivna av myndigheter som Polis (pass och nationellt eID) och Migrationsverket (t ex MigID till utländska medborgare som har ärende hos oss som gör att vi bedömer deras bevis för identitet och tar deras biometri vid behov precis som Polisen gör för passansökningar).
Hur skulle webb kunna få lika korta responstider och lika välintegrerad användarupplevelse som en app när den per definition körs i en webbläsare som gör att webbappen har för klienten operativsystem okänt ursprung. Klientoperativsystemet (iOS, Android) har ingen aning om ifall en webbsida är skadlig kod eller inte och måste begränsa behörigheterna för den koden som körs i webbläsaren därefter.
Vi lever i en värld där appar i telefoner, bilar och smarta högtalare erbjuder en användarupplevelse som webb inte klarar matcha för den typen av behov som autentisering innebär. 7,5 miljoner användare av mobilt BankID talar sitt tydliga språk.
Sedan kan man så klart påverka hur fort den utveckligen går - vi på myndighetssidan kan ju tvinga användare att använda långsammare webbaserade metoder som hela tiden får problem då de behöver göra mer än vad säkerheten i arkitekturen tillåter i de mobila webbläsarna och operativsystemen eftersom i en app har utgivaren identifierat både sin organisation och sina utvecklare individuellt till klientopertivsystemets utgivare och får verktyg och behörigheter därefter vilket inte är möjligt för oidentifierade utvecklare som kör kod i webbläsaren.
Känns som denna tråden blev rätt spretig efter att ha läst om Extended Validation Certificates, Rättsvårdande myndigheters roll och hur Bank-id idag i en del fall redan verkar vara en lösning.
@leifj Det unika här är att man behöver sätta människan i centrum och vända modellen där CAs inte löst problemen utan istället går på samma nitar varje gång. Detta oavsett till hur representationen i olika gränssnitt kan designas för att ge användaren en trygg miljö. Håller inte alls med om att SSI utvecklats av personer som ser begränsningar, det börjar bli allt tydligare för mig att perspektivet här måste omvärderas utifrån hur teknik, organisation och juridik förändrar modellen. Analogin till digital plånbok är större än bara en digital identitet. Där begränsningen idag är att man låst in system och tjänster utan att ha ställt krav på portabilitet och interoperabilitet för användaren. Sen kan man inleda en mer filosofisk diskurs kring digital egenmakt men det lämnar jag till senare då utmaningarna verkar ligger på ett tekniskt plan utifrån din roll.
@sven-erik Här krävs nog en genomlysning och utbildning på hur samtycke och data hanteras i web3 arkitekturer. Det blir faktiskt betydligt enklare att hantera en SSI lösning för dessa typer av användningsfall som du beskriver med fordon. Min forskning kan ge bevis på detta och det är inte bara min positiva syn som ligger till grund för mina påståenden. TOOP är bara en an flera underliggande principer och byggstenar till EBSI och andra initiativ från EU kom DG Connect. Det har hänt mycket sedan 2019. En av mina styrkor är omvärldsbevakning så jag bjuder på detta här: https://ati.ec.europa.eu/news/future-cloud-computing-europe
@michaelakerman Här råder flera missförstånd kring hur användaren och myndighetens relations ser ut kring vissa informationsmängder. Även för hur man kan använda webauthn i relation till eID byggd på blockchain-teknik. Här får jag dock dra en gräns för var mina kommersiella intressen ligger. Kan helt enkelt inte ge bort denna kunskap gratis.
Det är liksom ingen djup kommersiell hemlighet att alla mobilplattformar (båda två) har en ambition att bli de nya betalningsplattformarna (med de-facto monopol!) och man behöver heller inte ha en doktorsgrad i semiotik för att fatta att dom kommer försvara sin position med näbbar och klor. WebAuthn är precis exakt så långt mobilplattformarna är ok med att släppa in externa applikationer på detta område. Hit men inte längre: stark authenticering är helt ok men stark authenticering i ett kontext som ser ut som en wallet tror jag inte kommer hålla i längden.
Alltså för att förtydliga. WebAuthn har inget med blockkedjor eller web3 att göra direkt. Det är nog värt att studera mer hur t.ex. metamask skapat ett nytt sätt att interagera med en decentraliserad webb. Hur man hanterar credentials är alltså av en annan natur. Oavsett hur begreppet plånbok används. Paradigmet är att själva tilliten ligger i infrastrukturen och inte i enheterna (TEE/TPM).
WebAuthn, Verified Claims, Blockchain ID är skilda saker som kan komma i kontakt med varandra om man börjar prata om att delegera nycklar etc. De delar även målet att ta bort användarnamn/lösenord. Dessutom reducerar WebAuthn användarens säkerhet ner på biometri gentemot en enhet eller passlock på skärmen… Om detta är bra utifrån ett UX perspektiv är något man kan med fördel undersöka utifrån vilket användningsfall vi pratar om. FIDO2 och CTAP2 kan ju i kombination med en blockkedja ses som extremt robusta och potenta medel för hög integritet och säkerhet. Dock behöver man vara säker på att det inte finns någon kopia av den privata nyckeln någonstans…
Att de kommer försöka försvara sig är solklart. Även telecomindustrin gör sitt nu kan man notera när man tittar på nya lagförslag kring sk. “Data unions” där GSMA satsar hårt. Idag kom ju även nyheten ut från företaget Inrupt med sina “Pods”, som startades av internetgrundaren själv Tim Berners-Lee. Där man försöker positionera om sig och ta ut ny riktning. Jag och några av de jag varit i kontakt med under dagen ser nu ännu fler möjligheter att med mer tydlighet och kontrast kunna belysa problemen med en alltför centraliserad webb.
Exakt. Problemen uppstår dock eftersom SSI-ekosystemet är beroende av att kunna införa stark authn för plånboken vilket (påstår jag) kommer att göra att SSI kommer hamna på kollisionskurs med mobilplattformarna.
Peercraft (jag känner fö Henrik) är knappast i händelsernas centrum när det gäller att tolka browser-leverantörernas strategier. Jag misstänker att UX-argumentet är (iaf delvis) ett svepskäl.
För att förstå vad webbläsarna gör kan man mer än gärna läsa deras bloggar, se gärna detta som ett intressant inlägg från en av de få med inbyggt stöd för nästa generationens internet: https://brave.com/brave-private-cdn/