Kirei har nu svarat på finansdepartementets remiss angående e-delegationens förslag till ny modell för e-legitimering i Sverige.

Vi stöder tankarna om en federerad elektronisk identitet, men anser att det är mycket viktigt att den utformas så att alla delar av samhället kan dra nytta av infrastrukturen. E-delegationens förslag baseras på att en samordningsfunktion i myndighetsform överbrygger gapet mellan dagens lösning och federationslösningen. Det skulle i så fall cementera den gamla modellen och endast lösa delar av den problematik vi ser idag. Framförallt omöjliggör det en bredare användning av e-legitimationen i samhället.

Läs mer i yttrandet om hur vi föreslår en federerad elektronisk identitet bör införas.

I sitt betänkande (SOU 2009:86) talar E-delegationen om en samordningsfunktion som ska ha som uppdrag att samordna federerad identitet i Sverige. Detta i sig är ett stort steg i rätt riktning för att etablera den samhällsviktiga infrastruktur för elektronisk identifiering som krävs för både offentlig verksamhet och näringsliv.

Vi föreslår att samordningsfunktionen får i uppdrag att samordna federerad identitet i Sverige för att etablera den samhällsviktiga infrastruktur för elektronisk identifiering som krävs för både offentlig verksamhet och näringsliv.

Det är dock viktigt att uppbyggnaden görs på ett sätt som gör att hela samhället kan dra nytta av infrastrukturen. Därför anser vi att utgångsläget för federerad eID i Sverige bör:

• vara baserad på öppna standarder,
• ge ett fullgott skydd av den personliga integriteten,
• vara teknikneutralt,
• vara tillräckligt kostnadseffektivt, och
• vara tillgängligt för aktörer i alla delar av samhället.

Vi skissar här på en modell där samordning av federationer inom både stat, kommun, landsting och privat sektor kan ske på ett effektivt sätt och till en mycket låg kostnad.

Vi menar att samordning av eID kan ske genom att realisera två separata funktioner, gärna som uppdrag till två olika myndigheter:

• En samordningsfunktion med fokus på styrning och som har som huvudsakligt uppdrag att direkt, eller indirekt via ackrediterade granskare, godkänna identitetsleverantörer samt att publicera regler och tekniska ramverk för både identitetsleverantörer och tjänsteleverantörer.
• En upphandlingsfunktion som genomför upphandlingar av identifieringstjänster baserat på de regler och ramverk som samordningsfunktionen publicerar, och som genom avtal med dessa tillgodoser myndigheternas behov av elektronisk identifiering.

Ett vanligt missförstånd är att samordningsfunktionen behöver vara involverad i de faktiska transaktionerna. På samma sätt som PTS övervakar telemarknaden utan att vara inblandad när telefonsamtal kopplas fram menar vi att samordningsfunktionens uppdrag ska formuleras i termer av ackreditering och tillsyn, snarare än att vara involverad i transaktioner och teknik.

Upphandlingsfunktionen kan placeras på t.ex. Kammarkollegiet. Genom att ha en tydlig separation mellan dessa funktioner kan även andra aktörer genomföra upphandlingar baserat på samma regler och med samma förutsättningar, vilket gör det möjligt för övriga sektorer i samhället att forma sina egna identitetsfederationer med passade affärsmodeller, oberoende av de statliga systemen.

Detta kommer att bidra till att en robust och säker infrastruktur för identifiering etableras i Sverige, vilket vi tror kommer stimulera innovation och leda till nya affärsmöjligheter, nya tjänster och effektiviseringar inom både näringsliv och offentlig verksamhet. Genom denna bredare användning och större samhällsnytta kommer man också kunna nå målet att infrastrukturen för identifiering bär sina egna kostnader.

Roller och ansvar

Ett problem med dagens e-legitimation är att det bara är statens behov av identifiering av medborgare som i någon mån uppfylls. Andra sektorer – t.ex. näringslivets behov av säker identifiering hanteras inte alls. Vi menar att det är orimligt att anta att en statlig myndighet kan ta på sig ansvaret att täcka hela samhällets behov av säker identifiering, men genom att dela upp styrning och upphandling på det sätt vi beskrivit ovan kan andra organisationer (t.ex. VHS, SKL, Svenskt Näringsliv) genomföra egna upphandlingar och etablera identitetsfederationer som uppfyller sina egna behov, men med statens regelverk som mall.

Roller och ansvar

Vår modell ger utrymme för flera helt skilda federationer att samexistera med samma policy och teknik. Varje federation kan ha det affärsupplägg och de avtalsmässiga konstruktioner som krävs för dess medlemmar.

Samordningsfunktionen publicerar policy som reglerar utgivning och hantering av identiteter. Samordningsfunktionen publicerar också de tekniska riktlinjer som samtliga aktörer använder för att realisera den tekniska infrastruktur som krävs. Detta är mycket viktigt eftersom det krävs en hög grad av teknisk interoperabilitet för att systemen ska fungera i praktiken.

Samordningsfunktionen ackrediterar också externa aktörer som utför revision och certifiering av identitetsleverantörer gentemot policyn. Detta handlar sannolikt om revisionsbolag som redan idag utför liknande revisioner. Samordningsfunktionen publicerar därvid en lista över godkända identitetsleverantörer. Dessa listor används vid upphandling av identifieringstjänster och ingår även som en del av den tekniska infrastrukturen som varje federation förlitar sig på.

Federationsoperatören är den som för federationens räkning upphandlar identifieringstjänsterna och agerar avtalspart mot både tjänsteleverantörer och identitetsleverantörer. Federationsoperatören har en juridisk och affärsmässig roll i att koppla samman ett antal identitetsleverantörer och tjänsteleverantörer genom federationen. Federationspolicyn är det avtal som stipulerar de affärsmässiga, juridiska och tekniska förutsättningarna inom federationen.

Samordningsfunktionen har således inte någon dyr eller betungande uppgift. Arbetet är i mångt och mycket delegerat till ackrediterade aktörer. Samordningsfunktionen kan om man så vill förlita sig på existerande assuransramverk för stora delar av policyn – t.ex. Kantara/Liberty IAF. För flera av dessa ramverk finns det redan en etablerad marknad av granskare (ofta revisionsbolag) som gör att man kan komma igång med arbetet på kort tid.

Samordningsfunktionen är inte heller direkt inblandad i teknisk drift –- all teknik finns hos federationsmedlemmarna (identitetsleverantörer och tjänsteleverantörer) samt i viss mån även hos federationsoperatörerna.

Identifiering

Identifiering inom en federation sker genom ett informationsutbyte direkt mellan identitetsleverantören och innehavaren samt tjänsteleverantören och innehavaren, utan inblandning från vare sig samordningsfunktionen eller federationsoperatören. Denna decentralisering minskar sårbarheten i systemet och sänker kostnaderna för drift och underhåll.

En identitetsfederation blir alltså både ett tekniskt ramverk samt ett avtalsmässigt samarbete som ger de deltagande tjänsteleverantörerna tillgång till en uppsättning identitetsleverantörer. Vilka affärsmodeller som ska gälla blir då en fråga för varje upphandling och inte något som samordningsfunktionen stipulerar.

Dagens leverantörer av identifiering bör i första hand genom kravställning och ekonomiska incitament stimuleras att erbjuda tjänsterna via de gränssnitt som samordningsorganet föreskriver.

Under en övergångsperiod kan överbryggningsfunktioner etableras. Detta sätt att hantera befintlig teknik är emellertid behäftat med de problem som en centraliserad lösning medför; nämligen kostnadsdrivande teknik, ökad sårbarhet genom att en enskild aktör utför all identifiering, och därvid uppstår även problematik med skydd av den personliga integriteten för innehavarna.

Centralisering förhindrar även bildandet av fler federationer, och cementerar den gamla tekniken och de gamla strukturerna. Det är därför helt avgörande att en sådan lösning endast etableras under en i förväg väldefinierad övergångsperiod.

Ett bättre sätt att hantera de gamla metoderna för identifiering vore att låta dem samexistera parallellt med federationstekniken under den period som krävs för att de förlitande parterna skall hinna anpassa sina system till det nya ramverket.

Därmed behöver inget i dagens system för e-legitimation ändras när detta nya ramverk etableras. Inga av dagens förlitande parter behöver ändra på någon del av sina administrativa eller tekniska rutiner förrän dagens e-legitimation slutgiltigt avskaffas.

Fredrik Ljunggren, Kirei AB
Leif Johansson, SUNET
Anne-Marie Eklund Löwinder, .SE

För lite drygt ett decennium sedan blev det uppenbart att det fanns ett behov av att på ett tillförlitligt sätt identifiera individer över öppna nätverk, såsom Internet. Handel och tjänster över Internet förutspåddes att på kort tid växa till att omsätta mångmiljardbelopp. Myndigheter och vårdinstitutioner såg möjligher att rationalisera och spara stora summor på elektronisk hantering av information. Alla dessa tjänster förutsätter emellertid tidigare nämnda identifiering.

En sammanslutning av ingenjörer med bakgrund inom telekomindustrin utformade därför en elektronisk analogi till det sätt på vilket vi identifierar oss och undertecknar dokument i den fysiska världen. Dessa metoder utformades och lades fram av ETSI (European Telecommunications Standards Institute). Analogin bygger på X.509-standarden för en PKI (Public Key Infrastructure) från 1988, och implicerar användandet av X.509-certifikat.

I praktiskt taget alla länders författning finns i någon del krav på handskrivna signaturer, även om de är sällsynta. För att möjliggöra att använda även den elektroniska motsvarigheten konstaterades att det krävs författningen utökas till att även innefatta dessa nya elektroniska signaturer.

I denna anda utformades EG-direktivet 1999/93/EC av Europaparlamenetet med syftet att inom unionen samordna den legala statusen för elektroniska signaturer. Direktivet definierar ett ramverk för elektroniska signaturer inom unionen, men inte bara det – det stipulerar även metoderna för identifiering och underskrifter istället för målsättningen med dem – vilket är en motsägelse av själva definitionen av ett EG-direktiv.

Denna hållning inom EU skiljer sig markant från hur frågan hanteras i övriga delar av världen. FN:s modellag om elektronisk handel, UNCITRAL, är ett exempel. Den tar fasta på målsättningen ”funktionell evivalens” och utlämnar helt tekniska lösningar eller metoder, särskilt som dessa kan antas utvecklas med tiden. Syftet är ett elektroniska signaturer skall ha en likvärdig status runt om i världen och vara ”tillräckligt säkra”. Samma sak gäller i USA genom UETA.

EG-direktivet går därför på tvärs med FN:s modell och rekommendationer. Direktivet berör t.ex. aldrig avsikterna bakom en elektronisk signatur, utan talar istället om digitala certifikat, spärrtjänst, tidsstämplingtjänst och säkra anordningar för signering. I och med EG-direktivet skrivs metoder för identifiering och signering rakt in i medlemsstaternas författningar.

EG-direktivet är tvingande för medlemsstaterna, och har därför letat sig in även i svensk författning genom ”Lag (2000:832) om kvalificerade elektroniska signaturer”. Det är med stor tacksamhet vi konstaterar att lagstiftaren valt en försiktigare väg för sverige än vad direktivet ursprungligen syftade till. Trots att det uttryckligen står i direktivet att medlemstaterna inte får diskriminera en kvalificerad elektronisk signatur endast på grundval av att den är elektronisk, har man i svensk lagstiftning tvärt emot sagt att en elektronisk signatur aldrig är giltig, om den inte uttryckligen i formkraven i den relevanta lagen tillåts.

Därmed kan man i sverige inte bli av med hus och hem eller bli arvslös genom att man luras skriva under ett stycke binärt data man aldrig ens haft möjlighet läsa.

Lagstiftaren har också helt valt bort hänvisa till kvalificerade elektroniska signaturer. I formkraven nämns endast avancerade elektroniska signaturer, en enklare form som inte är lika hårt reglerad och medger kompromisser på en del punkter. Det är dessa kompromisser som möjliggjort att utfärda de e-legitimationer som faktiskt existerar inom myndighetssfären. Det gör att det heller inte finns någon efterfrågan på kvalificerade certifikat.

Själva lagstiftningen visade sig i sammanhanget vara den enkla biten av införandet. Att ge ut och använda e-legitimationerma var betydligt svårare. Vad som ofta förbisetts är att det verkliga behovet av elektroniska signaturer är ytterst begränsat. Det som verkligen räknas är att kunna identifiera individer på ett säkert sätt. På en säker identifiering kan man basera alla andra säkerhetsfunktioner, inklusive att godkänna och underteckna juridiskt bindande avtal. Vid den händelse att vi skall skriva vårt testamente eller sälja en fastighet kan vi fortfarande använda den gammalmodiga metoden med bevittnade och handskriva underskrifter.

Genom en grundläggande riskanalys blir det uppenbart att kraven för identifiering till vardags skiljer sig drastiskt från de som krävs för handskrivna signaturer. Olyckligtvis har ansträngningarna hittills inriktas enbart på att uppfylla denna högsta nivå av teknisk säkerhet – de verkliga behoven och kraven på användbarhet har förbisetts. Problemet vi ursprungligen försökte lösa blev marginaliserat till förmån för något vi egentligen inte behöver.

Syftet med direktivet var förstås hedervärt; att med en gemensam ram för elektroniska signaturer samordna juridiska och tekniska strategier i syfte att undanröja hinder i den inre marknaden för elektronisk handel. Det har dock visat sig att lagstiftningen snarast motverkat sitt syfte genom att indirekt blockera utveckligen på området.

Sammantaget kan man ifrågasätta om lagstiftningen alls är relevant på området.

Tekniska standarder

De grundläggande ideerna bakom X.509 PKI:n är att ha kryptografiskt starka metoder för säkerhetsfunktionerna identifiering, oavvislighet och insynsskydd. Varje identitet i PKI:n har sitt eget nyckelpar (offentlig-privat), ofta flera olika nyckelpar för respektive funktion. För att skydda det privata nyckelmaterialet krävs ”säkra anordningar för signaturframställning”. Med detta avses aktiva kort och godkända kortläsare. Dessa metoder är de man skulle använda inom organisationer med mycket stor riskexponering som t.ex. finansiella institutioner, försvarsmakt, eller särskilda delar av privata företag – där kontroll kan utövas över den hela tekniska miljön, ordentlig utbildning av berörd personal och långtgående användarstöd.

Metoderna fungerar emellertid inte i den öppna Internetvärlden, där säkerheten börjar och slutar med användaren, dvs. medborgaren och dennes PC. Komplexiteten resulterar i att de tjänster tekniken var tänkt att underlätta i själva verket gör dem krångligare att använda än traditionell postgång, penna och papper.

Utvecklingen i Sverige

Resultatet av lagstiftningen på området har i själva verkat förhindrat etableringen av säkra metoder för identifiering. Misslyckandet blir uppenbart när man ser på vad som åstadkommits hittils. Trots att 100-tals miljoner av skattebetalarnas pengar spenderats har vi fortfarande ingen användbar infrastruktur som medger säker identifiering av medborgare. En annan del av misslyckandet är NIDEL-kortet, som trots att det utformats för att kunna bära en e-legitimation levereras utan denna funktionen. I det avseendet är kortet en isskrapa. Vi är väsentligen på exakt samma fläck i utvecklingen som för 10 år sedan. För utomstående är det uppenbart att något är fundamentalt fel.

I slutändan är det alltid en fråga om resurser. Vad som ytterst förhindrar en nationell e-legitimation i dagsläget är de orimligt stora kostnaderna per transaktion i relation till nyttan. De höga kostnaderna kan härledas till:

• den höga tekniska komplexiteten kräver omfattande utbildning av användarna och utrullning av specialanpassad utrustning och mjukvara
• höga kostnader för användarstöd (help desk)
• en skräddarsydd lösning som bara kan användas för kommunikation mellan medborgare och myndigheter; relativt få operationer kommer någonsin utföra per e-legitimation
• premie för utfärdarens höga skadeståndsansvar kommer läggas ovanpå  kostnaderna
• höga integrationskostnader för förlitande part
• undermålig användarupplevelse kommer leda till säkerhetsbrott som måste  hanteras genom ersättning till drabbade, inte minst för att upprätthålla  tillit till systemet

En tillhandahållare av elektroniska identiteter måste överföra alla dessa kostnader, via de förlitande parterna till slutanvändarna. Detta fungerar bara om kostnaderna är tillräckligt abstraherade från användarna, t.ex. genom skattsedeln. En marknadslösning är därför inte möjlig förrän metoderna för identifiering förenklats till en användbar nivå som ger en acceptabel avvägning mellan kostnader, säkerhet och nytta.

Skydd av den personliga integriteten

Teknisk komplexitet är inte den enda bristen i en nationell X.509-PKI. Även om varje enskild medborgare hade sin egen certifikatbaserade svenska e-legitimation, sin ”säkra anordning för signaturframställning” och utbildningen att hantera den skulle den ändå vara oacceptabel i alla andra sammanhang än med kommunikation med myndigheter. Detta eftersom exponeringen av personuppgifter vid varje användande gör det omöjligt att skydda innehavarens personliga integritet.

Digitala certifikat så som vi känner dem har obefintligt skydd av personuppgifter, vilket gör dem diskvalificerade i ett bredare sammanhang än myndighetskommunikation.

Det har inte ansetts finnas behov av skydd av personuppgifter om identifieringslösningens enda syfte är att hantera kommunikation med myndigheter. Man har helt enkelt inte föreställt sig att innehavare kan vilja använda sin identitet i andra sammanhang utanför statsförvaltningen. Verva har tydligt sagt att man arbetar för en lösning som skall inkludera näringslivet, men i verkligheten förefaller det ha blivit förbisett.

De offentliga X.509-certifikatet är bärare av personuppgifter associerade med innehavaren, och som kommer kopieras, lagras och korsrefereras i alla upptänkliga situationer och som kommer leda till missbruk och misstro.

Ingenjörer har försökt att kompensera för dessa brister genom komplicerade kryptografiska funktioner inbyggda i de aktiva korten. Tekniken fyller inte sitt syfte, då det aldrig blir uppenbart för innehavaren hur, när eller ens om dennes identitet skyddas. Om innehavaren inte vet hur säkerhetslösningen används på ett säkert sätt har den inget värde. Användaren själv måste ha kontroll över och kunna godkänna den information som delges den förlitande parten, och i vilket syfte. Det är grundläggande för att kunna uppfylla t.ex. personuppgiftslagen.

Vägen framåt

Grundläggande är att det finns en konstnad/nytta-analys för eID, där kostnaderna för komplexiteten ställs mot riskerna vi försöker hantera, dvs. nyttan av säkerhetsfunktionen. I vissa sammanhang är aktiva kort, lagstiftning och kryptografiska signaturer framställda med ”säkra anordningar för signaturframställning” motiverade, och där trögheten och stabiliteten i en strikt kontrollerad miljö är en tillgång snarare än en belastning, t.ex. i finanssektorn.

I nästan alla andra sammanhang är det emellertid helt omotiverat och rättfärdigar inte kostnaderna för t.ex. kvalificerade certifikat. Givet detta vore det pragmatiska tillvägagångssättet att lägga grunderna för en lösning som medger flera s.k. assuransnivåer och som ger möjlighet att använda användarvänlig teknik som är

• mer kostnadseffektiv och därmed lämpad för ett bredare användningsområde än endast stadsförvaltning,
• enklare att införa och använda,
• och som medger skydd av personuppgifter

En bra lösning är att bygga på konceptet för identitetsleverantörer – en mäklartjänst av identifieringsinformation och som via tidsbegränsade elektroniska intyg förmedlar relevant information om innehavaren till de förlitande parterna samtidigt som denne intygar innehavarens identitet. Denna information baseras på en unik identifierare, unik för varje relation och som inte kan korsrefereras mellan andra relationer.

Identitetsleverantören kan också sammanställa attribut knutna till innehavaren, som t.ex. om innehavaren är behörig företrädare för en organisation, om denne innehar läkarlegitimation, är polis eller kanske student. Detta system skulle medge en betydligt högre flexibilitet än att ge ut en särskild identitet för varje relation, som föreslagits genom den s.k. tjänstelegitimationen.

Flera oberoende identitetsleverantörer kan också på ett enkelt sätt samverka inom en federation. Federationsoperatören etablerar policy, ramverk, ackrediteringsprocess och metod för informationsutbyte för identitetsleverantörerna. Alla identiteter inom federationen blir gångbara utan kostsamma integrationsarbeten för de förlitande parterna. Det finns öppna etablerade standarder för informationutbyte för att möjliggöra detta, som t.ex. SAML2 (Security Assertion Markup Language), framtaget av OASIS (Organisation for the Advancement of Structured Information Standards). På så sätt behöver man aldrig standardiera på en teknisk plattform och staten behöver inte driva kritisk IT-infrastruktur. Det resulterar i en framtidssäker, distribuerad, skalbar och robust lösning.

De tekniska metoderna för identifiering kan variera eftersom de är abstraherade från de förlitande parterna. Nya innovativa tekniska metoder för identifiering kan tas i bruk och gamla kan avvecklas. Olika situationer kräver olika lösningar, och användare tillåts använda den lösning som bäst passar dennes behov. Kvalifierade certifikat kan användas i de sällsynta fall de faktiskt existerar.

Detta skulle göra att alla nu kända och framtida metoder för identifiering kan användas så länge säkerhetskraven för respektive assuransnivå uppfylls. Det skulle också möjliggöra skydd av personuppgifter och s.k. pseudonymitet där innehavaren tillåts vara anonym men ändå kan utkrävas ansvar för de handlingar denne utför.

Börja enklare

Vi bör tillgodose de akuta behoven först. Lösningar måste byggas baserat på efterfrågan och möta kraven på skalbarhet, användbarhet, säkerhet och skydd av personuppgifter. Grundläggande kostnad/nytta-analys kan identifiera de tekniska metoder som står till buds och som är lämpliga. Det är också viktigt att förstå att konceptet med identitetsleverantörer inte utesluter användandet av kvalificerade certifikat på aktiva kort. Men att välja en lösning baserad på identitetsleverantörer och federationsteknik möjliggör att vi kan börja enklare med en rationell identifieringslösning. Då innehavarens metod för identifiering blir fullständigt transparent för förlitande part kan andra metoder, som t.ex. kvalificerade certifikat, införas när/om behovet finns.