Bankerna nu försiktigt positiva till Svensk e-legitimation

I går morse stod så till slut Finansiell ID-Tekniks ordförande på scenen på E-legitimationsdagen och förklarade sig positiv till en anslutning av BankID till Svensk e-legitimation – givet ett antal förbehåll relaterade till säkerhet, användarvänlighet och flexibilitet. Det mål som uttalades var att försöka få till stånd en anslutning under 2015. Kanske inte en avsiktsförklaring fullt ut, men ändå ett offentligt tinande av relationerna parterna sinsemellan och ett viktigt steg framåt för Svensk e-legitimation.

NB: Den som följde händelserna via Twitter i går, eller för all del IDG:s artikel från i morse, kunde nog lätt få uppfattningen att det var så att BankID ”gått med” i Svensk e-legitimation, eller ens meddelat att de tänker gå med, men så är alltså inte fallet. Man har nu bara gått ut offentligt med att man över huvud taget förhandlar med nämnden. Parterna står fortfarande en bra bit ifrån varandra.

Ett förbehåll som inte nämndes, men som blev tydligt tämligen omgående var att BankID (jag kommer att slarva med begreppen här och kalla alla parterna på den sidan förhandlingsbordet för BankID, i och med att jag ändå inte vid varje givet tillfälle vet precis vilken part det faktiskt rör sig om) inte kommer att ansluta sig rent tekniskt till infrastrukturen, utan det blir E-legitimationsnämnden själva som får lösa den tekniska integrationen. Detta genom att sätta upp och förvalta en egen IdP, som agerar ”proxy” mellan BankID:s befintliga tekniska lösning och infrastrukturen genom att ge ut identitetsintyg i BankIDs namn. Elaka tungor skulle säkert vilja kalla det här för en prestigeförlust, men personligen tycker jag att det verkar vara en rimlig kompromiss. Om berget inte kan (eller vill) komma till Muhammed, får Muhammed helt enkelt komma till berget.

BankID går alltså in som en ny sorts spelare i regelverket – en ”leverantör av verifierad identitet”, som förmodligen får samma uppsättning rättigheter och skyldigheter som en ”vanlig” leverantör av eID-tjänst. Man öppnar från nämndens sida även för andra att ansluta sig på detta sätt, vilket sannolikt underlättar för resten av vår ”legacy” – i praktiken Telia, att ansluta sig. Exakt hur detta skall gå till blir förhoppningsvis klarare i takt med att förhandlingarna fortgår. Exempelvis ska det bli intressant att se på vilket sätt BankIDs medlemsbanker kan tänkas anslutas. Blir det som ”vanliga” utfärdare av Svensk e-legitimation eller får även de någon slags särställning. Det är många olika viljor där.

Men signaturerna då?

Under presentationen talades det bara just om identifiering och IdP:er, men man vågar väl ändå utgå ifrån att nämnden även ämnar sätta upp en egen signeringstjänst som agerar ”proxy” på samma sätt som för identitetsintygen? Både BankID och Telia har ju heltäckande stöd för oavvislighet i sina lösningar, ända ner i slutanvändarnas kryptonycklar, så det skulle kännas oerhört olyckligt om vi skulle förlora de egenskaperna i och med övergången till Svensk e-legitimation. Utan en sådan tjänst skulle ju varje e-tjänsteleverantör för sig dessutom behöva upphandla signeringsfunktionaliteten separat, och i så fall kan man väl i ärlighetens namn inte sägas ha nått riktigt ända fram med införlivningen av BankID?

Dessutom har jag svårt att tänka mig att BankID skulle tillåta att deras identifieringar används för att skapa ”signaturer” hos tredje parters signeringstjänster med dubbla inloggningar eller dylikt, utan det här är nog något vi helt enkelt måste lösa här och nu. Man kan ju välja att se det som en möjlighet att säkerställa att den infrastruktur vi nu skapar varken tappar i funktionalitet eller säkerhet jämfört med vad vi redan har på plats idag.

En sådan “proxy” för BankIDs (och Telias) befintliga signeringstjänster hindrar ju i sig inte att andra signeringstjänster etableras, lika lite som “proxyn” för BankIDs befintliga identifieringstjänst hindrar etableringen av andra eID-tjänster. Den tvingar heller inte eventuella andra tillkommande leverantörer att tillhandahålla samma sorts kryptografisk oavvislighet, utan de är fria att lösa signeringsfrågan efter eget tycke. Jag kan med andra ord inte se något som hindrar att man faktiskt tar och löser signeringsfrågan samtidigt som identifieringsfrågan. Annars blir det bokstavligt talat bara en halvmesyr.

Och vad innebär det här för Mobilt BankID?

Avslutningsvis talade både Finansiell ID-Tekniks och E-legitimationsnämndens respektive ordföranden om vikten av fungerande mobila lösningar. Exakt vad det kommer att innebära i praktiken återstår väl att se, men vore jag e-tjänsteleverantör skulle jag onekligen vara intresserad av att veta exakt hur jag ska gå framåt med mobila e-tjänster. Kommer de investeringar jag gör, eller rent av redan har gjort, i integration med Mobilt BankID fortfarande att vara användbara framöver, eller kommer jag att behöva anpassa mig mot någon slags federation även för mina mobila e-tjänster?

Tittar vi på diagrammet nedan (tagen från BankIDs officiella statistik för december månad) över hur BankIDs transaktionsvolym utvecklats över tiden ser vi med all önskvärd tydlighet att det är de mobila transaktionerna som är i särklass flest till antalet, och att vi nog bara precis sett början på den utvecklingen. Av detta kan vi egentligen inte dra någon annan slutsats än att den mobila lösningen är den centrala faktorn, den springande punkten.

BankID transaktioner december 2014

Det är naturligtvis viktigt att Svensk e-legitimation även fungerar med dator och webbläsare, men det är faktiskt i dagsläget den mobila lösningen som är kritisk, och det borde verkligen i rimlighetens namn vara den som står i fokus. Det är ju faktiskt heller ingen allt-eller-inget fråga utan man kan slå två flugor i en smäll. Mobilt BankID går ju alldeles utmärkt att använda som identifieringstjänst även i traditionella e-tjänster som konsumeras via dator och webbläsare, och varför skulle vi vilja ge upp den möjligheten?


Nästa inlägg ("Jekyll men ingen mister Hyde") >>
<< Tidigare inlägg ("Sverige vill tillåta piratkopiering")
Dela på:    
Oscar Jacobsson

Oscar har arbetat med elektronisk identifiering sedan 1995, och med e-legitimationer sedan 2002. 2010 grundade han Ayoy tillsammans med John Allberg.