Regeringen har
vid ett sammanträde 2022-12-22 beslutat att utreda hur staten kan
utfärda en ”e-legitimation” på högsta tillitsnivå. Arbetet ska delredovisas
2023-10-16. Som vi tidigare flera gånger påpekat är det inte en ”legitimation”
som efterfrågas utan en elektronisk identitetshandling. Vi kommer därför i det
fortsatta att kalla detta för en elektronisk identitet eller eID.
Myndigheten för
digital förvaltning (Digg) har slutredovisat under ett tidigare regeringsuppdrag (I2022/01335) hur en statlig ”e-legitimation” kan
utformas. Diggs slutsatser och ett PM från Polismyndigheten finns här.
Historiskt har
ett antal utredningar gjorts hur identitetshandlingar i Sverige ska hanteras
och utfärdas – men inga beslut har fattats av regeringen.
Vad är det vi vill ha?
Vad är det vi
vill ha inom detta område? Det är mycket enkelt:
Vi
vill ha en eID i mobilen, med vilken vi kan identifieras, både
on- och off-line
Vi
skall på ett säkert och enkelt sätt kunna använda vårt eID på Internet när det
behövs
Vi skall
kunna använda vårt eID utan tillgång till Internet och bestämma vad som visas
vid en identifiering i t.ex. en butik
Vi vill inte ha
och hantera det plastkort så som Digg föreslår.
Hur ska det fungera?
I min mobil finns
en applikation som t.ex. kan vara plånboken. Med denna mobilapplikation kan jag,
på ett sätt som mycket liknar Mobilt BankID, identifiera mej för att logga in i
en applikation med t.ex. en QR kod.
Förutom att
använda mitt eID i Sverige, vill jag även att det ska fungera utomlands på t.ex.
semestern eller vid utländska bankärenden, både on- och off-line.
Jag vill också
kunna underteckna dokument elektroniskt med mitt svenska eID, som är på den
högsta tillitsnivån, för att underteckna på den högsta underskriftsnivån som är
Kvalificerad. Att inte kunna underteckna med en Kvalificerad underskrift, när
jag har ett eID på högsta tillitsnivån, vore mycket underligt och
kontraproduktivt.
Tekniskt
Vad krävs
tekniskt för att det ska vara möjligt att använda mitt eID för identifikation,
on- eller off-line, och underteckna dokument på den högsta nivån?
För att utfärda
ett eID på högsta nivån (LoA High) måste EU förordningen eIDAS uppfyllas. Denna
innebär bl.a. att identifiering ska ske fysiskt vid utgivande av eID:t.
De eID som staten
kommer att utfärda kommer att använda en teknik som kallas PKI som också
används av t.ex. BankID och även kommer att användas i plånboken. Denna teknik
hanterar certifikat i en hierarki för att skapa säkerhet och förtroende. När
ett eID används, utförs kryptografiska operationer som utfärdaren validerar innan godkänd autentisering sker.
För att denna
lösning ska kunna användas på ett riktigt sätt i Sverige och internationellt
måste lösningen för autentisering vara godkänd av eIDAS ramverket och får då
status ”anmäld” (Notified). Detta innebär att lösningen finns tillgänglig i
eIDAS nätverket genom noder i alla medlemsstater.
För att mitt eID
ska kunna användas för underskrift på den högsta nivån behöver ett certifikat i
hierarkin finnas med på European Union Trusted Lists (EUTL). För att uppnå
detta måste den svenska utgivaren av underskriftscertifikat godkännas enligt
eIDAS förordningen. Om underskrifter ska utföras på distans måste också lösningen godkännas.
En annan teknisk
aspekt som egentligen är självklar, men kan vara värd att nämna är lagring i
mobiltelefonen. Den viktigaste delen av eID:t är den privata nyckeln som
används för att unikt identifiera en individ. Denna måste lagras säkert i
mobilen i vad som kallas ett ”Secure Element” eller ”Trusted Execution
Environment” som bara användaren har tillgång till. Var och hur lagring sker är idag inte lagreglerat men kommer med stor sannolikhet att definieras inom kort. Att detta inte anges tydligt är antagligen ett misstag av lagstiftarna.
Lite
sammanfattande punkter:
Identifiering
av den som får en statlig eID bör vara densamma som för andra
identitetshandlingar och pass, med fysisk identifiering.
De
som skall få tillgång till svenska eID bör vara personer bosatta i Sverige över
7 år. Anledningen till att vi anser att denna låga ålder är befogad är att
skolelever också behöver kunna identifiera sig och de flesta i den åldern har
mobiltelefoner och vet hur man använder dessa.
Det
bör inte ske någon avvägning mellan tillgänglighet och säkerhet då kraven måste
vara högt ställda för ett det svenska eID:t skall tillhandahålla säker
tillgänglighet.
Utformningen
av det statliga eID:t bör vara elektroniskt och för hantering i en
mobilapplikation. Ett alternativ är att det statliga eID:t hanteras genom
identitetsplånboken.
Utgivningsprocessen bör vara sådan att grundidentifiering sker på samma sätt som vid andra identitetshandlingar och därefter tillhandahålls, antagligen på plats, individens eID för installation.
Hur vi anser att den tilltänkta användningen av en statlig eID beskrivs under ”Hur ska det fungera?” ovan.
Staten bör kostnadsfritt tillhandahålla en identifieringstjänst för förlitandetjänster – Se ”Tekniskt” ovan.
Konsekvenserna av en mobillösning som beskrivs här är att Sverige ökar effektiviteten och säkerheten i samhället. En viktig faktor här är enkelhet och tillgänglighet som underlättar användningen av säker identifiering. Diggs förslag till aktivt plastkort kommer inte att uppnå detta.
Myndighet som bör utföra grundidentifiering är den som har expertis och rutiner för detta vilken vad vi förstår är Polismyndigheten (se
PM från Polismyndigheten). Denna verksamhet behöver då skalas upp vilket är mer kostnadseffektivt jämfört med att sätta upp en ny verksamhet.
Digg förslår att
det statliga eID:t utfärdas på ett kontaktlöst aktivt kort och de konstaterar
att användare kommer att efterfråga mobila lösningar på smarttelefoner. Detta
ska då vara möjligt genom id-växling genom olika privata aktörer som t.ex.
Freja eID eller andra med kommersiella intressen.
Grundtanken med
EU förordningen eIDAS är att tillhandahållandet av eID och förlitandeparts
validering av europeiska eID ska ske utan kostnad för medborgarna. Digg
föreslår avgift tas ut för ökade kostnader och ”…Digg förespråkar ändå att
en viss avgift tas ut då det leder till att kortet får ett monetärt värde för
användaren och därmed uppmuntrar till försiktighet att inte slarva bort
kortet.” För att en användare inte skulle ”slarva bort” sitt kort är nog
inte en kostnad om t.ex. 400 kronor en avgörande aspekt – utan om kortet kan
användas av en obehörig person.
Om en situation uppstår
där medborgarna i princip är tvungna att använda och ingå avtal med privata
kommersiella aktörer för att effektivt kunna använda sitt eID är detta inte bra
och hämmar användningen i samhället. Detta är inte förenligt med eIDAS eller Europas vision och plan för det europeiska eID:t.
Varför föreslår
Digg en lösning med kontaktlösa aktiva kort? Svaret är ganska enkelt –
kostnader. Diggs föreslagna lösning håller nere kostnader för utgivning och
hantering ett statligt eID. Den stora operationella kostnaden flyttas över till
kommersiella aktörer genom id-växling som sedan kommer att föra kostnaderna
vidare till medborgarna.
Alternativet är
att staten tillhandahåller en mobillösning som ökar effektiviteten och
säkerheten i samhället. Naturligtvis är kostnaderna för ett sådant alternativ
mycket högre och finansieras då genom skatter.
I båda
lösningarna kommer medborgarna att få betala för det statliga eID:t. Frågan är
vilken lösning vi vill ha?
Slutkostnaden är
densamma, för både plastkort och mobillösning, för medborgarna. Vi kan också
utgå ifrån att säkerhet och integritet kommer att vara densamma eftersom att
denna kommer att lagregleras.
Vad är då
egentligen skillnaden? Så som det uttryckts från offentligt håll behöver vi en
”statlig e-legitimation”. I rapporten anges: ”Även om det finns alternativ,
till exempel Freja eID+, så har Sverige en sårbarhet i beroendet till BankID,
vilket i sin tur leder till att sårbarheterna och riskerna med
tillhandahållandet också ökar.” Diggs förslag till aktivt kort innebär att
ett beroende byts mot ett annat.
Om vi i framtiden
har t.ex. 10 tillhandahåller av mobila lösningar som kan id-växlas till,
innebär det att medborgarna inte uppfattar en klar infrastruktur, vilket kan påverkar
både förtroende och tillit.
I sektion ”8.1
Kostnader” i Diggs slutredovisning bedöms bl.a. kostnader för utvecklings- och
uppbyggnadskostnader till cirka 80-100 miljoner kronor, samt årliga löpande
kostnader till 63-71 mnkr. Kostnader för privata aktörer som tillhandahåller
mobilapplikationer och användare som id-växling uppskattas inte.
I redovisningen
anges ”Beroende på hur detta arbete [utveckling av plånboken] fortskrider
kan det övervägas om Digg ska påbörja arbetet att ta fram en statlig mobil
e-legitimationslösning innan den digitala identitetsplånboken finns
tillgänglig.” Denna övervägning är mycket rimlig, men man bör ta med i
beräkningen att den infrastruktur som krävs är den som beskrivs här för
autentisering och underskrift. Den enda kostnaden som undviks genom att vänta och använda
plånboken när den blir tillgänglig är kostnaden för själva mobilapplikationen.
-@-