Debatt: Robust e-legitimation är faktiskt inte svårt

Behovet av en central server som måste vara nåbar är djupt rotat i tankesättet hos många beslutsfattare, vilket framgår av Finansinspektionens förslag om ”Uppgiftsskyldighet för vissa e-legitimationsföretag”, där myndigheten tar för givet att alla elektroniska legitimeringar samlas in av utgivaren.

Digg (Myndigheten för digital förvaltning) skriver om ersättning till e-leg-företag i MDFFS 2025:2 där ersättningen baseras på antalet identifieringar. Återigen är synsättet att varje identifiering måste involvera bokföring hos en central part.

Andreas Bergqvist på BankID säger till SVT att ”oavsett vem som driver en tjänst så kommer alla ha samma utmaning som vi när det gäller cyberangrepp”. Denna föreställning, om en ständigt nåbar aktör, behöver förändras!

Grundtekniken för betrodda webbplatser kräver inte att en central tjänst är igång. På samma sätt som att ID-kort i plast inte försvinner bara för att någon blockerar ingången till polisstationen, kan företag och myndigheter ge ut elektroniska ID-handlingar som går att verifiera utan att fråga utgivaren varje gång.

Inget i grundtekniken kräver att utgivaren är aktiv aktör i inloggningarna som är fallet med BankID och Freja.

ID-handlingen innehåller certifikat, som fått en digital signatur av en betrodd instans, till exempel Polismyndigheten. För spärr av ID-handlingar publicerar utgivaren en lista med serienummer på spärrade handlingar. Denna lista innehåller ingen personlig information, utan används lokalt vid en identifiering.

Inget i grundtekniken kräver att utgivaren är aktiv aktör i inloggningarna som är fallet med BankID och Freja.

När du loggar in hos din hyresvärd för att boka tvättid visas certifikatet för hyresvärden, som utan internetuppkoppling verifierar att certifikatet är utfärdat av någon som den litar på, och du kan boka.

Byggs samhällskritiska system upp på detta robusta sätt utan central punkt, fungerar de även under krig eller cyberangrepp av främmande makter.

Decentraliserade lösningar är dessutom att föredra utifrån ett demokratiperspektiv: ett starkt samhälle bygger på att det finns starka, fria individer, som inte ständigt står under statens kontroll.

Den centralisering som auktoritära stater strävar efter kan förstås verka bra för en diktator som vill behålla makt och kontroll, men centraliseringen gör samhället sårbart.

Föreningen för Digitala fri- och rättigheter (DFRI) har ett projekt om fri och öppen e-legitimation, där vi ger exempel på hur en lösning skulle kunna skapas på fri programvara, öppen specifikation, tillgänglighet och decentralisering. Vi ser ett behov av samhällsförändring i riktning mot mer frihet och mindre central kontroll, både för demokratins skull och för att göra samhället mindre sårbart.

Nästa gång du blir tvingad till ett inloggningssystem som kräver att du låser dig till ett visst bolags app, fråga vad för protokoll de använder, om det är decentraliserat, och om du själv eller tillsammans med den eller de du väljer är fri att skriva en egen implementation på öppna standarder.

Alla förtjänar att känna trygghet i att e-id-systemet fungerar även under kris och krig!

Föreningen för Digitala fri- och rättigheter (DFRI)

Christian Häggström

Elias Rudberg

Leif-Jöran Olsson

Linn Dahlgren

Marcus Pedersén

Mikael Odhage