About this blog…

I am employed by Netnod as head of engineering, research and development and am among other things chair of the Security and Stability Advisory Committee at ICANN. You can find CV and photos of me at this page.

As I wear so many hats, I find it being necessary to somewhere express my personal view on things. This is the location where that happens. Postings on this blog, or at Facebook, Twitter etc, falls under this policy.

The views expressed on this post are mine and do not necessarily reflect the views of Netnod or any other of the organisations I have connections to.

Mina Meddelanden

Det är ett ökat antal system som just nu byggs som centrala monoliter, istället för att öppna standarder används. Sådana som är en nödvändighet för innovation både vad gäller tjänster och affärsmodeller. Tyvärr för att alltför många idag argumenterar för s.k. API:er vilka dock för att finnas kräver att det finns ett centralt system till att börja med. API:er kan vara en lösning till existerande centrala system, men inget annat. Och enbart som något som används pga avsaknad av standarder.

Mina Meddelanden har som mål att alla som berörs av kommunikation med myndigheter skall kunna göra det elektroniskt.

När man ska ha ett meddelande överfört digitalt från tex dig till mig på ett säkert sätt, utan att någon annan ska kunna ta del av det, ska det dels signeras av dig, dels krypteras så att enbart jag kan ta del av det.

Detta gör man därför enklast med assymetrisk nyckelhantering där du använder din privata nyckelhalva för att signera meddelandet och du använder min publika nyckelhalva för kryptering för att garantera att ingen annan än jag kan komma åt meddelandet.

Ska man dessutom ha ett system där flera olika parter kan vara delaktiga vad gäller tillhandahållande av tjänsten måste både du och jag oberoende av varandra kunna välja tex varifrån vi får våra nycklar (eller snarare, vi skapar helst våra nycklar själva, men vi väljer oberoende av varandra vilka som intygar att våra nycklar är just våra).

Så, över till Mina Meddelanden.

Det verkar bestå av ett par olika komponenter:

  • Ett centralt register som håller reda på vem som är min meddelandehanterare
  • Ett centralt register över alla som är möjliga, godkända, meddelandehanterare
  • Ett centralt register över alla som är godkända att skicka meddelanden i detta system
  • XML-formatterade meddelanden som skickas med hjälp av API:er (dvs inga protokoll utvecklade)
  • Signering av meddelanden med XMLdigsig, men okänt var validering av signaturer görs
  • Okänt hur textskydd, dvs kryptering, av meddelanden går till
  • Okänt hur logg av vilka som kommer åt meddelanden hanteras

Problemen jag har är:

  • Att det är ett centralt register som håller reda på vart jag vill ha mina meddelanden
  • Att det är okänt vilka krav som ställs på en meddelandehanterare
  • Att det inte framgår hur signaturen på de olika meddelandena valideras
  • Att det inte framgår hur meddelanden är krypterade
  • Att man förkastar email som bärare utan argumentation

Noteras bör att valresultaten som skickades på valnatten mellan 1994 och 2000 skickades med email av Skatteverket. Så då fungerade det tydligen utan några som helst problem. Med elektroniska signaturer. Dessa behövde inte vara krypterade dock.

Och, målet med detta är naturligtvis att belysa problemet med avsaknad av publik information som är enkel att hitta.

Så jag ser fram emot kommentarer av formen jo, det finns visst det, på denna URL.