About this blog…

I am employed by Netnod as head of engineering, research and development and am among other things chair of the Security and Stability Advisory Committee at ICANN. You can find CV and photos of me at this page.

As I wear so many hats, I find it being necessary to somewhere express my personal view on things. This is the location where that happens. Postings on this blog, or at Facebook, Twitter etc, falls under this policy.

The views expressed on this post are mine and do not necessarily reflect the views of Netnod or any other of the organisations I have connections to.

Mina Meddelanden

Det är ett ökat antal system som just nu byggs som centrala monoliter, istället för att öppna standarder används. Sådana som är en nödvändighet för innovation både vad gäller tjänster och affärsmodeller. Tyvärr för att alltför många idag argumenterar för s.k. API:er vilka dock för att finnas kräver att det finns ett centralt system till att börja med. API:er kan vara en lösning till existerande centrala system, men inget annat. Och enbart som något som används pga avsaknad av standarder.

Mina Meddelanden har som mål att alla som berörs av kommunikation med myndigheter skall kunna göra det elektroniskt.

När man ska ha ett meddelande överfört digitalt från tex dig till mig på ett säkert sätt, utan att någon annan ska kunna ta del av det, ska det dels signeras av dig, dels krypteras så att enbart jag kan ta del av det.

Detta gör man därför enklast med assymetrisk nyckelhantering där du använder din privata nyckelhalva för att signera meddelandet och du använder min publika nyckelhalva för kryptering för att garantera att ingen annan än jag kan komma åt meddelandet.

Ska man dessutom ha ett system där flera olika parter kan vara delaktiga vad gäller tillhandahållande av tjänsten måste både du och jag oberoende av varandra kunna välja tex varifrån vi får våra nycklar (eller snarare, vi skapar helst våra nycklar själva, men vi väljer oberoende av varandra vilka som intygar att våra nycklar är just våra).

Så, över till Mina Meddelanden.

Det verkar bestå av ett par olika komponenter:

  • Ett centralt register som håller reda på vem som är min meddelandehanterare
  • Ett centralt register över alla som är möjliga, godkända, meddelandehanterare
  • Ett centralt register över alla som är godkända att skicka meddelanden i detta system
  • XML-formatterade meddelanden som skickas med hjälp av API:er (dvs inga protokoll utvecklade)
  • Signering av meddelanden med XMLdigsig, men okänt var validering av signaturer görs
  • Okänt hur textskydd, dvs kryptering, av meddelanden går till
  • Okänt hur logg av vilka som kommer åt meddelanden hanteras

Problemen jag har är:

  • Att det är ett centralt register som håller reda på vart jag vill ha mina meddelanden
  • Att det är okänt vilka krav som ställs på en meddelandehanterare
  • Att det inte framgår hur signaturen på de olika meddelandena valideras
  • Att det inte framgår hur meddelanden är krypterade
  • Att man förkastar email som bärare utan argumentation

Noteras bör att valresultaten som skickades på valnatten mellan 1994 och 2000 skickades med email av Skatteverket. Så då fungerade det tydligen utan några som helst problem. Med elektroniska signaturer. Dessa behövde inte vara krypterade dock.

Och, målet med detta är naturligtvis att belysa problemet med avsaknad av publik information som är enkel att hitta.

Så jag ser fram emot kommentarer av formen jo, det finns visst det, på denna URL.

2 comments to Mina Meddelanden

  • Jan Garefelt

    Staten bör välja på något av följande alternativ:
    – att använda en befintlig standard
    – att etablera en ny standard
    – …eller att erbjuda medborgarna en färdig applikation att logga in i

    Jag tror att det är det du säger, och jag kan i så fall bara hålla med.

    Överväger staten verkligen att skicka myndighetsinformation i ett system som saknar robust nyckelhantering? Hoppas verkligen inte…

  • Hej Patrik,
    Roligt att du tagit dig tid att studera och fundera på den förvaltnings-gemensamma tjänsten Mina meddelanden som regeringen genom förordning ålägger Skatteverket att etablera nu, från den 1 september.

    Du skriver om flera viktiga tekniska detaljer runt säkerhets-lösningen för tjänsten och vi hälsar dig gärna välkommen att delta i möten under hösten där vi presenterar och diskuterar förutsättningarna för den här nya tjänsten idag och i framtiden. Bland annat träffar vi olika IT-leverantörer från postala branschen, e-tjänsteleverantörer och andra partners till offentliga aktörer i Sverige.

    FÖRTYDLIGANDEN
    Först ett par korta förtydliganden angående det du skriver.
    Du skriver att vi använder API:er, att inga protokoll är utvecklade. Möjligen ett enkelt missförstånd?
    Ett API (application programming interface) är ju faktiskt just ett protokoll och vi använder oss av både ett fastställt och versionshanterat “API” och en rad standardiserade protokoll för att få lösningen att fungera effektivt mellan många samverkande parter. Mina meddelanden är alltså byggt som ett “ekosystem” – ett system av samverkande system, med andra ord en “SOA”-arkitektur.

    Du skriver “Central monolit “ och tar sedan upp Mina meddelanden som exempel. Begreppet kan användas på många olika sätt, det är lätt att missförstå. Kanske misstolkar vi dig.
    Mina meddelanden byggs inte som en central lösning och monolit utan som en öppen, federativ modell där adresserings-delen är central. Det finns ett adressregister för stat, kommun och landsting där du som privatperson och företag anger vart vi ska skicka din post. Det är allt. Resten sköts av ett antal fristående och jämställda parter i ‘ekosystemet’.
    Adressregister kan förses med redundans av olika slag för att ge hög tillgänglighet och stabilitet.

    EN PARALLELL TILL IP-ADRESSERING
    Egentligen tycker jag inte att vårt adressregister rent principiellt skiljer sig särskilt mycket från den dig mer närstående IP-adresseringen. Varje ansluten teknisk manick på internet behöver ha en unik adress för att kunna “leka-internet-leken”. På samma vis behöver varje ansluten privatperson eller företag ange en unik adress för att kunna “leka-mina-meddelanden-leken”.

    ERBJUDANDET TILL DEN ENSKILDE
    Så långt våra förtydliganden. Men egentligen är frågan mycket större än dessa detaljer. Du missar i ditt inlägg själva huvudpoängen i regeringens erbjudande.

    Regeringen vill förenkla för den enskilde. Varje privatperson och företag ska kunna skaffa EN brevlåda där posten från det offentliga Sverige kan läsas. Vi menar att det är ett sätt att förenkla för den enskilde. Att vi inte kan använda “vanlig” e-post beror på rättsliga krav om personintegritet.

    Samtidigt effektiviserar det offentliga Sverige eftersom vi då inte längre behöver ha 700 statliga, kommunala och landstingsägda register eller ännu fler över den enskildes kontaktuppgifter. Det handlar totalt om miljardbelopp i besparing i distributions- och registerkostnader.

    Om vi inte gör det här så kommer du som privatperson eller företag att allteftersom tiden går behöva skaffa dig fler och fler elektroniska kontaktuppgifter och/eller brevlådor att underhålla i din kontakt med det offentliga Sverige.

    Samtidigt öppnar vi för att du som enskild, om du så vill, ska kunna knyta din offentliga post till privata alternativ. Vi bjuder in marknaden att delta och innovera inom det postala området. Men vi är inte beredda att sitta stilla på läktaren och bara hoppas och hålla tummarna för att allt ska gå vår och samhällets väg. Vi väljer att aktivt styra genom att samordna oss inom offentlig sektor och beskriva våra behov gemensamt.

    Enkelt uttryckt skapar vi nu ett frivilligt elektroniskt brevlåderegister och erbjuder en enkel statlig brevlåda till dem som inte vill eller kan välja en annan brevlådeoperatör. Du, som enskild privatperson eller företagare, väljer vilken brevlåda du vill använda. Och stat, kommun och landsting väljer hur de effektivast får sin elektroniska post förmedlad till dig och övriga.

    UTVECKLA TJÄNSTEN TILLSAMMANS
    I en internationell jämförelse har vi hittills lyckats väl med vår folkbokföringen. Vi tror att det här är ett bra och enkelt komplement och nästa steg in i framtiden. Allteftersom kommer vi att kunna förbättra tjänsten och nyttan med den.

    Du och andra kunniga personer och företag är välkomna att bidra i det här arbetet. Det finns ingen slutgiltlig lösning för samhällets kommunikationsbehov, förändringsbehoven kommer i intervall och just händer det mycket en tid framöver. Vi ser framför oss en intressant period av marknadsförändring och serviceförbättring. Småningom kommer en period då området stabiliseras och standardiseras mer både nationellt och internationellt. Det ser vi fram emot men till dess har vi en hel del pyssel att ordna. Välkommen att bidra!

    Rutger Langland, utredningsledare Mina meddelanden
    rutger.langland@skatteverket.se