Tag Archives: BankID

Utveckling inom BankID’s marknadsställning och samarbete med Google

På GNU social så nämnde @pettter att det numera finns ett krav på Google Play Services för att använda Mobilt BankID.

Detta fick mig att tänka på ett ärende hos Konkurrensverket härom året där de beslutade att inte gå vidare (Konkurrensverkets diarienummer 350/2014) med att utreda ifall BankID utnyttjar sin dominans på marknaden (de är den enda generella lösningen för e-legitimation som används av Sveriges myndigheter).

Eftersom denna utveckling med inlåsning till Google och att man måste bli kund där påverkar flera aktörer på marknaden negativt eftersom samarbete med Google är långt ifrån lätt och inte minst saknar man förhandlingsutrymme mot en sådan jätte. Så jag mailade iväg detta till Konkurrensverket:

Hej,

den 26 maj 2014 beslutade ni (Dnr 350/2014) att inte vidare utreda eventuella konkurrens-/monopolöverträdelser utifrån BankID’s ovilja – trots sin marknadsdominans – att leverera mjukvara för GNU/Linux-operativsystem eller andra fria operativsystem (mjukvaran finns endast till kommersiella aktörer Apple, Microsoft, Google och inte tillgängligt ex. som källkod vilket skulle kunna möjliggöra tredjepart att utveckla stöd).

En viss utveckling i BankIDs fall har skett på sistone som dock kan intressera Konkurrensverket. Deras mobilmjukvara för Android-plattformen har tidigare gått att använda även i fria Android-alternativ (CyanogenMod, Replicant m.m.). Detta har dock ändrats och ett krav på “Google Play Services” har dykt upp för att använda “Mobilt BankID”-applikationen.

Detta innebär att användaren _även_ måste bli kund hos det annars helt orelaterade företaget Google, vilket har en direkt påverkan på konsumenters produktval och konkurrensmöjlighet på marknaden.

Telefontillverkare och operativsystemsutvecklare (såsom Jolla, Fairphone m.fl.) drabbas direkt negativt av detta eftersom de inte kan konkurrera på marknaden lika väl eftersom de inte har rätt att återdistribuera “Google Play Services”. Vill man ha fungerande Mobilt BankID, vilket är ett krav för alltfler myndigheters onlinetjänster, kan man inte längre göra detta utan att ingå i oansenliga avtal med någon IT-jätte.

Så som lekman tycker jag detta låter precis som något Konkurrensverket borde undersöka närmare.

(pettter nämner i en uppföljande notis att den bara säger att det in funkar, klickar man bort meddelandet funkar det än så länge… men poängen om missbruk av sin dominanta position på “marknaden” kvarstår då de _uppmanar_ till att bli kund hos Google för att kunna använda något som man i praktiken behöver för majoriteten myndigheters e-tjänster)

Att FriBID inte fungerar längre för BankID-ärenden

Mailade nyss detta till Konkurrensverket. Jag har tidigare skrivit om FriBID och varför det är överlägset BankID ur mångfalds- och säkerhetssynpunkt.

Hej,

Finansiell ID-teknik är de som utfärdar “BankID” och “Mobilt BankID”, två säkerhetsverktyg som används i e-legitimation på såväl privata som offentliga internettjänster. Allt från banker till Skatteverket använder sig av deras teknik för att verifiera den fysiska identiteten hos en anslutande internetanvändare.

Under 2014 har de avsiktligt avvecklat stödet för GNU/Linux-plattformen, ett operativsystem med mycket utbredd användning. Tidigare har stödet varit bristfälligt men användbart – sedan ett teknikskifte utesluter de dock användare som inte är kunder till Microsoft (Windows) alternativt Apple (Mac OS X).

De skriver på sin egen sida:

Linux Ubuntu 32-bit 10.04 och senare
Stödet för Linux upphör att fungera succesivt under 2014.

http://support.bankid.com/sv/supportbankidcom/Mitt-BankID-fungerar-inte/Systemkrav/

“BankID” är dessutom proprietär teknik och på grund av detta finns inte möjligheten att ersätta deras mjukvara med alternativa klienter, såsom den kompatibla klient jag använde tidigare, FriBID (innan “teknikskiftet”). FriBID utvecklades primärt av en enskild företagare som även släppte källkoden fritt licensierad för andra att vidareutveckla, se https://fribid.se/

En jämförelse skulle vara att t.ex. ett enskilt företag är leverantör av däck till bilar och för att köpa däck måste man inneha en bil måste av ett fabrikat som däckproducenten godkänner. T.ex. skulle man bara kunna köra bil i Sverige med Volvo och Toyota, men inte SAAB, eftersom de sistnämnda kan vägras användning av de enda tillåtna bildäcken.

Min uppfattning är att Finansiell ID-teknik antingen bör:
1. Tillhandahålla mjukvaran BankID till den stora mängden GNU/Linux-användare där ute.
2. Alternativt tillhandahålla öppna specifikationer så att tredjepartsutvecklare kan utveckla stöd till alternativa plattformer.

Är detta en sund uppfattning och vilken eventuell hjälp kan finnas hos Konkurrensverket?


Mikael Nordfeldth
XMPP/mail: mmn@hethane.se

FriBIDs forum diskuteras detta aktivt samt finns en projektsida på wikin för “Cava”-systemet som det kallas.

Frigör din e-legitimation med FriBID

Häromdagen blev jag tipsad om en mjukvara som jag av någon anledning glömt bort existerade. Därför upplyser jag med glädje alla frustrerade internetianer med fria operativsystem att FriBID-projektet lever och fungerar.

BankID är en styggelse som bygger på fri och öppen standard-kryptering, PKCS och hela kitet, men obfuscerat och trasigt för gemene man att använda. Det är proprietär mjukvara med dold källkod, mycket slarvigt ihopslängt, ostrukturerat och inte minst sagt en osäker lösning som företaget bakom – Finansiell ID-Teknik BID AB – levererar. En lösning datoranvändare ska lita på utan att någon vanlig dödlig får granska dess funktion och eventuella säkerhetshål.

Dessutom fungerar inte den officiella BankID-applikationen med t.ex. operativsystemet FreeBSD – och inte ens med det välkända Ubuntu GNU/Linux ifall man använder en 64bit-plattform. Allt på grund av den slutna källkoden. Så frustrationen för vanliga användare är givetvis enorm när företaget man förlitar sin onlineidentifiering på säger “nej du, det där stöder vi ej”. Tacka vet jag då fri mjukvaru-världen som ger svar på tal och levererar en fullt fungerande, mycket mer lättinstallerad och inte minst säkrare lösning i form av FriBID: Fri programvara för e-legitimation.

Oavsett vilken fri plattform du kör kan du använda dig av FriBID, med tryggheten i behåll. Är du osäker kan en tredjepartsanalys göras på källkoden och du bestämmer själv exakt när, var och hur programmet körs, används och sprids.

Om det inte var tydligt nog ovan så är det lättare både att installera och använda FriBID. Särskilt när det faktiskt fungerar, till skillnad från den proprietära lösningen. Tyvärr finns dock inget fritt alternativ för t.ex. Telias NetID ännu, men följande mail fick jag som svar från Telia när jag antydde att proprietär mjukvara i legitimeringsärenden är opålitlig och potentiellt osäker:

Dina synpunkter på standardisering och otryggheten med sluten källkod för den plugin vi valt att använda förmedlar jag till våra tekniker.

Det konstiga med både NetID och BankID är dock att din webläsare egentligen klarar av att hantera allt med kryptering och certifikat på egen hand. Jag förstår inte varför man behöver installera några extra plugins…