Hur använda BankID med Linux 64 bitar?

Kan man verkligen använda mobilt bankid överallt där bankid efterfrågas?

Verkar så, numera.

En snabb koll där jag brukar vara inne så stämmer det iaf
CSN, Försäkringskassan, Folksam, 1177 Vårdguiden, Skatteverket.

Åtminstone några av dom krävde BankID på fil förut, men inte längre.

Säkerheten ligger inte i appen, utan i protokollen. Förutom, förstås, om koden är stängd. Då kan man nästan misstänka att någon hemlighet ligger i själva koden, vilket är aja baja ur säkerhetssynpunkt.

Det finns vissa saker som helt enkelt inte "forkas" och en sak är APIer och liknande. Se den öppna standarden som några interface till säkerhetsfunktionerna i operativet eller webbläsaren eller vad de nu kan vara. Det spelar ingen roll om det är jag eller du som kallar funktioner för AES, RSA eller något annat, poängen är att samma funktioner kallas.

Vad hindrar, förutom juridiska skäl, att vem som helst släpper en egen bankid-app idag? Ingenting rent praktiskt. Däremot, om man förstår vad mjukvarucertifikat är så förstår man också varför problemet du beskriver helt enkelt inte existerar.

Och en sak till. Säkerhetsmjukvara bör inte "uppdateras" och inga nya "funktioner" bör/får tillkomma. Det enda som kan komma på tal är att patcha rena buggar. En mjukvara blir mer betrodd ju äldre den är, precis som ett matematiskt bevis. Det ligger närmare till hands att lita till en kodsnutt som sett lika dan ut i 30 år och fungerat klanderfritt än en kodsnutt som släpptes igår.

Det enda sättet "som går" att lita på, är betroddhet och öppen källkod är en pusselbit i detta. BankID är en slags "commodity" och poängen att "forka" är ungefär lika stor som att "forka" bashkommandon som "cp" och "mv". Förutom att det inte spelar någon roll, APIerna, TTP, CA och sådant forkas ju inte.

Rent filosofiskt så litar du redan idag på "vem som helst egna BankID-appar", eftersom det inte är samma kod som kör på din mobil som på din dator som på din andra dator. Applikationerna är kompilerade för olika plattformar med olika eller åtminstone olika instanser och versioner av kompilatorer, med olika hårdvaruspecifika bibliotek, o.dyl. Vad får dig att lita på kompilatorn? Du vet ju inte ens vilket språk, än mindre kompilator, som olika varianter av BankID är byggda på. Det finns ingen lösning här annat än öppenhet. Öppenhet är säkerhet och "stängdhet" och hemligheter (förutom nyckeln) är på ett fundamentalt teoretiskt plan osäkert. Detta började matematiker, lingvister och låssmeder redan på 1800-talet förstå och formaliserades tidigt av informationsteorins fader Claude Shannon under 1900-talets första hälft.

Det är märkligt att inte datornördar ska förstå det idag, när det är något så fundamentalt och "datormässigt" med det hela.

Ja för det är okej att ignorera minoriteter. Helt okej.

Stör mig sjukt mycket på att det ska envisas med att användas bankid när det inte är neutralt till operativsystem.
"Den här banken ger dig bara tillbaka dina pengar om du ger Microsoft dina pengar först"

Ja, det är är det faktiskt.

Ger tillbaka dina pengar?
Finns för övrigt ingen tjänst som kräver att man använder BankID.

Jag tror det handlar om tid. Sen fungerar Mobilt BankID via android alt chrometillägg som man kan köra i linux.

Ja, så länge det inte aktivt blockeras. Implementationsmässigt är det samma sak.

Du behöver inte ge MS dina pengar. Du kan köra Mobilt BankID på android, IOS samt Windows mobiler varav android går att köra på linux https://wiki.ubuntu.com/SwedishTeam/Support/BankID_i_Linux_ge...

Jo, det är fullt möjligt. Jag refererar bara till det jag läst i tråden. Någon nämnde "FreeID" eller liknande men sa att det var nerlagt eftersom BankID inte var intresserade av att visa specifikationer, protokoll och dylikt. Dvs sådant som inte får vara hemligt för ett säkert system. Och, om BankID har någon sorts makt att neka och därmed förhindra projektet så antar jag precis som du att det antingen då handlar om resurser (tid, disassemblering, etc) eller juridiska hinder (man är rädd att man inte får eller kommer dras till civilrätt om an disassemblerar eller debuggar [(som det mer handlar om, sniffning av protokoll, något som garanterat inte är olagligt, men eventuella olagligheter kan ligga i hur man får använda sniffningen för att bygga eget]).

Jag använder själv inte BankID (jo, kanske på mobilen för swish när jag tänker efter) eftersom jag generellt undviker stängda mjukvaror när det kommer till säkerhet. Jag använder en "dosa utan sladd" för alla mina banker, garanterat plattformsoberoende.

Själv kör jag BlueStacks (Andriodemulator) i Windows med bankID som en app i BlueStacks.
Allt funkar klockrent!
BlueStacks bör kunnas köras genom Wine i Linux.

Mycket smidigare än att köra Android virtuellt!

Nej, att logga in på handelsbanken med hjälp av dosa och sladd funkar inte. Där behövs BankID på datorn.
Dåligt.

Handelsbanken har väl inte ens inlogg med enbart BankID? Är ju alltså inte föremål för frågan.
Om man måste använda en dosa försvinner ju poängen med BankID.

Jo eftersom bankid används för att dosan ska fungera är det ett föremål för frågan.
Men poängen är som sagt borta.

Du har rätt i det du säger. Jag har inte påstått att öppen källkod alltid är säker eller att stängd alltid är osäker.

Men det handlar inte bara om sakens faktiska natur (själva tillståndet "denna produkt är objektivt säker") utan om förutsättningar och avgörbarhet. Stängs mjukvara ska alltid betraktas som osäker, oavsett sakens faktiskt natur, eftersom denna faktiskt natur är overifierbar. Säker kod är alltså alltid osäker "per default", dvs själva "stängdheten" introducerar en osäkerhet. Detta är alltså oavsett produkten är säker i betydelse "välkodad, avlusad och följer standarder och certifieringar" eller inte.

Ingen har påstått att öppen källkod är en garanti för en säker produkt. Däremot är öppen källkod en garant (en av dem) för att kod som sägs vara säker faktiskt är det.

Jag förstår inte vad du menar med uppdateringar? Standarder byts och uppgraderas. Det har ingenting med säkerhetstänket kring säker kod att göra. Säker kod blir säkrare med tiden och ny kod är osäkrare än gammal. Självklart behöver produkten som sådan uppgraderas då och då, men detta ska bara vara rena patchningar (dvs koden var osäker innan) och eventuella byten av standarder. Är koden fri från osäkerheter, ska den inte bytas. APIer kan bytas. Inte samma sak.

Du har rätt i att "enkelhet" kan vara anledningen till varför man inte öppnar BankID. Det och slentrianmässig proprietär affärsmodell. Detta har emellertid inte med säkerhet att göra och det har inte med kundanpassning att göra. Säkerheten är helt incitamentdriven.

@superapan:

Tja, ja, har testat och fungerar att starta BankID. Dock har jag ej testat interaktionen mellan BankID och exempelvis Swedbank. Återkommer med resultat.

Vilken bank kräver bankid för att du ska komma åt dina pengar?
och vilken icke-banktjänst kräver bankid?

Skickades från m.sweclockers.com

Varken CSN eller Fkassan kräver bankid, båda har alternativ.
Apoteket.se har konkurrenter som har alternativ.

Men det var bra att du hittade nån i alla fall.

Skickades från m.sweclockers.com

@SWIN:

Ja, BankID behöver startas manuellt. Jag har lagt in BankID i min bookmarks iaf för lättare åtkomst.