Denne våren har tre bachelorstudenter ved dataingeniørstudiet ved NTNU Gjøvik fått bryne seg på et, for de fleste, temmelig nytt og ukjent konsept.
Attesterte attributter (også kalt verifiserte data eller «verifiable credentials») – data knyttet til ID – er sentralt i den kommende EU-forordningen eIDAS 2.0 og den tilhørende EU Digital Wallet – altså en digital lommebok. Digi.no har omtalt disse konseptene i denne artikkelen.
Digi.no har intervjuet de tre studentene – Magnus Gluppe, Mikke Aas og Erlend Johan Ringen Vannebo – sammen med deres eksterne veileder, Jon Ramvi, daglig leder i Symfoni AS.
Et mer reelt case
Ramvi forteller Symfoni fikk en forespørsel fra studentenes veileder ved NTNU Gjøvik om å levere et forslag til oppgave, som de tre studentene til slutt fikk tildelt.
– De skulle sett seg inn i temaet og skrive en oppgavetekst om blant annet Self Sovereign Identity (SSI), attesterte attributter og eIDAS 2.0. På dette stadiet handlet det mest som konsept. Så snakket jeg med Nav om vi kunne lage et litt mer reelt case. Det var ikke så lett for oss fire teknologer å gjette på hva som er utfordringene. Det er Nav som vet hvor skoen trykker, innleder Ramvi.
– Vi fikk spisset det inn da vi kom i kontakt med Nav og fikk én konkret «user case» som vi kunne fokusere på, forteller Gluppe.
Verifiserbare data
Han forklarer at en del av det de skulle gjøre, var å digitalisere det man kan kalle for legitimasjonspapirer. Førerkort og pass er eksempler på dette.
– Dette skulle vi gjøre på en sikker måte, i noe som heter verifiserbare data. Disse må verifiseres på en spesiell måte, og vi måtte bruke ulike verktøy for å sikre at dataene ikke var blitt klusset med, at de hadde riktig oppsett og at de kunne sendes på en trygg måte. Det vil være veldig kjipt om du har en digital lommebok og noen utgir seg for å være deg og sender passet ditt eller andre viktig informasjon rundt omkring. Det var veldig fokus på sikkerhet, men det er også bygget inn i SSI-systemet, sier Gluppe.
SSI, som studentene har valgt å kalle for «egenkontrollert identitet» på norsk, er et konsept hvor innbyggere kan være i besittelse av sine egne identitetsdata. Blant annet kan de dele identitetsdata med bare de partene som behøver dataene, uten å være avhengig av en sentral tilbyder.
Navs dagpengeprosess
Ifølge Ramvi hadde Nav i forkant av prosjektet noe kompetanse og forståelse av EUs nye, digitale lommebok og attesterte attributter.
– Studentene hadde en prosess med å introdusere konseptene for flere i Nav, samt en dialog om hva det eventuelt kunne brukes til og om hvilke verdier det eventuelt kunne ha for Nav, forteller Ramvi.
Gluppe legger til at de fokuserte på digitalisering av offentlige tjenester, og at det var viktig å finne noe som kunne være til nytte for disse, og ikke bare kult, siden de ville innebære mye jobb for veldig mange.
– Så vi fokuserte på Navs prosess for å søke dagpenger. Der trenger du en masse beviser for å tilfredsstille kravene om å søke dagpenger. Dette passet bra for oss fordi vi så at vi kunne digitalisere alle disse kravene og forhåpentligvis automatisere hele prosessen.
Strukturerte dataene
Det endte med at studentene fokuserte på permisjoner og ansettelseskontrakter, som var et område Nav mente ville passe bra.
– Ansettelseskontraktene gjør vi om til verifiserbare data, som kommer i brukerens besittelse. Det vil si at brukerne kan benytte seg av dette når de vil, uten å måtte gå gjennom en tredjepart hver gang de skal benytte seg av legitimasjonen sin, forklarer Gluppe.
Ifølge Ramvi handler det om å flytte dataene fra papir eller PDF og over til strukturerte data som kan leses maskinelt og automatiseres.
– En fordel med strukturerte data er at du kan splitte det opp så mye du vil. Da vi satt og holdt på med våre ansettelseskontrakter, så fant vi ut at noe du ønsker å vite, er hva som var siste dagen personen var på jobb. Men det gir ikke noen mening å føre opp dette i ansettelseskontrakten. Derfor splittet vi det opp til en ansettelseskontrakt og en oppsigelseskontrakt, og så satte vi alt dette sammen til en presentasjon, forteller Gluppe.
Bevis på konseptet
Prosjektet er nå ferdig for studentenes del. Det er ikke noen ferdig løsning, men i stedet en demonstrasjon av hvordan EUs digitale lommebok kan være nyttig for blant annet Nav. Kildekoden fra arbeidet er utgitt på Github.
– Akkurat nå er det mest et bevis på konseptet. Applikasjonen vår er ikke knyttet opp mot reelle data eller sensitiv informasjon. Så akkurat nå er dette bare for å bevise at dette er et system som ville ha fungert. Det er nyttig for alle offentlige sektorer, siden bruksområdene for konseptet er så brede. Det kan brukes til all mulig form for legitimasjon, inkludert for eksempel førerkort eller pass, mener Gluppe.
– En slik legitimasjon kan også være et kursbevis eller bachelorgraden din. Det samme kan en apotekresept, legger Aas til.
– Mye av den nødvendige infrastrukturen mangler, inkludert offentlige registre for de ulike delene. Dette må lages høyere opp i systemet, det er ikke noe vi kan gjøre. Det er opp til Nav om de tar det videre, fortsetter han.
Nyttig for Nav
Digi.no har spurt Nav om nettopp dette:
– Vi har ingen konkrete planer om å ta dette i bruk per nå, men vil følge med på hva som skjer innen dette feltet. Et interessant eksempel vi følger med på er EUs initiativ knyttet til «Digital wallet», svarer Elin Vethe, produkteier i Arbeids- og velferdsdirektoratet og prosjektleder for Nav, i en e-post til Digi.no.
– Det har vært interessant for oss å være med på dette, og det har gitt gjensidig kunnskap om behov og løsning. Vi har brukt tiden til å bedre forstå muligheter og begrensninger dette kan gi.
Vethe skriver videre at det har vært lærerikt å jobbe med dette i en konkret case med flinke studenter.
– Slik bygger vi kompetanse i flere miljøer i Nav, om hva det er og hva det kan brukes til. Det er fremdeles mye igjen å lære både om teknologien, hvor den kan være nyttig, og hvordan man kan lykkes med det. Vi hadde i liten grad kompetanse på dette fra før av, og lite innsikt i hvilke caser/områder dette kan egne seg for.
Nav skal også bidra med en workshop om dette temaet under Nokios-konferansen (Norsk konferanse for IKT i offentlig sektor) til høsten.
– Her vil vi dele mer om hva vi har lært, og forhåpentlig vis lære noe fra andre workshopdeltager.
Det skal også være snakk om at de tre studentene skal holde foredrag under Nokios.
Lite dokumentert fra før
På spørsmål om hva som har vært mest vanskelig eller krevende i prosjektet, nevner studentene flere ting.
– Vi hadde for eksempel ikke klart å strukturere dataene uten samarbeidet med Nav, for vi hadde ingen peiling på hva slags data de tenker er essensielle når du søker dagpenger, sier Gluppe.
– Vi hadde et par møter med dem for å oppklare hvilke data vi skulle ha med. Det var også litt vanskelig å sette seg inn i teorien. Vi brukte også en del runder på whiteboard på skolen for å gå gjennom hvordan SSI-modellen fungerer, hvordan kryptografisk signering fungerer, samt å forstå hvordan hele opplegget henger sammen. Så vi brukte et par uker på å sette oss inn i fagstoffet, fortsetter han.
– Dessuten er det veldig ny teknologi, så det var ikke så godt dokumentert som andre ting vi har jobbet med før, legger Aas til.
Symfonis rolle
Ramvi og hans selskap Symfoni har en egeninteresse i dette prosjektet. Selskapet har fått finansiering av Ethereum Foundation til å utvikle flere løsninger, inkludert en «attesterte attributter»-bro som virksomheter kan bruke til å utstede og motta data, en digital lommebok-app for fasilitere utvekslingen, samt en appfri løsning for å gjennomføre datautvekslingen på papir.
Alle disse løsningene er tilgjengelige som åpen kildekode på Symfonis Github-område.
– Det er mange parter her. NTNU og studentene er den ene. Nav er den andre. Og så er vi den tredje, som en form for privat næring med interesser og kompetanse på dette. Vi jobber for Ethereum Foudation med å få i gang bruk av attesterte attributter, gjerne med teknologistakken til Ethereum, forklarer Ramvi.
– Det finnes mange måter å løse noe teknisk på. Men vårt og Ethereums ønske er at man bruker noe av det som eksisterer av teknologistakk der, inkludert digitale lommebøker og kryptografi, forteller han.
