torsdag den 31. december 2015

Digital Post i din indbakke

For et par måneder releasede jeg et lille stykke software kaldet eboks-mailer, hvilket er simpelt interface imellem det ganske lukkede økosystem e-Boks og de ganske åbne email-standarder.

Motivationen til at gøre dette, er en følelse jeg tror de fleste kan genkende: Jeg kan få helt ondt i kroppen hvergang jeg får en email fra e-Boks, der i bund og grund beder mig om at 'tjekke min mail' et andet sted. Herefter efterfulgt af et suk, der dog i ren fortvivlelse mest udtrykkes som 'gnnnnnøøøø!!!???'.

Derfor kontaktede jeg i 2014 først e-Boks, som henviste mig til Digitaliseringsstyrelsen, om det ikke skulle være muligt at de bare videresendte dokumentet til min email? Naturligvis ville det være meget fedt hvis de lige krypterede den med fx. GPG først, men jeg kunne sagtens leve med den løsning de i forvejen tilbyder virksomheder (SMIME via OCES-certifikater). Det ville naturligvis også betyde lavere udviklingsomkostninger, da de kunne genbruge stort set hele koden fra erhvervsdelen.

Og jeg blev tilbudt kaffe, og jeg kiggede forbi styrelsen og de nikkede pænt, og sagde at de ville vende tilbage senere. Det gjorde de så halvandet år senere, med et 'der-kommer-aldrig-email-ud-af-eboks-ever'.

I mellemtiden havde jeg puslet med ideen om et interface mellem e-Boks og den civiliserede verden, da deres mobilapps og mobilhjemmeside ikke anvender NemID. Dermed kunne man hardcode brugernavn og password (da man ikke skulle anvende kode fra papkortet), og lave et stykke software der helt automatisk hentede beskeden i min e-Boks og lagde den ind i min email-indbakke.

Og således blev eboks-mailer født.

Jeg er i den heldige situtation at jeg selv styrer mailserver og den slags. Derfor anser jeg min løsning for at have en tilsvarende sikkerhed i forhold til e-Boks, og den løsning er god nok til mig (og måske en håndfuld andre nørder).

Problemet er at Hr. og Fru. Danmark er hægtet af. Jeg tror hverken de kan finde ud af at rode med min python-kode, GPG, SMIME, OCES-certifikater eller lignende.

Derfor går jeg og overvejer: Er der nogen interesse og fornuft i eboks-mailer-as-a-Service?

Mine tanker er således:

  • Levering af email kan kun ske, hvis modtagende mailserver understøtter STARTTLS.
  • Notifikationsemail fra e-Boks skal sendes til uuid@trigger.eboks-mailer-as-a-service.dk for at iværksætte afhenting.
  • Optional: kryptering af indhold til GPG- eller S/MIME- nøgle.

Med hensyn til sikkerhed, så anser jeg STARTTLS for at være lige så sikker som HTTPS (altså transport encryption med enten CA-validation, fixed fingerprint eller TOFU). Så er der kun et spørgsmål tilbage om sikkerheden ved 'stored communcations', altså sikkerheden i at dokumenterne kommer til at ligge i email indbakke. Dette er meget individuelt og afhænger af om man bruger 2FA, længden af password, genbrug af password, NSL, NSA, FE, med mere.

Men hvad siger I?