EU har i adskillige år væltet sig rundt i fine (og dyre) forskningsprojekter om trusler og muligheder for privatlivets fred i en digitaliseret verden. Og oftest med hån tilovers for de tilsvarende aktiviteter – eller mangelen på dem – i resten af verden og specielt USA.

Men nu har USA fået en regering der specielt på IT-området har fokus på er erstatte mange af nutidens store og kluntede IT-systemer med mere lavpraktiske og innovative letvægtsløsninger. Som interesseret i privacy og IT-sikkerhed har jeg spændt ventet på hvordan dette ville udmønte sig på identitetsområdet. Ville det resultere i løsninger, vi i Europa kunne forarges over – eller noget som kan anvendes til inspiration.

De første specifikationer for borgerinteraktion med regeringssites i USA er nu kommet på banen i forbindelse med Gov2.0 Summit 9-10. september.

Og det er blevet til en glædelig overraskelse både fra et privacy synspunkt og ud fra den støtte det vil give til at styrke og fokusere den videre udvikling af OpenID og Information Card.

Hvor man i lande som Danmark er startet med at etablere et monopol (en analog til Nationalbanken for identitet) og fokusere på statens sikkerhed frem for borgernes i de tekniske løsninger, har man i USA valgt at tage udgangspunkt i lavrisikotransaktioner, men med en grundlæggende arkitektur, der gør det muligt at øge sikkerhedsniveauet og anvendelserne i takt med de praktiske erfaringer og den teknologiske udvikling. Løsningen er decentral, d.v.s. at man selv vælger hvem man vil betro sine identitetsoplysninger på samme måde som man selv kan vælge hvilken bank, man vil anbringe sine penge i. Det sidste kan vi jo endnu også gøre i Danmark.

Principperne er klare for den første udgave, hvor målet klart har været at beskytte borgerne mod staten:
1. Brugeren vælger selv sin OpenID provider (OP) blandt de, der opfylder kriterierne
2. Brugeren indestår selv for de oplysninger han beder OP’en videregive til .gov sitet
3. OP’en skal primært dokumentere at sikkerhedskravene til login er overholdt
4. Der kan kun anvendes “directed identity” – altså ét unikt handle pr. OP-RP relation
5. Der skal være sikkerhed mod at brugeren ved en fejl kommer til at opgive en almen OpenID identitet.

Hvordan dette initiativ kan sætte skub og fokus på den videre udvikling af OpenID, vil helt sikkert blive et af emnerne på den næste Internet Identity Workshop 3-5. november i Mountain View, hvor der også ventes afklaring omkring den længe ventede OpenID 2.1 og en række usability aspekter.

Forhåbentlig kan det også sætte skub i udviklingen i Danmark og Europa til gavn for både forbrugere, erhvervsvirksomheder og diverse medlemsorganisationer.

Ashish Jain fra Paypal har lavet et blogindlæg med en række relevante links til OpenID for OpenGov
Kaliya Hamlin, a.k.a. IdentityWoman opridser baggrunden og perspektiverne for OpenID for OpenGov

- nu kan du bl.a. logge ind på Facebook

Den halvårlige Internet Identity Workshop (IIW) er fortsat stedet hvor nyheder lanceres og kimen lægges til de næste skridt i udviklingen af såvel OpenID som Information Cards og Vendor Relation Management.

Et synligt bevis på at disse teknologier nu står foran et gennembrud fremgår af deltagerlisten, som omfattede Google, Microsoft, Apple, Oracle, Yahoo, Facebook, Myspace, Amazon, Paypal, LinkedIN, Symantec, HP, Nokia, AOL, Cisco m.fl. Og der var denne gang klart mere fokus på at løse praktiske problemer i fællesskab fremfor at promovere egne fortrin.

Et stort og endnu ikke løst problem for OpenID er “Nascar”-problematikken, hvor man vil undgå at websider, der accepterer OpenID ender med at blive totalt overklistret med logoer for de forskellige OpenID udbydere. På den anden side er det en fordel at login kan ske ved et enkelt klik på et ikon fremfor indtastning af hele OpenID udbyderens domænenavn eller brugerens komplette OpenID-adresse.

Sålænge dette problem ikke har fundet en løsning, vil OpenID-udbredelsen hæmmes af den nuværende meget forskelligartede brugeroplevelse på de sider, der accepterer OpenID brugeroprettelse og login.

På workshoppens førstedag kunne Facebook annoncere OpenID support på en måde, der undgår “Nascar”-problematikken ved login på brugerens “normale” PC. Samtidigt hjælper det Facebook i kampen mod phishing, som er et stort problem for alle populære websider. Der logges simpelthen automatisk ind på Facebook, når brugeren i forvejen er logget ind på sin foretrukne OpenID-udbyder. Det er en god men ikke generelt dækkende løsning, så “Nascar” er stadig #1 på problemlisten.

Ved de tidligere workshops har der desværre ikke været generel forståelse for problematikkerne i forbindelse med logout fra OpenID. Single logout, som det kendes fra bl.a. SAML2 understøttes ikke af OpenID, hvilket betyder at brugere uforvarende kan være logget ind på deres OpenID-udbyder selv om de er logget ud fra de tjenester, de har besøgt – eller omvendt. Men bl.a. Google, Microsoft og Facebook erkender imidlertid nu problemet, så der skulle være en rimelig sandsynlighed for at få løst det i en kommende opdatering.

Microsoft kunne præsentere en ny og hurtigere udgave af deres Info-kort teknologi Cardspace, som nu udvikles i samarbejde med Infocard Foundation, der også tæller Google, Intel m.fl. Der er også et forbedret samarbejde mellem OpenID Foundation og Infocard Foundation og det er formentlig kun et spørgsmål om tid før vi vil se Apple springe på vognen og lancere OpenID-support via Info-kort på deres Iphone.

Den alternative Info-kort teknologi Higgins har samtidigt udmøntet sig i de første kommercielle anvendelser, hvor der bl.a. blev demonstreret et eksempel på hvordan AAA (USA’s pendent til FDM) kunne få profileret sine rabatordninger.

Endelig tyder det på at OpenID kan spille en væsentlig rolle i forbindelse med VRM (“Vendor Relation Management” = forbrugernes svar på virksomhedernes “Customer Relation Management”). De luftige koncepter som Doc Searls introducerede første gang for et par år siden er nu ved at konkretisere sig til konkrete projekter og begynder derfor også at stille konkrete udfordringer for potentielle OpenID-udbydere. Der arbejdes nu mange steder konkret med implementering af “Personal Information Stores”, som giver forbrugeren kontrol med og overblik over brugen af personlige oplysninger.

Det første regulære valg til OpenID Foundation er nu igang og åbent frem til 24. december.

OpenID foundation, der står for standarder og rettigheder i relation til OpenID har en to-delt bestyrelse. Dels en “Corporate” del med fem medlemmer fra IBM, Microsoft, Google, Yahoo og Verisign. Og dels en “Community” del på syv medlemmer, som indtil nu har talt nogle af de “græsrødder” og “entusiaster”, som har startet OpenID bevægelsen.

Det er hele community-delen af bestyrelsen, der nu er på valg og ialt 17 personer kandiderer til de 7 pladser. Og som jeg vil forsøge at anskueliggøre er det er langtfra ligegyldigt hvem, der bliver valgt ind. Når man så samtidigt tager i betragtning at OpenID Foundation primo november havde under 50 stemmeberettigede medlemmer bør det nok overvejes om det ikke er nu man bør melde sig ind i OpenID Foundation, hvis man har ønsker og forhåbninger til fremtiden for OpenID. Et års medlemsskab, hvor man kan deltage fuldt ud i aktiviteterne koster sølle 25 USD for individuelle medlemmer, men fra 500 USD for virksomheder afhængig af medarbejderantallet.

Alle 17 kandidater har på den elektroniske valgside afgivet forklaringer på hvad de har gjort og hvad de agter at gøre for OpenID. Som medlem kan du stemme på op til 7 kandidater. Her er et kondensat af dette samt mine personlige – måske lidt subjektive – kommentarer:

Hvis du ønsker at OpenID får global udbredelse – ikke blot til kommentarer i blogs, men også på kommercielle sites – kommer du ikke uden om Nat Sakimura fra Japan, der står bag organiseringen af OpenID Japan. Her kan man ikke blot anvende OpenID på landets førende sociale netværk “Mixi”, men også til online betaling samt til bestilling af hotelophold m.m. hos partnervirksomheder til Japan Airlines. Antallet af brugere, der kender til og anvender OpenID er stormet frem til niveuer, der ikke tilnærmelsesvis ses andre steder i verden. Se Nat’s præsentation på slideshare.com

Hvis du vil have en europæisk stemme i bestyrelsen for OpenID er din eneste mulighed Snorri Giorgetti fra Frankrig. Det er i helt overvejende grad Snorri, der har tegnet OpenID Foundation i Europa. Bl.a. har han sørget for at samle varemærkerettigheder og en del nationale openid-domæner i Europa for at donere disse til OpenID Europe Foundation, som repræsenterer OpenID Foundation i Europa.

Hvis du drømmer om kompatibilitet eller sammensmeltning mellem OpenID og Facebook Connect bør du nok stemme Luke Shepard fra Facebook ind i bestyrelsen. Luke, der netop har lanceret Facebook Connect skriver i sin præsentation at han vil arbejde for udbredelsen af OpenID både generelt og inden for murene hos Facebook. Med Luke i bestyrelsen vil det klart blive sværere for Google, Microsoft, Yahoo m.fl at anvende OpenID i magtkampen mod Facebook fremfor at samarbejde om udbredelsen.

I det resterende felt finder man dels repræsentanter for de traditionelle “græsrødder” og “evangelister”, men også et pænt antal kandidater fra Google, Yahoo og Microsoft, som jo ellers har deres specielt reserverede “Corporate” bestyrelsespladser.

Corporategruppen omfatter bl.a. Allen Tom og Eran Hammer-Lahav fra Yahoo, Eric Sachs fra Google samt (noget overraskende) Dick Hardt fra Microsoft. Man kan bestemt ikke udsætte noget på deres baggrund og kvalifikationer, men man kan gøre sig sine overvejelser om konsekvenserne ved at en lille håndfuld virksomheder får bestemmende indflydelse i bestyrelsen. Det er det man ellers i vedtægterne har ønsket at modvirke gennem et krav om at der altid skal være flere “Community”- end “Corporate”-pladser i bestyrelsen.

Evangelisterne tæller bl.a. Johannes Ernst, Chris Messina, David Recordon, Joseph Smarr (står for Plaxo, en af de hidtil største OpenID relying parties – kendt for både at tænke og tale hurtigere end nogen af de øvrige kan opfatte), Martin Atkins, John Bradley (også aktiv med SAML og XRI under OASIS) samt Scott Kveton (tidligere JanRain, nu Vidoop)

Hvis du vil præge den fortsatte udvikling af OpenID ved at støtte nogle af kandidaterne, kan du starte her.

What could be a better occasion for starting a new blog on user centric identity than last weeks IIW 2007b unconference at the Computer History Museum in Mountain View?

150 participants representing companies of all sizes from prospective startups to Yahoo, Microsoft and Google witnessed the official release of new protocol specifications for XRI, OpenID and OAuth as well as the presentation of new ambitious projects within the realms of reputation and self-management of profile data.

It is amazing to see how self funded enthusiastic individuals and companies in the US have developed these technologies over the last couple of years.

As a european citizen it is equally sad to realize that the European Union has wasted millions of Euro on fancy projects, that will never get traction in the marketplace.

Yet, as a citizen of Denmark, I see several unique options for employing and combining multiple identity related technologies to the benefit of both individuals and visionary companies. So this blog will be a place to watch for thoughts on the nuts and bolts as well as the incentives to build innovative user centric services.

My Technorati Profile