BankID hittar automatiskt IP-nummer + kringgår brandväggen. Hur?

Ringde just skatteverket, hade fråga om mina skatte-ärenden. Tjänstemannen bad mig först legitimera mig, via BankID (genom datorn, inte mobilt bankid).

Men, jag hade ju inget formulär på webbsidan öppet, ingen funktion som kunde aktivera en förfrågan om legitimering via BankID, så jag förstod inte riktigt .. hur det skulle gå till?
Medan tjänstemannen och jag gafflade om det, så startade jag upp BankID applikationen på datorn. I nästa stund säger tjänstemannen att han nu skickat iväg en legitimeringsförfrågan och i samma ögonblick poppar det upp en förfrågan på min skärm att jag ska ange mitt lösenord/PIN för mitt BankID. Förfrågan är alltså en dialogruta genererad av BankID applikationen.

Skatteverkets tjänsteman har alltså skickat ut nån slags förfrågan från hans system, som direkt kontaktat mitt lokala BankID program? Jag har aldrig sett- eller varit med om det här förut. Måste innebära att något centralt BankID system skickar ut en förfrågan via internet, som ska tas emot av BankID applikationen? Jag har installerat BankID via fil, alltså hämtat en P12-fil direkt från bankens hemsida.

Men hur fasen vet detta 'centrala BankID' system om vilket IP-nummer det ska skicka förfrågan till? För det kan väl inte vara så att förfrågan skickas ut planlöst, till 'alla' system på hela internet, tills nån träff sker? Måste alltså innebära att nånstans finns mitt IP-nummer och BankID ihopkopplat. Jag har ju dessutom dynamiskt IP och stänger av datorn nattetid när jag sover (alltså får relativt ofta nytt IP vid varje uppstart). Dessutom använder jag Mullvads VPN, alltid, ut mot omvärlden. Även när jag loggar in på nätbanken eller använder andra köp-formulär och legitimeringsformer.

Hur fasen gick det här till, tekniskt? Tjänstemannen var mest ärendehanterare och kunde inte svara på det ur konkret teknisk synpunkt. Och jag är relativt integritetsmedveten och vill helst inte att olika saker ska kunna kopplas ihop för att hitta mig alltför lätt. Om Säkerhetspolisen eller andra seriösa myndigheter kan hitta mig, det gör inte så mycket. Det är mer oseriösa aktörer jag oroar mig för.

Plus, att mitt BankID program är blockat av min brandvägg, för all inkommande- och utgående trafik. Jag får alltid upp en förfrågan från brandväggen, när jag ska använda BankID applikationen, och klickar då alltid i "Allow temporary" som gäller i 15 minuter innan brandväggen stänger till igen. Jag fick ingen förfrågan från brandväggen nu ens.

Så, hur faen gick det här till, tekniskt?

Förfrågan skickas till alla BankID-instanser som har ditt personnummer. Din IP har inget med saken att göra.

När det gäller brandväggen vet jag inte. Din brandvägg kanske bara inte är vidare bra?

Det är kopplat till ditt personnummer, inte IP-adress.

Om du har applikationen öppen, och han har ditt personnummer skickas till det ID som är kopplat till ditt personnummer.

Måste alltså innebära att BankID applikationen funkar som en dynamisk IP-klient då, eller? Dvs att BankID applikationen pingar ut att applikations-IDs som är ihopkopplat med mitt personnummer finns nu öppen på IP-adress 123.45.67.890?

Som sagt, och det är samma situation som med mobilt bankID.

BankID Applikationen har kontakt med bankID's centrala system, har du applikationen öppen och en autentiseringsförfrågan gällande ditt personnummer kommer in poppar den upp.
Kommunikationen är troligen initierad utåt (TCP ESTABLISHED mot bankID's system), så några "hål" för inkommande kommunikation från bankID i brandväggen behövs ej

Edit: Såg att du också skrivit att du blockerar BankID med en mjukvarubrandvägg, även utgående. Troligen funkar den då inte så bra, eller så har du råkat göra något du inte minns.

Herre gud. Såhär funkar det.

1. De knappar in ditt personnummer. BankIDs server får då info om att en begäran finns för det personnumret.
2. Du öppnar appen
3. Appen laddar ner begäran och visar dig den
4. Du antingen godkänner eller skiter i det
5. Din app skickar tillbaka att du godkänt eller skitit i det
6. Profit

Tror inte direkt det handlar om IP-nummer.
Banktjänstemannen slår in ditt personnummer, du startar din klient som är kopplad till dig.
Du slår in.

Aha. Så BankID appen kollar efter ny info/uppgraderingar/ärenden osv. Samma princip som ett e-mail program? Jag trodde Id-förfrågan skedde via etablerad direkt-kontakt från Skatteverket (eller via central server). Vart lite nervös där ..

En server hos Skatteverket skickar en förfrågan till BankID's API.
BankID's servrar sköter därefter kontakten med din lokala BankID applikation. Så direktkontakten är med BankID / Finansiell ID-Teknik.

Första gången du använder bank-id? All verifiering med det fungerar precis så.

Enkelt uttryckt det är inte så att hans system på nåt sätt har koll på din ip adress och forcerar din brandvägg, utan snarare din bank id app som kontaktar en server och frågar om det finna nånting till dig

(Gissar jag, men det är möjligt att jag inte ens har förstått frågan)