Eksperter: Ny digital signatur blotter dit privatliv
Med den nye digitale signatur bliver danskernes digitale liv lettere, smartere og mere mobilt ? men samtidig får privatlivets fred et gok, mener eksperter.
Om under en uge, 25. juni, forventes IT - og Telestyrelsen at præsentere Digital Signatur 2.0, som skal leveres af TDC og PBS' konsortium DanID. Sidste uge tegnede Ingeniøren skitsen for den nye signatur op; den store forskel bliver, at den besværlige nøglefil flytter ud af borgerens computer og ind på en server hos DanID.
Det skal gøre det enklere at bruge signaturen, men det er en farlig tendens, at borgeren ikke har 100 pct. kontrol over sin egen digitale identitet, mener Ivan Damgård, professor i datalogi ved Aarhus Universitet og en af verdens førende forskere i kryptering og digitale signaturer.
»Med den nye løsning bliver privatlivets fred afhængig af en myndighed, som kender os alle sammen, og så bygger det hele jo på en antagelse af, at de opfører sig ordentligt. Privacy er et reelt, potentielt problem, som vi er nødt til at tage seriøst.«
Kan vi stole på systemet? Men det er ikke bare forkert at samle signaturerne på én server , det grænser også til at være ulovligt, mener Martin Clausen, it -sikkerhedsekspert fra Deloitte og specialist i digitale signaturer.
Han henviser til §14 i Lov om Digital Signatur, som blandt andet kræver, at ingen andre skal kunne bruge éns signatur.
»Men jeg har jo ikke en kinamands chance for at beskytte min nøgle, når den ligger centralt. Det er for meget ansvar at overlade til det offentlige, og jeg kunne godt tænke mig at høre, hvordan de fortolker loven,« siger han.
Der er store følelser på spil i diskussionen om digital signatur. Selv om der faktisk kun er tale om et lille stykke softwarekode og nogle avancerede algoritmer, er det på mange måder en stor principiel sag: Hvem ejer egentlig retten til at være dig?
»Det er en horribel tankegang, der ligger bag det her. Det er selve selvbestemmelsesretten, vi sætter over styr,« siger Stephan Engberg, it -sikkerhedsekspert med virksomheden Priway og mangeårig kritiker af hele det offentliges måde at håndtere digital identitet og datasikkerhed på:
»Her bliver jeg tvunget til at give en tredjepart myndighed til at skrive under på mine vegne. Jeg kender mange bankfolk, advokater og andre som ikke ville finde sig i det, for din signatur er jo din identitet. Det jo dig!«
Problemer med kryptering Ud over at logge danskerne sikkert på offentlige tjenester som Skat og borger.dk skal den nye signatur også bruges til at kryptere tekst, så ingen andre end den rette modtager kan læse med. Med den nuværende signatur bliver teksten krypteret direkte på computeren, med en nøgle som kun du har ? men i den nye version mangler krypteringen i det sidste ben mellem dig og nøgleserveren, siger Stephan Engberg.
Han bakkes op af Per Helge Sørensen, ekspert i digitale menneskerettigheder i organisationen Digital Rights:
»Det er helt klart, at nøglen bør ligge hos folk selv, ellers skal man ikke gøre sig nogen forhåbninger om, at politiet eller efterretningstjenesten ikke skulle kunne læse med. Så hvis du har interesse i at udveksle fortrolig post, skal du nok ikke bruge et system, som er stillet til rådighed af myndighederne,« siger han.
Henrik Udsen er lektor i it -ret fra Københavns Universitet, og som har skrevet ph.d. om digitale signaturer, og han er ikke bekymret.
»Paragraf 14 er ret bredt formuleret, så det er svært at sige, om den nye løsning er i strid med loven. Men umiddelbart vil jeg sige, at de godt kan lægge digital signatur ud på denne måde, selv om jeg ikke har undersøgt det nærmere.«
Heller ikke principielt mener han, at der er meget at komme efter.
»Rent personligt er jeg ikke så bekymret over, at min underskrift skal ligge hos PBS og TDC, som jeg i forvejen har overladt mange af mine transaktioner til. I bund og grund handler det jo om, om jeg har tillid til systemet og myndighederne der kontrollerer dem, og det har jeg.«
Mulighed for overvågning
Ivan Damgård, Aarhus Universitet ser også et problem i det faktum, at vi bliver identificeret som personer, hver gang vi bruger Digital Signatur.
Han sammenligner det med at skulle vise sit pas, hver gang man krydser vejen eller går ind i en butik ? og at informationen derpå bliver lagt i en kæmpe database.
»Hvis ikke vi tænker over det nu, så får vi et problem senere. Især når signaturen bliver taget i brug i den private sektor. For har de nødvendigvis brug for at kende min identitet altid?« spørger han.
Alternativet, forklarer han, er det man kalder tokens eller tickets, en slags tidsbegrænsede digitale ?billetter' dannet automatisk på baggrund af din digitale signatur. De fortæller ikke nødvendigvis, hvem du er ? men man kan finde ud af det, hvis det bliver nødvendigt.
»Det er som de kort, du har i din pung. Nogle viser dit CPR-nummer og din adresse, mens kortet til videobutikken kun viser dit medlemsnummer,« siger Ivan Damgård.
Stephan Engbergs virksomhed Priway arbejder selv med en token-løsning. Han mener også, at tankegangen om at vi skal identificere os for at sikre os er helt forfejlet.
»Token-løsningen er frihed under ansvar. Jeg er ansvarlig for hver enkel transaktion, men man kan ikke gå hele systemet igennem og finde mine transaktioner. Målet er at tilpasse sikkerhedsmodellen til det specifikke behov,« siger han.
Hverken IT - og Telestyrelsen eller PBS ønsker at kommentere på den nye løsning, så længe der forhandles. I en mail gør PBS dog opmærksom på, at privatlivets fred er med i overvejelserne om den nye struktur.
Kommentarer (9)
efter at TDC bygente at ville installer en program på ens computer for at kunne installer DS i ens browsere der sage jeg stop, det er rimlig enkelt selv at importer DS filen i firefox, IE mf.
Fatter ikke hvorfor noget skal gøres så besværligt når men kan buge KIS prinsepit
-
0 -
0
Jeg har min digitale signatur i mit visa kort og fra min bank (Nordea) har jeg fået en lille fin kortlæser, der ud over at kunne læse min digitale signatur hvis jeg sætter den til maskinen, også kan bruge den til at logge ind på netbanken som en token hvor koden på skærmen tastes ind sammen med pinkoden for visa kortet og så ska svaret bare tastes ind på sitet. Det skal lige siges at jeg bor øst for Danmark, hvor den digitale signatur åbenbart ka bruges lige så mange steder som i DK (det vil sige, jeg aner ikke hvad jeg skal bruge den til)
-
0
-
0
Hvad der ikke misbruges i dag, kan måske misbruges af andre i morgen.
Der er i dette land tilstrækkeligt med overvågning og blandt folk i almindelighed en naiv tiltro til, at ingen vil misbruge data. Det er en kendt sag, at giver man folk en kniv i hånden, så kan de snitte gulerødder, men der er også nogle der stikker den i maven på folk. Politikere er mennesker, der ønsker magt og tager den, hvor de kan få den. Der er ingen grund til at give dem en kniv i hånden, hvis ikke det er nødvendigt.
-
0
-
0
Med håb om Stephans accept, så vil jeg gerne gengive en kommentar han skrev på Computerworld.dk, omkring dette.
Jeg er dybt bekymret for, om der fra politisk side er indsigt i/viden om/forståelse af problematikkerne omkring digital signatur.
Tilsyneladende får "vennekredsen" (TDC og Danske Bank) lov at udforme løsningen uden behårde udstukne politiske krav, til sikring af individet.
Her er Stephans ord:
"Indledningsvist vil jeg godt sige at jeg er trist over at sagen har fået lov til at køre så langt ud. Jeg tror ikke der er politiske konspirationsplaner eller lignende.
Men der er klare interessekonflikter som et ansvarligt folkestyre burde have holdt i balance i stedet for at lade alle fundamentale principper og samfundshensyn underminere på denne måde. Vi ser klart tegnene på et demokrati i DYB krise - ikke kun relateret til EU - det er faktisk væsentligt værre i Danmark fordi man dårligt er kommet i gang med at debatere visioner for den digitale fremtid.
Her taler vi om det mest fundamentale af alle spørgsmål. Selve den enkelte borgers suverænitet og den ukrænkelige ret til selvbestemmelse.
Tag ikke et sekund fejl af hvad jeg siger. Jeg taler ikke om at vi har "ret" til at være anonyme. Vi har stærkt behov for at den enkelte borger kan etablere ansvarlighed digitalt for at kunne understøtte alle basale samfundsprocesser. Hvordan skal jeg som modpart stole på dig hvis du ikke kan stilles til ansvar for din handling?
Men ansvarlighed forudsætter kun BETINGET Identfikation, dvs. at man KAN identificeres NÅR man har gjort noget galt - ikke er man ER identifcieret. Der er sikkerhed, retssikkerhed og samfundsøkonmi til forskel og dette tiltag gavner INGEN samfundshensyn - ikke et eneste - tværtimod.
Det er den overordnede principielle problemstilling som man burde tage udgagnspunkt i.
Men dette er jo ikke en gang en god implementering af et uacceptabelt princip. Det er en elendig implementering af et uacceptabelt princip.
Sikkerhedsmæssigt er dette at betragte som et phisingattack. Et kommercielt man-in-the-middle attack hvor angriberen - den centrale enhed - kan gøre hvad som helst og totalt har overtaget kontrollen. Sikkerhedsmæssigt er det amatørarbejde som skyldes at de kommercielle interesser styrer designet.
Overordnet er der i forhold til det konkret tiltag mindst 3 problemer som hver især er uacceptable.
a) Kontrollen over din identitet tages fra dig.
b) Risikoen og magten koncenteres i enhed uden sikkerhedsmodel og med meget stærke kartelinteresser i at blokere for konkurrence.
c) Borgerne blotlægges for kommerciel og statlig magtmisbrug uden balancer.
Hvis et forbigående tiltag havde et formål kunne man forstå det. Men der er ingen overgangsplan fordi der ikke er en vision bag. Planøkonomisk centralisering vil ikke effektivisere den offentlige sektor. Tværtimod er den planøkonomiske centralisering selve årsagen til at den offentlige sektor bliver stadigt mere ineffektiv og spilder stadigt flere samfundsressourcer.
Lad os nu sige det som der er. VTU forsøgte med den første fejlslagne Signatur at tilgodese vennerne i TDC og deres kommercielle magtinteresser. OCES var fejldesignet uden hensyn til værdiskabelse for borgerne og samfundet så den fejlede totalt - forudsigeligt og forudsagt.
Da bankerne så afpressede samfundet for at komme med istedet for at se TDC sætte sig på magten har VTU nu givet efter. Men i stedet for at lave en ansvarlig model har de lavet modellen så det bliver et fælles kartel med en endnu dårligere sikkerhedsmodel.
VTU henholder sig til at Finansministeriet siger de skal centralisere uden hensyn til at hele Digital Forvaltning reelt er en ineffektiviseringsstrategi fordi den ikke tager udgangspunkt i borgerne som kunder, men i den centrale planøkonomiske detailstyrings egeninteresser.
Det forværres så af Justitsministeriets paranoiapolitik som siger at de skal overvåge alting uden nogen former for sikkerhed. Det gør de så - dette er jo den ultimative clipper-chip. Borgerne har ingen sikkerhed mod nogen eller noget.
VTU kunne lave ansvarlige modeller, men de er komplet ligeglade med om det gavner samfundet sikkerhedsmæssigt eller økonomisk. De kører på automatpilot og reducerer spørgsmål til ligegyldige detailjer og lånte fjer.
Når man f.eks. påstår at det er mere sikkert at fjerne certifikatet fra en usikker pc har de isoleret ret, men ikke i at man i stedt skal udsætte certifikatet for et sikkerhedsangreb by design - det skal flyttes til en mobil tamperresistent enhed med fallbacks. Sikkerhed forudsætter at man spreder risici - ikke at man samler dem hvor de ikke kan håndteres.
Det er urealistisk at et fraværende Folkestyre vil begynde at tage ansvar for at repræsentere borgerne. Dette er ikke et politisk projekt - det er udtænkt og drives af centraladministrationen egeninteresser uden folkestyring eller politisk vision (eller for den sags skyld indsigt).
Personligt er jeg ikke længere i tvivl om at denne sag ender og stoppes ved domstolene - formentlig Højesteret eller den Europæiske Menneskerettighedsdomstol.
Og omkostningerne for Danmark og danskerne skal måles i 3-cifrede millard beløb i forsinkelse, dårligere sikkerhed, fejlinvesteringer, mistillid, ineffektivisering af den offentlige sektor, tabt innovation, dårligere konkurrenceevne etc. etc.
De mildeste formuleringer bruger begreber som manglende ansvarlighed og dårlig forvaltning.
Så er det vist sagt tydeligt nok i denne sammenhæng."
-
0
-
0
Henrik Udsen udtaler "Rent personligt er jeg ikke så bekymret over, at min underskrift skal ligge hos PBS og TDC, som jeg i forvejen har overladt mange af mine transaktioner til."
Der er meget stor forskel på at have autoriseret PBS til at foretage bestemte betalinger fra din konto (som du i øvrigt kan afvise før de foretages) og til at give en ekstern gatekeeper ret til at underskrive dokumenter på dine vegne. Og hvad er det for nogle transaktioner som jeg har overladt til TDC, blot fordi jeg er kunde der?
Dernæst siger Henrik Udsen "I bund og grund handler det jo om, om jeg har tillid til systemet og myndighederne der kontrollerer dem, og det har jeg."
Det skal selvfølgelig stå Henrik Udsen frit at have tillid til gud og hver mand, men der skal altså også være plads i samfundet til dem som ikke har ubegrænset tillid til staten og private aktører (for eksempel et teleselskab som er ejet af kapitalfonde, og som meget vel kan blive splittet til atomer, hvis kapitalfondene synes at det er en god ide).
-
0
-
0
Det offentlige har i forvejen alle oplysninger om dit ikke-privatliv. Og de samkører allerede. Så hvad er problemet, med et teknisk anordning til at forbinde - logge på - de online tjenester som det offentlige udbyder?
Brug PGP (eller GPG) til at holde din private e-mails privat.
-
0
-
0
@ Axel
3 hurtige
- staten kan ikke sikre det,
- det gør den offentlige sektor mere ineffektiv fordi man ikke tager udgangspunkt i borgernes faktiske behov,
- det gør den private sektor mindre innovativ fordi man fastlåser en masse processer og svækker forbrugerne.
Og det er før vi begynder at tale om det retsprincipielle hvor nogen selvfølgelig vil mene at demokrati har med frihed og sikkerhed at gøre.
-
0
-
0
Det helt store problem er at med en central lagring af din identitet, kan den misbruges, enten af en korrupt embedsmand, eller en der er brudt ind i denne centrale database (læs: meget meget atraktivt sted at bryde ind)
Med den tillid der tilligges denne signatur, kan du få endog meget store problemer med at overbevise myndigheder eller retten om at det ikke er dig der har ændret din adresse eller andet. Det er jo din signatur der er (mis)brugt altså må det være dig.
-
0
-
0
"Henrik Udsen er lektor i it -ret fra Københavns Universitet, og som har skrevet ph.d. om digitale signaturer, og han er ikke bekymret.
[snip]
Heller ikke principielt mener han, at der er meget at komme efter.
»Rent personligt er jeg ikke så bekymret over, at min underskrift skal ligge hos PBS og TDC, som jeg i forvejen har overladt mange af mine transaktioner til. I bund og grund handler det jo om, om jeg har tillid til systemet og myndighederne der kontrollerer dem, og det har jeg.«"
Denne udtalese fra en person der i realiten burde vide bedre (Ph.D i digitale signature), bekymre mig meget, da det viser for mange ikke kigger sagerne efter i sømmene.
Ligger digitale signaturer på en server hos PBS eller TDC, kan medarbejder hos PBS eller TDC anskaffe adgang til denne signature, misbruge den og evt, sælge den til en 3. part.
Dette er et stort problem.. Uanset hvor meget sikkerheds clearance, og hvilken blokeringer der bruges er det mennesker der har adgang til andre's identitet. Dybt problematisk, især når begrebet udvides til at dække alt fra bank transaktioner, til interaktioner med det offentlige.. Får du nøglen har du hele individet's liv.
Jeg har selv arbejdet som "trusted employee" og ved hvad adgange man kan få, har dog aldrig misbrugt de privileger, og har kun brugt min adgang som krævet for at afhjælpe problemer. Men der med sagt jeg ved hvor nemt det ville være. Jeg ved ikke hvor mange der ville stå i mod hvis de blev tilbudt et par millioner for at lave en data dump ?
Men da sådan tillid til systemet er TOTALT unødvendigt hvis man designede systemet ordenligt, fatter jeg ikke man opfinder en ny løsning til noget hvor der allerede er standard løsninger uden kompromier ?
-
0
-
0
Tilføj kommentar
