Hvem vil DanID give lov til at se kildekoden til NemID?

Jeg foreslår enhedslisten. Så kan de to datalogistuderende bistå dem med at kigge det igennem.

Jeg vil tro det mere er et spørgsmål om grundlaget for at kigge i koden end hvem der gør det.

Det er i hvert fald sådan jeg tolker de svar og den info der har været omkring dette emne indtil videre.

Nets vil ikke sætte ressourcer af til det uden en god grund.

Så uanset hvem I finder, så får de sikkert ikke love så længe grundlaget er det samme, aka. nysgerrighed.

Mit bedste bud ville være et statsligt organ med begrundelse i, at man ønsker forsikring om at borgernes rettigheder er behørigt sikret.

Er det ikke en sag for ombudsmanden? Behørigt assisteret af uafhængige IT-eksperter naturligvis.

Hvad er formålet med at analysere kildekoden når vi ikke har nogen sikkerhed for at det lige præcis er den analyserede udgave af NemID programmet (klienten) som installeres og køres på vores computere?

Det som vi har brug for er åbne standarder, hvor vi selv kan compile kildekoden til NemID klienten, og hvor andre kan skrive en NemID klient ud fra den offentligt tilgængelige API specification.

Det ville skabe tillid, men det forudsætter selvfølgelig at sikkerhedsmodellen ikke er security through obscurity :-)

http://www.schneier.com/

Bruce Schneier kan læse gif-filerne direkte uden at decompilere dem.
(følger logisk af http://www.schneierfacts.com/fact/493 )

De kunne jo passende bare smide kode på f.eks. Github, der burde alligevel ikke være noget hemmeligt over klienten.

Men det vil godt nok gøre det let at lave en forfalskning, som ligner og opfører sig præcis som originalen. (ikke at det er meget svært pt., men der er ingen i de angreb vi kender til, som har gidet gøre det)

Ja. Spørgsmålet er forkert. Og jeg håber Version2 forstår det og ændrer vinklen på NemID dækningen istedet for at gå op i hvem der lige kan få lov at læse kildeteksten.

Spørgsmålet er ikke hvem, der må se kildeteksten.
Spørgsmålet er hvorfor det spørgsmål overhovedet er blevet aktuelt.

Det er det fordi NemID er grundliggende fejl-designet og det her kun er en flig af problemet.

Så spørgsmålet er hvad der skal til før nogen på politisk niveau forholder sig til NemID kritiken (uden at spørge DanID om de synes der er nogen problemer).

Hvis systemet og koden, som leveres af DanID ikke tåler dagens lys, så er det sårbart for alle brugerne og NemID selv.

Derfor skal alle kunne se koden, og ikke mindst, så er det vigtigt at det som foregår er klart som glas for alle, ellers er det i sig selv utroværdigt.

Vi kan ikke have en så substantiel magtfaktor, der skjuler hvad de gør.
Slet ikke i forbindelse med den samlede Danske økonomi, og den samlede Danske offentlige administration.

Det er ikke noget problem, at fremstille et sådant system, hvor login og identifikation er klart og gennemskueligt.

Mit bud er, at koden indeholder en masse bagdøre for PET, og disse bagdøre har DanID ikke lyst (eller lov) til at afsløre.

Ork nej... det er de alt for udspekulerede til.
Næe nej... koden indeholder et plugin-API til bagdøre som endnu ikke har været i brug.
Dermed kan DanID med "straight-lawyer-face" sige at den ikke kan bruges til overvågning og at det vil kræve en "designændring" for at den kan - ie. skrive et plugin.

... ironi og/eller sarkasme kan forekomme.

Det giver ingen mening at NemID-appletten skulle indeholde (intentionelle) bagdøre. Hvis en eller anden myndighed har lyst til at undersøge ens skattevilkår, bankkonti eller andre NemID-sikrede faciliteter, så kan de jo bare gøre det direkte. Husk at NemID ikke bruges til at kryptere noget som helst, men blot som autenticeringsmekanisme. Jeg finder det langt mere sandsynligt at DanID er bange for at ringe kodekvalitet skal resultere i en skandale, hvis kildekoden bliver gennemlæst af tredjeparter. Måske er de endda så usikre på kodens kvalitet at de frygter offentliggørelsen af utallige sikkerhedshuller.

Nå tilbage til det seriøse.
Bekymringen ang. evt. "bagdøre" i NemID appletten går ikke på at DanID skulle kunne snage i hvad du bruger NemID til (*), men på, at de kan snage i hvad du i øvrigt bruger din computer til.

*: det er der tilgengæld andre bekymringer der går på

Jeg tror ikke på at der er tale om nogen bagdør. Der er tale om et identifikationssystem, hvor man forsøger at skabe en eller anden form for sikkerhed for, at det er den bruger man tror det er, som benytter brugermaskinen.
I et 3 person system, som NemID, er det ikke muligt at opstille en sådan sikkerhed, hvilket er vel dokumenteret, bl.a. gennem flere vel gennemførte "man in the midle" angreb.
Det er på ingen måde muligt at foretage nogen sikker identifikation, gennem noget 3 person system. Det kan ikke lade sig gøre, for det er kun den enkelte identitet, der med sikkerhed ved, om den enkelte identitet overhovedet vil identificeres i er given situation.
Derfor skal retten til en hver given identifikationsnøgle, ligge hos den enkelte identitet og være unik i en hver identifikationssituation. Ellers kan nøglen gættes / aflures, og derfor misbruges, f.eks. med et " man in the midle " angreb.

Hvad der i øvrigt er af muligheder, i forbindelse med NemID, kan man nemt gennemskue.
Alene det faktum at det er Nets, som ved hvor og i hvilken forbindelse, en given bruger har benyttet sin NemID, er meget værdifuldt.
Er man intereseret i værdipapir, er det en oplysning der er værdifuld, er man studerende, eller på anden velfærdsydelse, har dette også værdi.
Det er selvfølgelig ikke oplysninger man må trække, men det kan man komme uden om, ved at lægge driften om, så det foregår fra et andet land. Samme mekanisme er gældende i forbindelse med Digital post, som man bare kan læse med hjemmel i andet lands lovgivning.
Ud over dette, så er der tale om meget store beløb, som betales af Stat og Kommuner, for selve driften af disse Nem-systemer.
Alene Statens bidrag til udviklingen af NemID, beløb sig indledningsvis til en lille milliard, hvilket altså kun var Statens bidrag. Det blev i øvrigt betalt, selvom der ikke var tale om en færdig leverence. Leverencen er i øvrigt aldrig blevet færdig leveret.

Er det så dyrt ?
I det omfang varen var blevet leveret, så er det billigt at købe en sådan vare for en milliard.
En sådan vare, koster normalt meget mere. Den slags handles nemt for 10-30 milliarder, så der var tale om en særdeles god aftale i forbindelse med NemID.
Desværre så fik man aldrig udviklet en sikker løsning, som lever op til almindelige krav, og derfor er NemID en ommer.
Da der i mellemtiden er mange andre aktører, som har udviklet fungerende metoder, så er der ikke længere frit slag når der skal udvikles.
Man vil simpelthen være nød til at købe løsninger fra andre, og ji længere tid der går, jo dyrere bliver det.

Lige meget hvordan man vender og drejer det, så handler det om penge og magt. Det er vores alle sammens økonomi, på alle tænkelige måder. Og vores alle sammens personlige integritet, med de værdier der følger med det.

Det er helt klart og tydeligt, at man gennem lovgivning, ønsker at sende dette ud af landet, frem for at sørge for at det benyttes til værdiskabelse i Danmark.

En sådan vare, koster normalt meget mere. Den slags handles nemt for 10-30 milliarder

Med 5 mio danske computere, er det 2000-12000 kr. per PC...
Hvad med at løse sikkerhedsproblemet, ved at forære alle danskere en gratis Linux PC, der skal bruges til NemID? Det vil da koste mindre.