Kommuner frygter underskriftkrav: Digital post besvares med brevpost

Erik Nielsen fra KL udtaler

»Det er vigtigt at forstå, at vi taler om et paradigmeskift for borgerbetjeningen i Danmark, hvor den digitale kanal bliver det naturlige førstevalg ved enhver henvendelse til det offentlige.

Det lyder jo smukt, men det giver altså ingen mening at tale om det "naturlige første valg" når der ikke er andre valg. Folketinget behandler p.t. to lovforslag som vil gøre det obligatorisk for borgerne at bruge offentlig digital selvbetjening baseret på NemID og e-Boks. NemID og e-Boks bliver snart en helt fantastisk succes med næsten 100% udbredelse!!

Det er vigtigt at forstå at der bliver tale om TVANG mod borgerne. Det er ikke et tilbud til borgerne
http://www.itpol.dk/notater/henvendelse-om-L159-obligatorisk-digital-sel...
http://www.itpol.dk/notater/henvendelse-om-L160-Offentlig-Digital-Post

Er vi her inde i det sedvanglige nemid problem, hvor de euretslige krav til samtykke ikke kan opfyldes af nemid fordi man ikke har fulgt EU definition af hvad en digital signatur er ved lovgivningen om nemid?

Regelgrundlaget er svjv at en kvalificeret signatur må ligestilles med en fysisk, problemet i DK er så at staten har vurderet at en løsning med kvalificerede signaturer var for dyr/besværlig og valgt nemid istedet.

Der er også nogle krav om at staten skal sikre modtagelsen af en besked(hvad de ikke kan i samme grad med eboks som med andbefalet post osv).

Hey, hvad med om man i det offentlige lærte at bruge PKI?

Hvis nu man som borger kunne sende krypteret, digital post til det offentlige - og så fik et signeret, krypteret svar tilbage. I sin almindelige email-klient?

Det ville være smart. Hvorfor er der ikke nogen, der har tænkt på det før?

(IKF).

Det skal først i et udvalg, som kan nedsætte en arbejdsgruppe, som skal blive enige om en kommision, som skal indkalde og nedsætte et ekspertudvalg....zzzzzz... Og 20 mio. kr. senere.. er vi stadig ikke komme videre.. :-(

Men eller pisse-fed idé! :-)

Her er det vigtigt at noterer, at der ikke er tale om en egentlig identifikation.
I den metode NemID anvender, der er det 3'die person der udreder om en given identitet. Det er IKKE identiteten selv, der redegør for egen identitet.
Eller på en anden måde.
Med NemID, så er man tvunget til at stole på, at man ikke er udsat for et "man in the midle" angreb.
Man er også nød til at stole på, at udbyderen af NemID ( Danid ) ikke har tvivlsomme intentioner, og begynder at anvende deres mulighed for at identificerer, til at indhente oplysninger som ikke kommer dem ved.

Da der er tale om et lukket system, vil enhver som benytter NemID, til enhver tid, kunne henvise til, at deres NemID er blevet misbrugt i forbindelse med anvendelsen af Nem-systemet.
Dette alene fordi, at systemet er lukket, og ikke tillader at man kan tilspørges af alle.

For at overholde alle regler, ikke kun EU, men også de gældende regler i de enkelte lande, så skal man sikre, at man ikke udbreder information om 3'die person, uden dennes samtykke. Ud over det, skal man sikre, at den enkelte identitet, selvstændigt identificerer sig selv, i hver eneste identifikationssituation.
Det indgår IKKE i NemID, på hverken den ene eller den anden måde.
NemID overholder ikke engang Dansk lovgivning, hvilket Datatilsynet har gjort opmærksom på.

[jeg vælger at overse evt ironi]
Det har været muligt at sende et krypteret brev, men da udviklingen ser ud til at gå bort fra at folk har et mailprogram installeret på en pc, og der i stedet bruges webmail eller simple apps på en telefon/tablet, er der ikke så mange, der kan benytte PKI.

Det absolut mest sørgelige, er jo at det HAVDE VI FØR DANID ! - den "gode gamle" digitale signatur, som rent faktisk var en sådan - kunne bruges til præcis det formål - både mellem "staten" og borgeren, men også fra borger til borger og borger til virksomhed (virksomhederne skulle vist så betale noget for at checke om signaturen var "revoked").

Seriøst - hvorfor fan... går man ikke tilbage til den - og tilføjer papkortet. Så kan man videreudvikle fra en ordentlig og velunderstøttet løsning (og IMHO droppe java klienten).

Hvis man dropper Java, så bliver det sgu da mere besværligt at hacke sig ind på folks maskiner.. Og nu HAR vi jo allerede en løsning, som giver adgangen.. ;-)

Der er et problem med kopiering af din private nøgle, hvis det blot er en almindelig fil (den er password beskyttet, men passwords kan sniffes). Med NemID er der ikke noget at kopiere, men til gengæld er der MiTM angrebet, der nu viser sig at være et mindst lige så alvorligt problem.

Det vi har brug for er en smartcard (token) løsning, hvor den digitale signatur udføres på eksternt tamper-proof hardware (og hvor den private nøgle aldrig kan kopieres fra smartcard'et).