Nets DanID klar med privat NemID-nøgle 20. november

1. er løsningen OS uafhængig
2. hvordan har de tænkt sig at implementere den med IOS enheder

Vil det sige, vi stadig er afhængig af Java på klienten?!?

Den private, hardware-baserede NemID-nøgle har dog én stor ulempe i forhold til den centrale løsning med papkort eller nøgleviser: Den kan ikke bruges i netbanken.

Hvad består forskellen i ? Hvor kan den ellers ikke bruges ? Kommer den kun i en Privat udgave, eller kan vi forvente en til virksomheder ?

Add: Var denne løsning ikke del af krav specifikationen da DanID fik opgaven, at brugerne skulle have kontrol over deres egen nøgle ?? Dette lyder til at være noget add-on og ikke en del af det oprindelige design, hvorfor ellers en ny applet ?!

En NemID-løsning, hvor du selv opbevarer din egen, private nøgle.

Det er vel også meningen, at borgeren selv skal generere nøglen. Kun på den måde er der jo sikkerhed for, at DanID ikke ligger inden med en kopi.

På den anden side, hvis nøglen skal opbevares på en USB enhed, der skal være forbundet til computeren på det tidspunkt, hvor man afvikler DanID's giffer, så er det nok lige meget om man selv har genereret nøglen.

Jeg tror nok, at jeg sparer de 350 kr.

Ser sådan ud http://www.openoces.org/opensign/ - eneste fordel er den er licenseret under GNU LPGL så det skulle vel være muligt denne gang at nogen kigger koden igennem.

Ja, det er bare en anden applet. Der er tale om den gamle opensign applet, som også blev brugt til digital signatur.

Det er vel også meningen, at borgeren selv skal generere nøglen.

Ja, den private nøgle genereres i chippen.

Ja, det er bare en anden applet. Der er tale om den gamle opensign applet, som også blev brugt til digital signatur.

Det er fortsat OpenSign der anvendes til "NemID på hardware" (som løsningen vil blive benævnt). OpenSign er i denne sammenhæng udvidet med understøttelse af PKCS11.

Den private, hardware-baserede NemID-nøgle har dog én stor ulempe i forhold til den centrale løsning med papkort eller nøgleviser: Den kan ikke bruges i netbanken.

Betyder det, at man - hvis man ønsker at bruge NemID på hardware - i praksis får udstedt to forskellige adgangstegn: Et papkortbaseret med centralt opbevarede certifikater til brug i finanssektoren og et hardwarebaseret med lokalt opbevarede certifikater? Og hvis ja, hvilke hjemmesider vil det papkortbaserede adgangstegn i så fald fremover kunne give adgang til (eks. Den Blå Avis, finansielle institutioner, offentlige myndigheders hjemmesider)?

Den private, hardware-baserede NemID-nøgle har dog én stor ulempe i forhold til den centrale løsning med papkort eller nøgleviser: Den kan ikke bruges i netbanken.

Det er helt okay at bankerne gerne vil tilbyde en ekstra løsning (=papkortet), men det er ikke rimeligt at de afviser at tage imod login med landets officielle digitale signatur.

Det er en opgave for lovgiverne at få det rettet.

Betyder det, at man - hvis man ønsker at bruge NemID på hardware - i praksis får udstedt to forskellige adgangstegn

Hvis man ønsker NemID på hardware og ønsker at tilgå netbank er svaret 'Ja'.

Man kan selv vælge om man ønsker at have OCES på NemID nøglekort/nøgleviser uanset om man har NemID på hardware.

Du behøver ikke at have centralt opbevarede nøgler, hvis du udelukkende anvender nøglekort/nøgleviser i netbanken.

Det har de svaret på. De har valgt en USB løsning ergo er der ikke support for iOS enheder da de ikke har en USB port...

Hvis det er den bedste løsning så synes jeg da de skal bruge den. De fleste folk vil jo alligevel skulle bruge netbank på iOS enheder, som jo ikke supportet af den her model.

Super! Tak for svaret.

Vil den private nøgle kun befinde sig på chippen og ikke andre steder?

Vil den private nøgle kun befinde sig på chippen og ikke andre steder?

Ja, den private nøgle vil kun befinde sig i chippen og ikke andre steder.

På http://www.gemalto.com/products/dotnet_card/index.html kan du se, hvilken chip-dims, der sidder i den.

Hvordan i alverden kan det være at en løsning hvor det påstås at brugeren selv genererer og opbevarer nøglen skal inkludere et bestemt stykke hardware?

Medmindre de lyver om at nøglen skal være under brugerens kontrol giver det ingen mening at sådan en løsning består af andet end en softwareprotokol og en specifikation af hvilke kryptografiske protokoller man bruger. Så vil brugere kunne generere deres egen nøgle med et program de selv har skrevet (eller har fået nogen de stoler på og selv har valgt at stole på til at skrive) i et vilkårligt programmeringssprog, eller lavet med blyant og papir, eller whatever.

Hvis nøglen kun findes i et stykke PBS-leveret hardware, er det stadig ikke brugeren men PBS der har kontrol over den. Selvom PBS's hardware måske findes i brugerens lomme, giver det ikke brugeren kontrol over systemet med mindre brugeren selv har mulighed for at implementere protokollen i software.

Det lyder som noget rent fup at bilde folk ind at man med denne løsning undslipper at skulle give PBS generalfuldmagt til sit liv.

¤Peter Lind Damkjær

Wow! Det er sandelig nye toner! Det er første gang jeg har læst noget som helst om statens digitale løsninger der er så interessant.

Det afføder selvfølgelig endnu flere spørgsmål. Patenter, åbenhed, teknologidetaljer etc. De hidtidige løsninger der har været præsenteret, er altid gået på kompromis med borgernes privatliv og sikkerhed, så man tør næsten ikke tro at det lykkedes denne gang.

Dette er suverænt den bedste udmelding om NemID nogen sinde!

Kan man efterfølgende slette OCES-delen fra sit papkort? Jeg blev desværre nødt til at oprette en sådan, da jeg ikke kunne vente på USB-løsningen ...

USB er i øvrigt et fint valg. Det er jo bare Apple, der er latterlige, når de fravælger USB-connectors i deres mobile devices. Den beslutning skal alle vi andre heldigvis ikke lide under.

Mystisk navngivning, dog. .NET ...

Godt så ... så er der blot en hel stribe andre ligeså relevante spørgsmål.
F.eks:
Hvad er så processen for at give DanID den offentlige nøgle, som genereres sammen med?

Er det noget man kan bevise eller noget man skal stole paa?

Du må naturligvis generere alle de private nøgler, du har lyst til, og opbevare dem på papir, på din harddisk eller på usb-nøgler.

Men du er ikke den eneste interessent i hvordan din private nøgle er opbevaret.

Som modtager af en digital signatur fra dig er jeg til også interesseret i
at kunne stole på at signaturen rent faktisk er fra dig. Retsvirkningerne af en digital signatur er usikre - det er ikke usandsynligt at du ikke vil være bundet af en aftale, hvis du kan overbevise en domstol, om at det ikke er dig, der har lavet underskriften.

Så jeg er ikke særligt interesseret i at modtage digitale signaturer, hvor certifikat-udstederen ikke kan udtale sig om hvordan den private nøgle har være opbevaret. Måske opbevarer certifikat-indehaveren den på en USB-enhed, han selv har bygget, med software, han selv har skrevet og fået verificeret af eksperter. Måske opbevarer han den i klartekst på en harddisk på en rootkit-inficeret-pc. Jeg har som modtager af en digital signatur ingen chancer for at vide det.

Hvis jeg til gengæld modtager en P/OCES-2 signatur fra dig, kan jeg nu til gengæld vide, at den private nøgle enten har været opbevaret på DanIDs servere eller i en given chip fra Gemalto. Jeg kan så overveje hvor vidt jeg stoler på at de to løsninger er tilstrækkeligt sikre, til at jeg tør stole på det.

Jeg kender ikke detaljerne i certifikat-udstedelses-processen, men jeg vil skyde på, at du nok kan snyde appletten til at acceptere og certificere en nøgle fra dit eget software-baserede-PKCS#11-modul. Til gengæld står du så nok dårligere i en eventuel retsag, hvor det viser sig, at nøglen er blevet stjålet og brugt til at underskrive dokumenter.

TLDR: Der er tre parter, der har interesse i hvordan den private nøgle opbevares: certifikat-indehaver, certifikat-udsteder og signatur-modtager. Det er fornuftigt, at certifikat-udsteder dikterer en kompromis-løsning, som de to andre parter må acceptere, fremfor blot at lade certifikat-indehaver vælge den løsning, han ønsker.

Og det er en vigtig pointe.
Men uden officielle retningslinier for hvordan man kan blive godkendt til at lave hardware tokens, der kan generere nøgler og uden et udvalg, hvor brugerne kan vælge imellem en godkendt leverandør, så har vi reelt kun DanIDs ord for at Gemalto løsningen gør som de påstår.

Hvis nøglen kun findes i et stykke PBS-leveret hardware, er det stadig ikke brugeren men PBS der har kontrol over den. Selvom PBS's hardware måske findes i brugerens lomme, giver det ikke brugeren kontrol over systemet med mindre brugeren selv har mulighed for at implementere protokollen i software.

Hvis du gerne vil skrive din egen PKCS11 imlementation, og bruge din hjemmebyggede privatnøgleopbevarings-dims, så er der vist frit slag til det? De fleste af os orker det ikke, og er tilfredse med at kunne købe et stykke hardware, som nogle andre end Nets har bygget og certificeret, og som understøtter åbne standarder som pkcs11.

Jeg synes der er en markant forskel mellem at benytte åbne standard og tredjeparts hardware, og så den lukkede løsning, som nemid på papkort er.

Nu har jeg tilfældigvis en USB port til min IPad, at du ikke har det er fordi du ikke har betalt de 300kr det koster.
Bortset fra det så mener jeg at man ikke kan vælge en løsning som ikke understøtter IOS da udbredelsen af denne er alt for stor til at man bare kan ignorere denne platform.

Er det noget du ved, eller gætter du?

De fleste af os orker det ikke, og er tilfredse med at kunne købe et stykke hardware, som nogle andre end Nets har bygget og certificeret, og som understøtter åbne standarder som pkcs11.

Nu findes der tilgængelige PCKS11 implementationer, men bortset fra det, så gør en svale som bekendt ingen sommer. Blot fordi produktet understøtter en veldokumenteret standard betyder det ikke at produktet som helhed er veldokumenteret.
Beklager, men jeg vil se det før jeg tror det.

Hvordan i alverden kan den løsning koste 350 kr for slutbrugeren? Er det Gemalto eller DanID, som har en fortjeneste på 1000%?

Det undrer mig iøvrigt, hvis Gemalto ikke skulle have en kombineret kontakt/NFC baseret chipkort løsning..

Om det så bliver muligt at fravælge OCES fra papkortet.

Altså sådan at en tilfældig identitetstyv som har scoret en papid kode med et mitm angreb ikke bare kan bruge denne til at aktivere oces delen.

Forresten virker det tåbeligt at påstå at man har kigget sig godt for mht mulige løsninger og kun fundet usb løsningen. I Tyskland bruger de chiptan som er en lille lommeregner som kortet sættes ind i, denne løsning er totalt platform uafhængigt.

På mig virker det mest som om man har fundet den ringeste løsning for at kunne sige at man understøtter løsningen men samtidig ved at få vil vælge denne løsning.

Hvad skal vi bruge det til hvis vi ikke kan bruge det til netbank, og åbenbart har handicappet ikke brug for netbank. Så skal vi jo have to løsninger ligglende. Endnu et kapitel af farcen er skrevet. Jeg håber politikerne tvinger bankerne til at implementere det. Når man læser John Christensen svar så lyder det som om han er rigtig træt af sit job.

Signering og kryptering af dokumenter.

Men der kan være mange sten på vejen, før man kan være sikker på at det er en brugbar løsning. Lakmusprøven er om de kriminelle tør bruge løsningen til deres lyssky forretninger. Hvis der er nogen huller til staten i systemet, så duer det ikke. Hvis ikke jeg fx kan sende en privat og krypteret mail til Berlingske om at statsministeren har misinformeret Folketinget, så duer det ikke.

"The Gemalto .NET card is best supported in Microsoft infrastructures, (from development to card management) because of the Microsoft Base Smard Card CSP. This CSP is already included in Microsoft Vista and 7, older Versions of the Microsoft operating systems can be updated with the MS Base Smart Card CSP via Online Update. The necessary MiniDriver for the MS Base SC CSP, which holds the minimum card specific informations, is already on the system."

Det ser ud til at de kan købes fra 22 Euro, altså ca. det halve. Så skal DanID jo nok også tjene lidt på alle dem der tillader sig at stille spørgsmål og skærpede krav.

Laver man overstående søgning på Google kommer der noget op om et Linux .NET SDK fra Gemalto.
Da der er Mono til at køre .NET programmer burde det være muligt for DanID at lave noget der også virker på Linux systemer (ARM*, i386, og x86-64), hvis bare de håndterer al USB trafik til enheden i en .NET user-space device driver.

*: Raspberry Pi, Raspbian (Debian Linux for Raspberry Pi).

En anden ting der bekræfter det at de direkte skriver at der er support for Linux, og også MAC OS, foruden Windows på http://www.gemalto.com/products/dotnet_card/ :

Support for Windows, Linux & Mac Operating Systems

Tænk sig hvis DanID for en gangs skyld har lavet det så det er lavet næsten rigtigt fra starten af. (Java/JRE i browseren er en fejl).

Jeg tror jeg drømmer - og det er ikke et mareridt :)

Hvis bare vi kunne..

I forhold til kommunikationen med det offentlige vil den digitale signatur, hvad enten den befinder sig på hardware hos borgeren eller i et HSM hos you-know-who, ikke blive brugt til det.

Vi bliver tvangsindlagt til at kommunikere med det offentlige via Offentlig Digital Post, et webmail system som administreres af e-Boks, og borgerne får ikke mulighed for at sende rigtigt digitalt signeret post til det offentlige (det er for "besværligt" for det offentlige, står der i bemærkningerne til loven). I stedet for en digital signatur, og matematiske beviser, vil det alene være serverne hos den systemansvarlige for Offentlig Digital Post (e-Boks A/S) som står inden for hvem afsender er og at dokumentet ikke er modificeret undervejs.

For en god ordens skyld: dette er ikke en kritik af NemIDs digitale signatur, men af Offentlig Digital Post.

Indtil videre har det da gået meget godt.
Desuden er der i EU krav om at de skal have et usb stik, så det har de vel? :-)

Nej for EU siger telefoner skal ha en usb-stik til opladning. De skal ikke have et usb-host stik, så som udgangspunkt bliver det lidt svært at snakke med usb-nøglen.

Hvis man alligevel bygger sin telefon så den har et usb-stik til opladning, hvor svært kan det så være at "opgradere" til et usb-host stik?

ALLE andre har kunnet finde ud af det. Så det er bare en ting man må overveje næste gang man skal købe en mobil...