DanID afviser endnu en gang kritikken: NemID er sikker nok

Jeg vil hellere bruge "Login with Facebook" end NemID til at logge ind på min netbank,... ;)

Re: Sølvpapirshat vs. klaphat

Der er intet valg længere. Min kone kan ikke få sine lønsedler, uden at bruge NemID. ( Hun er ansat i en kommune ) Jeg har ikke gyldigt sygesikringsbevis, for jeg er uden NemID. Vores børn kan ikke få SU, uden NemID. Der ER intet valg, NemID eller meld dig ud af samfundet.

Min mor har lige fået NemID for en måned siden. Hun fungerede vist fint lige op til det, og har i øvrigt ikke taget det i brug endnu. Du stiller skræmmebilleder op der ikke har belæg i virkeligheden. Vi kan naturligvis godt blive enige om at det er mest praktisk hvis man har NemID.

Sune sådan er det bare. På nåde og fromme, fik hun udskrevet sine lønsedler for de sidste 3 måneder. Men hun fik også besked på, at det er ikke noget hendes ansættelseskommune vil gøre i fremtiden. Hvordan man kan have et ansættelsesforhold, uden at kunne få sin lønafregning, er der ikke redegjort for.

For min familie, betyder det, at vi enten må flytte ud af landet, eller underkaste os DanID, ellers kan vi ganske enkelt ikke eksisterer. Det er ikke for sjov, det er realiteterne !

Når du stiller det så grotesk firkantet op, fremstår det altså lidt sjovt.

Hvad mener du ? Jeg har ingen læge og sygesikringsbevis, min kone kan ikke få sin lønafregning, vi kan hverken teoretisk eller praktisk, benytte NemID, og derfor heller ikke deltage på anden måde i samfundet. Det tvinger os jo til at finde en anden løsning. Da vi begge har boet i mindre totalitære lande, er det vel naturligt at vi tager denne mulighed op igen. Godt og farvel tvunget ud af vores fædreland, med baggrund i, at vi ikke har samme rettigheder som 3 millioner andre.

Fremgangsmåden i identifikationskoden, altså det 3 delte nøglesystem, er der redegjort for, hvor enkelt det er at kompromitterer. Det er legetøj for lommetyve og amatørhackere.

Det må du gerne uddybe. Hvordan skulle det gøre det let? Altså, vi kan sagtens blive enige om at det kan phishes, men det kan de fleste ting, specielt hvis de samtidig skal være fleksible og enkle at anvende. Hvad er det specifikt du mener gør NemID til et let mål, som du antyder?

Det har jeg svaret på i andet indlæg. Der er grænser for hvor meget jeg vil uddybe det offentligt.

Når man tilsvarende kigger på, hvilket dårligt håndværk der ligger bag ved NemID, så bliver man jo nærmest rystet. Ikke mindst, når man ved de benytter "skjult" kode, så det gøres nemmere at foretage et "sikkert" hack / misbrug.

Hvordan skulle noget kode der er lagt i en fil men endelsen GIF og som har til formål at indsamle data til et fingerprint af maskinen skulle gøre det nemmere at foretage et sikkert hack?? Hvad betyder et "sikkert" hack? Ville det ikke være endnu mere sikkert hvis der ikke var nogen måde at identificere maskinen på?

Den samme "skjulte" fil, åbner for andre hackere, så de tilsvarende kan benytte en lignende fremgangsmåde. Man skal blot finde ud af hvilke filer der er tale om, så kan man virkeligt benytte det til at overtage en PC, og gøre det, så selv DanID tror at den ægte identitet, er den falske.

Grunde som tilsidesætter nationale sikkerhedsspørgsmål, må være meget væsentlige. Det må ligge ud over national sikkerhed, ellers giver det ikke mening. Jeg skal ikke her redegøre for hvilke motiver der ligger til grund, for det kan jeg kun gisne om !

Jeg vil tro motivet er at skabe en løsning som er god nok i praksis, og nem for de fleste at anvende. Hvorfor tror du absolut at der skulle ligge en masse dystre eller hemmelige motiver bag? Det lyder som en spionfilm...

Det har jeg egentlig svaret på. Jeg tror ikke på spionfilm. Jeg forholder mig kun til at der er en masse muligheder, som kan og bliver udnyttet. Der er skrevet side op og side ned om emnet her på V2, men der er også på TED netop afholdt et foredrag om emnet. Det er virkeligt "stort" ude omkring i verden, så hvis du følger lidt med, vil du vide at det også internationalt er noget med fokus på.

Man tillader finanssystemet, ( kartellet ) at misbruge især de svageste i samfundet, for at kunne gennemføre absolut magt over borgerne, uden at sikre borgernes basale rettigheder i retsstaten. Det KAN ikke blive tættere på hvad der skete i Nazi-Tyskland. Virksomhederne hedder bare ikke det samme, og det hedder ikke nationalsocialisme. Men de er 100 % det samme som sker !

Det her er jo fuldstændig umuligt at tage seriøst. Ingen af dine sammenligninger er i nærheden af at være korrekte.

Det er dem som har brug for offentlig hjælp, der SKAL bruge NemID. Dvs. samfundets svageste, står først på listen. Nu må du komme lidt i gear, og interesserer dig for emnet !

Sådan ER det ! Det ER fakta !

Nej det er det bestemt ikke, det er dine meninger, holdninger og fuldstændig grundløse gæt. Du har desuden ikke fremlagt beviser for dine påstande.

Der er intet der har grundlag i gæt. Men DU følger vist ikke rigtigt med, kan jeg læse.

Det er kun nogen få tiltag der skal ændres, som har grundlag i en enkelt metode, så er ovenstående kritik ikke mulig og ingen har længere grund til at gå med sølpapirhat, eller skal være nervøs ved at benytte NemID.

Efter sammenligningen med nazimen og facismen er det overraskende at der nu kun skal få tiltag til at fikse ALT. Gælder det så også for nazismen og facismen?

Jeg har redegjort for, at man skal identificerer i første person, ellers hører det ikke hjemme i et frit Demokratisk retssamfund. DER må du virkelig i gang med at læse op på grundlaget for det samfund du befinder dig i. Det er måske der filmen knækker for dig, du ved simpelthen ikke hvilke mekanismer der holder samfundet frit.

Men det vil man overhovedet ikke kigge på, man vil kun fortsætte kompromitteringen og misbruget af borgerne.

Hvori består misbruget?

Hold tingene i syntaks og forstå hvorfor vi har et frit samfund, så vil du forstå.

Men grundlæggende, så handler det om magt. Magten i det frie Demokratiske samfund, er delt i 3. den lovgivende, den dømmende og den udøvende. ( Upåagtet at Danmark er et konstitueret Monarki )

Der er folketinget, som lovgiver. Der er retssystemet, som dømmer. Der er politiet som udøver det praktiske. Der er IKKE nogen private virksomheder i den forbindelse ! Du må kun kunne identificeres i første person, i relation til det magtsystem du er borger under. Altså med et førerbevis på vejene, et Pas ved grænsen, osv. Du skal kun identificerer dig på forespørgsel, du skal selv bestemme hvem du vil identificerer dig over for, ingen kan identificerer dig på vegne af dig uden dit vidende. Det er nogen af de grundlæggende principper. Som du sikkert har lært i Samfundslære i folkeskolen, hvis du eller ikke sov. Du kan ikke engang blive gift, uden at blive tilspurgt i første person. Det er principper som går tilbare til stenalderen, i hvert fald for mænd. Kvinder kom først med senere. Skal du have taget en blodprøve, spørger de dig også meget nøjagtigt om din identitet, i første person. Det er et helt grundlæggende princip, at man ikke kan identificerer på vegne af af andre, og hvorfor skal man også det, når det kan gøres i første person. Skulle jeg bede betjenten om at kontakte DanID, næste gang jeg kører for stærkt, for at DanID så skal bevidne at jeg er Thomas ? Eller betjenten kan måske ringe til dig, eller din mor ?

Du må i gang med at finde ud af, hvad der er de grundlæggende principper, mellem identiteterne ( borgerne ) i samfundet, og den magtstruktur som samfundet består af. Her kommer PBS / Netz / DanID, ikke engang i betragtning. Det er private virksomheder, som er underlagt magten, og på ingen måde selv må udøve magt, herunder identificerer nogen borger over for Staten eller andre.

Over for retssystemet eller demokratiet, skal alle være lige ! En privat virksomhed, må ikke repræsenterer identifikationen af dig, slet ikke uden dit vidende, det er noget du helt entydigt skal kunne selv. Det er helt ude i fascisthampen, når en virksomhed identificerer dig over for Staten. Oven i købet i 3'die person. Så er du jo ikke længere beskyttet og underkastet Staten, men den private virksomhed.

Det er muligt at du kan identificerer dig selv i første person. Så der er ingen grund til at en privat virksomhed skal gøre det for dig i 3'die person. Du vil få en ny unik nøgle i hver eneste identifikationssituation, du kan identificerer dig selv, over for hvem som helst i første person, med adgang til internettet og det virker over hele internettet. Det må være helt grundlæggende, at man tilgodeser denne rettighed, også når man godkender et system som NemID. Det er en basal menneskerettighed, som vi sender soldater i krig for at forsvare.

Nogle mennesker foretager nogle tåbelige valg i deres liv. Nogle vælger at fortælle alt om dem selv på Facebook o.l. og bag efter fortryder de.

Er Facebook i virkeligheden et CIA-værktøj? Næppe, men indslaget er nu meget sjovt:https://www.youtube.com/watch?v=ZJ380SHZvYU

Well, nu er indslaget så ikke sjovere end at der allerede er en del mennesker i DK der er blevet afsløret i socialbedrageri via Facebook. Er den første tanke så "søvpapirshat" eller "klaphat"?

Nogle mennesker vælger frivilligt og med begejstring NemID. Dem om det.

Andre tilvælger NemID, fordi de af en eller anden årsag er tvunget til det. Er det rimeligt?

Nogle tredje vælger at bruge NemID via en eller anden form for isoleret "sandkasse" fx VM, og gør på den måde livet svært for sig selv. Måske uden grund?

Nogle fjerde fravælger helt NemID og affinder sig så med det mere komplicerede liv de får ud af det. Sølvpapirshatte eller klaphatte?

Nu er der nogle der ville kalde en eller flere af ovenstående grupper for klaphatte eller andet, men for mig er det grundlæggende problem, at der ikke noget valg. Der er kun et valg man kan foretage: NemID eller ej. Når så det eneste valg er designet forkert fra bunden af, så ser det rigtig sort ud. NemID er forkert på så mange punkter at det gør helt ondt (key-escrow, java, trojaner, one-point-af-failure, etc).

Det ville unægteligt være nemmere hvis verden kun bestod af mennesker der ville det en godt, men sådan er det ikke altid: "Falske apps dræner din konto" https://fpn.dk/digitalt/mobil/article2603103.ece

Vi har en del grundlæggende love vi bliver nødt til at forholde os til, fx tyveri. Hvis du mener at tyveri er helt OK, så vil du have et problem med dem der ejer de ting som du stjæler. Men hvis man mener at NemID er noget af det dårligste EDB-håndværk der er set i nyere tid, så kan det rent faktisk godt være at man ikke bærer en sølvpapirshat - klaphat!

NemID fratager retten fra borgeren til at deltage i de dele af samfundet, som borgeren betaler for. dermed ar almindelige rettigheder flyttet fra borgeren, til DanId, gennem NemID. Helt konkret, kan man ikke modtage sociale ydelser, eller på anden måde forholde sig til det offentlige samfund, med mindre man underkaster sig DanID. Det er klokkeren fascisme ! Hvor man overlader alle borgernes rettigheder til et privat firma, som har grundlag i et bankkartel, oprindeligt PBS.

Borgerne er på ingen måde sikret, det er gentagne gange beskrevet, også her på Version2, men især af Danske og udenlandske sikkerhedsvirksomheder.

Den seneste kritik fra IT-sikkerhedsrådet, er kun et enkelt eksempel, Datatilsynet har også udestående kritik som har stået ubesvaret i årevis. Yderligere, så omgår DanID åbenlyst sandheden, når DanID postulerer at sikkerheden er blevet højnet, også beskrevet af andre i tråden.

Oven i, så er man blevet bedt om at udføre en opgave, hvor man sikkert identificerer brugerne, dette har man ikke løst.

Tilgængeligheden, altså NemID det skal kunne benyttes af brugerne, har man reduceret i, ved ikke at løse opgaven omkring mobile enheder. I den forbindelse har man oven i købet helt fjernet muligheden, selv om enhver udvikling peger på, at brugerne fortrinsvis vil benytte mobile enheder i fremtiden. De 99,9 %, vil man ikke redegøre for. I realiteten, er den langt under, for det er 0 % for store dele af dem der har fået påtvunget en NemID.

DanID leverer ikke den vare som de har sat i udsyn, de leverer ikke en vare der vil fungerer i fremtiden og de leverer ikke en vare som brugerne har tillid til. Det er Fakta.

Det er ligeledes fakta, at de har fået tilbudt en løsning der retter deres problemer, men den vil de ikke tage stilling til. De foretrækker at lade 3 millioner brugere være kompromitteret. Det kan der kun være en eneste grund til, det er at DanID ikke ønsker at brugerne skal vide hvem der tilgår brugernes NemID og med hvilket formål brugernes NemID bliver tilgået. Det er 100 % samme fremgangsmåde som man benyttede i Nazi-Tyskland, med et formål, som også den gang var skjult for de forurettede.

... men vi er trods alt bedre stillet MED NemID end uden. Jeg synes dog ikke at version 2 kan komme hurtigt nok - og alle punkterne fra sikkerhedsrådet bør adresseres.

Undskyld mit franske, men mage til gang opblæst mundlort skal man da lede længe efter.

Hvor sagligt... men har han måske ikke ret i hvad man kunne kalde hovedpointen?

»Med NemID har vi fået et markant de facto løft af sikkerheden, både for det offentlige og for bankerne.«

Det tror jeg.

»Det er vigtigt for os at sige, at det jo ikke er Nemid, der bliver misbrugt som sådan, det er nogle uheldige kunder, der i forbindelse med et phishing-angreb afgav deres fortrolige NemID-oplysninger,« siger han.

DanID har ikke fortalt brugerne hvordan man kan kende forskel på en rigtig og en falsk NemID login-boks. Så derfor er det ganske åbenlyst DanID's skyld hvis brugerne taster deres password ind i en falsk NemID login-boks - for hvordan skulle brugerne have vidst bedre?

Husk at andre single sign-on systemer, så som OpenID, modsat NemID netop har en metode som brugeren kan bruge til at checke hvem han sender sit password til - nemlig domainenavnet i adressebaren.

Det er ret tydeligt at DanID alene interesserer sig for netbank sikkerheden. Det er bestemt forståeligt. DanID er en forretning, og det er kun ved kompromittering af netbank sikkerheden at DanIDs ejere kan komme til at hænge på regningen. I alle andre tilfælde har DanID fraskrevet sig ansvaret i de aftaler som vi helt "frivilligt" har indgået med DanID.

Derfor er DanID fuldstændig ligeglade med borgernes sikkerhed. Identitetstyveri via et MiTM angreb? Helt klart muligt, men det er ikke DanIDs problem. DanID er åbenbart ikke engang i stand til at oplyse om der har været forsøg på dette?

Et andet eksempel på at DanID er fuldstændig ligeglade med borgernes sikkerhed er den skjulte informationsindsamling som DanID laver via NemID appletten, der retteligt burde kaldes NemID trojaneren. DanID har bevidst skjult at de lavede denne informationsindsamling, og vi har (indtil for kort tid siden hvor det blev afsløret via reverse engineering) fået bortforklaringer om at NemID appletten skulle være signeret Java bytecode for at skrive til en lokal logfil, og at den skam ikke indsamlede oplysninger om vores computere.

Sandheden er imidlertid at NemID appletten skulle være signeret Java bytecode for at den kan være en bootloader der downloader native code (skjult i GIF filer, naturligvis..), som snager i vores computere. Det lyder som en indledende forelæsning i Malware 101.

I den aftale som NemID brugerne får præsenteret på nemid.nu står der stadig at oplysninger om brugernes computere kun skrives til ~/danid.log, men det passer ikke. Det samme gælder den nye opdaterede NemID aftale som jeg lige har fået præsenteret i min netbank. Jeg er klar over at der står noget andet på danid-nets.dk, men det er altså ikke den aftale som vi har indgået med DanID. Formentlig har DanID endnu et skjult dokument som de kan henvise til, hvis der en dag er nogen som kan afsløre det præcise omfang af DanIDs informationsindsamling, eller hvis DanID via en ny version af NemID trojaneren får lyst til at udvide denne informationsindsamling.

Og på trods af de gentagne usandheder om hvad NemID appletten laver bliver DanID ved med at sige at vi skal stole på dem (et meget letkøbt udsagn eftersom vi ikke har noget valg).

Det er ikke særligt betryggende at bruge NemID, og mange IT-kyndige brugere har valgt at sandboxe al NemID brug i en VM som alene bruges til NemID formål. Det fjerner risikoen for at DanID indsamler personlige oplysninger fra computeren (hvis denne sandbox er klinisk renset for personlige oplysninger), men det gør det altså temmelig besværligt og ikke særligt brugervenligt at bruge NemID.

Men alt dette kan DanID være ligeglade med. De har monopol, og staten er godt i gang med at tvinge de sidste hold-out personer (uden NemID) til at blive kunder i butikken og endda tage hele pakken med NemID OCES hvor DanID kontrollerer borgerens digitale underskrift.

De samme politikere er tilsyneladende fuldstændigt ligeglade med at DanID kun har leveret halvdelen af den digitale signatur som borgerne skulle "tilbydes". Den model hvor den private nøgle befinder sig på et smartcard under borgerens enekontrol er udsat på ubestemt tid.

For ikke så mange år siden blev de fleste transaktioner autentificeret ved hjælp af brevpapir, stempler og underskrifter. Det var ikke særlig sikkert, alle vidste at det ikke var det, men det fungerede alligevel og svindel var sjældent. I forhold til dette er NemId tusind gange mere sikkert, det fungerer i praksis, og svindel er endnu mere sjældent. Så indtil svindel viser sig at være et reelt problem synes jeg kritikerne skulle få lidt perspektiv på sagerne.

"Det sidste halvandet år har det (NemID, red.) med ét sat en prop i det misbrug, der var, i netbanker, og som faktisk var ved at udvikle sig til at være et problem"

Det må vist siges at være en problematisk omgang med sandheden:https://www.version2.dk/artikel/voldsomt-fald-i-netbankindbrud-men-ikke-paa-grund-af-nemid-17964

hvad DanID anser for sikkert, når borgerne, der bliver tvunget ind i systemet, ikke er enige.

Jeg vil gerne benytte lejligheden til at takke sikkerhedsrådet for at sammenfatte en saglig liste over de vigtigste punkter, hvorpå NemID kan og bør forbedres, hvis konstruktionen skal gavne andre end bank-kartellet.

Som ventet, og som en anden debattør påpegede tidligere, kan DanID's svar på den konstruktive kritik sammenfattes som; "Rend os i røven" Ligeledes er det som ventet tydeligt, at den eneste sikkerhedsmæssige kritik som DanID forholder sig til, er den kritik der vedrører potentielle økonomiske tab for bankerne.

Derfor er der nu brug for, at andre IT-politiske foreninger, interesse-organisationer, it-ordfører og lignendene gentager kritikken, gerne med sikkerhedsrådets anbefalinger som en fornuftig baseline.

Man kunne tilføje et punkt på listen; Loftet over bod til DanID skal fjernes totalt. Det er åbenlyst uhensigtsmæssigt, at DanID har mulighed for at blæse på alle forpligtelser, så snart den symbolske max-bøde på 4 mio er betalt.

Kære fagforeninger, it-politiske interesseorganisationer, tænketanke, sikkerhedseksperter, it-ordfører, kommuner og private borgere. Her er en saglig liste over kritikpunkter, som i hjertens gerne må have med i baghovedet, hver gang NemID konstruktionen diskuteres. Betragt den evt som et ufravigeligt minimum for næste generation NemID, eller lad det være udgangspunkt for en diskussion om, hvordan man kan fremtidssikre systemet.https://www.rfsits.dk/mxcms.aspx?itemId=26&newsId=35

Det er vigigt at komme med denne kritik ved enhver given lejlighed, da det er tydeligt, at borgernes og DanIDs interesser er modsat-rettede, og at der derfor skal gøres et massivt arbejde for at rette op på situationen og reelt give Danmark chancen for at blive et gældende IT-samfund.

Andet er der vist ikke at sige.

Undskyld mit franske, men mage til gang opblæst mundlort skal man da lede længe efter.