DanID fortsætter den tavse linje om kodegennemgang

Illustration: REDPIXEL.PL/Bigstock
Det står fortsat hen i det uvisse, hvem der kan få adgang til at se NemID-kildekoden, som Nets DanID har lovet er muligt.

Står Nets DanID ved løftet om at give adgang til at kigge NemID-kildekoden igennem?

Det er et spørgsmålet, som der ind til videre ikke er noget klart svar på.

Nets DanID vil nemlig ikke uddybe afvisningen af to datalogistuderendes anmodning om at se NemID’s kildekode. I en mail til Version2 skriver Nets DanID samme svar som de to studerende har fået: Anmodningen er ikke væsentlig nok til at Nets DanID vil bruge ressourcer på den.

Læs også: Nets DanID afviser: Studerende må ikke se kildekoden til NemID

Læs også: Nets DanID tavs om afslag på kig i NemID-kildekode

Nets DanID har tidligere lovet, at man med en seriøs henvendelse kan få lov til at gennemgå NemID’s kildekode. Men to henvendelser fra datalogistuderende om at få lov til at gennemgå NemID for at finde sikkerhedshuller, er altså ikke nok.

Version2 har modtaget følgende mail fra Nets DanID som svar:

»Vi har følgende kommentar til jeres forespørgsel om kildekoder:

Der blev i 2010 sået tvivl om tilliden til NemID i forhold til hvilke personlige oplysninger vi – via Java appletten – kunne få adgang til. Dette ønskede vi at mane til jorden ved at tilbyde en gennemgang af vores kildekoder, og det tilbud valgte vi at forny året efter.

Med over 700 mio. vellykkede logins mener vi at have vist, at løsningen er brugervenlig og at danskerne har tillid til NemID. Samtidig er NemID underlagt omfattende systemrevision for at kunne leve op til reglerne for OCES. NemID lever op til reglerne for OCES standarder, og kan i kraft af sit design ikke opsamle eller gemme personlige data fra de computere, der afvikler Java appletten i forbindelse med brug af NemID.

Nets DanID bruger betydelige ressourcer på, at eksterne eksperter vurderer og reviderer vores kildekoder jævnligt. I forhold til den aktuelle henvendelse om gennemgang af vores kildekode har vi vurderet, at begrundelsen ikke er væsentlig nok til at vi kan stille op med de nødvendige ressourcer, det vil kræve at foretage en sådan gennemgang. Men det betyder ikke endegyldigt, at vi vil afvise fremtidige henvendelser – vi må naturligvis vurdere dette fra sag til sag.

Vi har ikke flere kommentarer til den konkrete sag.«

Læs også: Kom med dit forslag: Hvem skal kigge i NemID-kildekoden?

Version2 har efterfølgende fulgt op med en række principielle spørgsmål:

  • Hvad skal der til, før i finder en ansøgning om at se kildekoden væsentlig?
  • Hvilke kriterier bliver ansøgningen bedømt på?
  • Hvad er det helt konkret for nogle ressourcer, der skal sættes af til en ansøger, som får lov at se kildekoden?
  • Hvilke eksterne eksperter reviderer kildekoden jævnligt?

Nets DanID har ikke ønsket at svare på spørgsmålene.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Müller

"Med over 700 mio. vellykkede logins mener vi at have vist, at løsningen er brugervenlig og at danskerne har tillid til NemID"

Burde nok have været:

"Med over 700 mio. vellykkede logins mener vi at have vist, at løsningen er blevet den eneste måde folk kan tilgå digitale informationer fra det offentlige."

  • 24
  • 0
Peter Mogensen

Ja - det man kan undre sig over er at et så åbenlyst uærligt udsagn ikke vækker nogle alarm-klokker i dagens Danmark.

Når nu at det er åbenlyst at NemID er blevet indført med tvang, burde det så ikke få en ansvarlig politiker eller to til at hæve øjenbrynene, når sådan en total mangel på logik fremføres som argument for en løsning?

  • 10
  • 0
Casper Bang

"Med over 700 mio. vellykkede logins mener vi at have vist, at løsningen er brugervenlig og at danskerne har tillid til NemID"

Det svarer sådan nogenlunde til McDonalds der siger: "Med 260 mia. vellykkede burgersalg, mener vi at have vist, at det er et godt produkt og at folk har tillid til McDonalds". Forskellen er, at der heldigvis ikke er nogen der tvinger en til at spise på McDonalds.

  • 12
  • 0
Peter Eriksen

Nu må de simpelthen spænde hjelmen. Både hos DanID og inde på borgen. Det kan simpelthen ikke være rigtigt, at et så inkompetent firma kan slippe afsted med, at lukke varm luft og sløringsrøg ud hver gang de bliver gået på klingen.

Det er så tragisk, så 2-3 nederlaget i går blegner ved siden af :-D

  • 5
  • 0
Anonym

Det undrer mig ikke..

Jeg har haft et par samtaler bl.a. med min svigermor, som er politiker. Og det interessante er rent faktisk, at folk uden for IT-branchen fatter brik af implikationerne : tvang, admin-adgang til maskinerne, fare for trojanere etc.

Det sted, jeg har oplevet størst "blankhed", er fra den politiske side.

  • 8
  • 0
Casper Paulsen

Det er der jo desværre ikke så meget nyt i. Problemet er jo at de tror, eller rettere de er blevet opdraget til mens de læste statskundskab, at de ved bedst og derfor lytter de ikke til branche folk.

  • 7
  • 0
Jesper Lund

Samtidig er NemID underlagt omfattende systemrevision for at kunne leve op til reglerne for OCES. NemID lever op til reglerne for OCES standarder, og kan i kraft af sit design ikke opsamle eller gemme personlige data fra de computere, der afvikler Java appletten i forbindelse med brug af NemID.

Øh? Hvad er det for et design som gør at NemID programmet, som vi installerer i GIF filer afvikler og lokalt, ikke kan indsamle personlige oplysninger og sende dem til DanID?

Jeg har via egenindsigt efter persondataloven fået dokumentation fra DanID for at de indsamler oplysninger fra min computer. Konkret er der tale om en meget lang tekststreng, men modsat DanID har jeg ingen mulighed for at fortolke denne tekststreng.

NemID programmet har adgang til at læse alle de filer som jeg selv kan læse (samme bruger), så der er ikke noget ved det "tekniske design" som forhindrer DanID i at indsamle en masse personlige oplysninger. Det er meget muligt at deres konkrete inplementering af den nuværende version af NemID ikke gør det, men det er noget andet end at sige at det er umuligt pga det tekniske design.

Når jeg ikke selv tror at DanID indsamler data fra mine filer (for tiden), er det ikke på grund af DanIDs udtalelser og "forsikringer", men på grund af den reverse engineering som nogle version2 læsere lavede i slutningen af 2011.

Det unikke fingeraftryk som DanID prøver at lave af min computer vil jeg dog betegne som en "personlig" oplysning, og i andre sammenhænge får den slags spyware aktivitet alarmklokkerne til at ringe.

Et eksempel, fra det forrige årtusinde, var da Intel fik den kreative ide at lave et unikt ID i deres Pentium processor http://en.wikipedia.org/wiki/Pentium_III#Controversy_about_privacy_issues

On November 29, 1999, the Science and Technology Options Assessment (STOA) Panel of the European Parliament, following their report on electronic surveillance techniques asked parliamentary committee members to consider legal measures that would "prevent these chips from being installed in the computers of European citizens."

  • 10
  • 0
Log ind eller Opret konto for at kommentere