DanID: NSA har ikke bagdør til NemID - så vidt vi ved

Virksomheden bag NemID, DanID har ikke kendskab til, at den amerikanske NSA skulle have benyttet bagdøre for at trænge ind i virksomhedens systemer.

Virksomheden bag NemID, Nets DanID, benægter et hvert kendskab til, at udenlandske efterretningstjenester som NSA skulle have bagdøre i it-systemerne, så de kan følge med i danskernes gøren og laden med NemID.

Udmeldingen kommer, efter Den amerikanske efterretningstjeneste NSA ifølge eksperter med stor sandsynlighed har bagdøre i udbredte sikkerhedsløsninger, og i princippet har NSA dermed også haft adgang til centrale dele af den danske infrastruktur. Hverken Folketingets administration eller Center for Cybersikkerhed har dog ønsket at svare på spørgsmål om dette.

Læs også: Ekspertvurdering: NSA har bagdøre i Danmarks it-infrastruktur

DanID fortæller til Version2, at der er flere sikkerhedsmekanismer på plads hos organisationen, som skal forhindre, at et enkelt sikkerhedshul giver uvedkommende adgang.

»Vi har ingen kendskab til at NSA har eller skulle have forsøgt at få adgang til Nets DanID’s systemer. Nets DanID har klassificeret systemerne i forhold til, hvor kritiske de er. De mest kritiske systemer er beskyttet af flere lag af forskellige sikkerhedsmekanismer. Skulle der være en sårbarhed i en komponent i systemet, må det ikke kunne føre til en kompromittering. Dette er ikke gjort med fokus på NSA specielt, men som en generel best-practice foranstaltning i sikkerhedskritiske systemer,« skriver pressechef i DanID Søren Winge i en mail.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Adam Tulinius

"Dette er ikke gjort med fokus på NSA specielt, men som en generel best-practice foranstaltning i sikkerhedskritiske systemer"

Ja, for vi ved jo alle at DanID altid følger best practice.

Kære Version2; hvad er pointen i at bringe denne slags? Der er jo ingen firmaer der åbent vil indrømme at NSA, evt. gennem den danske stat, har tvunget pågældende firma til at implementere bagdøre.

Uanset hvorvidt DanID er kompromitterert af NSA, kan DanID kun benægte den slags påstande.

Edit: Ok, selvfølgelig bringer i det, for Nets skal selvfølgelig have mulighed for at benægte påstande fra en anden artikel. Det ændrer dog ikke på at det er påstand mod påstand, og den ene er mere sandsynlig end den anden. ;-)

  • 20
  • 1
#3 Povl H. Pedersen

Hvis vi tager den gamle tinfoil hat på igen, og genopliver konspirationsteorierne, så er NemID statens og NSA's bagdør til alle danske computere. Det er den eneste grund til, at man som bruger skal acceptere at NemID må læse og skrive hele harddisken. Noget der ikke burde være nødvendit for at lave en HTML 1.0 form i Java.

Når det så er sagt, så er HTTPS heller ikke sikkert. NSA kan få lavet falske certifikater til ethvert website da der er amerikanske firmaer der har trusted root i browseren. Det er vel trivielt for NSA at trække et certifikat til NemID.dk eller NemID.nu hos Verisign.

Det minder lidt om den tunesiske efterrretningstjeneste der havde fået et rodcertifikat med i IE, som automatisk dukkede op igen selvom man slettede det. HTTPS modellen virker ikke rigtigt. Man burde ihvertfald få advarsler hver gang et certifikat skifter, og gerne så man kan se om det er skiftet lang tid før udløb.

Nej, man er nødt til at finde ikke-US krypteringssoftware. PolarSSL i stedet for OpenSSL. Blowfish eller Twofish eller noget andet i stedet for AES .... - Hvis NSA har bagdøre eller lignende, så er der nok også mange andre der har.

  • 0
  • 1
#4 Lasse Frøding

Jeg undres over den mediestorm der er omkring snowden. enhver der har haft med EDB at gøre, ved at disse ting er mulige ( læs: de sker ). Og med den dårlige programmerings teknik, hvor man henter andre/andres programstumper er det mærkeligt andet. alle de programmer man er nødt til at downloade for at få en maskine til at virke gør at INGEN ER FRI FOR AFLYTNING, er du i tvivl, så se på virus og spam markedets udbredelse.

  • 0
  • 0
#5 Christian Nobel

Jeg undres over den mediestorm der er omkring snowden. enhver der har haft med EDB at gøre, ved at disse ting er mulige ( læs: de sker ).

Ja, men så længe det holdes inden for et lukket forum, så har det jo ikke almenhedens interesse.

Men når så Snowdon åbner Pandoras æske, så går det (måske) op for menigmand at der er noget helt galt, og når USA så efterfølgende indleder en drakonisk heksejagt, så er det jo med til at understrege det.

  • 0
  • 0
#8 Morten Jensen

Nej, man er nødt til at finde ikke-US krypteringssoftware. PolarSSL i stedet for OpenSSL. Blowfish eller Twofish eller noget andet i stedet for AES .... - Hvis NSA har bagdøre eller lignende, så er der nok også mange andre der har.

Du kan stadig stole trygt på symmetrisk krypto via pre-shared secret. Hvis du er bange for bagdøre i din AES implementering er det overkommeligt at lave din egen.

Algoritmerne til AES-klassen så simple at enhver med lidt matematisk modenhed kan gennemskue korrektheden. Det er en mere speget sag at gennemskue implementeringen af en RNG eller analysere kvaliteten af den. Jeg kan ihvertfald ikke på stående fod.

  • 0
  • 0
Log ind eller Opret konto for at kommentere