DanID om centralt lagrede nøgler: Det afgørende er, om de kan misbruges

Interview: Direktøren for DanID afviser kritik af, at virksomheden i den kommende NemID-løsning ligger inde med alle borgernes nøgler og data.
  1. juli 2010 begynder de første NemID'er at rulle ind på danskernes computere, hvor blandt andet danskernes brug af netbanker skal sikre den nye løsning succes, i modsætning til den skæbne, der er blevet den eksisterende digitale signatur til del.

Johnny Bennedsen er administrerende direktør i PBS-ejede DanID, som står bag den kommende NemID.

Hvorfor har I valgt en løsning med et nøglekort i form af et papkort i stedet for at sende koder ud til folk via eksempelvis mobiltelefonen?

»Vi har lagt vægt på, at løsningen skal være simpel og enkel at bruge. Altså noget alle kan bruge. Og så har vi helt grundlæggende lagt meget vægt på sikkerheden. Vi har gennemført nogle brugertest for at sikre os, at alle kan forstå det her. Vi har testet 4-5 forskellige løsninger, og det har vist sig, at det, som de fleste kunder har haft lettest ved, har været et papkort. Det er ikke, fordi en løsning med et elektronisk nøglekort eller en løsning med mobiltelefon nødvendigvis er meget svær, men der er nogle andre udfordringer. Eksempelvis kan den hackes som en almindelig pc. Derfor har vi taget denne her sikre vej, så alle brugere får en god oplevelse. Men på sigt er det jo ikke sådan, at vi har tænkt os, at nøglekortet skal være den eneste løsning. Der skal være en vifte af forskellige løsninger, og lige nu arbejder vi på en køreplan for de andre også.«

Der har været rejst kritik af, at NemID-løsningen betyder, at I ligger inde med alle nøgler og data, som er nødvendige for at kunne identificere sig som borger. Ved den tidligere løsning havde brugeren jo sit eget certifikat liggende lokalt. Hvordan har I tænkt jer at sikre, at der ikke vil kunne ske misbrug - eksempelvis ved at en ansat får adgang til data og udgiver sig for at være en borger?

»Det afgørende her er, om man kan bruge nøglerne. Jeg har lagt mærke til den debat, der har været på forskellige blogs osv. Det afgørende er jo, hvordan man kan komme til at bruge nøglerne. Og det er sådan, at muligheden for at komme til at bruge nøglerne - uanset om de er lagret decentralt på et chipkort eller på din pc, eller om de er lagret, som vi gør, i ettamper resistantmodul inde i en maskine. Det afgørende er jo, at du som bruger er sikker på, at nøglen ikke kan bruges, uden du har aktiveret den. Og det er faktisk også et af de afgørende principper i IT- og Telestyrelsens certifikat-politik, og den lever vi op til. De nøgler, vi har lagret i et sikkert modul, er ikke bare noget, man lige piller ud. Og hvis nogen skulle få ulovligt fat i din private nøgle, som er lagret hos os, så ville de ikke kunne bruge det uden din medvirken. Det er jo nødvendigt med den personlige kode, som kun du ligger inde med, for at aktivere nøglen. Og koden har du inde i dit hoved.«

Men I ligger jo også inde med min kode for at kunne validere den, når jeg indtaster den, og med nøglekortsdataene, for at I kan validere dem?

»Dels ligger vi ikke inde med brugerens kode i klartekst, idet valideringen af koden sker via en protokol hvor dette ikke kræves. Og dels har vi haft nogle uvildige virksomheder til at kontrollere, at vores løsning er sikkerhedsmæssigt forsvarlig,« siger han.

Læs hele interviewet med Johnny Bennedsen i fredagens udgave af Ingeniøren.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (35)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Mogensen

i ettamper resistantmodul inde i en maskine. Det afgørende er jo, at du som bruger er sikker på, at nøglen ikke kan bruges, uden du har aktiveret den. Og det er faktisk også et af de afgørende principper i IT- og Telestyrelsens certifikat-politik, og den lever vi op til. De nøgler, vi har lagret i et sikkert modul, er ikke bare noget, man lige piller ud. Og hvis nogen skulle få ulovligt fat i din private nøgle, som er lagret hos os, så ville de ikke kunne bruge det uden din medvirken. Det er jo nødvendigt med den personlige kode, som kun du ligger inde med, for at aktivere nøglen.

Er jeg den eneste, der gerne ville have den gang ordgejl bekræftet af en uvildig teknisk undersøgelse?
Præcis hvordan sikrer den personlige kode man har i hovedet f.eks. den private nøgle i at blive misbrugt selvom den er kompromiteret? Når jeg modtager et signeret brev, hvad i underskriften vil så kræve at der har været kendskab til min "personlige kode" ? ... og hvor er den kode kommet fra? Det er vel ikke en assymetrisk nøgle? Så jeg har vel fået den fra DanID? Ergo, er der flere der kender den end mig.

Jeg er iøvrigt ikke enig med Johnny Bennedsen. Det vigtige er om den er lagret centralt - ikke om han mener den er "tamper resistant". Det andet er en respektløs bortforklaring af et demokratisk problem.

  • 0
  • 0
Thomas Alexander Frederiksen

dels har vi haft nogle uvildige virksomheder til at kontrollere, at vores løsning er sikkerhedsmæssigt forsvarlig

Hvem er disse "uvildige virksomheder"?

Hvis jeg ikke husker helt forkert skal den løbende "uvildige revision" jo ske ved at folk fra PBS kontrollerer, og det er jo bare den ene hånd der vasker den anden...

  • 0
  • 0
Jesper Louis Andersen

Det afgørende er jo, at du som bruger er sikker på, at nøglen ikke kan bruges, uden du har aktiveret den.

Den sikkerhed fås bedst ved at man følger EU direktiv 1999/93/EC. Det gør man ikke. Det er helt tydeligt i og med løsningen ikke kan kvalificeres til at være en "avanceret digital signatur":

(c) it is created using means that the signatory can maintain under his sole control

se http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31999L0093:E...

Angrebsvektorer: Hvis privatnøglen ligger lokalt er det game-over når en hacker får adgang til maskinen. Selv om jeg beskytter nøglen med et password via PBKDF2, så skal en hacker bare aflytte mit tastatur for at kunne se hvad jeg taster og så er det game over.

Hvis privatnøglen ligger hos DanID er det game-over når en hacker for adgang til maskinen. Selvom DanID beskytter nøglen med et password og "ikke" kender til passwordet (SRP er een løsning, men i praksis benytter de fleste en PBKDF2-variant til dette også), så skal en hacker bare aflytte mit tastatur for at at kunne se hvad jeg taster og så er det game over.

Jeg har meget svært ved at se hvordan sikkerheden er blevet forbedret alene ved at DanID opbevarer nøglen. Forbedringen af sikkerheden kommer fra papkortet med en separat kanal af nøgler - ikke af den her del. Desuden bør det publiceres hvorledes teknologierne benyttes. Har DanID nogensinde adgang til min kode, for eksempel. Hvis ja så giver det mig ikke megen ekstra sikkerhed mod misbrug. Jeg har desuden på fornemmelsen at det ikke er en kode som vil blive brugt til at kryptere privatnøglen da den "ligger et sikkert sted".

Hele det her DanID-projekt stinker fordi der er en kommerciel partner hvis primære formål er at profitere på de danske borgere. I det her tilfælde er det bankerne. Hvis Danmark som land havde en seriøs tilgang til Internettet, så ville staten stå for at være CA for dets borgere. Konceptet med at udlicitere det til den private sektor er virkeligt kortsigtet. Naturligvis er bankerne ude på at tjene penge på den her løsning, men det er ikke en hjælp til borgeren.

Konceptet stinker også fordi det for enhver person med bare et minimum af viden omkring public-key-cryptography kan se problemet: Formålet med den centrale placering af nøglerne er alene så politiet kan få indsigt i data krypteret med nøglen. Det er bemærkelsesværdigt i terrorsammenhæng. Specielt fordi det er terror mod befolkningen at de ikke har kontrol med deres egen underskrift eller privatliv. Desuden er det dumt. Enhver terrorist med bare et minimum af viden omkring public-key-cryptography kan se problemet: Man vælger bare at sprede nøglerne på anden vis.

  • 0
  • 0
Martin Kofoed

Han når kun lige at åbne munden, før man bliver sur:

Vi har lagt vægt på, at løsningen skal være simpel og enkel at bruge. Altså noget alle kan bruge.

Yes, yes.. Min netbank går fra at være en ren HTML-baseret løsning, som er noget alle kan bruge alle steder -- simpelt og enkelt, for at blive i Johnny Bennedsens retoriske univers -- til nu at kræve noget så 1999-agtigt som en APPLET. Denne applet kræver en speciel version af et Java-browserplugin. Disse versioner er ikke til stede på NOGEN af de mobile platforme, jeg kender til.

Så nu skal min bank altså til at specialudvikle klienter til vidt forskellige mobile platforme, hvis kunderne skal kunne logge ind denne vej. Vi er sat MARKANT tilbage i tid hér, og det undrer mig såre, at bankerne er så hurtige til at slå hælene sammen, og deponere en så vigtig del af den overordnede usability-oplevelse hos en tredjepart. Vil du logge ind på din nye iPad? Det virker indtil den 1/7 - nyd det!

NemID er efterhånden blevet pillet fra hinanden på det krypto-teoretiske plan, men når Johnny ævler om "simpelt og enkelt", så glemmer han lige at nævne behov for browser-plugin. Et behov som i langt de fleste tilfælde kun kan løses, når man tænker på browseren som noget, brugeren har fuld kontrol over. Og det i en tid, hvor den klassiske opfattelse af en personlig computer i DEN grad er under nedbrydning.

Det er forstemmende at være vidne til "one login mechanism to rule them all" blive tvunget ned over sagesløse bankkunder.

  • 0
  • 0
Thomas Vestergaard

Yes, yes.. Min netbank går fra at være en ren HTML-baseret løsning, som er noget alle kan bruge alle steder -- simpelt og enkelt, for at blive i Johnny Bennedsens retoriske univers -- til nu at kræve noget så 1999-agtigt som en APPLET. Denne applet kræver en speciel version af et Java-browserplugin. Disse versioner er ikke til stede på NOGEN af de mobile platforme, jeg kender til.

Hvilken netbank er det?

Alle de netbanker, som jeg har benyttet mig af indtil videre, har benyttet sig af Java-appletter til at sikre kommunikationen med brugeren. E.g. Danske Netbank, Nordeas netbank, Portal bank (som bliver brugt af mange sparekasser), mf.

  • 0
  • 0
Anton Lauridsen

Mit helt store problem med DanIDs løsning er at samme organisation både udsteder certifikater og lagrer de private nøgler.

Det er gentagne gange påvist at den største sikkerhedstrussel ikke kommer fra internettet men fra lokale brugere, der i enten god eller ond tro skaber sikkerhedsproblemer.

Så længe nøgle generatoren, certifikat udstederen og nøgle lageret er samlet i en enhed og ikke både fysisk og logisk adskilte enheder kan man ganske enkelt ikke troværdigt argumentere for at løsningen er sikker.

Hvordan kan en mand som Johnny Bennedsen tro at hans løsning kan sikres ved revisions kontrol? Selvom revision skulle finde problemer er det jo svarende til søgning efter virus. Revision kan ikke garantere internt misbrug, højest påvise at den har fundet sted. Den eneste løsning der fungerer mod internt misbrug, er ved at sikre sig at der er tale om 3 separate enheder, således at begrebet "internt" er ikke eksisterende.

Som jeg ser det, skyder DanID sig grundigt i foden ved at prøve at manøvrere uden om loven om elektroniske signaturer. Al erfaring med sikkerhed viser at forsøg på at benytte sig af lukkede protokoller og politikker kun forringer sikkerheden.

  • 0
  • 0
Martin Kofoed

Hvilken netbank er det?

Jyske Netbank. Har altid virket alle steder i alle browsere. Det er slut fra og med 1/7 2010.

Det har endda helt fra starten været en salgsparameter for netop Jyske Netbank i forhold til andre netbanker:

kortlink.dk/7ss7

  • 0
  • 0
Anton Lauridsen

Sørgeligt... Jeg har ellers brugt Jyske Netbank med glæde, nettop fordi det bare virkede på alle browsere, og brugen af de papkort baserede one time passwords har altid slået mig som en tilpas lavteknisk løsning til at jeg har stolet på den.

Sørgeligt at det er slut, så må vi se om der kan findes en ny bank med en tilsvarende god net banks løsning.

Brugen af papkort med pin koder eller one time passwords er den eneste gode ting jeg lige kan se ved NemID.

  • 0
  • 0
Martin Kofoed

Sørgeligt at det er slut, så må vi se om der kan findes en ny bank med en tilsvarende god net banks løsning.

Så skal du lede uden for landets grænser. NemID er en såkald "sektorløsning", dvs. alle banker bakker op om den. Så med det argument kan (og bliver) enhver indsigelse parkere(s|t).

  • 0
  • 0
Flemming Frandsen

Det ville godt nok være smart hvis nogen manipulerede med menighedsrådsvalget via hullerne i NemID, så ville man slå to fluer med et smæk:

1) Digitale valg vil blive afsløret som usikre og vi kan slippe for at høre på det pladder fra IT-analfabetiske politikere i et stykke tid.

2) NemID vil blive afsløret som det klyt det er og droppet.

Gad vide hvor ulovligt det er at gøre sådan noget, sikkert "alt for", men det ville være godt med en stor offentlig demonstration af hvor stor en fejl man er ved at begå.

  • 0
  • 0
Daniel Udsen

Dybest set handler det om hvor man ser de største fare for fejl DanID operere på den antagelse at store burokratier ikke kan lave fejl mens man ikke kan stole på små lokale systemer, PKI modellen går ud fra at at der er fejl i alle kædens led propertionelt med hvor vigtigt det er, og derfor har man forsøgt at sprede risikoen så en fejl påvirker så lokalt som mugligt, og holdt alle dele af kæden så isoleret som mugligt.

Denne her totalt omvendte tilids model er grunden til at de to lejre snakker helt forbi hinanden.

Med danid vil stort set alle andgrebs vektorer berøre samtlige nøjler Med en PKI system er de fleste andgrebs vektorer rettet imod individuelle slutbrugeres datasikkerhed/diciplin.

At bruge ordet simpel om DanID er meget meget forkert, det er svjv den mindst simple løsning der overhovedet findes. Jo der er et element af analog krypterings teknologi i papkortne men det heler er fedtet ind i en central server hvor alt aligevel håndteres digitalt.

  • 0
  • 0
Jesper Lund

I forbindelse med et §20 svar har DanID over for ITST oplyst at de kan omgå deres egen "sikkerhed" og tiltvinge sig adgang til borgerens "private" nøgle
http://www.ft.dk/samling/20072/almdel/uvt/spm/219/svar/574868/601811.pdf

I svaret til ITST er det underforstået at dette overgreb skal ske efter en dommerkendelse eller andet påkrav fra staten (PET bruger vist ikke dommerkendelser?), men hvad man teknisk kan gøre med en dommerkendelse, kan man også teknisk gøre uden en dommerkendelse.

Jeg siger ikke at DanID har tænkt sig at gøre dette, men spørgsmålet er stillet som "... det afgørende er om nøglerne KAN misbruges?", og så må svaret være JA. Nøglerne kan misbruges hvis DanID beslutter sig for at gøre det.

Man har lavet et system som forudsætter at alle landets borgere har en helt urimelig grad af tillid (NemBorgere?) til at staten og den private aktør DanID ikke misbruger den enorme magt, som de har tiltaget sig (som en tyv om natten, i øvrigt) via den nye digitale "signatur".

  • 0
  • 0
Anton Lauridsen

@Daniel
Tak for forklaringen om at DanID tror at et stort bureaukrati vil være mere sikkert end en distribueret løsning. Det var overhovedet ikke gået op for mig at nogen virkelig kunne have den overbevisning.

Men det giver jo rigtig god mening på denne måde.

Hanlon's razor:
Never attribute to malice that which can be adequately explained by stupidity.

  • 0
  • 0
Michael Nielsen

Hvordan ville jeg angribe NemId?

Jeg ville benytte phishing, få brugeren til at tro en side er noget andet end hvad den er. Feks ved at angribe en DNS server, der ved kunne jeg omdirigere en bruger til en side som jeg kontrollere, som ser ud som den side som brugeren ville ind på, feks en offentlig service side.

Når brugeren er her inde ville jeg bede brugeren om at logge ind via NEMID, nu har jeg brugerens password, OG en papkort nøgle, jeg vil så returnere tilbage til brugeren at den papkort nøgle har allerede været brugt, nu har jeg 2 pap koder.

Jeg kan så få adgang til andre services som brugeren har adgang til, feks kan jeg snakke med banken, men da der hintes til at der bruges andre nøgler hos banken, kunne jeg muligvis rekvierer sådan et set nøgler til brug for at lænse deres konto.

Dette gøres parallelt med at brugere tror de er inde på en harmløs borger side, hvor jeg staller brugeren ved at returnere fejl, måske hver 2. returneres som fejl, og man narrer brugeren til at give flere og flere nøgler til mig.

Så hvor er sikkerheden?

GRUNDEN til at man bruger digital signaturer, er at NETOP digital signaturere er immune over for man-in-the-middle angreb, dvs, man har sikret kommunikationen mellem 2 parter, og man er sikker på ingen anden kan uden videre ændre på kommunikationen, end heller læse den.

Den eneste svaghed ved den forrige (TDC) digital signatur var måden den var opbevaret på, det koster kun mellem 100-200dkk per bruger for at permanent løse denne problem stilling helt uden at lave alt det her hurlumhej, mens den faktisk virker, og er sikker.

Mens man ikke har nogen monopoler, da der kan være mange udbydere af CA funktionen, og der er ikke konspirations teorier, da det er umuligt for en central enhed at misbruge systemet.

Jeg syntes også det er vældigt interessant at i en debat påstår DanID, at INGEN medarbejdere kan misbruge nøglen, mens i en paragraf 20 spørgsmål har svaret at de KAN få adgang til nøglerne ? Hmm, det lyder som urent trav... Man enten uviden modsiger sig selv, eller bevidst lyver for at presse deres monopol ind.

Personligt finder jeg det både bekymernede og farlig at der er så meget misinformation, samt med meget simple og meget gamle angrebs muligheder ser ud til at totalt bryde systemet.

Hanlon's razor:
Never attribute to malice that which can be adequately explained by stupidity.

Jeg håber "stupidity" er tilfældet, men jeg undre mig hvorfor "Eksperter" mener at løsningen er god osv, og forsvarer den til den bitre ende, endda at gå så langt at modsige sig selv i forskellige debatter, for at dække over misbrugs muligheder..

  • 0
  • 0
Michael Degn

Der er ingen tvivl om at NemID er designet således, at staten, politiet og hvem der ellers måtte have interesse til enhver tid har adgang til borgernes data. Det får vi dem naturligvis aldrig til at indrømme - i stedet disker de op med den ene løgnehistorie efter den anden, som gang på gang er selvmodsigende.

  • 0
  • 0
Anton Lauridsen

At systemet kan bruges til aflytning er jo ikke den store hemmelighed, det fremgår jo af den §20 svar som der er linket til i debatten.

Jeg mener heller ikke at det er et stort problem at politiet kan få adgang til aflytning. Jeg tvivler på at NemID vil blive brugt til meget andet end at logge på div. offentlige sites og evt. kryptere kommunikationen med banker og offentlige myndigheder. Kriminelle vil nok ikke vælge at bruge NemID til deres "forretninger".

Jeg kan se flere svagheder i systemet.
1) At det centrale nøglelager "lækker" nøgler. Alt for ofte har vi set at det der bare ikke må ske, sker alligevel. IT Politisk forening har en liste over de mest kendte her: http://www.itpol.dk/brodne_kar
2) Den private nøgle skal hentes fra en central server. Denne transport må nødvendigvis have en klar tekst komponent, hvilket vil kunne bruges til som minimum at dekryptere den hemmelige dialog.
3) Systemet kan angribes via session hijacking. NemID skal benyttes af flere sites, risikoen for at det vil være muligt at udføre et session hijacking angreb stiger med antallet af sites der benytter sig NemID.

Disse svagheder bliver forstærket af DanIDs ofte gentagede men desværre udokumenterede påstand om at systemet er sikkert. De brugere der har være udsat for et angreb, vil ikke blive troet, helt analogt til de problemer vi har set med start spærre i biler.

  • 0
  • 0
Anonym

Inden debatten forsvinder i teknologiske detaljer, så bør man huske på at misbruget er etableret alene fordi nøglen er kontrolleret af en anden end borgeren.

DanId er sat i verden for at profitere på at eje borgernes digitale adgange og afkræbe betaling for brug af noget som kun er kunstigt begrænset - hvilket en CA IKKE ville gøre, fordi en CA ikke ville være involveret i transaktionen.

Misbruget er at statsmagten (det ministerielle system - IKKE Folketinget):

a) accepterer denne model. hvor adskillige tilsynsmyndigheder klart skulle stoppe den - Datatilsynet (modellen er åbenlyst fejldesignet og producerer persondata overalt), It- og Teletilsynet (skaber monopoler i infrastrukturen, blokerer for innnovation og underminerer sikkerheden), Finanstilsynet (bankerne esskalerer risikoen voldsomt for profit - hvor har vi set det før?), konkurrencetilsynet (kartelvirksomhed i Finanssektoren, blokering af konkurrencen i alle andre) m.fl. har for mig at se alle en klar og uafviselig forpligtelse til at afvise modellen.

b) ligger sig bag denne model både ved at finansiere den, misbruge statsmagten til at forsøge at legitimere den og ved med magt at tvinge den igennem som vi ser med eDag3 fulgt op af SKAT m.fl.

Omkring angreb på modellen så er en så blottet og risikokoncentreret model åben for angreb fra alle sider.

Den værste er uden tvivl backupen fordi den kun kan ende i enten total kompromitering eller totalt nedbrud. Hardwareenheden vil gå ned på et tidspunkt - og hvad så?

Selv antaget at hardwareenheden er perfekt (det er der ingen som tror på), så skal man kunne overføre nøglekontrollen til en anden enhed.

Hvis man IKKE kan, så vil hele systemet bryde ned hvis hardwareenheden fejler. Vi taler alle borgere mister alle adgange, permanent. Total nedbrud.

Hvis man KAN, så kan man også nemt lave en ren softwareimplementering af det samme som kan trække alle nøglerne ud i frit rum - endda uden at nogen kan vide om det har fundet sted.

Vi taler altså om en model baseret på et kartelsamarbejde mellem bankerne som er designet uden respekt for den enorme risiko der etableres med den centrale nøglekontrol, udelukkende for den kortsigtede profits skyld.

Samtidig fjerner det bankernes kontrol over deres adgang til bankerne, så man intet kan gøre for at sikre det system.

Det værste ved Nemid er man er i gang med at ødelægge hele Digitaliseringen af samfundet ved at gennemtvinge en ikke-interoperabel og sikkerhedsmæssigt underminerende adgangskontrol på applikationssiden.

Det sidste man skal gøre online er at forsøge at identificere - fordi det skaber alle de skalerende risici som man ikke kan sikre. At authentikere er ikke det samme som at identificere.

Tværtimod skal man både af hensyn til systemets sikkerhed, borgerens sikkerhed og ikke mindst interoperabiliteten gøre sporbarheden uafhængig af det teknologiske interface - man MÅ IKKE fastlåse sikkerhedsmodellen i netværkslaget.

Johnny Bennedsen citeres for at sige

Det afgørende er jo, at du som bruger er sikker på, at nøglen ikke kan bruges, uden du har aktiveret den. Og det er faktisk også et af de afgørende principper i IT- og Telestyrelsens certifikat-politik, og den lever vi op til.

Det er kun den ene del, men den del fejler modellen klart, jf. f.eks. ovenstående om backup som er et logisk uløseligt problem.

Det faktuelle i den sag er at den "konkurrenceprægede dialog" blev misbrugt til først at afpresse samfundet til at lade DanId vinde udbudet med påstand om at de overholdt lovgivningen - og DEREFTER forsøgte man at tilpasse retstilstanden til Danid med Certifikatpolitik 4.0 som først kom længe efter at kritiken var rejst.

Vel og mærket udensomsparlamentarisk fordi der er ingen lov vedtaget i Folketinget som magtmisbruget kan baseres på. Og Gud nåde os, hvis det sker.

Hele modellen bør stoppes øjeblikkeligt af hensyn til både samfundsøkonomien, it-sikkerheden og navnlig retssikkerheden. Det er IKKE nok at man kan lave noget selv - INGEN borger kan legalt mishandles på denne måde og gøre til fødekvæg for en magtmodel designet til at afpresse samfundet.

Rent administrativt er det nemmest at gøre det med direkte reference til fejl i udbudsprocessen. DanId overholdt ingen lovgivning og ikke engang ministeriets policy, dvs. ingen systemrevisor kunne på udbudstidspunktet sige god for modellen fordi det forudsætte eliminering af borgerens rettsikkerhed og egenkontrol over egne nøgler - alligevel var henvisningen til Systemrevisionens blåstempling budskabet som blev basuneret ud over hustagene.

Som jeg har sagt fra starten, så demonstrerer denne sag hvor svagt det danske demokratiske system er organiseret. Det er medløbervirksomhed og gode miner til slet spil hele vejen rundt.

Og medierne gør sig til en del af problemet ved at agere mikrofonholdere for spinretorikken i stedet for at kræve de ansvarlige draget til ansvar.

Så - kort sagt - var det ikke en ide at få ryddet op inden dette overgreb kommer længere ud end tilliden til statens legitimitet og samfundsøkonomien kan holde til?

  • 0
  • 0
Morten Andersen

>>Hvis man KAN, så kan man også nemt lave en ren softwareimplementering af det samme som kan trække alle nøglerne ud i frit rum - endda uden at nogen kan vide om det har fundet sted. <<

Det er vel muligt at hardwareenheden kunne understøtte backup via en protokol der sikrede, at den modtagne enhed var af samme type og kørte samme software (kontrolleret ved certifikater i enhderne). En anden mulighed kunne være at hardwaren kun tillader aktivering af backupproceduren med godkendelse fra flere uafhængige personer.

  • 0
  • 0
Torben Rahbek Koch

Som udgangspunkt må man betragte nøglen som kompromitteret, så snart der eksisterer en kopi. Derfor er backup et i praksis logisk uløseligt problem ;-)

At det så for DanID vil være en god ide at have backup er så en anden sag. Men for os brugere, der så ikke har den mindste kontrol over hvor vores nøgle render rundt i verden er det en rigtigt dårlig ide.

  • 0
  • 0
Anonym

Det er vel muligt at hardwareenheden kunne understøtte backup via en protokol der sikrede, at den modtagne enhed var af samme type og kørte samme software (kontrolleret ved certifikater i enhderne).

Det er den model jeg afviser.

Adgangen til dekrypteringsnøglen kan ikke isoleres til hardware. Den bygger i sidste ende på en "trusted part" som påstår at en device er trusted - denne part har magt til påstå hvad som helst herunder at en ren softwareenhed er en trusted hardwareenhed.

(En parallel betragtning er at du selv har behov for syynkroniserede devices og dermed en nøglebackup, som du reelt ikke må kunne tilgå i klar tekst. Men det er muligt at tilvejebringe f.eks. ved en kombination af en nøgle du kontrollere (f.eks. biometrisk kryptering) og en nøgle du ikke kan få adgang til - eller ved at tilføje et logisk nøglelag.)

En anden mulighed kunne være at hardwaren kun tillader aktivering af backupproceduren med godkendelse fra flere uafhængige personer.

Så har man reduceret det til det rene policy. Og dermed er der ingen garanti for noget som helst.

Du kan SELV acceptere at din nøgle kan deponeres på forskellige måder - man her taler vi at den model som de regner med at tvinge alle ind i.

Faktum er at ikke bare kan man snyde den centrale enhed til at underskrive og autorisere hvad som helst, men kan også sagtens kan få tilgang til nøglerne i klar tekst, hvis det er det man ønsker.

Modellen er groft utroværdig og kan logisk ikke designes troværdigt.

Det er slemt nok at vi skal (og er nødt til at) stole på en egenkontrolleret hardwaredevices klient-side (dvs. en device til DINE nøgler under din kontrol), men her taler vi om total risikokoncentration (en device til alles nøgler under central kontrol) uden nogen form for teorisk sikringsmulighed.

Men her taler vi om tillid til et embedsmandssystem som allerede har bevist der dårligt er grænser for overgreb og den økonomiske ansvarlighed forsvinder i en skadelig kombination af delt ansvar og nepotisme.

Man er f.eks. allerede ude i at ville misbruge det utroværdige system til det allermest kritiske af alle samfundsprocesser - valghandlinger med legitimering af magt.

Om to år kan du stemme med NemID
http://epn.dk/teknologi2/computer/article2072957.ece

Vi er vidne til et historisk sammenbrud af retsstaten - vi taler om magtmisbrug som tangerer de facto genindførsel af Stavnsbåndet komplet med lænker og totalovervågning af bagdøren uden lovgrundlag.

Embedsssystemet demonstrerer både grov teknisk og økonomisk inkompetance, en næsten total mangel på holdbare checks & balances i hele det institutionelle system samt næsten grænseløs medløberi og vilje til at misinformere og vildlede blot for at holde låget på gryden som borgerne proppes i med vold og magt mens der langsomt skrues op for varmen - og vi er allerede tæt på kogepunktet både sikkerhedsmæssigt og samfundsøkonomisk.

  • 0
  • 0
Steen Thomassen

@Torben Rahbek Koch

Som udgangspunkt må man betragte nøglen som kompromitteret, så snart der eksisterer en kopi. Derfor er backup et i praksis logisk uløseligt problem ;-)

Alt der kommer ud den centrale hardware boks er krypteret - også det som bliver lagt på diske uden for. Og brugernes private nøgler er også krypteret med brugerens egen adgangskoden som de nuværende filer med de private nøgler.

  • 0
  • 0
Morten Andersen

Du har selvfølgelig ret i at man så stoler på at producenten af hardwareenhederne kun certificerer "sikre" enheder og ikke softwareudgaver. Men man er jo altid nødt til at stole på noget :) Og en konspiration mellem Domstolene, hardwareproducenterne og DanID er ikke super sandsynlig - er man så ikke screwed i alle mulige andre sammenhænge? Du stoler jo også på CPUen!

  • 0
  • 0
Michael Nielsen

@Morten, pointen med en digital signatur er at begrænse den tillid du har brug for, en rigtig løsning er tilliden begrænset til absolut tillid til dig selv, og en verificerbar tillid til at CA'en taler rigtig om modpartens identitet..

Her er et nedbrud af tillid som NemID kan kræve.

Som jeg kan se det så, ved DanID/NemID, skal vi havde fuld absolut tillid til.

  1. Alle medarbejdere hos DanID/NemID (ca 3-10 folk)
  2. Hardware producenten ikke laver en måde hvor nøglerne kan hentes ud, og nogen ikke har mulighed for at "låne" en enhed til at kopiere alle nøgler (ca 10-1000 folk)
  3. At kommunikationen mellem brugeren og DanID er sikret nok til at ingen kan stjæle passwords, eller nøgler. (altså sådan set alle mellem brugeren og DanID, kan være flere 1000 mennesker)
  4. At DanIDs servere ikke er kompromiteret, og en key/data logger ikke er lagt ind til at sjæle essentielle informationer. (umuligt at sætte nummer på, men mindst 3-10 folk)
  5. At postvæsenet ikke fejl levere pap kort til den forkerte, eller selv tager kortet (ca 10 000 mennesker)
  6. At der ikke er en person der stjæler pap kortet fra din postkasse, eller omdirigere din post (ca 5 millioner mennesker har muligheden).

Jeg syntes godt nok at "Trust"/"tillid" er enormt spredt ud ved den her Løsning.

Jeg syntes godt nok et system, hvor man skal havde tillid til et lands befolkning er et sikkerhedsmæssig problem.

Den rigtige løsning skal du havde tillid til at en eller flere CA'er taler rigtig mht en identitet. Men du kan uafhængigt bekræfte modpartens identitet, uden om CAen hvis du er i tvivl, eller bare paranoid (eg, telefonere eller møde op personligt), når du har etableret kommunikation med, feks din bank, så er revokations listen det eneste der er interessandt, - hvis en nøgle er stjålet.

Altså er der INGEN absolut tillid nødvendig til nogen som helst. Den tillid der er nødvendigt (CAens garanti om modpartens identitet) kan bekræftes uden om CA'en hvis der skulle være et ønske.

Ved en rigtig løsning skal du havde de følgende absolutte tillid.

1 du ikke taber nøglen, eller giver den til en anden.
2 du ikke tillader en operation du ikke ønsker.
3 at du bekræfter modparten, hvis du er i tvivl.

Altså tillid til 1 person (dig selv)..

Det virker sgu.

Der er så en mindre tillid til CA'en som en introduktion af fremmede, men den er langt fra absolut.

  • 0
  • 0
Torben Rahbek Koch

Tak til Michael for denne letforståelige gennemgang af hvor tillidsproblemet er!

Stephan: Hvis du læner dig lidt op ad Michaels måde af formulere sig på, så tror jeg du har nemmere med at komme igennem med dine absolut udmærkede budskaber :-)

  • 0
  • 0
Anonym

Torben

Michaels gennemgang er fint, men han glemmer alle interesserne. Han addresserer kun light-problemerne.

Den store angriber i dette system er Danid selv som vil profitere på kontrollen og for at opnå denne magtposition har skævvredet og fejldesignet hele systemet. Follow the money.

Den næststørste angriber er staten (embedssystemet) som vil detailkontrollere borgerne og alle samfundsprocesser. De har bevidst trukket dette over i en overvågningsmodel, som aldrig kan sikre nogen mod embedssystemet.

Og der er før disse betragtninger om adgangen til at misbruge en konkret nøgle overhovedet kommer i betragtning.

Mere sandsynlig end en ansat i DanId misbruger nøglen uautoriseret er det at PETs adgang eller endnu en social kontrol model - du ved, man kan jo ikke have at borgerne udveksler moralsk eller kulturelt anstødeligt indhold.

Og det er selvfølgelig førend de mere ekstreme cases om politisk sindelag kommer på agendaen som vi ser i en række andre lande.

Vi skal stole på mennesker (enkeltpersoner - du på din læge, men ikke på alle læger) - ikke på systemer (de fejler systematisk).

  • 0
  • 0
Morten Andersen

Jeg er ikke enig i din måde at tælle på. F.eks. vil hardwareproducenten jo i sig selv ikke kunne foretage angrebet hjemme hos sig selv - de skal også have adgang til DanID's specifikke moduler. I den nuværende løsning er der også mange der stoles på, f.eks. postvæsenet som sender installationskoden ud eller de medarbejdere hos DanID der står for CA'et osv. Så på den måde er der ikke så stor forskel som du lægger op til.

  • 0
  • 0
Michael Nielsen

@Morten.

Den nuværdende løsning er jo bare NemID lite (den fra DanID), men den gamle fra TDC var standard implementeret, og krævede ingen tillid. Dine postulat om at der ikke er stor forskel på hvad jeg beskriver og den nuværende signatur er ikke korrekt. Jeg ligger op til NUL tillid, hvor det system som du beskriver (NemID lite - jeg opdagede for et par dage siden at DanID er dem der nu udbyder en substandard digital signatur, og ikke længere TDC) er lige så forkert implementeret som den kommende NemID, og kræver fuld tillid til faktisk hele den Danske befolkning.

Med en rigtig løsning behøver jeg ikke stole på nogen, anden end mig selv.

Jeg generere nøglen, jeg laver et signerings request (som kun indeholder min public nøgle), som jeg sender til en CA som så opretter et certifikat - jeg kan få certifikater oprettet hos mere end en CA hvis jeg ønsker det.

Men på intet tidspunkt i oprettelsen har jeg skulle vise tillid til nogen-som-helst.

Mht hardware producenten, så installere de jo software på modulet som i teorien kunne få indbygget bagdøre, således (hvis man lave det trivielt), kunne sende 2-3 binære tegn i en adgangskode, og så kan jeg komme forbi på alle koderen. Feks hvis din login var Anders_And og adgangskode 313, du har så en pap kode 414. Hvis jeg som hardware producent vil gøre det muligt at hacke, kunne jeg bare gøre det således, at alle adgangskoder prefixed med 123 er godkendte - det er en kendt debug strategi. Så for at stjæle Anders_Ands identitet, sender jeg 123555, og 123555 og er automatisk godkendt, fordi prefixen overruler koderne. Så derfor skal du som bruger havde fuld tillid til hardware producenten.

Så jeg har på ingen måde brug for fysisk adgang for at kunne lave en backdoor.

(Grunden til det ikke er så relevant for en privat ejet signatur enhed, er at der findes mange folk der er paranoid nok til at sætte en logik analysator mellem enheden, og computeren for at se hvad der sker, og er der sådan en bagdør vil den hurtigt blive opdaget, og da du ikke er tvunget til at bruge hardware fra KUN en leverandør, så er det svært at lave nogen åben hack).

Der var et system som var brugt af efterretnings tjenester sidste i 1980erne, som var lavet af den Amerikanske efterretnings tjeneste, dette system var en del af en stor skandale. Da når tjenesten opdagede en telefon linje, ville den ringe til den amerikanske efterretnings tjeneste, og oprette en retur forbindelse, hvor de kunne undersøge alt data der var lagt ind på systemet, helt uden at der skulle fysisk adgang til systemet, så de er fortilfælder for denne slags ting.

Stephan han har ret i at jeg fokusere på den tekniske del af kommunikationen, da Staten i Danmark er det reelle problem i dens ønske om kontrol. (eller light delen som han kalder den)

Mit eneste mål er at sørge for at kommunikationen er så sikker så mulig, da jeg mener det er det eneste lavt hængende æble som vi kan med nogen som helst chance nå.

  • 0
  • 0
Anonym

@ Michael

Mit eneste mål er at sørge for at kommunikationen er så sikker så mulig, da jeg mener det er det eneste lavt hængende æble som vi kan med nogen som helst chance nå.

Det er så præcis der hvor jeg siger at så kan det nærmest være ligemeget.

Den største trussel mod både demokrati og frie markeder er magtkoncentrationen via de transaktionsservere som bærer de digitale netværk.

At sikre CA-enheden men ignorere nettet som sådan flytter bare problemet.

CA-enheden splittes bare i 2 og gatekeeperkontrol med din nøgle tages via access kontrol-delen.

Borger.dk som den helt store katastrofe (den fysiske analog til Borger.dk er at du med tvang stripsearches på Rådhuspladsen selvom dit ærinde intet har med Rådhuspladsen at gøre)

Jeg ser intet problem i at PBS kører en CA-enhed, men det løser ikke problemet med dankortmodellen er forældet eller at en koblingen mellem en Digital Signatur og eBoks sammenkører alt ad bagdøren og skaber pengemaskiner.

Vi skal sikre at du kan tilgå netværkene kontekst-isoleret.

For at definere det præcist - så serverne ikke kan sklene mellem 2 transkationer med den samme borger og 2 transaktioner med 2 forskellige borgere. Først da har vi et stabilt og bæredygtigt setup.

Ellers vil magten uundgåeligt centraliseres (globalt a la SWIFT, Google, Facebook, GSM) i monopoler eller karteller som er stadigt mere ukontrollable, overnationale og misbruges i stadigt højere grad både kommercielt, kriminelt og af bureaukratiet - selv før vi ser på det politiske misbrug (sindelagskontrol). Disse enheder KAN IKKE styres med policies - love-principper som ikke er aktivt fastlåst omgås systematisk.

FREMHÆVET
Selv hvis de perfekte løsninger ikke er tilstede (bliver aldrig perfekt men vi kan MEGET mere end du har sat dig ind i), så skal vi sikre alle niveauer indrettes til at understøtte en gradvis udvikling i den rigtige retning, så markedet kan virke og hele tiden skabe bedre og billigere løsninger., dvs. hovedkravet er konstant asynkron opgraderbarhed på alle niveauer kontroleret styret og drevet af frie valg - ikke af særinteresserne og kommitestyre.
/FREMHÆVET

Vi skal fokusere på FORANDRINGSEVNEN styrkes istedet for at ødelægges. Det er evnent il konstant fornyelse som er kritisk - det betyder f.eks. at vi IKKE vil have et system hvor alle borgere bruger den samme løsning. Vi skal eksplicit fokusere på mange forskellige løsninger fordi behovene er meget forskellige - både hvad angår den fuktinelle brug (f.eks. en læge, en hjemmehjælper, en pensionist og en børneforældre har meget forskellige behov) og borgerne er også fysiks/mentalt meget forskellige - (den teknologiforskrækkede/uvidende, den mentalt inkapable,den typisk kompetente borger og så selvfølgelige "eksperterne"),

Formålet med et Borgerkort (i flertal) er at UNDGÅ online Identifikation (jeg skriver bevidst ikke anonymisering fordi det er definitorisk ikke-ansvarlighed) - ikke at gøre konstant online identifikation til en tvangsrealitet.

Problemet er et dårligt designet sikkerhed forhindrer innovation og fungerer som legacy fra dag 1. Embedsmandssystemet i dag bekæmper innovation og konkurrence - de er med deres centralistiske og kortsigtede quickfixes i færd med at dømme den offentlige sektor til fortsat faldendo produktivitet og samtid eksportereres de samme planøkonomiske skadeseffekter til den private sektor. Og INTET af det som vi spilder penge på kan eksporteres,

Så - høfligst - selvom du kan have ret i betragtningen et langt stykke - så dør samfundet alligevel fordi du tillader at at vurdere hvad der "med nogen som helt chance" kan nås.

Så - for nu - lad os bare blive enige om at der konkrete problem er at sikre at CA-enheden er passivt og IKKE involveret i trasnkationen. Dvs. at du kan generere nøgler som du kan få certificeret relativt til både den teknologi, du bruger og kvaltieten af indrulleringen.

Hvordan du bruger nøglerne er så et helt andet spørgsmål som kræver en del mere og asbsolut IKKE er modent til at blive fastlåst i tåbelige ikke-interoperable "standarder". Princippet bør være at en digital signatur (personcertifikat) reelt altid er person-til-person og aldrig person-til-system.

Sikkerheden i den digitale verden er "proportional" med antallet af nøgler (konteksts/(sammenhænge) du kan håndtere at holde adskilt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere