DanID trækker vrøvlet forklaring om usikre 3G-forbindelser på mobilen tilbage

Opdateret: Det er ikke muligt at logge ind med NemID via browseren på din smartphone. Forklaringen var ifølge DanID, at 3G- og wifi-forbindelser er for usikre, men den forklaring er nu trukket tilbage.

Ved at basere NemID-login på Java, som ikke fungerer på smartphones, har DanID effektivt sørget for, at man ikke kan bruge NemID fra mobilen.

Men det er ikke brugen af Java, der er den primære grund til, at NemID kun kan bruges fra en traditionel personlig computer. Det er i stedet manglende sikkerhed på de dataforbindelser, der bliver brugt på mobilen, har DanID oplyst.

»Det er desværre ikke muligt at logge på de offentlige tjenesteudbydere med NemID via smartphones af en række årsager. Den primære årsag er en mangel på sikkerhed ved wifi- og 3G-netværk,« skrev DanID i et svar til en nytårsquiz, som organisationen CEDI står bag.

Hvordan brugen af wifi- og 3G-forbindelser fra en smartphone adskiller sig fra samme slags dataforbindelse på en bærbar computer, skriver firmaet ikke noget om.

Senere har DanID taget afstand fra forklaringen, som ifølge DanID's kommunikationschef stammer fra NemID-support og teknisk set er noget vrøvl.

Men Java-teknologien bliver også nævnt som en årsag til, at NemID ikke fungerer på smartphones.

»Derudover kører næsten alle smartphones med fabrikants-styresystemer, der ikke kan opdateres manuelt med tredjeparts-software, dvs. Java-platformen, som NemID benytter som hovedkommunikator mellem klienten og certifikatserveren,« skriver DanID.

Flere banker har selv lavet mobilapplikationer, som gør det muligt at logge på netbanken med NemID, men bankernes NemID-login er en anden løsning, end den der bliver brugt til login på offentlige websider.

Allerede da NemID blev lanceret i sommeren 2010 var der kritik af, at NemID ikke var gjort mobilklar. Forklaringen lød dengang fra IT- og Telestyrelsen, at man fastsatte kravene til NemID i 2007, hvor brugen af smartphones slet ikke var lige så udbredt som nu.

Læs også: Ekspert: NemID uden mobiladgang er pinlig og tåbelig

Ved lanceringen af NemID var der ét mobilstyresystem, som kunne køre Java, nemlig Windows Mobile 6.5. Men det blev udfaset kort efter, da Microsoft valgte at satse på det helt nye Windows Phone 7 i stedet.

Opdateret kl. 12.36: DanID har skrevet til Version2, at oplysningerne om usikre 3G- og wifi-forbindelser var en fejl og stammer fra NemID-support. Artiklen er opdateret tilsvarende.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Panton

Jeg er bange for at kontoret hvor folk der ved noget om sikkerhed ligger meget langt væk fra DanIDs presseafdeling. De har givet nogle af de mest underlige svar man kan forestille sig.

Fx blev Applet med permissions til at foretage sig alt på din computer spinnet som: "Jamen det er for at vi kan skrive til logfiler", når det viser sig at det var fordi de gerne ville køre noget fingerprint kode i nogle skjulte GIF'er.

Gad vide hvad den VIRKELIGE årsag er til at NemID ikke kan køre på mobilen, for jeg håber inderligt at DanIDs sikkerhedsafdeling kender til de elementære fordele ved SSL eller andre former for "kryptering og authentication af kommunikation".

  • 19
  • 0
Jens Larsen
Peter Lind

Jeg tror skam godt DanID ved noget om sikkerhed. Men selvom man laver en god løsning, hvis den bliver præsenteret forkert, så kan alle opfatte det som en dårlig løsning. Denne effekt skal man ikke undervurdere.

(Ikke for at udtale mig om NemID er en god eller dårlig løsning)

  • 4
  • 1
Jon Linde

Du antyder at der er folk hos DanID der ved noget om sikkerhed. Jeg bliver mere og mere i tvivl om hvorvidt dette faktisk er tilfældet.

Du er stadig i tvivl? Det er jeg ikke...

Jeg har lige opdatet, at hver gang at jeg læser om DanID, begynder jeg at smile. Vi er efterhånden så langt ude i hampen, at jeg ikke længere kan opfatte DanID som en seriøs... øeh ...organisation. De minder mig mere om en ætherbedøvet, dybt alkoholiseret cirkusklovn der med en kraftig kviksølvsforgiftning kun får lov til at komme ind i manegen, fordi at han giver de andre klovne et nemt mål at ramme.

Så holder jeg op med at smile, når jeg kommer i tanke om at det faktisk slet ikke er sjovt - det er dybt tragisk - for klovnen holder sig kun oprejst ved at holde desperat fast i den pigtråd som er viklet om vores alle sammens kronjuveler... ...Hvad nu hvis han falder? ...Den forkerte vej?

  • 28
  • 1
Peter Stricker

@Peter Lind

Såfremt din næsten-navnebror Peter Lind Damkjær stadig er ansat hos DanID, så har DanID person(er) med viden om sikkerhed.

Spørgsmålet er snarere om de udnytter/får lov til at udnytte denne viden til borgernes bedste.

  • 6
  • 0
Jesper Mørch

Spørgsmålet er snarere om de udnytter/får lov til at udnytte denne viden til borgernes bedste.

Jeg er desværre tilbøjelig til at tro at hele NemID er konstrueret bevidst som en trojansk hest, hvor det egentlige formål er overvågning. Man kan bare ikke rulle overvågning ud som overvågning, men hvis det nu sminkes og maskeres tilpas godt og alle borgere samtidig tvinges halvt om halvt til at bruge denne konstruktion, kan man bilde de fleste borgere ind at de har fået et godt værktøj, uden at fortælle dem at værktøjet reelt blev opfundet af George Orwell til en roman fra 1948. (Please don't step away from the tele-monter!)

Jeg vil ikke betragte mig selv som grundløs konspiratoriker med tanke på f.eks. Rejsekortet eller børneporno-filteret. Rejsekortet kan kun gøre det lettere for borgeren, hvis "systemet" får lov at registrere al vores færden direkte på vores CPR-nummer, og det er vist en offentlig hemmelighed at det eneste som børnepornofilteret IKKE fungerer på, er materiale som indeholder ulækker omgang med mindreårige.

Trods alle de sikkerheds- og privacy-problemer der konstant hænger over NemID, kan jeg ikke tro at folkene hos DanID er SÅ inkompetente som det ellers med al tydelighed lader til. Havde de været det, er jeg ikke sikker på de havde været i stand til at gennemføre en IT-uddannelse.

Det eneste alternativ må som jeg indledningsvist nævnte, derfor være en skjult agenda, hvor der efterhånden kommer flere og flere indikationer af at "nogen" virkelig ønsker et massivt overvågningssamfund her i Danmark.

  • 8
  • 2
Christian Nobel

"Den primære årsag er en mangel på sikkerhed ved wifi- og 3G-netværk"

Jamen så må DanID vel se at komme ud med et generelt forbud mod wifi - det vil nok også have den smarte effekt at trafikken gennem deres MIM interface bliver reduceret til en tiende del.

Og 3G usikkert, nåeh ja så har man hørt den med.

Jeg ved snart ikke om man skal grine eller græde over DanID, men dette viser da med alt tydelighed at det er en farce der næsten får IC4 tog til at ligne noget der kunne bruges - ved de overhovedet noget om datakommunikation og sikkerhed?

  • 6
  • 0
Peter Makholm Blogger

Jeg har vist aldrig brugt NemID hvor der ikke har været wifi involveret. Jeg har endda brugt det med både wifi og mit mobilinternetforbindelse. Bør jeg ringt til DanID's kundeservice og opføre mig panisk bekymret?

Kan I sige DNSSEC og SSL? Eventuelt med certificater indlejret som en del af app'en istedet for skumle CA'er.

  • 4
  • 0
Rune Juhl Jacobsen

Hvordan en mobilforbindelse skulle være mere usikker end en hver anden forbindelse, det er mig en gåde. Kan Version2 ikke stikke lidt til DanID og få et uddybende svar på hvorfor dette skulle være gældende?

Ved lanceringen af NemID var der ét mobilstyresystem, som kunne køre Java, nemlig Windows Mobile 6.5. Men det blev udfaset kort efter, da Microsoft valgte at satse på det helt nye Windows Phone 7 i stedet.

Det passer ikke helt. Min N900 med Maemo har også mulighed for at køre Java.

  • 1
  • 0
René Hytting-Vabø

Dette må være en tilståelsessag for DanID. Hvis man ikke vil tillade at benytte wifi på smartphone, kan det kun være fordi man udemærket er klar over at MIM kan forekomme og ikke løst sin opgave i forhold til dette. Hvad er lige forskellen på mobiltbredbånd(PC) og en 3G-forbindelse på sin smartphone. Personligt har jeg flere gange brugt min smartphone som modem på min PC......................ahhhhhhh.......alt omkring NemID er Ebberødgård

  • 3
  • 0
Peter Lind Damkjær

Jeg skriver i denne sammenhæng på vegne af Nets DanID A/S:

Artiklen er baseret på et svar indhentet af CEDI fra en DanID supporter. På trods af, at det er indskærpet at Support at skal sende denne type forespørgsler videre i organisationen, har en supporter valgt at svare på egen hånd. Det er korrekt at NemID generelt endnu ikke understøttes på de mobile platforme, men den angivne årsag, at det skulle skyldes sikkerheden i WiFi eller 3G, er fri fantasi.

Venlig hilsen Peter Lind Damkjær Nets DanID A/S

  • 12
  • 0
Niels Didriksen

Hvis DanID nogensinde siger noget omkring designbeslutninger eller tekniske funktioner der (måske) er sandt, er åbenbart når de bliver taget i en løgn eller vrøvl. Jeg ved ikke hvorfor der ikke er mobil-klienter, men mon ikke det er fordi de ikke har fundet ud af at plante eksekverbare gif-filer med root-rights på Android eller IOS endnu, eller sådan noget.

  • 13
  • 1
Morten Hansen

@Michael Lykke Det vil sige, som Peter Lind fra Nets selv kommer ind på, at man ikke skal spørge NemID support om spørgsmål vedrørende NemID, det skal gennem DanID/Nets. Det skyldes at NemID support ligger hos et tredjepartsfirma som ikke har noget med DanID at gøre, og de supportere som sidder på frontline ingen forudsætning har for at kunne svare på tekniske spørgsmål.

  • 1
  • 0
Jesper Lund

Nej, det vil sige, at CEDI's nytårsquiz fik en forklaring fra NemID-support, der så var forkert.

Det med wifi var også lidt langt ude, og datoen er ikke 1/4.

Men DanID har bestemt en pointe med mobile devices. Det er en sikkerhedsrisiko hvis man har et device hvor man har installeret software og man ikke kan få oplyst hvad denne software gør. Mulighederne for at sandboxe disse suspekte applikationer, som man måske er tvunget til at afvikle, i en VM er ikke så gode på en mobiltelefon.

  • 2
  • 0
Henrik Rathje

hvilket dog bringer os tilbage til, hvorfor /&¤#¤"!! de har baseret en fælles login løsning på de valgte teknologier. Jeg er selv die-hard java udvikler/arkitekt, men jeg ville ALDRIG have valgt den løsning.

Men det tror jeg de fleste er enige om... nu handler det om, hvordan vi kan få NemID omlagt til en for BORGEREN sikker løsning, med 100% kontrol over den private nøgle! Forkasteligt det ikke er sket endnu!

  • 1
  • 0
Jon Linde

og de supportere som sidder på frontline ingen forudsætning har for at kunne svare på tekniske spørgsmål.

Ahh - Det giver god mening. Så er de jo på niveau med både designere og udviklere bag NemID: Ingen af dem har de nødvendige tekniske forudsætninger...

(Undskyld - kunne ikke lige lade dén hænge frit)

  • 1
  • 0
Log ind eller Opret konto for at kommentere