Datatilsynet forundret: Hvor bliver den private nøgle til NemID af?

Det er godt nok ikke meget for et projekt i milliard klassen (og det er bare den offentlige sektors betaling til DanID).

Isoleret set er den private nøgle (smartcard) sikkert en underskudsforretning for DanID. Der er en masse faste systemomkostninger fordi smartcard modellen er væsentligt forskellig fra OTP modellen, hvor DanID opbevarer den "private" nøgle. Selvfølgelig er der en brugerbetaling for smartcard'et, men realistisk set vil den ikke kunne dække alle omkostninger (medmindre et meget stort antal borgere vælger smartcard modellen).

Måske er der nogen hos Nets DanID A/S som har fået den kreative ide at de simpelthen "glemmer" den private nøgle på smartcard? Selvfølgelig ikke officielt, men ved at udskyde projektet i det uendelige ("på ubestemt tid" er en god start). Det koster jo ikke DanID noget da der allerede er betalt maksimal bod.

Statens kontrakt med DanID angiver meget klart at DanID skal levere en digital signatur (OCES) løsning, hvor borgeren har valgfrihed mellem om den private nøgle opbevares hos DanID eller alene hos borgeren på et smartcard.

Lige nu har DanID kun leveret halvdelen af det lovede, og den sidste halvdel er udskudt på ubestemt tid. Har staten yderligere sanktionsmuligheder i den situation? Ophævelse af kontrakten eksempelvis?

Eller også ved de i hvert fald hvordan man får fat på den.

http://www.prodata.dk/Referencer/Udtalelser/tabid/156/company/650/langua...

Nu bliver det jo spændende at se om Datatilsynet har mere magt end agt - eller om de blot klapper kaje, når Borgens folk skal beskytte den lille kæledægge!

Mvh Lars plbrake.dk

I forhold til at man allerede i 2009 var klar over, at NemID ikke var en sikker løsning, blev der allerede i 2009 gjort opmærksom på, at der findes et alternativ, som kan implementeres og højne brugersikkerhed omkring NemID.
Alternativet er præsenteret og beskrevet i forhold til bl.a., almindelig identitetssikkerhed på nettet, herunder bekæmpelse af forskellige former for identitetsmisbrug, man in the midle angreb, osv..
Selvom denne fremgangsmåde er kendt, og i forhold til NemID en vare som er præsenteret og udviklet, har man alligevel fortsat med at tillade de usikkerhedsmomenter der er ved NemID.

Jeg må udtrykke samme forundring som Datatilsynet, når man her på Version2, igen og igen, skal læse hvordan man accepterer NemID, på trods af at det beskrives som usikkert.

Her skal man kigge på, at selv internationalt anerkendte virksomheder, inden for IT-sikkerhed, også offentliggjort her på Version2, opfordrer Netz, Danid eller hvad de nu ellers kalder sig, til at rette deres fremgangsmåde.

Det er ligeledes underligt, at Digitaliseringsstyrelsen, som er bekendt med problematikken og at der findes et alternativ, fortsat accepterer NemID.
Der er gået 2½ år, hvor man har haft alle muligheder for at rette problematikken, og samtidigt indføre en fremgangsmåde, der tager højde for borgerens almindelige identitetssikkerhed på internettet.

Skandaløst, at det nu skal være internationalt anerkendte virksomheder og eksperter, der afslører hvorledes NemID er fuld af fejl. Det er noget man har modtaget udviklingsstøtte til selv at finde ud af, det bør ikke være være noget der skal komme udefra.

4 millioner i bod, er helt ude af kontakt med virkeligheden.
Der er tale om at Digital Signatur, åbem nøgle kode, og hvad den Troll ellers er blevet kaldt gennem tiden, har fået mange mange milliarder, til at udvikle noget fungerende. Det er endnu ikke leveret.
Der er også tale om, at man tilsvarende ikke vil indføre fungerende fremgangsmåder, hvilket må anses som ensidig beskyttelse af en enkelt privat leverandør.

Samlet, er der tale om at man modarbejder en løsning, der er fremtidssikker og vil kunne skabe grundlag for personlig identificering, i hele det fremtidige Cloud.
En eksportmulighed, der vil kunne sælges over hele kloden.

4 millioner i bod, er altså helt ud i skoven !
4 milliarder vil ikke engang være tilstrækkeligt i bod.
Det er lidt som med en tyv, der stjæler en karton smøger. Selve smøgerne repræsenterer kun en lille det af skaden. Alt det ødelagte som følger med ved forbrydelsen, har langt større værdi end smøgerne.

Det offentliges financiering af NemID beløber sig til 205 millioner fordelt over 2008-2014. Heraf er de 111 millioner placeret i 2008-2011 (kilde).

Jeg vil nødig forholde mig til om det er for meget eller for lidt, men der er altså et stykke op til, at man kan kalde det for et milliard-projekt.

Der er kun tale om, NemID. Det har haft mange navne gennem tiden, NemID er kun det sidste.
Omkring NemID, kan det beskrives som oppe i knapt en milliard.
Medregner man alle de afhængigheder der også er tale om, så er det meget mere. Det er også alle de projekter, der er afhængige af NemID, der er er i spil !

Der er i forbindelse med NemID, tale om et projekt, hvor man anvender 3 nøgle-system, frem for det tidligere 2 nøgle-system, som oprindeligt var kodesammensætningen bag ved åben nøgle systemet.
Det er noget man har udviklet på i årtier, det er ikke anvendeligt til at sikre identiteten på en bruger over internettet.
Åben nøgle systemer, er meget interessant i forhold til kryptering, men ikke som identifikation.
For at et sådant system skal fungerer, uanset om det er med 2 eller 3 nøgler, skal nøglernes indehavere, selv kunne identificerer sig sikkert, og kunne kontrollerer anvendelsen af deres nøgle.
Man kan ikke identificerer sig sikkert fra en PC, mobil, eller lignende, som NemID er sat sammen nu. Det lader sig ganske enkelt ikke gøre.
Man kan usikkert, identificerer den maskine der benyttes, men ikke selve identiteten. Selve identificeringen af maskinen, er ikke engang sikker, hvilket også er beskrevet her på Version2.

Problemet med at man har været så længe under vejs er, at der er andre som har overhalet udviklingen.
Skal man benytte en sikker metode, f.eks. med et plastkort som f.eks. et Dankort, så er det en metode der overtræder andres imaterielle rettigheder.
Der findes sikre fremgangsmåder, men det er altså ikke noget som man kan benytte sig af, uden at skulle betale royalties, eller f.eks. købe et patent.

Det er en vanskelig situation, især fordi det nu er kendt, hvordan man kan kompromitterer NemID. Også gennem de muligheder NenID selv stiller til rådighed gennem deres usikre fremgangsmåder i forbindelse med identificering af den enkelte maskine.
Det er ikke noget man bare kan ignorerer.
Skal NemID bringes til at fungerer sikkert, så er der tale om at der kan imødeses væsentlige udgifter.

Det mulige kundegrundlag, ( brugerantallet ) står slet ikke i forhold til grundlaget man ser i f.eks. udlandet. Danmark er ganske enkelt et lille land.
Der har været rigelig mulighed for, at man indkøber andre løsninger, det har man valgt ikke at gøre.
Derfor er man nu i en situation, hvor man har smidt en masse penge efter noget som ikke hænger sammen, og hvis man vil rette på det, så skal man betale for en løsning der er langt dyrere.
Der findes sikre løsninger, både som hardware og software, men det er ikke DanID's.

Hvis man overtræder andres imaterielle rettigheder, gennem et system som NemID, altså med godkendelse af Staten, er situationen endnu værre.
Der vil så kunne argumenteres for, at man i Danmark ikke respekterer imaterielle rettigheder. Det kan medføre alvorlige konsekvenser for resten af Danmark, for der en mange virksomheder der er afhængig af denne beskyttelse både i Danmark og internationalt.

Uden at jeg vil hænges ud for, at skulle stikke DanID eller Datatilsynet noget i skoene, så er det MULIGT, at det netop er omkring de imaterielle rettigheder problemet ligger.
Ellers har jeg svært ved at se, hvorfor der ikke allerede er en løsning.

Den slags er en "hyldevare" andre steder, det handler om at købe ind de rigtige steder.
Genopfinde alting, er ikke vejen frem, det tager for lang tid, og udgiften til udvikling, er almindeligvis dyrere end at købe varen.

I forbindelse med NemID, hvor det efterhånden er veldokumenteret at det ikke lever op til den sikkerhed der kan forventes, men at man alligevel har udviklet en masse andre systemer der er afhængige af NemID, er der tale om, at NemID kan koste meget mere end omkostningen ved NemID.
Får de ikke styr på deres produkt, så kan det medføre meget store udgifter, for mange andre end NemID.

Uanset om det er Staten, eller en privat sektor, der betaler regningen, så er det Danskerne der i sidste ende skal betale.

I forhold til tidligere indlæg, hvor jeg påpeger en række forhold omkring NemID, vil jeg her tilføje, at jeg ikke har egentlig interesse i at udøve kritik over for NemID.

Det har specielt omkring NemID og de spørgsmål der er stillet til dem bag systemet, været vanskeligt at trænge igennem. Her skal man bl.a. tænke på, at Datatilsynet ikke engang har fået svar på deres betænkeligheder, på trods af, at virksomheden bag ved NemID er en privat virksomhed, og derfor underlagt samme lovgivning som alle andre.

Den viden, man afgiver ved at påpege manglerne, er noget som der er betalt for at udviklerne bag ved NemID skulle være i besiddelse af, og derfor skulle have taget højde for i deres produkt.
Det er ikke noget, som det bør være nødvendigt for andre at påpege, det har DanID fået meget store summer for at bidrage med i udviklingsfasen.
Det bør ikke være noget andre skal påpege !

At Datatilsynet, skal tvinges til at rykke for deres bekymring, er bare endnu et eksempel på, at man i forbindelse med NemID vægrer sig ved at levere varen og trækker tiden ud.

Jeg har i kommentarer til andre artikler læst, at man mener der er tale om en hetz imod NemID. Det kan umuligt være en hetz, da det er år siden at NemID skulle have taget højde for de stillede spørgsmål.

Om DanID nogensinde kommer med en løsning og om denne løsning så også lige skal have java trojaneren med ind eller vi kan slippe for den.

Nå men jeg skrev jo sådan set til DanID for et stykke tid siden og spurgte netop efter denne løsning :

Her er hvad jeg skrev :

*Hej DanID.

Jeg er en af de danskere som pt. har fravalgt at have NemID fordi jeg ikke stoler nok på bankerne til at overlade min digitale signatur til dem.

Jeg har forstået at der kommer en dongle på et tidspunkt hvor jeg selv får lov til at generere min digitale signatur hvilket jo så vil betyde at jeg selv har en del af denne og DanID derfor ikke kan tilgå mine data med min digitale signatur som det er tilfældet idag.

Har i en plan for hvornår det bliver muligt at få denne dongle.

PS. Jeg snakker ikke om den dongle i snart frigiver og som kun er en erstatning for pap-kodekortet ..

Jeg spørger fordi jeg overvejer at skifte til en anden bank som jeg har fundet som gerne vil have mig som kunde og som har valgt IKKE at benytte NemID men syntes det ville være lidt træls at flytte bank bare for at finde ud af at i kommer med den dongle en måned senere.*

DanID supporten var så venlig at svare følgende :

*Kære Henrik

Tak for din henvendelse.

Det produkt du omtaler, har hverken jeg eller vores teknikere her i supporten hørt om.
Derfor må svaret til dit spørgsmål være nej. Det er ikke noget der er planer om.

Hjælp os med at forbedre vores support. Dette gøres nemt ved at du svarer på et spørgsmål på følgende link

Venlig hilsen
Medarbejderens navn
Servicedesk
Nets-DanID A/S*

Så selvom man godt kan argumentere for at der kan være andre løsninger end en dongle løsning som jeg snakker om her så burde supporten vel vide hvad det var jeg sådan i generelle termer snakkede om hvis der var noget på vej.

Jeg konkluderede efter denne mail at de nok slet ikke var gået igang med denne løsning og det ser på artiklen herover også ud til at jeg havde lidt ret i den antagelse.

Jeg spørger fordi jeg overvejer at skifte til en anden bank som jeg har fundet som gerne vil have mig som kunde og som har valgt IKKE at benytte NemID

Vil du løfte sløret for, hvilken bank du har fundet?
Godt nok er jeg på alle andre måder udmærket tilfreds med min bank, og finder det også træls at skifte, men hele NemID-spørgsmålet er ret belastende.