Datatilsynet forundret: Hvor bliver den private nøgle til NemID af?

Det er stadig ikke muligt at få kontrol over sin egen private nøgle til NemID, selvom det var afgørende for Datatilsynets vurdering af NemID. Datatilsynet opfordrer DanID til at indfri løfterne.

Da NemID var under udvikling i 2009, bad IT- og Telestyrelsen Datatilsynet om en vurdering af løsningen.

Svaret var meget klart, at muligheden for borgerne selv havde kontrol over deres private nøgle var vigtig:

»En afgørende forudsætning for, at det er tilstrækkeligt sikkert at bruge digital OCES II signatur, når f.eks. en myndighed giver borgeren adgang til oplysninger via selvbetjeningsløsninger, er efter Datatilsynets opfattelse, at certifikatindehaveren har enekontrol over sin private nøgle,« skrev Datatilsynet til IT- og Telestyrelsen i april 2009.

Men siden lanceringen af NemID i sommeren 2010 er løsningen med at få den private nøgle på et chipkort blevet udskudt igen og igen. Det undrer man sig over i Datatilsynet.

Læs også: Ny forsinkelse: Privat NemID-nøgle på hardware udskudt på ubestemt tid

»Vi er lidt forundrede over, at den del af løsningen ikke er kommet, for DanID har jo givet indtryk af, at det ville ske. Så det afventer vi stadigvæk, at DanID lever op til,« siger Sten Hansen, chef for Datatilsynets it-sikkerhedsafdeling, til Version2.

Vurderingen af NemID tilbage i 2009 var dog ikke en decideret godkendelse, men rådgivning af IT- og Telestyrelsen i form af en udtalelse om NemID.

Datatilsynet kunne dengang derfor kun opfordre til, at NemID gav mulighed for private nøgler i borgernes hænder, ikke stille det som et krav:

»Det er endvidere Datatilsynets opfattelse, at et generelt hensyn til brugernes privacy taler for, at brugerne skal have et valg med hensyn til, hvor deres nøgle opbevares. Datatilsynet skal derfor opfordre til, at der hurtigst muligt skabes mulighed for egen opbevaring af den private nøgle. Datatilsynet skal endvidere anbefale, at det overvejes, om ikke muligheden for egen opbevaring af den private nøgle bør være gratis, eller at prisen i det mindste bliver så lav som muligt og alene kommer til at afspejle omkostningerne,« skrev Datatilsynet i vurderingen.

Datatilsynets udmelding fik dengang DanID til at love at indføre muligheden, men to et halvt år senere, hvor den stadig ikke er kommet, kan Datatilsynet kun gentage opfordringen:

»Vi opfordrer fortsat DanID til at give borgerne mulighed for selv at opbevare den private nøgle, og vi regner da også med det, når nu de har lovet det. Vi har ikke hørt andet. Men det har trukket ud og er blevet skubbet nogle gange,« siger Sten Hansen.

Danskernes private nøgler til signatur-delen af NemID bliver i dag opbevaret på DanID’s servere, modsat almindelig praksis, hvor kun den offentlige del af nøgleparret bliver opbevaret centralt.

Denne måde at fortolke PKI-teknologien (Public Key Infrastructure) har ført til kritik fra it-kyndige allerede før NemID blev lanceret. DanID fortalte kritikerne på et møde i maj 2010, at de inden jul ville kunne få den private nøgle på et chipkort, mod betaling.

Læs også: DanID til kritikerne: Få din decentrale, private nøgle til jul

Men siden er den løsning blevet udskudt flere gange, og DanID kan ikke fortælle, hvornår man regner med at kunne lancere privat nøgle på hardware.

Forklaringen fra DanID har lydt, at det er vigtigere at få gjort NemID klar til virksomhedsbrug først, den såkaldte MOCES 2, da dette projekt ligesom alle andre NemID-delprojekter også er grundigt forsinket.

Forsinkelserne har ført til, at DanID måtte betale den maksimale bod til staten på fire millioner kroner.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Lund

Det er godt nok ikke meget for et projekt i milliard klassen (og det er bare den offentlige sektors betaling til DanID).

Isoleret set er den private nøgle (smartcard) sikkert en underskudsforretning for DanID. Der er en masse faste systemomkostninger fordi smartcard modellen er væsentligt forskellig fra OTP modellen, hvor DanID opbevarer den "private" nøgle. Selvfølgelig er der en brugerbetaling for smartcard'et, men realistisk set vil den ikke kunne dække alle omkostninger (medmindre et meget stort antal borgere vælger smartcard modellen).

Måske er der nogen hos Nets DanID A/S som har fået den kreative ide at de simpelthen "glemmer" den private nøgle på smartcard? Selvfølgelig ikke officielt, men ved at udskyde projektet i det uendelige ("på ubestemt tid" er en god start). Det koster jo ikke DanID noget da der allerede er betalt maksimal bod.

Statens kontrakt med DanID angiver meget klart at DanID skal levere en digital signatur (OCES) løsning, hvor borgeren har valgfrihed mellem om den private nøgle opbevares hos DanID eller alene hos borgeren på et smartcard.

Lige nu har DanID kun leveret halvdelen af det lovede, og den sidste halvdel er udskudt på ubestemt tid. Har staten yderligere sanktionsmuligheder i den situation? Ophævelse af kontrakten eksempelvis?

  • 23
  • 1
Anonym

I forhold til at man allerede i 2009 var klar over, at NemID ikke var en sikker løsning, blev der allerede i 2009 gjort opmærksom på, at der findes et alternativ, som kan implementeres og højne brugersikkerhed omkring NemID.
Alternativet er præsenteret og beskrevet i forhold til bl.a., almindelig identitetssikkerhed på nettet, herunder bekæmpelse af forskellige former for identitetsmisbrug, man in the midle angreb, osv..
Selvom denne fremgangsmåde er kendt, og i forhold til NemID en vare som er præsenteret og udviklet, har man alligevel fortsat med at tillade de usikkerhedsmomenter der er ved NemID.

Jeg må udtrykke samme forundring som Datatilsynet, når man her på Version2, igen og igen, skal læse hvordan man accepterer NemID, på trods af at det beskrives som usikkert.

Her skal man kigge på, at selv internationalt anerkendte virksomheder, inden for IT-sikkerhed, også offentliggjort her på Version2, opfordrer Netz, Danid eller hvad de nu ellers kalder sig, til at rette deres fremgangsmåde.

Det er ligeledes underligt, at Digitaliseringsstyrelsen, som er bekendt med problematikken og at der findes et alternativ, fortsat accepterer NemID.
Der er gået 2½ år, hvor man har haft alle muligheder for at rette problematikken, og samtidigt indføre en fremgangsmåde, der tager højde for borgerens almindelige identitetssikkerhed på internettet.

Skandaløst, at det nu skal være internationalt anerkendte virksomheder og eksperter, der afslører hvorledes NemID er fuld af fejl. Det er noget man har modtaget udviklingsstøtte til selv at finde ud af, det bør ikke være være noget der skal komme udefra.

4 millioner i bod, er helt ude af kontakt med virkeligheden.
Der er tale om at Digital Signatur, åbem nøgle kode, og hvad den Troll ellers er blevet kaldt gennem tiden, har fået mange mange milliarder, til at udvikle noget fungerende. Det er endnu ikke leveret.
Der er også tale om, at man tilsvarende ikke vil indføre fungerende fremgangsmåder, hvilket må anses som ensidig beskyttelse af en enkelt privat leverandør.

Samlet, er der tale om at man modarbejder en løsning, der er fremtidssikker og vil kunne skabe grundlag for personlig identificering, i hele det fremtidige Cloud.
En eksportmulighed, der vil kunne sælges over hele kloden.

4 millioner i bod, er altså helt ud i skoven !
4 milliarder vil ikke engang være tilstrækkeligt i bod.
Det er lidt som med en tyv, der stjæler en karton smøger. Selve smøgerne repræsenterer kun en lille det af skaden. Alt det ødelagte som følger med ved forbrydelsen, har langt større værdi end smøgerne.

  • 2
  • 1
Rasmus Faber-Espensen

Det offentliges financiering af NemID beløber sig til 205 millioner fordelt over 2008-2014. Heraf er de 111 millioner placeret i 2008-2011 (kilde).

Jeg vil nødig forholde mig til om det er for meget eller for lidt, men der er altså et stykke op til, at man kan kalde det for et milliard-projekt.

  • 4
  • 1
Jesper Kildebogaard

Som Rasmus også nævner, så betaler staten langt fra en milliard for NemID.

Den samlede pris for NemID over fem år er 871 millioner kroner, hvoraf staten betaler 218 millioner kroner i løbet af de fem år. Resten betaler bankerne eller de private firmaer, som vælger at bruge NemID mod betaling til login.

Læs mere her:

http://www.version2.dk/artikel/samlet-regning-nemid-koster-871-millioner...

vh.

Jesper, Version2

  • 4
  • 0
Anonym

Der er kun tale om, NemID. Det har haft mange navne gennem tiden, NemID er kun det sidste.
Omkring NemID, kan det beskrives som oppe i knapt en milliard.
Medregner man alle de afhængigheder der også er tale om, så er det meget mere. Det er også alle de projekter, der er afhængige af NemID, der er er i spil !

Der er i forbindelse med NemID, tale om et projekt, hvor man anvender 3 nøgle-system, frem for det tidligere 2 nøgle-system, som oprindeligt var kodesammensætningen bag ved åben nøgle systemet.
Det er noget man har udviklet på i årtier, det er ikke anvendeligt til at sikre identiteten på en bruger over internettet.
Åben nøgle systemer, er meget interessant i forhold til kryptering, men ikke som identifikation.
For at et sådant system skal fungerer, uanset om det er med 2 eller 3 nøgler, skal nøglernes indehavere, selv kunne identificerer sig sikkert, og kunne kontrollerer anvendelsen af deres nøgle.
Man kan ikke identificerer sig sikkert fra en PC, mobil, eller lignende, som NemID er sat sammen nu. Det lader sig ganske enkelt ikke gøre.
Man kan usikkert, identificerer den maskine der benyttes, men ikke selve identiteten. Selve identificeringen af maskinen, er ikke engang sikker, hvilket også er beskrevet her på Version2.

Problemet med at man har været så længe under vejs er, at der er andre som har overhalet udviklingen.
Skal man benytte en sikker metode, f.eks. med et plastkort som f.eks. et Dankort, så er det en metode der overtræder andres imaterielle rettigheder.
Der findes sikre fremgangsmåder, men det er altså ikke noget som man kan benytte sig af, uden at skulle betale royalties, eller f.eks. købe et patent.

Det er en vanskelig situation, især fordi det nu er kendt, hvordan man kan kompromitterer NemID. Også gennem de muligheder NenID selv stiller til rådighed gennem deres usikre fremgangsmåder i forbindelse med identificering af den enkelte maskine.
Det er ikke noget man bare kan ignorerer.
Skal NemID bringes til at fungerer sikkert, så er der tale om at der kan imødeses væsentlige udgifter.

Det mulige kundegrundlag, ( brugerantallet ) står slet ikke i forhold til grundlaget man ser i f.eks. udlandet. Danmark er ganske enkelt et lille land.
Der har været rigelig mulighed for, at man indkøber andre løsninger, det har man valgt ikke at gøre.
Derfor er man nu i en situation, hvor man har smidt en masse penge efter noget som ikke hænger sammen, og hvis man vil rette på det, så skal man betale for en løsning der er langt dyrere.
Der findes sikre løsninger, både som hardware og software, men det er ikke DanID's.

Hvis man overtræder andres imaterielle rettigheder, gennem et system som NemID, altså med godkendelse af Staten, er situationen endnu værre.
Der vil så kunne argumenteres for, at man i Danmark ikke respekterer imaterielle rettigheder. Det kan medføre alvorlige konsekvenser for resten af Danmark, for der en mange virksomheder der er afhængig af denne beskyttelse både i Danmark og internationalt.

Uden at jeg vil hænges ud for, at skulle stikke DanID eller Datatilsynet noget i skoene, så er det MULIGT, at det netop er omkring de imaterielle rettigheder problemet ligger.
Ellers har jeg svært ved at se, hvorfor der ikke allerede er en løsning.

Den slags er en "hyldevare" andre steder, det handler om at købe ind de rigtige steder.
Genopfinde alting, er ikke vejen frem, det tager for lang tid, og udgiften til udvikling, er almindeligvis dyrere end at købe varen.

I forbindelse med NemID, hvor det efterhånden er veldokumenteret at det ikke lever op til den sikkerhed der kan forventes, men at man alligevel har udviklet en masse andre systemer der er afhængige af NemID, er der tale om, at NemID kan koste meget mere end omkostningen ved NemID.
Får de ikke styr på deres produkt, så kan det medføre meget store udgifter, for mange andre end NemID.

Uanset om det er Staten, eller en privat sektor, der betaler regningen, så er det Danskerne der i sidste ende skal betale.

  • 4
  • 2
Anonym

I forhold til tidligere indlæg, hvor jeg påpeger en række forhold omkring NemID, vil jeg her tilføje, at jeg ikke har egentlig interesse i at udøve kritik over for NemID.

Det har specielt omkring NemID og de spørgsmål der er stillet til dem bag systemet, været vanskeligt at trænge igennem. Her skal man bl.a. tænke på, at Datatilsynet ikke engang har fået svar på deres betænkeligheder, på trods af, at virksomheden bag ved NemID er en privat virksomhed, og derfor underlagt samme lovgivning som alle andre.

Den viden, man afgiver ved at påpege manglerne, er noget som der er betalt for at udviklerne bag ved NemID skulle være i besiddelse af, og derfor skulle have taget højde for i deres produkt.
Det er ikke noget, som det bør være nødvendigt for andre at påpege, det har DanID fået meget store summer for at bidrage med i udviklingsfasen.
Det bør ikke være noget andre skal påpege !

At Datatilsynet, skal tvinges til at rykke for deres bekymring, er bare endnu et eksempel på, at man i forbindelse med NemID vægrer sig ved at levere varen og trækker tiden ud.

Jeg har i kommentarer til andre artikler læst, at man mener der er tale om en hetz imod NemID. Det kan umuligt være en hetz, da det er år siden at NemID skulle have taget højde for de stillede spørgsmål.

  • 1
  • 0
Henrik Madsen

Om DanID nogensinde kommer med en løsning og om denne løsning så også lige skal have java trojaneren med ind eller vi kan slippe for den.

Nå men jeg skrev jo sådan set til DanID for et stykke tid siden og spurgte netop efter denne løsning :

Her er hvad jeg skrev :

*Hej DanID.

Jeg er en af de danskere som pt. har fravalgt at have NemID fordi jeg ikke stoler nok på bankerne til at overlade min digitale signatur til dem.

Jeg har forstået at der kommer en dongle på et tidspunkt hvor jeg selv får lov til at generere min digitale signatur hvilket jo så vil betyde at jeg selv har en del af denne og DanID derfor ikke kan tilgå mine data med min digitale signatur som det er tilfældet idag.

Har i en plan for hvornår det bliver muligt at få denne dongle.

PS. Jeg snakker ikke om den dongle i snart frigiver og som kun er en erstatning for pap-kodekortet ..

Jeg spørger fordi jeg overvejer at skifte til en anden bank som jeg har fundet som gerne vil have mig som kunde og som har valgt IKKE at benytte NemID men syntes det ville være lidt træls at flytte bank bare for at finde ud af at i kommer med den dongle en måned senere.*

DanID supporten var så venlig at svare følgende :

*Kære Henrik

Tak for din henvendelse.

Det produkt du omtaler, har hverken jeg eller vores teknikere her i supporten hørt om.
Derfor må svaret til dit spørgsmål være nej. Det er ikke noget der er planer om.

Hjælp os med at forbedre vores support. Dette gøres nemt ved at du svarer på et spørgsmål på følgende link

Venlig hilsen
Medarbejderens navn
Servicedesk
Nets-DanID A/S*

Så selvom man godt kan argumentere for at der kan være andre løsninger end en dongle løsning som jeg snakker om her så burde supporten vel vide hvad det var jeg sådan i generelle termer snakkede om hvis der var noget på vej.

Jeg konkluderede efter denne mail at de nok slet ikke var gået igang med denne løsning og det ser på artiklen herover også ud til at jeg havde lidt ret i den antagelse.

  • 6
  • 0
Log ind eller Opret konto for at kommentere