Digitaliseringsstyrelsen: Stol på os - vi holder DanID i kort snor

Borgerne skal ikke være bekymrede for sikkerheden i NemID. DanID bliver nemlig holdt i kort snor af Digitaliseringsstyrelsen, lyder det fra den nyoprettede styrelse.

Eksperter og Version2-læsere står i kø med kritik af NemID. En del af kritikken går på, at danskernes informationer ligger hos et privat firma, nemlig DanID, der leverer NemID. Samtidig kritiseres det, at DanID ikke er åben nok om de sikkerhedsløsninger, der er forbundet med NemID.

Men det er ikke noget problem, lyder meldingen fra Lars Frelle-Petersen, vicedirektør i Digitaliseringsstyrelsen.

»Jeg kan udmærket sætte mig ind i, at DanID ikke fortæller mere åbent om sikkerhedsløsningen. Vi har ikke grund til ikke at være 100 procent trygge ved DanID,« siger Lars Frelle-Petersen til Version2 og påpeger, at der årligt er ekstern kontrol med, at alt foregår korrekt og på tryg vis.

Han påpeger, at man som borger bør stole på det offentlige og DanID.

Hvad hvis man stoler på det offentlige, men ikke på en privat virksomhed som DanID?

»Vi har en kontrakt på vegne af borgerne for at holde øje med, at det er sikkert og trygt at bruge NemID. Det skal vi stå på mål for. Og det gør vi også. Vi holder meget øje med DanID, både selv og med ekstern hjælp.«

Fuld tillid til systemet

Lars Frelle-Petersen understreger, at selv om man i Digitaliseringsstyrelsen har fuld tillid til sikkerheden i NemID, så finder man aldrig et skudsikkert it-system. Han mener, at det faktum, at blot otte ud af 500 millioner transaktioner er gået galt, er mere end bare flot.

»Der er 500 millioner transaktioner, der er kørt efter bogen. Der er mange brugere, der er trygge ved løsningen. Vi har oplevet otte tilfælde med fejl. Jeg tror ikke, du finder nogle løsninger, der har sådan en track record. Hverken i den digitale eller analoge verden,« siger Lars Frelle-Petersen

Han påpeger, at borgerne er trygge ved NemID. Noget, der også bakkes op af den seneste NemID-undersøgelse, som DanID udsendte tirsdag.

»Størstedelen af vores borgere er trygge og glade for NemID. Man kan selvfølgelig konstruere eksempler, hvor man illustrerer sårbarheder, som vi skal være opmærksomme på i vores løbende vurdering af sikkerheden,« siger Lars Frelle-Petersen til Version2 og fortsætter:

»Mange synes, at sikkerheden er høj, og det er den også. Indførelsen af NemID med to-faktor sikkerhed har gjort det vanskeligere for de it-kriminelle, som går efter en hurtig økonomisk gevinst på nettet.«

Men et helt fejlfrit system med digital signatur får vi nok ikke, erkender Lars Frelle-Petersen, der understreger, at man ikke kan undgå en vis form for sårbarhed i et it system. Han lægger også vægt på, at den slags man in the middle-angreb, Ingeniøren og Version2 har demonstreret, også finder sted ude i den virkelige verden med eksempelvis kreditkortoplysninger.

Et tilfredsstillende produkt

Tidligere har der været problemer med oppetider for NemID - noget, der nu er rettet op på. Lars Frelle-Petersen påpeger, at alt, DanID har leveret, kører som det skal, om end samtlige projekter har været forsinkede.

»Det er klart, at det ikke altid er tilfredsstillende, når tingene ikke kommer i den takt, som vi har aftalt. DanID har i mange tilfælde undervurderet opgavernes kompleksitet og størrelse. De har ikke været i stand til at styre projektet i forhold til størrelsens omfang,« siger Lars Frelle-Petersen til Version2.

De produkter, DanID har leveret, fungerer som de skal, og DanID er gode til at tage imod kritik og rette op på eventuelle problemer, lyder vurderingen fra Lars Frelle-Petersen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (37)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#4 Martin Jensen

Kan vi få en kommentar på:

Hvor mange er blevet phishet, hvor beløbet der er forsvundet er så lille, at brugeren ikke har opdaget og meldt det?

Kan vi stole på, at det ikke er sket flere gange, hvor man har brugt sin position til at tie en kunde til ikke at offentliggøre det? F.eks.: "Egentlig skal vi ikke hjælpe dig da du selv har givet koden væk, men hvis du holder mund, så får du dine penge - ellers sagsøger du os bare."

Hvordan kan en løsning til det offentlige hvor man ikke kan få aktindsigt i DanID's gøren være OK når den gælder håndteringe af sager som man normalt kan få aktindsigt i?

Hvordan kan det være en OK løsning, at brugerens eneste mulighed for hjælp ved tvist om identitesttyveri er at gå i byretten og vente flere år? (Det er ikke brugbart at man 'nok' vil få hjælp, og at 'alle har fået hjælp', det er det der står i betingelserne der faldes tilbage på hvis sagen er 'træls' for DanID?

  • 3
  • 0
#10 Nils Bøjden

og så er det ikke din digitale signatur

Jeg har ikke skrevet noget om at jeg har adgang til en digital signatur. Jeh har skrevet at NemID er med digital signatur. Så vidt jeg har forstået på arkitekturen er der en normal 2-faktor login til NemID serverne fra min side og derefter digital signatur mellem DanID og den udbyder jeg skal have fat på. Og ydermere har du oven i købet ansvar for den digitale signatur som DanID opbevarer for dig.

  • 2
  • 11
#12 Maxx Frøstrup

Gud hvor er i søde...

Jeg er altså ikke klog nok til at kunne overskue designet eller setuppet, og bliver ret hurtigt offer for PR-maskinen, (Jeg er bare lidt naiv!)

Når man så ser Nils Bøjdens trolderi og kommentar så bliver man altså retorisk rundtosset :)

Jeg holder krampagtigt fast i min Digitale signatur af den ene årsag, den ligger på MIN usb nøgle, og en kopi af den vil ødelægge den (altså medmindre det kan gøres mens jeg bruger den på en eller anden haxor smart måde).

Det er hunde svært at forklare nogen som helst hvorfor jeg ikke bare får mig en NemID (OCES), selvom det handler om noget så enkelt som fysisk ejerskab og kontrol. Logisk set gør det sikkert ikke nogen forskel, men jeg står tilbage med følesen af kontrol.

Jeg nægter til jeg er truet på livet at oprette OCES via NemID så længe certificatet skal opbevares hos dem. Jeg vil have min nøgle.

Jeg hænger mig i denne detalje fordi det er hvad jeg mentalt kan overskue gør forskellen mellem at "Jeg har kontrollen (eller illusionen herom)" eller "Tilliden".

Og jeg er bare kontrol menneske. Hvem var det der sagde at tillid er godt, kontrol bedre???

Lange forklaringer og sidespor.

Buttom line, med min begrænsede hjernekapacitet, skal der en jurist jeg har tillid til før jeg vil kalde Nils Bøjdens kommentar for andet en trolding. NemID er IKKE en digital signatur!!!! Måske en hjerne sten er at man ikke kan verificere at den IKKE er brugt.

Nu vi har været på et sidespor, så jeg 5 minutter af Kobra på DrK forleden om licenser. Noget med at købe Fifa 2011 for sin sjæl eller noget.

Det interressante her er, hvis man acceptere licensbetingelser med NemID, er de så juridisk bindende? Tænker bare at medlemskabet af golfklubbens forum, kunne jo koste 1 krone i minuttet, i 50 år. Uagtet om du bruger det eller ej. Og i såfald kunne man så inddrive via fogedretten. Den glæder jeg mig til at se, men hvem tør lave den....

  • 4
  • 0
#13 Nils Bøjden

Min pointe er at det hele tiden har været en af de helt store anstødssten mod NemID at den rent faktisk indeholdt min personlige digitale signatur, uden at jeg havde adgang til eller kunne kontrollere denne.

Dermed var den som kontrollerede NemID i stand til at udgive sig for at være mig, uden at jeg kunne bevise at det ikke var mig som havde udført handlingerne.

Oven i købet var den som kontrollerede NemID i stand til at foretage juridisk gyldige transaktioner på mine vegne.

Så det korrekte svar er NemID er ikke en digital signatur, men NemID indeholder min digitale signatur og er i stand til at optræde på mine vegne. Hvilket jeg opfatter som værende særdeles skræmmende.

  • 8
  • 0
#14 Nils Bøjden
  • 6
  • 0
#15 Maxx Frøstrup

Jeg er bange for at Thumbs down skyldes kommentaren, som jeg selv opfanger som et trolling forsøg. Dit meget gode svar på min egen kommentar er så tydelig og let forståelig, ja se dit eget quate, at thumbs down på dette, opfordrer til en yderst spændende debat. Men den har i dette øjeblik udelukkende Thumbs up, min egen og en (for mig) ukendt.

Som jeg selv skrev, er netop den problemstilling himmelråbende på et retsligt opgør. Og jeg venter med længsel på at nogen tager den op i byretten. Ville egentlig endda sponsorere en sådan afprøvning med end dog begrænsede midler. Der må dog være andre end os der er lidt nysgerrig på dette punkts retsikkerhed.

  • 0
  • 0
#16 Nils Bøjden

Som jeg selv skrev, er netop den problemstilling himmelråbende på et retsligt opgør.

Enig.

Hvis man læser interviewet vil man også læse at Lars Frelle-Petersen er omhyggelig med både at nævne 2-faktor sikkerhed og digital signatur som en del af NemID. Så enten af redaktionelle grunde eller valgt af Lars Frelle-Petersen fremstår han faktisk med præcise informationer. Men om det er med et korrekt retsligt grundlag at NemID er i stand til at udgive sig for at være mig vil en forhåbentlig kommende retssag vise. Jeg har dog ikke de store forhåbninger til dette.

  • 1
  • 0
#17 Rasmus Faber-Espensen

Måske det ville være lidt lettere at diskutere det hele, hvis vi kunne få styr på begreberne. Jeg ser tit - også fra DanID og før det TDC's side - at man bruger certifikat, digital signatur og privat nøgle som synonymer.

Men teknisk set er det tre helt forskellige ting.

En privat nøgle er et stort tal, som det er vigtigt at holde hemmeligt. Det modsvarer den offentlige nøgle, og de to tilsammen udgør et nøgle-par,

Et certifikat er en binding mellem en offentlig nøgle og en identitet. En Certifikat Autoritet skriver under (med deres egen offentlige nøgle) på, at de står inde for, at den offentlige nøgle (og den tilhørende private nøgle) er under kontrol af personen med den givne identitet. Hvis man kigger nærmere i certifikatet vil man kunne finde en henvisning til en certifikat-politik, hvor CA'en fortæller mere præcist, hvordan de har sikret sig at det er rigtigt (email, personligt fremmøde, brevpapir etc.) og om de stiller særlige krav til opbevaringen af den private nøgle osv.

En digital signatur er en kobling mellem et stykke data og den offentlige nøgle. Den har den særlige egenskab at det er så godt som umuligt at fremstille en sådan kobling, hvis man ikke har adgang til den private nøgle, men at det er nemt at checke at koblingen er rigtig, hvis blot man har adgang til den offentlige nøgle. I sammenhæng med et certifikat, kan man så få en kobling mellem et stykke data og en identitet (såfremt man stoler på CAen og med de forbehold, som de nu har givet i deres certifikatpolitik).

Så når man diskuterer om NemID er en digital signatur, så lyder det i mine ører som om man diskuterer om en Parker-kuglepen nu er en rigtig underskrift...

Det hjælper heller ikke på det, at DanID (og før dem TDC) snakker om "Danmarks digitale signatur" osv.

Når man så begynder at blande Lov om Digitale Signaturer ind i det, bliver forvirringen total. For den lov indeholder faktisk ikke bestemmelser om, hvad en digital signatur skal være. (Heldigvist, det ville være ret træls, hvis Microsoft ikke måtte signere deres opdateringer digitalt, vi ikke måtte sende emails med PGP digitale signaturer osv., blot fordi de ikke opfylder lovens krav.) Derimod opstiller den en række krav til opbevaring af private nøgler, CAer og især kontrollen af identiteter, som hvis de er opfyldt giver lov til at udstede såkaldte "kvalificerede certifikater". Man må ikke kalde et certifikat for kvalificeret, med mindre det opfylder loven. Der er så vidt jeg husker udstedt ca. 600 kvalificerede certifikater. Både TDC og KMD tilbød en periode at udstede dem, men der er så vidt jeg ved ikke længere mulighed for at få dem (og i TDC's almindelige løsning var det /ikke/ et kvalificeret certifikat, man fik). DanID tilbyder ikke kvalificerede certifikater. Der er et lækket notat fra en advokat, der diskuterer om man kan udstede kvalificerede certifikater til nøgler, der ligger på en NemID-nøgleserver, men jeg har ikke hørt om at DanID skulle have planer om at tilbyde det (og jeg vil personligt ikke mene, at han har ret i, at det er i orden - men jeg er ikke jurist).

  • 9
  • 0
#18 Rasmus Faber-Espensen

Og så er der slet ikke nogen, der nævner begrebet signaturgenereringssystem (men det er nu heller ikke særligt mundret - er der nogen, der kender et bedre dansk ord?):

Et signaturgenereringssystem har adgang til en privat nøgle, og kan bruge den til at generere en digitale signatur, der matcher et givent stykke data.

NemID er et signaturgeneringssystem. Det er en hardware-privat-nøgle-token også. Den software, som TDC distribuerede i gamle dage, var også et signaturgenereringssystem, men dengang kunne man også vælge at bruge sin browser eller operativsystems indbyggede signaturgenereringssystem.

  • 5
  • 0
#20 Christian Nobel

@Rasmus

Lad os lige få det juridiske på det rene, for det er vigtigt for debatten.

Lov nr. 417 af 31/05/2000 om elektroniske signaturer udtrykker ganske klart følgende:

§ 3. I denne lov forstås ved:

1) Elektronisk signatur: Data i elektronisk form, der knyttes til andre elektroniske data ved hjælp af et signaturgenereringssystem, og som anvendes til at kontrollere, at disse data stammer fra den person, der er angivet som underskriver, og at de ikke er blevet ændret.

2) Avanceret elektronisk signatur: En elektronisk signatur, der

a) entydigt er knyttet til underskriveren, b) gør det muligt at identificere underskriveren, c) skabes med midler, som kun underskriveren har kontrol over, og som d) er knyttet til de data, den vedrører på en sådan måde, at enhver efterfølgende ændring af disse data kan opdages.

NemID lever definitivt ikke op til c) og resten befinder sig i gråzonen.

Endvidere:

§ 10. Et nøglecenter skal registrere og opbevare alle relevante oplysninger om certifikaterne i en rimelig periode, dog mindst seks år. Stk. 3. Nøglecentre må ikke opbevare eller kopiere de personers signaturgenereringsdata, som nøglecentret gennem udstedelsen af certifikater måtte have fået kendskab til.

NemID lever definitivt ikke op til $ 10 Stk. 3

Læs i øvrigt resten af loven, der står en række interessante ting omkring de aftalemæssige forhold som heller ikke overholdes af DanID.

  • 7
  • 2
#21 Rasmus Faber-Espensen

Lov nr. 417 af 31/05/2000 om elektroniske signaturer udtrykker ganske klart følgende:

§ 3. I denne lov forstås ved: [...]

Bemærk den første sætning i §3: "I denne lov". Loven lægger ikke begrænsninger for, hvad man må kalde for en "avanceret elektronisk signatur" andetsteds (eller for den sags skyld "elektronisk signatur" eller "digital signatur").

Sammenlign med Lovens §4:

Betegnelsen kvalificerede certifikater eller betegnelser, der er egnede til at fremkalde det indtryk, at der er tale om kvalificerede certifikater, må kun anvendes om certifikater, der opfylder de i stk. 2 og 3 nævnte krav, og som udstedes af et nøglecenter, der opfylder bestemmelserne i kapitel 4 samt regler fastsat i medfør heraf.

, hvor man netop lovgiver om, hvad man må kalde for "kvalificerede certifikater". Man kan måske argumentere for, at betegnelsen "avanceret elektronisk signatur" vil kunne "fremkalde det indtryk", at det tilhørende certifikat er et kvalificeret certifikat, men jeg er ikke stødt på nogen, der har brugt det begreb, med mindre, de faktisk snakkede om Lov om Elektroniske Signaturer.

Jeg er for så vidt enig i, at NemID ikke opfylder kravene i loven, men jeg ser ikke helt relevansen.

  • 2
  • 3
#22 Nils Bøjden

Læs i øvrigt resten af loven, der står en række interessante ting omkring de aftalemæssige forhold som heller ikke overholdes af DanID.

Hvis det kommer til en retssag om hvorvidt NemID overholder loven sker der et af flg to.

  1. NemID vinder retten til at agere som de hele tiden har gjort.

  2. NemID taber retten til at opbevare den digitale signatur og den private nøgle for brugerne, jvf. Lov417 §3 stk 2c. Folketinget vedtager derefter en lov som gør NemIDs modus operandi lovlig. Med tilbagevirkende kraft. Vi er nu ved 1.

  • 4
  • 1
#23 Niels Didriksen

Jeg er for så vidt enig i, at NemID ikke opfylder kravene i loven, men jeg ser ikke helt relevansen.

Nej tydeligvis ikke. Hvis man ikke kan se relevansen, burde man erklæres inhabil/inkompetent. Nu er vi så nogen der gerne så, at NemID opfyldte kravene i loven. Ligesom det pålægges alle andre i samfundet. Og man kan (BØR) spørge sig hvorfor man har set det nødvendigt at kompromittere dette lovkrav. Og den med at borgerne er så ufatteligt dumme at de ikke engang skal have tilbuddet om at varetage ansvaret for deres egen identitet, er et enormt dårligt argument.

Du har i hele debatten også afholdt dig fra at komme med skyggen af sagligt argument i den sammenhæng.

Og med hensyn til om NemID er et certifikat/digital signatur.. At man blæser på lovgivningen for at få et figenblad at stå på, når man påstår at det er en digital signatur er patetisk. Det bør være åbenlyst for enhver at det forholder sig som PHK har skrevet og jeg også har citeret for nyligt:

"NemID er ikke en “digital signatur”, det er “single sign-on” og skal ses og analyseres i det lys. Hvis de havde kaldt den det fra starten havde der ikke blevet så meget larm. At der existerer et certifikat per bruger, er i virkeligheden bare en implementeringsdetalje, fordi de services der skal logges ind til ikke er under samme kontrol-domæne.

Jo mere NemID kartellet med fingrene i ørerne og propaganda-pressen på fuld drøn, stritter mod realiteterne og kæmper med blodige kløer for at bevare den nuværende status-quo, jo mere mistillid skaber de.

  • 6
  • 2
#25 Daniel Udsen

Nej Niels. Det er værre endnu. Det er en single-sign-on set fra din side, men en digital signatur med private nøgler og hele molevitten mellem NemID og dem de skal kommunikere med. Din private nøgle.

Det er stadigvæk meget tvilvsomt om nemid vil blive godkendt nogle steder som en gryldig signatur på bagrund af signatur direktivet eller man er nødt til at gå tilbage til jydske lovs formulering om "hånd mund og sejl". er par relevante links er her.

http://europa.eu/legislation_summaries/information_society/other_policie... http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31999L0093:D...

https://danid.dk/export/sites/dk.danid.oc/da/dokumenter/henrik_udsen_not...

danid's argument er primært at du kan erstate fysisk kontrol over den private nøgle gennem burokratiske sikkerheds procedure, men de har tidligere at de har omgået loven samt at det kun er ment som en midlertidig løsning indtil man finder pengene til at implentere en smartcard baseret løsning. http://www.version2.dk/artikel/ny-digital-signatur-foelger-ikke-loven-de... http://www.computerworld.dk/art/54844/?page=1

det forhindre dem ikke i at påstå det er en best practice konventionel PKI løsning, samtidigt med at de siger nemid ikke er omfattet af den lovgivning der er vedtaget omkring PKI nøglecentre http://www.digitalsignatur.dk/visArtikel.asp?artikelID=1065

  • 2
  • 0
#27 Rasmus Faber-Espensen

At man blæser på lovgivningen for at få et figenblad at stå på, når man påstår at det er en digital signatur er patetisk.

Du mangler stadig at forklare, hvorfor du mener, at Lov om Elektroniske Signaturer (eller anden dansk lov) skulle begrænse DanID for at kalde (resultatet af at udføre en operation med) NemID for en digital signatur. Som jeg skrev tidligere indledes §3 med "I denne lov forstås" (se modsætningsvis §4 "Betegnelsen kvalificerede certifikater [...] må kun anvendes") og selv hvis man ignorerer det, så handler §3, stk. 2, pkt. c om avancerede elektroniske signaturer og står for at adskille dem fra, hvad loven blot kalder elektroniske signaturer.

"NemID er ikke en “digital signatur”, det er “single sign-on” og skal ses og analyseres i det lys.

Jeg har dyb respekt for Poul-Henning Kamp, men han vrøvler også, når han snakker om, hvorvidt NemID er en digital signatur. NemID kan generere digitale signaturer. Når man foretager et login på f.eks. Skats hjemmeside er det blot en implementeringsdetalje, at det foregår ved hjælp af en digital signatur, men når man underskriver et skøde til tinglysningen, har det samme virkning og funktion som en analog underskrift og så har vi altså med en "digital signatur" at gøre.

Men uanset det, så synes jeg, at det, selv hvis man er NemID-modstander, er uinteressant at koncentrere sig om, hvorvidt NemID må kaldes for en "digital signatur"-løsning.

Jeg tror Nils Bøjden har ret i, at hvis det skulle lykkes at overbevise politikerne om, at man ikke måtte kalde det for en digital signatur, ville de blot lave loven om. Og selv, hvis de lavede den om, kunne DanID blot kalde det for en NemUnderskrift eller hvad de nu kunne finde på.

Det er ikke specielt interessant i forhold til loven hvilket navn, man bruger. Det er langt mere spændende at se på, hvilke retsvirkninger en digital signatur har:

  1. Hvad sker der, hvis jeg underskriver en kontrakt med min digitale signatur, og senere benægter at jeg har gjort det?

  2. Hvad sker der, hvis en anden underskriver en kontrakt med min digitale signatur? Gør det en forskel om det er mig selv, der har sørget for at få et NemID/OCES certifikat, eller om "hackeren" har fået det udstedt i mit navn?

  3. Hvad sker der, hvis jeg handler ud fra en digitalt underskrevet kontrakt, og det viser sig, at den er forfalsket? (F.eks. at jeg betaler 5000,- for at leje din lejlighed, men når jeg kommer for at flytte ind, viser det sig, at det ikke er dig, der har underskrevet aftalen).

  4. Hvad sker der, hvis nogen sælger mit hus og tinglyser salgsaftalen elektronisk?

  5. Hvad sker der, hvis jeg i god tro køber et hus og får det tinglyst elektronisk, men det viser sig, at det var en "hacker"?

  6. Hvad sker der, hvis jeg udlåner penge med sikkerhed i et hus, og det viser sig, at tinglysningen ikke var gået retmæssig? Og gør det en forskel om skyldneren var i god eller ond tro?

Det synes jeg er meget mere interessant end hvad man skal/må kalde NemID. Men her tror jeg ikke, der er nogen nemme svar. Domstolene vil jo nok læne sig op af fortilfælde fra den analoge verden, men det kunne være spændende at høre nogle gæt om, hvad retsstillingen er her. Der er nok et godt emne til et speciale eller Ph.D.-afhandling i jura her.

Og den med at borgerne er så ufatteligt dumme at de ikke engang skal have tilbuddet om at varetage ansvaret for deres egen identitet, er et enormt dårligt argument.

Igen skal man passe på hvilke ord man bruger. Din private nøgle er ikke din identitet.

Når DanID udsteder et certifikat står de inde for at den private nøgle, der matcher den offentlige nøgle i certifikatet, kun kan anvendes af den, hvis identitet står i certifikatet. De har derfor et ansvar overfor 3.-part for hvordan du opbevarer din nøgle. Uden at vide noget om det, vil jeg gætte på, at det er en af de udfordringer, der forsinker de decentrale nøgler. I certifikatpolitikken står der bl.a.

Ved udstedelse af et certifikat med tilhørende nøgler skal CA etablere en procedure, der sikrer, at: [...] • den private nøgle er beskyttet af et kryptografisk modul, der er beskyttet mod udtømmende søgning,

Hvordan DanID vil sikre, at det er tilfældet uden at forlange personligt fremmøde, er jeg spændt på.

Det var forøvrigt også en udfordring for TDC. I deres certifikatpolitik stod der

CA skal etablere en installationsprocedure, der teknisk sikrer, at: [...] den private nøgle er aktiveret, når certifikatindehaveren har angivet aktiveringskode, der består af mindst 8 tegn og indeholder mindst et lille og et stort bogstav samt et tal

Lykkedes det for dem? Var der ingen af jer, der flyttede nøglen over i Firefox eller i en PKCS#12-fil, der havde et password, der ikke opfyldte det?

  • 2
  • 0
#28 Niels Didriksen

@Rasmus

Der står en stor polkaprikket elefant i hjørnet af stuen, og til trods for at talrige folk har lyser på den med luftværnsprojektører og har spændt rotorblink på hovedet af den, så står du stadigt og siger "hvilken elefant."

Når loven specificerer hvad en KVALIFICERET digital signatur er, så deraf følger naturligvis at NemID er en UKVALIFICERET signatur.

Og du bliver igen og igen (ligesom øvrige NemID-entusiaster) ved med at nægte at svare på, hvorfor vi skal have en løsning, hvor den forkromede ide er, at borgerne ikke er indehaver af deres egen nøgle, og hvor samtlige af alle borgeres fremtidige indentitets-relaterede handlinger skal administreres og logges af Nemid. Og hvor bankerne har fuldkomment monopol til at kræve betaling for enhver af disse borgeres handlinger.

Så for at spørge helt simpelt: Hvorfor må borgerne ikke generere og opbevare egen nøgle? Og som bonus-spørgsmål, hvis svaret er at de er de alt for dumme til; Hvorfor kan man ikke få tilbuddet?

Efter alt at dømme får vi det aldrig. Vi får som den ultimative narresut en decentral signatur, som hvis den ikke er genereret af brugeren er en endnu dårligere løsning.

  • 4
  • 1
#29 Christian Nobel

@Rasmus

I fortsættelse af hvad Niels siger, mener du så at dine betragtninger også gælder for alle andre love her i landet.

Nej Hr betjent jeg kørte ikke for hurtigt i min tre-hjulede bil, for færdselsloven omtaler ikke specifikt tre-hjulede biler etc. etc.

Det nytter altså ikke at der laves en lovgivning, hvorefter den første aktør der skal leve op til den vil sk... højt og flot på den.

  • 3
  • 1
#31 Rasmus Faber-Espensen

Når loven specificerer hvad en KVALIFICERET digital signatur er, så deraf følger naturligvis at NemID er en UKVALIFICERET signatur.

Jep. Jeg ville formulere det som, at NemID's certifikater ikke er kvalificerede certifikater (loven snakker om kvalificerede certifikater, ikke om kvalificerede signaturer), men det vil jeg ikke hænge mig så meget i.

Det kan man så synes er rigtig træls: hvorfor tilbyder DanID ikke kvalificerede certifikater? Hvorfor kan man kun få ikke-kvalificerede certifikater? Egentligt tror jeg ikke der er det, I vil vide: I vil vide, hvorfor man ikke kan få fysisk kontrol over sin private nøgle, men lad os gemme det lidt, og så tale om det andet først:

Hvorfor har man valgt at udbyde en digital signatur-løsning, der ikke baserer sig på kvalificerede certifikater og på Lov om Elektroniske Signaturer?

Tjah. IT og Telestyrelsen skriver i 2002 om OCES:

OCES er udarbejdet for at skabe en ny type certifikater, der er lettere og hurtigere at udbrede end de kvalificerede certifikater, der findes på området i dag.

og senere:

Der er imidlertid knyttet visse krav til at udstede og benytte kvalificerede certifikater. Krav der i praksis gør det meget svært at få digitale signatur-løsninger hurtigt udbredt. Det gælder primært kravet om, at brugerne skal møde personligt frem for at få udleveret deres certifikat.

Så mon ikke det er grunden: kravet om personligt fremmøde var for strengt og fordelene ved at udbyde kvalificerede certifikater var til at overse.

Så for at spørge helt simpelt: Hvorfor må borgerne ikke generere og opbevare egen nøgle? Og som bonus-spørgsmål, hvis svaret er at de er de alt for dumme til; Hvorfor kan man ikke få tilbuddet?

Først: DanID har lovet, at det kommer. Det får jeg ud fra, at de står ved.

Men hvorfor er det svært? Hvorfor kan du ikke bare generere et nøgle-par , sende den til DanID og lade dem udstede et certifikat og så lade dig passe på den, som du har lyst til? Det må jo være dit eget problem, hvis du ikke passer ordentligt på den, ikke?

Problemet er, at DanID også har et ansvar overfor tredjemand. Når jeg modtager en kontrakt, der er underskrevet elektronisk med din nøgle, så er det DanID, jeg stoler på kan sikre, at det faktisk er dig, der har underskrevet den. Så når DanID stiller krav om, at du faktisk bruger et hardware nøgle-token og ikke bare har nøglen i software, er det ikke kun for at beskytte brugeren mod sig selv. Det er mindst lige så meget for at beskytte tredjeparten i systemet. Hvis en hacker misbruger din private nøgle, er det ikke kun dig, det går ud over. Det er også alle de mennesker, der har modtaget en besked, underskrevet med din nøgle, og i god tro handlet ud fra det.

  • 2
  • 1
#32 Rasmus Faber-Espensen

I fortsættelse af hvad Niels siger, mener du så at dine betragtninger også gælder for alle andre love her i landet.

Ja, jeg mener generelt, man skal læse loven og så følge de regler, som man er omfattet af. Jeg mere ikke, man skal følge de regler, man ikke er omfattet af. F.eks. mener jeg ikke, at jeg behøver at følge hvidvaskningslovens krav om at se legitimation når jeg modtager penge, da jeg ikke er et pengeinstitut eller nogen af de andre kategorier af personer/virksomheder, som er omfattet af loven. Tilsvarende mener jeg ikke, at DanID behøver at opfylde kravene for at udstede kvalificerede certifikater, da de kun udsteder almindelige certifikater.

Nej Hr betjent jeg kørte ikke for hurtigt i min tre-hjulede bil, for færdselsloven omtaler ikke specifikt tre-hjulede biler etc. etc.

Dårligt eksempel. Færdselsloven er rigeligt præcis her. §42 om hastighedsbegrænsninger snakker om køretøjer, som er defineret til

indretning på hjul, bælter, valser, meder eller andet, som er indrettet til kørsel på vej, og som ikke løber på skinner. Færdselsreglerne for kørende gælder, i den udstrækning de kan anvendes, også for ridende samt dem, der fører heste eller driver kreaturer.

Et bedre eksempel var, hvis politiet ville give mig en bøde for at køre for stærkt på min private, aflukkede speedwaybane. Så ville jeg nok henvise dem til Færdselslovens §1: "Loven gælder, hvor andet ikke er bestemt, for færdsel på vej, som benyttes til almindelig færdsel af en eller flere færdselsarter."

Det nytter altså ikke at der laves en lovgivning, hvorefter den første aktør der skal leve op til den vil sk... højt og flot på den.

Lov om Elektroniske Signaturer var også trådt i kraft, da TDC lancerede den første offentlige digitale signatur. TDC's almindelige OCES certifikater var heller ikke kvalificerede.

  • 1
  • 0
#33 Niels Didriksen

Først: DanID har lovet, at det kommer. Det får jeg ud fra, at de står ved.

De har lovet en decentral signatur, det er så sandeligt ikke det samme som en privat. (Privat i ordets litterære forstand). Og som jeg skriver; det kommer garanteret heller ikke, da hele konstruktionen er bundet op på at borgerne ikke selv er forvalter.

Men hvorfor er det svært? Hvorfor kan du ikke bare generere et nøgle-par , sende den til DanID og lade dem udstede et certifikat og så lade dig passe på den, som du har lyst til? Det må jo være dit eget problem, hvis du ikke passer ordentligt på den, ikke?

Ohh.. har du fået øje på en elefantsnabel?

Problemet er, at DanID også har et ansvar overfor tredjemand.

Øv, troede lige du havde fanget pointen :-p Hvad så med denne her: jeg genererer gerne min egen nøgle og møder personligt op med den og mit pas. Så er der jo intet problem? Hvis bare DanID holder sig til gængse standarder, så skulle det jo være en smal sag, og i ALLES interesse. Kan vi blive enige om at arbejde hen mod dén mulighed?

(Og som nævnt tidligere; den lovede decentrale signatur er blot en narresut, der faktisk er værre fra et sikkerheds-synspunkt end den nuværende, da nøgle nu ligger 2 steder).

  • 2
  • 2
#34 Daniel Udsen

Det bliver det da allerede. Banker, diverse offentlige institutioner, forsikringer osv betragter da NemID som gyldig signatur.

Men ikke under EU lovgivning om kvalificeret signaturer hvilket betyder vi er tilbage til almindelig dansk aftale ret, hvor de normale regler for bevisbyrde gælder. En single-signon løsning uden digital signatur ville formenteligt værre fuldstendigt ligestillet med danid's såkaldte signatur løsning, i praksis.

At nemid internt andvender en "virtuel" PKI model har formenteligt ingen real betydning for nemid's formelle klasifikation.

Et tilsagn kan i princippet gives på alle muglige måder, så længe der er sedvane for at man godkender et tilsagn, her yder dansk lov svagere forbruger beskyttelse end EU der typisk har stærke form krav.

hvorvidt nemid er en signatur løsning har ingen praktisk betydning for om at nemid garenteret tilsavn gælder over for banken, da det allerede er aftalt mellem dig og banken at nemid logon skal accepteres som tilsagn.

  • 4
  • 0
#35 Christian Nobel

Så mon ikke det er grunden: kravet om personligt fremmøde var for strengt og fordelene ved at udbyde kvalificerede certifikater var til at overse.

Meget muligt, men ville det ikke være meget rimeligt et eller andet sted at der var et krav om personligt fremmøde - vi taler immervæk om noget mere end vigtigt, og hvis folk ikke ønsker at lette røven, ja så er der bare ingen signatur.

Det er altså til at overkomme, det skal gøres en gang, og det er altså noget klynkeri hvis man ikke kan gøre det - især i lyset af at man så efterfølgende ikke behøver at forlade sin trygge sofa, og er tryg ved ikke at gøre det!

Herudover så er loven er fra 2000, og alligevel er der ikke sket en sk.. i 11 år - det er simpelthen for ringe, og kun et udtryk for at DanID og deres kumpaner har en helt anden dagsorden end at sikre danskernes digitale identitet!

  • 6
  • 2
#36 Christian Nobel

Dårligt eksempel. Færdselsloven er rigeligt præcis her. §42 om hastighedsbegrænsninger snakker om køretøjer, som er defineret til

Ja måske ikke jordens bedste eksempel, det var bare et tænkt eksempel, men viser egentlig meget godt at du straks går i undvige mode, og fortsætter med flueknepperiet om hvorfor DanID kan fortsætte med at tumle rundt i det vilde vesten.

Min hovedpointe er, at det er altså en hån mod demokratiet og den lovgivende forsamling hvis man som hovedudgangspunkt mener at man er hævet over den lovgivning der nu engang er for området, og derefter agerer helt efter sin egen dagsorden.

  • 5
  • 2
#37 Peter Stricker

viser egentlig meget godt at du straks går i undvige mode, og fortsætter med flueknepperiet om hvorfor DanID kan fortsætte med at tumle rundt i det vilde vesten.

Hvor er det bare spot on, det der. Desværre gælder det ikke kun for Rasmus, men i lige så høj grad Jette Knudsen, Palle H. Sørensen og endda også Peter Lind Damkjær. Øv!

Og så fik jeg desværre lige anmeldt dit indlæg. Jeg har dog aldrig helt forstået, hvad den anmeldelse går ud på, men jeg beklager meget, hvis du nu skal tilbringe de næste 48 måneder i Gulag.

  • 0
  • 1
Log ind eller Opret konto for at kommentere