Endnu et år forsinket: NemID-pakken er først helt klar til december 2012

Den samlede leverance af NemID er ifølge seneste status blevet et år forsinket. Staten giver DanID hele skylden.

Da NemID til private blev lanceret i juli 2010, var det planen, at de øvrige dele af leverancen fra DanID skulle være klar få måneder efter. Senest inden julen 2010, lovede DanID.

Men siden har den ene forsinkelse efter den anden ramt de øvrige dele af NemID, for eksempel NemID som medarbejdersignatur, og muligheden for at få sin private nøgle på et stykke hardware.

I en opgørelse over alle statens it-projekter til mere end 10 millioner kroner fremgår det, at DanID i maj 2011 havde lovet en endelig levering i slutningen af 2011. Men nu er den sidste aflevering udskudt med et helt år, så leveringsdagen nu hedder senest 31. december 2012.

Forklaringen på forsinkelserne peger i statens opgørelse kun mod problemer hos leverandøren Nets DanID, der er ejet af de danske banker.

»Den oprindelige estimering har vist sig mangelfuld. Leverancer fra leverandøren er ikke sket efter aftalt tidsplan. Leverandøren har underestimeret opgaven. Kritiske kompetencer manglede hos leverandøren,« lyder begrundelsen fra staten.

Til gengæld kan staten glæde sig over, at udgifterne ikke er steget, da DanID får en fast pris for leverancen på 72 millioner kroner. Faktisk har staten også fået betalt fire millioner kroner tilbage fra DanID i bod, som straf for de mange forsinkelser.

Version2 spurgte sidst DanID om tidsplanen for medarbejdersignatur og privat nøgle på hardware i december 2011. Her lød svaret, at den decentrale nøgle var udskudt på ubestemt tid, mens medarbejdersignaturen skulle være klar i juni 2012.

Læs også: DanID i ny forsinkelse: Nu bliver medarbejdersignatur skubbet til juni 2012

Læs også: Staten magtesløs over for nye NemID-forsinkelser - men »nu tror vi på tidsplanen«

Læs hele oversigten over statens 73 større it-projekter (pdf).

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Madsen

"og muligheden for at få sin private nøgle på et stykke hardware."

Så længe den private hardware device med ens egen nøgle alligevel ikke kommer til at virke til netbank så er den inderlig ligegyldig.

Så længe vi ikke ved om "Vores egen nøgle" skal genereres af os selv eller om DanID lige ligger den ind for os "i brugervenlighedens navn" og vi dermed ikke ved om DanID lige gemmer en kopi så er den inderlig ligegyldig.

Henrik Madsen

  • 6
  • 0
Morten Jensen

Så længe vi ikke ved om "Vores egen nøgle" skal genereres af os selv eller om DanID lige ligger den ind for os "i brugervenlighedens navn" og vi dermed ikke ved om DanID lige gemmer en kopi så er den inderlig ligegyldig.

Henrik Madsen

JA! Jeg er helt enig. Det er forblændende åndsvagt at dk skal have tvunget det her andenrangs lort ned i halsen. Det er ikke kun hos DanID der mangler kritiske røster...

  • 0
  • 1
Anonym

NemID skulle have været en sikker løsning, der skulle skabe et sikkert identifikationssystem, som tilsvarende kunne bruges i forbindelse med det Digitale Samfund.

NemID, har alle de sårbarheder der er advaret om, det er både bevist og nogen har betalt for det. Det kan ganske enkelt ikke anses som en leverance, heller ikke til de private brugere. Det er ikke, bare noget der ligner, det som man fik tildelt i opgave. Overhovedet, fortsat at stole på den løsning, efter at det nu er dokumenteret, at man hverken kan undgå, eller dæmme op for, de sikkerhedsmangler der er, må man simpelthen stoppe udbredelsen af den løsning. Kigger man på nøglerne, så er det bevist, at nøgler som har grundlag i RSA ikke er entydige. For hver ca. 5000->6000 nøgler, dannes dubletter. Derfor er der i tilfældet med nøgler, der har grundlag i den form for kryptering, heller ikke grundlag for at man kan skabe en entydig identificering. Det virker simpelthen ikke. Og det er ikke nogen troll, det er simpelthen undersøgt og dokumenteret. Derfor vil et system, der har identifikationsgrundlag i RSA, heller ikke fungerer, upåagtet at RSA tilbyder en helt utrolig god "kryptering", hvis det anvendes rigtigt.

NemID ER en halvfærdig skodløsning, som ikke fungerer, hverken på det ene eller andet plan. At arbejde videre på den løsning, er penge, tid, og indsats, direkte ned i et sort hul.

En anden tråd i dag: http://www.version2.dk/artikel/danske-bank-fjernede-ekstra-sikkerhed-mod...

Her må man virkelig håbe at [bankerne, Finansrådet og Nets Danid] bliver enige med sig selv om, at man skal lade være med at sætte høkere til at lave IT. De ER ved at vælte det Digitale Samfund, det er ikke længere noget teoretisk scenarie.

Hvis de ikke selv kan finde ud af det, så må man forvente, at Staten simpelthen stopper dem.

Det er jo ikke, i hverken Statens eller nogen andens interesse, at man har en privat virksomhed som Nets Danid, til at forestå sikkerhed og identifikation, på nogen infrastruktur, heller ikke internettet.

Der må udvises ansvarlighed fra Statens side, så man kan komme frem til en fungerende løsning.

  • 1
  • 1
Peter Stricker

Kigger man på nøglerne, så er det bevist, at nøgler som har grundlag i RSA ikke er entydige. For hver ca. 5000->6000 nøgler, dannes dubletter.

Har du en kilde til dette?

Og her tænker jeg på en mere troværdig kilde end dig selv i denne tråd: http://www.version2.dk/artikel/manglende-tilfaeldighed-i-web-kryptering-... hvor det desværre ser ud til at Morten Andersens - og DanIDs egen Peter Lind Damkjærs - forsøg på at lede dig på rette spor har været helt forgæves.

  • 0
  • 0
Log ind eller Opret konto for at kommentere