Endnu uvist om private nøgler for MitID bliver lagret centralt

Det kommende MitID er stadig så meget på tegnebrættet, at Digitaliseringsstyrelsen endnu ikke kan sige, hvordan private nøgler vil blive lagret.

Forleden fortalte Version2, at udviklingen af MitID, NemID's afløser, har et budget på 900 millioner kroner, jævnfør en såkaldt forhåndsmeddelelse fra Digitaliseringsstyrelsen.

I den forbindelse fremgik det også, at i hvert fald en del af MitID ikke nødvendigvis ville basere sig på PKI - altså en privat/offentlig nøgle-struktur.

Læs også: Udbud køres i stilling: Det nye NemID – kaldet MitID – har et budget på 900 millioner kroner

Vi har bedt Digitaliseringsstyrelsen knytte et par yderligere kommentarer til planerne, der dog endnu ikke er så konkrete:

»Vi kan ikke sige noget specifikt om, hvordan den kommende løsning skal skrues sammen rent teknisk, idet det afhænger af, hvad kommende leverandører måtte byde ind med,« oplyser kontorchef i Digitaliseringsstyrelsen Charlotte Jacoby i en mail til Version2.

I forhold til, at den kommende løsning ikke nødvendigvis behøver være PKI-baseret, så drejer det sig om den del af løsningen, der vedrører elektronisk identifikation, kaldet eID.

»Det, vi kan sige, er at vi i fremtiden forventer at skille eID og digital signatur ad, og at et eID ikke nødvendigvis behøver at være PKI-baseret,« fortæller Charlotte Jacoby.

Og i den forbindelse er det endnu også uvist, hvorvidt den private nøgle til løsningen - som udgangspunktet er ved den nuværende løsning - vil blive lagret centralt eller ej, fremgår det af svaret fra kontorchefen.

»Vi kan derfor heller ikke på forhånd sige, om en kommende løsning vil indebære centralt lagrede nøgler eller ej.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (14)
Hans Schou

"hvordan private nøgler vil blive lagret". Private nøgler bliver lagret privat, og findes kun der. Ellers er de ikke private.

Havde spørgsmålet været "hvordan personlige nøgler vil blive lagret", så kunne svaret være "centralt".

Hvis ikke det bliver en PKI løsning, så er det nok ikke noget jeg kommer til at bruge.

Henrik Madsen

Når man erkender at man ikke selv har de fornødne kompetencer, er det vel ok.
Man må håbe at de i det mindste lader en uvildig 3-part give deres vurdering.

Nej, det er ikke i orden at lade leverandøren bestemme hvad han kan levere.

Hvis man på forhånd undlader en kravspecifikation, så har man jo overladt det til leverandøren at bestemme.

Man må lave en kravspecifikation og så spørge "Kan i levere dette og til hvilken pris".

Henrik Biering Blogger

Kunne man bare kopiere et eksisterende system fra et andet land eller er vor situation og vore problemstillinger så unikke og fremtidsfokuserede, at vi er ved at designe Verdens Mest Avancerede System?


Der er nok en del af de potentielle leverandører, der vil være fortalere for at udvikle unikke og så proprietære løsninger som muligt. Det må man håbe at styrelsen har kompetence til at gennemskue.

Et væsentligt problem er nemlig at den teknologiske udvikling og kravene fra omverdenen (pt. f.eks. taleinterfaces og IoT generelt) sker hurtigere end man kan udvikle en ny grandiøs løsning. Man kan nok lade sig inspirere af andre landes løsninger, men næppe kopiere dem. Det peger så på en minimalistisk KISS løsning, som borgere og virksomheder om nødvendigt selv kan købe eller udvikle forbedringer og opdateringer til.

Et relateret problem er derfor den øgede komplexitet, der skyldes selve tankegangen om at vores digitale identiteter er ejet af staten (og bankerne) og ikke af os selv. Hvis staterne (og virksomhederne) i stedet så sig selv som leverandører af verificerede attributter til borgerne ville det være langt lettere at få etableret velfungerende markeder for ID-løsninger (a la wallets for betalingsmidler), som borgerne kan anvende på tværs af grænser og applikationstyper.

En sådan attributløsning vil også lettere kunne afkobles fra den centrale infrastruktur, hvorved kravene til driftsikkerhed og håndtering af DDOS angreb mindskes betydeligt. Ligesom mit nuværende pas, der virker fint selvom både politi og NemID måtte være "nede".

Andreas Bach Aaen

Det er kun een grund til at lave et så centraliseret system, hvor alle transaktioner bliver logge centralt. Det skyldes at man skal kunne tælle transaktionerne og tage sig betaling pr. styk.
Man kunne godt forestille sig eyt nemID system, hvor borgerne/virksomhederne kunne bruge identiteterne til at kunne kommunikere sikkert internt med hinanden uden at identitetskontrolanten skal være indblandet. Et sådant system vil også være langt sværere at få til at bryde sammen.

Tænk hvis alle vores kontanter skulle en tur ind omkring nationalbanken og få et lille stempel på hvergang vi vil handle med hinanden. Sådan er NemID.
Utroligt dumt og det lader ikke til at den kommende løsning bliver bedre i den henseende.

Kjeld Flarup Christensen

Det kunne være klædeligt om det nye system gav frit valg, altså man kan med sit egen computer genere en nøgle og kun uploade den offentlige nøgle. Eller man kan lade big brother generere den og passe på den.

Skal vi være helt ærlige, så er det nok ikke alle, som selv kan håndtere at passe på den private nøgle.

Christian Nobel

Skal vi være helt ærlige, så er det nok ikke alle, som selv kan håndtere at passe på den private nøgle.

Så ergo bygger vi bare fremtidens sikkerhed på laveste fællesnævner.

Hvad med om vi så allesammen deponerer vores nøgler til bilen, huset, haveskuret, brevkassen, pengeboksen, mv. i banken.

For vi kan jo ikke finde ud af at passe på dem - så hellere lade sparekasseassistenten låse op for os!

Kjeld Flarup Christensen

Hvad med om vi så allesammen deponerer vores nøgler til bilen, huset, haveskuret, brevkassen, pengeboksen, mv. i banken.


Hvad synes du selv frit valg betyder?

Hvad med om vi tvinger alle til at lade nøglerne ligge frit fremme, fordi vi ikke stoler på Nets.

Det er lidt et valg mellem pest eller kolera. Skal vi lade staten stjæle folks identitet eller skal vi lade nogle hackere gøre det?

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 10:31

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017