Forvirrende pop-up på Windows 10 forsinker relancering af NemID på hardware
En mindre forsinkelse har ramt re-lanceringen af NemID på hardware. Den tidligere hardwareløsning viste sig tilbage i oktober at indeholde en sårbarhed. I den forbindelse spærrede Nets, der driver NemID, for certifikater knyttet til løsningen.
NemID på hardware vil sige, at borgeren selv ligger inde med sin private nøgle, modsat den mere udbredte løsning, hvor den private nøgle er lagret centralt i Nets-regí. En del af aftalen om NemID mellem Nets og Digitaliseringsstyrelsen går ud på, at det skal være muligt for borgeren at opbevare sin egen private nøgle.
Erstatning for den sårbarhedsramte hardwareløsning er en ePass2003 fra Feitian. Forskere offentliggjorde i efteråret en sårbarhed i den nøglegenererings-algoritme, som bliver anvendt i chips fra Infineon Technologies AG. Sårbarheden kaldes Roca (The Return of Coppersmith's Attack), og den gør det reelt muligt at regne sig frem til et offers private nøgle ud fra kendskabet til den offentlige nøgle. Roca-angrebet kan lade sig gøre i praksis for nøgler med en længde på op til 2048 bits. Der ligger flere værktøjer online, som gør det muligt at teste, om en nøgle er sårbar over for Roca-angrebet. Forskerne vurderer, at det vil koste op til 40.000 dollars i Amazons skytjeneste at knække en 2048-bits nøgle, mens prisen for en 1024-bits nøgle er op til 76 dollars. Systemet med offentlige og private nøgler gør det blandt andet muligt for at verificere, hvorvidt en person er i besiddelse af en privat nøgle, alene ud fra kendskabet til den offentlige nøgle. Kilde: https://crocs.fi.muni.cz/public/papers/rsa_ccs17 mfl.Roca-angrebet
Egentlig var det meningen, at denne løsning skulle kunne bestilles fra 25. januar. Men en pop-up på Windows 10 har bevirket, at lanceringen er udskudt til starten af februar.
»Vi har arbejdet med at rette en uhensigtsmæssig brugeroplevelse på Windows 10, som bestod I, at brugerne i nogle tilfælde kunne få en popup-besked, der ikke giver mening. Produktet virker fint, men beskeden kan være forvirrende for de brugere, der bliver udsat for den,« oplyser chef for NemID-medarbejdersignatur hos Nets Thomas Sølling i mail-svar sendt via virksomhedens presseafdeling.
Nets orienterer løbende om forløbet her på denne side.
I oktober 2017 spærrede Nets certifikater knyttet til NemID på hardware, efter virksomheden havde testet sig frem til, at løsningen var sårbarhed over for det, der har fået navnet Roca-angrebet.
Dette angreb går ud på, at det er muligt at regne sig frem til en persons private nøgle alene på baggrund af den offentlige nøgle.
Da den offentlige nøgle i sagens natur er kendt, kan det være et ganske stort problem.
Såfremt det lykkes en angriber at regne sig frem til et offers private nøgle, så kan angribere give sig ud for at være offeret - eksempelvis i forbindelse med digitale underskrifter.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
