Forvirrende pop-up på Windows 10 forsinker relancering af NemID på hardware

30. januar 2018 kl. 05:0813
Forvirrende pop-up på Windows 10 forsinker relancering af NemID på hardware
Illustration: produktfoto, Feitian.
Problemer med brugeroplevelsen forsinker ny løsning med NemID på hardware.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En mindre forsinkelse har ramt re-lanceringen af NemID på hardware. Den tidligere hardwareløsning viste sig tilbage i oktober at indeholde en sårbarhed. I den forbindelse spærrede Nets, der driver NemID, for certifikater knyttet til løsningen.

NemID på hardware vil sige, at borgeren selv ligger inde med sin private nøgle, modsat den mere udbredte løsning, hvor den private nøgle er lagret centralt i Nets-regí. En del af aftalen om NemID mellem Nets og Digitaliseringsstyrelsen går ud på, at det skal være muligt for borgeren at opbevare sin egen private nøgle.

Erstatning for den sårbarhedsramte hardwareløsning er en ePass2003 fra Feitian.

Roca-angrebet

Forskere offentliggjorde i efteråret en sårbarhed i den nøglegenererings-algoritme, som bliver anvendt i chips fra Infineon Technologies AG. Sårbarheden kaldes Roca (The Return of Coppersmith's Attack), og den gør det reelt muligt at regne sig frem til et offers private nøgle ud fra kendskabet til den offentlige nøgle.

Roca-angrebet kan lade sig gøre i praksis for nøgler med en længde på op til 2048 bits. Der ligger flere værktøjer online, som gør det muligt at teste, om en nøgle er sårbar over for Roca-angrebet.

Forskerne vurderer, at det vil koste op til 40.000 dollars i Amazons skytjeneste at knække en 2048-bits nøgle, mens prisen for en 1024-bits nøgle er op til 76 dollars.

Systemet med offentlige og private nøgler gør det blandt andet muligt for at verificere, hvorvidt en person er i besiddelse af en privat nøgle, alene ud fra kendskabet til den offentlige nøgle.

Kilde: https://crocs.fi.muni.cz/public/papers/rsa_ccs17 mfl.


Egentlig var det meningen, at denne løsning skulle kunne bestilles fra 25. januar. Men en pop-up på Windows 10 har bevirket, at lanceringen er udskudt til starten af februar.

»Vi har arbejdet med at rette en uhensigtsmæssig brugeroplevelse på Windows 10, som bestod I, at brugerne i nogle tilfælde kunne få en popup-besked, der ikke giver mening. Produktet virker fint, men beskeden kan være forvirrende for de brugere, der bliver udsat for den,« oplyser chef for NemID-medarbejdersignatur hos Nets Thomas Sølling i mail-svar sendt via virksomhedens presseafdeling.

Artiklen fortsætter efter annoncen

Nets orienterer løbende om forløbet her på denne side.

I oktober 2017 spærrede Nets certifikater knyttet til NemID på hardware, efter virksomheden havde testet sig frem til, at løsningen var sårbarhed over for det, der har fået navnet Roca-angrebet.

Dette angreb går ud på, at det er muligt at regne sig frem til en persons private nøgle alene på baggrund af den offentlige nøgle.

Da den offentlige nøgle i sagens natur er kendt, kan det være et ganske stort problem.

Artiklen fortsætter efter annoncen

Såfremt det lykkes en angriber at regne sig frem til et offers private nøgle, så kan angribere give sig ud for at være offeret - eksempelvis i forbindelse med digitale underskrifter.

13 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
12
30. januar 2018 kl. 22:20

Har du nogle eksempler fra den virkelige verden?

9
30. januar 2018 kl. 14:56

“Jeg kører Ubuntu, ingen tåbelige dialoger her.”</p>
<p>Det eneste tåbelige er at du kører Ubunto, og forventer er andre er andet end ligeglad

Nu er der ifølge Nets selv ikke særligt mange som i det hele taget bruger nemid på hardware, og jeg tvivler på at der er andre end os nørder som har valgt den løsning, så jeg tvivler på at det er noget problem.

For mig lugter det meget kraftigt som et forsøg på at forhale løsningen igen igen. Det ville ikke være første gang.

Så jeg tilmelder mig koret: Se nu at få det frigivet. Jeg venter også på en e2003 så jeg kan bruge diverse ting igen.

/Henning

8
30. januar 2018 kl. 13:56

“Jeg kører Ubuntu, ingen tåbelige dialoger her.”

Det eneste tåbelige er at du kører Ubunto, og forventer er andre er andet end ligeglad

7
30. januar 2018 kl. 13:27

Windows kan kun sjældent gætte hvad der egentlig er problemet, når noget går galt. I stedet for at erkende dette, popper systemet et velmenende pluk fra lykkeposen op. I bedste fald er der en fejlkode inkluderet, som en søgning så vil vise enten er ukendt for alle andre, eller så velkendt at den ikke hjælper. AI-hjælp på sædvanligt højt niveau!

5
30. januar 2018 kl. 10:17

Jeg kører Ubuntu, ingen tåbelige dialoger her.

Imødeser meget denne hardware løsning, og føler mig 100% fortrøstningsfuld i at Nets har været så fremsynet at supportere andet end Windows platformen.

4
30. januar 2018 kl. 09:40

slettet

3
30. januar 2018 kl. 09:02

Hvis det er beskrevet i installationsmanualen at der pga. "noget" i Windows 10, fremkommer en popup under installationen, at ordlyden/udseendet på pågældende popup er beskrevet, så er det vel ikke noget der forhindrer release af pågældende hardware???

Det ville endda være en opgradering ift. normalen, hvor programmer ikke gennemfører helt, fejler på alle mulige måder under eksekvering eller blot ikke gør som forventet. Og det fuldstændig uden forklaring...

Eller er vi blevet for dumme til at forstå den slags?

2
30. januar 2018 kl. 08:51

...eller i det mindste bare ordlyden så da?

en popup-besked, der ikke giver mening

Nå nej, det her passer meget bedre med det vanlige informationsniveau fra de danske it leverandører! Husk nu at ikke klikke på links i mails, bortset fra dem som vi sender jer. /s

1
30. januar 2018 kl. 08:48

Kunne man tilføje et billede af den omtalte pop op besked ?