En mindre forsinkelse har ramt re-lanceringen af NemID på hardware. Den tidligere hardwareløsning viste sig tilbage i oktober at indeholde en sårbarhed. I den forbindelse spærrede Nets, der driver NemID, for certifikater knyttet til løsningen.
NemID på hardware vil sige, at borgeren selv ligger inde med sin private nøgle, modsat den mere udbredte løsning, hvor den private nøgle er lagret centralt i Nets-regí. En del af aftalen om NemID mellem Nets og Digitaliseringsstyrelsen går ud på, at det skal være muligt for borgeren at opbevare sin egen private nøgle.
Erstatning for den sårbarhedsramte hardwareløsning er en ePass2003 fra Feitian.
Egentlig var det meningen, at denne løsning skulle kunne bestilles fra 25. januar. Men en pop-up på Windows 10 har bevirket, at lanceringen er udskudt til starten af februar.
»Vi har arbejdet med at rette en uhensigtsmæssig brugeroplevelse på Windows 10, som bestod I, at brugerne i nogle tilfælde kunne få en popup-besked, der ikke giver mening. Produktet virker fint, men beskeden kan være forvirrende for de brugere, der bliver udsat for den,« oplyser chef for NemID-medarbejdersignatur hos Nets Thomas Sølling i mail-svar sendt via virksomhedens presseafdeling.
Nets orienterer løbende om forløbet her på denne side.
I oktober 2017 spærrede Nets certifikater knyttet til NemID på hardware, efter virksomheden havde testet sig frem til, at løsningen var sårbarhed over for det, der har fået navnet Roca-angrebet.
Dette angreb går ud på, at det er muligt at regne sig frem til en persons private nøgle alene på baggrund af den offentlige nøgle.
Da den offentlige nøgle i sagens natur er kendt, kan det være et ganske stort problem.
Såfremt det lykkes en angriber at regne sig frem til et offers private nøgle, så kan angribere give sig ud for at være offeret - eksempelvis i forbindelse med digitale underskrifter.