Frygter hackere: DanID vil ikke løfte sløret for NemID-checksum
Nets DanID ønsker ikke at oplyse, hvordan selskabet beregner den pc-checksum til loginløsningen NemID, som Version2 kunne fortælle om i sidste uge.
Det skyldes hensynet til sikkerheden, oplyser selskabet i et emailsvar til Version2.
»Vi kan hverken be- eller afkræfte, hvordan den konkrete implementering er lavet, da det vil være med til at kortlægge, hvordan vores løsning er udformet,« skriver kommunikationskonsulent Ulrik Marschall, Nets DanID.
Version2 kunne fredag i sidste uge berette, at Nets DanID indsamler en stribe oplysninger om din pc's hardware for at kunne beregne den såkaldte pc-checksum – en unik værdi, der kan bruges til at identificere en bestemt pc ved efterforskning af sager om misbrug af NemID.
Datalogistuderende Mathias Svensson havde gennemgået indholdet af fire GIF-filer, der beregner pc-checksummen på Windows-, Mac- og Linux-platformene og forelagt Version2 resultatet.
Hans gennemgang afslørede, at der indsamles hardwareoplysninger om alt fra CPU'ens id-nummer til ramblokkenes serienumre. Andre værdier høstes for eksempel fra lydkortet, netkortet og tastaturet.
I alt 16 oplysninger på Windows-, 13 på Mac- og 6 på Linux-platformen.
Nets DanID ønsker ikke at oplyse andet, end at pc-checksummen beregnes ud fra forskellige hardwareværdier, som det også fremgår af selskabets privatlivspolitik.
»Nets DanID kan bekræfte, at pc-checksummen er beregnet på baggrund af forskellige hardware karakteristika,« skriver Ulrik Marschall.
Ifølge Mathias Svensson er metoden ikke tilstrækkelig over for erfarne it-kriminelle, der for eksempel blot kan sætte NemID-appletten til at køre i et virtualiseret miljø.
Dermed kan den it-kriminelle selv indstille hardwareværdierne og på den måde sløre, hvilken pc der er blevet brugt i gerningsøjeblikket.
Den kritik er Nets DanID principielt set enig i:
»Det er korrekt, at hvis de data, der danner grundlag for pc-checksummen ændres, så vil checksummen også ændres,« lyder svaret.
Version2 har den seneste tid kørt en serie artikler, der har afsløret en række kritisable forhold omkring sikkerheden ved NemID.
Nets DanID vil gerne forholde sig til kritikken, men kan ikke svare på alt, fremgår det i e-mailen:
»Vi anerkender den interesse, der er blandt Version2’s læsere for NemID. Vi lytter også gerne til kritiske kommentarer og forholder os naturligvis til dem,« skriver Ulrik Marschall.
»Dog håber vi også på forståelse, når vi ikke kan besvare spørgsmål med den ønskede detaljeringsgrad, da det kræver, at vi løfter sløret for følsomme sikkerhedsdetaljer, der potentielt kan gøre det nemmere for svindlere at kompromittere sikkerheden omkring NemID,« uddyber kommunikationskonsulenten.
Version2 havde stillet følgende spørgsmål til Nets DanID:
- Vores læser hævder, at pc-checksummen genereres ud fra hhv. 16, 13 og 6 unikke hardware-værdier på brugerens pc på hhv. Windows-, Mac- og Linux-maskiner. Er det korrekt, og stemmer de overens med Mathias Svenssons værdier?
- Læseren hævder, at checksummen kan være fin i efterforskningsøjemed til almindelige borgersager, men at erfarne it-kriminelle relativt let vil kunne omgå det - f.eks. ved at køre NemID i et virtualiseret miljø, hvor den it-kriminelle selv har bestemt hardwareværdierne, som således ikke er de samme som den fysiske pc's. Er det en analyse, DanID er enig i? Er det et scenarie, I har oplevet i den virkelige verden? Er der nogen måde, hvorpå I kan at tage højde for det eller lignende scenarier?
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
