Altså fordi man vitterliggører overfor medarbejderne at det må man ikke, så bliver alt godt?

Ligesom det er god mailskik ikke at blotlægge alle andre modtagere af en mail som CC - noget der er blevet tordnet mod i årevis, og alligevel så sker det i stor skala nærmest dagligt.

Det er simpelthen hamrende naivt at tro at en gang symbolsk symptombehandling løser det grundlæggende problem - nemlig at NemID er fejldesignet og usikkert.

Suk, suk, suk.

For når SKAT ikke sender links i deres mails, så gør "the bad guys" det helt sikkert heller ikke.

Præcis.

Hvis der bare var trafiklys foran alle banker, så ville der jo heller ikke være flere bankrøverier, for bankens ansatte kører jo ikke over for rødt.

Helt upåagtet at NemID løsningen ikke hænger sammen, som Christian Nobel ovenfor gør opmærksom på, så er det påfaldende, at der nu er endnu en toppolitiker fra den nye regering, som støtter op om NemID løsningen.
For ikke så længe siden, var Finansministeren ude og udtale sig positivt omkring NemID.
Det er påfaldende og betryggende, at man fra venstrefløjen, støtter op omkring NemID som oprindeligt har udspring i den tidligere højreregerings ønske om at privatiserer den offentlige sektor.
Politisk overbevisning og fundament, skal åbenbart ikke stå i vejen, når der skal støttes op om dødkørte projekter.
Det er nye tider for Demokratiet, når politik ikke handler om politik.

Ja for det er jo klart at Hr og Fru Danmark følger meget med i denne debat og vil altid fremover huske at ingen officielle e-mails vil komme med links.

Så derfor når der kommer en skat-spoof e-mail så ved alle i Danmark at man ikke må klikke på de links fordi de jo ikke vil sende links ud.

Jeg tænkte helt det samme :o)

Selvom jeg synes meget af kritikken af NemID er overdrevet, så er det barokt, at sikkerheden i NemID nu tilsyneladende står og falder med, at der ikke udsendes emails fra myndigheder med links i.

Der er en række forhold som skal være på plads i det Digitale samfund.
At man kan benytte en del af de muligheder der er i mail-protokollen, er bare et enkelt forhold der skal være på plads.
Hvis der skal være bare det mindste hold i udtalelsen fra Skatteministeren, så er det ikke kun Skat der ikke må benytte links i deres mail, men alle.
Det skal altså forbydes at benytte link i nogen mail i Danmark, ellers har det ingen effekt.
Det her helt usammenhængende med det Digitale samfund.
Der må være nogen der kan forklare Skatteministeren det.

Det lyder som noget jeg har hørt for:
Skat udtaler at de ALDRIG mere sender links i E-mails, og dagen efter dukker de næste links op i skats E-mails...

> 'Hvordan mener ministeren, at borgerne fremover skal kunne kende forskel på såkaldte phishing-e-mails og e-mails fra offentlige myndigheder, hvilket borgerne hidtil har kunnet gøre, idet e-mails fra offentlige myndigheder aldrig måtte indeholde dybe links [...]

Så et link til forsiden af https://gentofte-bibliotek.dk er ok? For som kommunikationschef hos DanID Jette Knudsen skriver »Det ’farlige’ link i den mail går til Tastselv-login og derefter Nemlogin. Så den it-kriminelle skal lave to forsider.«. Fordi det ville tage adskillige timer at sætte en proxy-server som sslstrip op.

Plus at så længe at den almindelige borger ikke er blevet informeret om reglen om hvilke links DanID påstår er som er sikre, så er hele øvelsen jo totalt meningsløs.

Har Skat overvejet, at signere de emails de sender ud med nem-id links.

Fx. med en digital signatur?

Ja, det er dybt ironisk at man kan stille det spørgsmål.

Især fordi det er nemt at indarbejde en rigtig digital signatur i mail klienter, f.eks. enigmail.

Så hvornår kommer der en egentlig digital signatur?

Formentlig aldrig fordi din digitale kommunikation med det offentlige ikke skal ske med krypterede og signerede email beskeder i din normale email klient, men via Digital Post som er et webmail-lignende system administreret af e-Boks.

Hvilket igen er nødvendigt, da det ellers ville flyde rundt med kommunikation, som DanID ikke kunne tage betaling for.

I det lys kan det egentlig undre at PostDanmark er gået med til at holde chikanen mod borgere nede på at man "kun" skal sætte en postkasse op ved vejen - men det er nok mere fordi de har større interesse i at fylde kasserne med reklame end egentlig post.

Så når Nets engang overtager PostDK, så skal al post til borgene scannes ind hos PostNets, og så kan man kun få lov til at læse sin personlige post når man tropper op på PostNetsHuset og bliver lukket ind til terminalen af en PostNets medarbejder.

George Orwell here we come.

Nu vil jeg ikke tage nedenstående for pålydende, bare mere som en skræmende tendens jeg har lagt mærke til når jeg skal kommunikere med et par kommuner.
Det er sådan, blandt andet hos København, Allerød og Brøndby kommune, har en helt specialt praksis hos ihvertfald nogle af deres afdelinger.
Der bruges af princip ikke personlige signerede/krypterede mails, idet deres systemer ikke understøtter dette (iflg en af overstående kommuners itafdelinger). I stedet skal man sende til gruppemail(en mailboks der kan tjekkes af mange!), som de så kan skrive krypteret fra.
Derudover kræver så deres system at din signatur er offentlig' tilgængelig på certifikat.dk, da deres system ikke forstår at tage din signerede fil, og bruge denne når de laver den krypterede del.
Til sagens kerne:
Ifølge en itmedarbejder (nej, han arbejder ikke for en af de overstående kommuner, men en helt 4'), så har de valgt at lave disse gruppe-mails løsninger fordi de skal betale til danid, hvis de vil have over 10 private signaturer.
Danid skal nok få deres betaling, om så det kræver krumpspring af kommunerne for bevist ikke overholde den sikre en til en kryptering, ja.. jeg har efterhånden tabt troen på at noget overhoved skal lykkes!
Tak SEPO (.dk), danid og kommuner, som bare gør livet som ansat og borger i dette land, alt andet end nemt.

Ja, det kan jo forklare hvorfor DanID, og dermed Nets, er så glade for deres monopol-løsning.

Men hvad forklarer flere ministres begejstring for NemID ?

@ Lars Lundin

Jeg er også forundret over at Ministrene går ud med begejstring, når det er oplyst over for dem, hvilke fejl og mangler der er i NemID.

Yderligere. Så virker det underligt på mig, at man ikke fra andre offentlige myndigheder har grebet ind.

Den nuværende Digitaliserigsstyrrelse, tidligere Center for Digital Signatur, har været klar over at der var fejl og mangler længe inden den nye regering tiltrådte.
Man er bekendt med, at der er fejl som gør at NemID ikke kan fungerer, men alligevel råder man politikerne som man gør.
Heller ikke, selv om man igen bliver gjort opmærksom på fejlene fra flere sider, gør man noget ved det. Det virker som et svigt ud over det normale.
Man er oven i købet blevet præsenteret for en løsning, der vil rette manglerne ved NemID, men der henholder man sig til at Danid / Netz har vundet en licitation. (Jantelov eller bare ensidig beskyttelse af en privat virksomhed ?)
Man henholder sig på ingen måde til, at NemID ikke fungerer, og at leverandøren derfor ikke lever op til leveringen.
Helt tilbage i 2009, var der debat om at NemID ikke levede op til den licitation man havde fået, alligevel forlængede man fristen og kom senere med en betinget accept af leveringen. Selv denne betingede leveringsaccept har man endnu ikke levet op til.

Datatilsynet er fortsat kun betænkelig.
Der eftersøges svar eller løsninger, men det får man ikke, selv om man langt har overskredet enhver rimelig tid. Der skal naturligvis være mulighed for at man retter sine fejl, eller tid til at svare på en betænkning, men den tid er langt overskredet.
Selv med de nuværende offentlig kendte fejl og mangler, agerer man ikke i Datatilsynet.

PET, bruger samme fremgangsmåder som NemID er sårbare over for. PET er oven i købet klar over at det også anvendes i andre lande.
Det virker helt uansvarligt, at PET ikke har grebet ind.

FE bør kende til sårbarhederne, og de er vidende om, at der aktivt føres digital krig, også rettet mod Danskere.

Alt sammen noget der kan læses om, også her på Version2.

Det er surt at man ikke kan stole på NemID, men det er lang mere alvorligt, at så mange institutioner svigter og efterlader alle Danskere udsat for en privat virksomheds for godt befindende.

Det er noget man normalt læser om sker i korrupte bananstater, men altså også i forbindelse med DanID Netz her i Danmark.

Hvem siger det er ministeren - mange af dem har vel kun brugererfaring samt Twitter-Facebookevner, samt kan lege lidt med en Officepakke og en browser.

Ministres spindoktor kender til skrivning på et tastatur (journalist), samt glem ikke de fleste topembedsmænd har jo en helt anden profil og ingen karakter (eksamen) vedr. it-sikkerhed i uddannelsen... For de middelaldrende personer og opefter eksisterede seriøs it/-sikkerhed overhovedet ikke undervejs i rækkerne mod toppen.

Manglende viden eller evner på det her område er faktisk ikke en synlig rød plet i panden - det er komplet usynligt.

Det er muligvis blevet et naivt synspunkt, men jeg mener, at det er trods alt ministeren, som skal stå inde for sine egne ord.

Og hvis en minister, som det realistisk nok antydes, mangler IT-indsigt, så er det da netop en ekstra grund til at udtale sig forsigtigt.

+5, Funny

Jeg formoder du mener de midaldrende?

Og jeg kan altså hilse dig og sige at du kan ikke bruge den betragtning en bloc - her er f.eks. inde i dette forum adskillige midaldrende der så sandelig er meget sikkerhedsbevidste, jeg vil endda hævde at der er mange repræsentanter fra den yngre generation der har et helt andet afslappet forhold til deres egen sikkerhed ved ukritisk at lægge deres liv i hænderne på Google, Facebook mv.

Skat og andre offentlige institutioner skal forbydes at misbruge NemID til pjat og vrøvl.
Det øger jo blot risikoen enormt for at info bliver opsnappet, 'man in the midle' eller bare en 'robot'.
Nogen banker tillader endda login uden, at man skal bruge pinkoden.
"Hvorfor skal man så bruge pinkoden på det offentlige".
I øvrigt virker Skat's da ikke. Jeg blev henvist til NemID login, og så var jeg logget ind. Men helt uden nogen mulighed for at komme til den relevante side. Det er utroligt amatør aktigt.
Og det er uaceptabelt, at det offentlige pålægger/tvinger borgerne til at anskaffe sig betalingskort og online adgang, når det offetnlige fortsat er så ringe til at håndtere det.
Tiden er simpelt hen ikke moden til det endnu. Både de offentlige institutioner såvel som en desværre betragtlig del af lærerstanden har været så meget modstander af alt med IT, så det er uanstændigt nu at mase sådan på.
Fra 1849 til 1915 gik der 66 år med at give kvinder stemmeret generelt!

Korrekt Christian, det er ikke alder. Deres force er i helt andre retninger, og de kan/skal ikke forventes have ekspertise på området. Men har man ikke selv den nødvendige basale viden, kan man heller ikke bedømme valør af den rådgivning man får.. man kan da alene tro og håbe :)

Grundproblemet er som hyppigt nævnt, at NemID vel er brugbar alene ifm. banken. Men at bruge 'tro og håb' den så også dur ifm. private og følsomme oplysninger er den 1. fejlslutning. Samt tilmed tillade den udbredes til alskens andet tant og fjas (som Knud nævner) leder direkte til 2. fejlslutning.

Når så hele det offentlige skal 'digitaliseres' har man totalt glemt formålet - folketing samt ministre er valgt til at tjene og passe på deres befolkning.

Netop dette fortæller vores skatteminister i bloggen ovenfor. Han 'tror og håber' et sikkerhedssystem bygget til en stor købmandsbutik, kan genbruges til at passe på befolkningen... han har nok endnu ikke fattet forskellen, og kan antagelig ikke gennemskue, at det er uopretteligt når fejlslutningen konstateres.

Der er pt. vel åbnet for > 2 mio. af vælgernes personlige oplysninger. De fleste opdager nok, hvis der mangler penge på kontoen, men ingen opdager, at der stille og rolige lister kopi af oplysninger ud - intet at stemme af og intet mangler!

Der er ikke grund til at slutte at Skatteministeren eller andre ministre er naive, hvis man ikke er oplyst korrekt.
Hvis en minister eller embedsmand er oplyst korrekt, har denne er korrekt grundlag i beslutningsprocessen, men er der talt usandt over for ministeren eller embedsmanden, kan ministeren eller embedsmanden ikke foretage den rigtige beslutning.

Der skal tages i betragtning, om der i forbindelse med selve informanten, er tale om en informant, der ikke har den fornødne indsigt i egen information.
Altså i dette tilfælde, om DanID har tilstrækkelig indsigt i, om DanId selv, har den fornødne kapacitet og om Digitaliseringsstyrelsen ( Ministerens rådgivende organ ) har den fornødne kapacitet til at overskue løsningen.
Kan man ikke overskue en løsning, f.eks. i forbindelse med NemID, eller bare løsningen i forbindelse med at gå over en lyskurv, stiller det ikke en uden for loven. Loven skal overholdes, uanset hvor store mangler man har i kapacitet.

Sikkerheden.
Lad os kigge på sikkerheden i den 3 delte nøgle, som NemID skulle bestå af.
Den 3 delte nøgle, altså at bruger, serviceyder og NemID, hver har en del af nøglen, har en del sårbarheder.
En af sårbarhederne er, at selve styrken i en sådan nøgle, aldrig bliver bedre end den svageste part. At bryde nøglen, handler kun om, at man skal kunne overtage en af de 3 parters nøgle, så er det samlede system kompromitteret. Her på Version2, er der redegjort for, hvordan man i forbindelse med NemID, kan kompromitterer hele det Digitale samfund, ved at kompromitterer NemID.

Jeg kan forstå, her fra denne debat, at der angiveligt er banker, der tillader login uden pinkode. Dermed, er der tale om, at nøglen er åben for misbrug. Dermed er der også mulighed for, at nøglefunktionen frit kan anvendes i den kompromitterede tilstand.
I forbindelse med NemID, er det klart at hvis der kan foretages et login med kun en del af nøglen, altså uden pinkode, så er der tale om at der kan foretages login uden egentlig sikker personlig identifikation.

I forhold til kryptering, må brugernøglen ligge hos brugeren. Nøglen kan være sammensat på flere måder, også dynamisk, og her er der tale om at det for "folk" med lidt mere end almindelig indsigt, er ret åbenlyst hvordan nøglen er sammensat og hvor den ligger. Men det er noget man i øvrigt kan følge i en anden tråd på Version2, hvor det diskuteres hvordan der ligger skjulte filer på brugernes pc'er.

Krypteringsteknisk, er der tale om, at når en af nøglerne til et sådant åben nøgle system er kompromitteret, så er hele systemet kompromitteret, indføres der flere nøgler, åbnes der yderligere for kompromittering.

NemID er et skoleeksempel på hvordan man kompromitterer et åben nøgle system.
Et åben nøgle system fungerer kun, fordi der er 2 ( eller flere ) nøgler, der er gensidigt afhængige. Det er sårbarheden i et åbent nøgle system.
Vil man overhovedet benytte det, så skal man være sikker på at ingen nøgle kan kompromitteres, for hvis der kompromitteres anden nøgle end den nøgle som holdes af selve det system der skal beskyttes, så er systemet kompromitteret, ganske enkelt fordi at alle andre skal "stikke nøglen i og låse op", hvis brugeren stikker sin nøgle i.
Dette er en helt basal fejl i NemID.
Det må forventes at man senest, i udviklingsfasen selv er blevet klar over denne helt elementære fejl. Er man ikke klar over denne fejl, må man konkluderer at man i udviklingsfasen, og efterfølgende, ikke har den fornødne indsigt i hvad man selv udvikler på. Altså at man ikke ved hvad man selv roder med.
Om det er noget man har vidst og alligevel fortsat med at udvikle, eller om det er fordi man "ikke har den fornødne kapacitet", er underordnet.
Man er allerede, længe inden NemID er blevet godkendt, informeret om at NemID ikke er sikkert.

Det er ikke nødvendigt for en ansvarshavende minister eller embedsmand, at forstå hvordan systemet kompromitteres, det er kun nødvendigt at være informeret om at det er muligt.

Der må i forbindelse med rådgivning, eller i forbindelse med beslutning, være tale om at man har handlet i mod bedre vidende, i forhold til at man er fortsat med NemID og de løsninger som er afhængige af NemID.
Selv Datatilsynet har udtrykt bekymring, hvilket man har siddet overhørig.
Det kan der ikke herske tvivl om at man har handlet imod bedre vidende, og at man nu handler i ond vilje, når man fortsat udtrykker tillid til NemID. Man fortsætter med at handle forkert selvom man er vidende om at det er forkert!

Identifikationen.
I forbindelse med identifikation, er der tale om at man med NemID benytter 3'die person identificering. Man identificerer ikke en person, hjerne til hjerne, men den maskine der benyttes.
Dette sker både mellem bruger og serviceyder, og mellem serviceyder og NemID.

I forhold til almindelig lovgivning, er der her tale om, at man overtræder basale elementer i Demokratiet og den 3 delte magt.
Ethvert samfund består af en samling individer, altså identiteter, det er samlet under en magtstruktur. I Danmark, har vi Demokrati og en magtstruktur delt i 3.
For at selve samfundet kan anses som et frit samfund, er det den enkelte identitet der skal kunne identificerer sig selv, som tilhørende under magtstrukturen.
Det kan ikke være omvendt i et frit samfund, altså at magtstrukturen påberåber sig magt over de enkelte identiteter.
Praktisk er det vanskeligt at påberåbe sig en magt over identiteter, hvilket f.eks. har været tydeligt i forbindelse med forskellige diktaturer, men også i mere demokratiske styreformer, fungerer dette ikke.
Det er den enkelte identitet, i enhver given identifikationssituation, også på infrastrukturen internettet, der skal kunne identificerer sig selv. Det må ikke være magtstrukturen, der identificerer den enkelte identitet, for så er der tale om et indgreb i den enkelet identitets frie integritet. ( afskaffelse af det frie samfund )

Her skal det observeres, at internettet er et grundlæggende anarkistisk system, som fungerer på tværs af lovgivning i alle lande.
Hvis man vil indføre løsninger, hvor man benytter et system der benytter internettet som fundament i dele af samfundets relationer, er man nød til at tage højde for den enkelte identitets relation til samfundet.
Dette gælder for alle infrastrukturer, som i samfundet finder fælles regulering, altså hvor magtstrukturen finder det nødvendigt at udøve sin magt. Dette gælder også i forbindelse med trafik, eller i forbindelse med identifikation af borgerens identitet over for fremmed magt, osv osv.

Inden magtstrukturren kan påberåbe sig magt over identiteterne, skal magtstrukturen tilbyde et system, hvor identiteterne, på forespørgsel, kan identificerer sig selv over for alle andre identiteter, ellers kan magtstrukturen ikke påberåbe sig magten, på nogen infrastruktur, i et frit samfund.

Helt enkelt, så skal man tilbyde Pas, for at de enkelte identiteter kan identificerer sig over for fremmed magt, førerbevis for at man må benytte køretøj i trafikken, osv.

Et system, hvor man benytter 3'die person identificering, som NemID, tilgodeser ikke de enkelte identiteters rettigheder i et frit samfund, ganske enkelt fordi det er muligt at identificerer uden borgerens vidende og samtykke.

Er der tale om, at man kan identificerer uden identitetens vidende, er der politisk set, tale om at man benytter en fascistisk metode. Man påberåber sig en magt over nogen identiteter, ( borgere ) som ikke selv har mulighed for at fravælge magtstrukturens identifikation.

I ovenstående, indgår ikke nogen dyb indsigt i IT, det bør være forståeligt for personer der er godkendt i forbindelse med den almindelige sikkerhedsgodkendelse der kræves i forbindelse med en ministerpost.

Både i forbindelse med rådgivning af minister og de ansvarshavende ministre selv, er man vidende om at der findes en fremgangsmåde, der tager højde for ovenstående usikkerhed og mangler.

Fremgangsmåden, identificerer i første person, altså hjerne til hjerne, og kan benyttes hvor internettet er udbredt, også i forbindelse med fremtidige Cloud-løsninger, mobile applikationer osv.
Fremgangsmåden kan ikke udbrede oplysninger om den enkelte identitet, som ikke ellers indgår som indentitetsoplysning og kan altså derfor ikke kompromitterer den enkelte identitets integritet.
Skulle den enkelte identitet blive misbrugt i identifikationsøjemed, vil dette ikke være muligt, uden at den enkelte identitet er vidende om dette.
Eller på en anden måde, hvis man hacker den enkelte, så vil man alligevel ikke kunne bruge det til noget, for den enkelte vil vide det, og man får ikke oplysninger om den enkelte man i forvejen har kendskab til.

Er den nu gal igen?
Jeg har netop modtaget en mail fra udenrigsministeriet, hvor jeg opfordres til at melde mig til en ny dansker-liste (jeg bor i udlandet). I mailen er der et link til udenrigsministeriets hjemmeside, hvorfra jeg kan klikke videre til en side hvor jeg kan logge på med nemID. Der er således ikke direkte link til en login-side, men som andre har gjort opmærksom på før, er dette ikke svært at omgå. Problemet er vel, at endnu en dansk myndighed nu har udsendt en mail med link...

Som en lille sidebemærkning kan jeg lige nævne, at alle der har modtaget mailen er på som CC - jeg har altså nu mailadressen på en lang række danskere i udlandet...

Det er jo imponerende, at man nu ligefrem gennem Udenrigsministeriet, udbreder NemID, som i den grad er beskrevet som usikkert.
Især i udlandet, er helt oppe og ringe over elektronisk krigsførelse i øjeblikket.

Man anbefaler åbenbart direkte Danskere i udlandet, at anvende et system som er under kritik for at være let at kompromittere, især fra udlandet.
Det skal næsten roses, at man fra NemID's side, ikke lader den mindste mulighed næsen forbi, alt skal sætte ind på at udnytte en hver mulighed for at kompromittere enhver Danskers personlige oplysninger.

SlemId gennem udenrigsministeriets mail-system, tsk tsk tsk.
Vi er i krig, og så gennem udenrigsministeriet, nu må de holde op.
Med personlige e-mailoplysninger, så kan det næsten ikke blive værre.

Man holder jo folk til grin. Er de så sløve af Gløg, at de ikke ved hvad de selv laver....

Send dog en julehilsen til Udenrigsministeren, udenrigsministeren@um.dk og spørg hvordan det kan lade sig gøre.
Hr. Udenrigsminister Willy Søvndal, skal ikke føle sig ensom og forladt i Julen.
Bare send den CC til alle, det er åbenbart sådan man gør.

Har den 1. februar 2012 kl.23.24 modtaget en mail fra SKAT omkring - TASTSELV - service. Det virker vist noget underligt, hvis SKAT nu igen begynder at sende mails med link til NemID-Loginsider, hvilket er tilfældet i nævnte mail. Hvis Version2 ønsker en kopi af fremsendte mail stilles denne gerne tilrådighed.

Jeg har også fået email fra SKAT, men i den er der er intet link. To steder står der "skat.dk/tastselv", men det er bare tekst, ikke link.

Jeps.

Teksten går sådan her:

Du kan nu indtaste nogle beløb til din årsopgørelse for 2011 på skat.dk/tastselv.
Du skal kun indtaste beløb, som SKAT ikke får fra andre.
SKAT mangler typisk følgende beløb:
- Børne- og underholdsbidrag.
- Udgifter i forbindelse med dit arbejde, som du kan få fradrag for.
- Udgifter til kørsel (tjek, at SKAT har beregnet dit kørselsfradrag rigtigt).
Sådan oplyser du beløbene
Log på skat.dk/tastselv og vælg Ændre årsopgørelsen eller indberet selvangivelsen.

Siden er åben til og med den 24. februar. Derefter kan du indtaste igen, når årsopgørelsen er klar den 5. marts.

Læs mere om årsopgørelsen på skat.dk/årsopgørelsen.

Om det er mit mailprogram (Gmail), der konverterer tekststumperne til links, eller om det er SKAT selv, der gør det, ved jeg ikke. Men de fremstår som aktive links i min mail, selv om de ikke gør det i dette indlæg.

har selv testet på min mac mini og medfølgende mailprogram, og her virker de nævnte links. så SKAT har lavet en fejl igen......

har selv testet på min mac mini og medfølgende mailprogram, og her virker de nævnte links. så SKAT har lavet en fejl igen......

Det er din Mac mini der laver en fejl. Der er ingen URL i den mail. Prøv med Thunderbird i stedet for Apple's klamp-software.