Hvem vil DanID give lov til at se kildekoden til NemID?

Nets DanID har afvist to datalogistuderendes ansøgning om at se kildekoden til NemID, og flere danske eksperter har takket nej til at se på koden. Nu efterlyser Version2 læsernes bud.

Nets DanID holder fortsat en dør på klem for, at uvildige eksperter kan få lov til at se kildekoden til NemID-appletten i gennem, men selskabet vil ikke specificere, hvad der skal til, for at en anmodning vurderes til at være tilstrækkelig seriøs.

Version2 efterlyste i november 2011 læsernes bud på, hvilke eksperter de ville pege på, som kunne se på kildekoden.

Læs også: Kom med dit forslag: Hvem skal kigge i NemID-kildekoden?

Det resulterede i en længere liste, men af forskellige grunde var der ingen af eksperterne, som ønskede at deltage.

Version2 spurgte blandt andet firmaerne Secunia, Systematic og Cryptomatic, men de ønskede ikke at medvirke i en analyse.

Version2 kontaktede også uafhængige eksperter som e-valgsforsker Joseph Kiniry fra IT-Universitetet og Version2-blogger og FreeBSD-programmør Poul-Henning Kamp.

Poul-Henning Kamp ville ikke afvise, at han kunne blive en del af holdet, der skal kigge i NemID-koden.

»Det kan da godt tænkes, men det afhænger helt af betingelserne. Hvis der for eksempel skal underskives en NDA, så vil jeg ikke være med. Det er afgørende, at det ikke kommer til at foregå på vilkår, hvor jeg ikke kan udtale mig om det bagefter,« sagde Poul-Henning Kamp i november til Version2.

Joseph Kiniry vurderede i lighed med IT-Politisk Forening, at der ikke ville være garanti for, at han fik alle de aktive dele at se, og der ikke ville være noget skjult eller blive ændret i koden efterfølgende.

Læs også: IT-Politisk Forening stoler ikke på DanID trods kode-striptease

Trods gentagne henvendelser er det ikke lykkedes Version2 at få Nets DanID til at uddybe, hvilke krav selskabet stiller til personer, som kan få lov til at se koden i gennem, eller hvilke betingelser det vil ske under.

Hvem bør efter din mening kigge NemID-kildekoden igennem? Hvem er relevant? Hvem er kompetent? Hvem er realistisk? Udenlandske forslag modtages også gerne.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Kjær Jensen

Jeg vil tro det mere er et spørgsmål om grundlaget for at kigge i koden end hvem der gør det.

Det er i hvert fald sådan jeg tolker de svar og den info der har været omkring dette emne indtil videre.

Nets vil ikke sætte ressourcer af til det uden en god grund.

Så uanset hvem I finder, så får de sikkert ikke love så længe grundlaget er det samme, aka. nysgerrighed.

Mit bedste bud ville være et statsligt organ med begrundelse i, at man ønsker forsikring om at borgernes rettigheder er behørigt sikret.

Jesper Lund

Hvad er formålet med at analysere kildekoden når vi ikke har nogen sikkerhed for at det lige præcis er den analyserede udgave af NemID programmet (klienten) som installeres og køres på vores computere?

Det som vi har brug for er åbne standarder, hvor vi selv kan compile kildekoden til NemID klienten, og hvor andre kan skrive en NemID klient ud fra den offentligt tilgængelige API specification.

Det ville skabe tillid, men det forudsætter selvfølgelig at sikkerhedsmodellen ikke er security through obscurity :-)

Peter Mogensen

Ja. Spørgsmålet er forkert. Og jeg håber Version2 forstår det og ændrer vinklen på NemID dækningen istedet for at gå op i hvem der lige kan få lov at læse kildeteksten.

Spørgsmålet er ikke hvem, der må se kildeteksten.
Spørgsmålet er hvorfor det spørgsmål overhovedet er blevet aktuelt.

Det er det fordi NemID er grundliggende fejl-designet og det her kun er en flig af problemet.

Så spørgsmålet er hvad der skal til før nogen på politisk niveau forholder sig til NemID kritiken (uden at spørge DanID om de synes der er nogen problemer).

Anonym

Hvis systemet og koden, som leveres af DanID ikke tåler dagens lys, så er det sårbart for alle brugerne og NemID selv.

Derfor skal alle kunne se koden, og ikke mindst, så er det vigtigt at det som foregår er klart som glas for alle, ellers er det i sig selv utroværdigt.

Vi kan ikke have en så substantiel magtfaktor, der skjuler hvad de gør.
Slet ikke i forbindelse med den samlede Danske økonomi, og den samlede Danske offentlige administration.

Det er ikke noget problem, at fremstille et sådant system, hvor login og identifikation er klart og gennemskueligt.

Peter Mogensen

Ork nej... det er de alt for udspekulerede til.
Næe nej... koden indeholder et plugin-API til bagdøre som endnu ikke har været i brug.
Dermed kan DanID med "straight-lawyer-face" sige at den ikke kan bruges til overvågning og at det vil kræve en "designændring" for at den kan - ie. skrive et plugin.

... ironi og/eller sarkasme kan forekomme.

Troels Henriksen

Det giver ingen mening at NemID-appletten skulle indeholde (intentionelle) bagdøre. Hvis en eller anden myndighed har lyst til at undersøge ens skattevilkår, bankkonti eller andre NemID-sikrede faciliteter, så kan de jo bare gøre det direkte. Husk at NemID ikke bruges til at kryptere noget som helst, men blot som autenticeringsmekanisme. Jeg finder det langt mere sandsynligt at DanID er bange for at ringe kodekvalitet skal resultere i en skandale, hvis kildekoden bliver gennemlæst af tredjeparter. Måske er de endda så usikre på kodens kvalitet at de frygter offentliggørelsen af utallige sikkerhedshuller.

Peter Mogensen

Nå tilbage til det seriøse.
Bekymringen ang. evt. "bagdøre" i NemID appletten går ikke på at DanID skulle kunne snage i hvad du bruger NemID til (*), men på, at de kan snage i hvad du i øvrigt bruger din computer til.

*: det er der tilgengæld andre bekymringer der går på

Anonym

Jeg tror ikke på at der er tale om nogen bagdør. Der er tale om et identifikationssystem, hvor man forsøger at skabe en eller anden form for sikkerhed for, at det er den bruger man tror det er, som benytter brugermaskinen.
I et 3 person system, som NemID, er det ikke muligt at opstille en sådan sikkerhed, hvilket er vel dokumenteret, bl.a. gennem flere vel gennemførte "man in the midle" angreb.
Det er på ingen måde muligt at foretage nogen sikker identifikation, gennem noget 3 person system. Det kan ikke lade sig gøre, for det er kun den enkelte identitet, der med sikkerhed ved, om den enkelte identitet overhovedet vil identificeres i er given situation.
Derfor skal retten til en hver given identifikationsnøgle, ligge hos den enkelte identitet og være unik i en hver identifikationssituation. Ellers kan nøglen gættes / aflures, og derfor misbruges, f.eks. med et " man in the midle " angreb.

Hvad der i øvrigt er af muligheder, i forbindelse med NemID, kan man nemt gennemskue.
Alene det faktum at det er Nets, som ved hvor og i hvilken forbindelse, en given bruger har benyttet sin NemID, er meget værdifuldt.
Er man intereseret i værdipapir, er det en oplysning der er værdifuld, er man studerende, eller på anden velfærdsydelse, har dette også værdi.
Det er selvfølgelig ikke oplysninger man må trække, men det kan man komme uden om, ved at lægge driften om, så det foregår fra et andet land. Samme mekanisme er gældende i forbindelse med Digital post, som man bare kan læse med hjemmel i andet lands lovgivning.
Ud over dette, så er der tale om meget store beløb, som betales af Stat og Kommuner, for selve driften af disse Nem-systemer.
Alene Statens bidrag til udviklingen af NemID, beløb sig indledningsvis til en lille milliard, hvilket altså kun var Statens bidrag. Det blev i øvrigt betalt, selvom der ikke var tale om en færdig leverence. Leverencen er i øvrigt aldrig blevet færdig leveret.

Er det så dyrt ?
I det omfang varen var blevet leveret, så er det billigt at købe en sådan vare for en milliard.
En sådan vare, koster normalt meget mere. Den slags handles nemt for 10-30 milliarder, så der var tale om en særdeles god aftale i forbindelse med NemID.
Desværre så fik man aldrig udviklet en sikker løsning, som lever op til almindelige krav, og derfor er NemID en ommer.
Da der i mellemtiden er mange andre aktører, som har udviklet fungerende metoder, så er der ikke længere frit slag når der skal udvikles.
Man vil simpelthen være nød til at købe løsninger fra andre, og ji længere tid der går, jo dyrere bliver det.

Lige meget hvordan man vender og drejer det, så handler det om penge og magt. Det er vores alle sammens økonomi, på alle tænkelige måder. Og vores alle sammens personlige integritet, med de værdier der følger med det.

Det er helt klart og tydeligt, at man gennem lovgivning, ønsker at sende dette ud af landet, frem for at sørge for at det benyttes til værdiskabelse i Danmark.

Jens Madsen

En sådan vare, koster normalt meget mere. Den slags handles nemt for 10-30 milliarder

Med 5 mio danske computere, er det 2000-12000 kr. per PC...
Hvad med at løse sikkerhedsproblemet, ved at forære alle danskere en gratis Linux PC, der skal bruges til NemID? Det vil da koste mindre.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize