It-folk efter angreb: Lav NemID om nu

Den offentlige login-løsning NemID er slet ikke god nok, lyder det fra flere eksperter i kølvandet på flere hackerangreb de seneste uger.

Teknologien bag danskernes fælles login-løsning, NemID, er alt for sårbar. Det mener it- forskere og fagfolk.

NemID har siden marts været plaget af såkaldte Distributed Denial of Service-angreb (DDoS), der har sendt tjenesten i knæ flere gange.

Læs også: NemID nede igen: Nyt, stort angreb i gang

Læs også: NemID nede igen: Ny bagmand, ny metode bag angrebet

Læs også: Frygt for DDoS-angreb: NemID sendt til tælling i 2 timer

Professor Joseph Kiniry, sektionsleder ved Institut for Matematik og Computer Science på DTU, ser grundlæggende problemer i designet af både NemID og NemLogin.

»Begge systemer bør udskiftes og baseres på et helt nyt grundlag,« fastslår professoren, der har et forskningsprojekt i gang, som omhandler netop dette.

Resultatet af angrebene har været, at den login-løsning, der spiller en stadigt mere central rolle i samfundet med den stigende brug af digital selvbetjening i det offentlige, har været utilgængelig i timevis.

Alle æg i samme kurv

Et af de grundlæggende problemer ved NemID-strukturen er, at den beror på en enkelt leverandør, nemlig Nets Danid.

»Det gør man ikke andre steder. Man betror ikke en enkelt virksomhed alle sine æg,« siger Joseph Kiniry.

Angrebene, som NemID er blevet udsat for, går kort fortalt ud på at oversvømme systemet med et hav af forespørgsler, hvorefter systemet ikke kan håndtere legitim trafik. Det gør det svært eller umuligt at logge ind med NemID i en periode – og dermed at komme ind på en bred vifte af både offentlige og private tjenester.

»Blandt it-sikkerhedsprofessionelle betragter vi ikke den form for angreb som særlig sofistikerede. De kan udføres af uvaskede teenagere i forældrenes kælder,« siger Joseph Kiniry.

At det ikke er videre kompliceret at udføre den slags angreb, er i denne uge bekræftet af Ingeniørens it-medie, Version2. Her hævder de påståede bagmænd bag et af angrebene, at det kostede dem 10 dollars at udføre.

It-sikkerhedsekspert og direktør i Solido Networks Henrik Kramshøj mener heller ikke, at en samfundskritisk login-løsning som NemID bør ligge hos en enkelt leverandør. Bl.a. fordi netop dét gør løsningen mere sårbar over for angreb og nedbrud:

»Det er kritisabelt, at en kritisk del af vores infrastruktur kan lægges ned af borgere med få midler.«

Mangler en fallback-løsning

I Dansk IT – en interesseorganisation for it-professionelle – mener formand Klaus Kvorning Hansen, at der i hvert fald bør være en fallback-løsning, hvis NemID fejler. Det er ikke tilfældet i dag:

»Det undrer mig, at beredskabet i forhold til sådan et angreb ikke har været bedre. Vil man det digitale Danmark for alvor, bør man sikre, at løsningerne ikke bare falder til jorden.«

Læs også: Her er Danmarks NemID-nødberedskab: Gå ned på rådhuset

I Danske Spil er man afhængig af, at løsningen fungerer. Virksomheden er nemlig underlagt den danske spilmyndighed, og brugerne skal derfor bruge NemID som adgang.

»Vi så gerne, at løsningen var mere robust. Når NemID går ned, lukker vores virksomhed,« siger it-direktør i Danske Spil Søren Weeke og tilføjer, at han forventer, at DanID går i gang med det lange seje træk mod at skabe en mere stabil løsning.

Pressechef i Nets Søren Winge ønsker ikke at kommentere kritikken fra eksperterne direkte.

»Vi ønsker ikke at kommentere arkitekturen eller sikkerhedsforanstaltninger, da vi ellers risikerer at give hackerne oplysninger, de kan misbruge,« siger han, men fortæller, at DanID har iværksat flere tiltag siden de første angreb.

»Vi kan se, at de tiltag, vi allerede har implementeret, har haft god effekt. De tre angreb har brugt forskellige teknikker og været stigende i styrke, så den seneste nedetid på blot en halv time er tegn på, at de virker.«

Søren Winge fortæller dog også, at angrebene er kommet for at blive.

»Vi forventer, at DDoS-angreb mod NemID desværre nok bliver hverdag og får et omfang og en frekvens, som vi løbende må ruste os til at kunne håndtere.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (29)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Nils Bøjden

"Vi ønsker ikke at kommentere arkitekturen eller sikkerhedsforanstaltninger, da vi ellers risikerer at give hackerne oplysninger, de kan misbruge,« siger han, men fortæller, at DanID har iværksat flere tiltag siden de første angreb."

Gad vide hvornår de finder ud af at security by obscurity ikke virker.

http://technet.microsoft.com/da-dk/magazine/2008.06.obscurity%28en-us%29...

"Security by obscurity is, in a nutshell, a violation of Kerckhoffs' Principle, which holds that a system should be secure because of its design, not because the design is unknown to an adversary. The basic premise of Kerckhoffs' Principle is that secrets don't remain secret for very long."

  • 30
  • 1
Per Møller Olsen

Det passer altså ikke, når I kritiserer Nem-ID så meget.

Jeg var selv meget bekymret tilbage i 2010 - og jeg klagede derfor til Forbrugerombudsmanden. Og jeg har fået deres forsikring om, at alle mine bekymringer var helt ude i skoven. Så nu er jeg MEGET mere rolig ... for der er jo slet intet af det, jeg skrev om, som blev virkelighed ... eller?

Så her er lidt hyggelig læsning til fredagsøllen:

Klage:

NemID - vildledende markedsføring, forringelse af service, monopolisering & sikkerhed.
Jeg deler min henvendelse i punkter:

  1. Vildledende markedsføring:
    Alle netbank-brugere skal inden årets udgang benytte NemID. Det medfører desværre en hel del serviceforringelser og merudgifter for mange brugere.
    Ifølge NemID's reklamevideoer som kan ses på NemID.nu kan man
    "... bruge NemID fra en hvilken som helst computer med internetadgang."
    se screendump her: http://homepage.mac.com/olsen/NemID.jpg
    Dette er ikke sandt. Faktisk er der ret store krav til systemversioner, der gør at bl.a. Mac-brugere, som har maskiner fra midten af 2006 og tidligere slet ikke kan komme på. Derudover kræver det et Mac OS som er fra 2007 eller nyere for at komme på. Det betyder at en meget stor gruppe brugere, som hidtil har kørt netbank på deres computere nu skal udskifte hele computeren for fortsat at benytte netbank.
    Desuden kan NemID ikke bruges fra en meget stor gruppe netbooks med Linux-varianter samt fra mobile enheder som iPad, iPhone, Android m.fl.
    Dette bliver først klart, når man læser de tekniske krav til NemID ... men altså en stærk vildledende reklame.

  2. Forringelse af service:
    Flere netbanker har kunnet anvendes på forskellige mobile enheder som f.eks. iPhone m.fl. (se ovenstående). Det kan man ikke fremover. Dette er en klar forringelse af service. DanID forsvarer det med, at den gamle Digitale Signatur heller ikke kunne køre på mobile enheder - men dermed tager de kun udgangspunkt i kontakten med offentlige instanser og negligerer netbankerne.
    I den forbindelse er der modstridende oplysninger fra DanID, der nogle gange hævder, at bankerne ikke er forpligtet til at lukke for deres gamle adgang, som virker på mobile enheder og ældre operativsystemer. Men ifølge flere banker er de forpligtet til at have flyttet deres kunder til NemID inden 01.01.2011.

  3. Monopolisering:
    Da alle er tvunget til at anvende NemID til at logge på netbank og ved kontakt med det offentlige, opstår der en monopolsituation. Det privatejede DanID kan som de eneste tilbyde en adgang. Forbrugerne har herefter intet andet valg. Jeg ved at flere udviklere ønsker at lave alternative login-systemer (bl.a. for at imødekomme et mobilt behov), men IT- og Telestyrelsen er i øjeblikket ved at overveje at klassificere hele NemID som national sikkerhed, hvorfor det ikke bliver muligt at få udleveret retningslinier for login eller kildekode. Dermed udelukkes andre virksomheder fra at lave konkurrerende løsninger.

  4. Sikkerhed:
    NemID reklamerer med at hele systemet er sikkert, og at man kan bruge computere på bl.a. biblioteker. Men NemID efterlader log-filer på de computere man benytter. Logfilerne er p.t. krypterede, men skulle efter sigende allerede være blevet hacket, hvorved de kan afsløre bl.a. forbrugsmønster, tidspunkter for login mv.
    www.forbrugerombudsmanden.dk - Side 2
    Derudover fortæller DanID, at både kodenøgler, logins og adgangskoder bor på servere hos DanID. Her er altså tale om en koncentration af stærkt personfølsomme oplysninger for hele Danmarks befolkning hos ET ENESTE privatejet firma.
    Da al kommunikation med banker og det offentlige Danmark fremover skal gå gennem DanID's servere vil det naturligvis være en lækkerbidsken for alle IT-kriminelle og -terrorister at få kontrol over ... eller spærre for adgangen. Hele Danmark vil gå økonomisk i stå, hvis DanID skulle blive sat ud af spillet.
    Dertil har DanID valgt at man kan logge på ved hjælp af sit CPR-nummer og en adgangskode. Adgangskoderne kræves ikke sikre, og der skelnes ikke mellem store og små bogstaver. Der kræves ikke specialtegn eller tal. Dette er substandard og virker utroligt i en verden, hvor man alle andre steder har fokus på sikkerhed.
    DanID forsvarer det med, at man får låst sin NemID-konto, hvis der tastes forkert 5 gange. Det er himmelråbende naivt, da det straks åbner for muligheden af, at folk kan chikanere hinanden ved at spærre for bankadgang og kontakt med det offentlige.
    Faktisk kan man også på den måde ramme tilfældige mennesker - for man skal bare gætte et CPR-nummer og taste koden forkert 5 gange, så er der spærret. Dette kan også bruges i et IT-terrorangreb, hvor et såkaldt bot-net på meget kort tid kan afprøve alle CPR-numre 5 gange - og på den måde lægge alle danskeres adgang ned.
    DanID forsvarer sig med, at de har taget sikkerhedshensyn for at forebygge den slags angreb - men vil ikke forklare hvad det går ud på. Jeg er sikker på, at der findes mange varianter de ikke har taget hensyn til - for det er bestemt en smal sag at få en flok computere til at simulere almindelige forsøg på at logge ind.
    DanID forklarer, at det bliver muligt at vælge, at CPR-nummer ikke kan anvendes som login ... men som standard kan det anvendes ... og man forklarer det med at det er bekvemt for brugeren at huske. Det overlader brugeren til selv at sørge for at tænke sig om ... det er ikke ok i et så personfølsomt miljø.

Hvad kunne du tænke dig, at Forbrugerombudsmanden skal gøre?
Ved vurderingen af om vi skal tage en sag op, er det vigtigt for os at kende dine forventninger til sagens løsning.
At Forbrugerombudsmanden belyser hele NemID-sagen fra forbrugernes side. Hidtil har ministeriet, IT- g Telestyrelsen og DanID blankt afvist alle kritiske spørgsmål.
Alle hævder at NemID er lavet på denne måde fordi DET var den eneste måde.
DanID forsvarer sig med at forgængeren - Digital Signatur - heller ikke virkede på mobile enheder, og at man må stille visse krav til udstyr. Det forudsætter, at man kun betragter NemID som afløser for Digital Signatur. Men NemID skærer andre steder fra: Netbank, kontakt med Skat og flere andre steder, hvor man tidligere har haft adgang fra mobile enheder. Her er der fra forbrugerens synspunkt serviceforringelser og for en del er de tvunget til opgraderinger/nyanskaffelser.

Hele sikkerhedsproblematikken mener jeg bør belyses grundigt. Hvis hele Danmark vælger at lægge sine æg i samme kurv - bør vi som borgere have dokumentation og sikkerhed for at den kurv er konstrueret solidt, så bunden ikke går ud af den.
Ligeledes bør Forbrugerombudsmanden kigge på den monopolvirksomhed, som DanID nu bliver. DanID bliver de eneste som kan sælge adgang til virksomheder - og de eneste som kan udbyde adgang til banker og det offentlige.

Hertil fik jeg svaret:

  1. september 2010

Forbrugerombudsmanden har modtaget Deres henvendelse af 1. september 2010, hvor De anfører, at NemID på hjemmesiden NemID.nu anvender vildledende markedsføring, er skyld i forringelse af servicen overfor forbrugerne, samt har monopol og dårlig sikkerhed.

Ifølge markedsføringslovens § 3, stk. 1 må erhvervsdrivende ikke anvende vildledende eller urigtige angivelser eller udelade væsentlige informationer, såfremt dette er egnet til mærkbart at forvride forbrugernes eller andre erhvervsdrivende økonomiske adfærd i markedet.

IT- og Telestyrelsen ejer hjemmesiden NemID.nu. NemID indføres i Danmark for, at forbrugerne og erhvervsdrivende får mulighed for at kommunikere samt indgå aftaler med det offentlige, bankerne og andre private erhvervsdrivende over nettet ved brug af samme log-in-metode og med samme koder. Udbredelsen af NemID sker i overensstemmelse med almindelige samfundsinteresser, og det vil fortsat være muligt at kommunikere med det offentlige, banker og andre erhvervsdrivende på andre måder.

Der er således efter Forbrugerombudsmandens opfattelse ikke tale om en situation, som er omfattet af markedsføringslovens §§ 1 eller 3.

På den baggrund finder vi ikke grundlag for at gå videre med sagen.

Med venlig hilsen
osv.

Og fra daværende uvidenhedsminister Charlotte Sahl fik jeg også en sludder for en sladder om nationale interesser. Det finder jeg også gerne frem, hvis nogle skulle være interesseret. :-)

  • 24
  • 0
Thomas Petersen

Og hvad er logikken i at hvis man får oprettet NemID til banken, så virker den (i første omgang) ikke til offentlige sider og omvendt? Fru Danmark tror selvfølgelig at når hun identificerer sig med NemID, så er hun identificeret uanset servicen hun benytter! Og hvad med medarbejder signaturer, de virker kun til det offentlige, ikke til banken. Fordi at bankerne ikke er klar. Klar til hvad, jeg har jo identificeret mig selv med NemID?

  • 2
  • 2
Michael Nielsen

Blandt mange andre IT-Kyndige her inden, har jeg været med til at eksponere svaghederne i NemID, desværre har næsten alle af mine forudsigelser blevet til virkelighed, det er en så inkompetent implementering af et login system at det burde være kriminelt.. Man har vidst i over 30 år at lave løsninger på denne måde, og med de teknikker som Nets/DanID bruger til NemID er ufattelige usikre.

Jeg har været med til at lave sådanne løsninger siden 1994, men bare fordi jeg ikke har en title af ekspert, eller professor, er det umuligt at råbe de ansvarlige op, noget jeg har forsøgt fra længe før NemID var indført.. Jeg har prøvet igennem alle indgange til staten, endda igennem teknlogirådet... Men ingen vil hører.

Og jeg har endnu en forudsigelse, der vil intet gøres, før der er blevet stjålet milliarder, pga den dårlige sikkerhed..

Lol Bankerne er nu ved at lave deres egne løsninger (igen)..

  • 19
  • 1
Michael Nielsen

Og hvad er logikken i at hvis man får oprettet NemID til banken, så virker den (i første omgang) ikke til offentlige sider og omvendt?

Det skal jeg sige dig, hvis du bruger den samme NemID til alle services så skal jeg bare sætte en eller anden service op som beder om din NemID, nu har jeg så igennem min side adgang til din Bank, alle dine personlige oplysninger, basalt set jeg ejer dig (din identitet).

Ved ikke at bruge den Samme NemID til alt, får man tilføjet en smule sikkerhed, da den ene nøgle jeg har er begrænset til banker, den anden til det offentlige (har ikke brugt den anden endnu), men får du fat i min nøgle til det offentlige kan du ikke lænse min bank konto.

Men det er kun en stakkels frist at gør dette, da principielt har du brug for en NemID til hver side, bare for at havde marginal sikkerhed..

  • 5
  • 2
Jesper Lund

Og hvad er logikken i at hvis man får oprettet NemID til banken, så virker den (i første omgang) ikke til offentlige sider og omvendt?

Der er flere grunde.

1) Det kan være dit valg at du kun vil bruge NemID til netbank eller OCES delen (også kaldet den "digitale signatur"). Hvis du vælger at bruge samme NemID til begge dele, kommer DanID til at opbevare din private PKI nøgle til OCES delen.

2) Der er skrappere krav til kontrollen af din identitet hvis du bruger NemID til OCES (i hvert fald på papiret). Der kan godt være udstedt netbank NemID'er til bankaftaler fra "gammel tid", hvor der ikke var "tilstrækkelige" krav til kontrol af kundens identitet.

3) Netbank aftaler og brugen af NemID til netbank skal oprettes af en bank, og du skal indgå en aftale med en bank. Det kan ikke ske hvis du opretter NemID på borgerservice hos kommunen.

4) Dybest set er netbank NemID og OCES NemID to vidt forskellige ting, selv om de ser ud på samme måde og bruger samme interface (og samme papkort med OTP koder).

  • 1
  • 0
Niels Bjerre

Den gode Professor Joseph Kiniry fra DTU kritiserer, med god grund, NemID.

Men så kunne han vel også få en halv A4 side til at beskrive arkitekturen og grund-principperne til et bedre system?

Eller det er måske grund-forskning?

  • 5
  • 4
carsten guldhammer

det kan sagtens være at nem ide kunne være lavet smartere, men personligt mener jeg: du vil aldrig kunne holde for at et angreb rettes mod den server der udbyder / styre kontroolen og adgangen til nem ide den slags angreb vil vel altid kunne forekomme

  • 0
  • 18
Kaare Kyndal

"Den offentlige login-løsning NemID er slet ikke god nok, lyder det fra flere eksperter i kølvandet på flere hackerangreb de seneste uger."

Sådan har det lydt fra eksperter, lang tid før den blev lavet og mens det har været "aktiv"

Der er så meget som peger på at dette produkt bare ikke kan klare opgaven og desuden ikke er en digital signatur.

Indse nu politikere at denne løsning var for billig og allerede var forældet før den var færdig!

Der er ingen grund til at pumpe flere penge i et skib som synker hold op med at spilde flere af vores skattepenge på dette fallit produkt!

  • 20
  • 0
Henrik Mikael Kristensen

Lige så snart to computere begyndte at kunne tale sammen, blev det straks interessant at udvikle krypteringssystemer. Det har ikke noget med det moderne internet at gøre.

Mange af de forskellige krypteringsalgoritmer og sikkerhedssystemer vi bruger idag blev udviklet i 70'erne, og mange af de faldgruber som NemID nu solidt har plantet sig i, blev også beskrevet dengang.

  • 8
  • 0
Jan Harries

Det er kun lovgiverne der kan ændre noget.
Desværre har de ikke ret meget forstand på IT, og lader den ene gang efter den anden klaphatte vinde udbud og lave store systemer, som allesammen ryger 200% over budget, og bliver sat i drift uden at virke.

Det er fordi lovgivernes IT rådgivere heller ikke har forstand på IT.

Der er brug for en programmør som kan fortælle ministeren hvor det skla laves, og så skal hun forstå det han siger, og så skal hun køre det igennem tinget, og før det sker, bliver intet lavet om.

Nu er det på 24+ time at NemID ikke virker, og jeg kan ikke spille på casino i danske spil, det er kedeligt :)

  • 3
  • 0
Tom Arleth

I Danske Spil er man afhængig af, at løsningen fungerer. Virksomheden er nemlig underlagt den danske spilmyndighed, og brugerne skal derfor bruge NemID som adgang.

Det passer så ikke. Danske spil er forpligtet til at lave en sikker identifikation af dem der logger ind FX ved hjælp af NemID. Det kunne være de skulle læse den bekendtgørelse de arbejder under :-)

  • 0
  • 2
Jesper Lund

Det passer så ikke. Danske spil er forpligtet til at lave en sikker identifikation af dem der logger ind FX ved hjælp af NemID. Det kunne være de skulle læse den bekendtgørelse de arbejder under :-)

Hvilke alternativer er der? Det er lidt upraktisk at alle Danske Spil kunder skal møde personligt op og fremvise godkendt billed-ID, eller indsende et scan af deres pas eller kørekort.

Og DanID har blokeret for brugen af afledte nøgler, som ellers kunne fjerne meget af single-point-of-failure problematikken. DanID vil tjene på hver transaktion..

Vi ligger som Finansministeriet og DanID har redt til os. De ville have centraliseret magt, og så må borgerne leve med ulemperne når "shit happens".

Nå ja... vi kan jo altid møde op i køen hos borgerservice. Og hvis vi kan bevise at NemID er nede, kan vi sikkert få udsættelse med fristen for at indgive selvangivelse eller andre frister. Men hvordan ved Hr Hansen og Fru Jensen egentlig at det er DanID som er nede og ikke deres PC som har et problem?

  • 4
  • 0
Jesper Lund

Det forstår jeg ikke. Min NemID virker da fint både til netbanken og til skats hjemmeside. Jeg har kun én NemID (mig bekendt).

Du har selv valgt dette.

Hvis din NemID blev oprettet ud fra en gammel netbank aftale (før NemID), var der en checkboks med om du også ville have OCES NemID. Den var, så vidt jeg husker, markeret på forhånd, så du skulle gøre noget aktivt for at vælge OCES fra,

  • 0
  • 0
Tom Arleth

Hvilke alternativer er der? Det er lidt upraktisk at alle Danske Spil kunder skal møde personligt op og fremvise godkendt billed-ID, eller indsende et scan af deres pas eller kørekort.

Et oplagt alternativ er de digitale signaturer vi alle fik tilbudt for et par år siden. De udløber godt nok på et tidspunkt, men indtil da kunne de jo bruges. Nå man således HAR etableret at brugeren er den han siger kan man jo give mulighed for login på brugernavn&password basis. Så kan man blive ved med at servicere de brugere der en gang har bevist hvem de er. Det er jo sådan det virker hvis man vil bruge danske spil via Apps - man skal bare først logge ind med en NemId så er man clearet til at køre videre på apps uden NemId bagefter.

Skulle det endeligt være så er det jo ikke værre at indsænde de scannede dokumenter til danske spil end det er at gøre det til bankerne som også kræver 2 (to) dokumenter for at have en som kunde.

  • 0
  • 3
Jesper Lund

Nå man således HAR etableret at brugeren er den han siger kan man jo give mulighed for login på brugernavn&password basis. Så kan man blive ved med at servicere de brugere der en gang har bevist hvem de er.

Nu bruger du NemID til at signere en anden login-metode, ligesom afledt nøgle. Det må du ikke uden en aftale med DanID (hvorfor betale en krone per login når du kan nøjes med at betale een gang?).

Når Danske Spil kan tilbyde dette på mobile devices, er det formentlig alene fordi DanID ikke har NemID til disse enheder, og så accepterer DanID at Danske Spil signerer et andet login med NemID.

  • 1
  • 0
Christian Nobel

Fru Danmark tror selvfølgelig at når hun identificerer sig med NemID, så er hun identificeret uanset servicen hun benytter!

Bruger Fru Danmark også samme nøgle til:
Huset
Bilen
Cyklen
Udhuset
Det gamle skur nede i bunden af haven
Arbejdspladsen
Andre familiemedlemmers bolig
Bankboksen
Kyskhedsbæltet

Etc, etc ??

Og når fru Danmark så er på ferie og naboen skal låne plæneklipperen, der står i haveskuret, låner hun så hele nøglebundtet til hende?

  • 7
  • 0
Michael Nielsen

@Henrik Mikael Kristensen - præcist.

@carsten guldhammer.

Re: Jeg finder det skræmmende

du skriver at man har vidst i 30 år at de modeler nem ide er baseret på er usikre

siden hvornår har man vist det i 30 år ?

internet fro os almindelige brugere (her i danmark) kom først for alvor i årene 1996 / 1998
og mig bekendt bliver det så KUN 14 - 15 år

Jeg blev udannet i 1988, og var på det verdens omspænende research net, fra godt og vel 1989 (altså ca 24 år siden), allerede den gang kæmpede man mod hackere, osv, men der var et mindre gruppe af folk, og det var muligt via ghetto justits at stoppe hackere. Jeg har været med til at jagte hackere, som angreb det universitet hvor jeg læste.

Man kendte allerede til problemerne med centralisering af servere, dvs -single points of failure- derfor var man i gang med at distribuere systemer i 1989, fordi så kunne man tåle nede tid på central serveren, mod mere omkostningsfuld drift. (eg et DDoS)

men identifikations problematikken er kendt helt tilbage til 1970'erne, så megen af teorierne er op til 40år gamle, og som andre har påpeget, de fleste af vores sikkerhedsystemer er baseret på teoretisk research der var lavet omkring 1970'erne.

Løsningen som NemID burde havde brugt var opfundet i 1977, "Systemet blev opfundet af tre unge matematikere, Ron Rivest, Adi Shamir og Len Adleman i 1977." Derved har forskellige versioner af public-private key kryptering været tilgængelig i omtrent 36 år.. For dem der ikke ved det RSA er en af grundstenene i Digitale signaturer, m.v.

I 1994, var jeg med til at analysere forskellige sikkerheds løsninger, og vurderede at løsninger - lign - NemID er ufattelig sårbare over for Man-in-the-middle, og Denial of Service Angreb.. Der er INTET nyt i denne debat.. om det er præcist 24, 30, eller 40 år siden man har første gang dumpede systemer af denne type, er sådan set lige gyldig, når et nyt systemer dumper standard tests, som er over 15 år gamle, og derved kan Nets ikke påstå de ikke har kendskab til disse tests..

Især da standard løsninger har været offentlig gjort, og kendt i vel over 20 år.

Da jeg først hørte om NemID, og fik nogle detaijler, kørte jeg en standard sikkerheds analyse, og systemet dumped på alle punkter bortset fra replay-attack, og bruteforce dvs, NemID er kun marignal bedre end et strong password, med max 3 forkerte forsøg.

Her er nogle af de af de helt basale standard spørgsmål som man bruger til at evaluere et system med.

Brute force resilience - nemID består.
Replay attack - NemID består.
Man-in-the-middle - NemID dumper, og dog password via SSL består.
Identity guarantee - NemID dumper - andre kan underskrive i dit navn
Single point of failure - NemID dumper

De sjove er, hvis man brugte en rigtig digital signatur, med tilhørende challenge-response, var den bestået på alle disse tests, og der var ingen centrale servere man kan angribe.

  • 13
  • 0
Jesper Louis Andersen

du skriver at man har vidst i 30 år at de modeler nem ide er baseret på er usikre

siden hvornår har man vist det i 30 år ?

internet fro os almindelige brugere (her i danmark) kom først for alvor i årene 1996 / 1998
og mig bekendt bliver det så KUN 14 - 15 år

Grundideen i PKI er temmeligt gammel. 1976 mere præcist. Med lidt god vilje kan ARPANET fra 1969 siges at være det første Packet Switching network. De har den fordel at der ikke er nogen central styring og de er tolerante overfor tab at del-netværk som følge af kabelbrud, overbelastning osv.

Så det er ikke forkert at sige modellerne NemID er designet ud fra har noget historik der argumenterer for andre modeller.

  • 4
  • 0
Log ind eller Opret konto for at kommentere