IT-professor om fremtidens NemID: »Det handler om gennemsigtighed«

DTU-professor Joseph Kiniry vejleder flere studerende, som arbejder på alternative løsninger til NemID og NemLog-in.

Danmarks digitale login-løsninger, NemLog-in og NemID, bør være mere robuste – blandt andet for at sikre, at systemerne, der er en central del af den digitale infrastruktur, ikke er sårbare over for simple hackerangreb.

Læs også: Få overblikket: Sådan rystede simple drengestreger Danmarks digitale infrastruktur

»Vi har at gøre med forældede systemer. Systemer, der blev udviklet, før virtualisering og cloud computing blev udbredt. Og så vidt jeg kan se, er der ikke blevet gjort noget for at udvikle disse systemer til den moderne verden,« siger professor Joseph Kiniry, der er sektionsleder ved Institut for Matematik og Computer Science på DTU.

Han har tidligere været ude med riven efter NemID, blandt andet da løsningen blev lagt ned af DDoS-angreb – en type angreb, hvor den serverstruktur, der ligger bag NemID, bliver oversvømmet med forespørgsler – som flere gange har gjort NemID-tjenesten utilgængelig.

Læs også: It-folk efter angreb: Lav NemID om nu

Joseph Kiniry har dog andet end kritik at tilbyde. Flere af DTU-professorens studerende arbejder således på forskellige alternativer til NemID og NemLog-in. Sidstnævnte dækker blandt andet over en fælles login-portal til offentlige tjenester, så det kun er nødvendigt for borgere og virksomheder at logge ind ét sted for at få adgang til tjenesterne. Login kan blandt andet ske via NemID.

Specifikationen og omkring en fjerdedel af koden til en alternativ løsning til NemLog-in ligger nu klar, mens de overordnede rammer for et alternativ til NemID er under udarbejdelse. Fælles for begge løsninger er, at det har taget studerende få måneder og få midler at kunne præsentere de alternative løsninger, som Kiniry beskriver som tidssvarende og mulige at bygge videre på – modsat de eksisterende løsninger.

Læs også: Hjælp forskerne med at gøre dansk valg-software open source

NemLog-in er en sort boks

Hvad mener du skal laves om i de nuværende systemer?

»Hvis man kigger på NemLog-in, så er det en ‘sort boks’ med tusindvis af kodelinjer af C# (et programmeringssprog, red.). Vi har analyseret hele protokollen bag systemet og lavet en offentligt tilgængelig matematisk beskrivelse af, hvordan den virker. Derefter har vi bevist, at vores beskrivelse rent faktisk opfylder sikkerhedskravene til NemLog-in.«

»Ud fra den matematiske beskrivelse genererer vi kode, som – fordi vi har bevist, at matematikken lever op til systemkravene – også automatisk opfylder systemkravene.«

Læs også: Sådan hjælper du udviklingen af open source valg-software

»Det er alt sammen transparent. Alle med den rette ekspertise kan se på den formelle beskrivelse. Og i stedet for at skulle læse titusindvis af C#-linjer igennem kan man nøjes med at se på et par hundrede linjers matematik.«

»Det betyder, at det er lettere at forstå, og at man kan bygge oven på det for at forbedre det. Hvis man finder en fejl, så kan man rette i matematikken, trykke på en knap, og så bliver ny kode, der fjerner fejlen, genereret.«

Transparens er sikkerhed

Det lyder, som om du synes, at transparens er vigtigt – altså at alle kan se, hvad der foregår i systemet. Bliver det så ikke netop usikkert?

»Nej, for på den måde står og falder systemet ikke med enkelte individers kompetenceniveau. Hele verden skal have mulighed for at se, hvad der foregår. Det er sådan, alle krypteringsteknologier normalt fungerer: Det handler om gennemsigtighed.«

Jeres arbejde på et alternativt bud til NemID er ikke helt færdigt. Men kan du løfte sløret for nogle af de overordnede principper, I arbejder med?

»Det er samme grundlæggende tilgang omkring den matematiske beskrivelse som med NemLog-in. Vi arbejder på en løsning, som gradvist kan udvikle sig i en bedre retning. Udefra set ligner vores løsning det nuværende NemID.«

Javascript frem for Java

Vil det sige, at den har samme Java-baserede frontend – som netop har været et af kritikpunkterne mod den eksisterende løsning?

»Nej, nej, nej, nej. Det hele er klartekst Javascript (et programmeringssprog, der kører i browseren og på mobile enheder, og som trods navnet ikke har noget med Java at gøre, red.). Og så er vores system spejlet. Desuden er der ikke noget offentligt interface til backenden.«

»Det vil sige, at kommunikationen mellem f.eks. en bank og systemets backend-servere ikke foregår over det offentlige internet. I stedet vil vi anvende en privatleaset linje, hvor der bliver skabt en sikker kommunikationskanal. Så hvis man skal lægge systemet ned, bliver man nødt til at ramme hver enkelt service.«

Men hvad så med eksempelvis udenlandske tjenester, der vil/skal bruge NemID – eksempelvis poker-sites. Bliver det ikke dyrt og kompliceret for dem at sætte leasede linjer op til backenden i Danmark?

»Man ringer bare til et teleselskab. Det er ikke et problem. Det er ikke en fysisk linje, det er en virtuel, switched linje. Den går ikke over det offentlige internet, men den anvender samme fysiske fiber. Det er ikke dyrt at købe en dedikeret linje. Det er ikke meget data, der skal overføres via den, når det bare er autentifikation.«

Joseph Kiniry håber, at buddene på en ny udgave af henholdsvis NemID og NemLog-in kan være med til at inspirere kommende, digitale login-løsninger i Danmark. Desuden arbejder DTU-professoren på et overordnet projekt, som blandt andet har til formål at afdække, hvordan bureaukrati generelt kan elimineres i forhold til udrulning og opdatering af digitale tjenester.

Fakta: Joseph Kiniry
2002-2004: Postdoc ved Security of Systems (SoS) Group ved Nijmegen Institute for Computing and Information Science ved Radboud University Nijmegen.

2004-2010: Lektor ved school of Computer Science and Informatics på University College Dublin og grundlægger af universitetets Complex and Adaptive Systems Laboratory.

2010-2012: Lektor ved Software Development Group ved ITU.

2012-: Professor og sektionsleder ved Institut for Matematik og Computer Science på DTU.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Andreas Bach Aaen

Det lyder til at de studerende også i deres opgaveløsning har forudsat en løsning hvor alle transaktioner skal logges centralt. Hvad er der nu galt i, at alle får deres egen private nøgle. De tilsvarende offentlige nøgler kan så distribueres frit. Centralt ligger der kun en database over udløbne nøgler. Et DDoS-angreb på denne enhed vil kunne bremse distributionen af listen over udløbne nøgler i en kortere periode. At transarktioner overhovedet skal håndteres central er KUN noget der gøres for Nets forretningsmodels skyld. Det er ikke for borgernes eller det offentliges skyld. Her ville en afregning pr. borger eller nøgle være helt ok.

Det mest forsmående ved den nuværende løsning er at man ikke mener at borgerne sikkert kan opbevare en nøgle selv, men at det er mere sikkert at opbevare alle danskeres nøgler eet centralt sted. Det have jo været mere seriøst, at sørge for at borgerne rent faktisk fik en mulighed for at håndtere deres egne nøgler sikkert.

  • 6
  • 0
#3 Nicolai Rasmussen

Så længe alt trafik i forvejen kan logges af FE/PET efter for godt befindende, så ser jeg ikke noget yderligere problem i at brugen af et "nemid"-login kan logges.

Hvis du oprigtigt mener at det giver mindre misbrug hvis logins til alverdens tjenster er individuelt administreret, så tror jeg du tager meget fejl. Prøv at overveje hvordan dit fysiske liv ville være hvis ikke man kunne benytte et pas eller et kørekort/sygesikringsbevis (centralt udstedt) til at identificere sig overfor myndigheder og banker.

  • 0
  • 3
#4 Joseph Kiniry

Hello readers,

Your comments above are good ones. The solution that we are prototyping is meant to seem like a drop-in replacement for NemID but is actually quite different behind the scenes. E.g., no public interface to witness DDOS, no mandatory private key delegation, no Java on the client side, no mandatory keycard, and we introduce n-factor authentication to leverage other public authentication services. We'll announce a demonstration of it and our NemLog-in replacement later this Summer, and both projects will be up on GitHub soon.

Best, Joe

  • 4
  • 0
#5 Peter Mogensen

N-factor authentication is of course not a bad idea, but wouldn't public authentication services (I assume you mean stuff like OpenID) make it rather hard to have a well defined security level to determine when a signature is actually strong enough to consider legally binding?

I mean ... if you depend on the security of a third party (like Google auth), and maybe even let users choose what the extra factors should be, then it's difficult to make assumptions about the value of the security of the extra factors. From the users perspective it's of course nice to opt to have extra factors, but from a legal perspective you don't actually know the strength of the signature. It migh have been carried out with all compromised factors and you wouldn't know - except for the built-in factors.

  • 1
  • 0
#6 Allan Astrup Jensen

For det første gør NEMID det meget nemmere centralt for myndigheder mv. at samkøre og overvåge borgernes gøren og laden. PET og politiet overvåger pt. ikke løbende alle borgere. Der er dog det problem at "værger" mfl. for svage grupper kan misbruge den svages NEMID. For det andet kan overvågning af den almindelige Internettrafik og mobiltelefoner ikke lige så sikkert henføres til en bestemt person/sted, da udlån og hacking ofte forekommer. Når Skat og andre kan acceptere både NEMID, personligt password og digital underskrift burde alle andre også kunne, men de ønsker det ikke, fordi det er lettere for dem med NEMID. Jeg kan fx. ikke se min pensionsoversigt i Unipension, fordi jeg ikke har NEMID. Unipension er ligeglad, selvom den er medlemsejet!

Vi har fået det overvågningssamfund, vi alle frygtede for 30 år siden. Vi må begrænse den videre stramning af dette mest muligt og ikke kun satse på følsomme og enstrengede IT-løsninger, hvor mennesket kun er et besværligt nummer, og de økonomisk svage ikke engang kan få deres lønninger og offentlige ydelser udbetalt gratis, men skal betale gebyrer til de grådige banker, som ikke viser samfundssind, selvom samfundet hjælper dem, når de selv er i nød.

  • 6
  • 1
#7 Joseph Kiniry

Peter, your comments on the advantages and disadvantages of relying upon third-party identification and authentication services are correct. Precisely characterizing the security profile of an authentication service that relies upon such n-factor authentications is troublesome, but generally reasoning about whether or not the introduction of such features helps or harms security and privacy is possible.

The problem is compounded by the traditional tradeoff between security and convenience, especially if authentication is a context-sensitive thing (e.g., whether or not you are using your typical home machine, the IT sophistication level of the user, authentication for the disabled, etc.). In general, mandating a particular baseline of security (i.e., corporate or public-defined risk) is sensible. Disallowing IT savvy users or specific principles (primarily corporate, but sometimes individuals) from raising their security level seems to be working at odds with the goals of a mission-critical security system like NemID.

Best, Joe

  • 0
  • 0
#8 Joseph Kiniry

Allan,

Your more fundamental complaints about the social, political, and technical foundations of NemID's architecture resonate with me. I, too, think that there are fundamental problems with what we use today. In the short term, I try to objectively critically analyze what we have, make recommendations on how to improve or fix it in the short-to-medium term, but never compromise on the long term, which is to show where I (and others in the security community) believe we should go to focus on citizen privacy and institutionalized flexibility when it comes to all digitalization services, not just identification/authentication services like NemID.

Rolling back the accidental or purposeful surveillance society we have today in many western countries is difficult, but we, the writers and readers of Version2 should be at the forefront of that dialog. I believe we must do so by both providing a level-headed critique of what we have, but also constructively proposing (or, better yet, demonstrating) what we should have in the future. This is exactly why I work on analyzing public sector projects like NemID, NemLog-in, the CPR system, and others.

Joe

  • 1
  • 1
#9 Peter Mogensen

Disallowing IT savvy users or specific principles (primarily corporate, but sometimes individuals) from raising their security level seems to be working at odds with the goals of a mission-critical security system like NemID.

Sure ... and my point was not that offering a choice of 3rd. party n-factor authentication would be increase my security. I could choose a 3rd. party system that I trusted an be more secure. My point was that from a legal standpoint (wrt. the security of the legal system) you would have a pretend that those extra 3rd. party factors didn't exist, since reasoning about which added security they had provided would not be much more than guesswork.

  • 0
  • 0
#10 Søren Maigaard Jensen

Vi arbejder på en prototype hvortil vi skal opkoble Nemid til borgere som ikke kan få NEM ID. Det handler om NEM ID og værgemål. Pårørende, myndighedspersonale må ikke anvende og overtage en anden borgers NEM ID, ligesom de heller ikke må underskrive med borgerens eget navn. Hvis pårørende eller andre ønsker at varetage forskellige opgaver digitalt på vegne af borgeren, skal den pårørende gøre det i eget navn og bruge sit eget NEMID Hvorvidt dette teknisk set kan lade sig gøre, og hvordan det løses, afhænger af de modtagende systemer.

  • 0
  • 0
Log ind eller Opret konto for at kommentere