Java-baseret NemID trues af plugin-skrotning - styrelse leder efter alternativ

Medarbejdersignatur med nøglefil anvender stadig Java browser-plugin, som Oracle nu er ved at udfase.

Oracle har besluttet at begynde udfasningen af det browser-plugin til Java, som i den første udgave af både Digital Signatur og NemID var nødvendigt for at bruge signaturerne. Mens de fleste almindelige bruger af NemID nu kan benytte en Javascript-baseret version, så er der stadig brugere af medarbejdersignatur-versionen, som er afhængige af Java-pluginet.

»Vi er fuldt opmærksomme på udviklingen omkring browser-plugins til Java. Og vi er i gang med at undersøge de fremadrettede muligheder. Vi har endnu ikke nogen konkrete tidsplaner. Det er dog vigtigt at sige, at der stadig er medarbejderløsninger, som kan anvendes uden brug af Java. For eksempel NemID medarbejdersignatur med nøglekort eller signaturcentralløsningen (LSS),« skriver konstitueret kontorchef Charlotte Jacoby fra Digitaliseringsstyrelsen i et e-mailsvar til Version2.

Læs også: Oracle på vej til at lægge Java-browser-plugin i graven

Problemet kan specifikt opstå for den variant af NemID medarbejdersignatur, som er afhængig af en nøglefil, der ligger lokalt på pc'en. Den minder således om den første udgave af Digital Signatur og bygger på en Java-applet, som kræver et browser-plugin.

Den gode nyhed for nøglefilsbrugerne og Digitaliseringsstyrelsen er, at udfasningen først sker i Java 9. Oracle er stadig i færd med at betateste udviklerversionen JDK 9, og der bliver tale om en større omorganisering af Java-platformen gennem det projekt, der kaldes Jigsaw.

I december kom Oracle med den for Java-udviklerne triste udmelding, at JDK 9 ville blive udskudt i yderligere seks måneder. Dermed kommer der en færdig testversion af JDK 9 den 25. maj i år, men den officielle lancering bliver først den 23. marts 2017.

Dertil kommer, at browser-pluginet kun bliver markeret som forældet i udviklerversionen. Det bliver først fjernet fra de to udgaver, almindelige brugere vil benytte, i JRE og SE 9, som udkommer på et endnu senere tidspunkt. Desuden vil Java 8 fortsat være supporteret i en vis periode efter lanceringen af Java 9.

Med alle disse forbehold på plads, så vil den nøglefilsbaserede NemID på et tidspunkt miste muligheden for at få et opdateret plugin. Det kan være problematisk, fordi dette plugin i forvejen er udskældt for at udgøre en sikkerhedsrisiko.

»Vi følger udviklingen og kigger på mulighederne for at udvikle en Java-uafhængig løsning til medarbejdersignatur med nøglefil,« skriver Charlotte Jacoby.

Digitaliseringsstyrelsen påpeger ligeledes, at der findes eksempelvis medarbejdersignatur med nøglekort, som fungerer uden Java-plugin.

Senere vil alle de nuværende NemID-versioner dog skulle erstattes af en helt ny udgave af NemID. Arbejdet på den nye udgave er lige nu i analysefasen og forberedelsen af et udbud. Planen er lige nu, at den nye udgave af NemID kan afløse den eksisterende i november 2018.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (12)

Dennis Jørgensen

Selvfølgelig fint at Java 8/9 nok kommer til at have et plugin i mange år endnu, men kommer der til at være noget at køre det på?

Chrome og Edge kan ikke, Firefox stopper i år. IE11 kan, men Windows 7 er ikke supporteret på Skylake (og nyere) efter midten af næste år.

Så Safari, muligvis Firefox ESR og ellers IE11 på hardware der pludseligt ikke kan købes længere?

Dennis Jørgensen

IE11 findes i Windows 10.

Ah, det var jeg ikke opmærksom på. Windows 10 er ikke nævnt i tabellen på den side du linker til?

Windows 8.1s support på ny hardware ryger også næste år.

Michael Aggerholm

Så vidt jeg kan læse så handler det her om medarbejdercertifikater. Så for hr. og fru Jensen betyder det ikke så meget.

Rigtig mange virksomheder, som benytter denne type løsninger, kører i forvejen på nogle meget gamle browserversioner, fordi det kræver deres forskellige øvrige web applikationer og infrastruktur. Udgiften ved at opgradere alt dette er mindre end udgiften til Microsoft for forlænget support (hvor uhyrlig høj den så måtte være), så det vælger man i stedet for. Sådan har det været i samtlige de offentlige virksomheder jeg har haft den fornøjelse at udføre konsulentarbejde for.

Så ja det er et problem men nok ikke helt så akut endda.

Andreas Bach Aaen

Hvad så med den mest oversete NemID mulighed overhovedet. NemID på hardware. Den eneste løsning hvor nøglegenereringen ikke sker central på en statskontrolleret "sikker" server?
Denne løsning er også afhængig af Java.

Det er givet vis også den eneste løsning der fuldt ud lever på til lovgivningen på området. De øvrige løsninger kan kun ses som advancerede login løsninger. Jeg har vikeligt svært ved at se, at man kan anse det for sikkert at hele landets private nøgler ligger på een og samme server. Med adgang til denne kan man udgive sig for at være hvemsomhelst.
Utroligt sårbart design.

Med udfasningen af Java i browsere frygter jeg at den eneste rest der er tilbage af det oprindelig sikre design nemlig NemID på hardware vil udgå.

Problemet er at et mere sikkert og distribueret system ikke er i DanIDs interesse, da de tjener penge på hver centraliserede transaktion. Hvis borgerne kunne snakke sikkert sammen med hinanden direkte via NemID, så ville DanIDs pengemaskine ikke hænge sammen.

Christian Nobel

Hvis borgerne kunne snakke sikkert sammen med hinanden direkte via NemID, så ville DanIDs pengemaskine ikke hænge sammen.

Systemet er jo slet ikke designet til at borgerne er i centrum, og det er da en helt kættersk tanke at borgene indbyrdes skulle kunne tale sikkert sammen - og hvis de endelig skulle være så formastelige, så må vi hellere få igangsat noget logning.

Det eneste det drejer sig om er at statsmagten kan kommunikere med pøblen på en måde der giver sikkerhed for at ansvaret kan tørres af på borgerne, og bankerne har en metode til at fraskrive sig deres ansvar.

Bjarke Alling

Ja. Det er et kæmpeproblem. Stort set alt landets sygehuspersonale og 10.000 vis af stats- og kommunalemedarbejdere er dagligt afhængige i at de kan tilgå mange hundrede nationale IT systemer med deres NemID Medarbejdersignatur og den nuværende Opensign MOCES Java applet. Denne applet er iøvrig opensource og koden findes her: http://www.openoces.org/opensign/index.html

Bjarke Alling

Nu er det jo altid sjovt at gøre sig morsom på andres bekostning. Men der også dele i både sygehussektoren og den offentlige forvaltning der brugere nyere browsere. Hertil kommer så hele den private sektor med advokater, revisorer, banker, forsikring osv. Eksempelvis upload og digital underskrift på regnskaber hos Erhvervsstyrelsen og skøder, pantebreve mv. på den Digitale Tinglysning. Hos alle disse har de sågar opdaget at Windows 10 er bedre end Windows 95 & XP.

Log ind eller opret en konto for at skrive kommentarer