Kommentar: Luk NemID op

NemID bygger på en forkert model for sikkerhed. Det er nødvendigt at gentænke landets digitale signatur, skriver Jørgen Elgaard Larsen, medlem af bestyrelsen for IT-Politisk Forening.

I sidste uge kunne man læse, hvordan Ingeniøren og Version2 gennemførte et fiktivt man-in-the-middle-angreb mod NemID. Tidligere har kriminelle udført phishing-angreb mod Nordea. Der er helt klart huller i NemID.

Men problemet med NemID er ikke, at den slags angreb er mulige. Det har nemlig fra starten været klart for alle med baggrund i it-sikkerhed. Det er bare først nu, at nogen har gidet demonstrere det.

Nej, problemet med NemID er DanID's syn på sikkerhed. Hver gang der har været rejst kritik af systemets sikkerhed i den offentlige debat, har svaret fra DanID været det samme: Systemet er sikkert. Basta!

I første omgang er det uheldigt med en sådan udmelding. Når den offentlige debat mangler, bliver almindelige borgere ikke oplyst om de risici, der er forbundet med NemID – og kan derfor ikke tage de nødvendige forholdsregler.

Derudover er den valgte løsning med en integreret applet særlig følsom for misbrug, da brugeren ikke har reel mulighed for at se, hvem der modtager oplysningerne. Havde man i stedet valgt en løsning med redirect til NemID's hjemmeside (efter samme princip som man ser det ved kreditkortbetalinger), ville det være nemmere for brugeren at kontrollere, at alting var o.k.

Men det egentlige problem stikker meget dybere.

NemID bærer præg af at være opstået i et lukket forløb. I udbudsfasen var der ingen offentlig debat om, hvordan løsningen skulle fungere. Alle krav blev fastlagt i et lukket forum mellem DanID og It- og Telestyrelsen. Og al senere offentlig kritik er blevet fejet af banen eller tiet ihjel.

Det syn på sikkerhed fungerer fint i bankverdenen. Så længe det bare handler om penge, kan banken vælge den sikkerhedsmodel, der er billigst overordnet set. Hvis der kan spares nogle millioner på udviklingen af systemet, kan det godt betale sig at lave et hullet system – så længe det er billigere at erstatte de beløb, der bliver stjålet ved nogle få indbrud i netbanken. Bankkunden får så deres penge igen, og alle er glade.

Men den model virker ikke, når man pludselig bruger den uden for finansverdenen. Der kan man nemlig ikke værdisætte skader præcist. Hvis dit hus bliver solgt, eller dine børn bliver meldt ud af skolen, du melder flytning, eller du bliver skilt online – hvordan erstatter man det? Jo, man kan naturligvis føre transaktionen tilbage, men hvad med alle de gener, der er forbundet med det? Hvordan prissætter man det? Og hvor meget skal du gøre for at bevise, at det ikke var dig?

Og hvis det lykkes for dig at sende krypteret e-mail med NemID, hvordan erstatter (endsige opdager) du så, at en uvedkommende har læst din mail?

Hvis man skal bruge NemID uden for den finansielle verden, kræver det, at hele modellen bag NemID gentænkes. Og denne gang skal borgernes og virksomhedernes hensyn tænkes med i løsningen. I en offentlig proces, tak!

Jørgen Elgaard Larsen er bestyrelsesmedlem i IT-Politisk Forening.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Thue Kristensen

Det ville også være rart hvis systemet var sat op så man kunne vælge hvem som skal opbevare sin private key (fra en liste af godkendte valg). Man kunne så udvikle et abstakstionslag til brug på siderne hvor man skal logge ind, som stod for at åbne det rigtige popop-vindue, afhængig af hvilken udbyder man brugte. NemID ville så bare være en udbyder blandt mange. Alle public keys skulle selvfølgelig være signeret af staten (adresse-registret virker som det åbenlyse valg til at administrere dette).

Et af disse valg kunne så være selv at opbevare sin nøgle, som så kunne bruges via et open source browser-plugin der arbejdede sammen med APIet (Java unødvendigt, tak, af velkendte årsager!).

  • 4
  • 1
#2 Poul-Henning Kamp Blogger

Er der nogen Java-hajer der gider skille DanID appletten ad ?

Det forlyder at nogle af de indlejrede "billede" objekter i virkeligheden er exekverbare programmer der høster systemkonfigurationer.

Desværre har jeg ikke haft tid til selv at rode med java-dekompilering og ikke fundet nogen der kunne gøre det for mig.

  • 6
  • 1
#3 Steen Bundgaard

Jeg fatter simpelthen ikke at fe kaldet det en digital signatur, for det er og bliver det aldrig Det er vigtigt at være opmærksom på at der ikke er noget lovgrundlag for NemID. ALT hviler på frivillige aftaler og det samtykke som man afgiver til DanID A/S ved oprettelsen af NemID. NemID er ikke reguleret af lov om elektroniske signaturer, hvor der f.eks. er en forbud om at nøglecentre opbevarer borgernes private nøgler.

  • 8
  • 0
#4 Christian Have

"... Havde man i stedet valgt en løsning med redirect til NemID's hjemmeside (efter samme princip som man ser det ved kreditkortbetalinger), ville det være nemmere for brugeren at kontrollere, at alting var o.k.)"

Studier på naturen af phising angreb viser jo faktisk, at det ikke hjælper. Hvis brugerne ikke er opmærksomme eller besidder den tekniske indsigt der skal til for at validere at websitet er autentisk, så opnår man meget lidt ved at skrue på lige netop den knap.

Alt andet lige er denne type løsninger svære; løsningen skal ikke blot anvendes af it-brugere eller folk med en motivation for at lære løsningen - det er en løsning alle død og pine skal anvende til at kommunikere med det offentlige. Det er vel præcis af den årsag man gik væk fra den klassiske digitale signatur; det var for komplekst og medførte for meget support...

Der er ingen simple løsninger, hvorfor indlægget ikke umiddelbart bidrager til en mindre skinger debat.

  • 1
  • 4
#7 Jesper Mørch

NemID er ganske rigtigt bedre end ingenting, men det er et meget lavt ambitionsniveau at have...

Er det nu også bedre end ingenting?

Her er jo tale om et system som rigtig mange mennesker stoler på, hvorimod et ikke-eksisterende system automatisk burde aktivere folks opmærksomhed på sikkerheden, så de tænkte sig mere om.

Det er i bund og grund et meget dårligt (men desværre typisk) eksempel på en overformynderisk tankegang, som tror sig klogere end den borger den skulle forestille sig at hjælpe.

Det eneste positive jeg kan finde at sige om NemID er, at der benyttes mere end blot et brugernavn og et password for at få adgang. Alt andet i konstruktionen er til gengæld et skoleeksempel på hvordan man ALDRIG må designe et sikkerheds-relateret IT-system!!

  • 6
  • 1
#9 Nicolai Rasmussen

Det kan godt være der ikke er nogen simple løsninger, men der kan godt være simple forbedringer.

Hvis den sikre applet viste et standard billede (en sol, en gris, en fisk, eller noget andet) som man selv havde valgt, ville det være muligt at sikre brugeren en garanti for at man var i den rigtige "butik".

Jeg (+de fleste herinde tror jeg) mener at Nem-ID er noget skrammel design, som burde have været grebet helt anderledes an. Men ovenstående lappeløsning kunne fjerne et af hullerne i sien på en simpel måde.

  • 1
  • 1
#10 Rasmus Faber-Espensen

Hvis den sikre applet viste et standard billede (en sol, en gris, en fisk, eller noget andet) som man selv havde valgt, ville det være muligt at sikre brugeren en garanti for at man var i den rigtige "butik".

Kan du uddybe det? Jeg kan ikke helt se, hvad det skulle hjælpe. En realtime MITM-angriber vil jo bare kopiere billedet med. En ikke-realtime MITM-angriber kan i forvejen ikke vise brugeren det rigtige serienummer og nøglenummer.

Hvilket angreb er det, du vil afhjælpe?

  • 4
  • 1
#11 Morten Grouleff

Hvis den sikre applet viste et standard billede (en sol, en gris, en fisk, eller noget andet) som man selv havde valgt, ville det være muligt at sikre brugeren en garanti for at man var i den rigtige "butik".

Det gør da bare, at man-in-the-middle skal sende det valgte billede videre til offeret, når han selv ser det. Det virker ikke som nogen større opgave at skulle løse oveni at lave MTIM i første omgang.

  • 1
  • 1
#12 Jon Linde

Jeg er efterhånden meget i tvivl om hvorvidt at simple forbedringer overhovedet er nok til at gøre løsningen tilnærmelsesvist tillidsvækkende.

TDC kom med den første version. DanID er kommet med en anden version. Der er nu gjort en masse erfaringer om hvad der virker og en hel masse om hvad man ikke skal gøre. (På den måde skal vi måske først og fremmest takke DanID for at vise hvilken vej man absolut ikke skal bevæge sig).

En af de ting som man bør gøre lige nu og her er at droppe al videreudvikling af det eksisterende løsning og påbegynde udviklingen af den næste generation - og dette bør ske i en organisation som ikke er rædselsslagen for kritik, åbenhed og dialog.

Jeg har, bl.a. fra nogle af de rigtigt fornuftige og kompetente mennesker på debatsiderne her, set gode bud på løsninger til problemstillinger som der bør kigges på. For ikke at tale om identificerede problemer som der skal findes løsninger til. Man kunne starte med at invitere nogle af dem ind i et forum, hvis opgave var at udarbejde et udkast for rammerne til den næste offentlige signatur som både teknisk og lovgivningsmæssigt bør blive velfunderet.

P.S: Redirect er ikke nødvendigvis en løsning, da overgang fra http til https i sig selv giver hackere nogle interessante muligheder. Tidligere nævnte en anden denne video som er ret interessant: http://youtu.be/ibF36Yyeehw (men lang, 48 minutter)

  • 1
  • 0
#19 Steen Secher Schmidt

I stedet for at brugeren skal kunne genkende URL'en på det site man logger ind på, hvorfor så ikke lave en personlig velkomstskærm låst inde sammen med nøglen? Den kan ikke genskabes af en phisher.

Hvis den velkomstskærm jeg ser efter login eksempelvis indeholdt billeder af mine børn som baggrund, ville jeg med det samme opdage hvis jeg var blevet redirectet til et andet site og tingene ikke ser 100% ud som de plejer. Intet andet site ville ligne det jeg rigtigt skulle logge ind på. Så skulle der blot være en sikker portal til at konfigurere sine vandmærker/baggrundsbilleder/whatever, og så ville jeg kun få servet dette når jeg loggede korrekt ind. Skulle nogle lave en vellignende kopi af dette skulle de følge med mig ind i en rigtig login og kopiere content i denne session. Det kunne gøres meget vanskeligt at gennemføre.

Men ok, folks egen velvillighed til at ville udlevere oplysninger er nok den største fare...

Mvh Steen

  • 0
  • 2
#21 Nicolai Rasmussen
  • 2
  • 0
#22 Michael Nielsen

Men problemet med NemID er ikke, at den slags angreb er mulige. Det har nemlig fra starten været klart for alle med baggrund i it-sikkerhed. Det er bare først nu, at nogen har gidet demonstrere det.

Jeg har beskrevet angrebsmulighederne til bevidstløshed siden ca 2006/2007 da detailjer først kom frem om NemID, der har været andre der implementerede en MITM angreb, og blev sigtet af politiet for det (mellem 1-2 år siden). Så det har været beskrevet og Demonstret for år tilbage.

At man nu "opdager" problemet ved at ingeniøren og Version2 endeligt har fået øjene op for problemet, syntes jeg er et hån mod alle os der har brug dage og uger af vores liv for at råbe folk op, bare for at møde døve ører, og lukkede dører, jeg begyndte i 2006 ved at henvende mig til TDC, Teknologirådet, og alle andre kontakter jeg kunne find, igen mødt med lukkede døre, og døve ører, på trods af den løsning jeg forslog, var både billigere, og mere sikker end NemID.

SUK.

Men ellers er jeg enig med dig.

  • 0
  • 0
#23 Michael Nielsen

Re: Sikkerhed i gennemskuelighed

Det kan godt være der ikke er nogen simple løsninger, men der kan godt være simple forbedringer.

Men der er simple gode, effektive, og Nemme løsninger..

Min egen fortrukne med en krypto terminal, koster (ved enkelt køb) mellem 200-400 kroner for en enhed.

Eller Den tyske

ChipTan som ikke kræver fysisk forbindelse, og i teorien virker fint - jeg har ikke kunnet spotte store huller i den..

Så at der ikke findes simple løsninger er noget vås, problemet er at der findes ikke nogen simple løsning som Staten både kan kontrollere, og skabe en malkeko ved, som med NemID, hvor man betaler mellem 1-3dkk/kunde man har, per transaktion.. Både ChipTan, og min Krypto løsning er offline løsniger, således at DanID nedbrud ville ikke havde haft nogen effekt på brugen af systemet.

Det her er en politisk designet løsning, med alle de falgruber der som regl følger med politik.

  • 0
  • 0
Log ind eller Opret konto for at kommentere