Minister jubler: Nu har 80.000 danskere fået NemID

Tre uger efter lanceringen af den nye digitale signatur, NemID, har 80.000 danskere bestilt den. Senere flytter bankerne alle netbank-kunder over til NemID.

Den 1. juli gik NemID i luften, og siden har 80.000 danskere bestilt afløseren for den gamle digitale signatur. Det svarer til 3.200 bestillinger om dagen, skriver IT- og Telestyrelsen, og det tal er en god nyhed, mener videnskabsministeren.

»Det er over al forventning, at så mange danskere allerede har bestilt et NemID, endda midt i sommerferien,« udtaler Charlotte Sahl-Madsen i en pressemeddelelse.

Ud af de 80.000 bestillinger af NemID er de 35.000 blevet aktiveret og brugt første gang. Det tager typisk 3-4 dage fra bestillingen, til de to papirbreve med koder og midlertidigt brugernavn når frem til borgeren.

Undervejs har der også været kapacitetsproblemer for CPR-registeret, som har sat tempoet ned, ligesom et fejlbehæftet certifikat kostede et halvt døgns pause i bestillingerne midt i juli.

**Læs også: **NemID lagde hele CPR-registret ned

I løbet af efteråret kommer den store migreringsbølge, når alle danske banker begynder at flytte samtlige netbank-kunder over til NemID. Konceptet er nemlig, at kunderne så kan bruge samme login-løsning til både netbank og offentlige hjemmesider, selvom den underliggende teknologi er lidt forskellig for bankerne og for den digitale signatur til offentlige tjenester.

PBS, som er ejet af bankerne i fællesskab, står bag DanID, der driver NemID.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (84)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Yoel Pedersen

Nye undersøgelser viser, at det danske skattevæsen er ganske populært blandt den danske befolkning - faktisk har 99 ud af 100 i den arbejdsdygtige alder på et eller andet tidspunkt betalt skat. Skatteministeren udtaler, at det en gang for alle må ramme hul igennem myten om, at danskerne ikke kan lide at betale skat. For som han siger, "... havde borgerne ikke haft lyst til at betale skat, havde de jo bare ladet være."

Det er altid ganske underholdende at se hvordan tvangs-tiltag bliver udråbt som succeser på baggrund af tilslutningen, uagtet at folk ikke har andre valg.

  • 0
  • 0
Peter Jespersen

Det hjælper lidt når armen bliver vredet om på befolkningen - i besparelsernes hellige navn.

Vi ved jo alle at den hellige sparetreenighed udgøres af de tre elementer : privatisering, centralisering og digitalisering.

  • 0
  • 0
K J

... men ene og alene fordi jeg er blevet tvunget til det af min bank. Løsningen er for mig ½ skridt frem og 2 tilbage.

Efter at have brugt det forstår jeg i øvrigt ikke navnet "NemID". Det burde om noget hedde "BesværligID".

Som andre brugere kommenterer... når der kun er ET valg og man SKAL vælge det, så kan det kun blive et succes. Set i det lys er 80.000 bestillinger egentlig ikke særlig mange.

  • 0
  • 0
Erling Klingberg Jensen

Når du vil logge på med NemID, fx i din netbank, er det første du bliver bedt om, at skrive dit bruger-id: ”idioti” f.eks.
og din adgangskode qw4ZpY8gp (husk at det skal være en sikker kode) Når du har udfyldt de to felter, trykker du på næste-knappen
Dernæst skal du bruge dit nøglekort. Find nøglenummeret **** på dit nøglekort.
Ud for nøglennummeret finder du din nøgle. Indtast nøglen ****** (6 ciff.) og tryk på "Log på"-knappen

Jeg håber ikke du har lavet fejl og 148 nummer på et lille kort? Husk at have en lup ved hånden eller få et A4 ark til din tegnedreng?

Skal jeg ind på Nordea netbank trykker jeg på min ikon på skrivebordet og derefter min adgangskode – det er nemt

  • 0
  • 0
K J

Ja!

Desuden skal man bruge nøglekortet ved hver eneste transaktion.

  • Skal der betales en regning så find nøglekortet frem igen og nøglenummeret **** på dit nøglekort.
    Ud for nøglennummeret finder du din nøgle. Indtast nøglen ****** (6 ciff.)
  • skal der overføres penge så find nøglekortet frem igen og nøglenummeret **** på dit nøglekort.
    Ud for nøglennummeret finder du din nøgle. Indtast nøglen ****** (6 ciff.)
  • osv, osv...
  • 0
  • 0
Jakob Køster

Jeg er fulstændig 100% sikker på, at Charlotte Sahl Madsen aldrig har været ude i den virkelige verden, og helt sikkert ALDRIG brugt den digitale signatur.

Jeg benytter bl.a. den digitale signatur, til signering af testrapporter. Ofte godkender jeg 20 rapporter om dagen..

Jeg frygter den dag, hvor jeg skal tvinges til NEMid og dermed tvinges til at taste flere fuldstændige umulige koder for at signere dokumenter.

Det er MÅSKE ok, hvis man én sjælden gang benytter sig af Netbank. Men hvis man både benytter sig af en privat og en firma signatur, så bliver man temmelig irriteret over to elendig papkort og et enormt tidsspilde iforbindelse med login.

  • 0
  • 0
Niels Bo

At DanID laver og opbevarer en nøgle pr bruger gør ikke nøglen privat som det er nødvendigt for at have en digital signatur. Dermed er NemID reduceret til en traditionel engangkodeløsning, som mange banker har anvendt i årevis.

Men det er vel også derfor man valgte navnet NemID og ikke NemSignatur.

  • 0
  • 0
Hans Schou

<sarkasme>
Når jeg fodre mine gæs, så er der ikke rigtigt nogen grund til at juble over at de spiser. De bliver lissom tvunget til det.
</sarkasme>

Når nu der er 1 million NemID brugere næste måned, er det fordi de er blevet tvunget til det. Dem der ikke vil have NemID, må opgive deres netbank. Meget smart fundet på.

  • 0
  • 0
Erling Klingberg Jensen

Hej Jesper Lund. Tak for din info. På
https://www.nemid.nu/support/vejledninger/vaelg_en_sikker_adgangskode/
Står der:
Et par simple regler
En god adgangskode opfylder fire krav:

•Den er mindst seks tegn lang.
•Den indeholder både store og små bogstaver.
•Den indeholder tal.
•Den indeholder specialtegn (såsom #, ¤, % og {).
- og så skal den være nem at huske, så du ikke behøver at skrive den ned.

Så det med store/små bogstaver må prøves når jeg bliver tvunget af Nordea til at anskaffe mig en s..... ID hvis du da ikke allerede har prøvet om der er forskel :-)

  • 0
  • 0
Jesper Lund

Når nu der er 1 million NemID brugere næste måned, er det fordi de er blevet tvunget til det. Dem der ikke vil have NemID, må opgive deres netbank. Meget smart fundet på.

Netbank kunderne kan vælge kun at bruge NemID som netbank logon og fravælge "digital signatur" delen (OCES delen).

Hvis tilpas mange netbank kunder gør det (jeg vil være en af dem!), vil smilet formentlig stivne hos ministeren.

  • 0
  • 0
Jesper Lund

Hej Jesper Lund. Tak for din info. På
https://www.nemid.nu/support/vejled...
Står der:
Et par simple regler
En god adgangskode opfylder fire krav:

For en god orden skyld: dokumentationen for min påstand om manglende case sensivitet er baseret på oplysninger givet af en DanID repræsentant på et offentligt møde om NemID (på ITU i starten af maj). Argumentet skulle være at folk ikke aner om case-lock er aktiveret eller ej :-)

  • 0
  • 0
Claus Bo Larsen

Nu har jeg endnu ikke set det oldnordiske pap system, men er der nogen som kan fortælle mig om man på kortet kan se hvilken konto det hører til. Når nu man har flere konti er det så til at se hvilken konto kortet hører til (flere banker og flere kort pr. bank), eller er man selv nød til selv at kunne identificere de enkelte kort, eller står det faktisk på kortet hvad det er til?
Er der en begrænsning på hvor mange gange man kan fejlindtaste en kode og hvad sker der så efter udløbet af fejlindtastninger ? Nogen der kender til disse forhold ?
/Claus

  • 0
  • 0
Claus Hjorting

@Claus Bo
NemID er ikke knyttet til en konto, men kan bruges i alle dine netbanker, med mindre du ønsker noget andet. Så normalt har du kun ét nøglekort ad gangen. Men skulle du have flere, så fremgår ID på det nøglekort du skal bruge i skærmbilledet, hvor du bliver bedt om en nøgle.

@Jesper
Når jeg logger på, så skelnes der ikke mellem store og små bogstaver, så oplysningerne fra seminaret er nok nyest.

@KJ
De fleste netbanker har mulighed for at samle transaktioner sammen, så der kun skal signeres én gang.

@Yoel/Peter m.fl
De 80.000, der indtil nu har tilmeldt sig NemID har gjort det ganske frivilligt.

  • 0
  • 0
K J

@Claus Hjorting
Jeg har fået brev fra min bank om at overgangen vil ske indenfor 1 måned om jeg vil det eller ej.

Hvis jeg gør det "frivilligt" nu, er der en større chance for at få et sigende brugernavn.

Det da så tæt på frivillig tvang som man kan komme.

  • 0
  • 0
Morten W. Jørgensen

Claus Hjorting:

De fleste netbanker har mulighed for at samle transaktioner sammen, så der kun skal signeres én gang.

Nå. Så er min ikke en af de "fleste" og det er så bare synd for mig.
Men jeg har jo også frivilligt valgt (at have en) bank - det kunne jeg jo bare havet lade være med.

  • 0
  • 0
Dennis Glindhart

Jeg har frivilligt bestilt NemID og er ganske godt tilfreds. Nu kan jeg endelig undgå at skulle slæbe rundt på diverse nøgle-filer til banker og evt. digital-signatur på USB stick for at logge på fra andre maskiner.
Pap-Kortet ligger fint sammen med diverse andre plastik-kort man er blevet pålagt :)

Når man lige har prøvet logon et par gange går det faktisk ret hurtigt - Selvfølgelig ikke så hurtigt som hvis den gamle digitale signatur er installeret og man bare skal indtaste adgangskode, men et par sekunder fra eller til er altså ikke et problem i min verden.

Og ja, man kan sagtens nøjes med én NemID til det hele. Jeg bestile det via NemID og da jeg fik det ringede jeg til banken og sagde jeg havde fået NemID og 30 sekunder senere kunne jeg logge på banken med det.

Ang. brugernavn - Jeg har fravalgt at have et brugernavn og bruger istedet mit CPR-nr som brugerid når jeg logger på. Ganske nemt. De fleste burde kunne huske deres CPR-nr. - Så opskure brugernavne er kun hvis man selv vælger det.

Når man først er logget på netbank og skal betale regninger så behøver man ikke bruge sit nøglekort hver gang. I hvert fald i Danske Bank skal jeg kun bruge nøgle-kortet når jeg logger på, og ved godkendelse af en regning kan jeg nøjes med adgangskoden. Skal ikke kunne sige om andre banker har implementeret det anderledes, men det kan åbenbart lade sig gøre sådan, og NemID skal ikke have skylden for hvordan bankerne vælger at implementere det.

  • 0
  • 0
Claus Hjorting

Nå. Så er min ikke en af de "fleste" og det er så bare synd for mig.
Men jeg har jo også frivilligt valgt (at have en) bank - det kunne jeg jo bare havet lade være med.

Så synes jeg da, at du skal brokke dig til din bank, så de kan få den mulighed - hvis det i øvrigt overhovedet er et issue, jf. Dennis indlæg.

  • 0
  • 0
Helge Svendsen

@Lars Tørnes Hansen

Som en anden gjorde mig opmærksom på, så vil en sådan signatur fra Verisign, eller anden, ikke være juridisk bindende, og derfor af minimal brugbarhed i DK.

Self kan du bruge den til signering og kryptering alligevel. Men altså ikke i juridisk forstand.

Du kan sagtens købe en signatur hos Verisign som privat person.

  • 0
  • 0
Helge Svendsen

Hvis du har din egen PK kan du da sagtens bruge den til encryption også?

Eks, een du har fået hos Verisign, eller en du har fra den gamle Digital Signatur løsning.

Du vil også kunne kryptere med NemID, men det kræver at du installerer det af NemID producerede software.

Modsat bare at bruge det, der allerede er i din mail client. Det er simpelt hen alt for nem og gennemprøvet en løsning til at det offentlige DK kan bruge den ...

  • 0
  • 0
Helge Svendsen

Du har ret :-)

Men "computer kvæget" - de alm. brugere hverken evner eller gider forstå, hvad dette betyder.

Derfor har der ikke været nogen protester mod projektet.

Havde staten igennem bankerne bedt befolkningen om, at give en permanent fuldmagt i gammeldags forstand til en privat virksomhed, så denne virksomhed kunne agere på befolkningens vegne - ja så skulle du bare have hørt ramaskrig.

  • 0
  • 0
Jacob Hansen

Er der nogle der har link til de tekniske implementerings-oplysninger omkring nemID.

nemID har intet med kryptering at gøre, det er ene og alene en autentifikation service præcis ligesom verisign. men når man skal validere brugere synes man der gælder nogle andre faktorer da man ikke kan stole på at deres computer er sikker.

Vær velkommen til at sætte mig på plads ;)

EDIT, har lige fundet ud af at alt trafik bliver sendt igennem danID??????????

hvordan er det muligt at sådan noget bliver tilladt? dvs. at vi stoler på SSL og at danID bliver verifiseret (af TDC). dernæst laver vi vores lille nøglekort-nummer for at bevise overfor danID at vi er os, dernæst sender vi alle data på denne forbindelse til danID som ved hjælp at en anden SSL (eller ligende Public key) sender informationerne til vores banker.... her er der dog ikke brug for certifikater da virksomhedderne og danID jo må samarbejde hvis virksomhederne vil benytte nemID, men det er også lige meget.

hvis min overstående opfattelse af hvordan systemet virker er korrekt, så er det, det væreste **** jeg nogen sinde har været vidne til. jeg vil ***** ikke være del i at de ***** skal lave sådan noget ****!

Please, ret mig en eller anden, ellers er vi da vist røget ned i bunden som IT nation (jf. tidligere artikel omkring at sverige overhalte os)

Løsningen er som så ikke mere usikker overfor eksterne trusler, men meget dyr og unødvendig langsom (medmindre den har været lidt ekstra dyr, ved ikke), og kunne gøres bedre, billigere, mere korrekt og lige så nemt og sikkert blot ved at droppe hele konceptet med at alt data skal igennem danID. Hvordan kan man på nogen som helst måde argumentere for det? det er TÅBELIGT på alle områder. Pris, fejl, kompleksitet, sikkerhed.

/jacob

PS. undskyld jeg redigere og laver rod i rækkefølgen

  • 0
  • 0
K J

... at bankerne ikke har NemID som en MULIGHED. At de ikke bevarer deres nuværende løsning sammen med NemID og lader brugerne vælge, den løsning de helst vil bruge.

Det, at de ikke gør det, er det tydeligste bevis/argument for, at der er tvang og at man ikke tør andet end at tvinge folk til at bruge det... ellers vil det efter min mening blive en KÆMPE fiasko.

Jeg vil i øvrigt bemærke, at jeg tilmeldte mig NemID på første dagen. Jeg var positiv indstillet, indtil jeg så, hvilken løsning vi alle får. Som skrevet før... ½ skridt frem og 2 tilbage.

Suk :-(

  • 0
  • 0
Søren Schack Hansen

Dennis rammer sømmet på hovedet - for vel omkring 80% af befolkningen ( Væsentligt flere på min egen lille ø).

Som bruger af flere operativsystemer og flere computere kan jeg kun hilse NemId velkommen. Jyske Bank har mig bekendt ingen utilfredse netbankkunder i forbindelse med deres 'NemId'!

  • 0
  • 0
Anders Kreinøe

Er der nogen der ved om man kan, hvis man selv bestiller nemId, bestille en kun til netbanks brug, eller skal det går gennem banken?

Og er der i øvrigt nogen der har nogen oplysninger om den løsning, hvor man selv skulle få sin private key som DanId på et tidspunkt snakkede om skulle komme senere?

  • 0
  • 0
K J

Gentagne undersøgelser har vist, at danske bankkunder er meget trofaste kunder og at de ikke bare "shopper" efter alternativer.

Kan man sige, at man er en tilfreds netbankkunde, blot fordi man holder sig til sin bank? Det synes jeg er en sjov konklusion. Jeg kender flere Jyske bank kunder, der synes, at de må leve med en træls internetløsning... men de lever med den fordi de er trofaste mod deres bank, eller fordi banken har et produkt (f.eks. lån), der binder dem til banken.

Løsningen kan bruges og de lever med den som vi alle kommer til at skulle gøre med ”NemID”.

  • 0
  • 0
Erik Zinck

Hvad betyder OCES og hvad er det, man kan slippe for ved at fravælge OCES.
I øvrigt enig i, at systemet er oldnordisk med papkortet og aflæsning/indtastning af tal.

  • 0
  • 0
Peter Kyllesbeck

Jeg stillede dette lidt naive spørgsmål:

Hvordan sender jeg sikker e-mail (krypteret og/ellersigneret) til en anden indehaver af NmeID?

Jeg fik følgende svar d. 8. juli:

Kære kunde.

Tak for din henvendelse.

På nuværende tidspunkt er det ikke muligt at signere eller kryptere mails med NemID.

Der arbejdes på en løsning, så det også bliver muligt med NemID, og denne løsning forventes at komme i august 2010.

Indtil da er det desværre nødvendigt at anvende den gamle Digital Signatur, hvis man ønsker at signere eller kryptere mails.

  • 0
  • 0
Thomas Alexander Frederiksen

Hvad betyder OCES og hvad er det, man kan slippe for ved at fravælge OCES.

OCES er "Offentlige Certifikater til Elektronisk Service", og dermed det videnskabsministeriet har valgt at forstå ved en digital signatur. Ved at undlade at have NemID undgår du at PBS/DanID principielt set ejer din digitale identitet, og at den takket være deres elendige sikkerhedsmodel er nem at stjæle.

  • 0
  • 0
Henrik Schmidt

For en god orden skyld: dokumentationen for min påstand om manglende case sensivitet er baseret på oplysninger givet af en DanID repræsentant på et offentligt møde om NemID (på ITU i starten af maj). Argumentet skulle være at folk ikke aner om case-lock er aktiveret eller ej :-)

Wow. De gør da hvad de kan for at gøre det nemt. Tænk, at de er villige til en så voldsom kompromittering af sikkerheden for at undgå en simpel javascript caps lock test.

  • 0
  • 0
Anders Kreinøe

Som jeg umiddelbart ser det (ret mig meget gerne hvis det er forkert), kan man også kan bestille en helt ny nemId med cpr nr. og kørerkort eller pas, så man er vel lige DÅRLIGT stillet uanset om man slet ikke for nogen nemId, eller for en uden OCES.

I hvert fald med hensyn til beskyttelse af sin offentlige identitet. Beskyttelsen af ens banksager er så en anden sag.

  • 0
  • 0
Maxx Frøstrup

Nu har jeg fra tid til anden en sund sølvpapirshat tankegang. Og lige præcist NemID får alle mine alarmklokker til at ringe. Det gjorde EULA'en i den gamle Digatal Signatur også, ikke signaturen.

Som nogenlunde helt almindelig dansker med netbank et par gange om måneden for at klare diverse budget og konti/regnings tilretninger kan jeg jo se jeg er nødt til at komme på NemID (har jeg sådan set vidst siden januar).

Jeg har det bare ikke godt med at samle alle mine informationer det samme sted, jeg tænker lidt på den aftale jeg har med min bank og forsikring om at de må udveksle oplysninger. Den skulle/skal underskrives årligt og det er måske ikke privatlivsmæssigt smart, men det virker og det gør mange ting lettere.
Med NemID laver jeg egentlig en Forsikring - Bank - EPJ - Læge sammenkædning, så min forsikring i praksis/princippet kan slå både min lægejournal og min læge op?

Ja ja, det må de vel egentlig ikke, og det er teknisk meget umuligt/vanskligt.... Men kæden vil være der og jeg har ingen kontrol og kan derfor ikke bryde den.

Som mange har sagt før mig, så har jeg ikke noget at skjule og derfor ikke noget reelt problem. Men jeg har et etisk problem for nu KAN jeg ikke skjule hvis jeg rent faktisk ville. For ret mange egentlig, Jeg mener hvor mange mennesker arbejder der lige i Forsikring, bank, sundheds, ordensmagt- sektorenen? Eller rettere, hvor mange gør ikke.

Så indtil idag, havde jeg luret mig af på at jeg bare skulle holde ud med min nye Digital signatur, holde mig til Netbanks NemID'en også var kæden brudt. Tilsæt NemID keytoken senere (tm).

Men hvis jeg forstår Thomas herover rigtigt, så er der bare nada at gøre.... Jeg skal i princippet nu til at betragte hele finans sektoren (forsikringer og banker) som en del af den offentlige sektor da de i princippet har adgang til de samme informationer om mig, og bruger samme identifikationsprocedure....

Jeg kan jo også se at udenlansk bank ikke engang løser problemet, da jeg laver en 2-3 konto tilretninger om måneden.

Jeg frygter min virksomhed, men der har jeg ikke set/hørt noget endnu, men det er vel egentlig slet ikke nødvendigt til den tid da ALLE har nemID indenfor 2-3 år. Ihvertfald 10 år, du kan vel ikke engang få et nyt pas uden hvilket sætter en begrænsning på hvor lang tid man kan undgå selv med diverse krumspring og benarbejde.

NemID gør mig oprigtigt bange....

  • 0
  • 0
Maxx Frøstrup

Ja med al respekt for at lyde og være paranoid.
Nu er jeg tilpas fortrolig med min læge, men det er jeg ikke med min anonyme Sygeplejske der lægger gips på mit ben og synes han har set mig før.

EDIT
Ahhh, jeg ser bedre hvad du mener nu efter anden gennemlæsning.
Min læge har selvfølgelig ikke adgang til min banks mainframe.
På den anden side ved jeg egentlig heller ikke hvilke oplysninger mit forsikringselskab kan lave opslap på. De er jo heller ikke på min banks mainframe.
Hvor mange oplysninger ligger der lige og flyder i diverse webforms om mig som tidligere ikke har været sammenkædet?
Hvad med dig? Kan din bank se om du har ubetalte P-Bøder? Kan din politibetjent se om du har fået en medicin recept? Kan din forsikring?
Edit
Jeg er endog mere bekymret for hvem min forsikring deler sine oplysninger med.

Og ja, jeg ved da godt at alle regler og protokoler er sat i værk for det skal være 99.999% umuligt.
Det forhindre mig ikke i at huske på de EPJ betænkinger Tænk & Test leverede for nogle år tilbage med fine historier på Sygeplejsker der havde slået oplysninger op om kendiser og lækket til Se & Hør.

Det er ikke helt det samme, men princcippet er stadigt gældende, jeg mister alt kontrol over hvor og hvornår informationskæden bliver brudt.

Hvis det en dag nogensinde skulle gå hen og ske vil skaden jo faktisk være katastrofal og igen jeg kan intet gøre for at minimere skaden.

Hvis man bare tænker tilbage på Tinglysnings systemet, så kan man læne sig lidt tilbage og sige: nå ja, så vent da med at bruge det til de er færdige, eller tag chancen og se om det virker.

Her er du jo indlagt med vold og magt til at være med, og jeg personligt kan ikke se hvad jeg realistisk kan gøre for at tilbage tage min informationskontrol.

Den urealistiske model hedder jo nul økonomi til de har lavet version 2, og jeg vil mene jeg er opfindsom nok til at kunne smyge mig udenom de fleste ting og lade andre stå forrest. Men for hulen det er hele det samfund jeg er bosat i det går udover på én gang nu.

Som sagt NemID gør mig rigtig bange.
Ikke bare for mig selv men for det samfund jeg lever i. Men nogen der er gode til at lukke øjnene og sige : det skal nok gå, det er bare dig der er paranoid......

  • 0
  • 0
Jesper Lund Stocholm

Hej anonyme ven,

Ja med al respekt for at lyde og være paranoid.
Nu er jeg tilpas fortrolig med min læge, men det er jeg ikke med min anonyme Sygeplejske der lægger gips på mit ben og synes han har set mig før.

Sådan har de fleste det jo nok - men hvordan kobler du dette med, at sygeplejersken skulle have adgang via NemID til at se mit forsikringsselskabs informationer om mig? Er det fordi du tror, at alle forsikringsselskaber, læger, sygehuse, politistationer etc nu skal gemme deres data på DanIDs servere?

PS: Prøv at kigge under din stol. Der ligger en sølvpapirshat med dit navn på.

  • 0
  • 0
Mikkel Madsen

Min mor bestilte NemID på www.nemid.nu men de har sendt hende to forskellige NemID-numre. Nu kan hun ikke logge på sin netbank, da systemet siger at NemID ikke er aktiveret. Jeg har snakket frem og tilbage med Danske Banks support, som prøver at slå de to ID-numre sammen, men det er en større proces, så indtil det er gjort, skal hun betale 25 kroner for at kunne betale regninger fysisk i banken i stedet for gratis på netbanken. Lidt foruroligende at hun kan få tilsendt to forskellige numre samt to forskellige koder. Man må da gå ud fra, at de tjekker CPR-nummeret inden de sender dem ud for at verificere, om det allerede er bestilt...

Jeg selv bor i Irland, men var tilfældigvis i dk i sidste uge, hvor jeg fik udleveret en engangskode på kommunekontoret (det tog dog noget tid, da de ikke kendte til proceduren om udlevering af engangskoder til udlandsdanskere), men da jeg prøvede at aktivere mit NemID på deres føromtalte hjemmeside fastfrøs siden. Så prøvede jeg igen, og fik en besked at jeg havde forsøgt for mange gange (2?!) og jeg skal have udleveret en ny engangskode. Den kan jeg kun få ved personlig henvendelse i dk eller møde op på den danske ambassade her i Irland og få en udleveret mod betaling på 170 kroner. Nej tak!

Er bestemt ikke imponeret over det nye NemID :-(

  • 0
  • 0
Maxx Frøstrup

Jeg ved godt der ligger en hat.
Og som sagt er jeg ikke så bekymret for hvad det offentlige indhenter af oplysninger, jeg er mere bekymret for hvad min bank og mit forsikringsselskab indhenter af oplysninger for at markedsføre bedst muligt.

Kan egentlig godt lide måden at blive trukket rundt på.

Men i stedet for at trække mig rundt, kunne du så ikke bare sige med oprigtighed i skriften at det sker ikke...
Selv med profit potentialet og folks generale lemfindige omgang med regler og protokoller, så SKER det bare ikke.

Jeg mangler stadig at se nogen med tilpas teknisk viden og forståelse for systemet, uden økonomiske interresser i projektet stille sig op og sige. Det er lukket land, det SKER bare ikke. Og det er hvad der gør mig paranoid. Der er ingen der tager noget som helst ansvar, de skubber bare lorten videre. Og som tiden går stille og roligt så bliver det jo bare mere og mere vanskeligt ikke at samle den op og bide i den. Men hvem ved, nogen siger den smager godt ;)

  • 0
  • 0
Claus Hjorting

DanID opbevarer kun oplysninger om navn, cpr, adresse, NemID nummer, evt. mobilnr, og e-mail (de to sidste, hvis de oplyses) og så de informationer, der er nødvendige for at systemet fungrer, som brugerID/Password og nøglekortnumre.

Når først selve autentifikationen/"pålogning" er sket, så hverken ser eller registrere DanID nogen data.

Der er heller ikke nogen tjenesteudbydere (Fx Skat, banker, læger), der får nogen adgang til hinandens systemer, som konsekvens af NemID så der sker ingen udveksling af data mellem tjenesteudbydere. Og Jesper det kan ikke "bare" ske. Der findes ikke kommunikationslinier til det og en integration, som du forestiller dig ville være et gigant IT-projekt.

Det er staten ved IT- og Telestyrelsen, som ejer identifikationsdatabasen (altså navn, adresse m.v. på de brugere, der har fået udstedt et OCES certifikat) og de kan ved, når aftalen med aftalen DanID udløber flytte den til en anden udbyder, hvis denne kan gøre det billigere eller bedre.

  • 0
  • 0
Claus Hjorting

@Thomas

OCES er "Offentlige Certifikater til Elektronisk Service", og dermed det videnskabsministeriet har valgt at forstå ved en digital signatur. Ved at undlade at have NemID undgår du at PBS/DanID principielt set ejer din digitale identitet, og at den takket være deres elendige sikkerhedsmodel er nem at stjæle.

Det er da vist en mindre konstruktiv bemærkning...

Da OCES , som du skriver er statens bud på en digital signatur, så vil brugeren uden et OCES certifikat opleve, er at der ikke er adgang til offentlige tjenesteudbydere og i praksis nok ikke adgang til andet en de netbanker, som brugeren har.

OCES eller ej - PBS/DanID ejer ikke identiteten. De data, som DanID behandler, ejes enten af de banker, hvor brugeren har netbank eller af staten ved ITST.

  • 0
  • 0
Maxx Frøstrup

Jamen jeg har jo netop læst, set og forstået det koncept og den forklaring/beroling der ligger i den forklaring med at det ikke realistisk.

Mit problem ligger i at udtalesen og bekræftelsen af det KUN kommer fra folk jeg umiddelbart ser som at have en eller anden form af værdi/interresse i systemet, rent økonomisk faktisk. Og derfor ikke trænger igennem mit sølvpapir ;)

Min oprindelige plan var jo netop at følge tanken med IKKE at oprette et OCES certificat, før jeg kunne få det på fysisk medie, da jeg i så fald ville have en smule kontrol, eller i det mindste illusionen om det. Har faktisk meget mod min vilje endda oprettet Digital Signatur her i foråret netop for at følge denne plan (2 år til at lave fysisk medie).

Nu påpegede Thomas dog længere oppe:
Quote
Man skal være opmærksom på at "kun til banken" ikke findes, der kan altid tilkobles OCES uden brug af andet end CPR-nummer + kørekortnummer eller pasnummer.

Man kan så vælge at have et eller flere NemID'er, men de kan alle tilkobles OCES med ovenstående data
Quote

Hvilket jeg kan se jeg ikke har forstået ordenligt.
Det er tilpas urealistisk at nogen skulle "låne mit kørekort/pas" og koble det sammen med min NemID og oprette en OCES. Så kan jeg jo bare slappe af og følge min oprindelige hensigt.

Men nu hvor jeg sidder og kigger på din kommentar til Jesper, kan jeg se problematikken og årsagen til "nogen" er paranoide slet ikke er forstået.

Der er INGEN som ikke på en eller anden måde er involveret i NemID med en Politisk/Økonomisk interresse i at at projektet bliver udråbt som en succes (uden blind hensyn til effekten), der vil stille sig op og siger "Det sker bare IKKE".
(Den delmængde må vel hellere blive mere specifik:
Ansatte i banksektoren inkl forsikring og pension, den offentlige ledelse inkl. politikkere)

Jesper her snakker også fint udenom og dukker sig elegant.

Det kan ikke "bare" ske.
Nej, det tror jeg alle med en smule interresse i projektet ved.
vs.
Det sker bare ikke
Det er bare semantic, men der er forskel. Fordi nu snakker vi om tillid.
Det er lidt som:
"PET's database bliver ikke "bare" lækket til pressen."
VS.
"PET's database bliver bare ikke lækket til pressen."

Ingen vil påtage sig risikoen for at garantere at det virker, vi krydser bare fingre og håber.

Der mangler det der "expert/guru" tillids knudepunkt.

/Maxx (Den vist nok Anonyme)

  • 0
  • 0
Anonym

Claus Hjortng (FDIH?) & Jesper Lund Stockhom

Istedet for at tale udenom - hvad så med at forholde jer til til de faktiske problemer og den skade på samfundet som hele den ikke-interoperable nem-konstruktionen er udtryk for !!

Claus - hvem i alverden interesserer sig for hvem der legalt ejer nøglerne, når faktum er at de er centralt kontrollerede og dikterede. Hele modellen skævvrider markedsdannelsen og blokerer med sin one-size-fits-all tilgang for effektivisering af den offentlige sektor og innovation i det hele taget.

Du taler udenom ved at plukke spørgsmålet om hvem der ejer data ud af kontekst. Vi taler en SSO-model som kobler og skaber magten til at sammenkøre alting og dermed garantere at kontrollen ikke følger behovet. Vi taler spagettihardkodning af den værste og mest ineffektiviserende grad.

Siden hvornår er FDIH blevet af den opfattelse at et monopol som PBS bør tage ejerskab af alle medlemernes kunderelationer og diktere udviklingen?
Eller er det snarere bankkartellet som taler her?

Jesper
Den paranoide her er de destruktive planøkonomiske kræfter i centraladministrationen som ikke forstår eller har tiltro til det frie valg som drivkræft for samfundet. De er endda så paranoide at de udeom lovgivningen tildeler et monopol og hardkoder infrastrukturens knudepunkter på bekostning af velstand og velfærd.

Diskussionen om dokumentformater blegner i forhold til de grove og fastlåsende magtmekanismer som er i brug her. En ting er at der ikke er tale om åbne interoperable standarder på så kritiske områder som sikkerhed og identitet - en anden er at man groft misbruger kartelstandarderne i et setup som skader alle bortset fra gullashbaronerne og Sir Humprey.

Men måske er hovedproblemet er der er nogle få store teknologileverandører og infrastrukturspillere som er totalt ligeglade med konsekvenserne for samfundet så længe de kan profitere på kort sigt ?

Dansk innovation er i knæ og Danmark har været fanget i en lavvækstfælde i mange år. Koblingen til en stadigt dyrere og mere belastende offentlige sektor hænger tæt sammen hermed fordi det er det offentlige der fører an ned i blindgyden.

Jeg synes det er desideret pinligt at betragte hvordan de store grupperinger i samfundet hyler op om manglende vækst og velfærd samtidig med at de som medløbere stiltiende ser til at man på denne måde ødelægger infrastrukturen og kraftigt forværrer situationen.

Førend man sender teknologileverandørene i gang med de store konsulentopgaver, bør man først have rettet sigtekornene ind - det har man IKKE. Der er komplekse spørgsmål, men de løses ikke af at stikke hvoedet i sandet som strudse og lave gode miner til slet spil. Lorten på bordet - det andet virker ikke.

Det eneste som vil ske er at Danmark bliver fattigere og sikkerheden undermineres. Retsikkerheden blev ofret allerede da man indrettede udbuddet af hensyn og overgav sig til PBS og bankernes afpresning.

Stakkels Charlotte - hun aner ikke hvilket hvepsebo, hun har overtaget og fået pålagt af Finansministeriets planøkonomiske centralisering og justitsministeriets paranoia - 2 sider af samme destruktive tendens. Men som bekendt er prinsee(sse)n ikke stærkere end summen af vasalerne, dvs. situationen forværres kraftigt af medløberiet.

  • 0
  • 0
Jesper Louis Andersen

1) Juridisk: Der er ikke tale om en digital signatur ifølge EUs direktiver på området

2) Teknisk: Der er begået en række tekniske fejl som gør det umuligt for en borger at sikre sig fuldt ejerskab af den private nøgle. Altså: Andre kan potentielt set signere i dit navn uden at du har kontrol over det.

3) Økonomisk: Der er tale om et monopol fra DanIDs side og der ønskes formentlig at drive virksomhed via dette monopol.

4) Borgerens interesse: Der er ikke anvendt en gængs åben standard på området (hvoraf der findes flere). Det gør det umuligt at sikre (2) i ovenstående og er kraftigt medvirkende til at (3) kan bibeholdes.

  • 0
  • 0
Claus Hjorting

Maxx, jeg ved ikke, hvad du mener med "at det kan ikke bare ske" - hvis det er datasamkøring, så er det en fysisk umulighed. Det kræver en række interfaces, som ikke eksisterer - og det var det jeg nævnte ovenfor.

Er det, at NemID ikke kan misbruges ved, at en person får udstedt et NemID for en anden person? Så er der ingen der vil sige, at det aldrig vil ske, for det kan man ikke udelukke.

Stefan, det er ikke nogen hemmelighed, at vi ikke er enige (og jeg taler i øvrigt kun på egen vegne her og ikke for FDIH), men du skriver:

"Vi taler en SSO-model som kobler og skaber magten til at sammenkøre alting og dermed garantere at kontrollen ikke følger behovet. Vi taler spagettihardkodning af den værste og mest ineffektiviserende grad."

Jeg er ikke enig i, at NemID "skaber magten" til at sammenkøre alting. I det omfang at staten ønsker at sammenkøre alting, så kan den beslutte at gøre det. Det er ikke sket, og det sker næppe heller, men det har ikke ret meget at gøre med NemID.

Siden hvornår er FDIH blevet af den opfattelse at et monopol som PBS bør tage ejerskab af alle medlemernes kunderelationer og diktere udviklingen?
Eller er det snarere bankkartellet som taler her?

Det mener FDIH ikke, og det er heller ikke det der sker. Din relation til Skat, din læge og/eller din bank vil fortsætte helt uændret og DanID vil ingen indsigt have heri ligesom de heller ikke vil have indflydelse på din skattebetaling, din rentesats eller dine lægebesøg.

Endelig - og det var min pointe ovenfor - så er ejerskabet ikke hos PBS - det er hos staten. Den offentlige del af NemID eller dennes afløser kan om mindre end 5 år være udbudt af en helt anden udbyder (en kendt som IBM/CSC/KMD eller en ukendt), hvis staten synes at det er en bedre løsning.

  • 0
  • 0
Maxx Frøstrup

Det var nu dig selv der tidligere omskrev min bekymring til "at det kan ikke bare ske". Men skidt pyt.

Efter lidt tænke tid hvor jeg ikke sidder ved et tastatur begynder det at gå op for mig at grunden til jeg bliver bange faktisk er at der er ingen der griner.

Nu har jeg en lidt speciel form for humor som ikke alle lige fanger så lad mig lige pensle det ud:

Vi får nu denne her NemID / SSO / digital signatur, hvor det er hensigt teknisk om procesmæssigt at alle danskere kun skal bruge et login til stort set alt ude på det store web. Fin og smuk tanke.
Vi gemmer dog lige alle nøglerne/logins det samme sted. Fair nok. Vi diktere lige at det er os der bestemmer at du er dig, det har du sådan set ikke noget at gøre med (det er også meget lettere for dig). Hmmmm, ja okay. Er også glad for windows det virker hele tiden og hver gang næsten ligegyldigt hvor meget computer klap hat man er.

Det har debatten kørt på rigtig længe nu, men sådan er det bare, og det bliver ikke lavet om. Okay.

Jamen, det kunne da se genialt sjovt ud hvis nogen så lige lavede den der Mission Impossible, og hentede Statsministerens NemID :)

Se det er her hvor jeg lidt forventer folk skraldgriner af min sølvpapirshat, men det gør de ikke.

Men sider bare lidt og vrider sig i hænderne og kigger nervøst frem og tilbage.

Ja ja fair nok, det er politisk og renome på spil her så selvfølgelig er der da ingen der vil stille en garanti for det ikke sker.

Men det er da for gud skyld kun mig med min sølvpapirshat på der tror på det sker?

Det bliver endnu sjovere med kommentaren på den der messe og at vi håber på at kunne kæde telefon nummeret på (Iphone's lokations indsamlings politik og vejdirektoratets nye trafik i real time database).

Jo jo det er bare mig med hatten, men synes nu der er mange tegn der peger på jeg skal have en større hat.

Og egentlig er jeg da fløjtende ligeglad med hvem der har ejerskabet og brugsretten. Jeg bekymrer mig mere for hvem der har mulig adgang uden jeg ved det.

Hvis ikke det havde været for debatterne herinde havde jeg stadig fulgt min plan, med at skille tingene ad medmindre jeg fysisk gør noget for at sende informationerne.

Sidder lige og læser den der med at DanID vil ingen indsigt have.
Der var engang jeg havde et forsikringsselskab, en bank, en ejendomsmægler og en kreditforening.....
Nu har jeg en bank.
Alting er meget lettere, jeg snakker med min bank dame og vupti har jeg en indbosforsikring. Det samme da jeg købte ejendom. Snakkede med min bankdame, og vupti havde jeg et kreditforenings lån og en ejendom. Passer ikke helt, jeg skulle også lige forbi en advokat. Det rigtigt fede ved min bank er at jeg efterhånden har fået min bankrådgiver til at forstå at jeg nok skal spørge hvis jeg mangler noget, Hvilket betyder hun som den eneste i banken ikke prøver at få mig til at optage lån jeg ikke har råd til.

Men som du siger Claus mine relationer til skat, læge, bank, fagforening osv, vil forsætte helt uændret.

Gad vide om der søger bistandshjælp kan give sig sagbehandler lov til at indhente en konto oversigt ved banken, før skulle man i banken eller udskrive den fra netbank.
Gad vide om Skat selv bliver ansvarlig for at indhente bank oplysningerne nu? Dit Skat-id er jo også dit netbank-id....
Jeg mener der er jo samfundsmæssigt en økonomisk gevinst ved at lade en offentlig ansat bruge en arbejdstime på det i forhold til en bankfunktionær, jeg mener stadig at offentlig ansatte får lavere løn end dem fra det private erhvervs segment.

Der er bare så mange ting i det som ser helt forkert ud. Men alting er fjong, vi kører jo fint under storebælt nu og behøver slet ikke færger;)
Og der er da ingen der laver en mission imposible for en stak NemID'er.... Vel?

  • 0
  • 0
Claus Hjorting

Det var nu dig selv der tidligere omskrev min bekymring til "at det kan ikke bare ske". Men skidt pyt.

Ja, det ved jeg godt, men jeg vidste ikke, hvad DU mente den vending i 2. omgang. Og, nej jeg griner ikke, jeg kan sagtens følge dine bekymringer om alle de data, som lagres om os alle mulige steder (og Apples hjælpsomme sporing af Iphone brugere er blot den seneste), men for mig er det er ikke NemID problematik.

Og der er da ingen der laver en mission imposible for en stak NemID'er.... Vel?

Jo, det er der da givet nogen, der vil prøve. jeg tror bare ikke på, at det bliver et angreb på PBS/DanID's servere, men ad de "normale" kanaler d.v.s. typisk usikre PC'ere, misbrug af adgang til andres post og brugeres "udlån" af deres NemID. Ide scenarier er NemID bedre end den oprindelige digitale signatur og de fleste netbankløsninger men langt fra perfekt.

  • 0
  • 0
Anonym

Claus

Jeg ved ikke hvad du er uenig i eftersom du hverken argumenterer konstruktivt for eller meningsfuld imod.

jeg ved ikke, hvad du mener med "at det kan ikke bare ske" - hvis det er datasamkøring, så er det en fysisk umulighed. Det kræver en række interfaces, som ikke eksisterer - og det var det jeg nævnte ovenfor.

Du taler imod bedre vidende. Se Borger.dk, NemLogin, DokumentBoks etc. etc. Det er en stor registersamkøring hvor systemerne og databasernes køres sammen bag om ryggen på dig - NemId er bare one-key-to-rule-them-all. Kontrollen over registersamkøringen ligger IKKE hos dig og det sker bag om ryggen på dig uden valgmuligheder eller fleksibilitet.

Det er præcis derfor det gør Danmark fattigere. Istedet for at sikre at processerne tilpasser sig behovene, så tilpasser man borgerne til et primitivt bureaukratisk defineret billede af en standardborger. Det kaldes med et andet ord for planøkonomi og blokerer for samfundsudviklingen.

Det gør alverden til forskel at man tvinger ufleksible og usikre flaskehalse ind mellem dig og alle de services, du tilgår. Det tvinger dig ind i en verden hvor services sammenkøres udenom dig istedet for at du som slutkunde får styringen af processerne, så de tilpasser sig dine behov.

Personligt ser jeg ikke den store forskel om det er offentlige eller private enheder - de er fejldesignede og skadelige uanset hvem som ejer/bestyrer dem. Monopoler og særinteresser må aldrig få den magtposition som der er tale om - det garanterer en skævvridning af udviklingen. Der er INTET ved PKI som kræver at det sker - det skyldes blot teknisk fejldesign og mangel på erkendelsen at frit valg er kritisk for samfundsudviklingen.

Jeg kan generelt ikke se relevansen af dine øvrige kommentarer. Det fremstår som ren medløberi uden hverken argumenter for Nemid eller argumenter imod kritikken.

Der er f.eks. ret ligegyldigt hvem som legalt "ejer" dine private nøgler så længe det ikke er dig selv. Fred være med at du ikke kan gennemskue hverken de økonomiske eller tekniske sammenhænge, men du må da som jurist da i det mindste kunne se problemet ved at staten eksproprierer din suverænitet og sælger den til højstbydende.

Den diskussion som vi mangler er bl.a. juristernes erkendelse af at samtykke ikke løser problemerne, når alle systemer kollapses til et - hvad enten det skyldes statens registersamkøring, privates profilering eller kriiminel eller anden udnyttelse af f.eks. den manglende sikkerhed i cloud.

Problemet med Nemid er dels at det koncenterer magten over borgeren i en server uden for borgerens kontrol eller mulighed for at sikre nogen mod noget væsentligt. Dels - og meget vigtigere - at det blokerer for de løsninger vi faktisk har brug for at kunne komme videre i digitaliseringsprocessen.

NemId specifikt, men hele nem-konstruktionen generelt er et gigantisk tilbageskridt fra den åbne internet verden (hvor sikkerheden skal forbedres) tilbage mod 60ernes stive centralistiske mainfraimeforståelse af verden.

Statskonservative elsker den ligesom betonsocialister - men det er 2 sider af det samme problem som ikke erkender hvor megen skade, det gør.
Genopretningsplanen er vand ved siden af de tab som denne systematiske ødelæggelse af den åbne infrastruktur pålægger samfundet.

  • 0
  • 0
Jesper Lund Stocholm

Hej Stephan,

Istedet for at tale udenom - hvad så med at forholde jer til til de faktiske problemer og den skade på samfundet som hele den ikke-interoperable nem-konstruktionen er udtryk for !!

Jeg taler sådan set ikke udenom - jeg taler bare om noget andet end dig. Jeg er sådan set enig med dig i de principielle problemstillinger du fremlægger - men jeg er ikke enig i den "hvad-nu-hvis"-tankegang andre kobler på dine udtalelser. Udtalelser som vores anonyme vens ovenfor og tilsvarende tidligere i andre debatter, hvor der vist blev sagt, at med DanID-kontruktionen af NemID, så har titusindevis af mennesker adgang til min private nøgle, er ikke just borgende for en konstruktiv diskussion.

Der er åbenbart ikke nogen nedre lødighedsgrænse for udtalelser - blot de er imod NemID/DanID.

Jeg havde gerne set, at man havde taget en anden vej end den man tog i DanID, hvor man måske kunne tilbyde den nuværende NemID-løsning til "fårene" og IT-analfabeterne (kærligt ment) og givet mulighed for, at de af os, der trods alt kan stave til PKI, kunne få noget, hvor vi selv havde kontrol over den private nøgle.

Men den løsning man har valgt har jo givet en ekstremt stor penetration i markedet fra "dag 1", og alle danskere (med netbank) har nu en nem og ligetil måde at autentificere sig overfor det offentlige. Det kan kun betyde én ting - nemlig at flere tjenester bliver lagt (hurtigere) online, så der kan effektiviseres i den offentlige sektor.

Og til alle jer, der råber og skriger med hænderne i vejret - jeg synes at I skulle tage og etablere et alternativ til NemID, der opfylder jeres krav. Når så kontrakten med DanID udløber engang i fremtiden, så kan I tilbyde jeres løsning på lige fod med fremtidige udbydere. Det er tilsyneladende ikke raketvidenskab og efter jeres udsagn skulle "den rigtige løsning (tm)" være både nemmere at håndtere for alle, være billigere og være mere sikker.

Running code talks - bullshit walks.

  • 0
  • 0
Henrik Stig Jørgensen

Tillykke, Jesper; det er det første saglige/konstruktive indlæg fra dig jeg har set i NemID-debatten.

Jeg er helt enig i at argumenterne om at DanID-serverne kan hackes af udefrakommende er lettere tåbelige. Det skal her blot nævnes, at det var præcis samme retorik der blev brugt om den gamle digitale signatur. Jeg husker specielt et indslag i TV2-nyhederne hvor en "IT-sikkerhedsekspert" "beviste" at man ved at hacke sig ind på en persons computer og derefter uploade PKCS12-keystoren til sig selv samt installere en keylogger kunne få adgang til borgerens digitale signatur. Jovist, intet system er 100% sikkert! Meeen...

...og givet mulighed for, at de af os, der trods alt kan stave til PKI, kunne få noget, hvor vi selv havde kontrol over den private nøgle.

Enig. Det interessante ved dette er, at man ville kunne basere NemID på PKI, men ikke omvendt. Jeg kan sagtens se for mig en business-case hvor private virksomheder tilbyder at opbevare borgernes privatnøgle for dem. Sjovt nok tror jeg, at hvis folk havde valget ville de ikke vælge dette.

Men den løsning man har valgt har jo givet en ekstremt stor penetration i markedet fra "dag 1", og alle danskere (med netbank) har nu en nem og ligetil måde at autentificere sig overfor det offentlige.

Penetrationen er politisk bestemt - folk har ikke et reelt valg. Og argumentet om at NemID er nemt og ligetil (det skal vel angiveligt ses i forhold til et PKI-baseret system) mener jeg (og andre) er forkert.

DanID har argumenteret for at der er bedre sikkerhed i NemID end PKI da NemID bruger to-faktor sikkerhed. Men den ene faktor er en alvorlig fejlimplementation af PKI og må derfor ses som værende irrellevant.

DanID har ligeledes argumenteret for større brugervenlighed med det argument, at NemID ikke kræver installation af software på borgerens computer. Men et PKI-baseret system kræver heller ikke installation af software da understøttelse af mutual-auth TLS findes i stort set alle moderne browsere og mail-klienter. Endvidere kræver NemID eksekvering af en Java-applet, hvilket PKI ikke kræver. Denne Java-applet skal endda køre udenfor sandboxen - uden at der er nogen logisk grund til det - med andre ord så skal man give DanID fuld adgang til sin computer. Hvorfor?

  • 0
  • 0
Thomas Watts

Bankerne har dannet et kartel, som har stablet et eget firma på benene, som har lobbyeret sig frem til et monopol på indlogning til deres systemer, sammen med resten af statens i samme åndedrag.

At levere en lorteløsning som strider mod juridiske, sikkerhedsmæssige og markedspolitiske principper er nemt, når man er danmarks samlede banker og har en svag teknisk regering som "modspiller". Den luksus har vi andre desværre ikke...

Det er direkte latterligt at skyde på de folk der kritiserer det, Jesper. Din sidste kommentar er LANGT under niveau for dig. Der ER sgu blevet råbt op. Men der er ikke nogen der lytter!

"Tilbyde jeres egen løsning" ja godaw mand økseskaft. Til den tid? Hvad så i mellemtiden? Og hvad er det for en sammenslutning du forventer, vil kunne få magt nok til at vælte banmarks bankers monopol på en løsning, som over tid beklageligvis bliver mere og mere indarbejdet i systemet?

Jeg håber du lige havde opdaget at kaffen var blevet kold og at din hamster var dig utro, for det var sgu et mavesurt og malplaceret fejlskud, du der kom med...

  • 0
  • 0
Henrik Stig Jørgensen

Jesper,

Og til alle jer, der råber og skriger med hænderne i vejret - jeg synes at I skulle tage og etablere et alternativ til NemID, der opfylder jeres krav. Når så kontrakten med DanID udløber engang i fremtiden, så kan I tilbyde jeres løsning på lige fod med fremtidige udbydere. Det er tilsyneladende ikke raketvidenskab og efter jeres udsagn skulle "den rigtige løsning (tm)" være både nemmere at håndtere for alle, være billigere og være mere sikker.

Running code talks - bullshit walks.

Det er selvfølgelig en meget værdiladet og troll-agtig kommentar, men den adresserer faktisk et interressant aspekt;

Hvis man havde baseret digital signatur i Danmark på PKI kunne man have benyttet sig af den skov af off-the-shelf CA software der er på nettet; noget er endda fri software hvis det nu var et politisk krav at der var kode-transparens i systemet.

  • 0
  • 0
Jesper Lund Stocholm

Hej Henrik,

Tillykke, Jesper; det er det første saglige/konstruktive indlæg fra dig jeg har set i NemID-debatten.

Det måtte jo komme ;o)

Penetrationen er politisk bestemt - folk har ikke et reelt valg.

Helt korrekt - man har fra politisk side valgt, at man med et snuptag ville gøre alle netbank-kunder til "digital signatur-kunder".

Og argumentet om at NemID er nemt og ligetil (det skal vel angiveligt ses i forhold til et PKI-baseret system) mener jeg (og andre) er forkert.

Det er jeg ikke enig i. Jeg har som mange andre selv kæmpet med PK*-nøglefiler tidligere og installation af rodcertifikater og lignende fis i forskellige browsere og platforme (og jeg er klar over, at TDC gjorde det mere komplekst end nødvendigt). Jeg installerede NemID for et familiemedlem den anden dag, og det bliver altså ikke meget nemmere for hende end NemID. Indtast dit brugernavn, password og nøglen fra kortet. "Nemheden" har naturligvis en pris i forhold til de problemstillinger du og andre opstiller - men det er jo et valg, som man har taget.

Endvidere kræver NemID eksekvering af en Java-applet, hvilket PKI ikke kræver. Denne Java-applet skal endda køre udenfor sandboxen - uden at der er nogen logisk grund til det - med andre ord så skal man give DanID fuld adgang til sin computer. Hvorfor?

Det er et super godt spørgsmål. Jeg undrede mig selv over det, da jeg installerede NemID - er der nogen, der har anlyseret den applet, der indlæses? Har DanID talt om, hvorfor denne applet er nødvendig?

  • 0
  • 0
Anonym

Jesper Lund Stockholm skrev:

Jeg taler sådan set ikke udenom - jeg taler bare om noget andet end dig. Jeg er sådan set enig med dig i de principielle problemstillinger du fremlægger - men jeg er ikke enig i den "hvad-nu-hvis"-tankegang andre kobler på dine udtalelser.

Enig, der er megen frygt-retorik baseret på fejlantagelser.

Men tilsvarende næsten ingen af de "konstruktive diskussioner" som burde være der fordi de er så kritiske.

Folk som dig og Christian burde vide bedre, men agerer - som her - bare medløbere. I er et langt større problem fordi I tilhører kredsen i det institutionelle system som sanktionerer de skadelige tiltag. Hvis I og andre i det lag tog ansvar ville det aldrig være gået så galt.

Det er en katastrofe at man har overladt hele magten til planøkonomerne i centraladministrationen som kun varetager deres egne centrale styringsinteresser og finansierer de store overgreb ved at privatisere dem med skadelige magtmodeller i tilgift.

Men den løsning man har valgt har jo givet en ekstremt stor penetration i markedet fra "dag 1", og alle danskere (med netbank) har nu en nem og ligetil måde at autentificere sig overfor det offentlige. Det kan kun betyde én ting - nemlig at flere tjenester bliver lagt (hurtigere) online, så der kan effektiviseres i den offentlige sektor.

Sure, det er den officielle mantra. Bare mere - så løser det alting. Den har vi hørt før. Historien er fyldt med sammenbrud baseret på den samme opskrift.

Det er en falsk tissen-i-bukserne opfattelse - en gang planøkonomisk cherrypicking og forældet bureaukratideologi, hvor man påstår alle fordelene ved digitalisering men ignorerer alle omkostningerne ved de dårlige valg. It aint going to happen. Jo, alle danskere kan tvinges ind i den samme for lille uniform, men effektiviseringen vil udeblive.

Mere dårlig og fastlåsende digitalisering giver ikke effektivisering - det nagler os til gulvet og skader fornyelsesprocesserne overalt.

Vi skal IKKE autentificere i betydningen Identificere, hvorefter systemet vender sig rundt og fortæller dig hvad systemet tror du har brug for ved at slå dig op i alle mulige systemer. Det skaber fejl på fejl på fejl på fejl. Det er selve årsagen til at Danmark er på vej ned.

Istedet skal vi have systemer som tilpasser sig behovet, dvs. den konkrete profil med en lokal authenificering og åbne interfaces som sikrer at man kan modne nye løsnigner parallelt uden at skulle vente på næste Big Bang aftalt i nogle centrale kommiteer langt fra virkeligheden.

Modellen svarer til at alle patienter behandles for blindtarmsbetændelse fordi systemerne ikke evner eller ønsker at se forskel og økonomistyringen kun måler på hvor produktivt vi laver blindtarmsoperationer.

Målt isoleret via regnskaberne kan man producere en pokkers masse operationer "effektivt", men fakturm er at man producerer det forkerte forkert fordi ingen af patienterne er standardpatienter.

Og til alle jer, der råber og skriger med hænderne i vejret - jeg synes at I skulle tage og etablere et alternativ til NemID, der opfylder jeres krav. Når så kontrakten med DanID udløber engang i fremtiden, så kan I tilbyde jeres løsning på lige fod med fremtidige udbydere.

Der er mange som har den falske opfattelse at problemerne løses af at flytte den private nøgle klient-side. Men det er en illusion.

Det store problem er at der ikke kommer et alternativ fordi det umuliggøres nu.

Når man er færdig med at ødelægge alle system interfaces og hele applikationsarkitekturen til den forældede perimetertankegang og at man skal bruge den digitale signatur alle vegne og navnlig til SSO og online, så er systemerne hardkodet og vi har forspildt hele digitalsiering til at tage gigantskridt baglæns.

NemId er ikke "Digital Signatur 2.0", snarere en kraftig tilbagegang til en version 0.2 - hele modellen støbt omkring centrale og totalt ufleksible gatekeepere ødelægger chancen for at vi inden for nogen overskuelig fremtid ændrer tendensen mod en stadigt mere ineffektiv offentlige sektor.

Faktum er at vi spilder en millard til PBS, 10 mia til at ødelægge infrastrukturen og it-systemerne og 100+ millarder på stadigt mere ineffektive processer. I løbet af få år vil det årlige tab grundet mere ineffektive processer være større end hele genopretningsplanen.

Og samtidig har man givet PBS og bankerne magt til at påtvinge det samme destruktive skidt på resten af samfundsøkonomien så man eksporterer den offentlige ssektors dårligdomme til den private sektor.

Hvad vi har er et centralbureaukrati med FInansministeriet i spidsen som gør os fattige og samtidig ødelægger vores evne til at finansiere en stadigt tungere og dårligere offentlig sektor.

Og det er før vi ser på at sikkerheden og navnlig retssikkerheden i hele setuppet er totalt fraværende. Som simpelt eksempel er nem-konstruktionen desideret anti-cloud - det er meningsløst at forsøge at sikre clud i cloud og nem fjerner al sikkerhed.

Gullashbaronerne er øjensynligt ligeglade - hellere en større andel nu af en stadigt mindre og mere ustabil lagkage end en større lagkage hvor alle kan innovere og nye it-tiltag få rum til at udvikle sig i morgen.

Medløberiet er gode miner til slet spil - en art systemkorruption, hvor man misbruger skatteydernes penge imod deres og hele samfundets interesser fordi nogle få suboptimerer.

Sikkerhed og navnlig identitet er det mest kritiske af al kritisk infrastruktur - og Danmark er i færd med at ødelægge infrastrukturen og blokerer for fremtiden.

Beklager - mange tror at løbet er kørt og nu må vi bare få det bedste ud af det frem til næste gang. Men der bliver ikke en næste gang og folk har slet ikke overblik over hvor skadelige de aktuelle tiltag er. Det bliver til en slagt - if in trouble, then double.

Dem som ignorerer det og burde vide bedre er langt værre end dem som reagerer af frygt for en åbenlyst fejldesignet magtmodel ud fra scenarier som ikke er reelle.

Hele nem-konstruktionen er ødelæggende for samfundsøkonomien. I stedet for at udnerstøtte en konsturktiv samfundsudvikling, så ødelægger man markedsdannelsen. Og de ansvarlige lukker øjnene.

  • 0
  • 0
Jesper Lund Stocholm

Hej Thomas,

Det er direkte latterligt at skyde på de folk der kritiserer det, Jesper. Din sidste kommentar er LANGT under niveau for dig. Der ER sgu blevet råbt op. Men der er ikke nogen der lytter!

Men kære ven - sådan virker verden. Det nytter ikke en skid at sidde og hælde vand ud af ørene på Version2s debatforum [0]. Det batter derimod at lette røven fra kontorstolen og komme ud til dem, der tager beslutningerne. Tro mig - det er en lære jeg har selv har gjort ifht dokumentformater.

Hvis du vil ændre noget, så gør noget. At bruge sin energi herinde er ren "slacktivism" og at tro at det virkeligt nytter med al jeres "hand-waving" er naivt. Det eneste, der virkeligt nytter noget, er at tilbyde et troværdigt alternativ, der matcher DanIDs setup punkt for punkt.

Hvis jeg må drage en parallel til debatten om dokumentformater, så var forholdet imellem "imod" og "for" vel 100:1 eller lignende. Men det, der gjorde en forskel er ikke debatindlæg på version2 eller Computerworld. De hjælper lidt til, bevares, men den virkelige indflydelse får du, når du sætter dig ned ved samme bord som de, der tager beslutningerne. Snakker med dem. Lytter til dem. Svarer på deres spørgsmål. Hjælper dem med forståelsen af problemstillingen.

"Get the fuck out of your mom's basement" og gør noget (billedligt talt, naturligvis) :o).

Så min kommentar er spot-on: Så længe energien bliver brugt herinde og ikke på at skabe et reelt alternativ til DanID på benene, så længe agerer politikerne som de gør ... og det kan man ærligt talt ikke klandre dem.

[0] En undtagelse er i øvrigt Stephan Engberg hvis utrættelige kamp ser ud til (endelig) at resultere i, at han er blevet hørt.

  • 0
  • 0
Thomas Watts

Jeg har nu faktisk personligt været til stort set samtlige infomøder med IT og Telestyrelsen og DanID om emnet, hvor jeg og mange andre har stillet kritiske spørgsmål og prøvet at rokke ved de folk, der har fået carte blanche til at lave rav i den. Og jeg var ikke alene... der er faktisk en del, der ikke kun er forumkrigere, men også kæmper i den virkelige verden.

Der ER blevet tilbudt troværdige alternativer - en del af dem stort set gratis. Men igen - der bliver ikke lyttet, for man står her overfor bankerne og staten i et uhelligt samarbejde.

Der ER blevet påvirket nok i offentlige debatter og på dette forum til, at der er stillet kritiske ministerspørgsmål.

Lige lidt har det hjulpet. I denne omgang(?).

Nogle gange opfører verden sig ikke som den burde - ok fair nok - sådan er det. Men derfra til at nærme sig at sige, at folk herinde er delvist medskyldige i miseren ved ikke at have gjort noget konkret, det er sgu hverken korrekt eller ordentlig debattone.

At det lyder pænt nedladende på samme tid á la "I er alle en flok verdensfjerne nørder der ikke forstår hvordan virkeligheden opfører sig" gør altså ikke dit indlæg mere spiseligt...

Nå nok om det :) jeg fik bare kaffen (varm og god, selvbrygget på arbejde) lidt i den gale hals over dit indlæg, for jeg synes sgu, folk med hovedet skruet rigtigt på har gjort, hvad de kunne for at bekæmpe NemID...

Denne sag er noget værre møg. Hvis nogen anden end en bankmand, en minister eller en ansat hos DanID siger noget andet, ved vedkommende ikke en fis om sikkerhed. Det er vi jo vist heller ikke uenige om.

Fornuften og sikkerheden har tabt første runde med at forsøge at påvirke den mastodont eller de politikere, der fik lov at køre det her i stilling. Nu må vi så se, hvad der kan gøres videre - det bliver virkelig ikke nemt at ændre så tung og misforstået en løsning (især ikke når den sælges på "jamen det er jo nemt!"), men som Stephan så rigtigt siger - der gives næppe en ny chance her, hvis NemID får lov at bundfælde sig.

  • 0
  • 0
Thomas Alexander Frederiksen

Til de der siger "ingen har mit kørekortnummer og personnummer samtidig", så tænk over om i nogensinde har lejet en bil i Danmark. Er svaret ja, så er jeres personlige data - Navn, adresse, telefonnummer, personnummer, kørekortnummer og muligvis pasnummer (leje i udlandet gennem dansk agent) - allerede samlet i fine databaser hos de enkelte udlejere. Der er sikkert andre eksempler (flyselskaber?).

  • 0
  • 0
Jesper Lund Stocholm

Hej Thomas,

Der ER blevet tilbudt troværdige alternativer - en del af dem stort set gratis. Men igen - der bliver ikke lyttet, for man står her overfor bankerne og staten i et uhelligt samarbejde.

Hvor er beskrivelserne af disse alternativer? Indeholder de beskrivelser af support-aftaler, hotlines til gamle fru hansen? Er er TCO analyser? Er der beskrivelser af omkostninger ved opstart? Krav til hardware på klienter? Installationsvejledninger for borgerne?

Det nytter jo ikke noget, at man blot siger til Ministeren: "Slå PKI op på Wikipedia." Der skal et reelt, gennemtænkt, udarbejdet forslag på bordet.

Nogle gange opfører verden sig ikke som den burde - ok fair nok - sådan er det. Men derfra til at nærme sig at sige, at folk herinde er delvist medskyldige i miseren ved ikke at have gjort noget konkret, det er sgu hverken korrekt eller ordentlig debattone.

Jeg siger ikke, at nogen er medskyldige - jeg siger blot, at vil man ændre noget, skal man bruge sin energi rigtigt på på den rigtige måde. Informationsmøder med ITST er imo ikke den mest optimale - man skal have fat i dem INDEN informationsmødet.

Det kaldes også lobbyisme - og det kræver en målrettet og dedikeret in-person indsats.

  • 0
  • 0
Thomas Watts

Ja ok... det her kommer til at lyde lidt irritabelt, men...

Du siger bare til, når du har samlet den gruppe eksperter, der pro bono (ikke for U2s skyld, altså) har tiden og ressourcerne til at oprette gigantprojekter med projektbeskrivelse, datamodeller, SLAer, som modtræk mod noget, der reelt er vedtaget... og nej, open source communitiet er ikke helt nok. Åh ja og de skal også have leverandører i tale, som skal bruge tid og ressourcer på et projekt, som med 99.99999% sikkerhed er dømt til at mislykkes, når man ikke kan få beslutningstagerne i tale.

Det er for billigt at sige, at man "bare" skal kridte skoene og selv komme med noget konkret.

Lobbyisme har der skam været fra en del af os, og det har jo bl.a. givet sig til udtryk i spørgerunder i folketinget, men vi er kommet for sent igennem til dem, og budskabet er der ikke nogen, der ønsker at høre.

Not for lack of trying...

  • 0
  • 0
Claus Wøbbe

I mine øjne er det største problem her statens fuldkomne adgang til enhver borgers oplysninger - med eller uden vedkommendes accept eller vidende.

Det er ikke mange år siden vi havde DDR som nabo-land, hvor staten overvågede folk på systematisk vis. En sådan situation er vi langt fra i Danmark... men forestil jer at Soc. Dem, Socialistisk folkeparti og Enhedslisten danner ny regering næste gang! Så sidder der altså folk i Statsadministrationen, der har ageret direkte positivt og støttende til regimer som f.eks. DDR. Hvad kan en sådan socialistik regering finde på af tiltag, der kan udnytte oplysninger om folk?

Jeg er normalt ikke maskinstormer, men en sådan centralisering gør mig særdeles utryg. Den er ikke et problem under en rimeligt demokratisk tænkende regering, men sådanne regeringer kan hurtigt skifte til mere ekstreme slags.

  • 0
  • 0
Jesper Lund Stocholm

Hej Thomas,

Du siger bare til, når du har samlet den gruppe eksperter, der pro bono (ikke for U2s skyld, altså) har tiden og ressourcerne til at oprette gigantprojekter med projektbeskrivelse, datamodeller, SLAer, som modtræk mod noget, der reelt er vedtaget... og nej, open source communitiet er ikke helt nok. Åh ja og de skal også have leverandører i tale, som skal bruge tid og ressourcer på et projekt, som med 99.99999% sikkerhed er dømt til at mislykkes, når man ikke kan få beslutningstagerne i tale.

Would you like some cheese with that whine?

Hvis man vil levere et alternativ, så koster det resourcer at stable det på benene. Big deal.

http://www.version2.dk/artikel/4926-edb-gruppen-dropper-digital-signatur...

Hvis det eneste alternativ du kan komme på ikke indeholder andet end "Brug PKI - det bliver super nice", så bliver resultatet nok derefter.

  • 0
  • 0
Maxx Frøstrup

Jeg er simpelthen ikke kompetent nok til at indgå i et samarbejde om at lave en bedre løsning.
Jeg har bare tvangs forvist paranoid bruger af systemet.

Jeg kan godt se systemet måske ikke lige er genialt lavet, det har nogle huller, men det er nemt. (nemt koster...)

Jeg har ingen realistisk chance for at ændre på det faktum at jeg hopper i NemID kassen med det her. Ligesom jeg skal til at holde øje med at jeg fik hobbyknivene op af lommen og ud af bilen inden jeg tager hjem.
Det er lidt tåbeligt, men jeg gør det bare ellers risikere jeg at få et uoverskueligt problem senere.

Jeg synes at se mange fine læsninger på hele setuppet med NemID og jeg vil sige at jeg var noget negativ da min mor skulle på digital signatur og fik udleveret en mini-cd med nøglen på til formålet.

Jeg forstår simpelthen ikke hvorfor denne egentlig geniale og relativt sikre løsning ikke er gennemført, jeg kan jo se andre steder at en lille usb-kort nøgle der er tamperproof kan findes og kan bruges, og den koster nogenlunde det samme som papkortet.

Men jeg antager lidt det er noget over på Sjælland der blokere, noget med nogle mennesker der holder op med at lytte når ordet borger kort bliver nævnt.

Under alle omstændigheder er jeg som bruger bare nødt til at indfinde mig, medmindre jeg stiller op til valg og det sker ikke.

Jeg ved da også at mavesure opstød på et forum ingen forskel gør, eller ihvertfald næsten ingen forskel gør. Der er da ingen beslutnings tager med respekt for sig selv der læser så meget skrammel, det har de sgutte tid til.

Jeg skriver og læser herinde udelukkende for at se hvilke handlinger jeg selv kan gøre for at få lortet til at virke optimalt til de systemer jeg har valgt at bruge, så mest af alt bare som et support forum. Og det gælder jo ikke kun NemID, men faktisk alle systemer. For når alt kommer til alt, så har jeg ikke tid til at finde en bedre løsning, så jeg gør hvad der virker. Og det er sgu egentlig holdningen over alt hvor jeg kommer. Der er den rigtige måde at gøre tingene på, men vi gør sådan her og retter ind når/hvis det bliver nødvendigt. Vi blander os egentlig ikke i beslutningsproccessen.

Nu vil jeg tilbage til at fixe noget mail også ellers se om ikke nogen andre har fået rykket nogle grænser når tiden bliver til at jeg SKAL have NemID så jeg kan få mit kort så jeg selv kan styre hvad jeg laver. Naivt, tjaaaa. Jeg har let til at omdele tillid. Også til dem der ikke fortjener den.

  • 0
  • 0
Thomas Watts

Må man ikke brokke sig over en beslutning der er truffet uden man har ringeste mulighed for at påvirke den, selvom mange prøvede, synes du?

Ja det med udbuddet er hvad jeg mener - der er stillet et projekt op politisk på forhånd, som selv ikke store spillere kunne finde en måde der gav mening at byde ind mod. Jeg sidder inden for systemet (og har været på leverandørsiden før) og kender alt til projekter, der har et klart mål og ønsket leverandør fra første færd.

Folk HAR været på banen, Jesper. Med projektforsøg og lobbyisme. Men man er her oppe imod en løsning der alle dage var bestemt på forhånd. Jeg fristes til at spørge, om DU ved, hvad det koster at stable sådan et projekt på benene, når du synes det er oste-egnet at sige, at det ikke er noget, man sådan lige gør, hvis resultatet er givet på forhånd...

Jeg forstår ærligt talt ikke, at du synes det er piveri at gøre opmærksom på, at fornuften havde tabt, før første slag var slået, og at den organisering der ville skulle til for at besejre bankerne og staten i fællesskab, på ingen måde er at finde i DKs rammer for nuværende.

Det er en provokerende og dybt irriterende måde at kommunikere på om noget, som påvirker os alle, og som en del har gjort hvad de nu engang kunne for at modvirke.

  • 0
  • 0
Henrik Stig Jørgensen

Jesper,

Det var rart at se dig tage stilling til kritikken og argumentere fornuftigt. Resten af dine indlæg bærer dog (igen) præg af et yderst demagogisk forsøg på at afspore debatten.

Dine forsøg på at afvise enhver kritik med: "Har du et fuldt implementeret, gennemtestet og dokumenteret alternativ?" er ligeså tåbelige, som clairvoyanten der overfor videnskabsmanden siger "Kan du bevise at jeg IKKE taler med de døde?"

Denne omvendte bevisbyrde dukker ofte op i debatter med religøse, hvorfor skeptikere er meget opmærksomme på disse modargumenter, men bør altså ikke høre hjemme i IT-faglige debatter.

Jeg er i øvrigt ganske overbevist om, at hvis nogen stillede med et fuldt implementeret alternativ til NemID ville du straks erklære dem inhabile, da de således var interessenter.

  • 0
  • 0
Thomas Watts

Apropos forumkrigere... det her kommer vi jo ingen vegne med :D

Jeg savner, at bedre folk end jeg giver svar på 3 spørgsmål (navn, mission og yndlingsfarve):

1) Hvad gør man nu som (seriøs) skeptiker? Der MÅ være en måde at få netbank på uden at koble sig på NemID - i DK eller via en internetbaseret bank? Der er sgu en grund til, at netbanken blev opfundet - det ER en god idé, og een, der er forbandet svær at leve uden i dagens tempo.

2) HVIS man ikke har en chance for at undgå det skidt, hvordan sikrer man sig så bedst muligt økonomisk, persondata-mæssigt samt juridisk?

3) Hvad så nu? Vi har fået et system, som de fleste med indsigt er enige i, er noget makværk på stort set alle de områder der omhandler fri konkurrence, sikekrhed og borgernes ejerskab af data. Hvad kunne være en vej frem for at påvirke det nu eksisterende eller erstatte det med noget bedre?

  • 0
  • 0
Jesper Lund Stocholm

Hej Henrik,

Dine forsøg på at afvise enhver kritik med: "Har du et fuldt implementeret, gennemtestet og dokumenteret alternativ?" er ligeså tåbelige, som clairvoyanten der overfor videnskabsmanden siger "Kan du bevise at jeg IKKE taler med de døde?"

Nope - jeg prøver (og det har måske været på den forkerte måde) at udfordre tankegange som "jeg vil kunne bruge PGP til at tilgå min bank" eller "Hvis vi bare bruger PKI (hvordan det så end defineres), så er alt godt igen.

Derer imo to facetter i denne debat:

  1. Er DanIDs setup "sikkert nok"?
  2. Stephans vinkler om definering af åbne interfaces

De to ting blandes sammen i jeres råben men har reelt ikke noget med hinanden at gøre (udover at DanIDs setup ikke just kan siges at leve op til Stephans krav).

Ad 1) Jeg er overbevist om at det nok skal gå med DanIDs sikkerhedsmæssige setup (og de kritiserede angrebsvinkler) - og hvis jeg tager fejl giver jeg øl til alle, der møder op :o)

Ad 2) Jeg er helt enig med Stephan i, at den implicitte monopoldannelse i DanID er uheldig (for nu at sige det mildt)

Jeg er i øvrigt ganske overbevist om, at hvis nogen stillede med et fuldt implementeret alternativ til NemID ville du straks erklære dem inhabile, da de således var interessenter.

Stigmatisering er en lækker ting :o)

  • 0
  • 0
Thomas Watts

Jeg er ikke helt enig i din destilleren af problematikkerne...

Hvis jeg skulle koge det ned, ville det være:

  1. Sikkerhed
  2. Principper for ejerskab af data
  3. Fri konkurrence/valgmuligheder
  4. Fremtidig mulighed for at forandre løsningen (ny leverandør/teknologi)

Al sikkerhed kan kompromitteres, hvis systemet også skal kunne fungere i dagligt brug. Derfor handler det ikke kun om "godt nok" inden for sikkerhed, men om hvordan man har oprettet løsningen ift. de data, der potentielt kan opnås samlet adgang til hvis den kompromitteres.

Samtidig er det væsentligt at sikre konkurrence, så der er incitament til forbedring, og så brugerne får reelle valgmuligheder.

Slutteligt skal man passe på med at lave et vendor lock-in ved at binde data og arbejdsprocesser (og tilkoblede systemer) så hårdt til én løsning, at det reelt er stort set umuligt pga. pris og kompleksitet at ændre dette, uanset om man gerne ville i fremtiden (se Kommunerne Vs KMD for denne form for problematik...).

Når jeg ser på den liste, ser jeg INGEN af punkterne overholdt af NemID.

...og jeg er enig i den kommentar der sagde, at det mest skræmmende er, at stort set ingen griner ad dem med sølvpapirshattene i denne sag...

  • 0
  • 0
Morten Andersen

Hvem har besluttet hvordan den nuværende løsning skal være - papkort, nøgler på serveren osv. Er det Folketinget, ministeriet, IT&T, DanID eller? Det er jo relevant at vide om dette har været indeholdt som krav i udbudet eller om det er noget leverandøren har fundet på.

  • 0
  • 0
Henrik Stig Jørgensen

Nope - jeg prøver (og det har måske været på den forkerte måde) at udfordre tankegange som "jeg vil kunne bruge PGP til at tilgå min bank" eller "Hvis vi bare bruger PKI (hvordan det så end defineres), så er alt godt igen.

OK, godt så. Når jeg har kritiseret NemID for ikke at være baseret på PKI er det ikke fordi jeg mener at alt er godt hvis bare vi bruger PKI. Først og fremmest går min kritik på at det er et krav i OCES (samt i Lov om elektroniske signaturer) at digital signatur i Danmark baseres på PKI. Dermed lever NemID ikke op kravene/loven. Men jeg er derudover helt enig i at PKI ikke er nok i sig selv;

Vi skal have en infrastruktur der ikke kræver tvungen identificering ved hver transaktion og dermed tvungen udveksling af personhenførbare informationer, men et system der tillader implicit, kontekstafhængig trust gennem afledte nøgler. PKI er blot fundamentet.

Som du selv påpeger er NemID fundamentalt inkompatibelt med Stephans krav, hvorfor det ikke rigtig giver mening at dele diskussionen op mellem de to da en stillingtagen til det ene afføder stillingtagen til det andet.

Man kan selvfølgelig diskutere om det vigtigste er at udforme ønskerne til et ideelt system eller at påpege svaghederne ved det eksisterende. Men uanset hvad må udgangspunktet være at få skabt en infrastruktur baseret på PKI. Dette kræver afskaffelse af NemID.

  • 0
  • 0
Michael Mortensen

Der er INTET nemt ved den nye påtvungne "NemID" løsning, og jeg kan blive eder rasende over, at man har valgt sådan en løsning når der nu er alternativer der virker upåklageligt.

Min bedre halvdel har været så uheldig kun at blive tilbudt en "NemID", hvor jeg så forleden dag skulle logge på første gang for hende (hjælp), hvor man bliver bedt om at indtaste det ID som er nævnt i det brev man har fået fra DanID ELLER banken. Det havde hun så ikke fået, hvorfor vi kigger i hjælpen, hvor der angives, at det KAN være ens CPR-nummer. Jeg prøver så sidstnævnte, for så at blive mødt af en "udløbet" dialog. Det er så fair nok - jeg rider ikke nødvendigvis samme dag som jeg sadler, så den kan jeg godt tage på mig.

Nu kommer nr. to så i rækken af uhensigtsmæssigheder; min bedre halvdel skal have sendt en ny midl. kode. Yes sir. Det bør jo være så simpelt som et tryk på et link - bah! Nu mødes vi af der er sket en fejl. Nørd som jeg er, prøver jeg så på IE (det er jo før set, at offentlige løsninger kun kan køre på IE) og FireFox - samme resultat! Narj, de har en døgnåben service?! Succes! Jeg ringer da bare og forklare min frustration til dem?! Nej. Her er da en masse crap automatik som gør, at man skal trykke 1 hvis man vil båndes .. det vælger jeg ikke at gøre, hvorved intet sker. Jeg lægger på, ringer op igen, og trykker nu 1 for, at de må optage min sprøde stemme. Nu kommer jeg så videre, og bliver tilbudt de kan ringe op hvis jeg ikke gider sidde i telefonkø. Fin service. Jeg vælger ja tak, og får herved at vide, at jeg er nr. 17 i kø om aften. Nu er jeg ikke kendt for min tålmodighed, så jeg vælger at vente på deres oprigning, som her små 7 dage efter stadig ikke har manifisteret sig.

Så hvad er min dom? Ja, altså ud over man pludselig skal have noget så analogt som et papkort liggende i sin lomme/pung/skraldespand/scannet ind eller hvor folk nu får forlagt sådan noget lort, ja, så fungere det basale i løsningen bare ikke. Det er bare ikke i orden!

Det er min forhåbning, at dette projekt skrottes, og man finder noget tidsvarende som rent faktisk virker!

Mine sure 25-øre til dette forfejlet projekt.

Og dog .. lige en slut bemærkning: DET ER DA HELT SINDSYGT, AT HVIS VIRKSOMHEDER VIL BRUGE "NEMID", SÅ SKAL DE BETALTE 3-4 KRONER PR. LOGIN - DAMN!

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize