NemID-token forsinket til efter sommerferien

Som jeg læser det, er det kun en erstatning for papkortet. Min private nøgle ville i givet fald forsat ligge på deres maskiner.

Selv om den ikke ligger paa deres server, er det stadig dem der har genereret din private noegle.

Selv om den ikke ligger paa deres server, er det stadig dem der har genereret din private noegle.

Det behøver da ikke være tilfældet. Man kan jo sagtens generere den private nøgle selv. Og gemme den selv. Det er li'som grundideen. Det er temmelig farligt hvis du begynder at tro på at myndighederne har den eneste løsning på problemet ;)

Hvor skriver jeg mig op til en af disse tokens?

Hvis nøglen genereres på ens egen maskine kan den opsnappes af malware.

@Erik

Og hvis alle nøgler, brugernavne, passwords mv. ligger på den samme server, skal man kun opnå adgang til én maskine for at få adgang til NemID for hele Danmarks befolkning.

Er det bedre?

Hvis nøglen genereres på ens egen maskine kan den opsnappes af malware.

Korrekt. Men er det bedre at at ligger samlet et enkelt sted?

Blev der derimod brugt et krypto-nøgekort som indeholder nøgle, men ikke kan udlæse det ville det begynde at ligne noget.

Når det kommer, hopper jeg med på NemID

Nu skal den private nøgle jo heller ikke nødvendigvis genereres på din PC, men kunne genereres i en ekstern dims, tamperproof osv, hvor du selv kunne vælge producent og hvor du vil købe den. Men ja, et eller andet sted i processen skal vi stole på noget.

Hvis man har et system som SMS PASSCODE, hvor nøglen ikke eksisterer før login sessionen (er ikke pre-kalkuleret som det er tilfældet med tokens og papkort), så er man ikke udsat for at nøglen kan stjæles/kompromiteres til senere brug. En real-tids nøgle er en nøgle, der genereres på baggrund af den specifikke login session og eksisterer kun for det login forsæg.

Token teknologien er 20+ år gammel og IT verdenen og hacker miljøet har bevæget sig rigtig meget i den periode, så det er naturligt, at der er press på teknologien.

Lars Nielsen
SMS PASSCODE.

Hvis man har et system som SMS PASSCODE [...]

Sikkert fint til login, men nu har vi brug for en digital signatur..

Hej Erik,

Hvis nøglen genereres på ens egen maskine kan den opsnappes af malware.

Som jeg forstår setup af NemID (og Java applet), så genereres den private nøgle netop på den lokale PC i applet'en.

Nu har jeg ikke rigtigt fulgt med, men hvilken slags token taler vi egentligt om?

Taler vi bare om et elektronisk papkort ala RSA's SecureID, eller taler vi om en rigtig løsning hvor man med et uafhængigt, noget man har, tamper-proof-agtigt authentifikerer større del af transaktionen?

Et RSA SecureID-agtigt token føler jeg ikke giver mig nogle fordele, men hvis nu jeg kunne garantere at mit engangskodeord kun blev brugt til at overføre et bestem beløb eller til en bestemt modtager, så ville der måske være noget ved det.

Som jeg forstår setup af NemID (og Java applet), så genereres den private nøgle netop på den lokale PC i applet'en.

Og hvor gemmes den?

Hvis nøglen genereres på ens egen maskine kan den opsnappes af malware.

Hold your horses.. Hvis det skal give mening, skal der være tale om et tamper-proof hardware device, f.eks. med USB interface, som genererer nøglen på enheden og hvor den kryptografiske operation som udgør din digitale underskrift foregår på hardware enheden (og ikke på en eller anden server i Ballerup). Nøglen skal ikke kunne læses fra hardware enheden.

Efter sommerferien bliver vi vel klogere på hvad DanID har tænkt sig at lave.

Hej Jesper,

Og hvor gemmes den?

DanIDs servere.

Men er højst sandsynlig et yderlig tilbud.

Har læst et sted at NemID SKAL tilbyde en GRATIS NemID login mulighed.
Men NemID må gerne tilbyde andre NemID login enheder som de må tage penge for. Så token og apps med mere kommer nok til at koste at bruge. Og jo mere besværligt de gør det at bruge papkort jo flere penge får de i kassen.

Som jeg forstår det, genereres den private nøgle som bruges til login på offentlige hjemmesider, sikker mail osv. på Danid's server og opbevares altid her. Bankdelen fungerer på en anden måde, og benytter ikke denne "centrale" nøgle (idet du jo kan fravælge at få en sådan og stadig kan bruge bankdelen), men en anden mekanisme også baseret på engangskode.

DanIDs servere.

Hvilken betydning har det så hvor den er genereret, når brugeren aldrig får mulighed for at ligge inde med den?

Helt ærligt, er der nogen der tror at DanID kommer med andet end en RSA Secure token dimmer?

Tamper-proof nøgle generator, come-on.
Den her token er til masserne, den har ikke noget med bedre sikkerhed, eller funktions udvidelse at gøre. Hvis det skulle være tilfældet bliver jeg ihvertfald extremt overrasket.

Forretningsmodellen er jo ligeud af landevejen.
Nu er kunderne kommet i hus, nu skal der tjenes penge.
Folk er gadget syge, derfor giv dem en gadget i stedet for pappet. Det er jo extra super at B.T. og Extra Bladet kun kan skrige på hvor himmelrådende umorderne og upratisk et papkort er. Uden hensyn til hvorfor det er der. Gratis markedsføring.

Jeg satser på at en token kommer til at koste enten 249,- eller 99,- jeg er lidt ude af trit med hvad bagatelgrænserne er idag. Men de bliver ihvertfald solgt til en pris hvor folk ikke tænker meget over at de smider penge efter noget de egentlig allerede har gratis. Plus en gadget giver status af firstmover.....

Lur mig om ikke det bare er en papkort erstatning, sikkert et noget smartede design end Andens lommeregner, ved ikke lige hvilket fjols der langede dem over disken.

Kommer lige til at tænke på hvad folk regner med levetiden på en token er?
500 koder?
1000 koder, 1 million?
En må absolut ikke være nok, spørgsmålet ligger dog nok mere i hvornår næste version af NemID skal rulles ud...

Hej Jesper,

Hvilken betydning har det så hvor den er genereret, når brugeren aldrig får mulighed for at ligge inde med den?

Det forholder jeg mig ikke til.

@Jesper

Jeg kan kun se en fordel ved det og det er, at dit password til nøglen kun er på den lokale PC og aldrig kommer ind til DanID.

Men jeg ved ikke om det forgår sådanne ?

Hej Mikkel,

Men jeg ved ikke om det forgår sådanne ?

Næeh - og det gør vist kun DanID.

Min opfattelse af systemet er følgende:

1. Den private nøgle dannes af applet på den lokale PC
2. Den private nøgle krypteres med brugerens password og sendes til DanID, hvor den opbevares i krypteret form.
3. Ved ex signatur/dekryptering sendes den krypterede private nøgle til brugerens PC/applet, hvor den låses op af brugerens password og benyttes.

Dermed kommer nøgle aldrig til DanIDs kendskab i "rå" form og brugerens password kendes kun af brugeren.

Jeg kan kun se en fordel ved det og det er, at dit password til nøglen kun er på den lokale PC og aldrig kommer ind til DanID.

Du kan få et nyt password til din nøgle, så jeg kan ikke rigtigt se hvorfor genereringen skal foregå hos brugeren.

Dermed kommer nøgle aldrig til DanIDs kendskab i "rå" form og brugerens password kendes kun af brugeren.

Du kan få nyt password til din nøgle, så password'et har intet med nøglen at gøre.

I Folketingets spørgerunde kom det frem at DanID kan benytte sig at nøgleparret uden brugerens password, såfremt det bliver nødvendigt.

Jeg tænker at det er et spørgsmål om performance? Hvis du genererer nøglen selv belaster du ikke DanID's servere med denne process...

Måske dannes der en ny nøgle hver gang du laver nyt password?

@Jesper Poulsen

Så er det en katastrofe

Hej Jesper,

Du kan få nyt password til din nøgle, så password'et har intet med nøglen at gøre.

Men får du så ikke samtidig ny nøgle? Jeg har læst et sted, at adgangen til krypterede meddelelser forsvinder, hvis man glemmer sin nøgle. Dette ville ikke være tilfældet, hvis password blot blev udskiftet.

I Folketingets spørgerunde kom det frem at DanID kan benytte sig at nøgleparret uden brugerens password, såfremt det bliver nødvendigt.

Nej - det gjorde det faktisk ikke. Det kom frem, at de kunne få adgang til brugerens private nøgle via nogle tekniske foranstaltninger, hvis de blev tvunget til det. Men disse "foranstaltninger" kunne jo være at udvide applet (evt for den konkrete bruger), så password blev afluret ude ved brugeren.

[quote]I Folketingets spørgerunde kom det frem at DanID kan benytte sig at nøgleparret uden brugerens password, såfremt det bliver nødvendigt.[/

DanID oplyste til Folketinget, at man teoretisk set kunne opsnappe brugernes password. Den formulering dækkede over, at DanID i så fald skulle kode en helt ny løsning, der aflurer passwords, når de bliver brugt. Og derved bryde loven.

Det er altså en sandhed med modifikationer, at DanID har adgang til vores alle sammens passwords.

Læs mere her:

http://www.version2.dk/artikel/15918-danid-vi-kan-ikke-overtage-nogens-n...

vh.

Jesper
Version2

Hej Jesper,

DanID oplyste til Folketinget, at man teoretisk set kunne opsnappe brugernes password. Den formulering dækkede over, at DanID i så fald skulle kode en helt ny løsning, der aflurer passwords, når de bliver brugt. Og derved bryde loven.

Præcist. De sagde:

"De private nøgler er krypteret med brugernes adgangskode, som vi ikke har adgang til. Så for fuldstændighedens skyld skrev vi i svaret, at hvis det skal lade sig gøre, skal vi lave systemet helt om, så vi kan aflure brugerens adgangskode"

Kunne V2 ikke få DanID til at fortælle om protokollen i overordnede træk? Det kan vel ikke være et sikkerhedsmæssigt problem på overordnet niveau.

Jeg synes det er meget sigende for hele NemID spørgsmålet, at formodentlig relativt veloplyste folk her på version2 stadig diskuterer noget så fundamentalt som hvordan systemet egentlig virker (hvor genereres den private nøgle, har DanID en kopi, etc.).
Det er da en falliterklæring af rang for DanIDs kommunikation.
Hvis der nu f.eks. var en klar og præcis forklaring af disse ting på www.nemID.nu, så ville alle disse spekulationer være overflødige.

Nej - det gjorde det faktisk ikke. Det kom frem, at de kunne få adgang til brugerens private nøgle via nogle tekniske foranstaltninger, hvis de blev tvunget til det. Men disse "foranstaltninger" kunne jo være at udvide applet (evt for den konkrete bruger), så password blev afluret ude ved brugeren.

Ifølge DanID selv er din "private" nøgle krypteret på DanID's servere med det password som du vælger (en-faktor sikkerhed?). Det er dog ikke helt klart hvordan skift af password foregår hos DanID (uden at skifte "privat" nøgle), og hvordan DanID laver backup af de "private" nøgler (det gør de).

Afluring af password med en modificeret java applet er en mulighed, men brute-forcing er en anden mulighed.

Har du valgt et password som zaexe}goow&aet1Ke#b~aithoh7epo[ngeephei3oht4o?

Formentlig ikke, og det har jeg heller ikke selv. Brute-force muligheden kan ikke ignoreres: kun computerkraften begrænser hvor mange forsøg DanID kan lave per minut. Det er dybest set ligesom Hollywood's DRM eller Sony's spilkonsoller: folk der vil kopiere/hacke har al den information ved hånden som de skal bruge -- det er kun et spørgsmål om tid inden de kommer i gennem.

Men jeg har fravalgt OCES delen, så jeg satser på at jeg ikke har en "privat" nøgle. Nu er jeg ikke den naive type, så det har jeg nok alligevel, og spørgsmålet bliver snarere hvordan jeg en dag skal bevise at jeg ikke har et OCES certifikat. En screendump som jeg lavede er næppe nok, og der er sjovt nok ingen bekræftelse af fravalget i DanID's selvbetjeningspanel (som i øvrigt er ualmindeligt besværligt at få adgang til uden OCES, så jeg har kun brugt det en gang da jeg af sikkerhedshensyn blokerede CPR nummer som userid).

Blev der derimod brugt et krypto-nøgekort som indeholder nøgle, men ikke kan udlæse det ville det begynde at ligne noget.

Nøglerne bliver genereret og gemt i en HSM. Uden at have det store kendskab til HSM'er vil jeg da mene det stortset er hvad du efterspørger - bare på centralt niveau.

Som Erik Jacobsen skriver, skal vi jo stole på noget et eller andet sted. Om vi så stoler på DanID's valg af HSM producent må så være hvad diskussionen skal lyde på.

Personligt er jeg pt. af den overbevisning at en HSM er bedre istand til at sikre min private nøgle sikker end at nøglen er i min varetægt - uanset hvor godt jeg føler jeg har sikret mit maskineri. Selvfølgelig er der stadig muligheden med en uafhængig ekstern token pr. person.

Hvis man har et system som SMS PASSCODE, hvor nøglen ikke eksisterer før login sessionen (er ikke pre-kalkuleret som det er tilfældet med tokens og papkort), så er man ikke udsat for at nøglen kan stjæles/kompromiteres til senere brug. En real-tids nøgle er en nøgle, der genereres på baggrund af den specifikke login session og eksisterer kun for det login forsæg.

Det er så vidt jeg ved også tilfældet for Bank-delen af NemID. Når der logges ind generes der en kort-tidsnøgle, lidt svarende til de gamle nøglefiler, som så bruges i den Netbank-session. Om ikke andet er det i hvert fald en forbedring i forhold til den gamle netbank-model med nøglefilen lokalt, hvilket netop var en af de vigtigste problemer at løse med NemID.

Hej Jesper Lund,

Ifølge DanID selv er din "private" nøgle krypteret på DanID's servere med det password som du vælger (en-faktor sikkerhed?).

De siger, at den opbevares krypteret - ikke at den krypteres på deres servere. Deres HSM-modul skulle iflg Peter Lind være certificeret, så den laver en krypteret tunnel imellem applet og server, så jeg kan ikke forestille mig, at de kan trække de krypterede nøgler ud af deres HSM-modul (uden - som de selv siger det - at skulle lave deres system radikalt om)

Og så er jeg i øvrigt enig med Dennis - generelt set (aggregeret over alle borgere), så tror jeg bestemt, at nøglerne er bedre sikrede hos DanID end på de lokale maskiner. Jeg har ikke noget imod at stole på DanID - og NemID fungerer i dag uden problemer for mig.

(og så forstår jeg i øvrigt ikke, hvorfor folk dog vil slæbe rundt med en elektronisk dims, når de kan få nøglerne på et lille fikst papkort)

:-)

Hej Jakob,

Jeg synes det er meget sigende for hele NemID spørgsmålet, at formodentlig relativt veloplyste folk her på version2 stadig diskuterer noget så fundamentalt som hvordan systemet egentlig virker (hvor genereres den private nøgle, har DanID en kopi, etc.).
Det er da en falliterklæring af rang for DanIDs kommunikation.
Hvis der nu f.eks. var en klar og præcis forklaring af disse ting på www.nemID.nu, så ville alle disse spekulationer være overflødige.

Jeg er helt enig. De basale protokoller kan ikke være følsomme for offentliggørelse.

De kunne jo samarbejde med yubikey (med en sms-løsning til folk der anvender devices uden USB-port).

@Jesper Lund

Ifølge DanID selv er din "private" nøgle krypteret på DanID's servere med det password som du vælger (en-faktor sikkerhed?). Det er dog ikke helt klart hvordan skift af password foregår hos DanID (uden at skifte "privat" nøgle), og hvordan DanID laver backup af de "private" nøgler (det gør de).

DanID har oplyst, at man får en ny privat nøgle, hvis man glemmer sit password. Man mister altså også dermed adgang til de e-mails, man evt. har krypteret med den gamle.

Peter Lind Damkjær fra DanID sagde for et år siden:

"Så er adgangen tabt. Vi kan ikke lave recovery, kun erklære den signatur for invalid. Vi har ikke adgang til de private nøgler. Den løsning er et kernepunkt for at leve op til de forpligtelser, som ligger i regelsættet fra IT- og Telestyrelsen"

vh.

Jesper
Version2

Og så er jeg i øvrigt enig med Dennis - generelt set (aggregeret over alle borgere), så tror jeg bestemt, at nøglerne er bedre sikrede hos DanID end på de lokale maskiner. Jeg har ikke noget imod at stole på DanID - og NemID fungerer i dag uden problemer for mig.

Det er fint at du stoler på DanID, men det er slet ikke nødvendigt med en tillid af det omgang som du udviser (vi er på blanco fuldmagt niveauet).

Det er muligt at designe et system, hvor vi alene skal have tillid til CA'en, og hvor der ikke er diskussioner om hvem der har adgang til vores private nøgler, og hvor brugen af den digitale signatur alene er et anliggende mellem to parter i transaktionen, uden at tredjepart skal involveres (for at kunne opkræve en afgift for ingenting?).

Tillid til CA'en kommer vi ikke uden om, men det er nemmere at udvide denne tillid hvis CA'en alene er CA og ikke samtidig har møvet sig ind på andre områder, såsom opbevaring af vores "private" nøgler eller mellemled i samtlige transaktioner (enten som overvågning på statens vegne eller for at kradse penge ind, formentlig begge dele).

I disse CSC-kaos dage kan det desuden diskuteres om denne begrænsede CA rolle overhovedet skal flyttes ud af staten? (Ikke at jeg tror at DanID's ledelse nogensinde vil bringe sig i samme situation som CSC's ledelse, men better safe than sorry..).

DanID har oplyst, at man får en ny privat nøgle, hvis man glemmer sit password. Man mister altså også dermed adgang til de e-mails, man evt. har krypteret med den gamle.

Det er jeg klar over, men du kan (så vidt jeg ved?) skifte password på din "private" nøgle uden at miste nøglen. Det må forudsætte en dekryptering efterfulgt af en ny kryptering et eller andet sted, måske i HSM modulet. Implikationerne af DanID's backup muligheder er også noget uklare.

Og uanset hvad vil DanID med lethed kunne brute-force 99% af de password som folk har valgt. DanID har fortalt Folketinget at de kan få adgang til nøglerne ved at aflure folks password, men en anden mulighed må være at gætte sig til dem.

Mit eget NemID password er nok i den bedre ende, men formentlig ikke godt nok mod et brute-force angreb (jeg kan desværre ikke huske et password af den længde som jeg angav tidligere i tråden).

Der er kun en-faktor sikkerhed her..

Hvis vi nu ser bort fra at det her hardware-token som DanID jo har udråbt til at skulle imødekomme kritikken af NemID sandsynligvis slet ikke er det kritikerne har ønsket sig, så er jeg slet ikke imponeret over at først blive spist af med en elendig løsning og så bagefter få lov til at betale for at den bliver (påstår de) fixet.

@Jesper Lund

Kan du ikke være så flink og reel at nævne at det ikke kan lade sig gøre med den nuværende løsning, hver gang du skriver, at DanID kan aflure vores passwords?

Ellers er det efter min mening vildledning og en afsporing af debatten.

Vh.

Jesper
Version2

Kan du ikke være så flink og reel at nævne at det ikke kan lade sig gøre med den nuværende løsning, hver gang du skriver, at DanID kan aflure vores passwords?

De har da fuld læserettighed til alle harddiske (inkl. dem man har adgang til via netværk). DanID har en tunnel mellem deres server og brugerens maskine. Hvad der foregår på den tunnel ved kun DanID selv.

Kan du ikke være så flink og reel at nævne at det ikke kan lade sig gøre med den nuværende løsning, hver gang du skriver, at DanID kan aflure vores passwords?

At funktionen ikke allerede er implementeret har vi sådan set kun DanID's ord for. Men du har ret i at DanID har udtalt at det i den nuværende løsning ikke er muligt at aflure password.

Men helt ærligt.. Hvor svært er det at pushe en ny applet til danskerne i morgen? Og hvis DanID en dag blev beordret til at aflure et password, ville vi aldrig få det at vide.

Brute-force angrebsvektoren på "dårlige" passwords må også eksistere selv om DanID ikke har kommenteret det aspekt.

Det er det tåbelige systemdesign hos DanID som skaber denne diskussion, så jeg kan ikke se hvad det har med "afsporing" af debatten at gøre?

Men helt ærligt.. Hvor svært er det at pushe en ny applet til danskerne i morgen? Og hvis DanID en dag blev beordret til at aflure et password, ville vi aldrig få det at vide.

Med de sikkerheds-procedurer der er implementeret hos DanID hvor bl.a. Udviling og idriftsættelse er 2 skarpt adskildte "afdelinger" ville det kræve en konspiration med op til flere personer.
¨

Brute-force angreb muligheden må også eksistere selv om DanID ikke har kommenteret det aspekt.

Jeg ved ikke om det er tilfældet, men det er vel teknisk muligt for HSM'en at være beskyttet mod bruteforce hvor den simpelthen lukker for keyen (eller sletter den) efter et antal forkerte forsøg.

De har da fuld læserettighed til alle harddiske (inkl. dem man har adgang til via netværk). DanID har en tunnel mellem deres server og brugerens maskine. Hvad der foregår på den tunnel ved kun DanID selv.

Det er korrekt og jeg forstår din pointe. Jeg er selv ret kritisk hvad angår det punkt og det var også det første spørgsmål jeg spurgte Peter Damkjær om da jeg fik chancen. Dog vil jeg igen henvise til overstående med seperation af udvikling og idræftsættelse hos DanID. Derudover kan du jo bruge værktøjer som ProcessExplorer eller lign. for at se hvad appleten går ind og laver. Det burde selvfølgelig ikke være nødvendigt for brugeren at holde øje med det - Det er vi enige om.

Med de sikkerheds-procedurer der er implementeret hos DanID hvor bl.a. Udviling og idriftsættelse er 2 skarpt adskildte "afdelinger" ville det kræve en konspiration med op til flere personer.

Det kræver ikke mere "konspiration" end at staten, eventuelt via en dommerkendelse, beordrer DanID til at gøre det. Her citerer jeg blot det høringssvar som DanID har skrevet til Folketinget. Det er ikke noget som jeg selv finder på.

Jeg er helt enig i at DanID ikke har noget økonomisk incitament til at omgå sikkerheden og aflure folks nøgler. DanID's mål er vel at tjene en masse penge, ligesom alle andre virksomheder. Statens motiver er sværere at gennemskue.

Teleselskaberne har heller ikke noget økonomisk incitament til at aflure folks telefonsamtaler, men derfor bliver de alligevel beordret til at gøre det, på statens vegne, et antal gange om året.

Det kræver ikke mere "konspiration" end at staten, eventuelt via en dommerkendelse, beordrer DanID til at gøre det. Her citerer jeg blot det høringssvar som DanID har skrevet til Folketinget. Det er ikke noget som jeg selv finder på.

Hvad er det for en høringssvar du henviser til?
Jeg har personligt ikke kendskab til nogen love der skulle give staten/ministerier beføjelser til give en sådan tilladelse, men hvis en sådan eksisterer er det da klart fouroligende.
Men indtil da er vi beskyttet af at der skal et flertal i folketinget til for at tillade det, så vidt jeg ved.

Jeg har personligt ikke kendskab til nogen love der skulle give staten/ministerier beføjelser til give en sådan tilladelse, men hvis en sådan eksisterer er det da klart fouroligende.

Jeg vil kraftigt advare mod at undervurdere staten når det drejer sig om overvågning af borgerne. Medlemmerne af Folketinget er med ganske få undtagelser decideret overvågningsliderlige. Du skal bare nævne ordet "terror". Nogle gange er "skatteunddragelse" eller "socialt bedrageri" også nok. Så åbnes der for sluserne og trampes løs på privatlivets fred.

I forhold til digitale signaturer kommer Henrik Udsen ind på dette spørgsmål i et notat som han har skrevet for DanID. Efter Henrik Udsen's vurdering er diverse lovbestemmelser om hemmeligholdelse af den private nøgle (altså selv hvis NemID var omfattet af lov om elektroniske signaturer) ikke til hinder for et "key escrow" system, hvor staten kan skaffe sig adgang til nøglen (se specielt side 4 i notatet)
https://danid.dk/export/sites/dk.danid.oc/da/dokumenter/henrik_udsen_not...

@Jesper Lund Stockholm:
Java Applet ser aldrig den private nøgle. NemID bygger på en HSM certificeret FIPS140-2 level 3 (skriver de selv), dvs. nøglematerialet må aldrig forlade HSM'en (Tamper Evident, ikke Tamper Proof (level 4)).
Sikkerhedsmæssigt (og upolitisk) er NemID godt gennemtænkt og formentlig den bedste løsning for den almene borger.

Som andre skriver så handler hele den her sag ikke om det tekniske aspekt, men det politiske og tillidsmæssige. Og om hvorvidt vi tør lægge placere den størst mulige tillid hos regeringen+en privat virksomhed, historien har i hvert fald vist dette tidligere har fået katastrofale følger. For hvem siger ikke det bliver anset som national skadelig virksomhed at arbejde med kryptografi (Ergo terrorist) i TERROR-PAKKE 3 eller lign.

Hvad vi har brug for, som valgmulighed, er en FIPS140-2 lvl 3/4 USB token med åbne drivere, API og chipdesign; og man kunne jo fx sætte Cryptomatic på opgaven, nu når vi har en dansk virksomhed som selv VISA/Mastercard stoler på til deres PKI.

Dette vil skulle kobles med signering af ens egne generede nøgler ved personligt fremmøde på borgerservice. Desuden bør man signere en hovednøgle nøgle, som kan udlede flere nøgler, således vi fx kan have en nøgle som ikke indeholder person identificerbare data, men har korrekt signatur, til brug ved folketingsvalg. Og andre, fx til authentication ved brug af Skat. Dette løser også problematikken, hvis man mister sin nøgle, da hovednøglen kun bruges til at signere andre nøgler med.

Men ak ja, sikker kommunikation imellem borgerne, virksomheder og ikke mindst det offentlige har lange udsigter; sammen med alle de andre smarte produkter og services vi kunne bygge ovenpå dette. Dette sker ikke før nøglematerialet kan opbevares hvor det hører til, privat.

PS: DanID har gjort rigtigt nemt med deres passwords, da alle karakterer bliver lavet til små samt der er en række tegn vi ikke må benyttes. Et 8 ciffer adgangskode, 256^8 = 2^64; bliver pludselig til 64^8 = 2^48 (2^64 har været anset cryptografisk usikkert i siden 1980'erne). Men det er jo lettere for dem, blot at opsnappe passwords (pinkode?), når de passere applikationsservernes hukommelse. Måske burde man sende rådet for disse beslutninger til forelæsningerne på kursuset dSik (intro til sikkerhed) på DAIMI eller lign. på DIKU.

@Troels: Det interessante er ikke så meget HSM, men også hvad adgangsfladen er til den og på hvilke niveauer de forskellige kontroller og sikkerhedslementer er implementeret. Du skriver at password kan opsnappes i applikationsserveren -- det er jo ikke sikkert, afhænger af hvordan det er lavet.

Mht password, så 2^48 jo fortsat en pæn sjat hvis du kun har 3-5 forsøg eller hvor meget det nu er. Selv helt trivielle password kan man dårligt gætte med så få forsøg.

Google nægter umiddelbart at finde artiklen frem som jeg tænker på, men alle de store teleselskaber har større afdelinger der kun tager sig af aflytninger, og de tager sig godt betalt for at udføre deres del af arbejdet i forbindelse med en aflytning.

Det er nok ikke noget større profitcenter, men deres økonomiske incitament er ikke nul.

Hej Troels,

Tak for input/opdatering.

PS: DanID har gjort rigtigt nemt med deres passwords, da alle karakterer bliver lavet til små samt der er en række tegn vi ikke må benyttes. Et 8 ciffer adgangskode, 256^8 = 2^64; bliver pludselig til 64^8 = 2^48 (2^64 har været anset cryptografisk usikkert i siden 1980'erne). Men det er jo lettere for dem, blot at opsnappe passwords (pinkode?), når de passere applikationsservernes hukommelse.

Det er lidt pudsigt - men alt hvad du ellers har skrevet indikerer for mig, at du har en god viden om kryptografi og tilknyttede protokoller - men her går du imo helt galt i byen.

Ang: 2^48/64 : Det er korrekt, at 2^64 ikke har været anset for sikkert i mange år - men det har været ifht angreb, hvor Bob har adgang til cipher-teksten og et uendeligt antal forsøg. Kan du ikke forklare mig, hvordan 2^48 kan være usikkert, når du kun har 3-5 forsøg før der lukkes?

Ang: applikationsservers hukommelse : Hvordan kan NemID opsnappe noget fra applikationsserverens hukommelse, når det ikke alene er indkapslet i en sikker tunnel - men sandsynligvis også er krypteret med stærke nøgler selv? Hvis data krypteres stærkt (md asymmetriske nøgler) og kun dekrypteres inde i HSM-modulet, hvordan kan de så aflures?

PS: Iflg http://www.experianidentityandfraud.com/industry-hub/hardware-security-m... er "tamper evident" og "tamper proof" begge "Level 3".

(men jeg har absolut ingen anden viden om dette)

Som jeg læser det, er det kun en erstatning for papkortet. Min private nøgle ville i givet fald forsat ligge på deres maskiner.

En meget præcis forudsigelse, ser det [nu] ud til.

Ifølge en artikel i dagens ComputerWorld vil "token" løsningen alene bestå af en kodegenerator som erstatter papkortet.
http://www.computerworld.dk/art/116458?a=rss&i=0

Hvis det er korrekt, er DanID og VTU løbet fra endnu et løfte. Af diverse §20 svar til Folketinget fra videnskabsministeren har det klart fremgået at borgerne vil få tilbudt en NemID udgave hvor den private nøgle ligger hos borgeren. Det var også hvad DanID stillede de fremmødte i udsigt på det informationsmøde som DanID selv inviterede til på ITU i maj 2011.

Ifølge en artikel i dagens ComputerWorld vil "token" løsningen alene bestå af en kodegenerator som erstatter papkortet.

Det er ret forvirrende, men det der er meldt ud er, at der dels kommer en løsning, hvor papkortet kan erstattes af et "engangskodetoken" og at der dels kommer en løsning, hvor du kan få din private nøgle og OCES certifikat på et USB token ("privatnøgletoken").

Det er lidt uheldigt, at begge løsninger tit bliver omtalt som "tokenløsningen".

Det er ret forvirrende, men det der er meldt ud er, at der dels kommer en løsning, hvor papkortet kan erstattes af et "engangskodetoken" og at der dels kommer en løsning, hvor du kan få din private nøgle og OCES certifikat på et USB token ("privatnøgletoken").

Vil det sige at vi kan forvente to "token" løsninger efter sommerferien?

Ifølge VTU er chipkort/USB løsningen uden central opbevaring af den private nøgle en del af udbudsmaterialet og dermed et krav til DanID. Deadline for denne løsning er (var) første halvdel af 2011 jf §20 svar til Folketinget, så "efter sommerferien" må være absolut sidste mulighed.

Kodegeneratoren er derimod ikke et krav, så det er egentlig lidt mærkeligt at DanID udskyder de ting som de skal levere for at lave en kodegenerator?