Nets afviser bagdør i NemID
Da Nets i oktober 2012 lancerede NemID på hardware, var der mange privacy-bekrymrede borgere, der drog et lettelsens suk:
Endelig var der mulighed for at få en digital identitet, hvor borgeren selv kontrollerede den private nøgle - og ikke som med papkort-modellen, hvor Nets opbevarer både den offentlige og den private nøgle.
Nu har den krypteringsinteresserede blogger og internetaktivist Christian Panton kigget nærmere på den særlige USB-token, som NemID på hardware skal bruges sammen med. I et blogindlæg har han beskrevet, hvordan han har fundet en særlig Admin-pinkode i den medfølgende software fra leverandøren Gemalto.
»Hvis man taster koden forkert 5 gange, låses token permanent. Således skriver NemID på deres hjemmeside. Hvad de ikke skriver er, at det kun er den såkaldte “User-pin” som låses og pinkoden låses ikke permanent. Den kan åbnes igen (unblockes) ved hjælp af en Admin-pin. Dette fremgår tydeligt af konfigurationværktøjerne til smartcard’et som sidder inden i det hardware token, som NemID siger at vi skal bruge,« skriver Christian Panton i blogindlægget.
Dermed kunne man tro, at en tredjepart med fysisk adgang til ens NemID på hardware-token og kendskab til admin-passwordet kunne udgive sig for at være indehaveren.
Christian Panton har forelagt problematikken for Nets, hvilket har affødt endnu et blogindlæg.
»Et standard kort fra Gemalto er “født” med user-PIN bestående af 4 nuller. Det har vi bedt Gemalto ændre til maskingererende PIN’s for NemID edition. Som du sikkert har konstateret, skriver Gemalto user-PIN på kortet (på den del, der ikke ind indsættes i læseren) og under aktiveringen giver vi brugeren mulighed for at ændre denne PIN. Under udviklingen konstaterede vi imidlertid, at kortene default var født med samme admin-PIN (40 nuller så vidt jeg husker). For at undgå misbrugssituationer, hvor admin-PIN ikke er blevet ændret, bad vi Gemalto lave en version, hvor admin-PIN sættes til tilfældige maskingenererede værdier,« skriver Nets' PKI-ekspert Peter Lind Damkjær i sit svar til Christian Panton.
Christian Panton er grundlæggende tilfreds med svaret, men peger dog på, at det principielt er betænkeligt, at token-ejeren ikke ved, om der findes en liste over de maskingenererede admin-pinkoder - og hvem der i givet fald har adgang til den.
Læs blogindlæggene i deres helhed på christian.panton.org.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
