Nets DanID klar med privat NemID-nøgle 20. november

Mere end to år efter lanceringen af NemID er firmaet bag nu endelig klar til at lancere en privat, hardware-baseret NemID-nøgle. Se, hvad du får for 350 kroner her.

En NemID-løsning, hvor du selv opbevarer din egen, private nøgle.

Det har privacy-interesserede borgere, Datatilsynet og ikke mindst en række handicaporganisationer efterspurgt siden lanceringen af NemID i sommeren 2010.

Læs også: Tvangsdigitalisering får Datatilsynet op af stolen: Hvor bliver privat NemID-nøgle af?

Nu er virksomheden bag NemID, Nets DanID, endelig klar med svaret på bønnerne. 20. november lanceres nemlig en hardware-baseret løsning, hvor borgeren selv ligger inde med den private NemID-nøgle.

Det fortalte John Christensen, Senior Business Manager i Nets, på Dansk IT's konference 'Digital signatur og digital identitet 2012', der onsdag løb af stablen på Scandic Hotel i Sydhavnen.

Løsningen bliver USB-baseret, og selve hardwaren ligner ved første øjekast et almindeligt USB-lagermedie, hvor der i enden er et 'slot' til at indsætte et særligt kryptokort, hvorpå nøglen ligger.

Prisen på enheden er endnu ikke lagt endeligt fast, men lander formentlig et sted i nærheden af 350 kroner.

John Christensen fortalte på konferencen, at det ikke havde været helt let at lægge sig fast på den valgte løsning fra Gemalto med navnet IDPrime .NET 510.

Gemaltos eget produktbillede af IDPrime .NET 510. Peter Lind Damkjær fra Nets DanID forklarer dog, at den konkrete implementering i NemID-sammenhæng 'har klippet krypto-chippen fra kreditkortet ud" og stukket den i en USB-baseret enhed'. Illustration: Access Security Cards Ltd

»Det har været en stor udfordring at finde en løsning, der levede op til vores krav. For eksempel har vi været ude for, at et muligt produkt havde ens PUK-koder på alle enheder,« sagde John Christensen.

Samtidig forsvarede han valget af USB som forbindelsesmetode til enheden.

Læs også: Sådan bliver den decentrale nøgle-løsning fra DanID

»Ja, den dur kun til USB-bestykkede enheder. Ja, vi har undersøgt andre muligheder, blandt andet trådløs forbindelse. Og nej, vi har ikke fundet noget, der virker trådløst,« var John Christensens svar - med lidt assistance fra Nets DanID's Business Architect og PKI-ekspert Peter Lind Damkjær.

Målgruppen for løsningen blev også præciseret:

»Det er personer, som har problemer med at håndtere et nøglekort. Typisk personer med et handicap. Dernæst er det højfrekvens-brugere med rigtig mange log-ins - og så dækker den også over personer, der synes, at vores centrale løsning ikke er særlig god,« sagde John Christensen.

Den private, hardware-baserede NemID-nøgle har dog én stor ulempe i forhold til den centrale løsning med papkort eller nøgleviser: Den kan ikke bruges i netbanken.

Læs også: Privat NemID-hardwarenøgle dur ikke i netbanken

»Sådan er det - det er bare ærgerligt. Det har ikke været muligt at få bankerne til at understøtte det,« var meldingen fra John Christensen.

Senere måtte John Christensen forholde sig til spørgsmål fra salen om blandt andet sikkerheden i den valgte løsning.

»Jeg har forstået, at den nuværende løsning er god, fordi den både bruger papkort og adgangskode - så hvad er forskellen på den løsning og den hardwarebaserede rent sikkerhedsmæssigt?« ville Forbrugerrådets jurist Anette Høyrup vide.

»Som sagt synes vi, det er sikkert nok. Det er klart, at man ikke både taster brugernavn, password og papkortkode, men til gengæld har du selv kontrol over enheden,« var svaret fra John Christensen.

Før løsningen kommer til at virke i praksis, skal alle NemID-tjenesteudbydere implementere og installere en applet fra OpenSign.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (36)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Sønder

Den private, hardware-baserede NemID-nøgle har dog én stor ulempe i forhold til den centrale løsning med papkort eller nøgleviser: Den kan ikke bruges i netbanken.

Hvad består forskellen i ? Hvor kan den ellers ikke bruges ? Kommer den kun i en Privat udgave, eller kan vi forvente en til virksomheder ?

Add: Var denne løsning ikke del af krav specifikationen da DanID fik opgaven, at brugerne skulle have kontrol over deres egen nøgle ?? Dette lyder til at være noget add-on og ikke en del af det oprindelige design, hvorfor ellers en ny applet ?!

  • 15
  • 0
Peter Stricker

En NemID-løsning, hvor du selv opbevarer din egen, private nøgle.

Det er vel også meningen, at borgeren selv skal generere nøglen. Kun på den måde er der jo sikkerhed for, at DanID ikke ligger inden med en kopi.

På den anden side, hvis nøglen skal opbevares på en USB enhed, der skal være forbundet til computeren på det tidspunkt, hvor man afvikler DanID's giffer, så er det nok lige meget om man selv har genereret nøglen.

Jeg tror nok, at jeg sparer de 350 kr.

  • 8
  • 0
Peter Lind Damkjær

Ja, det er bare en anden applet. Der er tale om den gamle opensign applet, som også blev brugt til digital signatur.

Det er fortsat OpenSign der anvendes til "NemID på hardware" (som løsningen vil blive benævnt). OpenSign er i denne sammenhæng udvidet med understøttelse af PKCS11.

  • 10
  • 0
ab ab

Den private, hardware-baserede NemID-nøgle har dog én stor ulempe i forhold til den centrale løsning med papkort eller nøgleviser: Den kan ikke bruges i netbanken.

Betyder det, at man - hvis man ønsker at bruge NemID på hardware - i praksis får udstedt to forskellige adgangstegn: Et papkortbaseret med centralt opbevarede certifikater til brug i finanssektoren og et hardwarebaseret med lokalt opbevarede certifikater? Og hvis ja, hvilke hjemmesider vil det papkortbaserede adgangstegn i så fald fremover kunne give adgang til (eks. Den Blå Avis, finansielle institutioner, offentlige myndigheders hjemmesider)?

  • 7
  • 0
Morten Grouleff

Den private, hardware-baserede NemID-nøgle har dog én stor ulempe i forhold til den centrale løsning med papkort eller nøgleviser: Den kan ikke bruges i netbanken.

Det er helt okay at bankerne gerne vil tilbyde en ekstra løsning (=papkortet), men det er ikke rimeligt at de afviser at tage imod login med landets officielle digitale signatur.

Det er en opgave for lovgiverne at få det rettet.

  • 11
  • 2
Peter Lind Damkjær

Betyder det, at man - hvis man ønsker at bruge NemID på hardware - i praksis får udstedt to forskellige adgangstegn

Hvis man ønsker NemID på hardware og ønsker at tilgå netbank er svaret 'Ja'.

Man kan selv vælge om man ønsker at have OCES på NemID nøglekort/nøgleviser uanset om man har NemID på hardware.

Du behøver ikke at have centralt opbevarede nøgler, hvis du udelukkende anvender nøglekort/nøgleviser i netbanken.

  • 8
  • 1
Søren Chrestensen

hvordan har de tænkt sig at implementere den med IOS enheder

Det har de svaret på. De har valgt en USB løsning ergo er der ikke support for iOS enheder da de ikke har en USB port...

Hvis det er den bedste løsning så synes jeg da de skal bruge den. De fleste folk vil jo alligevel skulle bruge netbank på iOS enheder, som jo ikke supportet af den her model.

  • 4
  • 0
Henning Makholm

Hvordan i alverden kan det være at en løsning hvor det påstås at brugeren selv genererer og opbevarer nøglen skal inkludere et bestemt stykke hardware?

Medmindre de lyver om at nøglen skal være under brugerens kontrol giver det ingen mening at sådan en løsning består af andet end en softwareprotokol og en specifikation af hvilke kryptografiske protokoller man bruger. Så vil brugere kunne generere deres egen nøgle med et program de selv har skrevet (eller har fået nogen de stoler på og selv har valgt at stole på til at skrive) i et vilkårligt programmeringssprog, eller lavet med blyant og papir, eller whatever.

Hvis nøglen kun findes i et stykke PBS-leveret hardware, er det stadig ikke brugeren men PBS der har kontrol over den. Selvom PBS's hardware måske findes i brugerens lomme, giver det ikke brugeren kontrol over systemet med mindre brugeren selv har mulighed for at implementere protokollen i software.

Det lyder som noget rent fup at bilde folk ind at man med denne løsning undslipper at skulle give PBS generalfuldmagt til sit liv.

  • 9
  • 8
Hans Schou

¤Peter Lind Damkjær

Ja, den private nøgle genereres i chippen.


Wow! Det er sandelig nye toner! Det er første gang jeg har læst noget som helst om statens digitale løsninger der er så interessant.

Det afføder selvfølgelig endnu flere spørgsmål. Patenter, åbenhed, teknologidetaljer etc. De hidtidige løsninger der har været præsenteret, er altid gået på kompromis med borgernes privatliv og sikkerhed, så man tør næsten ikke tro at det lykkedes denne gang.

  • 4
  • 0
Martin Kofoed

Ja, den private nøgle vil kun befinde sig i chippen og ikke andre steder.

Dette er suverænt den bedste udmelding om NemID nogen sinde!

Kan man efterfølgende slette OCES-delen fra sit papkort? Jeg blev desværre nødt til at oprette en sådan, da jeg ikke kunne vente på USB-løsningen ...

USB er i øvrigt et fint valg. Det er jo bare Apple, der er latterlige, når de fravælger USB-connectors i deres mobile devices. Den beslutning skal alle vi andre heldigvis ikke lide under.

Mystisk navngivning, dog. .NET ...

  • 4
  • 0
Rasmus Faber-Espensen

Så vil brugere kunne generere deres egen nøgle med et program de selv har skrevet (eller har fået nogen de stoler på og selv har valgt at stole på til at skrive) i et vilkårligt programmeringssprog, eller lavet med blyant og papir, eller whatever.

Du må naturligvis generere alle de private nøgler, du har lyst til, og opbevare dem på papir, på din harddisk eller på usb-nøgler.

Men du er ikke den eneste interessent i hvordan din private nøgle er opbevaret.

Som modtager af en digital signatur fra dig er jeg til også interesseret i
at kunne stole på at signaturen rent faktisk er fra dig. Retsvirkningerne af en digital signatur er usikre - det er ikke usandsynligt at du ikke vil være bundet af en aftale, hvis du kan overbevise en domstol, om at det ikke er dig, der har lavet underskriften.

Så jeg er ikke særligt interesseret i at modtage digitale signaturer, hvor certifikat-udstederen ikke kan udtale sig om hvordan den private nøgle har være opbevaret. Måske opbevarer certifikat-indehaveren den på en USB-enhed, han selv har bygget, med software, han selv har skrevet og fået verificeret af eksperter. Måske opbevarer han den i klartekst på en harddisk på en rootkit-inficeret-pc. Jeg har som modtager af en digital signatur ingen chancer for at vide det.

Hvis jeg til gengæld modtager en P/OCES-2 signatur fra dig, kan jeg nu til gengæld vide, at den private nøgle enten har været opbevaret på DanIDs servere eller i en given chip fra Gemalto. Jeg kan så overveje hvor vidt jeg stoler på at de to løsninger er tilstrækkeligt sikre, til at jeg tør stole på det.

Jeg kender ikke detaljerne i certifikat-udstedelses-processen, men jeg vil skyde på, at du nok kan snyde appletten til at acceptere og certificere en nøgle fra dit eget software-baserede-PKCS#11-modul. Til gengæld står du så nok dårligere i en eventuel retsag, hvor det viser sig, at nøglen er blevet stjålet og brugt til at underskrive dokumenter.

TLDR: Der er tre parter, der har interesse i hvordan den private nøgle opbevares: certifikat-indehaver, certifikat-udsteder og signatur-modtager. Det er fornuftigt, at certifikat-udsteder dikterer en kompromis-løsning, som de to andre parter må acceptere, fremfor blot at lade certifikat-indehaver vælge den løsning, han ønsker.

  • 9
  • 1
Peter Mogensen

Hvis jeg til gengæld modtager en P/OCES-2 signatur fra dig, kan jeg nu til gengæld vide, at den private nøgle enten har været opbevaret på DanIDs servere eller i en given chip fra Gemalto. Jeg kan så overveje hvor vidt jeg stoler på at de to løsninger er tilstrækkeligt sikre, til at jeg tør stole på det.

Og det er en vigtig pointe.
Men uden officielle retningslinier for hvordan man kan blive godkendt til at lave hardware tokens, der kan generere nøgler og uden et udvalg, hvor brugerne kan vælge imellem en godkendt leverandør, så har vi reelt kun DanIDs ord for at Gemalto løsningen gør som de påstår.

  • 5
  • 1
Morten Grouleff

Hvis nøglen kun findes i et stykke PBS-leveret hardware, er det stadig ikke brugeren men PBS der har kontrol over den. Selvom PBS's hardware måske findes i brugerens lomme, giver det ikke brugeren kontrol over systemet med mindre brugeren selv har mulighed for at implementere protokollen i software.

Hvis du gerne vil skrive din egen PKCS11 imlementation, og bruge din hjemmebyggede privatnøgleopbevarings-dims, så er der vist frit slag til det? De fleste af os orker det ikke, og er tilfredse med at kunne købe et stykke hardware, som nogle andre end Nets har bygget og certificeret, og som understøtter åbne standarder som pkcs11.

Jeg synes der er en markant forskel mellem at benytte åbne standard og tredjeparts hardware, og så den lukkede løsning, som nemid på papkort er.

  • 4
  • 1
Maciej Szeliga

Nu har jeg tilfældigvis en USB port til min IPad, at du ikke har det er fordi du ikke har betalt de 300kr det koster.
Bortset fra det så mener jeg at man ikke kan vælge en løsning som ikke understøtter IOS da udbredelsen af denne er alt for stor til at man bare kan ignorere denne platform.

  • 2
  • 6
Peter Mogensen

Hvis du gerne vil skrive din egen PKCS11 imlementation, og bruge din hjemmebyggede privatnøgleopbevarings-dims, så er der vist frit slag til det?

Er det noget du ved, eller gætter du?

De fleste af os orker det ikke, og er tilfredse med at kunne købe et stykke hardware, som nogle andre end Nets har bygget og certificeret, og som understøtter åbne standarder som pkcs11.

Nu findes der tilgængelige PCKS11 implementationer, men bortset fra det, så gør en svale som bekendt ingen sommer. Blot fordi produktet understøtter en veldokumenteret standard betyder det ikke at produktet som helhed er veldokumenteret.
Beklager, men jeg vil se det før jeg tror det.

  • 2
  • 0
Michael Thomsen

Hvordan i alverden kan den løsning koste 350 kr for slutbrugeren? Er det Gemalto eller DanID, som har en fortjeneste på 1000%?

Det undrer mig iøvrigt, hvis Gemalto ikke skulle have en kombineret kontakt/NFC baseret chipkort løsning..

  • 3
  • 1
Henrik Madsen

Om det så bliver muligt at fravælge OCES fra papkortet.

Altså sådan at en tilfældig identitetstyv som har scoret en papid kode med et mitm angreb ikke bare kan bruge denne til at aktivere oces delen.

Forresten virker det tåbeligt at påstå at man har kigget sig godt for mht mulige løsninger og kun fundet usb løsningen. I Tyskland bruger de chiptan som er en lille lommeregner som kortet sættes ind i, denne løsning er totalt platform uafhængigt.

På mig virker det mest som om man har fundet den ringeste løsning for at kunne sige at man understøtter løsningen men samtidig ved at få vil vælge denne løsning.

  • 4
  • 3
Michael Larsen

Hvad skal vi bruge det til hvis vi ikke kan bruge det til netbank, og åbenbart har handicappet ikke brug for netbank. Så skal vi jo have to løsninger ligglende. Endnu et kapitel af farcen er skrevet. Jeg håber politikerne tvinger bankerne til at implementere det. Når man læser John Christensen svar så lyder det som om han er rigtig træt af sit job.

  • 6
  • 0
Hans Schou

Signering og kryptering af dokumenter.

Men der kan være mange sten på vejen, før man kan være sikker på at det er en brugbar løsning. Lakmusprøven er om de kriminelle tør bruge løsningen til deres lyssky forretninger. Hvis der er nogen huller til staten i systemet, så duer det ikke. Hvis ikke jeg fx kan sende en privat og krypteret mail til Berlingske om at statsministeren har misinformeret Folketinget, så duer det ikke.

  • 2
  • 0
Casper Bang

Mystisk navngivning, dog. .NET ...

"The Gemalto .NET card is best supported in Microsoft infrastructures, (from development to card management) because of the Microsoft Base Smard Card CSP. This CSP is already included in Microsoft Vista and 7, older Versions of the Microsoft operating systems can be updated with the MS Base Smart Card CSP via Online Update. The necessary MiniDriver for the MS Base SC CSP, which holds the minimum card specific informations, is already on the system."

Hvordan i alverden kan den løsning koste 350 kr for slutbrugeren? Er det Gemalto eller DanID, som har en fortjeneste på 1000%?

Det ser ud til at de kan købes fra 22 Euro, altså ca. det halve. Så skal DanID jo nok også tjene lidt på alle dem der tillader sig at stille spørgsmål og skærpede krav.

  • 4
  • 0
Lars Tørnes Hansen

Laver man overstående søgning på Google kommer der noget op om et Linux .NET SDK fra Gemalto.
Da der er Mono til at køre .NET programmer burde det være muligt for DanID at lave noget der også virker på Linux systemer (ARM*, i386, og x86-64), hvis bare de håndterer al USB trafik til enheden i en .NET user-space device driver.

*: Raspberry Pi, Raspbian (Debian Linux for Raspberry Pi).

En anden ting der bekræfter det at de direkte skriver at der er support for Linux, og også MAC OS, foruden Windows på http://www.gemalto.com/products/dotnet_card/ :

Support for Windows, Linux & Mac Operating Systems


Tænk sig hvis DanID for en gangs skyld har lavet det så det er lavet næsten rigtigt fra starten af. (Java/JRE i browseren er en fejl).

Jeg tror jeg drømmer - og det er ikke et mareridt :)

  • 0
  • 0
Jesper Lund

Signering og kryptering af dokumenter.

Hvis bare vi kunne..

I forhold til kommunikationen med det offentlige vil den digitale signatur, hvad enten den befinder sig på hardware hos borgeren eller i et HSM hos you-know-who, ikke blive brugt til det.

Vi bliver tvangsindlagt til at kommunikere med det offentlige via Offentlig Digital Post, et webmail system som administreres af e-Boks, og borgerne får ikke mulighed for at sende rigtigt digitalt signeret post til det offentlige (det er for "besværligt" for det offentlige, står der i bemærkningerne til loven). I stedet for en digital signatur, og matematiske beviser, vil det alene være serverne hos den systemansvarlige for Offentlig Digital Post (e-Boks A/S) som står inden for hvem afsender er og at dokumentet ikke er modificeret undervejs.

For en god ordens skyld: dette er ikke en kritik af NemIDs digitale signatur, men af Offentlig Digital Post.

  • 2
  • 0
Anders Rosendal

Nej for EU siger telefoner skal ha en usb-stik til opladning. De skal ikke have et usb-host stik, så som udgangspunkt bliver det lidt svært at snakke med usb-nøglen.


Hvis man alligevel bygger sin telefon så den har et usb-stik til opladning, hvor svært kan det så være at "opgradere" til et usb-host stik?

ALLE andre har kunnet finde ud af det. Så det er bare en ting man må overveje næste gang man skal købe en mobil...

  • 2
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize