Nets: Hjemmelavet NemID-klient kan krænke vores ophavsret

Hvis andre udvikler en NemID-klient, kan Nets DanID ikke stå inde for den samlede sikkerhed. Desuden kan den slags krænke ophavsretten til Nets’ produkt, lyder Nets’ reaktion på hjemmelavet NemID-klient.

Må man bruge sin egen NemID-klient, hvis man har gennemskuet protokollen og kommunikationen med NemID’s servere?

Det spørgsmål har datalogen Christian Panton stillet Nets DanID, efter at han har udviklet sin egen javascript-baserede NemID-klient, der gør det muligt at bruge NemID på enheder, hvor Java er udelukket.

Læs også: Datalog overhaler det offentlige med egenudviklet NemID-klient: "Vi skal have flere øjne på protokollen"

Svaret fra Nets var et rungende nej. Men inden svaret nåede at tikke ind i Christians indbakke, fik Version2 svar på spørgsmålet om sagen. Nets vil ikke forholde sig til Christians Pantons sag, men kun svare generelt på spørgsmålet. Og det var hverken et ja eller et nej:

»Som svar på dit spørgsmål kan Nets ikke forhindre borgere i at udvikle deres egne login-løsninger, men Nets har en aftale med Digitaliseringsstyrelsen og bankerne om en totalleverance, hvor Nets står inde for NemID-løsningen end-to-end,« skriver Nets i et skriftligt svar til Version2.

Læs også: Hjemmeudviklet NemID-klient får syngende nej: Trues med ‘nødvendige juridiske tiltag’

Til gengæld kan det være, at en hjemmelavet NemID-klient går for tæt på den kode, som Nets selv har skrevet, lyder vurderingen:

»Nets ejer NemID, det vil bl.a. sige de it-komponenter, som indgår i anvendelse af løsningen. Java-appletten, som benyttes i dag og den kommende Javascript-løsning er en integreret del af NemID. Såfremt andre foretager reverse engineering af komponenterne i NemID med henblik på at udvikle en tilsvarende log-on løsning fx baseret på samme protokoller, kan det være en krænkelse af Nets’ ophavsret,« skriver firmaet.

Før en ny del af den samlede løsning kan få stemplet ’sikker’, skal den vurderes som en del af helheden, understreger Nets:

»Som ejer af den samlede NemID løsning indestår Nets DanID for sikkerheden i hele løsningen. Hvis NemID blev opdelt i delkomponenter, ville der være en række sikkerhedsmæssige forhold som skulle analyseres nærmere, ligesom spørgsmålet om fordeling af ansvar i forhold til de enkelte delkomponenter skulle fastlægges,« lyder svaret.

Sagen lukket

Efter svaret fra Nets stillede Version2 en række yderligere spørgsmål - bl.a. om hvilke patenter, Nets mente, Christian Panton kunne risikere at overtræde. Navnligt da softwarepatenter ikke er gyldige i Europa. Version2 ville også gerne vide, hvorfor Nets reagerede med juridiske advarsler som "uautoriseret indtrængen i NemID's sikkerhedsinfrastruktur" og "nødvendige juridiske tiltag", og om Nets betragter det som en eventuel hackersag.

Læs også: Ny minister: Ja til software i patenter - nej til softwarepatenter

Nets afviser dog at svare på flere spørgsmål og oplyser, at de betragter sagen som lukket.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (30)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Rasmus Larsen

Jeg går udfra det kommer direkte fra en sælger, der har sat sig ned og tænkt over hvordan han synes sikkerhed burde fungere, for det er da den mest absurde måde at anskue IT-sikkerhed på jeg længe har set.

Jeg kunne skrive en længere smøre om det, men det er logik for burhøns, så det vil jeg spare alle for at læse, lad os bare konkludere at et produkt ikke er sikrere end det svageste punkt, og hvis det virkelig er rigtigt at:

Hvis NemID blev opdelt i delkomponenter, ville der være en række sikkerhedsmæssige forhold som skulle analyseres nærmere, ligesom spørgsmålet om fordeling af ansvar i forhold til de enkelte delkomponenter skulle fastlægge

Jamen så står det lysende klart at NETS løsning ikke er sikker eller hvis den er, er det ihvertfald ikke NETS der er årsagen til det.

Jesper Lund

Det er der jo desværre delte meninger om.

Men det kunne være interessant at vide, om DanID eller Digitaliseringsstyrelsen giver danske virksomheder en garanti for, at de ikke bliver sagsøgt for patentkrænkelse når de bruger NemID Erhverv (eller hvad det hedder?) til f.eks. den obligatoriske digitale postkasse, som alle virksomheder nu skal bruge.

Peter Makholm Blogger

Vi kan godt diskutere om formuleringen er god, men jeg er enig med Nets i at hvis man skifter en delkomponent ud med en udgave der ikke er certificeret af Nets, så kan Nets ikke længere tage ansvar for sikkerheden af hele systemet.

Oversat: Hvis jeg installerer et plugin til min browser der erstatter NemID-appletten men noget javascript, så tager Nets ikke noget ansvar for at plugin'et fungerer korrekt. Altså en ren retorisk 'warranty void if seal broken'-mærkat.

Det kan jeg sagtens leve med, men det kræver også en fælles forståelse for hvilke forbehold Christian Panton bør tage i "markedsføringen" af IDfix.

Personligt kan jeg måske godt stole på Christian Pantons kode, men jeg er ikke sikker om at jeg ville bryde mig om en situation hvor folk uden videre installerede den første og bedste af 10 NemID-applets fra AppStore hvor halvdelen af den er groft usikre.

Efter min mening er "flere øjne på protokollen og implementationen" et godt mål. Men for mange ikke-certificerede løsninger vil på ingen måde gavne befolkningens sikkerhed.

Morten Hansen

Hæv hånden i vejret hvis du virkelig var så naiv at tro at Nets ville svare andet end nej.
Uanset om du synes det virker som en "fed" idé at udvikle sin egen NemID klient, så skal der altså mere end lidt hjemmebryggeri til at skabe noget der kan betragtes som sikkert til den type autentificering vi har tale om her.
Hvad enten du kan lide Nets eller ej er der mange øjne på NemID, de bruger uden tvivl mange penge på sikkerhedsaudit mm.
Der findes ikke nogen fejlfrie systemer, at forvente andet i dag er helt fjollet medmindre man har levet under en sten de sidste 20 år.
Jeg vil også gerne være fri for at bruge en hjemmebrygget netbanks klient, da jeg godt vil være sikker på at min bank står inde for løsningen og dermed står ansvarlig når noget går galt.

Thomas Larsen
Peter Makholm Blogger

Hvad enten du kan lide Nets eller ej er der mange øjne på NemID, de bruger uden tvivl mange penge på sikkerhedsaudit mm.

Hvis vi tager udgangspunkt i opsætningen af den host man henter DanID's applet fra, så understøtter de ikke TLS1.2 eller nogle Cipher-suiter der tilbyder 'Forward Security'.

SSL Labs giver dem scoren B.

Det er altså tydeligt at korrekt serveropsætning ikke er dækket af dit 'mm.'.

Claus Jacobsen

Peter - Vi kan ikke være mere enige om det sikkerhedsmæssige aspekt. Når det så er sagt, så er NETS opførsel noget af et arrogant selvmål. Et er at de i offentlighedens øjne OVERHOVEDET ingen kredibilitet har, noget andet er at de her rent faktisk har muligheden for at spare nogle udviklingskroner ved at samarbejde med Christian - Måske endda også score et par billige bonuspoint på kredibilitetskontoen (som jo er alvorligt overtrukket).

Den måde de har opført sig på her, udstiller udelukkende deres arrogance og absolut manglende lyst til at løse nogle af de udfordringer der er i vores infrastruktur. Og der kræves i den grad en forhøjet mistro til deres forretning. Kobler man det her sammen med den muligt forestående strejke i finansverdenen og deres kommende salg, så tegner her sig et billede af et utroligt lukket og meget arrogant sted som jeg som borger ikke har den store tiltro til at skulle håndtere en så vigtig del af den danske infrastruktur.

Rasmus Larsen

Selvfølgelig kan de ikke tage ansvar for klienten, men det kan de jo om alle omstændigheder ikke ligegyldigt hvad de gør.

Ligegyldigt hvordan NETS har bygget deres løsning er den jo stadig baseret på visse mindstekrav, eg. at jeg ikke sidder med en java debugger dybt inde i indvoldende af deres klient og suger løs.

Det de skal tage ansvar for er om deres server-side kode er i orden, det er det eneste de kan tage ansvar for og hvis nogen forestiller sig at NETS reelt er i en position hvor de kan tage ansvar for sikkerheden på NEM-ID klienten ligegyldigt hvordan den ekserkveres og hvem der har udviklet den, så er det måske der fejlen ligger.

Simon Shine

Jamen sagen er jo netop åbnet!

Nets må jo tro at det eneste, de kan gøre for at forhindre udbredelsen af overlegne implementeringer af deres protokol, er at true folk. Om Nets er kompetente eller ej, åbner det selvfølgelig op for en masse problematikker med tillid til 3rd-party software. Jeg begriber ikke hvorfor Nets ikke har angrebet det ad den vej.

Hvordan NETS kan eje teknologien, naar det er DK som har betalt for udviklingen?

Det spørgsmål har jeg også stillet mig selv. Sagen er desværre simpel: Nets yder en service hvori teknologien indgår. I mit nylige forsøg på at forbedre internettet i min boligforening, har jeg indset at der findes en ekstrem velvillighed blandt teknofober til at give alt for gode aftaler til private virksomheder, hvis de kan slippe for at sætte sig ind i noget som helst.

Jeg synes at Nets bør adressere hvordan deres protokol kan være omfattet af deres ophavsret.

Casper Bang

Efter min mening er "flere øjne på protokollen og implementationen" et godt mål. Men for mange ikke-certificerede løsninger vil på ingen måde gavne befolkningens sikkerhed.

Kan jeg godt følge dig i, men jeg ser Christian's løsning som en komponent til en Browser+JVM, der f.eks. snildt kunne eksistere som et open source projekt og wrapped af diverse browser-plugins der omskriver DOM'en let og elegant.

Det er jo ikke stort anderledes end os der i forvejen benytter "uofficielle" JRE'er som f.eks. IcedTea på Linux. Ja du kan sågar bygge din egen modificerede udgave hvis lysten skulle være der, og dén har Nets da absolut ingen kontrol over!

Det er en interesant gråzone, men én turing maskine kan vel være lige så god som en anden. Og mange af os ville nok stole mere på et open source projekt man kunne kigge over skuldrene, end på Nets og deres native kode eksekveringer smuglet ind i GIF filer.

Peter Mogensen

"Såfremt andre foretager reverse engineering af komponenterne i NemID med henblik på at udvikle en tilsvarende log-on løsning fx baseret på samme protokoller, kan det være en krænkelse af Nets’ ophavsret,"

Mange argumenter kunne man have gættet på de ville have trukket frem... men DET DER?!?

Ophavsretslovens §37:

§ 37. Eksemplarfremstilling af et edb-programs kode og oversættelse af kodens form er tilladt, når dette er en forudsætning for at skaffe de oplysninger, der er nødvendige for at tilvejebringe interoperabilitet mellem et selvstændigt udviklet edb-program og andre edb-programmer, såfremt

1) handlingerne udføres af licenshaveren eller af en anden person, der har ret til at benytte et eksemplar af et edb-program, eller på disses vegne af en person, der har tilladelse hertil,

2) de oplysninger, der er nødvendige for at tilvejebringe interoperabilitet, ikke tidligere har været let og hurtigt tilgængelige for de i nr. 1 nævnte personer, og

3) handlingerne er begrænset til de dele af det oprindelige edb-program, der er nødvendige for at opnå interoperabilitet.

Stk. 2. De oplysninger, der er indhentet i forbindelse med anvendelsen af stk. 1, må ikke

1) benyttes til andre formål end at gøre det selvstændigt udviklede edb-program interoperabelt,

2) videregives til tredjemand, undtagen når dette er nødvendigt for at gøre det selvstændigt udviklede edb-program interoperabelt, eller

3) benyttes til udvikling, fremstilling eller markedsføring af et edb-program, der i sin udtryksform i vid udstrækning svarer til det oprindelige, eller til nogen anden handling, som krænker ophavsretten.

Stk. 3. Bestemmelserne i stk. 1 og 2 kan ikke fraviges ved aftale.

Hvordan kan man tage DanID seriøst?

Claus Karstensen
Einar Petersen

Lige præcis der har NETS diskvalificeret sig fra at varetage det offentlige NemID i fremtiden... ophavsret... sikke noget forvrøvlet sludder... hackerangnreb.... En flok grådige tåber der ønsker at cementere sit monopol...

NemID er et offentligt påtvunget log on / ID system

Det er ikke noget NETS på nogen mådee skal, kan eller bør have nogen som helst rettigheder over.

De er en service provider og bør ikke være andet. Trods de mener at de ejer NemID...

I Danmark og mange andre steder i verden er det stadig tilladt at reverse engineere. i.e. videnskabeligt undersøge hvorledes ting virker... for derefter at implementere en løsning og her har datalogen implementeret en løsning baseret på andre systemer / sprog end NETS.

Her er en klokkeklar advarsel der klinger af softwarepatentering mm. fra en virksomhed der nok snart ejes af multinationale ejere som ville elske at slæbe små udviklere i retten.

Nej Åben standard for net ID per omgåend og skab et frit log on nu og skab fri patentfri konkurence på markedet for ID - det kan ikke gå for hurtigt!

Dan Storm

Nu har jeg fulgt debatten i længere tid, og uden at have de nødvendige kompetencer selv, står jeg tilbage med et spørgsmål som jeg ikke synes at kunne få besvaret under hele debatten - årsagen er sikkert at svaret nok er meget kompliceret, så jeg håber at brugerne på Version2 kan gøre mig lidt klogere:

Hvorfor laver vi ikke "bare" en bedre løsning selv?
Forstå mig ret; jeg er klar over at det offentlige ikke uden videre skifter løsningen ud, men vi er trods alt en stor andel af mennesker i landet som godt kan forstå og se problematikkerne omkring NemID (og den mærkværdige økonomi i det).

Umiddelbart ser jeg det som et spændende initiativ som i et open source og standardiseret miljø ville kunne vække stor interesse for alle som gerne vil bekræfte deres digitale brugere.

Bær over med mig, hvis det er ude i hampen, dette er mit første indlæg på sitet.

Michael Nielsen

Da de var i gang med NemID, og jeg kunne se hvor det bar hen, præsenterede jeg en korrekt digital signatur implementering, som var og er sikkerhedsmæssigt langt overlegen hvad DanID kom frem med.

Men enten har udviklerne af NemID været inkompetente, eller også har der været krav som ikke kan tåle dagens lys, om at systemet ikke må implementeres således at Danske borgere får adgang til rigtig krypering.

Fordi NemID bryder alle sikkerheds tests, undtaget "replay angreb", men den er vanvittigt sårbar over for MITM som er hvad kryptering generelt har til formål at stoppe.

Jeg kontaktede alle jeg kunne få fat i, men ingen ville lytte, de havde jo "eksperterne" fra DanID, som sage deres system var det bedste muligt, og ikke var sårbar..

Der var flere af os der præsenterede mange sårbarheder i NemID, Jeg beskrev hvordan man kan angribe og udnyttet NemID, og måtte sørgeligvis se angrebet blive udført i virkeligheden ikke så længe efter..

Men så længe vi har politikere der kun lytter til den valgte leverandør, og ikke bruger uvildige konsulenter til at evaluere løsninger, vil vi altid få sådanne skod systemer implementeret i Danmark.

Povl H. Pedersen

Der kunne være noget med rettigheder. Det kan være Panton har kopieret små kodestykker fra Java over i sit eget kode, og dermed krænker NETS. Spørgsmålet er om de små stykker kode så har værkshøjde, og lyder beskyttelse.

Den eneste rigtige løsning er, at Panton beskriver protokollen, og så kan andre lave en clean-room implementering, så er vi helt frie for beskyldninger om krænkelser af rettigheder. Og NETS kan græde snot og Digitaliseringsstyrelsen kan spørge hvorfor det koster 10 mio at lave noget enhver programmør kan lave på en dag eller 2 ?

For man kan vel antage at reverse engineering er den tunge ende af processen. Når først protokollen foreligger, så tager det ikke lang tid at lave kode. Og protokollen ligger hos NETS.

carsten guldhammer

det er da vist et af eksemblerne på at det gør meget ondt at andre kan finde ud af at lave noget man ikke selv har formået

i flere år efterhånden har net's / pbs hårdnakket påstået at der IKKE kan laves en nemide løsning der også kan køres fra de mobile enhedder

nu har en privat person (sådan som jeg læser det) lavet en nem ide aplikation som rent faktisk kan køre på mobil enheder og STRAKS får net's / pbs ondt i røven over det istedet for selv at løse det problem som alle andre en lige nøjagtigt net's / pbs / danide ikke kan finde ud af at løse

og det er så her det gamle ordsprog om IKKE AT GØRE SIG UUNDVÆRLIG kommer ind i billedet

for nu har andre jo løst et problem som net's / pbs / danide elelrs er blevet fodret med milioner for ikke at sige miliarder for men som de aligevel ikke ser sig nødsaget til at løse...

Erik Jensen

i flere år efterhånden har net's / pbs hårdnakket påstået at der IKKE kan laves en nemide løsning der også kan køres fra de mobile enhedder


Har du en reference til dette? Synes kun at have hørt, at den nuværende løsning, som kræver Java, ikke virker på mobile enheder. Ikke at det skulle være umuligt at lave en anden løsning.

STRAKS får net's / pbs ondt i røven over det istedet for selv at løse det problem som alle andre en lige nøjagtigt net's / pbs / danide ikke kan finde ud af at løse


Tågesnak. De er jo ved at implementere en JavaScript-løsning.

Andreas Bach Aaen

Sikkerhedsmodellen i Dnamark har gået ud på:

1) Borgerne er dumme. Det er bedre vi laver sikkerheden for dem.
2) Vi vil som stat have mulighed for at overvåge borgerne (og dele det med andre landes tjenester)

Der er en grund til at DanID har brugt kamuflerede gif filer i deres løsninig. De ville have et fingeraftryk af din PC af en bedre kvalitet end den mere indkapslede javascript engine kan give.

Det var lidt det samme, der skete med den gamle rigtige digitale signatur, hvor TDC gjorde det svært at gemme signaturen i den pung, der følger med end egen browser. Ikke alle browsere med sådanne punge krævede et kodeord af tilpas sikkerhed for at TDC kunne stå inde for den samlede sikkerhedsløsning. Derfor:
skråt op med standarderne og vupti byggede de deres egen klods omkring signaturopbevaringen.

Vi har fået hvad vi har bedt om, hvis designkriterierne har været:
1) borgerne er dumme
2) Sikkerhed håndteres bedst centralt styret af særligt kompetente udvalgte folk.
3) betaling af udbyderen pr. tranaktion. (= ingen decentrale transaktioner)

Henrik Wahlberg

Jeg har nok ikke helt forstået NemId.
Jeg var af den overbevisning at sikkerheden var implementeret server side.
At klienten blot betjente nogle (få) api kald til at bringe min id, kode og i anden omgang respomce på challenge til serveren.
Jeg kan forstå at der kan være huller hvis klient gemmer/sender mit password et sted hen. Men det kan en simpel keylogger også gøre.

Hvad er det for en sikkerhed som er indbygget i klienten, som åbenbart er nødvendig for at Nets kan stå inde for det totale systems sikkerhed?
?? Henrik ??

Log ind eller Opret konto for at kommentere