Nets klar med NemID på Javascript om et år - trods manglende 'go' fra det offentlige

23. maj 2013 kl. 06:2910
Bankerne har sagt ja tak, så nu er Nets i fuld gang med at udvikle en NemID-løsning, der også virker på mobilen. Også selvom Digitaliseringsstyrelsen endnu ikke har fundet penge til løsningen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

I løbet af andet kvartal 2014 bliver det muligt at bruge NemID på mobile enheder.

Nets er nemlig i fuld gang med at udvikle en NemID-løsning baseret på Javascript, der virker i alle browsere - også på smartphones og tablets.

Udviklingsarbejdet er gået i gang, selvom Digitaliseringsstyrelsen endnu ikke har været i stand til at finde midler til at finansiere udviklingen. Bankerne, der også bidrager til udviklingen af NemID, har nemlig allerede givet deres tilsagn.

»Vi har fået o.k. fra bankerne, og udgangspunktet er, at vi også regner med, at Digitaliseringsstyrelsen er med. Ellers har vi en ny situation,« siger Business Architect Peter Lind Damkjær fra Nets til Version2.

Artiklen fortsætter efter annoncen

Samme budskab leverede Peter Lind Damkjær også i sit indlæg på Offentlig Digitalisering 2013-konferencen i Aarhus onsdag eftermiddag.

Den nye løsning vil ikke være en 1:1 portering af den nuværende løsning i Java. Det er for eksempel ikke muligt at lave den meget omtalte pc-checksum, der blandt andet sætter Nets i stand til at afgøre, om et NemID tidligere har været anvendt på en given pc eller ej.

»Vi bestræber os på, at der som minimum er samme sikkerhed i Javascript-løsningen som i den nuværende - ellers var vi ikke gået i gang. Så da Javascript ikke på samme måde kan tilgå hardware, som Java kan, så har vi måttet gøre noget andet på det område,« siger Peter Lind Damkjær til Version2.

Planen er at begynde at rulle løsningen ud hos de forskellige tjenesteudbydere i andet kvartal 2014.

Artiklen fortsætter efter annoncen

»Det bliver ikke et big bang, men et styret proces, hvor tjenesteudbyderne kobles på en efter en. Det betyder også, at Java- og Javascript-løsningen vil eksistere parallelt i en overgangsperiode,« siger Peter Lind Damkjær til Version2.

Jeres track record antyder, at projektet godt kunne gå hen og blive forsinket. Hvad siger du til det?

»Det er bestemt ikke noget, vi planlægger efter. Vi har bestræbt os på at lave en realistisk tidsplan med plads til at kode løsningen, teste den, sikkerhedsteste den og teste den nok en gang,« siger Peter Lind Damkjær til Version2.

Det er dog ikke alle, der får glæde af den kommende Javascript-baserede NemID-løsning. Erhvervssignaturer, der er baseret på nøglefiler, kommer således ikke til at fungere. Heller ikke de personer, der har valgt at købe NemID på hardware-løsningen med en USB-baseret kryptochip, vil kunne tilgå deres NemID gennem Javascript.

Artiklen fortsætter efter annoncen

»Det er det samme som før. I og med, at Javascript ikke kan tilgå hardware, vil de personer stadig skulle bruge en Java-applet,« siger Peter Lind Damkjær.

NemID blev designet i 2007, samme år som den første iPhone blev lanceret, og der var ikke krav om, at løsningen skulle fungere på andre platforme end de klassiske desktop-styresystemer som Windows og Mac OS. Men ved lanceringen af NemID i juli 2010 var smartphones allerede begyndt at blive udbredt, mens iPad'en var lanceret kort tid før. Til næste år forventer analysehuset Gartner, at antallet af solgte tablets globalt vil være tæt på antallet af solgte desktops og bærbare computere.

10 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
10
23. maj 2013 kl. 17:07

Nets laver en ny løsning hvor den eneste reelle forskel er at de skifter java-applet ud med JavaScript.

På hvilken måde forbedrer det følgende området :

MITM angreb

SSO løsning, ikke Digital Signatur

Central point of failure som kan DDOS'es

Det eneste af de kritikpunkter som har været fremme ved at lave en JavaScript løsning fremfor java-appletten er at det nu bliver svært for staten at få sneget kode ind på maskinen så den kan scannes. (Ikke flere skjulte eksekverbare filer i giffer osv).

Løsningen vil stadigvæk være en løsning hvor DanID har hele min digitale signatur og kan gøre med den som de passer uden mit vidende og dermed reelt set har kontrol over min digitale signatur.

8
23. maj 2013 kl. 15:26

Nå, så sker der da noget. Ask.com har sikkert opsagt sponsoraftalen! :)

6
23. maj 2013 kl. 13:26

Måske det største sikkerhedsmæssige problem ved NemID er, at brugerne ikke har nogen chance for at vide om en given NemID-dialog er ægte. Det er det som fx Version2's demonstration (og min klage over det samme til Datatilsynet et år tidligere) påpegede. Jeg mener simpelthen ikke at NemID har nogen seriøs sikkerhed så længe man som slutbruger således ikke kan bruge det sikkert, selv om man følger alle instruktioner fra Nets.

Standard-metoden til at løse dette problem er at have en central login-server med en domaine-adresse (fx https://nemid.nu), som brugerne er blevet gjort opmærksom på at de skal checke før de må indtaste deres password. Se fx OpenID.

Når NemID alligevel skal ændre samtlige websider som bruger NemID en af gangen, så burde de også samtidigt kunne indføre en central login-side samtidigt. Er der planer om det?

7
23. maj 2013 kl. 15:18

Så du foreslår vi får et "single point of failure" som den optimale løsning på det problem?

Det er netop det NemID er blevet revset for her med de seneste DDoS angreb fra scriptkiddies.

9
23. maj 2013 kl. 16:45

Så du foreslår vi får et "single point of failure" som den optimale løsning på det problem?</p>
<p>Det er netop det NemID er blevet revset for her med de seneste DDoS angreb fra scriptkiddies.

Den nuværende løsning har allerede et single point of failure, og det vil JavaScript-løsningen sandsynligvis også have (den vil sikkert loade JavaScript fra en central NemID-server).

Mit forslag er bare en lille justering, som gør det mere sikkert uden at introducere nogle nye bagdele som ikke findes i forvejen.

4
23. maj 2013 kl. 12:06

NemID projektet har gennerelt været omgærded med forsinkelser nysprog(omdefinering af eksisterende begreber etc.) og masser af misinformation, er der nogen der er helt klar over hvad det er nets faktisk er ved at udvikle til mobilen.

Bankerne bruger f.eks. ikke signaturdelen til noget som helst hvilket betyder at der man uden signatur delen kan implementere SSO delen af NemID via rene html forms. Så lur mig om ikke mobilløsningen når den endelig kommer i 2015 vil værre begrænset til udvalgte NemID baserede services?

HW tokens snakker realt et standardiseret API og næsten alle browsere understøtter det API og vi begynder at se mobiltelefoner med indbygget HW token, men selvfølgeligt kan en javascript applet ikke læse private nøgler(det er hele formåæled med en HW token at lokal kode ikke kan læse nøglen).

3
23. maj 2013 kl. 10:12

Det er nogle ganske specifikke API'er. Der er også et fil API til at tilgå filer på computeren. Men de kræver også ganske moderne browsere og rigtig mange af dem har slet ikke implementeret de her standarder endnu.

Jeg menes dog ikke at der er noget API til direkte I/O på maskinens porte som vil kræves ved et nøglekort f.eks.

5
23. maj 2013 kl. 12:27

Jeg menes dog ikke at der er noget API til direkte I/O på maskinens porte som vil kræves ved et nøglekort f.eks.

Det er primært fordi directIO fra javascript ville gøre javascript til en drømmeplatform for malware skribenter(i endny højere grad "unrestricted" java applets som den NemID idag bruger er det). PKI baserede logins(selv med hw tokens) er almindelige på intranet portaler, men de er ikke implementeret direkte i javascript.

Der er DOM udvidelser der i teorien tilader javascript kode at lave kald mod en keystore(crypt/verify/sign etc) og der er et webcrypto API under udarbejdning under V3C der har et lidt tilsvarende mål. Men det er lidt uklart hvor moden de ting er idag.

2
23. maj 2013 kl. 10:11

Det er fordi der er et specielt API til at tilgå det. Der er mig bekendt ikke mulighed for at tilgå smartcard læsere fra javascript, hvilket er problemet :-)