Det var test af offentlige nøgler knyttet til NemID på hardware, der gav sikkerhedsfolkene hos Nets et praj om, at løsningen var sårbar i forhold et ny angrebsteknik.
Som Version2 tidligere har fortalt, valgte Nets i denne uge at lukke ned for NemID på hardware som følge af sårbarheden.
Angrebsteknikken, kaldet Roca, gør det kort fortalt muligt at regne sig frem til privat nøgle alene med kendskab til en offentlig nøgle i et PKI-setup, som blandt andet bruges i forbindelse med NemID.
I forbindelse med offentliggørelsen af Roca, er der også offentliggjort et testværktøj, hvor det er muligt at afprøve, hvorvidt en offentlig nøgle er sårbar i forhold til Roca.
»Vi har kørt samtlige nøgler (knyttet til NemID på hardware, red.) igennem,« siger Jens Jacob Larsen, chef for NemID product and delivery hos Nets.
Alle detaljer om Roca-angrebet er endnu ikke offentliggjorte. Det er planen, det skal ske 2. november i forbindelse med et indlæg på ACM Conference on Computer and Communications Security-konferencen, der finder sted i Dallas, Texas.
Hvad de manglende detaljer angår, fortæller Jens Jacob Larsen, at testprogrammet, som Nets har anvendt, lige nu fungerer som en black box, hvor det er usikkert, hvordan sårbarheden bliver identificeret i de offentlige nøgler.
Fik en mistanke
Folkene hos Nets begyndte at teste nøglerne, da de fik en mistanke om, at løsningen kunne være sårbar i forhold til Roca.
Mistanken opstår i kølvandet på, at Roca-angrebsteknikken bliver offentliggjort 16. oktober, fortæller Thomas Sølling, chef for NemID-medarbejdersignatur hos Nets.
»Der sidder nogle sikkerhedseksperter i vores it-afdeling, som begynder at undersøge, om sårbarheden faktisk gælder for vores løsning,« siger han og fortsætter:
»Det går op for os, at nogle private nøgler på NemID Hardware, er sårbare. Og det sker i løbet af 19. oktober, at vi finder ud af, der er et problem.«
På dette kontakter Nets fat i leverandøren af løsningen, Gemalto.
»Om fredagen (20. oktober, red.) beder vi dem tage produktet væk fra deres webshop, så der ikke er flere, der kan købe hardwaren,« siger Thomas Sølling.
Sidenhen har Gemalto bekræftet overfor Nets, at hardwaren anvender det sårbare Infineon-bibliotek.
Ny løsning
NemID på hardware har efter alt at dømme ikke været særlig udbredt. Nets har oplyst, at der var under 200 certifikater, der blev spærret i forbindelse med nedlukningen. Altså relativt få ud af den samlede NemID-brugerskare.
Ikke desto mindre, så går en del af aftalen mellem Nets og Digitaliseringsstyrelsen i forhold til NemID ud på, at det skal være muligt for borgeren at opbevare sin egen private nøgle. Den mulighed er med nedlukningen af den hidtidige hardware-løsning nu forsvundet.
Jens Jacob Larsen oplyser, at Nets er ved at kigge på flere alternative hardware-løsninger fra forskellige leverandører.
»Vi kommer med en hardwareløsning, det skal vi. Men vi skal først sikre os, at den er sikker.«
Nets ønsker på nuværende tidspunkt ikke at sige noget om, hvorvidt en fremtidig model for NemID på hardware kunne tænkes at involvere flere løsninger, modsat den tidligere Gemalto-løsning, hvor der kun har været en enkeltstående valgmulighed. Nets er heller ikke klar til at melde en konkret tidshorisont ud i forhold til, hvornår en ny hardware-løsning til NemID måtte være klar.