Arbejdet med NemID’s afløser er i gang: »Vi har travlt«

Til efteråret 2017 går NemID på pension, og en afløser skal stå klar. Derfor går Digitaliseringsstyrelsen nu i gang med at samle inputs fra alle interesserede, som optakt til at skrive en kravspecifikation.

Da NemID kom på gaden i juli 2010, var det midt i den mobile revolution, tre år efter iPhone-lanceringen og få måneder efter iPads kom til salg.

Og da NemID var baseret på Java, kunne det ikke køre på de mobile styresystemer, et problem der gælder endnu, men som er ved at blive løst med en Javascript-baseret løsning. Konceptet bag NemID blev nemlig i hovedtræk udtænkt i 2007, hvor it-verden så noget anderledes ud.

Nu skal Digitaliseringsstyrelsen igen i gang med at spå om fremtiden. I efteråret 2015 udløber den femårige kontrakt med Nets DanID om at drive NemID, og to år senere er alle muligheder for forlængelse brugt. Om mindre end fire år skal der altså stå en helt ny og fremtidssikret digital signatur klar.

»Vi har allerede travlt. I løbet af i år skal vi have skabt et beslutningsgrundlag for, hvilken vej vi skal gå. Der er en masse, der skal afdækkes, og vi skal høre en masse interessenter, brancheforeninger, leverandører og så videre,« forklarede Charlotte Jacoby, souschef i Digitaliseringsstyrelsen, til Dansk IT’s konference om it-sikkerhed onsdag.

Målet er, at beslutningsgrundlaget for NemID’s afløser er på plads senest ved begyndelsen af 2015, så det mere detaljerede arbejde med en kravspecifikation kan gå i gang.

Nye EU-regler bliver afgørende

Hun opfordrede alle til at komme med inputs til den nye løsning - men omvendt er det også en ret bunden opgave.

»Det er vigtigt for os at afdække det bredt, og vi vil overveje alle inputs. Men der er også mange overordnede hensyn og krav til løsningen,« sagde Charlotte Jacoby til Version2 efter oplægget.

Der er mange spørgsmål at tage stilling til. Hvem skal eje den nye løsning? Hvem skal drive den? Hvor højt skal sikkerhedsniveauet være, og hvilken funktionalitet bliver nødvendig i 2017 og mange år frem? Hvad med forretningsmodellen - skal staten betale hele gildet, eller skal det være et partnerskab med det private, ligesom med NemID?

Derudover er der en ny forordning på vej fra EU, som Charlotte Jacoby kaldte ’en ret afgørende faktor’.

De nye EU-regler skal sikre præcist samme regler for ’eID og tillidstjenester’, som det hedder i forordningen. Og både EU-Kommissionen og Europa-Parlamentet har travlt med at få reglerne vedtaget inden maj, hvor der er valg til parlamentet.

»Man var utilfreds med, at der ikke var nok interoperabilitet på tværs af landegrænserne. Så EU vil vedtage et krav om, at medlemsstater kan acceptere hinandens eID-løsninger, hvis de er anmeldt til Kommissionen,« sagde Charlotte Jacoby.

Med andre ord vil en dansker, der flytter til Grækenland, kunne identificere sig med NemID eller NemID-afløseren på de græske myndigheders hjemmesider, hvis Danmark har anmeldt sin digitale ID-løsning til Kommissionen.

»Forhandlingerne foregår i Ministerrådet og EU-Kommissionen lige nu. Selvom det er komplekst, både juridisk og teknisk, og involverer 28 lande, skal der findes kompromiser nu, for der er meget stort politisk pres for at få det vedtaget inden valget til Parlamentet. Mange af bestemmelserne er ved at blive lukket nu,« fortalte Charlotte Jacoby.

Hvordan arbejdet med at finde frem til NemID’s afløser helt præcist skal foregå, er ikke besluttet endnu, udover at en række interessenter skal høres undervejs.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Torben Mogensen Blogger

Der bør laves ikke en afløser, men (mindst) to helt uafhængige løsninger, der drives af forskellige udbydere.

Dels vil det give mere stabilitet, da man kan bruge den ene løsning, når den anden er ude af drift, og øget konkurrence vil mindske den monopolarrogance, der giver dårlige brugeroplevelser (som vi f.eks. har set med Rejsekortet).

  • 22
  • 1
Christian Nobel

... kunne jo passende starte med at ringe til Stephan Engberg.

Og så gyser det altså i mig når jeg læser at man:

Skal bruge flere år på at lave en kravspecifikation.
Tror man kan lave en "fremtidssikret" løsning.
Stadig ikke har lært af fejltagelserne, og gætter på funktionalitet i 2017.
Stadig satser på en one-size-fits-all.
Ikke melder ud om man vil skille stat og kirke ^^^^^ bank.
Overhovedet taler om ejerskab.

Men dyrt, det skal det nok blive.

  • 32
  • 1
Dennis Thrysøe

Brug standarder.

Og som Torben Mogensen også skriver så bør de først og fremmest fastsætte teknologi og interfaces, og så åbne det helt op. Digitaliseringsstyrelsen kan så bestille en reference implementation (som open souce) hos en eller anden leverandør. Denne kan så køres af hvem der nu gider, samt alle kan lave en alternativ implementation af samme interface(s).

Pærenemet, og formentlig endda meget billigere for staten.

  • 13
  • 1
Hans Schou

Så vil jeg fremsætte mine krav til kravspecifikationen: Al krypteret post skal foregå med selvgenererede private nøgler. Herefter kan borgerne så møde op hos banker eller borgerservice (eller hvem man nu mener andre har mest tillid til) og få key-signed deres nøgler.

Plus et client certificate til min browser nu vi er igang.

Og engangsnøgler som vi allerede bruger, dem beholder vi.

Jeg vil sende et brev direkte med yderligere information, og opfordre andre til det samme.

  • 10
  • 0
Thue Kristensen

Der bør laves et API, så der kan skiftes udbydere nemt. Gerne mere end to. Staten skal have rodcertificatet som borgernes nøgles signeres med, og alle public keys skal signeres direkte af staten (adresseregisteret?). Ikke noget med at vi ender med at et Amerikansk selskab kan udstede nøgler for danskere!

Der skal være mulighed for at man genererer sin egen nøgle til signering, på hardware of software kontrolleret af mig. Ikke noget med at det skal foregå på en speciel closed source hardware-dims som man skal købe fra NemID.

Hvis man laver en opbevaret nøgle-løsning, så bør der laves et API ala OpenID, hvor ens login er fx thue@nemid.dk , og man så bliver sendt til adressen efter @ (her "nemid.dk") for at taste sit password. Hvis man har valgt at opbevare sin egen nøgle, så kan man installere et (open source) browser-plugin, som genkender en login-dialog og derigennem signerer med den lokalt opbevarede nøgle.

At få det til at virke på tværs af grænser er vel i princippet ikke så svært - der findes jo standardformater til krypteringsnøgler. Så længe jeg leverer en tekst-fil signeret med min privatnøgle, så bør det vel virke.

Nåh ja, og så skal det følge grundlæggende good practice. Ikke noget med at kræve suspekte closed source programmer installeret uden nogen god grund. Og basal mulighed for at vide om man sender sit password det rigtige sted hen, ved brug af den indbyggede sikkerhed i adressebaren når man bruger browseren...

  • 2
  • 1
Allan Høiberg

Det skal naturligvis køre i Flash - så er det bombesikkert uafhængigt af enheder, og Apple skal nok få det til at køre på iOS, hvis de vil sælge noget i Danmark!

Nødløsningen kan passende laves til dotNet 3.5, der findes på en million milliard maskiner.

</satire>

  • 9
  • 3
Mogens Villladsen

"...høre en masse interessenter, brancheforeninger, leverandører og så videre..."

Så kan man jo bare sende en stille bøn om at "og så videre" også dækker brugerne denne gang.
Tænk hvis vi fik en løsning der var både sikker, teknisk god og intuitiv at bruge...

  • 13
  • 0
Jan Skou

>>>...en helt ny og fremtidssikret digital signatur klar.

Hahahahahaha! Undskyld mig, men når jeg tænker på hvor mange penge blev brugt (spildt) på "Fiasko 1.0", med en levetid på (1) meget kort tid før Java var yt, (2) 7 år i alt, og så læser den overstående sætning, kan jeg ikke lade være med at grine. Eller måske græde.

Det første skridt er at holde idioterne langt væk. Ja, dem der havde ansvar for NemID (og Rejsekortet) sidste gang. Og hvis der er nogen der allerede har lavet et passende system ude i den store verden som bare fungerer... KØB LORTET!!!!!

Og sidste, men ikke mindste, INGEN F*****G PAPKORT denne gang. Tak!

  • 5
  • 9
Peter Kyllesbeck

Jeg foretog en signering af et pdf-dokument i 2011 med programmet Digisigner. Siden er der udstedt nyt NemID-certificat, så når jeg i dag læser dokumentet i Adobe og signaturen validers, kommer der efter læsning af revocation list meldingen, at der er problem med signaturen, at den ikke kan valideres nu. Dog viser properties, at signaturen var valid ved signering og at dokumentet ikke er ændret siden. Så det er jo sådan set OK.

Så hvordan er det egentligt tænkt, at NemID skulle kunne bruges som signatur, når signaturen har en indbygget validitetsperiode? Er det nok at få oplyst, at den var gyldig i en periode, og at den var det, da den blev brugt?

Det hurtige svar er vel, det er ikke en digital signatur.

  • 3
  • 1
Christian Nobel

Så hvordan er det egentligt tænkt, at NemID skulle kunne bruges som signatur, når signaturen har en indbygget validitetsperiode? Er det nok at få oplyst, at den var gyldig i en periode, og at den var det, da den blev brugt?

Faktisk et meget interessant aspekt du bringer på bane.

For hvis en digital signatur skal være en fuldgyldig erstatning for en god gammeldags underskrift, så må kravet jo være at den aldrig må løber ud - ellers så står vi over for nogle virkeligt skræmmende perspektiver.

  • 11
  • 1
Henrik Biering Blogger

.. må man konstatere at det offentlige har forsøgt at være på forkant med hensyn til loginløsninger, mens sikkerheden med brugernavn/password løsninger halter grelt bagud på de fleste private websider.

På internationalt plan er der mange ny tiltag på vej, der kan give os både sikrere og mere brugervenlige loginløsninger.

Jeg synes det er prisværdigt at Digitaliseringsstyrelsen denne gang retter blikket lidt udaf før man sender nogle bankfolk ned i en kælder for at udtænke næste generations løsninger.

Man skal imidlertid ikke glemme at den type lovregulerede services som den kommende EU forordning vedrører kun udgør nogle få procent af det totale marked for login- og tillidstjenester.

Her er det vigtigt at både forbrugere og diverse typer online virksomheder kommer på banen, så ny løsninger ikke blot kan håndtere de regulerede anvendelser, men også kan fungere optimalt til øvrige formål. Med "Big Data" og "Personal Clouds" på beddingen, er det vigtigt med en vis synergi mellem diverse løsninger.

Det er med dette formål, jeg for nylig har taget initiativ til projektet BedreID, hvor første skridt netop er at indsamle krav fra diverse interessenter med særligt fokus på de private anvendelser. Alle er velkomne til at indgå i debat og konstruktivt samarbejde om at skabe fundamentet for ny og bedre login-løsninger.

  • 5
  • 0
Christian Nobel

mens sikkerheden med brugernavn/password løsninger halter grelt bagud på de fleste private websider.

Det er vel også et spørgsmål om at vælge de rette slag, og erkende at ideen om one-size-fits-all er en fundamental misforståelse.

Så der kan sagtens være sider hvor brugernavn/password er fuldt tilstrækkeligt - det vigtige er at der ikke kun er et sikkerhedsniveau, ligesom vi har forskellig låse/nøgler afhængig af om vi taler om haveskuret eller bankboksen.

Og at bruge bankboksnøglen til at åbne haveskuret er kun med til at udvande folks sikkerhedsbevidsthed.

  • 8
  • 0
Per Gøtterup

Lav en sikker løsning som er nem at bruge. Det er alt det NemID burde have været. Ikke noget papkort, ikke noget med koder genereret af samme firma som kontrollerer dem, ikke noget med gentagne logins hver gang man skifter site. Ægte SSO med token eller mobilapp, et signon som holder hele sessionen på tværs af sites som benytter systemet.

  • 3
  • 1
Henrik Biering Blogger

Og at bruge bankboksnøglen til at åbne haveskuret er kun med til at udvande folks sikkerhedsbevidsthed.

Helt enig! Men det er nu engang praktisk, hvis der er visse fælles træk mellem løsningerne ligesom der er det med traditionelle nøgler, f.eks. at det er noget man stikker ind og drejer rundt og som har et hul, der gør at man kan forbinde nøglerne med en nøglering. Det behøver ikke at være en hel adventure-oplevelse, hver gang man får en ny digital nøgle.

Desuden er der ved online ID et behov for kommunikation, f.eks. udveksling af attributter, hvor det er en fordel at standardisere omkring tekniske protokoller, ontologier m.m.

  • 6
  • 0
Hans Schou

Og sidste, men ikke mindste, INGEN F*****G PAPKORT denne gang. Tak!


Ovenover udtrykte jeg min glæde over engangsnøgler. Det er mit indtryk at du ikke kan lide papkortet, fordi det er af pap, og hvis det var en elektronisk SecureID fra RSA, så ville du være rigtig glad for den.

I min optik er det ikke så væsentligt om det er det ene eller det andet, bare det er engangsnøgler.

Og så et hemmeligt kodeord, så der mindst er two-factor-authentication. Ved huskøb og ægteskab/skilsmisse er det helt fint med three-factor eller mere.

  • 6
  • 0
Michael Nielsen

Brug en crypto terminal - der er ca et dusin leverandører af denne type hardware, som i øverigt beskytter din privat nøgle i hardware.

Systemet er således at CA'en kan udbydes til mange uafhængige leverandører, og derved kan der opstilles en konkurrence situation, hvor Staten, og Bankerne kan agere som deres EGNE CA'er hvis de ikke ønsker at stole på andre end sig selv.

Prisen for denne løsning er ingengang så høj som den meget forfejlede NemID implementering, kræver ingen pap kort. kræver bare krypto nøglen, som fint passer i dit nøgle bundt, hvor du normalt opbevarer nøgler.

Fordelene..
1. Kræver ikke din computer er fri for malware - det er sådanet irrelevant.
2. Man kan bruge en mobil telefon som crypto terminal - Mest optimalt hvis mobilerne fik noget ægte krypto hardware..
3. Er ikke nær så sårbar som NemID over for standard angreb.
4. Kan bruges som en Reel digital signatur.
5. Fungere offline, altså hvis nogen DDOS'er DanID, vælter NemID, hvis man laver det korrekt, er det DDOS immun.
6. Er handicap venlig, især for svagsynede mennesker, og kan udvides til at kunne bruges af blinde.
7. Kan havde multiple signaturere, for forskellige formål.

(og der er mange flere, men dette er lige på overskrift niveau).

  • 3
  • 1
Finn Christensen

Det første skridt er at holde idioterne langt væk. Ja, dem der havde ansvar for NemID (og Rejsekortet)...

..og jeg kan tilføje "etc. etc."

Men vores håb nytter ikke meget, da det aldrig sker. Vi har haft mindst de seneste 10-15 år til at ændre retningen herhjemme - nogen bedring - nix.

Vi har kredse herhjemme tæt knytte til beslutningstager, og begge parter har som deres daglige formål fortsat at kunne leve godt af one-size-fits-all-klumpe-dumpe løsninger.

~80% af befolkningen har andet i hovedet, så generelt stempler folk selv ind og betaler 24/7 samfundet for holde dumhed kørende.

Jo jo der er kompetente personer her, men de sidde ikke med ved bordet, når de sædvanlige beslutter og fordeler..

"...I løbet af i år skal vi have skabt et beslutningsgrundlag... Charlotte Jacoby.. "

  • 1
  • 0
Jens C. Hansen

Som jeg ser det, mangler befolkningen og politikerne et sted, hvor de kan se hvordan det forskellige fungerer. Det gælder blot om at have en stribe billeder der viser (bl.a.) hvert trin i PKI-baserede transaktioner, samt tilsvarende af den nuværende NemID-model, der viser svagheder og sårbarheder.

Så burde det være til at se, hvordan et kommende system IKKE skal designes.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize