Nu skal din NemID også virke på portugisiske og rumænske websites

Nye EU-regler skal gøre det muligt at bruge NemID og digitale signaturer på tværs af landegrænser, så det indre marked også bliver digitalt.

Der kommer ikke nogen fælles digital signatur for alle borgere i EU. I stedet skal landene samarbejde om de nationale digitale identiteter, der findes allerede.

Tilslutter Danmark sig ordningen, betyder det, at du vil kunne bruge NemID på offentlige hjemmesider i andre EU-lande, mens disse lande omvendt også har krav på at kunne bruge deres egen signatur-løsning på offentlige danske websider.

Det fremgår af et forslag fra Europa-Kommissionen, som står for lovarbejdet i EU.

Fordelene ved ordningen er for eksempel, at man kan ansøge om en universitetsplads i et andet EU-land helt digitalt, i stedet for at skulle sende papirblanketter eller møde op rent fysisk, lyder det fra Neelie Kroes, næstformand for Europa-Kommissionen, i en pressemeddelelse.

Virksomheder kan også komme til at byde på offentlige kontrakter i andre EU-lande med et digitalt signeret bud, i stedet for at skulle sende tykke ringbind med tilbuddet ud med kurér.

»Personer og virksomheder skal kunne foretage transaktioner i et grænseløst digitalt indre marked, for det er en af fordelene ved internettet. Af hensyn til retssikkerheden og tilliden er der behov for en mere gennemgribende forordning om e-signaturer og e-identifikation. Med en gensidig anerkendelse af nationale eID og fælles standarder for tillidstjenester og e-signaturer kan vi forhindre en national opsplitning af internettet og offentlige onlineserviceydelser og derved lette tilværelsen for millioner af virksomheder og borgere,« udtaler hun.

Har et land ingen digital identifikation til borgerne, eller ønsker ikke at indgå i sådan et samarbejde, kan det vælge at stå uden for.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Carsten Stenberg

Som jeg skrev til redaktionen så kan det diskuteres om NemId er en digital signatur !?

Men ovenstående forslag, rejser også nogle interessante problemstillinger, f.eks. :

  • Overholder NemID overhovedet "fælles" standard (nej man kan vel ikke kræver at alle europæiske hjemmesider skal implemterer det tåbelige JAVA-interface vel ;-)

  • Er det så lovligt når dansk lovgivning kræver at spilletjenster SKAL benyttes NemID ?

  • Kan danske borgere få lov til at benytte andres landes signaturer istedet for NemID ?

  • 14
  • 0
Steen Bundgaard

Det er vigtigt at være opmærksom på at der ikke er noget lovgrundlag for NemID. ALT hviler på frivillige aftaler og det samtykke som man afgiver til DanID A/S ved oprettelsen af NemID. NemID er ikke reguleret af lov om elektroniske signaturer (hvor der f.eks. er en forbud om at nøglecentre opbevarer borgernes private nøgler)

  • 6
  • 1
Baldur Norddahl

NemID er en mærkelig hybrid. Set fra et website er NemID faktisk en digital signatur. Ja, websiden skal bruge den famøse Java Applet - men det næste der sker er at websiden modtager et digital signeret dokument fra applet'en. Websiden kan så checke at dokumentet er validt på samme måde som din browser checker et SSL-certifikat - altså ved at checke en digital signatur på dokumentet.

Siden du ikke personligt er i besiddelse af dit eget certifikat, så ja, alle europæiske hjemmesider må nødvendigvis tilbyde at give dig NemID applet'en. Det er så ret nemt for det er jo bare en iframe de kan inkludere. Men derudover kan de behandle resten af processen som om det var en normal digital signatur.

  • 7
  • 0
Jacob Pind

jævenfør Europa-Parlamentets og Rådets direktiv 1999/93/EF af 13. december 1999 om en fællesskabsramme for elektroniske signaturer

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31999L0093:D...

finder man i definition af en advanceret digital signatur følgende:

c) den genereres med midler, som underskriveren kan bevare den fulde kontrol med, og

d) den er knyttet til de data, som den vedrører, på en sådan måde, at en hvilken som helst senere ændring af disse data kan opdages

helt galt går det med Krav til "certificeringstjenesteudbydere, der udsteder kvalificerede certifikater"

generalt er direktiveret formuleret således at går ud fra man har et ordenligtt system og ikke makværk nemid er.

  • 14
  • 0
Mads Vanggaard

portugisiske og rumænske websites... Det ene land kommer mest i medierne for at have en elendig økonomi (uanset om de har en flot natur og gode rødvine), det andet er forbundet med folk der stjæler. Man skriver ikke tyske eller engelske, på trods af at det er dem vi samarbejder mest med inden for EU. Så er den dårlige harme pirret....

Nu får vi de normale nemID er elendigt indlæg, kun fulgt op af det er ikke en digital signatur fordi jeg ikke har den private nøgle hos mig selv (slet ignoring af humlen i emnet - du kan fremsende et signeret dokument i stedet for den normale måde). Og der skal nok komme en del på denne tråd, da folk nu kan tilføje at det gør interessen større for omverden at hacke os.

Alt for at få mere trafik til sitet og derved kunne sælge reklamer til kunder... Ak ja, vitsen er på trollene mens der nok bliver grinet hele vejen til banken

  • 6
  • 2
Jacob Pind

i dens nuværende form med centralistisk single point of failure, og at private/public key begger er i nemids besiddelse, er det nok tvivlesom om andre lande vil udsætte deres borger for den slags.

Skal nemid pludslige virker på udenlandske sidder, vil de være underkastet andet end dansklovgiving, og jeg kan ikke i min vildese fantasi forstille mig at tyskerne ville slippe dem ind.

  • 2
  • 0
Daniel Udsen

Som jeg skrev til redaktionen så kan det diskuteres om NemId er en digital signatur !?

Nej den diskution er for længst ovre og nemID har måtte inføre en disclaimer i deres "dokumentation" om at nemID ikke kan betegnes som en signatur i EU retslig forstand(og er dermed ikke omfattet af signaturdirektivet).

At DanID/nets med fuld opbakning fra politikerne får lov til at forsætte med i pressen at påstå noget andet er et mysterium.

  • 10
  • 0
Anonym

Man kan bare rette grundlaget under NemID så der bliver tale om egentlig Nem Identifikation.
Resten af deres umulige kode, kan de så passende få lavet om, så det kan bruges i bredere sammenhæng.
Men så skal de både have penge op af lommen og tænke sig om. Det er hele 2 ting, på en gang og det bliver nok for meget at belaste NemID-"guderne" med.

I den nuværende form, kan jeg ikke forestille mig, at NemID bliver gangbart i en lang række EU lande. Den slags systematiske registrering og 3 person udredning, har man ikke god erfaring med.

Men lad os nu se hvad der sker. Med tvang og muntert hævet pisk, kan NemID måske komme igennem EU.

  • 0
  • 2
Steen Thomassen

@Baldur
NemID er en digital signatur. Men den er endnu ikke på højde med en advanceret digital signatur, som definines af direktiv 1999/93/EF, som kun er en norm for digital signatur.

Men en norm skal ikke følges, hvis der ikke er behov det. Og man kan lave sin egne private digital signatur via openssl, hvis man kan nøjes med det.

@Daniel
Og NemID betegnet det hellere ikke som en advanceret digital signatur. Så de behøver ikke skrive at de ikke det. Men det bliver interessant at se hvordan de kan få det til at passe med andre lands normer. Men mit indtryk der er meget få lande, som har en digital signatur udbredelse som NemID.

  • 2
  • 1
Thomas Dynesen

På Nemid's hjemmeside kan man hente en digital signatur som man kan bruge til at underskrive e-mails og til at kryptere dem (hvis man kalder 3-DES for kryptering :-)). Certifikatet er udstedt af: "TRUST2408 OCES Primary CA". For at enhver kan overbevise sig om at dette er det rodcertifikat det offentlige Danmark bruger i forbindelse med kommunikation til borgerne er certifikatet til overflod ikke forsynet med nogensomhelst kommentarer (Issuer statement). Den eneste reference til Danmark er at C=DK i Issuer details. Men selvfølgelig TRUST2408 siger jo alt :-D
Jeg har fået det til at virke på Livemail på Vista, men endnu ikke på outlook på W7.

  • 0
  • 1
lArs hAnsen

Men mit indtryk der er meget få lande, som har en digital signatur udbredelse som NemID.


Tror du ikke at du tænker du på det gamle TDC OCES certifikat som jo var et rigtigt digitalt certifikat? NemID har jo, som det er fastslået flere gange, ikke en rigtig digital signatur men blot en single-sign-on løsning. NemID er muligvis tvangsudbredt, men det er ikke en digital signatur, så dybest set nærmer udbredelsen af digitale signaturer sig 0 efterhånden som TDC certifikaterne er udløbet.

  • 3
  • 1
Steen Thomassen

Tror du ikke at du tænker du på det gamle TDC OCES certifikat som jo var et rigtigt digitalt certifikat? NemID har jo, som det er fastslået flere gange, ikke en rigtig digital signatur men blot en single-sign-on løsning.

Nej. Der er også en digital certifikat til NemID. Forskellen at det er specielle bokse hos NemID som opbevare den private nøgle istedet for at det er brugeren som klare opbevaringen af af den private nøgle. Og den digitale signatur bruges fx til den digitale tinglysning. At man bruge løsningen som en Single-sign-on er noget andet. De fleste skal have fat i certifikatet for at tjekke ved login. (Bankerne ikke digital signatur, men engang certifikater)

  • 1
  • 7
Morten Andersen

Som jeg har prøvet at sige 10^6 gange så ER Nemid en digital signatur. Det er muligt den ikke overholder EU's lov om elektroniske signaturer, men derfor udgør løsningen en digital signatur. Hver borger (som har tilmeldt sig OCES-delen, bankdelen fungerer anderledes) har en unik privat nøgle, certifikat o.s.v. præcis ligesom var tilfældet i de gamle løsninger. Eneste forskel er at privatnøglen ikke ligger på brugerens maskine, men i et kryptomodul hos Danid. Når man indtaster en nøgle fra sit papkort så autoriserer man at ens privatnøgle på serveren bliver brugt til at foretage én operation og resultatet bliver nøjagtigt som hvis man selv havde haft privatnøglen og foretaget operationen.

Hele dette setup kan man mene om hvad man vil, men man kommer ikke udenom at det er en digital signatur og ikke blot en single-sign on løsning (på trods af at 1000 indlæg på version2 påstår det modsatte).

  • 1
  • 5
Jacob Pind

Det virker jo generalt underligt at man laver sådan en grad bøjning af begrebt digital signatur som direktiv 1999/93/EF gør det.
Det som er grund essencen i en signatur, at den henviser til en bestemt person, er pludslige ikke del af defintion på en signatur, men er nu en avanceret signatur.

Er jo kun dettet perverse konstrukt som muliggøre nogen kan snakke om nemid som værende en digital signatur,fordi har man indføjet denne signatur light.

  • 1
  • 0
Erik Jacobsen

Når man indtaster en nøgle fra sit papkort så autoriserer man at ens privatnøgle på serveren [....]

Eet af problemerne ved NemID er netop at ovenstående ikke er opfyldt. Du autoriserer netop ikke serveren som NemID ligger på, så når du indtaster brugernavn, password, 6-cifret kode ind i et lille vindue, der ligner NemIDs Java-applet, så ved du ikke om du snakker med NemIDs server.

  • 2
  • 0
Maxx Frøstrup

Nu har det her nemID cirkus trampet afsted i en rum tid uden noget egentlig katastrofalt er sket.

Jeg venter endnu paa at se en sag som denne behandlet i retten:

Forestil dig et profileret par hvor tingene normalt ser ud til at fungere fint.
Manden har dog eskapader med fremmede damer og det begynder at genere damen. Det sker jo engang imellem.
Hendes reaktion er dog, som kun en kvinde kan arrengere det: Behersket, effektiv og brutal.

Hun bruger simpelthen mandens NemID til at indgive en skilsmisse, dette sker jo via tinglysningen og via kommunikation med det offentlige ergo offentlig digital post, som der jo er under fuld jurisk bindende kontrol fra hendes side via hendes kontrol med hans NemID.
En detaljer er dog det betydelige hustru bidrag som er tinglyst med skilsmissen, og accepteret igen via NemID, for ikke at snakke om hussalget osv. Ja, det skal jo skaleres for ikke at give udslag de steder hvor man ville reagere, men brug selv fantasien og se hvordan man skaber den mest effektive skade.

Noget tid efter skilmissen er tinglyst, accepteret behandlet osv. Skifter hun adgangen til huset, (undskyld mangler bogstaver men dorlaasen).
mens han nu er ude at rejse eller bare ude af huset lang tid nok.

Den "stakkels" mand kommer da hjem og finder hans adgang til huset inddraget.

Hun kunne passende ringe til politiet og klage over hans chikane af hende, hvorved politiet jo burde fjerne denne fremmede mandsperson som jo tydeligt ikke har noget at lave ved matriklen.

Den sag venter jeg med smil. Indtil noget lignende grotesk er sket, er holdningen af alting er fornuftigt og forsvarligt og dette er vejen vi skal vade ned af.

Der er vel ikke mange tilbage uden NemID OCES, og det er jo ikke fordi der kommer en opt out til det.

  • 2
  • 0
Daniel Udsen

NemID er en digital signatur. Men den er endnu ikke på højde med en advanceret digital signatur, som definines af direktiv 1999/93/EF, som kun er en norm for digital signatur.

Signaturdirektivet indeholder 3 aspekter og er ikke primært teknisk.
1: Et regelsæt hvordan en myndighed sikre sig at signaturer kun udstedes til de rette personer(et regelsæt der er baseret på reglerne for pasudstedelse).
2: Et regelsæt for hvordan en signatur autoritet/udsteder skal agere/drives.
3: En nedskriving af en teknisk definition på en digital signatur.

Nemid overholder ingen af de 3 regelsæt, ergo overholder nemid ikke signaturdirektivet og kan ikke betegnes som en kvalificeret digital signatur.

Der er masser af eksempler på signaturløsninger der ikke er kvalificerede signatuerer(tm), f.eks. GPG "web of trust" eller diverse hele SSL rodet, og for densagskyld key baseret SSH logon, med varianter af alle 3 i brug kommersielt.

Der er også eksempler på systemer der gør brug af asynkron kryptografi uden at blive betegnet som signaturbaserede f.eks. kerberos/AD(der i arkitektur er tættere på nemid end f.eks. verisigns PKI).

  • 3
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize