- juli får Danmark ny digital signatur: NemID slippes løs med en løsning, der adskiller sig på flere områder fra den gamle, blandt andet med centralt placerede private nøgler, som mange it-kyndige er kritiske overfor.
Men også juraen bag NemID har været diskuteret, for NemID lever ikke op til kravene i det EU-direktiv om 'elektroniske signaturer' fra 1999, som definerer løsninger for såkaldt kvalificerede certifikater baseret på hardware eller software.
At NemID dermed skulle være ulovlig, afviser IT- og Telestyrelsen på det bestemteste.
»Udbyderne af certifikater skal ikke overholde den lov, med mindre udbyderne markedsfører, at signaturen eller certifikatet er kvalificeret,« siger Palle H. Sørensen, centerleder for Digital Signatur hos IT- og Telestyrelsen.
Han mener, at diskussionen om lovgrundlaget er meningsløs - og i øvrigt lever den nuværende digitale signatur heller ikke op til kravene i loven. I Danmark har TDC i en periode udbudt kvalificerede certifikater, hvor der kun blev udstedt omkring 600 af dem. Der var simpelt hen ingen efterspørgsel, forklarer han.
»Direktivet er fra 1999 og har aldrig nogensinde fået medvind, fordi der ikke har været et marked for de krav, loven stiller op,« siger Palle H. Sørensen.
For dyrt at følge kravene
Problemet med loven er, at de meget specifikke krav gør, at barrieren for at udbrede kvalificerede certifikater på hardware i en national løsning er meget høj, fortæller centerlederen.
»Hvis et kvalificeret certifikat skal give mening, skal den private nøgle ligge i noget hardware, for eksempel et chipkort, som er certificeret efter nogle ganske givne standarder. Det medfører store omkostninger og hæmmer samtidig udbredelsen, fordi alle brugerne skal have en kortlæser for at bruge signaturen,« siger han.
»Så teknologien er ikke moden til det endnu. Men når vi har fået den nye digitale signatur i luften, vil arbejde på at migrere op til den løsning, som er beskrevet i loven,« siger Palle H. Sørensen.
Tjekker pas-nummer
Bortset fra certificeringen af hardwaren til opbevaring af nøglerne er NemID klar til at leve op til de øvrige krav i EU-reglerne. Der skal blot tilføjes et felt i certifikatet, som viser, at det er et kvalificeret certifikat, fortæller centerlederen.
Han regner med, at den hardware, som NemID i dag er baseret på, om nogle år vil kunne blive certificeret efter direktivets krav. Under alle omstændigheder vil der allerede i 2011 blive udstedt certifikater på chipkort, der afhængig af efterspørgslen vil kunne blive certificeret efter direktivets standarder.
Kravet om, at man enten skal møde personligt op, eller være kendt i forvejen, klares ved at borgerne allerede er kendt i deres netbank og giver sit samtykke, eller ved at kræve pas- eller kørekort-nummer, når certifikatet skal udstedes.
»Det er således ikke nødvendigt at møde personligt frem. Hvis man tidligere er mødt op personligt og har fået et dokument, kan man godt online få verificeret sin identitet,« siger Palle H. Sørensen.
Proceduren inkluderer også breve med koder, der bliver sendt til folkeregister-adressen, Løbende vil også kortene med engangskodeord blive sendt til den adresse.
Læs også:Danid til kritikerne: Få din decentrale, private nøgle til jul
Bag NemID står DanID, et firma under PBS, som ejes af de danske banker. Når NemID lanceres, vil alle netbankkunder i Danmark i løbet af efteråret blive nødt til at få en NemID for at logge ind. Det skal sikre den massive udbredelse af den digitale signatur, som den nuværende løsning aldrig opnåede.