Ny digital signatur kommer bag på 4 ud af 5 danskere

80 procent af danskerne er ikke klar over, at de i år skal gå over til at bruge NemID til at logge på deres netbank og det offentliges selvbetjeningsløsninger.

Overgangen til den nye digitale signatur i Danmark, NemID, er lige om hjørnet, når bankerne til sommer begynder at flytte brugerne over på den nye platform. Men det kommer bag på flertallet af danskerne.

Hele 80 procent af danskerne er ikke klar over, at de til efteråret skal bruge NemID til at logge på netbanken og det offentliges selvbetjeningsløsninger. Det fremgår af en undersøgelse lavet af Greens Analyseinstitut for Dagbladet Børsen.

Ganske vist har et flertal af danskerne hørt om NemID, men de er altså ikke klar over, at det får betydning for dem allerede i år.

»Det er typisk. Folk har ikke et kvalificeret kendskab til NemID, men de har hørt om det,« siger kommunikationschef Jette Knudsen fra DanID, der står bag NemID, til Børsen.

I modsætning til den første generation af den offentlige digitale signatur har NemID direkte opbakning fra bankerne, som vil flytte kunderne over på den nye løsning til login til netbanken. Det skal sikre signaturen tilstrækkelig kritisk masse til, at det også skulle få flere til at bruge signaturen til selvbetjening i forhold til det offentlige.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (31)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Peter Mogensen

Det er typisk. Folk har ikke et kvalificeret kendskab til NemID

Det tror jeg DanID skal være glade for. Hvis folk (og navnlig politikere) faktisk havde kvalificeret kendskab til NemID, så var I nok slet ikke sluppet afsted med den model i nu forsøger at trykke ned over hovedet på borgerne.

  • 0
  • 0
#2 Claes Brandt

Nu ved jeg ikke om det er et korrekt citat af Jette Knudsen, når hun siger at det er typisk, at folk ikke har kvalificeret kendskab til NemID. Jeg har lige ringet til min bank, og de anede intet om hvordan det kommer til at foregå, da de intet har fået at vide fra DanID og der står intet på bankens hjemmeside og det selvom sommeren er lige for døren. Hvordan kan DanID forvente at almidelige borgere ved hvad der foregår, når ikke engang bankerne (min i hvert fald) er blevet oplyst fra DanIDs side?

  • 0
  • 0
#5 Peter Warholm

Har jeg et realt valg mulighed?

Hvad skal jeg ellers vælge? Ikke at bruge netbank?

Lige nu kan jeg godt vælge andre muligheder for at login på feks. skat.dk Det har jeg også været nødt til fordi den digatal signature jeg fik for at hente åropgørelse fra Skat.dk sidste år virker ikke i år ...(den er tilsynladende bare 'væk')

Hvad er min sanktions muligheder hvis jeg ikke bryder mig om det ny signature?

Er der nogle der har nogen bud?

Å&F PJW

  • 0
  • 0
#8 Thomas Vestergaard

Det tror jeg DanID skal være glade for. Hvis folk (og navnlig politikere) faktisk havde kvalificeret kendskab til NemID, så var I nok slet ikke sluppet afsted med den model i nu forsøger at trykke ned over hovedet på borgerne.

Det undrer mig lidt, at der tilsyneladende er en konsensus blandt kommentatorne om antagelsen af, at den valgte implementation er idiotisk. Forudsat at nøglerne opbevares forsvarligt af DanID, kan der ikke være nogen tvivl om, at NemID er mere sikker end Digital Signatur.*

Er der virkelig nogen der tror på, at nøglefilerne bare er gemt på harddisken på en eller anden "sikker" server? Mon ikke der bliver brugt avanecerede kryptografiske metoder til at opbevare og benytte dem. (F.eks. Secure multipart computation.)

I mine øjne er problemet ikke, at arkitekturen er utroværdig, men at der ikke er tilstrækkelige information om hvordan min private nøgle holdes hemmelig til, at jeg kan have en "kvalificeret holdning" til det.

Rant om security-through-obscurity

Bootnote: *: Jeg nærer ingen illusion om, at den almindelige bruger skulle være i stand til at beskytte sin egen private nøgle.

  • 0
  • 0
#10 Anonym

Thomas

Du sammenligner æbler og pærer -

a) ingen taler om en softkey versus NemId. Vi taler om mobile hardware nøgledevices versus den centrale gatekeeper. og jeg taler ikke om misbrug af en og samme nøgle på tværs, men client-side SSO.

b) Ingen kan passe på din nøgle bedre end dig selv. Du kan kun forværre sikkerheden ved at flytte nøglen væk fra dig.

c) Selv holdningen - borgerne er dumme - er hovedproblemet i Dansk Digital Forvaltning fordi systemet misbruger den til at berettige allehånde overgreb.

Det er så taknemmeligt at sætte borgerne under administration for "deres egen skyld" - det har bare intet med demokrati og en fri samfundsøkonomi at gøre - det fører direkte til særinteressers magtmisbrug og skyldes i første omgang særinteressers forvridning af virkeligheden og kravene.

  • 0
  • 0
#11 Ida Jacobsen

Modsat de fleste syntes jeg faktisk løsningen ikke er helt åndssvag, og har masser af muligheder, selvom den måske umiddelbart virker som et skridt tilbage.

Med det sagt så giver jeg Peter Mogensen ret i at Jette Knudsen måske skal prise sig glad for at danskerne ikke stiller større spørgsmål (jeg ville ønske vi gjorde). Jeg håber virkelig hun er fejlciteret, for det virker på mig som en yderst arrogant samt ignorant udtalelse, når det kommer fra en organisation som denne.

Jeg kan se en meget stor sammenhæng mellem fejlslagne offentlige IT projekter og så det faktum at ganske få IT virksomheder får lov til at sætte sig tungt på enorme ansvarsområder, uden at der er en synderlig kontrol af deres egentlige kvalifikationer på flere planer.

Man stoler for blindt på firmaer baseret på deres størrelse, fremfor en løbende kontrol af hvad de kan levere.

  • 0
  • 0
#12 Lars Kr. Lundin

"Forudsat at nøglerne opbevares forsvarligt af DanID, kan der ikke være nogen tvivl om, at NemID er mere sikker end Digital Signatur".

Tvivl om sikkerheden ved central opbevaring kan der sagtens være.

Eksempel: Siden Hjemmeværnets oprettelse har der jævnligt været forslag om at personellet ikke længere skulle opbevare deres tjenestevåben i hjemmet, og at våbnene istedet skulle opbevares centralt, fordi det ville øge sikkerheden.

Men central opbevaring, som man bruger i hæren, er meget attraktiv for de kriminelle, som man så da ca. 200 håndvåben blev røvet på Antvorskov kaserne.

Og når selv yderst kompetente firmaer som Google får stjålet deres kronjuveler (nemlig deres egenudviklede software til multiple logins med et enkelt kodeord!) - http://www.nytimes.com/2010/04/20/technology/20google.html?src=busln - så kan man godt forstå at folk med viden på området er skeptiske overfor en nøgle-central.

  • 0
  • 0
#13 Thomas Vestergaard

Stephan:

Jeg sammenligner vist snarere appelsiner, bananer og æbler. For der er i hvert fald (mindst) tre aspekter involveret: Det vi har (Digital Signatur), det vi får (NemID) og det vi gerne vil have (mobile nøgledevices?).

Desuden argumenterer jeg ikke for, at staten skal gå ind og administrere mere på vejne af borgerne. Tvært imod argumenterer jeg for, at der ikke er tilstrækkelig gennemsigtighed. Med de informationer, der på nuværende tidspunkt er tilgængelige, er det ikke muligt at sige, hvor store statens muligheder for misbrug er. Og dét er et alvorligt demokratisk problem.

  • 0
  • 0
#16 Anonym

Thomas

Det er mere kompliceret end som så.

Faktum er at vi ikke ønsker nogen af de tre løsninger - det eneste vi har at bruge en digital signatur til at som platform at bygge din egen nøglestyring ovenpå. Du bør ikke genbruge nøgler på tværs af kontekst lige så lidt som det er dårlig latin at bruge den samme fysiske nøgle til mange låse. Taler vi datasikkerhed er det bare så meget vigtigere fordi alene genbrug af identificers kompromiterer datasikkerheden, dvs. det må vi ikke antage.

Gennemsigtighed løser ingenting når kontrollen ikke ligger hos behovet. Du kan alligevel ikke gennemskue hvad der foregår bag gardinerne i ministerierne eller Google.

Dvs. den eneste måde at sikre den digitale verden er at sikre at du har kontrol over konktest, dvs. de formålsspecifikke nøgler som hver enkelt sammenhæng bygger på.

Nøgler er gratis - det er evnen til at styre og administrere dem som er udfordringen - og manglende vilje til at sikre at du som borger opretholder din suverænitet som er problemet.

  • 0
  • 0
#17 Deleted User

@Thomas: med den løsning, har de jo netop dine private nøgler, og kan dermed signere hvad de har lyst til på dine vegne, uden at du kan opdage noget ..

Og for den almindelige bruger, er det IKKE digital signatur, men en almindelige, mere eller mindre sikker, sign-on løsning, men selve signaturen ligger jo hos DanID.

  • 0
  • 0
#18 Martin Jakobsen

Indtil videre er det kun halvdelen af de sites jeg skulle bruge som jeg kunne logge ind på. De var ikke så glade for Safari eller Firefox.

Da jeg så fik en ny computer har jeg ikke besværet mig med at få overført det(kan man det) eller bestilt en ny nøgle.

Det var måske nok ikke nøglen i sig selv som der var problemer med, men de sites som brugte den. Men det ændrer ikke på resultatet for mig at jeg ikke kan bruge alle sites når jeg ikke har nogen Windows maskine.

Sidst jeg skiftede bank var et af kravene til dem at de havde en netbank der virkede ordenligt under OS X. De checkede de så med deres support/it/kunde service,, whatever.

  • 0
  • 0
#20 Thomas Vestergaard

Per: Vi ved netop ikke, hvordan nøglerne opbevares, så det er ikke til at sige om dit scenarie er reelt eller overforsimplet.

Hvorfor skulle bankerne ikke har indtvunget et system til at sikre mod gendrivelse?

Stephan: Tak for en alle tiders forklaringen. :-)

Jeg bed mærke i:

... manglende vilje til at sikre at du som borger opretholder din suverænitet som er problemet.

Hvilket nok desværre i høj grad modsvares af en manglende interesse hos borgerne for at sikre deres suverænitet, hvis de til gengæld får mere "bekvemmelighed".

  • 0
  • 0
#21 Deleted User

@Thomas: pointen er at de HAR dine nøgler. Så kan de være opbevaret mere eller mindre sikkert, men din sikkerhed ER kompromitteret allerede.

Modsat idag, hvor de ganske vidst kan udstede nye nøgler i dit navn, men det vil invalidere din eksisterende nøgle, og du vil derfor opdage det.

  • 0
  • 0
#23 Martin Jakobsen

Og det skal jo siges at NemId heller ikke fungere særlig godt under Windows 7.

Det er jo lidt skræmmende. Og det som jeg syntes er værst er at jeg er ikke IT-ukyndig. Jeg har trods alt arbejdet med computere i 30 år. Men jeg havde hverken tid eller lyst til at skulle bruge tid på at hitte ud af hvordan det virker men det er åbenbart nødvendigt hvis jeg vil bruge det ordenligt. Og hvis jeg skal bruge tid på at nørkle med det for at få det til at virke hvad skal "almindelige" brugere så ikke?

-- Jeg fik installeret certifikatet i min keychain og mine mine mails er "underskrevet" underskrevet med certifikatet, men logon på websites er underlig for det meste da jeg forsøgte at bruge det.

Næste gang må jeg hellere sikre mig at jeg har et certifikat liggende i en fil i stedet for kun at have det liggende med kodeorg på i min keychain selvom sitet iirc. frarådede en at gøre det mht. sikkerheden.

  • 0
  • 0
#24 Anonym

Hvilket nok desværre i høj grad modsvares af en manglende interesse hos borgerne for at sikre deres suverænitet, hvis de til gengæld får mere "bekvemmelighed".

Det har vi meget lidt belæg for at antage.

Først og fremmest fordi der ikke er nogen grund til at tro at det er et reelt trade-of.

For det andet fordi folk absolut ikke er ligeglade med sikkerhed. Der er forskel på ikke at forstå og kunne gennemskue bullshit som de præsenteres for i stride strømme - og så at ville hvis man kan.

Børn forstår instinktivt at beskytte sig i online fora - problemet er at både staten og den kommercielle interesse svigter behovet, dvs. markedet svigter og staten svigter markedet.

Prøv at tage en vigtig valgmulighed fra folk, så skal du bare se reaktionen.

  • 0
  • 0
#25 Thomas Vestergaard

@Per: Jeg tror, at vores uenighed stammer fra hvad "har nøglerne" betyder. (Det lyder åndsvagt, I know. Forklaring følger.)

For mens der ikke er tvivl om, at DanID rent fysisk "har nøglerne", er det uklart om de rent praktisk "har nøglerne". (Og at der skulle være forskel på det, lyder også åndsvagt.)

Min formodning (eller forhåbning) er, at nøglerne fysisk er placeret i en eller anden form for sikker kryptoprocessor, og at interaktionen med den er forsvarligt kryptografisk sikret, når man skal give den sit "kodeord".

Jeg håber, at det gav bare en smule mening.

Pointen er, at hvorvidt nøglerne er kompromiterede ikke handler om, hvor de rent fysisk er, men om det giver mulighed for misbrug. Og at jeg mener, at det er et problem, at vi ikke ved det.

  • 0
  • 0
#26 Deleted User

@Thomas: jeg kan ikke umiddelbart se nogen grund til at DanID skal have en kopi af min nøglefil.

Og hvis de har beskyttet nøglen så godt, at det kræver enten min nøgle, eller en administrators nøgle at få adgang til den, så er den teknisk ubrugelig for DanID til andet end misbrug.

Jeg mangler som sagt at se formålet med denne sikkerhedsbrist, og nøglen kan stadig opbevares mere sikkert hos mig.

  • 0
  • 0
#27 Thomas Vestergaard

Stephan: Vi ved, at brugere ofte er villige til at foretage et sådan trade-of, når det kommer til overvågning/privacy. Og det er ikke bare så længe de ikke forstår konsekvenserne. (Eg. Google, biometriske id-kort, location-aware services.)

Om det så, som jeg kom til at antage før, kan overføres til sikkerhed er et godt spørgsmål.

Vi kører muligvis lidt i ring. Men der kommer netop ingen reaktion fra den brede befolkning, så længe de ikke har "kvalificeret kendskab" til hvordan deres nye "signatur" virker. Og det er på nuværende tidspunkt reduceret til at DanID siger "stol på os".

  • 0
  • 0
#31 sigurd fafnersbane

Tja, jeg henvendte mig til min bank - Danske Bank - og spurgte om det kunne være rigtigt, at der fra indførelsen af NemID kun kunne være tale om én måde at tilgå min netbank. Dette blev bekræftet. Fremover bliver det tilbage til den gammeldags metode : i banken en eller to gange om måneden for at betale regninger - betalingsservice vil vel stadig virke - uanset om jeg har netbank eller ej. Hvis andre vil gøre det samme (hvilket jeg tror de vil), vil det formodentlig betyde, at banken skal ansætte flere bankassistenter - godt for beskæftigelsen. Denne sag minder i betragtelig grad om skandalen omkring multimedieskatten - mere end 10 % har nu tilbageleveret udstyr (ifølge officielle statistikker, sikkert mere i løbet af et års tid). Men det er godt for beskæftigelsen - i hvert fald på kort sigt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere