Ny forsinkelse: Privat NemID-nøgle på hardware udskudt på ubestemt tid

Muligheden for at få den private del af NemID-nøglen på en chip er nu udskudt på ubestemt tid, sammen med ny medarbejder-signatur. DanID er i forvejen et år forsinket og har betalt maksimal bod til staten.

Er du ikke glad for, at både den offentlige og private nøgle til et NemID-certifikat bliver opbevaret centralt på DanID’s servere, er der dårligt nyt.

Muligheden for selv at passe på den private nøgle, der så er kodet ind i en chip, som tilsluttes computeren via USB, bliver nemlig igen forsinket.

Oprindeligt havde DanID lovet, at privat nøgle på hardware ville komme som tilkøbsprodukt til NemID inden julen 2010, altså højst et halvt år efter lanceringen af NemID, og siden blev det udskudt flere gange frem til slutningen af 2011.

Læs også: Privat, decentral nøgle til NemID er på vej - ét år forsinket

Men nu tør Nets DanID, som står bag NemID, slet ikke komme med et bud på, hvornår firmaet er klar til at tilbyde private nøgler på hardware.

»Nu melder vi ikke en nagelfast dato ud, belært af erfaring. Den næste måned skal bruges på at lave en holdbar plan,« siger kommunikationschef hos DanID, Jette Knudsen, til Version2.

Da Version2 i juni skrev om forsinkelser for projektet, mente hun, at man kunne regne med den dengang nye tidsplan, men udviklingen af privat nøgle på hardware går meget langsomt, fordi DanID også slås med forsinkelser på et andet projekt, og det er samme gruppe ansatte, der skal udvikle begge løsninger.

Udrulningen af nye medarbejder-certifikater, MOCES 2, må DanID også udskyde, men denne opgave bliver prioriteret over privat nøgle på hardware, og derfor er alle kræfter sat ind på MOCES 2 i stedet, forklarer Jette Knudsen, der forventer lancering engang til foråret 2012.

»Det er samme udviklerteam, og vi bruger alle resurser nu på MOCES 2,« siger hun.

Forsinkelserne med medarbejder-signaturen skyldes flere problemer, blandt andet med at migrere data fra den gamle TDC-medarbejdersignatur, der stammer fra 2002 og få klaret de bugs, der viste sig i de 612 test-cases for den nye løsning.

»Projektet er risikobetonet, og nu er der for mange lamper, der lyser rødt. Vi vil ikke risikere at gå for tidligt i luften, ligesom Digital Tinglysning blev bebrejdet, og vi har en eksisterende infrastruktur, som fungerer,« siger kommunikationschefen med henvisning til den eksisterende medarbejder-signatur fra tiden før DanID og NemID blev til.

Imens der er store forsinkelser på to projekter, som DanID ifølge kontrakten med staten er forpligtet til at levere, har firmaet netop lanceret muligheden for at købe en elektronisk nøgleviser, så man kan droppe papkortet.

Læs også: Nu kan du købe elektronisk nøgleviser til NemID

Hvorfor bruger I tid på et projekt, som I ikke har forpligtet jer til, mens de andre projekter bliver forsinket? Er det fordi, I kan tjene penge på elektronisk nøgleviser?

»Nej. Det er ikke samme team, som arbejder med elektronisk nøgleviser, som i høj grad også er blevet til ved hjælp af underleverandører. Og det er ikke muligt at flytte dem over til de to forsinkede projekter. Så det spiller ingen rolle, om vi havde ventet med nøgleviseren,« siger Jette Knudsen.

Faktisk er det ikke rigtig muligt at få sat flere folk til Medarbejder-certifikat og privat nøgle på hardware, fordi det en kompleks opgave, hvor man skal kende løsningen til bunds, lyder forklaringen.

»Med vores projektleders ord er der nu så mange blikkenslagere i badeværelset, at der ikke kan være flere. Så det hjælper ikke at få flere folk på opgaven,« siger hun.

DanID har allerede betalt den højest mulige bod til staten for forsinkelserne, nemlig samlet fire millioner kroner, så de yderligere forsinkelser har ingen økonomiske konsekvenser for firmaet nu og her. Men fordi DanID også er forpligtet til at drive de gamle løsninger, så længe de nye ikke er klar, koster de nye forsinkelser alligevel penge for firmaet.

»Vi har bestemt masser af incitament for at blive færdige. Vi har lovet at levere det, og det skal også leveres,« siger Jette Knudsen.

Læs også: DanID betaler 4 millioner kroner i bod for NemID-forsinkelser

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Nicolai Klausen

Det kunne være spændende at høre hvad de relevante ordføre siger til de her forsinkelser. Ikke kun IT-ordførende, men også justits/kommunal/indrigs-ordførende da den nuværende løsning stiller borgerne i en situation hvor skal deponere kontrollen over deres identitet, for at kunne kommunikere med den offentlige sektor (og i stadigt stigende grad også den private).

Hvor er vores retssikkerhed, når andre kontrollere vores private nøgle og kan bevise de er os?

  • 12
  • 0
Mads Bendixen

DanID vedligeholder ikke den gamle TDC medarbejder signatur, så man er nødt til at bruge en ældre version af Java, for at den virker korrekt.
Fra update 24 og frem (NB: ikke testet med update 29) kan man ikke tilføje en ny medarbejdersignatur. Det virker kun i update23 og nedefter.
Det der så skaber lidt gnidninger, er at kun update 24 og fremefter virker i Internet Explorer 9...

  • 9
  • 0
Ole Olsen

Min første tanke går nu på, om det nogensinde har været hensigten at udgive en privat-opbevaret nøgle, eller om bankerne hellere ville beholde denne kontrol. Den kontrol er vel nok den "højest mulige bod" værd?

... men jeg har også altid været lidt paranoid når det gælder registersammenføringer :o)

  • 8
  • 0
tue kyndal

@ Mads Bendixen

Kan du uddybe dit svar lidt.

På min Ubuntu 10.04 har jeg følgende Java pakker installeret:

sun-java6-* version 6.26-1lucid1

I FireFox 7 kan jeg let importere mit certifikat via en pkcs12 fil, (tidligere eksporteret fra IE), men på f.eks. Skat.dk, siger den stadigvæk, at der ikke er installeret noget certifikat?

Skyldes det min version af Java, og skal jeg bare rulle tilbage til version 6.23-1lucid1?

Har kigget lidt på det, og kan ikke lige gennemskue hvordan jeg skal gøre det og forhindre at den bare opdateres igen.

Det er tremmeligt irriterende at DANID ikke vedligeholder det system, som man må anse for Current, nu hvor de ikke kan få styr på det nye NEMID med private nøgler.

(Jeg er en af dem der nægter at anvende NEMID til offentligt brug, før de før styr på detaljerne med den private nøgle. Mest af principelle hensyn!)

  • 3
  • 1
bent madsen

Har modtaget mail med flg. tekst:
"Tak for dit køb af NemID nøgleviser.
Du kan forvente at modtage din nøgleviser med posten inden for to til tre hverdage."

Orden blev afgivet den 24/10, på baggrund af banner reklamer. Disse
reklamer findes også på version2.dk

Så hvad er det egentligt som foregår hos Net's?
Snakker marketing ikke med resten af firmaet?

  • 2
  • 6
Mads Bendixen

@Tue
Dette er hvad jeg skrev til Nets. Som der står er det kun testet på Windows platforme, andet var ikke relevant.

Det er fra starten af september, 2011, hvor det stadig var planen at NemID til Erhverv skulle komme her i november.

Hej
Vedr. den gamle Digital Signatur. Funktionen til at tilføje flere certifikater til listen fungerer ikke i Java 6 update 24 og nyere.
Boksen med "Find certifikat" dukker fint op, men forsøger man at åbne et andet drev, mappe eller lignende, står den bare og hænger og til sidst svarer den ikke.

Det virker fint i Java 6 Update 23. Det er testet på Windows XP, Windows 7, Windows 2003 Server med følgende browsere: Firefox 5, 6, Internet Explorer 7, 8, 9.

Det ville være rart hvis en sådan info var at finde på Jeres side, så man ikke spilder en masse tid på fejlsøgning.

(Kan se jeg lavede en fejl i beskrivelsen, det var testet på 2008 Server, ikke 2003).

Og her er svaret fra supporten, som kom samme dag.

Tak for din henvendelse.
Jeg har snakket med en af vores teknikere, om det du skriver. Meldingen er, at nu hvor vi er så tæt på at lancere NemID til erhverv, er det ikke et problem der vil blive løst.
Beskeden om at få informationen op på hjemmesiden er blevet viderebragt til rette vedkommende.
Der er dog stadig mulighed for at føje flere certifikater til login-listen ved først at følge vejledningen til at tage en sikkerhedskopi, og dernæst vejledningen til at indlæse denne.
De kan findes her: https://www.nets-danid.dk/kundeservice/support/vejledninger_til_digital_...
Ydermere kan man f.eks. via Internetindstillinger i Internet Explorer tilføje certifikater

Linjeskift kommer åbenbart ikke med i quoten.

  • 0
  • 0
Jesper Lund

I Datatilsynets udtalelse om NemID fra april 2009 bliver vigtigheden af den decentrale nøgleløsning for OCES fremhævet
http://www.datatilsynet.dk/afgoerelser/seneste-afgoerelser/artikel/datat...

Specielt punkt 2.2

Det er endvidere Datatilsynets opfattelse, at et generelt hensyn til brugernes privacy taler for, at brugerne skal have et valg med hensyn til, hvor deres nøgle opbevares.

Datatilsynet skal derfor opfordre til, at der hurtigst muligt skabes mulighed for egen opbevaring af den private nøgle.

Datatilsynet skal endvidere anbefale, at det overvejes, om ikke muligheden for egen opbevaring af den private nøgle bør være gratis, eller at prisen i det mindste bliver så lav som muligt og alene kommer til at afspejle omkostningerne.

Det er et meget stort problem at den decentrale nøgle allerede nu er forsinket 12-18 måneder. Det er selvsagt helt uacceptabelt hvis den aldrig kommer, og med DanID's track record på området er det nærliggende at fortolke "udskudt på ubestemt tid" på denne måde.

DanID og videnskabsministeren har gentagne gange afvist kritikken af den centralt opbevarede "private" nøgle med at "..borgerne bare kunne få den decentrale nøgleløsning hvis de ønskede dette".

Kan vi forvente at de svar til Folketinget, og den danske befolkning (ikke mindst), nu bliver revideret i lyset af den nye situation?

Kan vi forvente at det offentlige afholder sig fra at kræve NemID (uden lovgrundlag, i øvrigt) indtil den lovede valgmulighed for borgerne eksisterer?

  • 4
  • 0
Kenn Nielsen

Min første tanke går nu på, om det nogensinde har været hensigten at udgive en privat-opbevaret nøgle, eller om bankerne hellere ville beholde denne kontrol. Den kontrol er vel nok den "højest mulige bod" værd?

Tjah , - det ville have været rart om man vidste hvilke relevante emner som bankverdenen er i gang med at lobby'e for - især hvilke ting der (af nets) forventes at gå igennem inden boden bliver for stor..

Måske man var stillet en nedlukning af datatilsynet i udsigt, eller ?

K

  • 1
  • 0
Michael Rasmussen

I FireFox 7 kan jeg let importere mit certifikat via en pkcs12 fil, (tidligere eksporteret fra IE), men på f.eks. Skat.dk, siger den stadigvæk, at der ikke er installeret noget certifikat?


Jeg har følgende installeret, og det virker fint hos mig i Chrome:

$ dpkg -s sun-java6-plugin
Package: sun-java6-plugin
Status: install ok installed
Priority: optional
Section: non-free/web
Installed-Size: 100
Maintainer: Debian Java Maintainers <pkg-java-maintainers@lists.alioth.debian.org>
Architecture: amd64
Source: sun-java6
Version: 6.26-3

For at du kan få skat, og andre systemer der anvender DanID's login applet til digital signatur til at finde din certifikat-fil automatisk, skal du oprette en mappe i din home folder med navn .oces (bemærk . 'puńktum' foran navnet). I denne folder skal du gemme din certifikat-fil, og du vil nu kunne vælge den i en drop-down boks i applet.

  • 1
  • 0
tue kyndal

Re: Fantastisk


Ja..det løste problemet.
Har også nyeste java og java plugins instsalleret, og med min *.pkcs12 fil i .oces folderen, finder den certifikatet automatisk. Det er jo noget lettet frem for at skulle pege på den hver gang.
Tak for info..og undskyld til forum for at denne tråd blev til en ubuntu vejledning i Digital signatur ;O)

  • 1
  • 0
Henrik Madsen

Hvorfor er det lige at man har sat et maks loft ind i forhold til hvor stor en bod kan blive.

Så længe de lovede løsninger ikke er klar burde der klart udløses en bod hver eneste måned indtil de så og fik sig fedtet færdig.

Vi er faktisk nogen der har levet uden netbank nu i over et år fordi vi går og venter på den løsning hvor vi selv har kontrollen over vores digitale signatur online.

Skandale at de nu, et år efter planlagt launch stadigvæk ikke magter at få deres systemer på gaden. !!!

  • 4
  • 1
Nicolai Klausen

aah, ja... klokken er vist mange.

Men det rejser så et andet spænende spørgsmål, hvem fra staten accepterede den ulideligt stupide max bod og er pågældende idag ansat et sted der direkte eller indirekte er finansierede af DanID. Hvis ikke er pågældende så stadig bemyndigede til at forhandle på statens veje?

Hvor er den dybtegående og kravende journalistik? Der er simpelthen så mange spørgsmål der ikke er blevet besvaret omkring tilblivelse af NemID og ikke mindst udfærdigelsen.

  • 0
  • 0
Jesper Lund

Vi er faktisk nogen der har levet uden netbank nu i over et år fordi vi går og venter på den løsning hvor vi selv har kontrollen over vores digitale signatur online.

Den decentrale nøgleløsning er en erstatning for OCES-NemID, så din private nøgle skal ligge på et smartcard i stedet for i DanID's HSM (så nøglen bliver privat og ikke bare "privat").

Netbank-NemID bruger slet ikke den private nøgle, og smartcard løsningen (hvis den kommer..) vil ikke kunne bruges til netbank. Her skal du bruge OTP koder fra enten papkort eller nøglegenerator, ligesom i dag.

Du kan sagtens bruge NemID til netbank uden at bruge OCES delen, og en overgang til smartcard modellen kommer som sagt ikke til at påvirke din brug af NemID til netbank.

  • 0
  • 0
Nicolai Klausen

Men har du åbnet NemID uden oces delen, kan oces delen aktiveres med ikke oces delen... du kan godt se hvor det her er påvej hen ikk'... du har heller ikke kontrol over ikke oces del og det er der med muligt for DanID (og dem med bemyndigelse til at krave handling af DanID) til at bevise de er dig ved hjælp af oces delen, som du ikke har aktiveret men givet DanID mulighed for at aktivere via ikke oces delen...

Selv om man er paranoid kan man godt være forfulgt... DDR var aldrig faldet hvis de havde denne form for kontrol, vi bliver ikke styret som de blev i DDR, men vi giver magthaverne stadig flere beføjelser som ville gøre DDR meget misundelige!

  • 1
  • 0
Log ind eller Opret konto for at kommentere