Ny Nemlog-In-signering udskudt til 2022: Vigtigt at beholde NemID

Illustration: Digitaliseringsstyrelsen/Agnete Schlichtkrull
De borgere der allerede nu har migreret til den nye identifikationsløsning, MitID, skal vente med at smide det gamle NemID-papkort ud. Den nye signeringsløsning i Nemlog-In, er blevet forsinket fra den 6. december til engang i starten af 2022.

Den nye signeringsløsning i Nemlog-In er udskudt til starten af 2022. Det skriver Digitaliseringsstyrelsen i en pressemeddelelse.

Udskydelsen af den nye signeringsløsning kommer til at betyde, at de borgere, der allerede har migreret til MitID, ikke kan bruge det til at signere. MitID vil kunne bruges til at logge ind, eksempelvis i Digital Post, men altså ikke til at underskrive dokumenter.

Læs også: Tvivl om sikkerheden i MitID: Banker forlænger tilmeldingsfristen

Derfor opfordrer Digitaliseringsstyrelsen til, at borgere beholder deres NemID efter deres skifte til MitID.

Den nye go-live dato er endnu ikke fastlagt, men det oplyses i pressemeddelelsen, at man regner med at det bliver i starten af 2022.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Andy Webber

Jeg føler mig lidt utryk ved denne nye sikrere løsning, men måske er det fordi det klinger en anelse hult, når en løsning der vitterligt bør være sikker!!, allerede nu syntes at virke langt mere usikker. Suk! …men jeg er selvfølgelig heller ikke ekspert, blot en bekymret bruger 8-(

  • 7
  • 4
#10 Bjarne Nielsen

den forordning

Vel hovedsageligt eIDAS, udmøntet i NSIS.

Selvom vi roser os af at være et IT-foregangsland, så sidder vi ikke ligefrem forrest i den bus. Man kunne faktisk godt få det indtryk, at vi har udskudt det indtil det ikke længere kunne udskydes. Typisk dansk bedreviden og fodslæberi - vi er på godt og ondt en nation af hesteprangere og bedrevidende husmænd.

Alderen på nemid er da også ved at vise sig, så der er også kommet nogle moderniseringer og arkitekturændringer med. Nogle erfaringer har man lært af.

PS: Det betyder ikke, at jeg er næsegrus og ubetinget begejstret for alt i mitid.

  • 1
  • 0
#12 Christian Nobel

Vel hovedsageligt eIDAS, udmøntet i NSIS.

Jaeh jo, bob, bob, bob.

For ja eIDAS er godt nok en overordnet forordning, men det betyder ikke at det i praksis skal udmøntes i det galimatias der hedder hhv. NemID og MitID.

Så at påstå det er et EU krav er rendyrket vrøvl - men typisk herhjemme at når man overimplementer (eller fejlimplementer) en EU forordning, så giver man EU skylden for sine fejltagelser, og siger at "EU kræver det", selv om det aldrig har været tilfældet (i den udmøntning).

Noget meget tilsvarende har jeg set inden for affaldsdataområdet, hvor hele området blev lagt i ruiner, fordi der blev hævdet at EU havde stillet krav - og ja EU har muligvis stillet krav, men man svarede bare på det forkerte (oven i ens eget hovede opfundne) spørgsmål.

Hvis vi endelig skal tale eiDAS, så taler den også om kvalificeret digital signatur - hvad skete der lige med den, vi smed jo som bekendt en fungerende løsning ud, og skiftede den ud med en SSO løsning som intet har med digital signatur at gøre.

Og hvordan er det lige med MitID, er det stadig sådan at man skal ind gennem Nets' HSM modul for at lave en "digital signering".

Det er utroligt at vi her i landet kan bruge så mange penge og så megen tid, på at genopfinde den dybe tallerken som flad (der jo som bekendt er utrolig dårlig til at spise suppe af).

  • 3
  • 0
#13 Bjarne Nielsen

Hvis vi endelig skal tale eiDAS, så taler den også om kvalificeret digital signatur ...

Og hvordan er det lige med MitID, er det stadig sådan at man skal ind gennem Nets' HSM modul for at lave en "digital signering".

Jeg har tidligere været i nærheden folk, som har arbejdet ret tæt med disse standarder, og lidt er smittet af, så selvom jeg ikke selv har læst paragrafferne, men jeg er rimelig sikker på at det - med nogle ret væsentlige forudsætninger - er dækket af eIDAS.

I hele træskolængder er der tale om, at du skal have det hele certificeret, fra hardware og opefter, og en sådan certificering er ikke for tøsedrenge. Der er ikke plads til "hjemmestrik".

Jeg tror faktisk at du kan få lov til at se, hvad der er certificeret (altså, hvilke løfter, som er blevet kontrolleret, men trods alt ikke detajlerne i bevisførelsen).

  • 0
  • 0
#14 Christian Nobel

Jeg har tidligere været i nærheden folk, som har arbejdet ret tæt med disse standarder, og lidt er smittet af, så selvom jeg ikke selv har læst paragrafferne, men jeg er rimelig sikker på at det - med nogle ret væsentlige forudsætninger - er dækket af eIDAS.

Det dækker givetvis en del af eiDAS, men det fejler stadigt der hvor vi taler om en kvalificeret digital signatur.

Og selve implementeringen kan laves på mange måder, og man kan så påstå det lever op til eiDAS, men det ændrer ikke på det faktum at MitID (og NemID) er noget klyt.

I hele træskolængder er der tale om, at du skal have det hele certificeret, fra hardware og opefter, og en sådan certificering er ikke for tøsedrenge. Der er ikke plads til "hjemmestrik".

Nu taler vi nok forbi hinanden, for jeg er ikke i tvivl om at den/de udpegede CA skal leve op til en vis certificering (selvfølgelig skal de det, det er trods alt der hvor vi deponerer vores offentlige nøgle), men om at man som borger/virksomhed mv. selv har kontrol over egen nøgle - og sådan er det som bekendt ikke med Nets' HSM løsning, hvor begge nøgler er deponeret samme sted, og ikke 100% under borgerens kontrol (og løsningen dermed faktisk ikke er i overensstemmelse med lov om avanceret digital signatur.)

Jeg tror faktisk at du kan få lov til at se, hvad der er certificeret (altså, hvilke løfter, som er blevet kontrolleret, men trods alt ikke detajlerne i bevisførelsen).

Det er slet ikke det det drejer sig om, men at jeg vil have lov til selv (eller selv bestemme hvem jeg vil have til det) at kunne generere mine egne nøgler, eller afledte nøgler.

Desværre står vi nu her, 20 år senere, og har stadig kun en halvdårlig SSO løsning til (halv og hel)offentlig login, i stedet for vi kunne have haft en rigtig digital signatur, som også ville kunne bruges mellem borgere og private virksomheder, eller borgere imellem.

  • 0
  • 0
#15 Bjarne Nielsen

Det er slet ikke det det drejer sig om, men at jeg vil have lov til selv (eller selv bestemme hvem jeg vil have til det) at kunne generere mine egne nøgler, eller afledte nøgler.

Uden forudsætning af, at det sker på et certificeret device på en certificeret måde, så er der svjv. intet til hindrer for dette. Vi har jo svjv. fået forpligtelser til at acceptere andres signaturløsninger, hvis bare de opfylder betingelserne. Men hånden på hjertet, så er jeg mere usikker her.

Det er muligt at jeg tabte tråden undervejs, men jeg prøvede at svare på "hvorfor nu mitid, når vi allerede har en velfungerende løsning" (se #7), og der er svaret, som Malthe siger: EU-krav.

Det må du gerne være sur på (og også gerne på den valgte løsning), men det ændrer ikke på, at det er svaret.

Og du må også godt være sur over, at jeg prøver at svare på dit spørgsmål om, hvilken forordning der var tale om, selvom jeg nu bare prøvede at være hjælpsom. Jeg skal nok forsøge at gøre mig mere umage næste gang.

  • 0
  • 0
#16 Christian Nobel

Uden forudsætning af, at det sker på et certificeret device på en certificeret måde, så er der svjv. intet til hindrer for dette. Vi har jo svjv. fået forpligtelser til at acceptere andres signaturløsninger, hvis bare de opfylder betingelserne. Men hånden på hjertet, så er jeg mere usikker her.

Men hvordan skal dette kunne lade sig gøre når vi taler MitID - jeg kan altså stadig kun se det som en SSO løsning?

Det er muligt at jeg tabte tråden undervejs, men jeg prøvede at svare på "hvorfor nu mitid, når vi allerede har en velfungerende løsning" (se #7), og der er svaret, som Malthe siger: EU-krav.

Men kan du (eller en eller anden) så forklare mig den store radikale (bortset fra fraværet af papkort) forskel på MitID og NemID (ikke fordi jeg dermed anser NemID for velfungerende, mere for forståelsens skyld.)?

Og er det ikke lidt sent at trække EU kortet, al den stund eiDAS immervæk trådte i kraft i 2014 og er en fortsættelse af en forordning fra 1999?

Og det næste er, lever MitID overhovedet op til dette:

All organizations delivering public digital services in an EU member state must recognize electronic identification from all EU member states from September 29, 2018.

Mao. kan MitID overhovedet bruges i hele EU?

Det må du gerne være sur på (og også gerne på den valgte løsning), men det ændrer ikke på, at det er svaret.

Jeg er ikke sur på dig, jeg pointerer bare at det er lidt for letkøbt når Malte slynger udsagnet "Det er et EU-krav" ud, uden på nogen måde at kvalificere det, endsige reflektere over hvorvidt opgaven er forstået korrekt, men overlod til dig være budbringeren.

Og du må også godt være sur over, at jeg prøver at svare på dit spørgsmål om, hvilken forordning der var tale om, selvom jeg nu bare prøvede at være hjælpsom. Jeg skal nok forsøge at gøre mig mere umage næste gang.

Og jeg er heller ikke sur over at du bragte eiDAS på banen, tværtom, da den jo lige præcis skitserer nogle af de ting jeg ovenfor har forholdt mig til, herunder er MitID konstruktionen stadig ikke er lovlig, hvis man vil bilde folk ind at vi taler om en digital signatur.

Hvis jeg så endelig skal være sur (og det er ikke på dig!), så er det den her tendens til vi i Danmark bruger og misbruger EU fuldstændig efter forgodtbefindende - dvs. at vi gladeligt med den ene hånd overimplementerer nogle løsninger, selv om det overhovedet ikke er beskrevet på den måde i en forordning, så vi efterfølgende kan sige at det-har-EU-krævet, samtidig med vi med den anden hånd højt og flot vil skide på hvad EU siger, når det ikke passer i vores kram, værst eksemplificeret i telelogningen.

  • 0
  • 0
Log ind eller Opret konto for at kommentere