Pensionering af NemID lader til at være udskudt igen-igen-igen

https://www.version2.dk/artikel/paerelet-narre-nemid-fra-dig-med-klonede-hjemmesider-32397

Ville det ikke være muligt med en Nøgleviser app og et symbolsk gebyr hver gang du skifter telefon!

Sådan bortset fra at feks. Version2 bevisligt har kompromitteret den ?

Hvor ?

Men den implementerede løsning klarer jo fint opgaven som borger ID

Ville det ikke være muligt med en Nøgleviser app og et symbolsk gebyr hver gang du skifter telefon!

Mon "Det skal være nemt" fortalerne til den tid vil ændre mening når familie og venner kan se deres lægejournal.

Jeg syntes det er mere sikkert af lægen kan slå min jorunal op på sin skærm, end af han skal rende rund i mørke kælder gange og tilfældige afdelinger for af finde ud af hvor den eneste papirudgave af min journal er

og personligt tror jeg folk er utroligt lige glade med min journal det kan da godt være af der den første måned vil komme noget overskrifter i Ekstra Bladet med af statsministeren [indsat spændende journal indhold], men så tror jeg også det vil dø ud

Det virker som om af nogen er bange for af komme ind i fremtiden :O

Og ?
Hvis den implementerede løsning ikke kan klare opgaven, så er det da lige meget, hvor meget man sparer.

Men den implementerede løsning klarer jo fint opgaven som borger ID

Jeg købte min første nøgleviser i 2011 og den holdt op med at virke i 2014 (skrev en fejl i displayet)

Til en start afviste de reklamationen med henvisning til at den var mere end 2år gammel (Den var 2år og 3 måneder). Men efter lidt "dialog" med henvisning til at de ved købet lovede at den holdt i mindst 3år valgte de dog at erstatte den.

Den "nye" nærmer sig nu 3år og jeg forventer at den enten går i stykker eller løber tør for batteri - any-day-now - da aktuel markedsføring kun lover at den holder i 2år.

Så med 99,- for en nøgelviser er det selvfølgelig en relativt lille udgift men burde vel ikke være dyrere end at skulle have et nyt papkort tilsendt hvert kvartal .....

Systemet med underskrift plus to vitterlighedsvidner har faktisk vist sit værd over rigtig lang tid.
Og tanken om hvordan man skal håndhæve sin ret i fremtiden, hvis der sker noget med de data der repræsenterer samtlige skøder, kan godt få det til at gyse i en.

Det virker som om visse personer har en ide om at "nyt = altid bedre".

Jeg gyser også lidt ved tanken om hvad der sker, den dag hackere får adgang til det hele og dermed kan hente samtlige NemID brugere's skatteoplysninger, komplette lægejournal fra fødsel til nu og en hel masse andre oplysninger.

Mon "Det skal være nemt" fortalerne til den tid vil ændre mening når familie og venner kan se deres lægejournal.

så kan det være af der muligvis skal ansættes noget mere personale som du også skal finde finansiering til

Hvis du foreslår af folk skal møde personligt op skal du i for eksempel Tinglysningen, som man har flyttet til Hobro, så kan det være af der muligvis skal ansættes noget mere personale som du også skal finde finansiering til

Og tanken om hvordan man skal håndhæve sin ret i fremtiden, hvis der sker noget med de data der repræsenterer samtlige skøder, kan godt få det til at gyse i en.

så bare Nemt & Sikkert

Man forsøger at dække meget forskellige behov med een løsning. Jeg vil ikke udelukke at det på et tidspunkt kan lade sig gøre, men der er vi ikke endnu.

Til mere alvorlige sager, som tinglysning, nemkonto etc., bør sikkerheden være højere

Hvis du foreslår af folk skal møde personligt op skal du i for eksempel Tinglysningen, som man har flyttet til Hobro, så kan det være af der muligvis skal ansættes noget mere personale som du også skal finde finansiering til

så hvordan vil du gøre sikkerheden højerer ?

Men når det gælder din digitale signatur, så gælder jo de samme mekanismer.

jeg taler for af når man skal lave en løsning som skal bruges af hele befolkningen så skal man huske på af der faktisk sidder nogle personer der ikke ved hvilken vej musen skal vende og de skal også bruge det

så i stedet for Nemt men usikkert > Sværere, men sikkert.

så bare Nemt & Sikkert

og hvis du kan finde en bedre løsning end de nuværende der lever op til det må du da endelig sige til

Du antager meget belejliget at et eventuelt hack vil blive opdaget med det samme.

noget skulle jeg jo antage eftersom du ikke have omtalt et bestemt scenario

ligesom du i det her indlæg heller ikke er særlig konkret, ikke et eneste eksempel på hvad du mener med misbruge som kan give penge/magt

Nemt men usikkert > Sværere, men sikkert.

NemID er helt OK til mindre kritiske ting, som tilmeldinger og diverse andre ting, som ikke kan give den store gevinst for andre, hvis det bliver kompromiteret. Det er også OK, til bankernes overførsler, fordi at bankerne er erstatningsansvarlige, hvis det går galt.

• For bankerne er det en simpel forsikringskalkyle. Er det billigst at øge sikkerheden, eller betaler vi bare erstatningen, hvis det går galt.

Til mere alvorlige sager, som tinglysning, nemkonto etc., bør sikkerheden være højere. Her kan vi som borgere komme i alvorlige problemer, hvis det går galt, samtidigt med at det er voldsomt lukrativt for kriminelle at bryde sikkerheden. En løsning til dette skal bare være helt i top. Hvis det så betyder at man må droppe en digital indgang, fordi det er for besværligt for folk at håndtere, de ganske få gange de typisk har brug for det, så må det være sådan.

Nemmere af bruge er for af stoppe folk, så de ikke går i totalt nørde selvsving og laver en løsning der ikke kan bruges af 85% af befolkningen

Så altså.

Nemt men usikkert > Sværere, men sikkert.

Den holdning finder jeg ufatteligt lemfældigt.

helt enig, jeg så gerne af man bare havde en start knap i bilen og når man gik hjemmefra så kunne man nøjes med af lukke døren, desværre lever jeg ikke sådan et sted, men jeg ville helt klart have det helt vildt dejligt med det

Men når det gælder din digitale signatur, så gælder jo de samme mekanismer.

Det ville være rart hvis man bare kunne have noget som var ultra nemt, men sådan er verden ikke.

Alligevel taler du for at lige netop når det gælder din digitale identitet, så skal det hellere være "nemt", end "sikkert"

1)
hvis nets bliver hacket
og alle certificater derfor bliver ugyldiggjordt, men nogen når af misbruge mit cerfificat inden, vil jeg have meget nemmer ved af overbevise om af det ikke er mig, - eftersom historien har været bragt i samtlige medier,</p>
<p>end hvis det bare er min hjemme computer der er blevet hacket</p>
<p>og ligegyldigt hvilkent weblogin jeg bruger vil det ikke beskytte mod korrupte medarbejderer

Du antager meget belejliget at et eventuelt hack vil blive opdaget med det samme.

Er det totalt urealistisk for dig at forestille dig at en dygtig hacker som kommer ind og får adgang til alle vore digitale signaturer, vil gå lidt stille med dørene og forsøge at misbruge dem på en måde som giver ham penge/magt, men at han ikke bliver opdaget.

De fleste andre i branchen for hacking og malware taler ellers i disse tider mest om "Stealth" og "persistence".

Jeg kan forstå at du tror at en eventuel hacker straks vil bruge sin adgang til at gå amok og lave en masse ting som "larmer" og han derfor straks bliver opdaget og lukket ude. ?

Men hvorfor overhovedet have "nemmere at bruge" som en parameter. ?

Fed holdning at have som medie.

Det er da den rigtigt holdning af have Hvis du vil diskuterer indholdet af en lov, så ville det da være en genial ide af finde et sted der faktisk handler om lovgivning

Det her handler jo på ingen måde om at noget er sejt eller ej, men om at være beskyttet.

så lad os da kigge på dine beskyttende forslag

hvis nets bliver hacket og alle certificater derfor bliver ugyldiggjordt, men nogen når af misbruge mit cerfificat inden, vil jeg have meget nemmer ved af overbevise om af det ikke er mig, - eftersom historien har været bragt i samtlige medier,

end hvis det bare er min hjemme computer der er blevet hacket

og ligegyldigt hvilkent weblogin jeg bruger vil det ikke beskytte mod korrupte medarbejderer

så lad os kalde den Borger ID

hvis sikkerhed er for sværd / besværlig lader folk være med af lukke døren, og hvor sikker synts du en åben dør er ?

helt enig, jeg så gerne af man bare havde en start knap i bilen og når man gik hjemmefra så kunne man nøjes med af lukke døren, desværre lever jeg ikke sådan et sted, men jeg ville helt klart have det helt vildt dejligt med det

Resten af internettet er for længst standardiseret på TOTP til brug ved to-faktor-validering og det er på høje tid, at Digitaliseringstyrelsen og deres NemID / MitM-ID kommer med på vognen.

Eftersom Bankerne ikke vil være med til Nemid på hardware, hvorfor tror du så de vil være med til en TOTP dims ?

LOV nr 617 af 08/06/2016

....
§ 8. Loven træder i kraft den 1. juli 2016.
Stk. 2. Samtidig ophæves lov nr. 417 af 31. maj 2000 om elektroniske signaturer.

Samme gælder Norge som har "id-porten", hvor man bl.a. kan bruge MinID, BankID, Buypass og Commfides.

Og det er jo lige der at filmen knækker for temmelig mange af version2's læsere.</p>
<p>Da vi jo ikke ved noget om hvordan vores nøgle er 'opbevaret sikkert', så ved vi reelt ikke den kun er beskyttet med ROT13

Helt enig

Den eneste måde jeg kan være sikker på at min nøgle kun kan bruges af mig er hvis JEG har fuld kontrol over nøglen. (Og det har jeg ikke når den ligger hos Nets i noget hardware de påstår er sikkert"

Allerhelst ser jeg at min nøgle er genereret på baggrund af noget random entropi jeg selv har genereret, gemt på en hardware dims som ikke har mulighed for at interface med min pc.

Altså en hardware dims ala nøgleviseren men hvor jeg har genereret seedet til den.

På den måde kan jeg, så længe jeg er i besiddelse af donglen være sikker på at ingen (ej heller hackere eller korrupte medarbejdere hos Nets, som sælger oplysninger til se og hor) har adgang til mine data eller kan underskrive på mine vegne.

Der er vil jo så næsten i mål med NemID på hardware bortset fra at den skal sættes i computeren, den ikke virker med netbank og at man stadigvæk skal stole på at Nets ikke har en bagdør. Nå ja og så skal man jo stadigvæk have et papkort alligevel som backup.

d) ikke kan bruges af andre end dig.

Og det er jo lige der at filmen knækker for temmelig mange af version2's læsere.

Da vi jo ikke ved noget om hvordan vores nøgle er 'opbevaret sikkert', så ved vi reelt ikke den kun er beskyttet med ROT13

Nu har man kunne forfalske underskrifter i mange mange år, vores samfund eksistere stadigvæk.

Men dengang var der ikke et centraliseret system sådan at hvis jeg fik fat i din "underskrift" så kunne jeg med ganske få klik (Fra Ukraine) stjæle alle dine penge, ændre din adresse, rode med din selvangivelse, læse alle dine lægeoplysninger og en HEL masse andre ting.

Hvis man lægger alle sine æg i en kurv, så er det ENDNU mere vigtigt at kurven ikke har huller i bunden.

Nu har man kunne forfalske underskrifter i mange mange år, vores samfund eksistere stadigvæk.

Syntes det er et fint kompromi imellem sikkerhed og brugervenlighed. Men så da gerne flere udbydere.

Så det du siger er at du mener at en nøgle som nogen andre har genereret og som jeg aldrig kan få at se fordi den ligger på deres "sikre" hardware, godt kan betegnes som noget jeg er under "fuld kontrol" over ?

Nu henviste jeg sådan set kun til eIDAS forordningen. Jeg vil igen opfordre til, at du læser bilag II.

Forordningen forholder kun til, hvilke krav der skal opfyldes, ikke hvordan det sker, men i runde tal, så er kravene er flg.:

a) at genereringen kan holdes fortrolig, b) ikke gentages, c) ikke kan gættes eller forfalskes, d) ikke kan bruges af andre end dig.

Der står ikke noget om, at du skal lave genereringen (der står heller ikke noget om, at du ikke må, bare det ovenstående er opfyldt). Men igen, læs bilaget, det er mere præcist formuleret).

Du er velkommen til at have din egen mening (og personligt synes jeg bestemt, at du burde have lov til det, som du vil), men når der tales om kvalificerede elektroniske signaturer, så bygger det (bl.a.) på ovenstående definition.

Jeg må indrømme, at jeg blev også lidt forundret over den pigesure reaktion på at man anfægter validiteten af den italesættelse vi har været vidne til.</p>
<p>Jeg ville da ellers tro at man som såkaldt teknisk medie ville være interesseret i de tekniske synsvinkler der er om en sag, selv om de ligger i grænselandet mellem jura og teknik.</p>
<p>Ved at affærdige en teknisk diskussion som kun værende juridisk, og visa versa opnår man jo lige præcis at debatten havner mellem to stole, med det forudsigelige resultat til følge.

Helt enig

Hvis ikke et fagteknisk medie gider beskæftige sig med de reelle problematikker som kan være svære at gennemskue for menigmand, så står det sløjt til.

Der findes ellers nok mainstream mikrofonholder medier som ikke anfægter den måde staten forvalter lovene på og jeg havde egentligt håbet på at V2 var i det mindste lidt mere kritiske.

Er der noget der taler imod at vi kunne anvende samme model?

Jeg tror ikke Digitaliseringsstyrelsen kan finde ud af det.

Det virker ikke på mig som om de har nogen egentlig kontrol over de større ting de sætter i værk. F.eks. kørte NemID jo i lang tid på Java, selvom Java-plugins i browsere allerede fra starten af var en død sild. NemHandel og Digital Post er kørt efter samme model.

Håber jeg tager fejl, men mit bud er at der sidder en flok jurister og finder på nogle virkelighedsfjerne krav og så kommer der et stort selskab og stryger en masse millioner for at lave en software-mæssigt forældet løsning (selve hardwaren dvs. papkortet fungerer nu fint nok i NemID, det skal de have). Og 2020 er sikkert for optimistisk. Hvis de allerede har misset 3 år, så kan der sagtens forsvinde 3 år til.

Så det du siger er at du mener at en nøgle som nogen andre har genereret og som jeg aldrig kan få at se fordi den ligger på deres "sikre" hardware, godt kan betegnes som noget jeg er under "fuld kontrol" over ?</p>
<p>Min holdning er rimelig klar.</p>
<p>Jeg stoler ikke på en digital signatur som jeg ikke selv har fået lov at generere på baggrund af noget tilfældigt data jeg selv har genereret.

Men det er jo slet ikke en sådan konstruktion der er tale om fsva. Nemid, al den stund nøgle og signatur opbevares af samme entitet - med eneste sikkerhed at vi skal kunne stole på deres mumbo-jumbo HSM modul.

En mulig model kunne være en blackbox (og så må man vælge at stole på den) på borgerkontoret, hvor man så efter personlig betjening (så det vitterlig fremgår at man er den man er) får genereret hhv. privat nøgle til udlevering, samtidig med den offentlige nøgle uploades til stats CA.

Og de paranoide kunne så selv troppe op med egen boks/computer som kunne lave samme nummer, hvis de ikke vil stole på blackbox'en.

Det gør ikke noget det er lidt besværligt - vores identitet er lidt for vigtig til det bare skal være "nemt"!

Fed holdning at have som medie.

Jeg ville da ellers tro at man som såkaldt teknisk medie ville være interesseret i de tekniske synsvinkler der er om en sag, selv om de ligger i grænselandet mellem jura og teknik.

Ved at affærdige en teknisk diskussion som kun værende juridisk, og visa versa opnår man jo lige præcis at debatten havner mellem to stole, med det forudsigelige resultat til følge.

på ingen måde, kom da endelig med guldkornene
vil da gerne høre hvordan du vil lave et system der er nemmere af bruge hvor jeg selv skaber min egen nøgle

Men hvorfor overhovedet have "nemmere at bruge" som en parameter. ?

Mit hus og min bil vil med garanti være nemmere for mig at bruge hvis der ikke skulle bruges nøgle til at åbne dørene i huset eller til at starte motoren i min bil.

Jeg tror aldrig jeg har hørt nogen sige "Det er så besværligt at skulle huske sin nøgle og sætte den i tændingen og starte min bil med den, så kan i ikke designe det væk indtil i kan komme med en bedre løsning" ?

Jeg vil i hvert fald hellere have et ægte signatursystem med max sikkerhed og så lave det så sikkert som muligt indenfor de rammer end jeg vil have et system hvor man starter med at definere useability og så bagefter ser hvor meget sikkerhed det er muligt at implementere bagefter.

Hvordan kan du vide af der ikke er 3 nøgler ?

Fordi i digital signatur versionen har jeg selv fået lov at kode låsene og jeg er derfor den eneste som ved hvordan min nøgle ser ud.

Hvis du har en asymmetrisk kryptering kan jeg sagtens give dig min public nøgle uden at du har en chance for at bruge den til at dekryptere mine data.

I NemID eksemplet behøver "banken" jo ikke engang have en del af nøglen for de logger jo hvornår jeg bruger min nøgle.

Altså svarer det lidt til at jeg lejer en bankboks med en nøgle og så er der et kamera i boksrummet. Banken ved at jeg har været i boksen fordi det kan de se på overvågningen men de kan ikke komme i min boks fordi jeg har nøglen.

Det er korrekt, at kravet til en kvalificeret elektronisk signatur er, at data som bruges til at lave signaturen med, er under fuld kontrol af underskriveren

Så det du siger er at du mener at en nøgle som nogen andre har genereret og som jeg aldrig kan få at se fordi den ligger på deres "sikre" hardware, godt kan betegnes som noget jeg er under "fuld kontrol" over ?

Min holdning er rimelig klar.

Jeg stoler ikke på en digital signatur som jeg ikke selv har fået lov at generere på baggrund af noget tilfældigt data jeg selv har genereret.

Hvis du mener at NemID er lovstridig så kan du jo indklage det for rette instans.

Fed holdning at have som medie.

"Staten siger at det forholder sig sådan og hvis du er uenig så kan du jo klage til......Staten".

Der er ikke meget af det der "kritisk" tilbage i "kritisk journalistik" når man bare hovedløst viderekolporterer hvad staten siger uden at sætte spørgsmålstegn ved noget.

Det kommer hurtigt til at lugte lidt af Pravda når man blot siger "Staten siger det er sådan og så er det altså sådan".

Herudover, så er min holdning i hvert fald, at "nemt" må aldrig komme før sikkert.

Hvilket jo så er det modsatte af den holdning som man har haft med NemID.

Det er jo ret beset den evindelige kamp hvor "brugervenlighed" står overfor "sikkerhed" og hvor mange er totalt ligeglade med sikkerhed og kun fokuserer på brugervenlighed.

Sjovt nok så går trenden ellers den anden vej på mange andre områder. Folk vil f.eks gerne at deres biler er mere og mere sikrede mod tyveri og i deres hjem sættes der alarmer og så videre op for at forsøge at sikre sig mod tyven.

Når det så gælder folk's digitale identitet og signatur, så er det ufatteligt nok lige omvendt. Der skal det helst være "one touch, instant logon" og så skidt pyt med sikkerheden.

Det mest underlige er at folk åbenbart ikke har fattet at mens deres bil kan erstattes af en ny når den gamle er kørt til Polen, så kan en kompromitteret digital identitet være MEGET sværere og MEGET dyrere at få rettet op.

Mit gæt er at folk ikke ANER hvilke muligheder der er.

Altså lidt ligesom det lille barn der ikke er bange for at gå ud på vejen fordi barnet ikke aner at det er hamrende farligt.

Ser frem til dit svar med glæde

Men hvis det er baseret på gængse standarder, så kan de fleste mailklienter nu om dage signere out-of-the-box.

Dernæst, som før sagt, vi skal passe på med den evige higen efter "nemt", hvis det er på bekostning af sikkerhed.

og vedrørende biler så havde TopGear på et tidspunkt en bil med kun et forhjul, det var et mærkelig bil :O

Det kan da godt være af du og et par andre stykker syntes det af selv af være ansvarlig for nøglen er helt vildt sejt, men jeg gætter på af største delen af befolkingen ser papkortet som en måde af logge ind på netbank, og er glad for af de er sluppet af med den besværlige fil

Det her handler jo på ingen måde om at noget er sejt eller ej, men om at være beskyttet.

Jeg kan jo vende den om og sige at du nok ikke syntes det er så sejt at du ikke har noget af din digitale signatur når nets bliver hacked eller du bliver kendt og en korrupt medarbejder begynder at sælge dine oplysninger til Se og Hør.

Det handler rent faktisk ret basalt om at man har defineret at en digital signatur kun kan være en digital signatur hvis du har noget af din digitale signatur så du er SIKKER på at KUN DU kan signere noget digitalt på vegne af dig.

At du forsøger at forfladige det hele til at være et spørgsmål om nørderi, viser at du ikke har forstået ret meget af problematikken, eller at du er typen som er totalt ligeglad med sikkerhed, bare det er nemt.

Altså essentielt set typen som ville have det bedst med at der ingen nøgle eller nøglekort var til din bil, men at den kunne startes af enhver bare på en knap.

Så fordi TDC for lang tid siden lavede noget bras, så er muligheden for at lave noget der både fungerer og er sikkert altså ikke mulig i al fremtid?
Tyskerne lavede engang Trabant, så derfor kan vi ikke købe biler fra Tyskland!

på ingen måde, kom da endelig med guldkornene vil da gerne høre hvordan du vil lave et system der er nemmere af bruge hvor jeg selv skaber min egen nøgle

Ser frem til dit svar med glæde

og vedrørende biler så havde TopGear på et tidspunkt en bil med kun et forhjul, det var et mærkelig bil :O

vi har allerede prøvet den der besværlige fil fra TDC som betød af man kun kunne bruge den ene pc til det, utroligt ufleksibelt</p>
<p>Det kan da godt være af du og et par andre stykker syntes det af selv af være ansvarlig for nøglen er helt vildt sejt, men jeg gætter på af største delen af befolkingen ser papkortet som en måde af logge ind på netbank, og er glad for af de er sluppet af med den besværlige fil

Hvis jeg lejer en bankboks af typen med 2 nøgler, så vil det typisk være sådan at jeg har den ene nøgle og banken den anden.
Dette betyder at hverken jeg, eller banken kan komme i boksen uden at modparten ved det.

Hvordan kan du vide af der ikke er 3 nøgler ?

Hvorfor ?
vi har allerede prøvet den der besværlige fil fra TDC som betød af man kun kunne bruge den ene pc til det, utroligt ufleksibelt

Tyskerne lavede engang Trabant, så derfor kan vi ikke købe biler fra Tyskland!

Jeg er ikke sikker på jeg forstår spørgsmålet, for der er (som jeg ser det) ingen "standard" udbyder?

Det er måske en god ide af læse om emnet inden man stiller spørgsmål ... men syntes bare af det ser ud til gøre det mere besværligt,

... at de ikke overholder selv de mest basale krav til en digital signatur (At jeg som digital signatur ejer, skal have fuld kontrol over hele eller dele af min digitale signatur) ...

Interesserede parter bør nok nærlæse EU forordning nr. 910/2014, og specielt bilag II om krav til kvalificerede elektroniske signaturgenereringssystemer.

Det er korrekt, at kravet til en kvalificeret elektronisk signatur er, at data som bruges til at lave signaturen med, er under fuld kontrol af underskriveren, men som man ser af bilag II, så er det intet krav om, at signaturgenereringsdata kommer fra brugeren.

Lad os nu bare i stedet få et statsdrevet CA, så vi kan få en rigtig digital signatur, hvor vi selv er ansvarlige for nøglen

Hvorfor ? vi har allerede prøvet den der besværlige fil fra TDC som betød af man kun kunne bruge den ene pc til det, utroligt ufleksibelt

Det kan da godt være af du og et par andre stykker syntes det af selv af være ansvarlig for nøglen er helt vildt sejt, men jeg gætter på af største delen af befolkingen ser papkortet som en måde af logge ind på netbank, og er glad for af de er sluppet af med den besværlige fil

Christian, ifølge Digitaliseringsstyrelsen så er NemID en digital signatur: https://www.digst.dk/It-loesninger/NemID og ifølge et udvalg under Justitsministeriet, må digital signatur og OCES (Offentlige Certifikater til Elektronisk Service) opfattes som værende lige så bindende som en fysisk underskrift.

Hvis du mener at NemID er lovstridig så kan du jo indklage det for rette instans.

Og i øvrigt vil jeg henvise disse spidsfindige juridiske diskussioner til Ugeskrift for Retsvæsen og lignende.

Mvh Henning, redaktør.

Denne udlægning og slutning er, såvidt jeg ved, ikke korrekt, da NemID flere gange er blevet kaldt en digital signatur af Digitaliseringsstyrelsen.

Jeg troede at V2 var i stand til at løfte sig op på et lidt højere plan end ukritisk bare at holde mikrofonen for propagandastyrelsens skåltaler.

Men konklusionen er så åbenbart at "Med lov skal land ikke bygges."

Det er da en farlig glidebane at bevæge sig ned ad - du forholder dig til en italesættelse, i stedet for det faktuelle lovgrundlag.

Christian, som det fremgår af debattråden, så forholder jeg mig til en påstand om, at NemID bevidst ikke skulle være blevet kaldt for en digital signatur, og at formålet med dette skulle være at dække over lovbrud.

Denne udlægning og slutning er, såvidt jeg ved, ikke korrekt, da NemID flere gange er blevet kaldt en digital signatur af Digitaliseringsstyrelsen.

Diskussion i forhold til, hvornår noget er en digital signatur, har kørt ad flere omgange i årenes løb, blandt andet her på sitet. Og såfremt der er læsere, der har lyst til at tage en omgang til ud ad det spor, så skal de være mere end velkomne til at gøre det her i debatten. Jeg skal i den forbindelse ikke kunne afvise, at vi ved senere lejlighed kommer ind på emnet redaktionelt også. Jakob - V2

Har hørt at grunden til at SKAT ikke har droppet den løsning er at der rent faktisk er MANGE som stadigvæk bruger løsningen.

Herudover, så er min holdning i hvert fald, at "nemt" må aldrig komme før sikkert.

Umiddelbart lyder den model utroligt tiltalende da jeg tænker at dem som synes NemID/MitID/whatever, fortsat kan anvende det, mens virksomheder kan byde ind med løsninger som muligvis kunne fungere bedre for de som er lidt mere teknisk anlagt.</p>
<p>Er der noget der taler imod at vi kunne anvende samme model?

Det sidste først.

JA, der er ingen tvivl om at det der taler mest imod at anvende en ikke-monopolistisk tilgang er Nets.

I Norge har de som jeg har forstået det samme tilgang.

De har som jeg husker det "BankID" og så "NemID" som er ligesom i Danmark.

Som jeg har forstået det har langt de fleste nordmænd valgt BankID løsningen frem for NemID løsningen.

Siger måske lidt om hvor ringe Nets løsning er når de fleste fravælger den.

Her i Danmark er der ingen konkurrence og dermed intet incitament til at gøre det brugervenligt eller i det hele taget spørge brugerne.

og de der gør, glemmer deres password fordi det bruges så sjældent.

Jeg bruger tast-selv kode på skat, koden kan jeg godt huske da den er en variant over en anden kode.

Har hørt at grunden til at SKAT ikke har droppet den løsning er at der rent faktisk er MANGE som stadigvæk bruger løsningen.

MANGE er i min verden = at der nok også er en del der har NemID som vælger at bruge tast-selv koden.

Hvis dette er korrekt så syntes jeg jo det er lidt tankevækkende (Eller burde være det) at folk stadigvæk bruger alternative løsninger når det er muligt, frem for NemID som jo ellers skulle være så "Nemt"

Det er ikke helt rigtigt. Digital signatur er flere gange blevet omtalt som en del af NemID, som altså også fungerer som en login-løsning i forhold til eksempelvis netbanken.

Jeg kan også godt kalde min kat for en hund.

Selvom jeg gør det 100 gange, så er min kat altså stadigvæk en kat.

På samme måde er NemID IKKE en digital signatur i lovmæssig forstand, selvom man flere steder reelt set anvender den som dette.

Da NemID lige kom frem havde Nets meget travlt med at kalde det en digital signatur løsning, men da man så gik dem på klingen vedr. at de ikke overholder selv de mest basale krav til en digital signatur (At jeg som digital signatur ejer, skal have fuld kontrol over hele eller dele af min digitale signatur) så valgte de at nedtone gevaldigt og kaldte det derefter ikke for en digital signatur.

Reelt set er det ikke en digital signatur, men en såkaldt single-sign-on løsning hvor Nets har HELE min digitale signatur (gemt i noget hardware de forsikrer mig om, er sikkert) og så har jeg bare en nøgle som jeg kan bruge til at bede deres hardware om at signere på mine vegne.

Da jeg ikke har fuld kontrol over nogen del af selve min digitale signatur, har jeg INGEN mulighed for at vide om nogen på en eller anden måde har fået adgang og har skrevet under i mit navn.

Hvis jeg lejer en bankboks af typen med 2 nøgler, så vil det typisk være sådan at jeg har den ene nøgle og banken den anden.

Dette betyder at hverken jeg, eller banken kan komme i boksen uden at modparten ved det.

NemID svarer til at jeg lejer en bankboks og giver begge nøgler til banken og aftaler at jeg har et hemmeligt kodeord som jeg skal give til banken og så låser de op med begge nøgler for mig.

Jeg har reelt set INGEN mulighed for at vide om min bankmand står og roder i min bankboks når jeg ikke er der.

Og som jeg skrev andetsteds - hvorfor i alverden skal staten løse bankernes login problemer, det må de da selv rode med.

Jeg forholder mig til, om digital signatur officielt er blevet omtalt som en del af NemID

Prøv lige at tænk over hvad det betyder for et retssamfund, hvis det bliver normen - George Orwell har vist beskrevet det meget godt.

Jamen Jacob, det gør det da ikke mere korrekt af.

Jeg forholder mig til, om digital signatur officielt er blevet omtalt som en del af NemID - ikke om betegnelsen set fra alle synsvinkler er korrekt. Det er en anden diskussion, som jeg da bestemt vil opfordre til fortsætter her i debatten, hvor den - som jeg lige husker det - også flere gange tidligere har været oppe at vende. Jakob - V2

Det er ikke helt rigtigt. Digital signatur er flere gange blevet omtalt som en del af NemID, som altså også fungerer som en login-løsning i forhold til eksempelvis netbanken.</p>
<p>Læs evt. mere her:
<a href="https://www.nemid.nu/dk-da/om-nemid/historien_om_nemid/digital_signatur…;

Uanset hvor meget italesættelse man prøver med, så er lever NemID altså ikke op til LOV nr 417 af 31/05/2000 : Lov om elektroniske signaturer, som nu engang er den eneste lov der findes.

Og som jeg skrev andetsteds - hvorfor i alverden skal staten løse bankernes login problemer, det må de da selv rode med.

Jeg har heller ikke samme nøgle til min bil som til mit hus - på den måde behøver jeg ikke at frygte at en ondsindet mekaniker tømmer huset efter bilen har været på værksted.

Lad os nu bare i stedet få et statsdrevet CA, så vi kan få en rigtig digital signatur, hvor vi selv er ansvarlige for nøglen - så kan der samtidig være fri konkurrence (hvor der sagtens kunne stilles krav til godkendelse) for de firmaer der vil tilbyde at være nøgleopbevarere for dem der ikke selv vil påtage sig ansvaret for eget liv.

Det er ikke helt rigtigt. Digital signatur er flere gange blevet omtalt som en del af NemID, som altså også fungerer som en login-løsning i forhold til eksempelvis netbanken.

At det er blevet omtalt som sådan mange gange gør det ikke til en kvalificeret digital signatur i henhold til EU-definitionen, og dermed er det ikke en digital signatur.

Ved du om der overhoved er nogen der har valgt andre udbyder end standart udbyderen ?

Jeg er ikke sikker på jeg forstår spørgsmålet, for der er (som jeg ser det) ingen "standard" udbyder?

Jeg har læst lidt på siden og set introduktionsvideoen og det lader til at man kan blive guidet gennem en process hvor man få forslag til hvilke udbydere der passer til ens behov, men du kan også selv vælge.

Med den nuværende nemid løsning har man jo behændigt undladt at kalde det en digital signatur fordi den ingenlunde overholder de regler der er til en sådan, samtidigt med at man dog ikke har undladt at bruge den som en digital signatur løsning alligevel.

Det er ikke helt rigtigt. Digital signatur er flere gange blevet omtalt som en del af NemID, som altså også fungerer som en login-løsning i forhold til eksempelvis netbanken.

Læs evt. mere her:https://www.nemid.nu/dk-da/om-nemid/historien_om_nemid/digital_signatur/

Jakob - V2

Er der noget der taler imod at vi kunne anvende samme model?

Ved du om der overhoved er nogen der har valgt andre udbyder end standart udbyderen ?

Det er da positivt at der nu igen tales om en digital signatur løsning

Det her en måde til af logge på Netbank og Offentlige sider og når man nu har den så kan andre der har lyst da også bruge den

Ja.. overvågning på en nem og enkel måde fra statens side..

Muligvis lidt off topic; I forbindelse med andre debatter jeg har fulgt er jeg blevet opmærksom på en britisk model hvor der findes flere udbydere, som borgerne så kan vælge mellem.

Umiddelbart lyder den model utroligt tiltalende da jeg tænker at dem som synes NemID/MitID/whatever, fortsat kan anvende det, mens virksomheder kan byde ind med løsninger som muligvis kunne fungere bedre for de som er lidt mere teknisk anlagt.

Er der noget der taler imod at vi kunne anvende samme model?

Det er da positivt at der nu igen tales om en digital signatur løsning.

Med den nuværende nemid løsning har man jo behændigt undladt at kalde det en digital signatur fordi den ingenlunde overholder de regler der er til en sådan, samtidigt med at man dog ikke har undladt at bruge den som en digital signatur løsning alligevel.

Når man nu taler åbent om at det skal være en digital signatur løsning, er man vel tvunget til at lave en løsning som overholder kravene til en sådan.

Hvis man er træt af papkortet, kan NemID nøgleviser anbefales. Jeg ved godt det ikke er guldløsningen, og den er heller ikke gratis, men det gør sku' livet lidt lettere.