Pensionering af NemID lader til at være udskudt igen-igen-igen
Aarhus. Ligesom det nært forestående skifte til sommertid, så lader en udskydelse af NemID's afløser, MitID, også til at være en årligt tilbagevendende begivenhed.
2017 var den oprindelige melding fra Digitaliseringsstyrelsen i forhold til, hvornår den nuværende NemID-løsning kunne sendes på pension.
Denne forventning blev senere justeret til 2018, og så sent som november 2016 var det blevet til 2019. Nu taler Digitaliseringsstyrelsen om 2020 i forhold til, hvornår en ny signatur- og login-løsning er klar til drift.
Det nye årstal blev nævnt under et indlæg fra Digitaliseringsstyrelsen på konferencen Offentlig Digitalisering, som Dansk IT har afholdt i Aarhus i denne uge.
Indlægget handlede om planerne i forhold til næste generation af Digital Post, den fællesoffentlige login-løsning NemLogin og så NemID.
Af indlægget fremgik det blandt andet, at Digitaliseringsstyrelsen forventer, at de tre projektforløb tidsmæssigt kommer til at ligge op ad hinanden, og det var i den forbindelse at 2020 blev nævnt som et bud på, hvornår løsningerne ville være klar til brug.
Efter seancen fangede Version2 den ene af indlægsholderne, kontorchef i Digitaliseringsstyrelsen Charlotte Jacoby.
Hvornår skal MitID være i drift?
»Det kan jeg ikke svare endeligt på. Det afhænger af de kontrakter, vi indgår med leverandøren.«
I nævnte 2020 i forbindelse med præsentationen?
»Ja, det er en rimelig rund tidsplan.«
I november 2016 sagde i 2019, og tidligere har I sagt 2018, og før det 2017. Det lyder som om, det er skredet endnu et år?
»Jeg ved ikke, om man kan sige, det er skredet endnu et år. De tal, vi giver, de er jo altid nogle overslag.«
For to år siden
På samme konference for to år siden talte Version2 med daværende kontorchef og nuværende vicedirektør i Digitaliseringsstyrelsen, Marianne Sørensen.
Anledningen var ligesom nu et indlæg om den kommende NemID-arvtager. Dengang kom det i forbindelse med indlægget frem, at Digitaliseringsstyrelsen ikke længere forventede, at generationsskiftet ville finde sted i 2017, men i stedet i 2018.
Her skal det retteligt nævnes, at Marianne Sørensen understregede, at den dengang nye tidsplan var usikker. Hun henviste i den forbindelse til de nye ejerforhold i forhold til den kommende løsning.
For de uindviede går det kort fortalt ud på, at Digitaliseringsstyrelsen dengang havde fundet frem til, at ejerskabet i forhold til den kommende NemID v2, netop navngivet MitID, skulle være i regi af et privat/offentligt partnerskab. Og i den forbindelse skulle der findes en eller flere partnere via det, som Marianne Sørensen beskrev som en udbudslignende proces.
I mellemtiden er partneren fundet. Det blev brancheorganisationen for bankerne, Finansrådet, der sidenhen er blevet en del af interesseorganisationen for penge- og realkreditinstitutterne, FinansDanmark.
Der står mere om partnerskabet her.
En udbudsproces
På den nyligt overståede Dansk IT 2017-konference angiver Charlotte Jacoby også processen med at finde en samarbejdspartner som en del af forklaringen på, hvorfor MitID stadig befinder sig et sted ude i fremtiden.
»Der er ingen tvivl om, at processen for etablering af vores partnerskab har medvirket til, at vi er kommet senere i gang med at arbejde med selve udbuddet i forhold til den næste NemID.«
Det er foreløbigt sparsomt med de tekniske detaljer i forhold til, hvordan den næste NemID skal tage sig ud. Under indlægget kunne Charlotte Jacoby dog oplyse, at den mobile platform ville få en væsentlig betydning i relation til den kommende løsning. Ellers var det mest konkrete, der kom frem om MitID i den forbindelse umiddelbart navnet.
»Man kan sige, at vi er på det stadie, hvor vi sidder og kravspecificerer. Vi har haft en markedsdialog for at få nogle input i forhold til, hvad der findes af løsninger derude. Vi vil gerne have standardbaserede løsninger. Det næste vi så skal, det er at lave udbudsmateriale, når vi lige har fået vores finansiering på plads. Og så skal vi gennem et forhandlingsforløb,« siger Charlotte Jacoby.
Hvad kunne være et bud på den største forskel, borgeren kommer til at opleve?
»For borgeren vil det centrere sig om nøglekortet: Vil vi fortsat have et nøglekort eller ikke? Det tror jeg umiddelbart bliver den største forandring for borgeren,« siger Charlotte Jacoby og tilføjer:
»Det er jo ikke en løsning i sig selv, det interessante er jo, hvad løsningen giver adgang til. Det vigtigste er, at det bliver sikkert og nemt.«
I forhold til sikkert og nemt, så henvendte en repræsentant fra en virksomhed, der gør i autentifikation via biometri, sig til Charlotte Jacoby efter præsentationen.
Som mere end en Version2-læser vil vide, så dækker biometri i denne sammenhæng over sådan noget som fingeraftryk. En funktion, som flere i dag har fornøjelse af, når de låser deres smartphones op eller autentificerer sig i forhold til Mobilepay og andet.
Er fingeraftryk stadig i spil som en del af autentifikationen?
»Det kunne det sagtens være, det ved jeg ikke, før jeg ser, hvad der bliver budt ind med. Men løsningen findes derude.«
2019-2020
Version2 har i en opfølgende e-mail spurgt Charlotte Jacoby, om det var muligt at komme tidspunktet for MitID's lancering nærmere. I den forbindelse er kontorchefen vendt tilbage med et estimat, der hedder 2019-2020.
Hvis det bliver 2019, så holder tidsplanen i forhold til Digitaliseringsstyrelsens udmelding fra november 2016.
Spørgsmålet er dog, i hvor høj grad, Digitaliseringsstyrelsen selv vurderer, det er realistisk, at 2019 bliver året, hvor NemID bliver til MitID.
Der var i den forbindelse en tidslinje på et slide under Digitaliseringsstyrelsen præsentation, som dækkede over forløbet i forhold til både næste udgave af Digital Post, Nemlogin og NemID, altså MitID.
Og her så det umiddelbart ud som om migrering - altså flytning fra den nuværende løsning - af slutbrugere til den nye løsning forventes at ligge nærmere 2021 end 2019.
Mens det digitale Danmark nok ikke går nedenom og hjem af at køre på den eksisterende NemID nogle år endnu, så har de gentagne udskydelser haft den konkrete konsekvens, at mulighederne for at forlænge den nuværende kontrakt med Nets er opbrugte.
Som Version2 tidligere har omtalt, så har Digitaliseringsstyrelsen i den forbindelse fundet frem til, at det er nødvendigt med et nyt udbud alene i forhold til driften af den eksisterende løsning frem til MitID indfinder sig. Det kan i princippet være Nets, der vinder dette udbud også.
- emailE-mail
- linkKopier link

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
Fortsæt din læsning
- Sortér efter chevron_right
- Trådet debat
- more_vert
- insert_linkKopier link
Den skal være afkoblet fra forbindelse til netværk. Så det!Ville det ikke være muligt med en Nøgleviser app og et symbolsk gebyr hver gang du skifter telefon!
- more_vert
- insert_linkKopier link
- more_vert
- insert_linkKopier link
Sådan bortset fra at feks. Version2 bevisligt har kompromitteret den ?Men den implementerede løsning klarer jo fint opgaven som borger ID
- more_vert
- insert_linkKopier link
Ville det ikke være muligt med en Nøgleviser app og et symbolsk gebyr hver gang du skifter telefon!
- more_vert
- insert_linkKopier link
Mon "Det skal være nemt" fortalerne til den tid vil ændre mening når familie og venner kan se deres lægejournal.
Jeg syntes det er mere sikkert af lægen kan slå min jorunal op på sin skærm, end af han skal rende rund i mørke kælder gange og tilfældige afdelinger for af finde ud af hvor den eneste papirudgave af min journal er
og personligt tror jeg folk er utroligt lige glade med min journal det kan da godt være af der den første måned vil komme noget overskrifter i Ekstra Bladet med af statsministeren [indsat spændende journal indhold], men så tror jeg også det vil dø ud
Det virker som om af nogen er bange for af komme ind i fremtiden :O
- more_vert
- insert_linkKopier link
Og ?
Hvis den implementerede løsning ikke kan klare opgaven, så er det da lige meget, hvor meget man sparer.
Men den implementerede løsning klarer jo fint opgaven som borger ID
- more_vert
- insert_linkKopier link
Jeg købte min første nøgleviser i 2011 og den holdt op med at virke i 2014 (skrev en fejl i displayet)
Til en start afviste de reklamationen med henvisning til at den var mere end 2år gammel (Den var 2år og 3 måneder). Men efter lidt "dialog" med henvisning til at de ved købet lovede at den holdt i mindst 3år valgte de dog at erstatte den.
Den "nye" nærmer sig nu 3år og jeg forventer at den enten går i stykker eller løber tør for batteri - any-day-now - da aktuel markedsføring kun lover at den holder i 2år.
Så med 99,- for en nøgelviser er det selvfølgelig en relativt lille udgift men burde vel ikke være dyrere end at skulle have et nyt papkort tilsendt hvert kvartal .....
- more_vert
- insert_linkKopier link
Systemet med underskrift plus to vitterlighedsvidner har faktisk vist sit værd over rigtig lang tid.
Og tanken om hvordan man skal håndhæve sin ret i fremtiden, hvis der sker noget med de data der repræsenterer samtlige skøder, kan godt få det til at gyse i en.
Det virker som om visse personer har en ide om at "nyt = altid bedre".
Jeg gyser også lidt ved tanken om hvad der sker, den dag hackere får adgang til det hele og dermed kan hente samtlige NemID brugere's skatteoplysninger, komplette lægejournal fra fødsel til nu og en hel masse andre oplysninger.
Mon "Det skal være nemt" fortalerne til den tid vil ændre mening når familie og venner kan se deres lægejournal.
- more_vert
- insert_linkKopier link
Og ? Hvis den implementerede løsning ikke kan klare opgaven, så er det da lige meget, hvor meget man sparer.så kan det være af der muligvis skal ansættes noget mere personale som du også skal finde finansiering til
- more_vert
- insert_linkKopier link
Systemet med underskrift plus to vitterlighedsvidner har faktisk vist sit værd over rigtig lang tid.Hvis du foreslår af folk skal møde personligt op skal du i for eksempel Tinglysningen, som man har flyttet til Hobro, så kan det være af der muligvis skal ansættes noget mere personale som du også skal finde finansiering til
Og tanken om hvordan man skal håndhæve sin ret i fremtiden, hvis der sker noget med de data der repræsenterer samtlige skøder, kan godt få det til at gyse i en.
- more_vert
- insert_linkKopier link
Problemet er, at visse af de tilfælde hvor der skal bruges NemID, kræver voldsom høj sikkerhed. I andre tilfælde er behøver sikkerheden ikke at være høj - derfor kan det bare være nemt.så bare Nemt & Sikkert
Man forsøger at dække meget forskellige behov med een løsning. Jeg vil ikke udelukke at det på et tidspunkt kan lade sig gøre, men der er vi ikke endnu.
- more_vert
- insert_linkKopier link
Hvordan vil du da gøre den højere ? og hvis du forslår noget med af gemme noget som helst på brugerens computer skal du huske på af løsningen skal bruges af alle danskererTil mere alvorlige sager, som tinglysning, nemkonto etc., bør sikkerheden være højere
Hvis du foreslår af folk skal møde personligt op skal du i for eksempel Tinglysningen, som man har flyttet til Hobro, så kan det være af der muligvis skal ansættes noget mere personale som du også skal finde finansiering til
så hvordan vil du gøre sikkerheden højerer ?
- more_vert
- insert_linkKopier link
Men når det gælder din digitale signatur, så gælder jo de samme mekanismer.
jeg taler for af når man skal lave en løsning som skal bruges af hele befolkningen så skal man huske på af der faktisk sidder nogle personer der ikke ved hvilken vej musen skal vende og de skal også bruge det
så i stedet for Nemt men usikkert > Sværere, men sikkert.
så bare Nemt & Sikkert
og hvis du kan finde en bedre løsning end de nuværende der lever op til det må du da endelig sige til
- more_vert
- insert_linkKopier link
Du antager meget belejliget at et eventuelt hack vil blive opdaget med det samme.
noget skulle jeg jo antage eftersom du ikke have omtalt et bestemt scenario
ligesom du i det her indlæg heller ikke er særlig konkret, ikke et eneste eksempel på hvad du mener med misbruge som kan give penge/magt
- more_vert
- insert_linkKopier link
Lige præcis. Det skyldes den "one size fits all"-tilgang man har til signaturen.Nemt men usikkert > Sværere, men sikkert.
NemID er helt OK til mindre kritiske ting, som tilmeldinger og diverse andre ting, som ikke kan give den store gevinst for andre, hvis det bliver kompromiteret. Det er også OK, til bankernes overførsler, fordi at bankerne er erstatningsansvarlige, hvis det går galt.
- For bankerne er det en simpel forsikringskalkyle. Er det billigst at øge sikkerheden, eller betaler vi bare erstatningen, hvis det går galt.
Til mere alvorlige sager, som tinglysning, nemkonto etc., bør sikkerheden være højere. Her kan vi som borgere komme i alvorlige problemer, hvis det går galt, samtidigt med at det er voldsomt lukrativt for kriminelle at bryde sikkerheden. En løsning til dette skal bare være helt i top. Hvis det så betyder at man må droppe en digital indgang, fordi det er for besværligt for folk at håndtere, de ganske få gange de typisk har brug for det, så må det være sådan.
- more_vert
- insert_linkKopier link
Nemmere af bruge er for af stoppe folk, så de ikke går i totalt nørde selvsving og laver en løsning der ikke kan bruges af 85% af befolkningen
Så altså.
Nemt men usikkert > Sværere, men sikkert.
Den holdning finder jeg ufatteligt lemfældigt.
- more_vert
- insert_linkKopier link
helt enig, jeg så gerne af man bare havde en start knap i bilen og når man gik hjemmefra så kunne man nøjes med af lukke døren, desværre lever jeg ikke sådan et sted, men jeg ville helt klart have det helt vildt dejligt med det
Men når det gælder din digitale signatur, så gælder jo de samme mekanismer.
Det ville være rart hvis man bare kunne have noget som var ultra nemt, men sådan er verden ikke.
Alligevel taler du for at lige netop når det gælder din digitale identitet, så skal det hellere være "nemt", end "sikkert"
- more_vert
- insert_linkKopier link
1)
hvis nets bliver hacket
og alle certificater derfor bliver ugyldiggjordt, men nogen når af misbruge mit cerfificat inden, vil jeg have meget nemmer ved af overbevise om af det ikke er mig, - eftersom historien har været bragt i samtlige medier,</p>
<p>end hvis det bare er min hjemme computer der er blevet hacket</p>
<p>og ligegyldigt hvilkent weblogin jeg bruger vil det ikke beskytte mod korrupte medarbejderer
Du antager meget belejliget at et eventuelt hack vil blive opdaget med det samme.
Er det totalt urealistisk for dig at forestille dig at en dygtig hacker som kommer ind og får adgang til alle vore digitale signaturer, vil gå lidt stille med dørene og forsøge at misbruge dem på en måde som giver ham penge/magt, men at han ikke bliver opdaget.
De fleste andre i branchen for hacking og malware taler ellers i disse tider mest om "Stealth" og "persistence".
Jeg kan forstå at du tror at en eventuel hacker straks vil bruge sin adgang til at gå amok og lave en masse ting som "larmer" og han derfor straks bliver opdaget og lukket ude. ?
- more_vert
- insert_linkKopier link
Nemmere af bruge er for af stoppe folk, så de ikke går i totalt nørde selvsving og laver en løsning der ikke kan bruges af 85% af befolkningenMen hvorfor overhovedet have "nemmere at bruge" som en parameter. ?
- more_vert
- insert_linkKopier link
Fed holdning at have som medie.
Det er da den rigtigt holdning af have Hvis du vil diskuterer indholdet af en lov, så ville det da være en genial ide af finde et sted der faktisk handler om lovgivning
- more_vert
- insert_linkKopier link
Det her handler jo på ingen måde om at noget er sejt eller ej, men om at være beskyttet.
så lad os da kigge på dine beskyttende forslag
hvis nets bliver hacket og alle certificater derfor bliver ugyldiggjordt, men nogen når af misbruge mit cerfificat inden, vil jeg have meget nemmer ved af overbevise om af det ikke er mig, - eftersom historien har været bragt i samtlige medier,
end hvis det bare er min hjemme computer der er blevet hacket
og ligegyldigt hvilkent weblogin jeg bruger vil det ikke beskytte mod korrupte medarbejderer
så lad os kalde den Borger ID
hvis sikkerhed er for sværd / besværlig lader folk være med af lukke døren, og hvor sikker synts du en åben dør er ?
helt enig, jeg så gerne af man bare havde en start knap i bilen og når man gik hjemmefra så kunne man nøjes med af lukke døren, desværre lever jeg ikke sådan et sted, men jeg ville helt klart have det helt vildt dejligt med det
- more_vert
- insert_linkKopier link
Resten af internettet er for længst standardiseret på TOTP til brug ved to-faktor-validering og det er på høje tid, at Digitaliseringstyrelsen og deres NemID / MitM-ID kommer med på vognen.
Eftersom Bankerne ikke vil være med til Nemid på hardware, hvorfor tror du så de vil være med til en TOTP dims ?
- more_vert
- insert_linkKopier link
LOV nr 617 af 08/06/2016
....
§ 8. Loven træder i kraft den 1. juli 2016.
Stk. 2. Samtidig ophæves lov nr. 417 af 31. maj 2000 om elektroniske signaturer.
- more_vert
- insert_linkKopier link
Samme gælder Norge som har "id-porten", hvor man bl.a. kan bruge MinID, BankID, Buypass og Commfides.
- more_vert
- insert_linkKopier link
Og det er jo lige der at filmen knækker for temmelig mange af version2's læsere.</p>
<p>Da vi jo ikke ved noget om hvordan vores nøgle er 'opbevaret sikkert', så ved vi reelt ikke den kun er beskyttet med ROT13
Helt enig
Den eneste måde jeg kan være sikker på at min nøgle kun kan bruges af mig er hvis JEG har fuld kontrol over nøglen. (Og det har jeg ikke når den ligger hos Nets i noget hardware de påstår er sikkert"
Allerhelst ser jeg at min nøgle er genereret på baggrund af noget random entropi jeg selv har genereret, gemt på en hardware dims som ikke har mulighed for at interface med min pc.
Altså en hardware dims ala nøgleviseren men hvor jeg har genereret seedet til den.
På den måde kan jeg, så længe jeg er i besiddelse af donglen være sikker på at ingen (ej heller hackere eller korrupte medarbejdere hos Nets, som sælger oplysninger til se og hor) har adgang til mine data eller kan underskrive på mine vegne.
Der er vil jo så næsten i mål med NemID på hardware bortset fra at den skal sættes i computeren, den ikke virker med netbank og at man stadigvæk skal stole på at Nets ikke har en bagdør. Nå ja og så skal man jo stadigvæk have et papkort alligevel som backup.
- more_vert
- insert_linkKopier link
d) ikke kan bruges af andre end dig.
Og det er jo lige der at filmen knækker for temmelig mange af version2's læsere.
Da vi jo ikke ved noget om hvordan vores nøgle er 'opbevaret sikkert', så ved vi reelt ikke den kun er beskyttet med ROT13
- more_vert
- insert_linkKopier link
Nu har man kunne forfalske underskrifter i mange mange år, vores samfund eksistere stadigvæk.
Men dengang var der ikke et centraliseret system sådan at hvis jeg fik fat i din "underskrift" så kunne jeg med ganske få klik (Fra Ukraine) stjæle alle dine penge, ændre din adresse, rode med din selvangivelse, læse alle dine lægeoplysninger og en HEL masse andre ting.
Hvis man lægger alle sine æg i en kurv, så er det ENDNU mere vigtigt at kurven ikke har huller i bunden.
- more_vert
- insert_linkKopier link
Nu har man kunne forfalske underskrifter i mange mange år, vores samfund eksistere stadigvæk.
Syntes det er et fint kompromi imellem sikkerhed og brugervenlighed. Men så da gerne flere udbydere.
- more_vert
- insert_linkKopier link
Så det du siger er at du mener at en nøgle som nogen andre har genereret og som jeg aldrig kan få at se fordi den ligger på deres "sikre" hardware, godt kan betegnes som noget jeg er under "fuld kontrol" over ?
Nu henviste jeg sådan set kun til eIDAS forordningen. Jeg vil igen opfordre til, at du læser bilag II.
Forordningen forholder kun til, hvilke krav der skal opfyldes, ikke hvordan det sker, men i runde tal, så er kravene er flg.:
a) at genereringen kan holdes fortrolig, b) ikke gentages, c) ikke kan gættes eller forfalskes, d) ikke kan bruges af andre end dig.
Der står ikke noget om, at du skal lave genereringen (der står heller ikke noget om, at du ikke må, bare det ovenstående er opfyldt). Men igen, læs bilaget, det er mere præcist formuleret).
Du er velkommen til at have din egen mening (og personligt synes jeg bestemt, at du burde have lov til det, som du vil), men når der tales om kvalificerede elektroniske signaturer, så bygger det (bl.a.) på ovenstående definition.
- more_vert
- insert_linkKopier link
Jeg må indrømme, at jeg blev også lidt forundret over den pigesure reaktion på at man anfægter validiteten af den italesættelse vi har været vidne til.</p>
<p>Jeg ville da ellers tro at man som såkaldt teknisk medie ville være interesseret i de tekniske synsvinkler der er om en sag, selv om de ligger i grænselandet mellem jura og teknik.</p>
<p>Ved at affærdige en teknisk diskussion som kun værende juridisk, og visa versa opnår man jo lige præcis at debatten havner mellem to stole, med det forudsigelige resultat til følge.
Helt enig
Hvis ikke et fagteknisk medie gider beskæftige sig med de reelle problematikker som kan være svære at gennemskue for menigmand, så står det sløjt til.
Der findes ellers nok mainstream mikrofonholder medier som ikke anfægter den måde staten forvalter lovene på og jeg havde egentligt håbet på at V2 var i det mindste lidt mere kritiske.
- more_vert
- insert_linkKopier link
Er der noget der taler imod at vi kunne anvende samme model?
Jeg tror ikke Digitaliseringsstyrelsen kan finde ud af det.
Det virker ikke på mig som om de har nogen egentlig kontrol over de større ting de sætter i værk. F.eks. kørte NemID jo i lang tid på Java, selvom Java-plugins i browsere allerede fra starten af var en død sild. NemHandel og Digital Post er kørt efter samme model.
Håber jeg tager fejl, men mit bud er at der sidder en flok jurister og finder på nogle virkelighedsfjerne krav og så kommer der et stort selskab og stryger en masse millioner for at lave en software-mæssigt forældet løsning (selve hardwaren dvs. papkortet fungerer nu fint nok i NemID, det skal de have). Og 2020 er sikkert for optimistisk. Hvis de allerede har misset 3 år, så kan der sagtens forsvinde 3 år til.
- more_vert
- insert_linkKopier link
Man kan vel til en vis grad plædere for, at hvis nøglen bliver genereret ud fra tilfældige data, for derefter straks at blive destrueret (og garanteret ikke kopieret) efter udlevering til dig, så kan den muligvis godt holde vand.Så det du siger er at du mener at en nøgle som nogen andre har genereret og som jeg aldrig kan få at se fordi den ligger på deres "sikre" hardware, godt kan betegnes som noget jeg er under "fuld kontrol" over ?</p>
<p>Min holdning er rimelig klar.</p>
<p>Jeg stoler ikke på en digital signatur som jeg ikke selv har fået lov at generere på baggrund af noget tilfældigt data jeg selv har genereret.
Men det er jo slet ikke en sådan konstruktion der er tale om fsva. Nemid, al den stund nøgle og signatur opbevares af samme entitet - med eneste sikkerhed at vi skal kunne stole på deres mumbo-jumbo HSM modul.
En mulig model kunne være en blackbox (og så må man vælge at stole på den) på borgerkontoret, hvor man så efter personlig betjening (så det vitterlig fremgår at man er den man er) får genereret hhv. privat nøgle til udlevering, samtidig med den offentlige nøgle uploades til stats CA.
Og de paranoide kunne så selv troppe op med egen boks/computer som kunne lave samme nummer, hvis de ikke vil stole på blackbox'en.
Det gør ikke noget det er lidt besværligt - vores identitet er lidt for vigtig til det bare skal være "nemt"!
- more_vert
- insert_linkKopier link
Jeg må indrømme, at jeg blev også lidt forundret over den pigesure reaktion på at man anfægter validiteten af den italesættelse vi har været vidne til.Fed holdning at have som medie.
Jeg ville da ellers tro at man som såkaldt teknisk medie ville være interesseret i de tekniske synsvinkler der er om en sag, selv om de ligger i grænselandet mellem jura og teknik.
Ved at affærdige en teknisk diskussion som kun værende juridisk, og visa versa opnår man jo lige præcis at debatten havner mellem to stole, med det forudsigelige resultat til følge.
- more_vert
- insert_linkKopier link
på ingen måde, kom da endelig med guldkornene
vil da gerne høre hvordan du vil lave et system der er nemmere af bruge hvor jeg selv skaber min egen nøgle
Men hvorfor overhovedet have "nemmere at bruge" som en parameter. ?
Mit hus og min bil vil med garanti være nemmere for mig at bruge hvis der ikke skulle bruges nøgle til at åbne dørene i huset eller til at starte motoren i min bil.
Jeg tror aldrig jeg har hørt nogen sige "Det er så besværligt at skulle huske sin nøgle og sætte den i tændingen og starte min bil med den, så kan i ikke designe det væk indtil i kan komme med en bedre løsning" ?
Jeg vil i hvert fald hellere have et ægte signatursystem med max sikkerhed og så lave det så sikkert som muligt indenfor de rammer end jeg vil have et system hvor man starter med at definere useability og så bagefter ser hvor meget sikkerhed det er muligt at implementere bagefter.
- more_vert
- insert_linkKopier link
Hvordan kan du vide af der ikke er 3 nøgler ?
Fordi i digital signatur versionen har jeg selv fået lov at kode låsene og jeg er derfor den eneste som ved hvordan min nøgle ser ud.
Hvis du har en asymmetrisk kryptering kan jeg sagtens give dig min public nøgle uden at du har en chance for at bruge den til at dekryptere mine data.
I NemID eksemplet behøver "banken" jo ikke engang have en del af nøglen for de logger jo hvornår jeg bruger min nøgle.
Altså svarer det lidt til at jeg lejer en bankboks med en nøgle og så er der et kamera i boksrummet. Banken ved at jeg har været i boksen fordi det kan de se på overvågningen men de kan ikke komme i min boks fordi jeg har nøglen.
- more_vert
- insert_linkKopier link
Det er korrekt, at kravet til en kvalificeret elektronisk signatur er, at data som bruges til at lave signaturen med, er under fuld kontrol af underskriveren
Så det du siger er at du mener at en nøgle som nogen andre har genereret og som jeg aldrig kan få at se fordi den ligger på deres "sikre" hardware, godt kan betegnes som noget jeg er under "fuld kontrol" over ?
Min holdning er rimelig klar.
Jeg stoler ikke på en digital signatur som jeg ikke selv har fået lov at generere på baggrund af noget tilfældigt data jeg selv har genereret.
- more_vert
- insert_linkKopier link
Hvis du mener at NemID er lovstridig så kan du jo indklage det for rette instans.
Fed holdning at have som medie.
"Staten siger at det forholder sig sådan og hvis du er uenig så kan du jo klage til......Staten".
Der er ikke meget af det der "kritisk" tilbage i "kritisk journalistik" når man bare hovedløst viderekolporterer hvad staten siger uden at sætte spørgsmålstegn ved noget.
Det kommer hurtigt til at lugte lidt af Pravda når man blot siger "Staten siger det er sådan og så er det altså sådan".
- more_vert
- insert_linkKopier link
Herudover, så er min holdning i hvert fald, at "nemt" må aldrig komme før sikkert.
Hvilket jo så er det modsatte af den holdning som man har haft med NemID.
Det er jo ret beset den evindelige kamp hvor "brugervenlighed" står overfor "sikkerhed" og hvor mange er totalt ligeglade med sikkerhed og kun fokuserer på brugervenlighed.
Sjovt nok så går trenden ellers den anden vej på mange andre områder. Folk vil f.eks gerne at deres biler er mere og mere sikrede mod tyveri og i deres hjem sættes der alarmer og så videre op for at forsøge at sikre sig mod tyven.
Når det så gælder folk's digitale identitet og signatur, så er det ufatteligt nok lige omvendt. Der skal det helst være "one touch, instant logon" og så skidt pyt med sikkerheden.
Det mest underlige er at folk åbenbart ikke har fattet at mens deres bil kan erstattes af en ny når den gamle er kørt til Polen, så kan en kompromitteret digital identitet være MEGET sværere og MEGET dyrere at få rettet op.
Mit gæt er at folk ikke ANER hvilke muligheder der er.
Altså lidt ligesom det lille barn der ikke er bange for at gå ud på vejen fordi barnet ikke aner at det er hamrende farligt.
- more_vert
- insert_linkKopier link
Som Peter siger ovenfor, så er det altså standardiseret for lang tid siden, og selv om der så skal laves plugins til browsere, så er der altså sket meget siden IE6.Ser frem til dit svar med glæde
Men hvis det er baseret på gængse standarder, så kan de fleste mailklienter nu om dage signere out-of-the-box.
Dernæst, som før sagt, vi skal passe på med den evige higen efter "nemt", hvis det er på bekostning af sikkerhed.
Det var en Reliant Robin, nok den ultimativt dårligste bil der nogensinde er lavet - og det ligger på Youtube, og er en glimrende anledning til indledning på en festlig weekend:https://www.youtube.com/watch?v=QQh56geU0X8og vedrørende biler så havde TopGear på et tidspunkt en bil med kun et forhjul, det var et mærkelig bil :O
- more_vert
- insert_linkKopier link
Det kan da godt være af du og et par andre stykker syntes det af selv af være ansvarlig for nøglen er helt vildt sejt, men jeg gætter på af største delen af befolkingen ser papkortet som en måde af logge ind på netbank, og er glad for af de er sluppet af med den besværlige fil
Det her handler jo på ingen måde om at noget er sejt eller ej, men om at være beskyttet.
Jeg kan jo vende den om og sige at du nok ikke syntes det er så sejt at du ikke har noget af din digitale signatur når nets bliver hacked eller du bliver kendt og en korrupt medarbejder begynder at sælge dine oplysninger til Se og Hør.
Det handler rent faktisk ret basalt om at man har defineret at en digital signatur kun kan være en digital signatur hvis du har noget af din digitale signatur så du er SIKKER på at KUN DU kan signere noget digitalt på vegne af dig.
At du forsøger at forfladige det hele til at være et spørgsmål om nørderi, viser at du ikke har forstået ret meget af problematikken, eller at du er typen som er totalt ligeglad med sikkerhed, bare det er nemt.
Altså essentielt set typen som ville have det bedst med at der ingen nøgle eller nøglekort var til din bil, men at den kunne startes af enhver bare på en knap.
- more_vert
- insert_linkKopier link
Så fordi TDC for lang tid siden lavede noget bras, så er muligheden for at lave noget der både fungerer og er sikkert altså ikke mulig i al fremtid?
Tyskerne lavede engang Trabant, så derfor kan vi ikke købe biler fra Tyskland!
på ingen måde, kom da endelig med guldkornene vil da gerne høre hvordan du vil lave et system der er nemmere af bruge hvor jeg selv skaber min egen nøgle
Ser frem til dit svar med glæde
og vedrørende biler så havde TopGear på et tidspunkt en bil med kun et forhjul, det var et mærkelig bil :O
- more_vert
- insert_linkKopier link
Resten af internettet er for længst standardiseret på TOTP til brug ved to-faktor-validering og det er på høje tid, at Digitaliseringstyrelsen og deres NemID / MitM-ID kommer med på vognen.vi har allerede prøvet den der besværlige fil fra TDC som betød af man kun kunne bruge den ene pc til det, utroligt ufleksibelt</p>
<p>Det kan da godt være af du og et par andre stykker syntes det af selv af være ansvarlig for nøglen er helt vildt sejt, men jeg gætter på af største delen af befolkingen ser papkortet som en måde af logge ind på netbank, og er glad for af de er sluppet af med den besværlige fil
- more_vert
- insert_linkKopier link
Så fordi TDC for lang tid siden lavede noget bras, så er muligheden for at lave noget der både fungerer og er sikkert altså ikke mulig i al fremtid?Hvorfor ?
vi har allerede prøvet den der besværlige fil fra TDC som betød af man kun kunne bruge den ene pc til det, utroligt ufleksibelt
Tyskerne lavede engang Trabant, så derfor kan vi ikke købe biler fra Tyskland!
- more_vert
- insert_linkKopier link
Jeg er ikke sikker på jeg forstår spørgsmålet, for der er (som jeg ser det) ingen "standard" udbyder?
Det er måske en god ide af læse om emnet inden man stiller spørgsmål ... men syntes bare af det ser ud til gøre det mere besværligt,
- more_vert
- insert_linkKopier link
... at de ikke overholder selv de mest basale krav til en digital signatur (At jeg som digital signatur ejer, skal have fuld kontrol over hele eller dele af min digitale signatur) ...
Interesserede parter bør nok nærlæse EU forordning nr. 910/2014, og specielt bilag II om krav til kvalificerede elektroniske signaturgenereringssystemer.
Det er korrekt, at kravet til en kvalificeret elektronisk signatur er, at data som bruges til at lave signaturen med, er under fuld kontrol af underskriveren, men som man ser af bilag II, så er det intet krav om, at signaturgenereringsdata kommer fra brugeren.
- more_vert
- insert_linkKopier link
Lad os nu bare i stedet få et statsdrevet CA, så vi kan få en rigtig digital signatur, hvor vi selv er ansvarlige for nøglen
Hvorfor ? vi har allerede prøvet den der besværlige fil fra TDC som betød af man kun kunne bruge den ene pc til det, utroligt ufleksibelt
Det kan da godt være af du og et par andre stykker syntes det af selv af være ansvarlig for nøglen er helt vildt sejt, men jeg gætter på af største delen af befolkingen ser papkortet som en måde af logge ind på netbank, og er glad for af de er sluppet af med den besværlige fil
- more_vert
- insert_linkKopier link
Christian, ifølge Digitaliseringsstyrelsen så er NemID en digital signatur: https://www.digst.dk/It-loesninger/NemID og ifølge et udvalg under Justitsministeriet, må digital signatur og OCES (Offentlige Certifikater til Elektronisk Service) opfattes som værende lige så bindende som en fysisk underskrift.
Hvis du mener at NemID er lovstridig så kan du jo indklage det for rette instans.
Og i øvrigt vil jeg henvise disse spidsfindige juridiske diskussioner til Ugeskrift for Retsvæsen og lignende.
Mvh Henning, redaktør.
- more_vert
- insert_linkKopier link
Jeg giver op.Denne udlægning og slutning er, såvidt jeg ved, ikke korrekt, da NemID flere gange er blevet kaldt en digital signatur af Digitaliseringsstyrelsen.
Jeg troede at V2 var i stand til at løfte sig op på et lidt højere plan end ukritisk bare at holde mikrofonen for propagandastyrelsens skåltaler.
Men konklusionen er så åbenbart at "Med lov skal land ikke bygges."
- more_vert
- insert_linkKopier link
Det er da en farlig glidebane at bevæge sig ned ad - du forholder dig til en italesættelse, i stedet for det faktuelle lovgrundlag.
Christian, som det fremgår af debattråden, så forholder jeg mig til en påstand om, at NemID bevidst ikke skulle være blevet kaldt for en digital signatur, og at formålet med dette skulle være at dække over lovbrud.
Denne udlægning og slutning er, såvidt jeg ved, ikke korrekt, da NemID flere gange er blevet kaldt en digital signatur af Digitaliseringsstyrelsen.
Diskussion i forhold til, hvornår noget er en digital signatur, har kørt ad flere omgange i årenes løb, blandt andet her på sitet. Og såfremt der er læsere, der har lyst til at tage en omgang til ud ad det spor, så skal de være mere end velkomne til at gøre det her i debatten. Jeg skal i den forbindelse ikke kunne afvise, at vi ved senere lejlighed kommer ind på emnet redaktionelt også. Jakob - V2
- more_vert
- insert_linkKopier link
Og det sjove er, den er vist på intet tidspunkt blevet kompromitteret - det er da faktisk ret interessant, når nu så mange ellers har så travlt med at tale en password løsning ned.Har hørt at grunden til at SKAT ikke har droppet den løsning er at der rent faktisk er MANGE som stadigvæk bruger løsningen.
Herudover, så er min holdning i hvert fald, at "nemt" må aldrig komme før sikkert.
- more_vert
- insert_linkKopier link
Umiddelbart lyder den model utroligt tiltalende da jeg tænker at dem som synes NemID/MitID/whatever, fortsat kan anvende det, mens virksomheder kan byde ind med løsninger som muligvis kunne fungere bedre for de som er lidt mere teknisk anlagt.</p>
<p>Er der noget der taler imod at vi kunne anvende samme model?
Det sidste først.
JA, der er ingen tvivl om at det der taler mest imod at anvende en ikke-monopolistisk tilgang er Nets.
I Norge har de som jeg har forstået det samme tilgang.
De har som jeg husker det "BankID" og så "NemID" som er ligesom i Danmark.
Som jeg har forstået det har langt de fleste nordmænd valgt BankID løsningen frem for NemID løsningen.
Siger måske lidt om hvor ringe Nets løsning er når de fleste fravælger den.
Her i Danmark er der ingen konkurrence og dermed intet incitament til at gøre det brugervenligt eller i det hele taget spørge brugerne.
- more_vert
- insert_linkKopier link
og de der gør, glemmer deres password fordi det bruges så sjældent.
Jeg bruger tast-selv kode på skat, koden kan jeg godt huske da den er en variant over en anden kode.
Har hørt at grunden til at SKAT ikke har droppet den løsning er at der rent faktisk er MANGE som stadigvæk bruger løsningen.
MANGE er i min verden = at der nok også er en del der har NemID som vælger at bruge tast-selv koden.
Hvis dette er korrekt så syntes jeg jo det er lidt tankevækkende (Eller burde være det) at folk stadigvæk bruger alternative løsninger når det er muligt, frem for NemID som jo ellers skulle være så "Nemt"
- more_vert
- insert_linkKopier link
Det er ikke helt rigtigt. Digital signatur er flere gange blevet omtalt som en del af NemID, som altså også fungerer som en login-løsning i forhold til eksempelvis netbanken.
Jeg kan også godt kalde min kat for en hund.
Selvom jeg gør det 100 gange, så er min kat altså stadigvæk en kat.
På samme måde er NemID IKKE en digital signatur i lovmæssig forstand, selvom man flere steder reelt set anvender den som dette.
Da NemID lige kom frem havde Nets meget travlt med at kalde det en digital signatur løsning, men da man så gik dem på klingen vedr. at de ikke overholder selv de mest basale krav til en digital signatur (At jeg som digital signatur ejer, skal have fuld kontrol over hele eller dele af min digitale signatur) så valgte de at nedtone gevaldigt og kaldte det derefter ikke for en digital signatur.
Reelt set er det ikke en digital signatur, men en såkaldt single-sign-on løsning hvor Nets har HELE min digitale signatur (gemt i noget hardware de forsikrer mig om, er sikkert) og så har jeg bare en nøgle som jeg kan bruge til at bede deres hardware om at signere på mine vegne.
Da jeg ikke har fuld kontrol over nogen del af selve min digitale signatur, har jeg INGEN mulighed for at vide om nogen på en eller anden måde har fået adgang og har skrevet under i mit navn.
Hvis jeg lejer en bankboks af typen med 2 nøgler, så vil det typisk være sådan at jeg har den ene nøgle og banken den anden.
Dette betyder at hverken jeg, eller banken kan komme i boksen uden at modparten ved det.
NemID svarer til at jeg lejer en bankboks og giver begge nøgler til banken og aftaler at jeg har et hemmeligt kodeord som jeg skal give til banken og så låser de op med begge nøgler for mig.
Jeg har reelt set INGEN mulighed for at vide om min bankmand står og roder i min bankboks når jeg ikke er der.
- more_vert
- insert_linkKopier link
Jeg tror det er omvendt. At folk bruger samme løsning til netbank (som de bruger regelmessigt og ikke vil undvære) løser problemet med at de færreste gider skaffe sig en digital signatur for at kunne logge på SKAT en gang om året, og de der gør, glemmer deres password fordi det bruges så sjældent. Det kan være problemet er mindre nu, end da NemID blev vedtaget, eftersom der er krav til at logge ind i eboks, og der findes flere offentlige og semioffentlige selvbetjeningsløsninger nu, men det var rationalet den gang.Og som jeg skrev andetsteds - hvorfor i alverden skal staten løse bankernes login problemer, det må de da selv rode med.
- more_vert
- insert_linkKopier link
Det er da en farlig glidebane at bevæge sig ned ad - du forholder dig til en italesættelse, i stedet for det faktuelle lovgrundlag.Jeg forholder mig til, om digital signatur officielt er blevet omtalt som en del af NemID
Prøv lige at tænk over hvad det betyder for et retssamfund, hvis det bliver normen - George Orwell har vist beskrevet det meget godt.
- more_vert
- insert_linkKopier link
Jamen Jacob, det gør det da ikke mere korrekt af.
Jeg forholder mig til, om digital signatur officielt er blevet omtalt som en del af NemID - ikke om betegnelsen set fra alle synsvinkler er korrekt. Det er en anden diskussion, som jeg da bestemt vil opfordre til fortsætter her i debatten, hvor den - som jeg lige husker det - også flere gange tidligere har været oppe at vende. Jakob - V2
- more_vert
- insert_linkKopier link
Jamen Jacob, det gør det da ikke mere korrekt af.Det er ikke helt rigtigt. Digital signatur er flere gange blevet omtalt som en del af NemID, som altså også fungerer som en login-løsning i forhold til eksempelvis netbanken.</p>
<p>Læs evt. mere her:
<a href="https://www.nemid.nu/dk-da/om-nemid/historien_om_nemid/digital_signatur…;
Uanset hvor meget italesættelse man prøver med, så er lever NemID altså ikke op til LOV nr 417 af 31/05/2000 : Lov om elektroniske signaturer, som nu engang er den eneste lov der findes.
Og som jeg skrev andetsteds - hvorfor i alverden skal staten løse bankernes login problemer, det må de da selv rode med.
Jeg har heller ikke samme nøgle til min bil som til mit hus - på den måde behøver jeg ikke at frygte at en ondsindet mekaniker tømmer huset efter bilen har været på værksted.
Lad os nu bare i stedet få et statsdrevet CA, så vi kan få en rigtig digital signatur, hvor vi selv er ansvarlige for nøglen - så kan der samtidig være fri konkurrence (hvor der sagtens kunne stilles krav til godkendelse) for de firmaer der vil tilbyde at være nøgleopbevarere for dem der ikke selv vil påtage sig ansvaret for eget liv.
- more_vert
- insert_linkKopier link
Det er ikke helt rigtigt. Digital signatur er flere gange blevet omtalt som en del af NemID, som altså også fungerer som en login-løsning i forhold til eksempelvis netbanken.
At det er blevet omtalt som sådan mange gange gør det ikke til en kvalificeret digital signatur i henhold til EU-definitionen, og dermed er det ikke en digital signatur.
- more_vert
- insert_linkKopier link
Ved du om der overhoved er nogen der har valgt andre udbyder end standart udbyderen ?
Jeg er ikke sikker på jeg forstår spørgsmålet, for der er (som jeg ser det) ingen "standard" udbyder?
Jeg har læst lidt på siden og set introduktionsvideoen og det lader til at man kan blive guidet gennem en process hvor man få forslag til hvilke udbydere der passer til ens behov, men du kan også selv vælge.
- more_vert
- insert_linkKopier link
Med den nuværende nemid løsning har man jo behændigt undladt at kalde det en digital signatur fordi den ingenlunde overholder de regler der er til en sådan, samtidigt med at man dog ikke har undladt at bruge den som en digital signatur løsning alligevel.
Det er ikke helt rigtigt. Digital signatur er flere gange blevet omtalt som en del af NemID, som altså også fungerer som en login-løsning i forhold til eksempelvis netbanken.
Læs evt. mere her:https://www.nemid.nu/dk-da/om-nemid/historien_om_nemid/digital_signatur/
Jakob - V2
- more_vert
- insert_linkKopier link
Er der noget der taler imod at vi kunne anvende samme model?
Ved du om der overhoved er nogen der har valgt andre udbyder end standart udbyderen ?
- more_vert
- insert_linkKopier link
Hvis du regner med andre ændringer end navnet, så tror jeg du bliver skuffetDet er da positivt at der nu igen tales om en digital signatur løsning
Det her en måde til af logge på Netbank og Offentlige sider og når man nu har den så kan andre der har lyst da også bruge den
- more_vert
- insert_linkKopier link
Ja.. overvågning på en nem og enkel måde fra statens side..
- more_vert
- insert_linkKopier link
Muligvis lidt off topic; I forbindelse med andre debatter jeg har fulgt er jeg blevet opmærksom på en britisk model hvor der findes flere udbydere, som borgerne så kan vælge mellem.
Umiddelbart lyder den model utroligt tiltalende da jeg tænker at dem som synes NemID/MitID/whatever, fortsat kan anvende det, mens virksomheder kan byde ind med løsninger som muligvis kunne fungere bedre for de som er lidt mere teknisk anlagt.
Er der noget der taler imod at vi kunne anvende samme model?
- more_vert
- insert_linkKopier link
Det er da positivt at der nu igen tales om en digital signatur løsning.
Med den nuværende nemid løsning har man jo behændigt undladt at kalde det en digital signatur fordi den ingenlunde overholder de regler der er til en sådan, samtidigt med at man dog ikke har undladt at bruge den som en digital signatur løsning alligevel.
Når man nu taler åbent om at det skal være en digital signatur løsning, er man vel tvunget til at lave en løsning som overholder kravene til en sådan.
- more_vert
- insert_linkKopier link
Hvis man er træt af papkortet, kan NemID nøgleviser anbefales. Jeg ved godt det ikke er guldløsningen, og den er heller ikke gratis, men det gør sku' livet lidt lettere.
- more_vert
- insert_linkKopier link