Pensionering af NemID lader til at være udskudt igen-igen-igen

Lanceringen af NemID's efterfølger lader til at være blevet udskudt igen.

Aarhus. Ligesom det nært forestående skifte til sommertid, så lader en udskydelse af NemID's afløser, MitID, også til at være en årligt tilbagevendende begivenhed.

Illustration: Digitaliseringsstyrelsen

2017 var den oprindelige melding fra Digitaliseringsstyrelsen i forhold til, hvornår den nuværende NemID-løsning kunne sendes på pension.

Denne forventning blev senere justeret til 2018, og så sent som november 2016 var det blevet til 2019. Nu taler Digitaliseringsstyrelsen om 2020 i forhold til, hvornår en ny signatur- og login-løsning er klar til drift.

Det nye årstal blev nævnt under et indlæg fra Digitaliseringsstyrelsen på konferencen Offentlig Digitalisering, som Dansk IT har afholdt i Aarhus i denne uge.

Indlægget handlede om planerne i forhold til næste generation af Digital Post, den fællesoffentlige login-løsning NemLogin og så NemID.

Af indlægget fremgik det blandt andet, at Digitaliseringsstyrelsen forventer, at de tre projektforløb tidsmæssigt kommer til at ligge op ad hinanden, og det var i den forbindelse at 2020 blev nævnt som et bud på, hvornår løsningerne ville være klar til brug.

Efter seancen fangede Version2 den ene af indlægsholderne, kontorchef i Digitaliseringsstyrelsen Charlotte Jacoby.

Hvornår skal MitID være i drift?
»Det kan jeg ikke svare endeligt på. Det afhænger af de kontrakter, vi indgår med leverandøren.«

I nævnte 2020 i forbindelse med præsentationen?
»Ja, det er en rimelig rund tidsplan.«

I november 2016 sagde i 2019, og tidligere har I sagt 2018, og før det 2017. Det lyder som om, det er skredet endnu et år?
»Jeg ved ikke, om man kan sige, det er skredet endnu et år. De tal, vi giver, de er jo altid nogle overslag.«

For to år siden

På samme konference for to år siden talte Version2 med daværende kontorchef og nuværende vicedirektør i Digitaliseringsstyrelsen, Marianne Sørensen.

Læs også: Digitaliseringsstyrelsen trækker i land: NemID 2 nok først klar i 2018

Anledningen var ligesom nu et indlæg om den kommende NemID-arvtager. Dengang kom det i forbindelse med indlægget frem, at Digitaliseringsstyrelsen ikke længere forventede, at generationsskiftet ville finde sted i 2017, men i stedet i 2018.

Her skal det retteligt nævnes, at Marianne Sørensen understregede, at den dengang nye tidsplan var usikker. Hun henviste i den forbindelse til de nye ejerforhold i forhold til den kommende løsning.

For de uindviede går det kort fortalt ud på, at Digitaliseringsstyrelsen dengang havde fundet frem til, at ejerskabet i forhold til den kommende NemID v2, netop navngivet MitID, skulle være i regi af et privat/offentligt partnerskab. Og i den forbindelse skulle der findes en eller flere partnere via det, som Marianne Sørensen beskrev som en udbudslignende proces.

I mellemtiden er partneren fundet. Det blev brancheorganisationen for bankerne, Finansrådet, der sidenhen er blevet en del af interesseorganisationen for penge- og realkreditinstitutterne, FinansDanmark.

Der står mere om partnerskabet her.

En udbudsproces

På den nyligt overståede Dansk IT 2017-konference angiver Charlotte Jacoby også processen med at finde en samarbejdspartner som en del af forklaringen på, hvorfor MitID stadig befinder sig et sted ude i fremtiden.

»Der er ingen tvivl om, at processen for etablering af vores partnerskab har medvirket til, at vi er kommet senere i gang med at arbejde med selve udbuddet i forhold til den næste NemID.«

Det er foreløbigt sparsomt med de tekniske detaljer i forhold til, hvordan den næste NemID skal tage sig ud. Under indlægget kunne Charlotte Jacoby dog oplyse, at den mobile platform ville få en væsentlig betydning i relation til den kommende løsning. Ellers var det mest konkrete, der kom frem om MitID i den forbindelse umiddelbart navnet.

»Man kan sige, at vi er på det stadie, hvor vi sidder og kravspecificerer. Vi har haft en markedsdialog for at få nogle input i forhold til, hvad der findes af løsninger derude. Vi vil gerne have standardbaserede løsninger. Det næste vi så skal, det er at lave udbudsmateriale, når vi lige har fået vores finansiering på plads. Og så skal vi gennem et forhandlingsforløb,« siger Charlotte Jacoby.

Hvad kunne være et bud på den største forskel, borgeren kommer til at opleve?
»For borgeren vil det centrere sig om nøglekortet: Vil vi fortsat have et nøglekort eller ikke? Det tror jeg umiddelbart bliver den største forandring for borgeren,« siger Charlotte Jacoby og tilføjer:

»Det er jo ikke en løsning i sig selv, det interessante er jo, hvad løsningen giver adgang til. Det vigtigste er, at det bliver sikkert og nemt.«

I forhold til sikkert og nemt, så henvendte en repræsentant fra en virksomhed, der gør i autentifikation via biometri, sig til Charlotte Jacoby efter præsentationen.

Som mere end en Version2-læser vil vide, så dækker biometri i denne sammenhæng over sådan noget som fingeraftryk. En funktion, som flere i dag har fornøjelse af, når de låser deres smartphones op eller autentificerer sig i forhold til Mobilepay og andet.

Er fingeraftryk stadig i spil som en del af autentifikationen?
»Det kunne det sagtens være, det ved jeg ikke, før jeg ser, hvad der bliver budt ind med. Men løsningen findes derude.«

2019-2020

Version2 har i en opfølgende e-mail spurgt Charlotte Jacoby, om det var muligt at komme tidspunktet for MitID's lancering nærmere. I den forbindelse er kontorchefen vendt tilbage med et estimat, der hedder 2019-2020.

Hvis det bliver 2019, så holder tidsplanen i forhold til Digitaliseringsstyrelsens udmelding fra november 2016.

Spørgsmålet er dog, i hvor høj grad, Digitaliseringsstyrelsen selv vurderer, det er realistisk, at 2019 bliver året, hvor NemID bliver til MitID.

Der var i den forbindelse en tidslinje på et slide under Digitaliseringsstyrelsen præsentation, som dækkede over forløbet i forhold til både næste udgave af Digital Post, Nemlogin og NemID, altså MitID.

Og her så det umiddelbart ud som om migrering - altså flytning fra den nuværende løsning - af slutbrugere til den nye løsning forventes at ligge nærmere 2021 end 2019.

Mens det digitale Danmark nok ikke går nedenom og hjem af at køre på den eksisterende NemID nogle år endnu, så har de gentagne udskydelser haft den konkrete konsekvens, at mulighederne for at forlænge den nuværende kontrakt med Nets er opbrugte.

Som Version2 tidligere har omtalt, så har Digitaliseringsstyrelsen i den forbindelse fundet frem til, at det er nødvendigt med et nyt udbud alene i forhold til driften af den eksisterende løsning frem til MitID indfinder sig. Det kan i princippet være Nets, der vinder dette udbud også.

Læs også: Nets kan miste greb om NemID allerede inden NemID 2.0

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (68)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Madsen

Det er da positivt at der nu igen tales om en digital signatur løsning.

Med den nuværende nemid løsning har man jo behændigt undladt at kalde det en digital signatur fordi den ingenlunde overholder de regler der er til en sådan, samtidigt med at man dog ikke har undladt at bruge den som en digital signatur løsning alligevel.

Når man nu taler åbent om at det skal være en digital signatur løsning, er man vel tvunget til at lave en løsning som overholder kravene til en sådan.

  • 8
  • 0
Dan Storm

Muligvis lidt off topic; I forbindelse med andre debatter jeg har fulgt er jeg blevet opmærksom på en britisk model hvor der findes flere udbydere, som borgerne så kan vælge mellem.

Umiddelbart lyder den model utroligt tiltalende da jeg tænker at dem som synes NemID/MitID/whatever, fortsat kan anvende det, mens virksomheder kan byde ind med løsninger som muligvis kunne fungere bedre for de som er lidt mere teknisk anlagt.

Er der noget der taler imod at vi kunne anvende samme model?

  • 16
  • 0
Jakob Møllerhøj Journalist
  • 2
  • 5
Dan Storm

> Ved du om der overhoved er nogen der har valgt andre udbyder end standart udbyderen ?

Jeg er ikke sikker på jeg forstår spørgsmålet, for der er (som jeg ser det) ingen "standard" udbyder?

Jeg har læst lidt på siden og set introduktionsvideoen og det lader til at man kan blive guidet gennem en process hvor man få forslag til hvilke udbydere der passer til ens behov, men du kan også selv vælge.

  • 3
  • 0
Christian Nobel

Det er ikke helt rigtigt. Digital signatur er flere gange blevet omtalt som en del af NemID, som altså også fungerer som en login-løsning i forhold til eksempelvis netbanken.

Læs evt. mere her:
https://www.nemid.nu/dk-da/om-nemid/historien_om_nemid/digital_signatur/

Jamen Jacob, det gør det da ikke mere korrekt af.

Uanset hvor meget italesættelse man prøver med, så er lever NemID altså ikke op til LOV nr 417 af 31/05/2000 : Lov om elektroniske signaturer, som nu engang er den eneste lov der findes.

Og som jeg skrev andetsteds - hvorfor i alverden skal staten løse bankernes login problemer, det må de da selv rode med.

Jeg har heller ikke samme nøgle til min bil som til mit hus - på den måde behøver jeg ikke at frygte at en ondsindet mekaniker tømmer huset efter bilen har været på værksted.

Lad os nu bare i stedet få et statsdrevet CA, så vi kan få en rigtig digital signatur, hvor vi selv er ansvarlige for nøglen - så kan der samtidig være fri konkurrence (hvor der sagtens kunne stilles krav til godkendelse) for de firmaer der vil tilbyde at være nøgleopbevarere for dem der ikke selv vil påtage sig ansvaret for eget liv.

  • 7
  • 2
Jakob Møllerhøj Journalist

Jamen Jacob, det gør det da ikke mere korrekt af.

Jeg forholder mig til, om digital signatur officielt er blevet omtalt som en del af NemID - ikke om betegnelsen set fra alle synsvinkler er korrekt. Det er en anden diskussion, som jeg da bestemt vil opfordre til fortsætter her i debatten, hvor den - som jeg lige husker det - også flere gange tidligere har været oppe at vende. Jakob - V2

  • 2
  • 3
Jarnis Bertelsen

Og som jeg skrev andetsteds - hvorfor i alverden skal staten løse bankernes login problemer, det må de da selv rode med.


Jeg tror det er omvendt. At folk bruger samme løsning til netbank (som de bruger regelmessigt og ikke vil undvære) løser problemet med at de færreste gider skaffe sig en digital signatur for at kunne logge på SKAT en gang om året, og de der gør, glemmer deres password fordi det bruges så sjældent. Det kan være problemet er mindre nu, end da NemID blev vedtaget, eftersom der er krav til at logge ind i eboks, og der findes flere offentlige og semioffentlige selvbetjeningsløsninger nu, men det var rationalet den gang.

  • 2
  • 0
Henrik Madsen

Det er ikke helt rigtigt. Digital signatur er flere gange blevet omtalt som en del af NemID, som altså også fungerer som en login-løsning i forhold til eksempelvis netbanken.

Jeg kan også godt kalde min kat for en hund.

Selvom jeg gør det 100 gange, så er min kat altså stadigvæk en kat.

På samme måde er NemID IKKE en digital signatur i lovmæssig forstand, selvom man flere steder reelt set anvender den som dette.

Da NemID lige kom frem havde Nets meget travlt med at kalde det en digital signatur løsning, men da man så gik dem på klingen vedr. at de ikke overholder selv de mest basale krav til en digital signatur (At jeg som digital signatur ejer, skal have fuld kontrol over hele eller dele af min digitale signatur) så valgte de at nedtone gevaldigt og kaldte det derefter ikke for en digital signatur.

Reelt set er det ikke en digital signatur, men en såkaldt single-sign-on løsning hvor Nets har HELE min digitale signatur (gemt i noget hardware de forsikrer mig om, er sikkert) og så har jeg bare en nøgle som jeg kan bruge til at bede deres hardware om at signere på mine vegne.

Da jeg ikke har fuld kontrol over nogen del af selve min digitale signatur, har jeg INGEN mulighed for at vide om nogen på en eller anden måde har fået adgang og har skrevet under i mit navn.

Hvis jeg lejer en bankboks af typen med 2 nøgler, så vil det typisk være sådan at jeg har den ene nøgle og banken den anden.

Dette betyder at hverken jeg, eller banken kan komme i boksen uden at modparten ved det.

NemID svarer til at jeg lejer en bankboks og giver begge nøgler til banken og aftaler at jeg har et hemmeligt kodeord som jeg skal give til banken og så låser de op med begge nøgler for mig.

Jeg har reelt set INGEN mulighed for at vide om min bankmand står og roder i min bankboks når jeg ikke er der.

  • 10
  • 0
Henrik Madsen

og de der gør, glemmer deres password fordi det bruges så sjældent.

Jeg bruger tast-selv kode på skat, koden kan jeg godt huske da den er en variant over en anden kode.

Har hørt at grunden til at SKAT ikke har droppet den løsning er at der rent faktisk er MANGE som stadigvæk bruger løsningen.

MANGE er i min verden = at der nok også er en del der har NemID som vælger at bruge tast-selv koden.

Hvis dette er korrekt så syntes jeg jo det er lidt tankevækkende (Eller burde være det) at folk stadigvæk bruger alternative løsninger når det er muligt, frem for NemID som jo ellers skulle være så "Nemt"

  • 3
  • 0
Henrik Madsen

Umiddelbart lyder den model utroligt tiltalende da jeg tænker at dem som synes NemID/MitID/whatever, fortsat kan anvende det, mens virksomheder kan byde ind med løsninger som muligvis kunne fungere bedre for de som er lidt mere teknisk anlagt.

Er der noget der taler imod at vi kunne anvende samme model?

Det sidste først.

JA, der er ingen tvivl om at det der taler mest imod at anvende en ikke-monopolistisk tilgang er Nets.

I Norge har de som jeg har forstået det samme tilgang.

De har som jeg husker det "BankID" og så "NemID" som er ligesom i Danmark.

Som jeg har forstået det har langt de fleste nordmænd valgt BankID løsningen frem for NemID løsningen.

Siger måske lidt om hvor ringe Nets løsning er når de fleste fravælger den.

Her i Danmark er der ingen konkurrence og dermed intet incitament til at gøre det brugervenligt eller i det hele taget spørge brugerne.

  • 4
  • 0
Christian Nobel

Har hørt at grunden til at SKAT ikke har droppet den løsning er at der rent faktisk er MANGE som stadigvæk bruger løsningen.

Og det sjove er, den er vist på intet tidspunkt blevet kompromitteret - det er da faktisk ret interessant, når nu så mange ellers har så travlt med at tale en password løsning ned.

Herudover, så er min holdning i hvert fald, at "nemt" må aldrig komme før sikkert.

  • 2
  • 1
Jakob Møllerhøj Journalist

Det er da en farlig glidebane at bevæge sig ned ad - du forholder dig til en italesættelse, i stedet for det faktuelle lovgrundlag.

Christian, som det fremgår af debattråden, så forholder jeg mig til en påstand om, at NemID bevidst ikke skulle være blevet kaldt for en digital signatur, og at formålet med dette skulle være at dække over lovbrud.

Denne udlægning og slutning er, såvidt jeg ved, ikke korrekt, da NemID flere gange er blevet kaldt en digital signatur af Digitaliseringsstyrelsen.

Diskussion i forhold til, hvornår noget er en digital signatur, har kørt ad flere omgange i årenes løb, blandt andet her på sitet. Og såfremt der er læsere, der har lyst til at tage en omgang til ud ad det spor, så skal de være mere end velkomne til at gøre det her i debatten. Jeg skal i den forbindelse ikke kunne afvise, at vi ved senere lejlighed kommer ind på emnet redaktionelt også. Jakob - V2

  • 4
  • 2
Christian Nobel

Denne udlægning og slutning er, såvidt jeg ved, ikke korrekt, da NemID flere gange er blevet kaldt en digital signatur af Digitaliseringsstyrelsen.

Jeg giver op.

Jeg troede at V2 var i stand til at løfte sig op på et lidt højere plan end ukritisk bare at holde mikrofonen for propagandastyrelsens skåltaler.

Men konklusionen er så åbenbart at "Med lov skal land ikke bygges."

  • 0
  • 8
Henning Mølsted Journalist

Christian, ifølge Digitaliseringsstyrelsen så er NemID en digital signatur: https://www.digst.dk/It-loesninger/NemID og ifølge et udvalg under Justitsministeriet, må digital signatur og OCES (Offentlige Certifikater til Elektronisk Service) opfattes som værende lige så bindende som en fysisk underskrift.

Hvis du mener at NemID er lovstridig så kan du jo indklage det for rette instans.

Og i øvrigt vil jeg henvise disse spidsfindige juridiske diskussioner til Ugeskrift for Retsvæsen og lignende.

Mvh Henning, redaktør.

  • 8
  • 6
Povl Hansen

Lad os nu bare i stedet få et statsdrevet CA, så vi kan få en rigtig digital signatur, hvor vi selv er ansvarlige for nøglen

Hvorfor ?
vi har allerede prøvet den der besværlige fil fra TDC som betød af man kun kunne bruge den ene pc til det, utroligt ufleksibelt

Det kan da godt være af du og et par andre stykker syntes det af selv af være ansvarlig for nøglen er helt vildt sejt, men jeg gætter på af største delen af befolkingen ser papkortet som en måde af logge ind på netbank, og er glad for af de er sluppet af med den besværlige fil

  • 4
  • 3
Bjarne Nielsen

... at de ikke overholder selv de mest basale krav til en digital signatur (At jeg som digital signatur ejer, skal have fuld kontrol over hele eller dele af min digitale signatur) ...

Interesserede parter bør nok nærlæse EU forordning nr. 910/2014, og specielt bilag II om krav til kvalificerede elektroniske signaturgenereringssystemer.

Det er korrekt, at kravet til en kvalificeret elektronisk signatur er, at data som bruges til at lave signaturen med, er under fuld kontrol af underskriveren, men som man ser af bilag II, så er det intet krav om, at signaturgenereringsdata kommer fra brugeren.

  • 4
  • 0
Christian Nobel

Hvorfor ?
vi har allerede prøvet den der besværlige fil fra TDC som betød af man kun kunne bruge den ene pc til det, utroligt ufleksibelt

Så fordi TDC for lang tid siden lavede noget bras, så er muligheden for at lave noget der både fungerer og er sikkert altså ikke mulig i al fremtid?

Tyskerne lavede engang Trabant, så derfor kan vi ikke købe biler fra Tyskland!

  • 3
  • 2
Peter Hansen
  • 4
  • 0
Povl Hansen

Så fordi TDC for lang tid siden lavede noget bras, så er muligheden for at lave noget der både fungerer og er sikkert altså ikke mulig i al fremtid?
Tyskerne lavede engang Trabant, så derfor kan vi ikke købe biler fra Tyskland!

på ingen måde, kom da endelig med guldkornene
vil da gerne høre hvordan du vil lave et system der er nemmere af bruge hvor jeg selv skaber min egen nøgle

Ser frem til dit svar med glæde

og vedrørende biler så havde TopGear på et tidspunkt en bil med kun et forhjul, det var et mærkelig bil :O

  • 0
  • 6
Henrik Madsen

Det kan da godt være af du og et par andre stykker syntes det af selv af være ansvarlig for nøglen er helt vildt sejt, men jeg gætter på af største delen af befolkingen ser papkortet som en måde af logge ind på netbank, og er glad for af de er sluppet af med den besværlige fil

Det her handler jo på ingen måde om at noget er sejt eller ej, men om at være beskyttet.

Jeg kan jo vende den om og sige at du nok ikke syntes det er så sejt at du ikke har noget af din digitale signatur når nets bliver hacked eller du bliver kendt og en korrupt medarbejder begynder at sælge dine oplysninger til Se og Hør.

Det handler rent faktisk ret basalt om at man har defineret at en digital signatur kun kan være en digital signatur hvis du har noget af din digitale signatur så du er SIKKER på at KUN DU kan signere noget digitalt på vegne af dig.

At du forsøger at forfladige det hele til at være et spørgsmål om nørderi, viser at du ikke har forstået ret meget af problematikken, eller at du er typen som er totalt ligeglad med sikkerhed, bare det er nemt.

Altså essentielt set typen som ville have det bedst med at der ingen nøgle eller nøglekort var til din bil, men at den kunne startes af enhver bare på en knap.

  • 5
  • 2
Christian Nobel

Ser frem til dit svar med glæde

Som Peter siger ovenfor, så er det altså standardiseret for lang tid siden, og selv om der så skal laves plugins til browsere, så er der altså sket meget siden IE6.

Men hvis det er baseret på gængse standarder, så kan de fleste mailklienter nu om dage signere out-of-the-box.

Dernæst, som før sagt, vi skal passe på med den evige higen efter "nemt", hvis det er på bekostning af sikkerhed.

og vedrørende biler så havde TopGear på et tidspunkt en bil med kun et forhjul, det var et mærkelig bil :O

Det var en Reliant Robin, nok den ultimativt dårligste bil der nogensinde er lavet - og det ligger på Youtube, og er en glimrende anledning til indledning på en festlig weekend:
https://www.youtube.com/watch?v=QQh56geU0X8

  • 2
  • 1
Henrik Madsen

Herudover, så er min holdning i hvert fald, at "nemt" må aldrig komme før sikkert.

Hvilket jo så er det modsatte af den holdning som man har haft med NemID.

Det er jo ret beset den evindelige kamp hvor "brugervenlighed" står overfor "sikkerhed" og hvor mange er totalt ligeglade med sikkerhed og kun fokuserer på brugervenlighed.

Sjovt nok så går trenden ellers den anden vej på mange andre områder. Folk vil f.eks gerne at deres biler er mere og mere sikrede mod tyveri og i deres hjem sættes der alarmer og så videre op for at forsøge at sikre sig mod tyven.

Når det så gælder folk's digitale identitet og signatur, så er det ufatteligt nok lige omvendt. Der skal det helst være "one touch, instant logon" og så skidt pyt med sikkerheden.

Det mest underlige er at folk åbenbart ikke har fattet at mens deres bil kan erstattes af en ny når den gamle er kørt til Polen, så kan en kompromitteret digital identitet være MEGET sværere og MEGET dyrere at få rettet op.

Mit gæt er at folk ikke ANER hvilke muligheder der er.

Altså lidt ligesom det lille barn der ikke er bange for at gå ud på vejen fordi barnet ikke aner at det er hamrende farligt.

  • 7
  • 1
Henrik Madsen

Hvis du mener at NemID er lovstridig så kan du jo indklage det for rette instans.

Fed holdning at have som medie.

"Staten siger at det forholder sig sådan og hvis du er uenig så kan du jo klage til......Staten".

Der er ikke meget af det der "kritisk" tilbage i "kritisk journalistik" når man bare hovedløst viderekolporterer hvad staten siger uden at sætte spørgsmålstegn ved noget.

Det kommer hurtigt til at lugte lidt af Pravda når man blot siger "Staten siger det er sådan og så er det altså sådan".

  • 5
  • 1
Henrik Madsen

Det er korrekt, at kravet til en kvalificeret elektronisk signatur er, at data som bruges til at lave signaturen med, er under fuld kontrol af underskriveren

Så det du siger er at du mener at en nøgle som nogen andre har genereret og som jeg aldrig kan få at se fordi den ligger på deres "sikre" hardware, godt kan betegnes som noget jeg er under "fuld kontrol" over ?

Min holdning er rimelig klar.

Jeg stoler ikke på en digital signatur som jeg ikke selv har fået lov at generere på baggrund af noget tilfældigt data jeg selv har genereret.

  • 4
  • 0
Henrik Madsen

Hvordan kan du vide af der ikke er 3 nøgler ?

Fordi i digital signatur versionen har jeg selv fået lov at kode låsene og jeg er derfor den eneste som ved hvordan min nøgle ser ud.

Hvis du har en asymmetrisk kryptering kan jeg sagtens give dig min public nøgle uden at du har en chance for at bruge den til at dekryptere mine data.

I NemID eksemplet behøver "banken" jo ikke engang have en del af nøglen for de logger jo hvornår jeg bruger min nøgle.

Altså svarer det lidt til at jeg lejer en bankboks med en nøgle og så er der et kamera i boksrummet. Banken ved at jeg har været i boksen fordi det kan de se på overvågningen men de kan ikke komme i min boks fordi jeg har nøglen.

  • 2
  • 1
Henrik Madsen

på ingen måde, kom da endelig med guldkornene
vil da gerne høre hvordan du vil lave et system der er nemmere af bruge hvor jeg selv skaber min egen nøgle

Men hvorfor overhovedet have "nemmere at bruge" som en parameter. ?

Mit hus og min bil vil med garanti være nemmere for mig at bruge hvis der ikke skulle bruges nøgle til at åbne dørene i huset eller til at starte motoren i min bil.

Jeg tror aldrig jeg har hørt nogen sige "Det er så besværligt at skulle huske sin nøgle og sætte den i tændingen og starte min bil med den, så kan i ikke designe det væk indtil i kan komme med en bedre løsning" ?

Jeg vil i hvert fald hellere have et ægte signatursystem med max sikkerhed og så lave det så sikkert som muligt indenfor de rammer end jeg vil have et system hvor man starter med at definere useability og så bagefter ser hvor meget sikkerhed det er muligt at implementere bagefter.

  • 5
  • 2
Christian Nobel

Fed holdning at have som medie.

Jeg må indrømme, at jeg blev også lidt forundret over den pigesure reaktion på at man anfægter validiteten af den italesættelse vi har været vidne til.

Jeg ville da ellers tro at man som såkaldt teknisk medie ville være interesseret i de tekniske synsvinkler der er om en sag, selv om de ligger i grænselandet mellem jura og teknik.

Ved at affærdige en teknisk diskussion som kun værende juridisk, og visa versa opnår man jo lige præcis at debatten havner mellem to stole, med det forudsigelige resultat til følge.

  • 6
  • 1
Christian Nobel

Så det du siger er at du mener at en nøgle som nogen andre har genereret og som jeg aldrig kan få at se fordi den ligger på deres "sikre" hardware, godt kan betegnes som noget jeg er under "fuld kontrol" over ?

Min holdning er rimelig klar.

Jeg stoler ikke på en digital signatur som jeg ikke selv har fået lov at generere på baggrund af noget tilfældigt data jeg selv har genereret.

Man kan vel til en vis grad plædere for, at hvis nøglen bliver genereret ud fra tilfældige data, for derefter straks at blive destrueret (og garanteret ikke kopieret) efter udlevering til dig, så kan den muligvis godt holde vand.

Men det er jo slet ikke en sådan konstruktion der er tale om fsva. Nemid, al den stund nøgle og signatur opbevares af samme entitet - med eneste sikkerhed at vi skal kunne stole på deres mumbo-jumbo HSM modul.

En mulig model kunne være en blackbox (og så må man vælge at stole på den) på borgerkontoret, hvor man så efter personlig betjening (så det vitterlig fremgår at man er den man er) får genereret hhv. privat nøgle til udlevering, samtidig med den offentlige nøgle uploades til stats CA.

Og de paranoide kunne så selv troppe op med egen boks/computer som kunne lave samme nummer, hvis de ikke vil stole på blackbox'en.

Det gør ikke noget det er lidt besværligt - vores identitet er lidt for vigtig til det bare skal være "nemt"!

  • 5
  • 1
Ole Laursen

Er der noget der taler imod at vi kunne anvende samme model?

Jeg tror ikke Digitaliseringsstyrelsen kan finde ud af det.

Det virker ikke på mig som om de har nogen egentlig kontrol over de større ting de sætter i værk. F.eks. kørte NemID jo i lang tid på Java, selvom Java-plugins i browsere allerede fra starten af var en død sild. NemHandel og Digital Post er kørt efter samme model.

Håber jeg tager fejl, men mit bud er at der sidder en flok jurister og finder på nogle virkelighedsfjerne krav og så kommer der et stort selskab og stryger en masse millioner for at lave en software-mæssigt forældet løsning (selve hardwaren dvs. papkortet fungerer nu fint nok i NemID, det skal de have). Og 2020 er sikkert for optimistisk. Hvis de allerede har misset 3 år, så kan der sagtens forsvinde 3 år til.

  • 5
  • 0
Henrik Madsen
  • 4
  • 0
Bjarne Nielsen

Så det du siger er at du mener at en nøgle som nogen andre har genereret og som jeg aldrig kan få at se fordi den ligger på deres "sikre" hardware, godt kan betegnes som noget jeg er under "fuld kontrol" over ?

Nu henviste jeg sådan set kun til eIDAS forordningen. Jeg vil igen opfordre til, at du læser bilag II.

Forordningen forholder kun til, hvilke krav der skal opfyldes, ikke hvordan det sker, men i runde tal, så er kravene er flg.:

a) at genereringen kan holdes fortrolig,
b) ikke gentages,
c) ikke kan gættes eller forfalskes,
d) ikke kan bruges af andre end dig.

Der står ikke noget om, at du skal lave genereringen (der står heller ikke noget om, at du ikke må, bare det ovenstående er opfyldt). Men igen, læs bilaget, det er mere præcist formuleret).

Du er velkommen til at have din egen mening (og personligt synes jeg bestemt, at du burde have lov til det, som du vil), men når der tales om kvalificerede elektroniske signaturer, så bygger det (bl.a.) på ovenstående definition.

  • 1
  • 0
Henrik Madsen

Nu har man kunne forfalske underskrifter i mange mange år, vores samfund eksistere stadigvæk.

Men dengang var der ikke et centraliseret system sådan at hvis jeg fik fat i din "underskrift" så kunne jeg med ganske få klik (Fra Ukraine) stjæle alle dine penge, ændre din adresse, rode med din selvangivelse, læse alle dine lægeoplysninger og en HEL masse andre ting.

Hvis man lægger alle sine æg i en kurv, så er det ENDNU mere vigtigt at kurven ikke har huller i bunden.

  • 6
  • 0
Henrik Madsen

Og det er jo lige der at filmen knækker for temmelig mange af version2's læsere.

Da vi jo ikke ved noget om hvordan vores nøgle er 'opbevaret sikkert', så ved vi reelt ikke den kun er beskyttet med ROT13

Helt enig

Den eneste måde jeg kan være sikker på at min nøgle kun kan bruges af mig er hvis JEG har fuld kontrol over nøglen. (Og det har jeg ikke når den ligger hos Nets i noget hardware de påstår er sikkert"

Allerhelst ser jeg at min nøgle er genereret på baggrund af noget random entropi jeg selv har genereret, gemt på en hardware dims som ikke har mulighed for at interface med min pc.

Altså en hardware dims ala nøgleviseren men hvor jeg har genereret seedet til den.

På den måde kan jeg, så længe jeg er i besiddelse af donglen være sikker på at ingen (ej heller hackere eller korrupte medarbejdere hos Nets, som sælger oplysninger til se og hor) har adgang til mine data eller kan underskrive på mine vegne.

Der er vil jo så næsten i mål med NemID på hardware bortset fra at den skal sættes i computeren, den ikke virker med netbank og at man stadigvæk skal stole på at Nets ikke har en bagdør. Nå ja og så skal man jo stadigvæk have et papkort alligevel som backup.

  • 2
  • 0
Povl Hansen

Det her handler jo på ingen måde om at noget er sejt eller ej, men om at være beskyttet.

så lad os da kigge på dine beskyttende forslag

1)
hvis nets bliver hacket
og alle certificater derfor bliver ugyldiggjordt, men nogen når af misbruge mit cerfificat inden, vil jeg have meget nemmer ved af overbevise om af det ikke er mig, - eftersom historien har været bragt i samtlige medier,

end hvis det bare er min hjemme computer der er blevet hacket

og ligegyldigt hvilkent weblogin jeg bruger vil det ikke beskytte mod korrupte medarbejderer

2)
så lad os kalde den Borger ID

3)
hvis sikkerhed er for sværd / besværlig lader folk være med af lukke døren, og hvor sikker synts du en åben dør er ?

4)
helt enig, jeg så gerne af man bare havde en start knap i bilen og når man gik hjemmefra så kunne man nøjes med af lukke døren, desværre lever jeg ikke sådan et sted, men jeg ville helt klart have det helt vildt dejligt med det

  • 1
  • 1
Henrik Madsen

1)
hvis nets bliver hacket
og alle certificater derfor bliver ugyldiggjordt, men nogen når af misbruge mit cerfificat inden, vil jeg have meget nemmer ved af overbevise om af det ikke er mig, - eftersom historien har været bragt i samtlige medier,

end hvis det bare er min hjemme computer der er blevet hacket

og ligegyldigt hvilkent weblogin jeg bruger vil det ikke beskytte mod korrupte medarbejderer

Du antager meget belejliget at et eventuelt hack vil blive opdaget med det samme.

Er det totalt urealistisk for dig at forestille dig at en dygtig hacker som kommer ind og får adgang til alle vore digitale signaturer, vil gå lidt stille med dørene og forsøge at misbruge dem på en måde som giver ham penge/magt, men at han ikke bliver opdaget.

De fleste andre i branchen for hacking og malware taler ellers i disse tider mest om "Stealth" og "persistence".

Jeg kan forstå at du tror at en eventuel hacker straks vil bruge sin adgang til at gå amok og lave en masse ting som "larmer" og han derfor straks bliver opdaget og lukket ude. ?

  • 1
  • 1
Henrik Madsen

helt enig, jeg så gerne af man bare havde en start knap i bilen og når man gik hjemmefra så kunne man nøjes med af lukke døren, desværre lever jeg ikke sådan et sted, men jeg ville helt klart have det helt vildt dejligt med det

Men når det gælder din digitale signatur, så gælder jo de samme mekanismer.

Det ville være rart hvis man bare kunne have noget som var ultra nemt, men sådan er verden ikke.

Alligevel taler du for at lige netop når det gælder din digitale identitet, så skal det hellere være "nemt", end "sikkert"

  • 2
  • 0
Gert Madsen

Nemt men usikkert > Sværere, men sikkert.


Lige præcis.
Det skyldes den "one size fits all"-tilgang man har til signaturen.

NemID er helt OK til mindre kritiske ting, som tilmeldinger og diverse andre ting, som ikke kan give den store gevinst for andre, hvis det bliver kompromiteret.
Det er også OK, til bankernes overførsler, fordi at bankerne er erstatningsansvarlige, hvis det går galt.
- For bankerne er det en simpel forsikringskalkyle. Er det billigst at øge sikkerheden, eller betaler vi bare erstatningen, hvis det går galt.

Til mere alvorlige sager, som tinglysning, nemkonto etc., bør sikkerheden være højere. Her kan vi som borgere komme i alvorlige problemer, hvis det går galt, samtidigt med at det er voldsomt lukrativt for kriminelle at bryde sikkerheden.
En løsning til dette skal bare være helt i top. Hvis det så betyder at man må droppe en digital indgang, fordi det er for besværligt for folk at håndtere, de ganske få gange de typisk har brug for det, så må det være sådan.

  • 1
  • 1
Povl Hansen

Men når det gælder din digitale signatur, så gælder jo de samme mekanismer.

jeg taler for af når man skal lave en løsning som skal bruges af hele befolkningen så skal man huske på af der faktisk sidder nogle personer der ikke ved hvilken vej musen skal vende og de skal også bruge det

så i stedet for
Nemt men usikkert > Sværere, men sikkert.

så bare Nemt & Sikkert

og hvis du kan finde en bedre løsning end de nuværende der lever op til det må du da endelig sige til

  • 1
  • 1
Povl Hansen

Til mere alvorlige sager, som tinglysning, nemkonto etc., bør sikkerheden være højere


Hvordan vil du da gøre den højere ?
og hvis du forslår noget med af gemme noget som helst på brugerens computer skal du huske på af løsningen skal bruges af alle danskerer

Hvis du foreslår af folk skal møde personligt op skal du i for eksempel Tinglysningen, som man har flyttet til Hobro, så kan det være af der muligvis skal ansættes noget mere personale som du også skal finde finansiering til

så hvordan vil du gøre sikkerheden højerer ?

  • 2
  • 1
Gert Madsen

så bare Nemt & Sikkert


Problemet er, at visse af de tilfælde hvor der skal bruges NemID, kræver voldsom høj sikkerhed.
I andre tilfælde er behøver sikkerheden ikke at være høj - derfor kan det bare være nemt.

Man forsøger at dække meget forskellige behov med een løsning.
Jeg vil ikke udelukke at det på et tidspunkt kan lade sig gøre, men der er vi ikke endnu.

  • 1
  • 0
Christian Nobel

Hvis du foreslår af folk skal møde personligt op skal du i for eksempel Tinglysningen, som man har flyttet til Hobro, så kan det være af der muligvis skal ansættes noget mere personale som du også skal finde finansiering til

Systemet med underskrift plus to vitterlighedsvidner har faktisk vist sit værd over rigtig lang tid.

Og tanken om hvordan man skal håndhæve sin ret i fremtiden, hvis der sker noget med de data der repræsenterer samtlige skøder, kan godt få det til at gyse i en.

  • 0
  • 1
Henrik Madsen

Systemet med underskrift plus to vitterlighedsvidner har faktisk vist sit værd over rigtig lang tid.
Og tanken om hvordan man skal håndhæve sin ret i fremtiden, hvis der sker noget med de data der repræsenterer samtlige skøder, kan godt få det til at gyse i en.

Det virker som om visse personer har en ide om at "nyt = altid bedre".

Jeg gyser også lidt ved tanken om hvad der sker, den dag hackere får adgang til det hele og dermed kan hente samtlige NemID brugere's skatteoplysninger, komplette lægejournal fra fødsel til nu og en hel masse andre oplysninger.

Mon "Det skal være nemt" fortalerne til den tid vil ændre mening når familie og venner kan se deres lægejournal.

  • 1
  • 0
Anders Majland

Jeg købte min første nøgleviser i 2011 og den holdt op med at virke i 2014 (skrev en fejl i displayet)

Til en start afviste de reklamationen med henvisning til at den var mere end 2år gammel (Den var 2år og 3 måneder). Men efter lidt "dialog" med henvisning til at de ved købet lovede at den holdt i mindst 3år valgte de dog at erstatte den.

Den "nye" nærmer sig nu 3år og jeg forventer at den enten går i stykker eller løber tør for batteri - any-day-now - da aktuel markedsføring kun lover at den holder i 2år.

Så med 99,- for en nøgelviser er det selvfølgelig en relativt lille udgift men burde vel ikke være dyrere end at skulle have et nyt papkort tilsendt hvert kvartal .....

  • 0
  • 0
Povl Hansen

Mon "Det skal være nemt" fortalerne til den tid vil ændre mening når familie og venner kan se deres lægejournal.

Jeg syntes det er mere sikkert af lægen kan slå min jorunal op på sin skærm, end af han skal rende rund i mørke kælder gange og tilfældige afdelinger for af finde ud af hvor den eneste papirudgave af min journal er

og personligt tror jeg folk er utroligt lige glade med min journal
det kan da godt være af der den første måned vil komme noget overskrifter i Ekstra Bladet med af statsministeren [indsat spændende journal indhold], men så tror jeg også det vil dø ud

Det virker som om af nogen er bange for af komme ind i fremtiden :O

  • 0
  • 1
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize