Sådan bliver den nye digitale signatur

41 kommentarer.  Hop til debatten
Danskerne skal fremover have et lille kodekort gemt i tegnedrengen, når de vil have den digitale signatur med på farten.
25. juni 2008 kl. 11:36
errorÆldre end 30 dage

Danskere, der ønsker at anvende digital signatur skal nu vænne sig til at have et lille kodekort med sig, når de ønsker at anvende den digitale signatur. Det kom frem på dagens pressemøde, hvor videnskabsminister Helge Sander kunne afsløre, hvordan den kommende digitale signatur kommer til at fungere.

Som tidligere beskrevet på Version2.dk er det lykkedes videnskabsminister Helge Sander og hans embedsmænd at holde kortene tæt ind til kroppen, når det drejer sig om, hvordan den kommende digitale signatur kommer til at fungere i praksis. Men som det tidligere er beskrevet på Version2.dk bliver der tale om en token-løsning ? eller en tofaktorsignatur, der kan anvendes uafhængig af en bestemt pc.

Der har blandt andet været spekulationer om anvendelse af USB-nøgler eller elektroniske nøgletokens, men DanID har valgt at basere det ekstra fysiske element på et kodekort, der i forvejen blandt andet har været brugt af kunder i Jyske Bank, når de skulle benytte deres netbank.

Med denne opsætning tilfredsstiller DanID diverse sikkerhedseksperters mantra omkring sikker adgang til it-systemer, der netop lyder, at man har noget i hovedet og noget fysisk.

Artiklen fortsætter efter annoncen

Når den nye digitale signatur skal anvendes, taster brugeren først sit brugernavn og kodeord ind, hvorefter brugeren indtaster en kode fra engangskortet, der efterfølgende giver adgang til både banker og offentlige tjenester på nettet.

DanID sender automatisk et nyt kort, når koderne på det gamle kort er ved at være brugt. Er et kort bortkommet, skal man blot bestille et nyt. Oplysningerne på kortet har nemlig ingen værdi i sig selv, men kan kun anvendes i forbindelse med brugerens brugernavn og kodeord.

Engangskodekortet er på størrelse med et betalingskort og kan medbringes overalt, og DanID oplyser, at synshandicappede kan få en udgave med blindskrift. På længere sigt vil engangskoden også kunne dannes elektronisk via eksempelvis mobiltelefonen.

DanID forestiller sig, at den nye sikre adgang kan sætte en stopper for de mest udbredte ?phishing?-angreb på følsomme oplysninger, blandt andet fordi det ikke længere er nok at få fat i brugernavn og adgangskode, men "phisheren" også skal have fat i en engangskode, som "phisheren" ikke har mulighed for at kende.

Artiklen fortsætter efter annoncen

Administrerende direktør i DanID, Johnny Bennedsen, oplyser til Version2.dk, at det bliver muligt for brugerne at markere, at de ønsker DanID til at monitorere brugen af den digitale signatur, så brugeren altid kan gå ind med sin digitale signatur og se, hvor den har været anvendt.

En række kommuner har allerede taget forskud på en USB-baseret mobil digital signatur. Det gælder København og Århus kommuner og flere kommuner er på vej med en tilsvarende løsning, der er leveret af EDB Gruppen.

41 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
1
25. juni 2008 kl. 12:15

Det interesserer mig mindre hvordan de præcist implementerer det, det interessante er hvordan ansvarsfordelingen er.

Hvis mit næste kodekort forsvinder i posten og bliver misbrugt fordi min PC havde spyware der havde afluret password, er det så mig eller DanID der hæfter for skaden ?

Med den træfsikkerhed PostDanmark har, og med 10-30% af alle danske PC'er inficeret med spyware kan det umuligt være brugerens ansvar.

Eller bliver kodekortene sendt som rekomanderet post, sådan som ethvert firma med forstand på sikkerhed ville gøre det ?

Poul-Henning

3
25. juni 2008 kl. 12:48

Idag bliver hverken dankort, koden til samme eller jyske banks nøglekort sendt rekommanderet. Dankort og kode bliver sendt i seperate kuverter på forskellige dage. Nøglekortene kræver som bekendt kodeord for at kunne udnyttes. Det bliver selvfølgelig mere kritisk jo mere kortet/koden kan bruges til, så det er muligt at de nye kort skal beskyttes bedre, men det er ikke mit indtryk at det er her sikkerheden ved dankort/jyske netbank svigter.

Jarnis

4
25. juni 2008 kl. 13:08

Idag bliver hverken dankort, koden til samme eller jyske banks nøglekort sendt rekommanderet.

Forskellen er at folk får et kontoudtog der siger hvad deres dankort har været brugt til.

Hvis de lover at sende et "kontoudtog" hver måned med hvad signaturen har været brugt til, kan vi tale om det.

Derudover er der meget præcist lovgivet om ansvarsfordeling med Dankort, jeg ser ingen tilsvarende lovgivning om den digitale signatur.

Så jeg spørger igen: Hvem har ansvaret for misbrug ?

Poul-Henning

5
25. juni 2008 kl. 14:11

Poul-Hennings niveau af paranoia er beundringsværdigt, og måske er idéen med "kontoudtoget" slet ikke så tosset? - at man kan logge på med sin signatur og se hvad den tidligere har været brugt til?

Det KAN jo også bare være en nysgerrig nærtstående der "låner" nøglekortet og kan gætte ens kode - det vil næppe blive opdaget, med mindre brug fremgår af en slags brugslog. Registreret bliver brugen jo, så det er vel bare et spørgsmål om at gøre registret tilgængeligt for den registrerede..

6
25. juni 2008 kl. 14:23

Poul-Hennings niveau af paranoia er beundringsværdigt, og måske er idéen med "kontoudtoget" slet ikke så tosset? - at man kan logge på med sin signatur og se hvad den tidligere har været brugt til?

Det er ikke parnoia, men realiteternes verden! Spyware der aflurer passwords er meget udbredt og lige så snart det er muligt at tjene penge på at udnytte passwords vil det ske. Således også for en digital signatur. Velkommen til den moderne internetbaserede "økonomi".

Helt enig i at klar ansvarsfordeling samt "kontoudtog" vil være en god ide.

41
26. juni 2008 kl. 19:28

Ja, bortset fra at en log med hele brugerens brugshistorie næppe er fremmende for privatlivets fred. Centrale løsninger er bare centralistiske og fremmer systemet frem for mennesket. Selv reperationer, som en transaktionslog bliver problematiske fordi for mange oplysninger om den enkeltes liv lagres samme sted.

43
26. juni 2008 kl. 19:39

Jeg medgiver at der er tale om en slags central autentificering af brugere op mod offentlige og private services. Altså en slags Dansk borger ID. Men kan nogen (gerne DanID) forklare mig hvordan man tænker sig at normale danskere skal anvende denne såkaldte digitale signatur til at underskrive sin e-mail korrespondance og til at modtage og afkryptere indgående mails beskyttet via ens offentlige nøgle. Det lader nemlig ikke til at man skal installere noget på den PC/Mac man bruger, og så kan kryptering/afkryptering jo kun finde sted hos DanID, som så har de jo kunne læse med.

8
25. juni 2008 kl. 15:00

Hvis man læser ovenstående beskrivelse af den nye version, er det ganske slående, at det der beskrives er en adgangs/identifikation løsning og ikke en digital signatur løsning? Men det er vel også også navneskiftet signalerer...

Det bliver interessant at se hvorvidt de har andre ting oppe i ærmerne...

25
25. juni 2008 kl. 22:41

@Martin Clausen

Der er tale om en X.509 baseret løsning. Nøglerne ligger bare ikke i software mere.

9
25. juni 2008 kl. 15:30

Bliver den de-facto obligatorisk ved at alle eksisterende netbanknøgler opgraderes til at være DanID i løbet af de næste 5 år? Det ser sådan ud iflg. http://pbs.dk/dk/nyheder/nyhed_080625

Jeg deler Andreas bekymring. Det burde være muligt at bygge videre på nøgleløsningen på en måde, der gør det umuligt for f.eks. PET/PBS at udgive sig for mig, f.eks. ved at have et lokalt genereret certifikat.

Jeg er enig i at der skal en form for kontoudtog til, før det kan accepteres. Gerne elektronisk med f.eks. e-mail-notifikationer og en for-evigt log, der kan ses gennem signaturen. Men derudover synes jeg der bør være endnu en faktor, når man tilgår en ny udbyder, som man ellers ikke anvender signaturen op mod, så man selv kan bestemme om f.eks. ens journal skal kunne ses gennem signaturen.

Når løsningen ikke længere indeholder et certifikat i browseren, hvordan håndteres kompatibilitet med dem, der har en løsning bygget på OCES?

Hvor åben er den nye løsning i det hele taget? Hvis man nu f.eks. gerne vil bruge den på ens lille idrætsforeningsside?

Uden en yderligere sikring mod PBS/PET/... end den, der nævnes i pressemeddelelsen tror jeg ikke jeg skal nyde noget. Gad vide om man så kan beholde sin netbank?

Jeg savner i det hele taget et link til en side med tekniske specifikationer...

10
25. juni 2008 kl. 15:52

Systemet med engangskodekort har fungeret i Sverige (til banker) i en årrække, men er nu ved at blive udskiftet da det ikke er sikkert nok. Nu anvender man et system hvor et kreditkort skal indsættes i en kodegenerator, derefter indtastes en engangskode der oplyses på sitet man logger på, hvorefter kodegeneratoren giver en svarkode til sitet.

Systemet virker måske lidt besværligt i første omgang, men det fungerer godt og hurtigt.

Hvorfor indfører et system i DK som bevisligt allerede fra dag 1 kan hackes ?

12
25. juni 2008 kl. 16:05

Hvorfor indfører et system i DK som bevisligt allerede fra dag 1 kan hackes ?

Fordi er/skal være IT-foregangsland ?

Poul-Henning

7
25. juni 2008 kl. 14:41

Et indbrud i den centrale database vil gøre det muligt at udgive sig for hvem som helst.

Hvis de private nøgler derimod kun er til stede i et fysisk token, så vil ikke engang PBS, FET eller andre kunne skrive under i dit navn.

Det lyder som en rigtig god bank-løsning - men bankløsningen er kun noget værd, da der findes kontoudtog og at transaktioner kan rulles tilbage. Det er altså lettere at rette op på økonomiske transaktioner bagud i tid end på det klik, der sagda nej tak til optagelse på drømmestudiet for 2 år siden....

11
25. juni 2008 kl. 16:00

Hvem siger det er en traditionel database?

En rigtigt implementeret central signerings server vil holde borgernes private nøgler i et HSM (Hardware Security Module) rigtigt sat op vil disse nøgler IKKE kunne eksporteres i klar tekst og være krypteret under en nøgle som borgeren har (password+token halløj).

Den sidste del er dog sandsynligvis ikke med.

Jeg vil tro de har alle nøgler krypteret under en delt master nøgle så det kræver flere administratorer at kunne vedligeholde HSM'en.

26
25. juni 2008 kl. 22:44

@Søren Hilmer m.fl.

Det er korrekt! Den centrale signatur server vil være baseret på et HSM, der vil være placeret i samme miljø som selv certificeringscentret.

Peter Lind Damkjær DanID

13
25. juni 2008 kl. 16:07

Et af de alvorligt svage punkter er at jeg ikke har kontrol over den digitale signatur, som jeg skal bruge til at underskrive dokumenter. Det er helt godnat, uanset hvor godt DanID påstår at de passer på min nøgle.

Forhåbentligt bliver dette et reelt [i]tilbud[/i], som man kan [i]fravælge[/i] uden at skulle frasige sig muligheden for at benytte en netbank.

15
25. juni 2008 kl. 16:10

Hvem siger du ikke har kontrol over den selvom DanId opbevarer den?

Den kunne jo være krypteret under en passphrase som kun du kender.

Hvis man så forestiller sig at dekrypteringen af nøgleb og anvendelsen af samme foregår i et HSM, så kommer DanId jo ikke til at kende din nøgle.

34
26. juni 2008 kl. 10:59

@Hilmer

For det første, hvordan ved man som borger, at ens nøgle faktisk ligger på en HSM-enhed? Hvad gør DanID, hvis politiet fx får en dommerkendelse på at udlevere de næste private nøglet Klaus Riskjær og Kurt Thorsen får?

For det andet, selvom DanID ikke har min private X509 nøgle, kan de stadig signere alt det, de vil med den.

18
25. juni 2008 kl. 16:45

Tesen er at folks (ofte korte) passphrase og brugernavn kan aflures via keyloggers og lignende, og at (digitale) nøglefiler kan kopieres med trojans eller dårlig browsersikkerhed. Derfor skal vi have en række engangskoder på et nøglekort, som ikke har fysisk berøring med computeren.

Men hvis en angriber kan kopiere [i]fremtidige[/i] engangskoder sammen med de øvrige oplysninger er vi lige vidt.

Hvis man bruger adgangskoden (jeg nægter at kalde det en digital "signatur") i det fri, er der en risiko for at brugernavn + passphrase aflures. Brug bag nedrullede gardiner må kraftigt anbefales! Hvis angriberen derefter kan få fat i nøglekortet og tage et billede af det (en kopi), har han nogle fremtidige adgangskoder som kan bruges.

En anden ide er at få folk til at indtaste de tre oplysninger på en falsk side, som udgiver sig for at være fra DanID. Så får angriberen fat i nogle koder, som ikke har været brugt.

Angrebet kunne for eksempel være via "Verified by Visa", som (desværre) benyttes af et stigende antal udenlandske netbutikker. Efter brugen af Visa kortet bliver man sendt tilbage til sin netbank i en indlejret side, hvor man skal validere at man nu også ejer det anvendte Visa kort. Den udenlandske netbutik, eller de kriminelle som har hacket butikken, sender i stedet kunden til en falsk side, hvor der opsnappes et par engangskoder (jeg har lavet flere fejlvalideringer i Verified by Visa af forskellige årsager, så en 2-3 forsøg vil ikke være usædvanligt inden man giver op og konkluderer at PBS/DanID må være "nede").

Disse engangskoder (sammen med brugernavn og passphrase) kan derefter anvendes enten til indbrud i netbanker (registreringsnummer fremgår af danske Visa kortnumre) eller til indsamling af personlige oplysninger fra de offentlige tjenester, altså identitetstyveri. Det sidste er naturligvis langt værre da man selv hæfter for skaden, og identitetstyveriet er pludseligt blevet muligt fordi man kobler adgangen til netbanken sammen med adgangen til offentlige tjenester. Endda på en måde som dybest set ikke er særlig sikker.

Rigtige kriminelle har selvfølgelig smartere ideer end ovenstående...

14
25. juni 2008 kl. 16:10

... eller "Den lille spyware og Onkel Holger"

Scenen: Gamle onkel Holger sidder med sin PC og har netop gennemført endnu et indkøb baseret på den nye, sikre digitale signatur

Handlingen: kl. 20:12: Holger trykker submit og transaktionen er gennemført kl. 20:13: En mail ankommer – den er fra PET (eller noget der ligner): HASTER

Din transaktion har været udsat for et intenet-angreb fra en kendt, ukrainsk hacker-gruppe. Vi har brug for hurtigt at følge sporet til gruppen så de kan blive anholdt. Derfor har vi brug for at du omgående oplyser os om den næste talkode på dit engangs-kodekort så vi kan optage forfølgelsen.

Du vil modtage en kvittering fra os på at vi har modtaget det.

Venlig hilsen Sven Viggo Indell PCT (PET Cyberkrim Taskforce)

kl. 20:15: Holger sender, lettere rystet, det næste tal fra kortet kl. 20:20: Holgers folkeregisteradresse er ændret til en postboks i sydhavnen og et nyt kodekort er bestilt til adressen.

Holgers liv blev aldrig det samme igen. The End

2
25. juni 2008 kl. 12:45

Tager jeg fejl eller er det ikke kun adgangskontrollen, der delegeres ud. Staten har stadig alle danskeres digitale signatur, som den kan bruge efter behov ?