Sådan bliver den nye digitale signatur

Danskerne skal fremover have et lille kodekort gemt i tegnedrengen, når de vil have den digitale signatur med på farten.

Danskere, der ønsker at anvende digital signatur skal nu vænne sig til at have et lille kodekort med sig, når de ønsker at anvende den digitale signatur. Det kom frem på dagens pressemøde, hvor videnskabsminister Helge Sander kunne afsløre, hvordan den kommende digitale signatur kommer til at fungere.

Som tidligere beskrevet på Version2.dk er det lykkedes videnskabsminister Helge Sander og hans embedsmænd at holde kortene tæt ind til kroppen, når det drejer sig om, hvordan den kommende digitale signatur kommer til at fungere i praksis. Men som det tidligere er beskrevet på Version2.dk bliver der tale om en token-løsning ? eller en tofaktorsignatur, der kan anvendes uafhængig af en bestemt pc.

Der har blandt andet været spekulationer om anvendelse af USB-nøgler eller elektroniske nøgletokens, men DanID har valgt at basere det ekstra fysiske element på et kodekort, der i forvejen blandt andet har været brugt af kunder i Jyske Bank, når de skulle benytte deres netbank.

Med denne opsætning tilfredsstiller DanID diverse sikkerhedseksperters mantra omkring sikker adgang til it-systemer, der netop lyder, at man har noget i hovedet og noget fysisk.

Når den nye digitale signatur skal anvendes, taster brugeren først sit brugernavn og kodeord ind, hvorefter brugeren indtaster en kode fra engangskortet, der efterfølgende giver adgang til både banker og offentlige tjenester på nettet.

DanID sender automatisk et nyt kort, når koderne på det gamle kort er ved at være brugt. Er et kort bortkommet, skal man blot bestille et nyt. Oplysningerne på kortet har nemlig ingen værdi i sig selv, men kan kun anvendes i forbindelse med brugerens brugernavn og kodeord.

Engangskodekortet er på størrelse med et betalingskort og kan medbringes overalt, og DanID oplyser, at synshandicappede kan få en udgave med blindskrift. På længere sigt vil engangskoden også kunne dannes elektronisk via eksempelvis mobiltelefonen.

DanID forestiller sig, at den nye sikre adgang kan sætte en stopper for de mest udbredte ?phishing?-angreb på følsomme oplysninger, blandt andet fordi det ikke længere er nok at få fat i brugernavn og adgangskode, men "phisheren" også skal have fat i en engangskode, som "phisheren" ikke har mulighed for at kende.

Administrerende direktør i DanID, Johnny Bennedsen, oplyser til Version2.dk, at det bliver muligt for brugerne at markere, at de ønsker DanID til at monitorere brugen af den digitale signatur, så brugeren altid kan gå ind med sin digitale signatur og se, hvor den har været anvendt.

En række kommuner har allerede taget forskud på en USB-baseret mobil digital signatur. Det gælder København og Århus kommuner og flere kommuner er på vej med en tilsvarende løsning, der er leveret af EDB Gruppen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (54)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Poul-Henning Kamp Blogger

Det interesserer mig mindre hvordan de præcist implementerer det, det interessante er hvordan ansvarsfordelingen er.

Hvis mit næste kodekort forsvinder i posten og bliver misbrugt fordi min PC havde spyware der havde afluret password, er det så mig eller DanID der hæfter for skaden ?

Med den træfsikkerhed PostDanmark har, og med 10-30% af alle danske PC'er inficeret med spyware kan det umuligt være brugerens ansvar.

Eller bliver kodekortene sendt som rekomanderet post, sådan som ethvert firma med forstand på sikkerhed ville gøre det ?

Poul-Henning

  • 0
  • 0
Jarnis Bertelsen

Idag bliver hverken dankort, koden til samme eller jyske banks nøglekort sendt rekommanderet. Dankort og kode bliver sendt i seperate kuverter på forskellige dage. Nøglekortene kræver som bekendt kodeord for at kunne udnyttes. Det bliver selvfølgelig mere kritisk jo mere kortet/koden kan bruges til, så det er muligt at de nye kort skal beskyttes bedre, men det er ikke mit indtryk at det er her sikkerheden ved dankort/jyske netbank svigter.

Jarnis

  • 0
  • 0
Poul-Henning Kamp Blogger

Idag bliver hverken dankort, koden til samme eller jyske banks nøglekort sendt rekommanderet.

Forskellen er at folk får et kontoudtog der siger hvad deres dankort har været brugt til.

Hvis de lover at sende et "kontoudtog" hver måned med hvad signaturen har været brugt til, kan vi tale om det.

Derudover er der meget præcist lovgivet om ansvarsfordeling med Dankort, jeg ser ingen tilsvarende lovgivning om den digitale signatur.

Så jeg spørger igen: Hvem har ansvaret for misbrug ?

Poul-Henning

  • 0
  • 0
Peter Andersen

Poul-Hennings niveau af paranoia er beundringsværdigt, og måske er idéen med "kontoudtoget" slet ikke så tosset? - at man kan logge på med sin signatur og se hvad den tidligere har været brugt til?

Det KAN jo også bare være en nysgerrig nærtstående der "låner" nøglekortet og kan gætte ens kode - det vil næppe blive opdaget, med mindre brug fremgår af en slags brugslog. Registreret bliver brugen jo, så det er vel bare et spørgsmål om at gøre registret tilgængeligt for den registrerede..

  • 0
  • 0
Klaus Elmquist Nielsen

Poul-Hennings niveau af paranoia er beundringsværdigt, og måske er idéen med "kontoudtoget" slet ikke så tosset? - at man kan logge på med sin signatur og se hvad den tidligere har været brugt til?

Det er ikke parnoia, men realiteternes verden! Spyware der aflurer passwords er meget udbredt og lige så snart det er muligt at tjene penge på at udnytte passwords vil det ske. Således også for en digital signatur. Velkommen til den moderne internetbaserede "økonomi".

Helt enig i at klar ansvarsfordeling samt "kontoudtog" vil være en god ide.

  • 0
  • 0
Andreas Bach Aaen

Et indbrud i den centrale database vil gøre det muligt at udgive sig for hvem som helst.

Hvis de private nøgler derimod kun er til stede i et fysisk token, så vil ikke engang PBS, FET eller andre kunne skrive under i dit navn.

Det lyder som en rigtig god bank-løsning - men bankløsningen er kun noget værd, da der findes kontoudtog og at transaktioner kan rulles tilbage. Det er altså lettere at rette op på økonomiske transaktioner bagud i tid end på det klik, der sagda nej tak til optagelse på drømmestudiet for 2 år siden....

  • 0
  • 0
Martin Clausen

Hvis man læser ovenstående beskrivelse af den nye version, er det ganske slående, at det der beskrives er en adgangs/identifikation løsning og ikke en digital signatur løsning? Men det er vel også også navneskiftet signalerer...

Det bliver interessant at se hvorvidt de har andre ting oppe i ærmerne...

  • 0
  • 0
Morten Grouleff

Bliver den de-facto obligatorisk ved at alle eksisterende netbanknøgler opgraderes til at være DanID i løbet af de næste 5 år? Det ser sådan ud iflg. http://pbs.dk/dk/nyheder/nyhed_080625

Jeg deler Andreas bekymring. Det burde være muligt at bygge videre på nøgleløsningen på en måde, der gør det umuligt for f.eks. PET/PBS at udgive sig for mig, f.eks. ved at have et lokalt genereret certifikat.

Jeg er enig i at der skal en form for kontoudtog til, før det kan accepteres. Gerne elektronisk med f.eks. e-mail-notifikationer og en for-evigt log, der kan ses gennem signaturen. Men derudover synes jeg der bør være endnu en faktor, når man tilgår en ny udbyder, som man ellers ikke anvender signaturen op mod, så man selv kan bestemme om f.eks. ens journal skal kunne ses gennem signaturen.

Når løsningen ikke længere indeholder et certifikat i browseren, hvordan håndteres kompatibilitet med dem, der har en løsning bygget på OCES?

Hvor åben er den nye løsning i det hele taget? Hvis man nu f.eks. gerne vil bruge den på ens lille idrætsforeningsside?

Uden en yderligere sikring mod PBS/PET/... end den, der nævnes i pressemeddelelsen tror jeg ikke jeg skal nyde noget. Gad vide om man så kan beholde sin netbank?

Jeg savner i det hele taget et link til en side med tekniske specifikationer...

  • 0
  • 0
steffen riber

Systemet med engangskodekort har fungeret i Sverige (til banker) i en årrække, men er nu ved at blive udskiftet da det ikke er sikkert nok. Nu anvender man et system hvor et kreditkort skal indsættes i en kodegenerator, derefter indtastes en engangskode der oplyses på sitet man logger på, hvorefter kodegeneratoren giver en svarkode til sitet.

Systemet virker måske lidt besværligt i første omgang, men det fungerer godt og hurtigt.

Hvorfor indfører et system i DK som bevisligt allerede fra dag 1 kan hackes ?

  • 0
  • 0
Søren Hilmer

Hvem siger det er en traditionel database?

En rigtigt implementeret central signerings server vil holde borgernes private nøgler i et HSM (Hardware Security Module) rigtigt sat op vil disse nøgler IKKE kunne eksporteres i klar tekst og være krypteret under en nøgle som borgeren har (password+token halløj).

Den sidste del er dog sandsynligvis ikke med.

Jeg vil tro de har alle nøgler krypteret under en delt master nøgle så det kræver flere administratorer at kunne vedligeholde HSM'en.

  • 0
  • 0
Jesper Lund

Et af de alvorligt svage punkter er at jeg ikke har kontrol over den digitale signatur, som jeg skal bruge til at underskrive dokumenter. Det er helt godnat, uanset hvor godt DanID påstår at de passer på min nøgle.

Forhåbentligt bliver dette et reelt [i]tilbud[/i], som man kan [i]fravælge[/i] uden at skulle frasige sig muligheden for at benytte en netbank.

  • 0
  • 0
Peter Nørregaard Blogger

... eller "Den lille spyware og Onkel Holger"

Scenen: Gamle onkel Holger sidder med sin PC og har netop gennemført endnu et indkøb baseret på den nye, sikre digitale signatur

Handlingen:
kl. 20:12: Holger trykker submit og transaktionen er gennemført
kl. 20:13: En mail ankommer – den er fra PET (eller noget der ligner):
HASTER

Din transaktion har været udsat for et intenet-angreb fra en kendt, ukrainsk hacker-gruppe. Vi har brug for hurtigt at følge sporet til gruppen så de kan blive anholdt. Derfor har vi brug for at du omgående oplyser os om den næste talkode på dit engangs-kodekort så vi kan optage forfølgelsen.

Du vil modtage en kvittering fra os på at vi har modtaget det.

Venlig hilsen
Sven Viggo Indell
PCT (PET Cyberkrim Taskforce)

kl. 20:15: Holger sender, lettere rystet, det næste tal fra kortet
kl. 20:20: Holgers folkeregisteradresse er ændret til en postboks i sydhavnen og et nyt kodekort er bestilt til adressen.

Holgers liv blev aldrig det samme igen.
The End

  • 0
  • 0
Jesper Lund

Tesen er at folks (ofte korte) passphrase og brugernavn kan aflures via keyloggers og lignende, og at (digitale) nøglefiler kan kopieres med trojans eller dårlig browsersikkerhed. Derfor skal vi have en række engangskoder på et nøglekort, som ikke har fysisk berøring med computeren.

Men hvis en angriber kan kopiere [i]fremtidige[/i] engangskoder sammen med de øvrige oplysninger er vi lige vidt.

Hvis man bruger adgangskoden (jeg nægter at kalde det en digital "signatur") i det fri, er der en risiko for at brugernavn + passphrase aflures. Brug bag nedrullede gardiner må kraftigt anbefales! Hvis angriberen derefter kan få fat i nøglekortet og tage et billede af det (en kopi), har han nogle fremtidige adgangskoder som kan bruges.

En anden ide er at få folk til at indtaste de tre oplysninger på en falsk side, som udgiver sig for at være fra DanID. Så får angriberen fat i nogle koder, som ikke har været brugt.

Angrebet kunne for eksempel være via "Verified by Visa", som (desværre) benyttes af et stigende antal udenlandske netbutikker. Efter brugen af Visa kortet bliver man sendt tilbage til sin netbank i en indlejret side, hvor man skal validere at man nu også ejer det anvendte Visa kort. Den udenlandske netbutik, eller de kriminelle som har hacket butikken, sender i stedet kunden til en falsk side, hvor der opsnappes et par engangskoder (jeg har lavet flere fejlvalideringer i Verified by Visa af forskellige årsager, så en 2-3 forsøg vil ikke være usædvanligt inden man giver op og konkluderer at PBS/DanID må være "nede").

Disse engangskoder (sammen med brugernavn og passphrase) kan derefter anvendes enten til indbrud i netbanker (registreringsnummer fremgår af danske Visa kortnumre) eller til indsamling af personlige oplysninger fra de offentlige tjenester, altså identitetstyveri. Det sidste er naturligvis langt værre da man selv hæfter for skaden, og identitetstyveriet er pludseligt blevet muligt fordi man kobler adgangen til netbanken sammen med adgangen til offentlige tjenester. Endda på en måde som dybest set ikke er særlig sikker.

Rigtige kriminelle har selvfølgelig smartere ideer end ovenstående...

  • 0
  • 0
Jesper Lund

Hmm, dvs. at man kan se at den har været brugt på borger.dk, men kan man også se til hvad?

Når alle dine personlige oplysninger er blevet rippet fra diverse services på borger.dk, må det være en ringe trøst at du får besked om det.

Indbrud i netbanker er kun et spørgsmål om penge, ikke engang dine egne. Identitetstyveri er en langt mere alvorlig sag.

  • 0
  • 0
Jens Madsen

På nuværende tidspunkt, er vores digitale signatur anvendt, uden de store problemer. Der kræves kun password. I fremtiden, kræves udover password også engangskode. Det er klart, det må være mere sikkert, end det nuværende system - og det er en af de bedre systemer som findes.

Det er teoretisk muligt, at et kort kan mistes, eller kopieres, som sendes med posten. Som regel, vil dette kunne ses. Anvendes samme metode, som ved dankort, hvor at et nyt kort skal "aktiveres" først, så vil et kort der er beskadiet ikke kunne bruges.

Aktiveringen, kan eventuelt ske, med en kode, på det forrige kort. Derved skal en tyv, ikke kun kopiere kortet, som sendes med posten, men også have adgang til det aktuelle gyldige kort, som antages sikkert.

Naturligvis kan et nøglekort stjæles. Men, vi kan bestille et nyt, og derved gøre det gamle ugyldigt.

Her skal den måske sendes i to omgange, da vi mangler "aktiveringskoden", fra det forrige kort.

En central nøgleserver, er også kritiseret - hvad hvis nogen får adgang til den, eller mulighed for at kopiere den?

Der er flere løsninger. For det første, behøver en nøgleserver, ikke at være centralt placeret. Der kan anbringes flere nøgleservere forskellige hemmelige steder, der kontaktes, og hvis en nøgleserver stjæles, er dens oplysninger ubrugelige. Der mangler data, fra de andre servere. Samtidigt, kan opnås redundans: Går en server ned (svarer til tyveri), så vil de andre stadigt fungere. Kun hvis tilstrækkeligt mange "stjæles", opstår problemer.

Worst case, er at vi må udsende nye nøglekort til alle - før det er for sent (når vi ikke har flere servere at "løbe" på). Og herefter, starte forfra, med et nyt system af servere... Redundans, og hvor mange servere vi skal kunne "ofre", kan vælges når serverne fremstilles, eller oprettes. Dertil, kan der kræves servere, eller krypteringsmoduler, for at serverne kan bruges (hvis der stjæles nok af dem).

Inden det sker, har man jo nok lukket systemet.

Det er nævnt et svensk system, hvor kort sættes i en holder, der laver en engangskode. Hvorfor, og hvordan, kan den være mere sikker, end engangskoder sendt på papir? Normalt, vil her netop være muligt, at opdage den pågældende metode, og bryde den, således at man kan udregne sammenhængen mellem de tal, som der spørges om, og resultatet, som maskinen svarer. Ved engangskoder, er koderne helt tilfældige, og beror ikke på en brydbar algorithme. Derfor er den bedre, end det svenske system.

Hvis der kræves aktiveringskoder, er usandsynligt, at kodekortet kan stjæles af "posten" og bruges.

Det eneste problem, som jeg kan se, er at det ved "godkendelsen" ikke er garanti for, hvad der godkendes. Software kan dermed sandsynligt lægge sig ind, og skrive noget andet på skærmen, end det som reelt godkendes. Anvendes eksempelvis kortet, så kan ske den virker som normalt men et lille program ændrer dataene der sendes af sted, til at en anden kan bruge det, og det bruges så til gengælde ikke for den pågældende side, eller bruges først bagefter, således der opstår fejl der forklarer, at koden allerede er brugt. Og dermed, lokkes man måske til at bruge næste kode, og tror systemet har "sprunget en over" ved en fejl.

Samme problem, kan opstå på det svenske system, hvor computeren måske bringes til at gå ned ved brugen, og næste gang spørges om en ny kode. Dette er endnu mindre sikkert, da vi her ikke ved, om computeren faktisk bare er gået ned, og aldrig har fået sendt koden.

  • 0
  • 0
Jens Madsen

"kl. 20:15: Holger sender, lettere rystet, det næste tal fra kortet kl. 20:20: Holgers folkeregisteradresse er ændret til en postboks i sydhavnen og et nyt kodekort er bestilt til adressen."

På kortet skal oplyses med tydelige bogstaver:
Ved svindel, eller mistanke om svindel, kontakt straks telefonnummer XXXXXXX og oplys koden YYYY.

Ringes til det pågældende nummer, med koden YYYY spæres kortet straks.

Eventuelt kan man have et "reservekort", der kan bruges indtil et nyt tilsendes. For at det ikke skal ligne det normale kort, kan her være flere cifre på koderne. Kortet, kan kun bruges, når det normale kort spærres.

  • 0
  • 0
Jesper Lund

Jens Madsen skrev:

På nuværende tidspunkt, er vores digitale signatur anvendt, uden de store problemer. Der kræves kun password. I fremtiden, kræves udover password også engangskode. Det er klart, det må være mere sikkert, end det nuværende system - og det er en af de bedre systemer som findes.

Øh, glemmer du ikke den private nøgle som fysisk ligger på din computer? Den forsvinder i det nye system.

Det er teoretisk muligt, at et kort kan mistes, eller kopieres, som sendes med posten. Som regel, vil dette kunne ses.

Hvorfor er det så usandsynligt? Du bruger dit brugernavn og (alt for korte) passphrase på et offentligt sted, og din indtastning aflures eller keylogges. Efter at du har indtastet engangskoden er du uopmærksom i fem sekunder, mens der bliver taget et foto af dit engangskodekort (eller en håndholdt scanner). Alt er kopieret, og du har ikke set noget.

Derudover er der diverse man-in-the-middle replay angreb, hvor du taster dine logon credentials ind på den forkerte server.

Sidst, men ikke mindst, vil sikkerhedsrisikoen vokse betydeligt når vi har samme single sign-on til en masse offentlige og private services (det offentlige, banker, pensionsselskaber, teleselskaber, chatten på Arto, etc etc etc). Konsekvenserne af at dit logon bliver kompromitteret vil være langt større end i dag, og der bliver flere angrebsmuligheder mod dig.

  • 0
  • 0
Jens Madsen

"Øh, glemmer du ikke den private nøgle som fysisk ligger på din computer? Den forsvinder i det nye system."

Ja, hvis denne nøgle så er noget værd. Personligt, har jeg sikkerhedskopien til at ligge på PC'en.

Dog, vil jeg foretrække, at man som hos bankerne kan låse sin digitale signatur fast til ens PC, således der opnås samme sikkerhed som nu - plus de nye engangskoder. Og at den oplåses, inden den bruges andet sted - måske indtastes dato, eller datointerval, hvor den skal være oplåst, og kunne bruges på andre computere.

"Hvorfor er det så usandsynligt? Du bruger dit brugernavn og (alt for korte) passphrase på et offentligt sted, og din indtastning aflures eller keylogges. Efter at du har indtastet engangskoden er du uopmærksom i fem sekunder, mens der bliver taget et foto af dit engangskodekort (eller en håndholdt scanner). Alt er kopieret, og du har ikke set noget."

De kodekort, som jeg har hørt om, har skrabefelt. Derfor ses kun det nummer, du netop har afskrabet.

  • 0
  • 0
Peter Nørregaard Blogger

Som en kommentar til Holgers skæbne skrev Jens Madsen:

På kortet skal oplyses med tydelige bogstaver:
Ved svindel, eller mistanke om svindel, kontakt straks telefonnummer XXXXXXX og oplys koden YYYY.

Jamen Holger fattede aldrig mistanke og anede ikke at de slemme ukrainske banditter var ude efter at svindle ham. Men han var da kun glad for at kunne hjælpe PET for den slags folk burde spærres inde.

Når først det nye kodekort er sendt til phisherne kan de jo sammen med det phishede brugernavn og password hæve penge på hans konto, optage millionstore realkreditlån i hans ellers gældsfrie hus og få dem udbetalt til en konto som "han selv" havde skrevet under på at eje, hvorfra pengene forsvinder. For ikke at tale om de kreditkort, "han" bestiller og som bruges til diverse indkøb på nettet indtil regningen ikke betales.

Identitetstyveri bliver meget, meget mere tillokkende end i dag, så derfor vil de finde sted.

  • 0
  • 0
Jens Madsen

Jamen Holger fattede aldrig mistanke og anede ikke at de slemme ukrainske banditter var ude efter at svindle ham. Men han var da kun glad for at kunne hjælpe PET for den slags folk burde spærres inde.

Det er ikke den mest realistiske historie du kommer med. De fleste, som kan finde ud af, at bruge digital signatur, ved også hvordan de skal bruge den. Eventuelt, kan de underskrive et papir, hvor de erkender at de har kendskabt til dette, og så er de formelle juridiske problemer løst.

Den værste måde, er hvor du ikke opdager det. På en eller anden måde, får du noget "malware" på computeren - måske spredt som virus. Denne software, tjekker de adresser du bruger i explorer - og hvis du går ind på en side, der kræver digital signatur, erstattes de med andre sider, der sender den digitale signatur til forkerte, som herefter kan misbruge den. Måske sendes den ikke direkte, men via et botnet, bestående af andre inficerede computere.

Ovenstående, er svært at opdage, for dem der bruger det - de indtaster korrekt addresse, men en virus ændrer siden (måske henter forkert side fra cache hvor en anden side er lagt ind, eller erstatter den på anden måde, ved redirection, eller ved søg og erstat i den oprindelige side, i tcp/ip laget. Det kan være svært, eller umuligt at opdage.)

Den kære Holger, gør intet forkert. Han bruger computeren korrekt - han er ligeså dygtig, som du og jeg. Og han er ingen "dumrian", der falder på en email fra Ungarn. Alligevel, snuppes hans kode nemt.

Det, som han vil opdage, er at der måske intet sker, selvom koden er indtastet. Men, computeren gik måske ned, og hang. Så det er jo logik. Derfor, når han opdager, at det intet skete, så gør han det igen, med ny kode. Her, vil nogen få, måske opdage, at det burde ikke være nødvendigt med ny kode.

Det svenske system, er dårligere - her får du en "kode" du skal svare på, som er tilfældigt fra gang til gang. Perfekt, siger hackeren. Nu har brugeren ingen chance, for at opdage nummeret. Tænk, at vi kunne få Svenskerne til at hoppe på den... Godt, man har netværket.

Identitetstyveri bliver meget, meget mere tillokkende end i dag, så derfor vil de finde sted.

Hvis du skal gøre det ordentligt, må du også have fat på foto, bestille et nyt pas og kørekort, i dit nye navn. Dette kan i nogle tilfælde, måske opnås ved at bytte pas, for mindre sikre lande.

Poul-Henning skrev:

Jeg har svært ved at se hvorfor man ikke bare bider i det sure æble og få en ordentlig kryptografisk key-fob med det samme.

Og hvorfor mener du så, at denne er bedre?

Den, anvender netop en brydbar algorithme, og ikke tilfældige tal. Alle "koder", der hidtil har eksisteret, og som lovligt har kunnet anvendes, er blevet brudt. Tilfældige koder, kan ikke brydes. Og det er billigt, at udskifte nøglerne, hvis der er risiko for, at en eller flere af nøgleserverene er stjålden. Den del, der er i HW, skal også stjæles. Det kan gøres svært.

Hvad gør, at du tror en key-fob, der giver koder, er mere sikker, end et stykke skrabe-kort?

  • 0
  • 0
Anonym

I forvejen straffer de fleste banker en økonomisk hvis man ikke lægger alle tjenester ind i netbanken (fx Nordea hæver gebyrder hvis man ikke acceptere at få en elektronisk konto udskrift kun i netbank) - så man bliver reelt tvunget til at brugt det nye big brother login til netbanker. Og totalt ubehageligt at staten har kontrol over det.

  • 0
  • 0
Jens Madsen

Og totalt ubehageligt at staten har kontrol over det.

Det ubehagelige er da vist, at staten ikke har kontrol over det.

Risikoen er kriminelle, ansat hos stat, bank, eller andre tilsluttede, samt hackere der stjæler koderne fra privates PC.

Ønsker du ikke staten har kontrol med din privatøkonomi, er altid bedst, at flytte den til udlandet, hvor der ikke er oplysningspligt overfor den danske stat.

  • 0
  • 0
Poul-Henning Kamp Blogger

Poul-Henning skrev:[quote]

Jeg har svært ved at se hvorfor man ikke bare bider i det sure æble og få en ordentlig kryptografisk key-fob med det samme.  

Og hvorfor mener du så, at denne er bedre?

Den, anvender netop en brydbar algorithme, og ikke tilfældige tal. Alle "koder", der hidtil har eksisteret, og som lovligt har kunnet anvendes, er blevet brudt.[/quote]

Det er nyt for mig, kan du give en reference til f.eks hvor AES er blevet brudt ?

Tilfældige koder, kan ikke brydes. Og det er billigt, at udskifte nøglerne, hvis der er risiko for, at en eller flere af nøgleserverene er stjålden. Den del, der er i HW, skal også stjæles. Det kan gøres svært.

Der er kun et problem indefor kryptografi: Nøglehåndtering.

Det svageste punkt i det foreslåede system er Post Danmark.

Ved at anvende en KeyFob fjerne man det svageste led i kæden og man slipper for en masse manuelt bøvl.

Poul-Henning

  • 0
  • 0
Peter Lind Damkjær

@Per J

Først skal jeg lige bemærke, at jeg som tekniker giver svar på tekniske spørgsmål, der dukker op på debatten. Forretningsmæssige, politisk og juridiske spørgsmål kan jeg ikke svare på!

Min kommentar om opt-out gik derfor også udelukkende på "kontoudtoget".

/Peter

  • 0
  • 0
Niels Elgaard Larsen

@Hilmer

For det første, hvordan ved man som borger, at ens nøgle faktisk ligger på en HSM-enhed? Hvad gør DanID, hvis politiet fx får en dommerkendelse på at udlevere de næste private nøglet Klaus Riskjær og Kurt Thorsen får?

For det andet, selvom DanID ikke har min private X509 nøgle, kan de stadig signere alt det, de vil med den.

  • 0
  • 0
Jens Madsen

Det er nyt for mig, kan du give en reference til f.eks hvor AES er blevet brudt ?

Problemet ligger i software og hardware implementeringen. Køber du en key-fob, skal du i princippet stå inde for hele udviklingsprocessen er udført på en måde, således der ikke har været muligt at implementere dårlige metoder, der giver mulighed for brydning. Tænk på GSM - selvom det er umuligt at bryde, kan det alligevel brydes. Det skyldes ikke nødvendigvis algorithmen.

Et kort, hvor der er tilfældige koder, er meget overskueligt.

Det kan diskuteres, om 4 cifre er nok, som på det viste kort. Et computerprogram, kan måske nemt angribe 10.000 computere - og så vil éen være et hit. Eller måske flere, hvis der er statistiske tendenser, som på det viste billed af DanID (1234 osv).

Jeg mener, vi skal op på mindst 6 cifre. Og alligevel, er en mindre sandsynlighed for held med brydning.

Der er kun et problem indefor kryptografi: Nøglehåndtering.

Det svageste punkt i det foreslåede system er Post Danmark.

Hvis nøgler sendes med posten, må de ikke kunne stjæles, eller kopieres. Det er nødvendigt, at de sendes tilstrækkeligt sikkert til, at det kan ses hvis de er forsøgt åbnet eller aflæst. Samtidigt skal kræves en aktiveringskode, og brugerne skal instrueres i, at ikke aktivere eller bruge et kort, der ser ud til at være beskadiet, men skal i stedet bede om et nyt kort.

Jeg kender ikke prisen for nøglekortene. Den viste løsning, med et lille kort, ser relativ dyr ud. Kortet, kunne laves større, med flere cifre (større sikkerhed), og flere numre. Dertil ser ikke ud til, at felterne er beskyttet, f.eks. med fedt der skal skrabes af. Det betyder, at de kan kopieres nemt.

Kortene, ser altså ikke ud til, at have den nødvendige sikkerhed.

Jeg vil foretrække, det nuværende system, hvor en nøgle er låst fast til computeren, og hvor det nye engangskode system kun lægges ovenpå. Hvis det skal bruges på andre koder, kan låsningen så fjernes kortvarrigt, eller signaturen indstalleres på flere.

I forhold til, at det her er et system, som skal bruges af alle banker, og alle offentlige institutioner, er sikkerheden langtfra nok. Fås adgang, til at kunne bryde 10.000 computere, vil det lykkedes i få tilfælde. Det er muligt, at opsnappe koderne, ved at opsnappe koden, og få computeren til at gå ned, før data sendes. Evt. kombineret med, at ændre data i TCP/IP laget. Hvis data sendes til og distribueres af et botnet, er svært at finde modtageren.

Der er masser af kritisable forhold, men jeg mener ikke en key-fob løser alle. Jeg holder stadigt på, at det er dumt at fremstille key-fobs. De indeholder faktisk en lille cpu, og et display. Det havde været langt billigere, at fremstille en chip, der forbindes til PS/2 stikket i computeren, samt PS/2 stikket i tastaturet. Der skal hverken bruges display, eller tastatur, og PS/2 standarden er så simpelt, at de fleste microprocessorer håndterer den. Selv USB, er relativ nemt at håndtere i en microcontroler, men kræver specielt hardware og kan ikke håndteres i software som PS/2. Prisen for sådan en chip, ligger på under en dollar! Du kan nemt medtage en lille stik, der indsættes i serie med tastaturet, på samme måde som en key-fob. Eventuelt kan kræves kort til adapteren, men det øger prisen.

Key-fob's er for dyre. De giver for dårlig sikkerhed. Og de giver ikke tilstrækkelig høj sikkerhed. En < 1 dollar CPU på ledningen til keyboarded, er bedre og billigere.

En chip, på tastaturledningen, gør at kommunikationen på hele PC'en er krypteret - evt. efter AES. Virus på PC'en, giver derfor ikke svagheder i sikkerheden. Og der findes ikke mulighed, for at snyde en kunde, til noget forkert, da kunden skal indskrive det pågældende ønskes på tastaturet, tast for tast.

Min pointe er, at man burde have købt en stak mikrocontrolere og kodet dem med lidt software, samt AES algorithmen, og sat en PS/2 ledning på.

Løsningen med nøglekort er forkert. Og key-fob's er spildt udvikling, der aldrig burde have været givet penge til.

  • 0
  • 0
Poul-Henning Kamp Blogger

Tænk på GSM - selvom det er umuligt at bryde, kan det alligevel brydes. Det skyldes ikke nødvendigvis algorithmen.

GSM's kryptering har været kritiseret fra dag 1 som værende for slap, nøglestørrelsen var kritisabelt lille og designdokumenterne for algoritmen blev ikke offentliggjort.

Dårligt eksempel fra din side.

Det er ikke existensen af en dårlig krypto algoritme der er relevant, det er existensen af en eller flere gode algoritmer.

Der er masser af kritisable forhold, men jeg mener ikke en key-fob løser alle. Jeg holder stadigt på, at det er dumt at fremstille key-fobs. De indeholder faktisk en lille cpu, og et display. Det havde været langt billigere, at fremstille en chip, der forbindes til PS/2 stikket i computeren, samt PS/2 stikket i tastaturet.

Her er det så at jeg får en mistanke om at din tilgang til emnet både er alt for teoretisk og håbløst utidsvarende.

En moderne key-fob virker ved at du indtaster en challenge du har modtaget fra den anden ende og din pinkode (som kun du kender, du valgte den selv da du aktiverede din key-fob), disse to inddata kombineres med den private nøgle i key-fob'en og tidspunktet fra det interne real-time ur, og giver den responsekode du skal have tilbage.

Gode key-fobs kan læse stregkoder på skærmen med en fotosensor i det ene hjørne, således at du kun skal taste din pinkode ind. Rigtig Gode key-fobs kan sende svaret med en infrarød lysdiode.

Gode key-fobs slår til enhver tid Post Danmarks "vi passer på at vores medarbejdere ikke stjæler ikke over 1% af pakkerne" service når det kommer til sikkerhed.

Men det vigtige er ikke den detaillerede tekniske udformning, men at princippet er velgennemtænkt.

Det er løse papirkoder der kan stjæles i posten ikke.

Poul-Henning

PS: keyboard/muse ("PS/2") porten er noget af det tåbeligste at interface til på en computer, af både elektriske og softwaretekniske årsager.

  • 0
  • 0
Jens Madsen

En moderne key-fob virker ved at du indtaster en challenge du har modtaget fra den anden ende og din pinkode (som kun du kender, du valgte den selv da du aktiverede din key-fob), disse to inddata kombineres med den private nøgle i key-fob'en og tidspunktet fra det interne real-time ur, og giver den responsekode du skal have tilbage.

Uanset, om du tidsstempler den, eller hvad du gør, så signerer du ikke noget. Du sender en blank underskrift, og du aner ikke, hvad du underskriver.

Det, som ses på skærmen, behøver ikke, at være det du tror. Selvom der tidsstemples, kan sagtens sendes data gennem botnet, og bruge den sekunder efter. Eller din computer, kan direkte være "kodet" på forhånd, til at gøre noget forkert, så der ikke er forsinkelse. Stregkoder, og tal, forbedrer ikke sikkerheden, og er kun et fup-nummer. Disse numre, og streger, kan nemt kopieres, af softwaren der lægger sig imellem transaktionen. Ikke andet, end hacker trik.

Der findes USB share software, som nemt kan indstalleres remote, og gør du kan "låne" enhver USB enhed, på andre computere - som den er på din egen. Forsinkelsen behøver ikke at være stor. At udskifte koder hver 5 minut, giver ingen sikkerhed. Måske hvis det er hver 20'ende millisekund. Men, systemet dur alligevel ikke, da det kan ligge på PC'en, det som ønskes gjort.

Tidsstempling, giver ikke stor sikkerhed.

Det, som er vigtigt, er at PC'en ikke indeholder private data. Det gør den, ved en key-fob.

Derudover kommer prisen: Key-fob'en indeholder både tastatur, og LCD display. Måske også USB interface. Trods alle disse anstrengelser, har man ikke opnået at PC'en er at betragte som offentlig. Det er en katastrofe, som jeg betragter som en joke fra udviklerne. Uden tvivl medlem af den verdensomspændne hackerklub. Den er totalt ubrugelig.

Sikkerhedsmæssigt, er det bevist, at det er mere sikkert, at skulle afskrive det underskrevne på tastaturet, end blot sige "OK" til 200 siders advokatformuleret shit. Det sidste, har medført mange, der underskriver ting, de ikke ved hvad er.
Inclusiv deres egen dødsdom.

Metoden med tastaturer, der er sikre - eller en adapter (enten USB eller PS/2), i serie med tastaturet, er en af de mest sikre (og billigste) metoder som findes. PS/2 standarden, er gammel, og går måske ud. Men der findes masser af microcontrolere med inbdbygget USB. Så det er intet problem. PS/2, er noget nemmere, fordi at det er lav hastighed, det er så godt som standard serielt RS232 like, med en ekstra klok, og det er nemt at kode ind i en microcontroler. Den er fra 8048'erens tid, og kræver ikke meget kode at få til at fungere. Dataene sendes serielt, med klok til at klokke med. Enhver microcontroler håndterer dette. I princippet kan bruges en 0.3 dollar microcontroler.

Der er mange patenter omkring sådanne sikre tastaturet, og adaptere i serie med tastaturet. Jeg ved ikke, hvor meget de vil addere til prisen, og om de er "nødvendige" at bruge - eller gode. Ikke alle patenter, giver dog stor sikkerhed, så de skal læses med omhu. Måske er direke usikkert, at bruge dem. F.eks. er nogle, der tillader "upload", til adapteren, der muliggør implementering af huller.

  • 0
  • 0
Jens Madsen

OTP-kortene er ikke knyttet til en person når de printes, så man kunne principielt hente en bunke kort hos 7-Eleven. Efter første kort er knyttet til en person aktiverer man nye kort vha en af de sidste koder på de gamle kort.

Jeg tror, at det er sikkert hvis der angives 9 cifre på bunden af det gamle kort, som angiver, i hvilken rækkefølge, det nye korts nummer skal indtastes. 9'ende ciffer, er måske bagerste, første ciffer forreste osv. Det nye korts nummer, kan bestå af både bogstaver og cifre. Ovenover hver tegn, kan stå nummeret (1-9).

Idéen er, at kun den, med det forrige kort (samt DanID), kender rækkefølgen. Der er så mange muligheder for 9 cifre, at den ikke kan gættes. Derfor, kan ikke indtastes det nye korts nummer, af andet end ejeren af det gamle forrige kort.

Kortene skal naturligvis belægges med noget, så koderne ikke kan afskrives, uden det kan ses - f.eks. alufolie, kraftig sort tape, eller noget der kan afskrabes, men samtidigt dækker godt. Cifrene må ikke kunne ses ved gennemlysning, eller med det blåtte øje.

Kan kortene hentes på tankstationen, og ser de ud til at være beskadiet, så siges bare, at man vil have et ubeskadiet gyldigt kort.

  • 0
  • 0
Jens Madsen

For god ordens skyld, så står jeg ved min opfattelse af at dette ikke lovligt kan udgøre en Digital Signatur.

Det bør testes ved domstolene, når staten åbenlyst ignorerer hensynet til borger og demokratiet.

Enig! For det første - hvis det skulle udgøre en signatur - så skrives ikke under på noget, der udleveres kun en blank underskrift. Det, som står på skærmen, kan være modificeret, til det man ønsker at læse - meddens det der skrives under, måske ligger dybt begravet bag de sorte pixels.

For det andet, indeholder det viste nøglekort kun 4 cifrede koder. Det betyder, at ved tilfældig afprøvning, rammes korrekt i 1/10.000 koder. På computere, kan sandsynligvis nemt findes 10.000 kunder, og måske sker flere brud på sikkerheden om dagen.

Det er nødvendigt med flere cifre.

Dertil kommer de nævnte problematikker med en "central server", logning, og sikring mod henholdsvis statens og DanID's mulighed for misbrug af koder (hvis muligt). Måske er meget lav risiko for misbrug, men der bør sikres at ingen medarbejdere - hverken hos staten, eller hos DanID, har mulighed for at misbruge systemet, og at kunne lokke koder ud.

  • 0
  • 0
Niels Christian Juul

Jeg medgiver at der er tale om en slags central autentificering af brugere op mod offentlige og private services. Altså en slags Dansk borger ID.
Men kan nogen (gerne DanID) forklare mig hvordan man tænker sig at normale danskere skal anvende denne såkaldte digitale signatur til at underskrive sin e-mail korrespondance og til at modtage og afkryptere indgående mails beskyttet via ens offentlige nøgle.
Det lader nemlig ikke til at man skal installere noget på den PC/Mac man bruger, og så kan kryptering/afkryptering jo kun finde sted hos DanID, som så har de jo kunne læse med.

  • 0
  • 0
Carsten Jørgensen

en log med hele brugerens brugshistorie næppe er fremmende for privatlivets fred.

Ja, privacy og it-sikkerhed er ikke nødvendigvis det samme. "Kontoudtoget" giver god sikkerhed men, som Peter Lind Damkjær nævner ovenfor, kan man vælge at det ikke skal logges hvor man bruger sin digitale signatur.

det viste nøglekort

Vær opmærksom på, at kortet er kun en illustration, hvor mange har "brudt" koden på kortet?

Måske er meget lav risiko for misbrug, men der bør sikres at ingen medarbejdere - hverken hos staten, eller hos DanID, har mulighed for at misbruge systemet, og at kunne lokke koder ud.

Og det bliver det selvfølgelig også: HSM/tamper proof hardware, intern revision, ekstern revision, funktionsadskillelse osv, osv.

anvende denne såkaldte digitale signatur til at underskrive sin e-mail korrespondance og til at modtage og afkryptere indgående mails beskyttet via ens offentlige nøgle.

Det bliver muligt at downloade en driver (PKCS#11 og CryptoAPI CSP), der gør det muligt at signere og dekryptere e-mails. DanID har selvfølgelig ingen mulighed for at se mails eller hvad man bruger sin signatur til i øvrigt.
Linux og Mac understøttes selvfølgelig også.

Carsten Jørgensen
DanID

  • 0
  • 0
Jesper Lund

Carsten Jørgensen/DanID skrev:

Vær opmærksom på, at kortet er kun en illustration, hvor mange har "brudt" koden på kortet?

Uanset hvordan kortet designes, kan DanID ikke modstå det simple angreb hvor kortet stjæles efter at brugernavn og passphrase er afluret (eller keylogget) mens brugeren har anvendt sit single sign-on på et offentligt sted. I PBS's pressemeddelelse er der en rørende historie om Christoffer som render rundt og anvender sit single sign-on (altså DanID) på et utal af offentlige steder fordi det hele nu er blevet åh så nemt.

På et eller andet tidspunkt vil det gå galt, og konsekvenserne er langt mere alvorlige end hvis man mister dankort og pinkode. Indbrud i en netbank er til at leve med (det er kun penge, og der er en fin forbrugerbeskyttelse), men nu taler vi om et single sign-on der også virker på en masse offentlige services med gode muligheder for at finde data til identitetstyveri.

  • 0
  • 0
Anonym

På de fleste af de her indlæg lyder det som om den eksisterende signaturløsning er helt vildt smart og sikker. Hvis jeg husker rigtigt, så leveres både nøgle og certifikat i den eksisterende løsning fra en central server. Det er naturligvis nyttigt for PET, men det er ikke særligt betryggende for brugerne.

Anyway, det er ikke lykkedes mig rent faktisk at få en fungerende signatur. Jeg har bestilt den nogle gange, men jeg fik aldrig taget mig sammen til at installere den -- jeg ville alligevel aldrig bruge den til andet end Skat, og Skat fungerer fint med løsen.

  • 0
  • 0
Niels Christian Juul

Tak til Carsten Jørgensen, DanID for flere opklarende svar.

  1. Carsten Jørgensen, DanID kommenterede min bemærkning:

en log med hele brugerens brugshistorie næppe er fremmende for privatlivets fred.

med:

Ja, privacy og it-sikkerhed er ikke nødvendigvis det samme. "Kontoudtoget" giver god sikkerhed men, som Peter Lind Damkjær nævner ovenfor, kan man vælge at det ikke skal logges hvor man bruger sin digitale signatur.

Nej netop. Hvis "sikkerhedsløsninger" implicerer reduceret privacy, så er det "sikkerhedsløsningen", som ikke er god nok. Og logningen er iøvrigt heller ikke den mest brugervenlige måde til at holde øje med om "fremmede" har misbrugt "sikkerhedsløsningen". Læg hertil at en sådan log i sig selv er data, som ikke må kunne kompromiteres (ændres eller ses) af andre end den ægte bruger, og den skal bruges til netop at afsløre om nogen har udgivet sig for den ægte bruger, og de har så også haft adgang til logen (hmmm..)

  1. og til min undren over hvordan centralt opbevarede nøgler kan anvendes:

til at underskrive sin e-mail korrespondance og til at modtage og afkryptere indgående mails beskyttet via ens offentlige nøgle.

forklarer Carsten Jørgensen, DanID:

Det bliver muligt at downloade en driver (PKCS#11 og CryptoAPI CSP), der gør det muligt at signere og dekryptere e-mails. DanID har selvfølgelig ingen mulighed for at se mails eller hvad man bruger sin signatur til i øvrigt.
Linux og Mac understøttes selvfølgelig også.

Hvilket jo så må betyde at DanID vil give brugeren et crypto-device? Eller måske et virtuelt crypto-device, dvs at API'en giver adgang til den centrale service; men så er vi jo igang med at lade den centrale service kigge med over skulderen på brugerens e-mails.

Man bliver ved med at gætte - hvorfor lægger DanID ikke sit detaljerede design frem til offentlig kommentering?

  • 0
  • 0
Jens Madsen

Den gamle signatur er ikke fantastisk. Danske Banks netid, er hellerikke fantastisk. På nogle måder, overgår DanID de gamle signaturer.

De gamle signaturer er krypteret, så der skal smules software ind på PC'en for at logge tasterne. Den nye software, kræver ganskevist brugernavn og password, men det står ikke klart, om dette er krypteret ligeså sikkert, som efter det gamle system. Ellers, kan være forholdsvis nemt, at lokke koderne ud, med falske sider. Lykkedes dette, og kan personens navn og addresse findes, er måske muligt ved indbrud at stjæle nøglekortet, eller få det lokket fra vedkommende ved brug.

Dertil er 4 cifre, som kode, for lidt - som jeg ser det. Med mindre, der tages bogstaver i brug. Det skyldes ikke mindst at opsamling af ID'er, eller svindel på nettet, ofte sker med tusinder af kunders kode. Måske, er muligt, for butikker, at lokke koden ud, uden den nødvendige sikkerhed er tilstede, og uanset det ikke er butikkens hensigt, så kan de pågældende koder, måske blive udstillet offentligt og dermed misbrugt, uden butikken kan gøre for det. Det er sket før.

Med hensyn til brug af systemet for kryptering, så vil PC'en altid være i offentlig zone, og dermed kan keyloggers mv. opsnappe det skrevne, direkte fra tastaturet, før det krypteres af algorithmen.

Stadigt, havde det foretrunke været en 0.3 dollar mikrocontroler på tastaturledningen - herved kunne det indtastede krypteres inden det når PC'en, og sendes krypteret. Det vil ikke kunne vises på skærmen, men hvis der skal sendes superhemmelige beskeder, er også nok, at det skrives krypterede bogstaver i en tekstbehandling, og anvendes Wingdings...

  • 0
  • 0
Jens Madsen

Efter første kort er knyttet til en person aktiverer man nye kort vha en af de sidste koder på de gamle kort.

Hvis aktiveringen sker ved, at det nye korts kode tastes ind, samtidigt med en af det gamle korts koder bruges som bekræftelse, så er metoden ikke særlig sikker. I princippet, kan et program, i baggrunden ændre koden, til en anden persons kodekort, og herefter har vedkommende fri adgang. Derfor, skal det sikres bedre.

Hvis derimod, at det på det forrige kort, står en rækkefølge, som koden på det nye kort skal indtastes i - så er ikke muligt, at ændre koden med software. For rækkefølgen kendes umuligt. Har kortet identitetskode på 9 tegn eller bogstaver, og står rækkefølgen angivet med 9 tal, på det forrige kort, er 9! kombinationer, og dermed ikke muligt at gætte rækkefølgen, uden at have koden fra det forrige kort (eller fra DanID, som forventes at ikke have sikkerhedsbrist). For at få denne, kræves fysisk adgang til kortet, da den aldrig indtastes på computeren. Computeren, har derfor ikke mulighed for aflytning af koden. Hvis koden, er overdækket, kan den ikke umiddelbart aflæses og stjæles.

Det er nødvendigt, med så stor sikkerhed, at cifrenes rækkefølge angives på forrige kort, fremfor at indtaste det nye korts nummer direkte og trykke "godkend", med en normal acceptkode, da det ellers er for stor risiko, da der kan misbruges mange koder ved tyveriet. Ombyttes cifrene, i forhold til opskrift på forrige kort, er ikke risiko for tyveri af aktiveringskoden elektronisk, men kun ved fysisk aflæsning (og fjernelse af fedt, eller tape).

  • 0
  • 0
Peter Lind Damkjær

@Niels Christian Juul

Eller måske et virtuelt crypto-device, dvs at API'en giver adgang til den centrale service; men så er vi jo igang med at lade den centrale service kigge med over skulderen på brugerens e-mails.

Både af sikkerhedsmæssige og praktiske grunde sendes e-mails IKKE til den centrale signaturserver, men forbliver i brugerens miljø.

Det er udelukkende den krypterede sessionsnøgle (for krypterede e-mails) og en såkaldt hash-værdi (ved signering af e-mails), der sendes til serveren.

Peter Lind Damkjær
DanID

  • 0
  • 0
Anonym

For god ordens skyld vil jeg gerne indskyde at DanId bør holde sig til fakta og undlade al den spin-retorik og falske påstande om hvad man "kan".

Faktum er at sikkerhedskæden brydes i serveren og den har total kontrol. Eftersom DanId har total kontrol over serveren er det en utroværdig model. Borgferen har INGEN kontrol eller end-to-end sikkerhedsmodel.

Uanset påstande om "trusted hardware" etc. er dette faktuelt. Vi KAN IKKE stole på at vi faktisk taler med borgeren og ikke serveren. Vi kan være SIKRE på at der er indbygget total key escrow af dekrypteringsnøgler og authentikering. "tillid" er ikke en luksus man kan tillade sig på så fundamentale spørgsmål.

Man ville være nødt til at have gensidig tillid til tamperresistent nøglekort og der er væsentlige krav om fallback etc., men modellen som DanId bygger er definitorisk i sit design på mistillid, kontrol og overvågning af borgeren - krydret med stærke kommercielle interesser i lock-in.

  • 0
  • 0
Gustav Brock

Ingen fortæller, hvordan dette skal fungere til erhvervsbrug.
På kontoret optræder den enkelte bruger, der fx skal henvende sig til en myndighed, som prokurist og ikke som privatperson.

Det nuværende system er en dødsejler, fordi det dels koster penge, dels er et mareridt at installere og vedligeholde.

Brug af e-post er essentiel. At logge ind på forskellige hjemmesider er fint til mange ting, men ikke til den daglige korrespondance, der skal logges og sikkerhedskopieres.

  • 0
  • 0
Jens Madsen

Faktum er at sikkerhedskæden brydes i serveren og den har total kontrol. Eftersom DanId har total kontrol over serveren er det en utroværdig model. Borgferen har INGEN kontrol eller end-to-end sikkerhedsmodel.

Selvom vi ikke ved det som kunde, er mange sikkerhedsbrister i bankernes system. De kontakter hinanden, og spørge andre banker om kundens forhold. Kan du ikke få lån et sted - kan du ikke få lån noget sted, fordi de vurderer udfra samme krav, og de får oplysningerne fra hinanden. Jeg har set, at bankrådgiveren, direkte ringede til banken, jeg havde anført som tidligere bankforbindelse, for at få oplysninger. OK - angives den, har man måske også givet tilladelsen - på den anden side, var skemaet således det nærmest var et krav at den blev angivet, og de fleste vil føle manglende troværdighed, hvis de ikke angav den, på samme måde, som hvis du ikke angiver korrekte forhold med hensyn til dine lån og kreditkort.

Bankerne, har også "ribbers", som på mange måder er en af de "pæne". Her får man trods alt at vide, at man står - og det beror ikke på mundligt kommunikation fra medarbejder til medarbejder, som kan være yderst subjektiv.

Det offentlige, har oftest alle oplysningerne - og mit indtryk er, at de ofte er nogle af dem, der formår at håndtere oplysninger bedst. Ellers klager folk, og personer udskiftes måske.

De oplysninger, som DanID har, kan naturligvis misbruges. Dog, tror jeg ikke, oplysningerne er af en art, som DanID kan bruge til eget brug. Og, de har regler for udlevering af oplysninger til 3.part. Så det vil ikke ske.

Dog er også vigtigt, at sikre sig, at DanID ikke noterer flere forhold, end det faktisk er nødvendigt for dem. I så fald, kan det måske misbruges. Er deres "log" af rent teknisk karakter, uden at gå i detaljer med informationerne (dem bør de ikke få), så er den mindre kritisk, end mange andre oplysninger, der i dag går ukritisk mellem virksomheder, og deles i "klubber".

Jeg er ikke så nervøs for DanID's sikkerhed, så længe de tager den alvorlig. Men, sikkerheden på de kort, som vi har set (4 cifre, ingen afdækning af ubrugte koder osv.) har ikke tydet på rimelig høj sikkerhed.

  • 0
  • 0
Anonym

"Jeg er ikke så nervøs for DanID's sikkerhed"

Det er ikke hovedproblemet - det er de kommercielle og teknokratiske særinteresser som ligger bag. Det er selve modellen, du skal være alvorligt bekymret for. Der er kun en respons - NEJ

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize