Sådan bliver NemID brygget på Javascript til web og mobil
I andet kvartal i 2014 forventer Nets DanID at være klar med NemID i en ny Javascript-udgave. Den skal gøre det muligt at bruge NemID på eksempelvis mobile enheder som tablets og smartphones, der ikke understøtter Java, som den nuværende løsning bygger på.
»På sigt vil Javascript-klienten afløse Java-klienten helt, for så vidt angår nøglekortsløsningen (NemID-papkortet, red.). Der er i øjeblikket ikke planer om at udfase Java for NemID på hardware (privat nøgle, red.) og medarbejdersignaturer, der anvender en anden Java-applet,« skriver Charlotte Jacoby, souschef i Digitaliseringsstyrelsen, i en mail til Version2.
Modsat Java kan Javascript ikke tilgå hardware som eksempelvis en USB-nøgle, og derfor vil de personer, der bruger NemID på hardware skulle fortsætte med Java-appletten.
Det nye NemID vil ligne det gamle for det utrænede øje. Det vil have samme brugerinterface, funktionalitet og sikkerhedsniveau som den eksisterende Java-klient, lyder svaret fra Digitaliseringsstyrelsen.
Den nye løsning vil understøtte det, Digitaliseringsstyrelsen kalder 'alle gængse browsere', og den vil virke på tværs af 'gængse platforme'. Men den største forskel for brugerne er, at Javascript-klienten ikke kræver installation af særlig software hos brugeren - det er altså ikke nødvendigt at installere Java, der af mange sikkerhedseksperter vurderes som en af de mest sårbare applikationer, man overhovedet kan installere på sin computer.
Men der er også et lille trick i ærmet, lyder det fra Digitaliseringsstyrelsen.
»Den nye klient giver samtidig mulighed for, at tjenesteudbydere kan udvikle såvel webbaserede som appbaserede tjenester, der kan anvende NemID,« siger Charlotte Jacoby.
Det betyder, at klienten kan integreres både på eksempelvis borger.dk eller i en specialudviklet app til en mobiltelefon. Der er forskel på NemID til brug med det offentlige og det private - som eksempelvis forskellen mellem NemID på borger.dk og danskebank.dk. Men der er også forskel på den loginboks, du ser på danskebank.dk, der er en rigtig implementering af NemID Java-appletten, og så den loginboks, du finder i Danske Banks smartphoneapp, der verificerer mod en Java-applet på en server.
Derfor findes der i dag en lang række smartphone-apps fra banker, hvor du kan bruge NemID, men hvor du - rent teknisk - ikke bruger NemID-appletten, men i stedet logger dig ind via en tredjepartstjeneste - i dette tilfælde via banken.
Det forsinkede NemID
NemID-projektet har gang på gang været ramt af forsinkelser, og stort set alle dele af projektet har været forsinkede. Netop derfor kan det synes naturligt at sætte spørgsmålstegn ved, om Nets DanID nu også er klar med NemID på Javascript i andet kvartal 2014.
I 2011 tog det offentlige konsekvensen af de utallige kuldsejlede offentlige it-projekter, og oprettede Statens IT-projektråd, der skal sikre en bedre kontrol med projekterne og dermed være med til at forhindre, at projekterne løber løbsk eller helt bliver skrottet. Rådet kigger på it-projekter med et budget på over 10 millioner kroner - præcis som NemID-projektet, der samlet har kostet i omegnen af en milliard kroner.
Ifølge Digitaliseringsstyrelsen har Statens IT-projektråd vurderet NemID til JavaScript som en 'normal risiko'. Ved denne klassificering modtager institutionen, altså Digitaliseringsstyrelsen, en række anbefalinger fra IT-projektrådet, som det forventes, institutionen imødekommer.
Hvad har I gjort for at sikre, at der ikke igen sker tidsoverskridelser, og at NemID Javascript rent faktisk leveres i andet kvartal 2014?
»Der er i forprojektet lavet et grundigt arbejde med at definere og estimere projektet. Digitaliseringsstyrelsen har deltaget i dette arbejde og har således været med til at kvalificere projektplanen, og der vil desuden blive fulgt tæt op på projektets fremdrift,« skriver Charlotte Jacoby.
Da Digitaliseringsstyrelsen begyndte arbejdet med et alternativ til den nuværende NemID-Java-applet, blev der sat otte millioner kroner af til opgaven. Men en analyse af de forskellige muligheder, og et prisoverslag for dem, afslørede, at det ikke var nok. Prisen ville ende på mellem 15 og 30 millioner kroner. Derfor kunne styrelsen ikke leve op til den først udmeldte deadline om NemID på mobile enheder inden udgangen af 2012.
Tidligere har Digitaliseringsstyrelsen nævnt udgangen af 2013 eller første kvartal af 2014 som mulige deadlines for NemID uden Java. Dengang var meldingen, at det i høj grad afhang af muligheden for at videreudvikle NemID på Javascript under den eksisterende kontrakt, da en opgave i udbud typisk tager mindst et halvt år ekstra. Løsningen kom ikke i udbud, men alligevel er deadline altså skubbet til andet kvartal 2014.
Ifølge Digitaliseringsstyrelsen finansieres projektet i fællesskab med bankerne, der betaler halvdelen af udgifterne til projektet, der samlet koster 47 millioner kroner. Det offentlige skal samlet betale 23,6 millioner kroner for udviklingen. Heraf er fordelingen 40, 40 og 20 procent for henholdsvis staten, kommunerne og regionerne.
Normalt skal større projekter i udbud som følge af EU-udbudsreglerne, men det er ikke sket i tilfældet med NemID til Javascript. Digitaliseringsstyrelsen oplyser, at den nye klient udvikles som en videreudvikling under den eksisterende kontrakt, da den skal sikre fortsat bred understøttelse af NemID på gængse platforme i kontraktens løbetid. Så selv om Java-appletten i store træk skiftes ud med Javascript-løsningen, er udviklingen altså inden for samme kontrakt.
Opdateret kl. 11.20: Tidligere fremgik det både at løsningen ville være klar i andet kvartal 2014 samt i andet halvår 2014. Det er nu rettet - løsningen forventes klar i andet kvartal 2014.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.