Se og Hør-kilde havde administratoradgang til NemID: Styrelse kræver strammere sikkerhed

N3MID skal afskeds omgående!

På tredie uge tales om Se&Hør, om Nets selvundersøgelser, om hvem der har nøgler til det statssanktionerede privatkontrollerede single-sign-on system til både bank og stat, og blah, blah, blah.

Faktum er at hele konstruktionen (Nets, tvangsdigitalisering, den såkaldte digitaliseringsstyrelse, det såkaldte datatilsyn, etc.) er en katastrofe og i stedet burde vi allerede nu være i gang med at få Danmark ind i det 21' århundrede ved:

At adskille stat og kirke ^^^^^ bank, så bankerne kunne rode med deres eget loginsystem.

At lave en rigtig digital signatur, baseret på åbne standarder, med nøglerne under borgernes kontrol, således at man med almindelig mail kunne kommunikere krypteret, ikke kun med det offentlige, men også mellem privatpersoner og virksomheder, samt med afledte nøgler kunne verificere identitet i forhold til de informationer man ønsker at afgive.

Det er fuldstændig håbløst, at det eneste man kan svinge sig op til er at lave monolitiske Facebook pendants, hvori borgene partout selv skal tvinges til at lade deres private oplysninger ligge gemt, men man helt og aldeles glemmer at landet ville kunne løftes hvis man også indså at der faktisk er et erhvervsliv (som financierer alle djØFFERne i centralmagten), som ville have fantastisk megen nytte af at kunne kommunikere sikkert osv.

Men næh nej, det eneste det drejer sig om er overvågning, og opbygge en firewall mellem Engsoc og pøblen.

Lukke den biks!

Jeg indrømmer gerne, at jeg rent vidensmæssigt er ude i periferien her, men på siden to i Freddy Haraldsens brev kan man (næsten øverst) læse følgende:

Der er således ingen medarbejdere hos Nets DanID eller vores underleverandører, som kan aflæse eller bruge borgernes private nøgler, uanset rettigheder. Det er kun den enkelte borger som har adgang til sin private nøgle via sit personligt valgte password og engangskoden, som borgeren indtaster fra sit NemID nøglekort eller NemID nøgleviser.

Hvordan kan man lave en teknisk løsning, der understøtter den her udstedte garanti om, at ingen medarbejdere hos Nets DanID eller underleverandører, kan aflæse eller bruge borgernes private nøgler?

Single point of failure

Alles private nøgler liger et sted :-(

Det fremgår ikke af redegørelsen, hvilke administrative funktioner en systemadministrator på NemID-systemet kan foretage med de data, der ligger i systemet.

Den omtalte adgang virker kun til at omfatte kunde-administrative informationer og ikke system-administrative oplysninger. Dermed vil jeg nærmere kalder ham superkundeservicemedarbejder end systemadministrator.

Men det fremgår ikke klart hvilke opgaver den navngivne medarbejder egentligt har skulle løse.

Det er et helt grundlæggende designkrav til NemID, at borgernes private nøgler aldrig er tilgænge-lige for andre end borgeren.

... hvor er jeg træt af at blive fyldt med kreative fortolkninger af virkeligheden.

NemID er med fuldt overlæg designet, så borgeren ikke kan få adgang til sin private nøgle. Man kan efterhånden sige at borgeren er tæt på at være den eneste, der ikke kan få adgang til den.

Hvis det virkelig var sådan at det kun var mig, der kunne få adgang til den, så kunne jeg f.eks. også destruere den uden at skulle spørge andre om lov.

Hmm, gad vidst om ikke det var en idé at den private del af nøglen IKKE lå på servere hos NETS men hos brugeren i stedet for.

Det har man da hørt fra andre sikkerhedssystemer :)

Måske der endda findes artikler fra tidligere der foreslår noget lignende. Ok, lidt ironi kan vel tåles :)

Er det ikke bare totalt udenomssnak at snakke om administrator rettigheder, og brug af af disse osv, hvis alle medarbejdere havde adgang til dankort/kreditkort info med en bruger konto.

At vedkommende kun har logget på en gang og aldrig tilgået systemet gennem administrator konto, who cares, når man åbenbart kan udføre det samme misbrug med en bruger konto.