Sikkerheds-ekspert: Sådan burde staten have lavet Digital Signatur

Den kommende digitale signatur NemID er en katastrofe, mener sikkerheds-rådgiver Stephan Engberg. Her giver han sit bud på, hvordan løsningen burde have været skruet sammen.

En ny form for digital signatur rammer om en uge Danmark, når NemID går i luften med engangskoder på små kort og centralt placerede private nøgler.

Men for Stephan Engberg, direktør i sikkerhedsfirmaet Priway og meget aktiv debattør på området, er det en sorgens dag. Det grundlæggende design er nemlig helt forkert og binder danskerne og alle systemgrænsefladerne til en dårlig løsning i mange år frem, mener han.

»I Danmark laver vi altid store, monolitiske systemer, der fastlåser os. DanID tvinger os til at gå gennem deres servere, hver gang vi skal bruge digital signatur, og så er vi fastlåst i et dårligt teknologidesign, som ødelægger vores innovationsevne og underminerer samfundsøkonomien,« siger Stephan Engberg.

Det helt store problem er, at NemID-signaturen kun kan bruges på én måde og stempler data og transaktioner, så de kan forbindes til én specifik person og én bestemt teknologi hver gang. Og det vil vi fortryde fremover, mener sikkerhedseksperten..

»Sikkerhed online handler ikke om at identificere, men om at verificere uden at identificere. Du skal kunne bruge din digitale signatur, uden at den henfører til nogen. Især fordi vi nu begynder at bruge cloud-services, og risikoen så bliver ganget op. Den koncentration af risiko ét sted gør det umuligt at sikre data, og derfor må man aldrig bruge personhenførbare data i skyen,« siger han.

Giv ikke dansk infrastruktur til PBS

Nu er staten ved at videreføre en papirtankegang til den digitale tidsalder, ved at stemple alle oplysninger og knudepunkter med folks navn og CPR-nummer. Det er dybt problematisk, når data fra for eksempel en central EPJ-database bliver lækket - og det vil uundgåeligt ske en dag, mener Stephan Engberg.

Men om der slipper personlige oplysninger ud, er ikke det største problem i det samlede billede, lyder hans vurdering. Langt værre er det, at alle digitale transaktioner med tiden fremover vil skulle gå igennem DanID's servere, uden at der er mulighed for at bruge Danmarks officielle digitale signatur på andre måder.

Læs også: Ny digital signatur følger ikke loven - det var for dyrt

Valget af ét firma, DanID, til at stå for alt vedrørende digital signatur i en lukket struktur er således helt galt, mener han.

»PBS (der ejer DanID, red.) kommer til at sidde som gatekeepere og vil tjene penge på at eje alle danskernes nøgler og interfaces. Vi kan til sammenligning se på PBS' monopol på betaling med Dankortet, hvor det var godt i starten og derefter blev en katastrofe. PBS gør for eksempel, hvad de kan, for at holde teleselskaberne ude, og blokerer dermed for betaling via mobiltelefon,« mener Stephan Engberg.

Løsning: Åben infrastruktur med borgerkort til alle

Løsningen er at knække den lukkede struktur og i stedet bruge en åben, decentral model, hvor endepunkterne kan forbindes på mange forskellige måder, alt efter borgerens ønske, forklarer Stephan Engberg.

Rent praktisk skal hver borger have et borgerkort, som i første omgang udstedes af en central certifikatudbyder, men derefter fungerer helt selvstændigt. Og så skal borgerkortet være et fundament, som skal kunne generere forskellige afledte digitale signaturer, alt efter hvad det skal bruges til.

Borgeren råder på den måde over sin egen rodnøgle, lagt ind i et sikkert stykke hardware, der med fingeraftrykslæser sikrer, at kun den rette kan bruge det. Ved at bruge rodnøglen kan man så skabe forskellige signaturer, som udadtil kun viser de oplysninger, man selv vælger.

Læs også: DanID til kritikerne: Få din decentrale, private nøgle til jul

Kommunikation med for eksempel sundhedsvæsenet kan så ske med én bestemt digital signatur ud af de mange, som hver borger vil råde over. Og kommunikationen kan krypteres hele vejen.

»Min læge skal vide, hvem jeg er. Men det vedrører ikke alle de andre systemer og gatekeepere på vejen, som ikke kan sikres, og især ikke hvis det skal i cloud'en. Så jeg kobler min private PGP-nøgle og lægens offentlige nøgle og sender informationerne, og så er det kun lægen, der kan henføre data til mig,« forklarer Stephan Engberg.

Ved at bruge nedarvede signaturer kan borgerne også bruge dem til at logge på websider, der for eksempel stiller krav om alder eller nationalitet, uden at frigive andre informationer om sig selv.

Et vigtigt element i Stephan Engbergs bud på en god digital signatur er åbne standarder til alle accesspoints, så den kan bruges med mange forskellige løsninger. Dermed undgår man det monopol, som opstår med DanID.

PET og Magda kan få forskellige løsninger

Den mere fleksible løsning for digital signatur, som Stephan Engberg skitserer, skal komme i flere forskellige varianter og med mange nye sikkerhedsteknologier. Nogle vil så bruge de avancerede muligheder, mens andre er ligeglade - men alle vil have fuld kontrol over sin egen rodnøgle.

»Vi skal have flere typer borgerkort i parallel, for læger og PET-agenter har brug for meget mere sikkerhed end Magda i Sønder Omme, og alle skal løbende kunne opgradere uafhængigt af hinanden,« lyder vurderingen.

Når alle landets banker i løbet af efteråret skifter til NemID som login, vil Stephan Engberg blive en mere hyppig gæst ved skranken i den lokale Nordea-filial end i dag. Han skal ikke nyde noget af NemID. Men hans kamp for at kaste lys over, hvad han mener er en langt bedre løsning for Danmarks digitale signatur og infrastruktur, fortsætter ufortrødent.

»Der er rigtig mange hensyn at tage til et godt borgerkort. Der er så mange nuancer i det, og det er ikke noget, man lærer om i skolen eller på sin uddannelse. Så det eneste, jeg kan gøre, er at informere om problemet,« siger Stephan Engberg.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (45)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anonym

Jesper har skrevet en god artikel om nogle af vores tids mest komplekse emner. Ros.

En nuance som bør addresseres på forhånd.

Men om der slipper personlige oplysninger ud, er ikke det største problem i det samlede billede, lyder hans vurdering. Langt værre er det, at alle digitale transaktioner med tiden fremover vil skulle gå igennem DanID’s servere, uden at der er mulighed for at bruge Danmarks officielle digitale signatur på andre måder.

Mange PKI-folk vil her falde i den fælde at tro at problemet blot kan løses ved at reducere DanId til en CA (dvs. som IKKE er med i transaktionen) og at en borger får et smartcard med den digitale signatur. Begge dele skal ske førend vi overhovedet kan begynde at tale om en Digital Signatur.

MEN det er ikke nok .. det giver det samme problem på applikationssiden - og pengemaskinen kører stadigvæk, fordi PBS ligesom TDC blot vil afkræve applikationssiden den samme betaling baglæns (dvs. via logs som checker for revokation).

En Identificerende Digital Signatur må i et veldesignet system udelukkende bruges person-til-person, aldrig person-til-server - overfor servere skal du altid bruge formålsspecifikt afledte nøgler og åbne interfaces.

Det gælder selv og specielt de mange udfasningsmodne offentlige systemet som er gennemsyret af den forældede cpr-model. Vi skal have indbygget virtualsieringslag NU førend hele effektiviseringspotentialet i den offentlige sektor forsvinder ned i fastlåste interfaces, legacy og planøkonomisk skævvridende beslutningsprocesser.

Det kritiske er at vi tænker i at åbne interfaces - IKKE i den gamle tankegang som en eller anden kommite (domineret af udbyder og andre særinteresser) - men i betydningen model-baseret og semantisk struktureret så man kan bruge MANGE FORSKELLIGE teknologier og logiske sikkerhedsmodeller i de samme knudepunkter. Elles vil løsningen være forældet inden den er overhovedet er påbegyndt implementering.

  • 2
  • 0
Anders Reinhardt Hansen

@Stephan:
1. Hvad vil du vurdere en sådan struktur vil koste i etablering?
2. Hvem forstiller du dig skal betale for at borgeren får sit første rodborgerkort? Og hvem skal betale hvis han smider det væk?
3. Hvordan håndterer du at borgeren ikke længere kan modtage data når hans gamle signatur ikke er tilgængelig længere, og han derfor skal have udstedt en ny?

  • 0
  • 0
Carsten Gehling

Supergod artikel Stephan, man kunne ønske at beslutningstagerne bag NemID havde lyttet noget mere til dig for en rum tid siden.

Hvis man endelig skal sige noget godt om den nye NemID, så er det, at det bliver nemt at bruge for "almindelige brugere". Det er ét login system uanset om man skal på netbanken, skattemappen e.l.

Hvis du nu skulle tage "svigermors briller" på, kan du se for dig en løsning, hvor login proceduren bliver ensartet uanset hvilken service man logger på? Altså fra en ganske almindelig brugers synspunkt.

  • Carsten
  • 0
  • 0
Mogens Nørgaard

... er det dét, EU har gang i med et projekt vedr. fremtidens Digitale signatur, altså at borgerne selv har nøglen? Jeg fandt ihvertfald ud af forleden, at vi har en algoritme-fyr siddende i biksen, som deltager i et projekt på EU-plan. Mere ved jeg ikke lige nu.

Iøvrigt blev det sidste eller forrige år besluttet at ændre navnet fra PBS til Beyond Payment. No shit. Det skete naturligvis efter en stor proces med eksterne facilitatorer og mange interne møder og alt muligt. Men kort fortalt går det ud på, at PBS vil ud over grænserne, og så er vi ovre ved næste skridt, nemlig at de bliver solgt eller overtaget af et udenlandsk selskab eller (Gud forbyde det) af en kapitalfond a la EQT, der har købt KMD og TDC. Og så bliver det endnu sjovere.

Iøvrigt outsourcede PBS deres IT-halløj til IBM for et par år siden. Det første år var PBS-medarbejderne "fredede", dvs. de skulle arbejde på PBS-systemerne. Efter det første år kunne de så spredes og bortsprænges og outsources til Transsylvanien og alt det sædvanlige som de store outsourcere gør.

Og ganske forventeligt er der kommet problemer med nedbrud, etc. i systemerne (efterhånden som maskiner og andet flyttes til mongo-bongo-lande) - og det betyder også, at sikkerhedsting nu kan udføres af f.eks. folk i Indien, som notorisk er nemme at bestikke.

Så vi har alligevel for længst sagt farvel til al form for sikkerhed på den måde.

mvh.

Mogens

  • 0
  • 0
Anonym

@ Anders
1. NemId har en stærkt negativ busienss case i modsætning itl et borgerkort som ville have en positiv business case. Men vi taler jo ikke om en quickfix "Her er den teknologidims" og så er alt løst. Budskabet er ikke et produkt, men principper.

Et af de store spørgsmål er f.eks. hvor mange andre security- og nøgleopgaver som indbygges. F.eks. koster et dankort ca. 50 kroner som vi ligesågodt kunne etablere som en nærmest gratis nøgle - eftersom vi alligevel skal over i Digital Cash så kan hele den omkostning eliminere 100% (hvad skal vi bruge PBS til når vi ligeså godt kan slå transaktionen direkte mod banken over nettet?)

  1. Den helt basale model med indrullering, CA (passiv) og basalt borgerkort er en fælles samfundsopgave. Øvelsen er at se det på linje med pas/fødselsattest.

  2. Håndtering af mange nøgler inkl. backup (både varm og kold) samt styring af revocation i flere niveauer er nogle af de vigtigste opgaver omkring borgerkort.

@ Carsten

Tak de pæne ord - enig, de har sovet alvorligt i timen i mange år. Det er den primære årsag til at velstanden dropper som en sten i disse år - Danmark er blevet et stadigt mere planøkonomisk samfund med deraf følgende ressourcespilde og reduceret innovationsevne.

Ensartet login procedure uanset hvilken service man logger på? Selvfølgelig skal vi have SSO, men KUN klient-side. SAML må f.eks. IKKE bruges til at identificere eller genbruge nøgler uden for kontekst.

Det er en n:x:m problemstilling - du har N forskellige klientside userinterfaces (som alle er persistent på tværs) som bruger X forskellige teknologier til at forbinde sig til M forskellige services. N og M skal dekobles så de kan opgradere asynkront og i princippet skal alle M forstå alle mulige N og alle N skal kunne koble sig på alle mulige M med det samme interface set fra brugerens synspunkt. Men hvilke teknologier som bruges er under kontinuert forandring.

Du er nødt til at tænke på at f.eks. indrullering er for lifetime, mens vi i dag ikke har nogen Digital Signatur og navnlig ikke hashmekanisme som kan forventes at leve 10 år. Dermod har vi en konstant strøm af nye teknologier som let og elegant skal kunne tages i brug UDEN AT ÆNDRE I APPLIKATIONERNE.

  • 1
  • 0
Anders Reinhardt Hansen

@Stephan:
1. Hvad mener du konkret med negativ og positiv business case? Det kan være jeg har overset noget, men forstår ikke helt hvor du vil hen. Det er vel ikke NEMID=DARK SIDE og åbent certifikat system=LIGHT SIDE?

Jeg er enig i at det du kommer med er en løsning på hvordan du helst vil have det skal være. Men der er mange mange faktorer du ikke tager højde for hvoraf en af dem er økonomi. En anden er brugervenlighed, og at borgeren kan gennemskue sikkerhedsmodellen og hvordan han bruger den.

Umiddelbart tror jeg ikke min mor ville kunne forstå nedarvede certfikater, eller hvorfor hun selv skal oprette x antal certfikater for at kommunikere med lægen banken osv osv.

  1. Så du mener at vi som borgere selv skal betale for vores nøglekort? Også selvom det er et krav at vi har dem?

  2. Ja det er helt korrekt, men du svarer ikke på spørgsmålet ;-)

On a different note:
Jeg er helt enig i at den sikkerhedsmodel der er opstillet fra NemID i høj grad har en masse sikkerhedsmæssige mangler. Men grundlæggende i det offentlige er der i forvejen en masse problemer. Har du f.eks. kigget på hvordan kommunikationen i det offentliges SundhedsIT systemer foregår. Her er der brug af sikkerhed ja, men al overførsel af information om borgerne gives med udgangspunkt i CPR nummer. Så i bund og grund kan man hente information ud om de enkelte borgere, hvis man blot har priviligeret adgang.

  • 0
  • 0
Anonym

@ Anders

  1. Jeg mener bogstaveligt talt at samfundet taber penge på NemId fordi effektiviteten og innovationsevnen går ned. Efter min vurdering er det den største fejlinvestering i Danmarkshistorien - inkl. de ubrugte forsvarsværker omkring København i slutningen af 1800-tallet.

Regnskabsfolk tror at den første den bedste løsning er god, men regner ikke legacy-problemet med. Valgfriheden og den kontinuert tilpasning af processer til de individuelle behov kan ikke fungere hvis man starter med flytte kontrollen fra borger til system.

Enig - mange frihedsgrader - det er en væsentlig pointe.

Din mor forstår heller ikke Digital Signatur eller hvordan en telefon virker - men hun kan bruge telefonen, fjernsynet etc. Det er en af vores tids forbandelser - de fleste mennesker kan ikke gennemskue de teknologier, de er afhængige af. Hvordan de trods alt bruger dem alligevel er en del af brugerinterfaces etc. Du kan sgtens håndtere mange telefonnumre ved at hægte dem på navent på modparten - men hvor mange af telefonnumrene kan du huske og kan du forklare alle aspekter af Mobile IP eller GSM?

  1. Jeg mener ikke noget - i sidste ende betaler du alligevel uanset om det sker over skatten eller via dit eget valg. Min pointe var kun at minimumsløsningen skal være tilgængelig for alle - hvad du så vælger derfra bør formentlig være mere frit.

  2. Der er forskel på om en nøgle er udløbet, revoked eller slettet. Du kan sagtens beholde en nøgle længe efter at den er både udløbet og revoked. Krypteringsnøgler gemmer du for evigt (hvad skal der f.eks. ske efter du dør?) eller i hvert fald indtil du rekrypterer data.

On diferent note
Sundhed-it og navnlig Medcom er et af stjerneeksemplerne på hvordan man gør det helt forkert. Man sammenkører bag om ryggen på borgeren fremfor at koordinere via patienten - den sidste virker altid, den første sjældent, ineffektivt og dårligt.
MEN - ingen skal tro at it i sundhedssektoren er en simpel problemstilling - det er et af vores allersværeste udfordringer og jeg er på ingen måde arrogant overfor denne vsentlige samfundsudfordring, tværtimod arbejder jeg aktivt på at løse de udestående problemer. Jeg taler jo ikke om at ignorere f.eks. akut overrides eller at en patient konstant skal forholde sig til alt muligt.

  • 1
  • 0
Anders Reinhardt Hansen
  1. Men jeg vil mene at for at du kan bruge noget skal du også forstå det til en vis udstrækning. Du skal ihvertfald forstå hvordan du installerer og benytter det hos dig selv. Og det er jeg ikke overbevist om at 97% af danskerne kan med din skitserede løsning. Og det er en meget meget vigtig pointe.

  2. Enig.

  3. Jo, men hvad hvis den bliver væk? Skal statens så genskabe sin date om dig ud fra dine oplysninger?

  4. Nemlig.

  • 0
  • 0
Rasmus Kaae

hvorfor er det egentlig at du mener at du har patent på hvad der er rigtigt og forkert mht. at "stemple" data med brugerens nøgle?

det kunne måske være en fordel at alle transaktioner kan henledes til hvem der har udført en pågældende handling?

hos skat kunne man forestille sig at det er relevant at vide om det er en borger eller en fuldmægtig der har udført en række hændelser som har ledt til rettelser.

hos en bank kunne man forestille sig det var relevant at vide om det var en kunde eller ansat der har udført en række hændelser som har ledt til rettelser.

sporbarhed og såkaldte "audit trails" er meget vigtige i visse brancher, da de kan anvendes til at bevise svindel og fejl, m.m.

desuden synes jeg det er let købt at kritisere et system når det lanceres. argumenterne havde været langt mere interessante i den indledende debat.

  • 0
  • 1
Anders Reinhardt Hansen

Man kan sagtens henlede transaktioner til en specifik person i det skitserede system. Det kommer an på kravene til det konkrete system. Du kan jo bare som systemudbyder kræve at brugeren mindst stiller navn, cpr nummer eller lignende til rådighed.

Så vidt jeg husker har Stephan beskrevet problematikken i NetID hele vejen igennem forløbet. Andre har ihvertfald.

  • 1
  • 0
Michael Nielsen

Og god information fra stephan, det der er en del nemmere at forstå og jeg er ganske enig i dine betragtninger..

Mht brug og smid væk, så er det ikke så forskelligt fra feks sygesikrings beviset, du få en, men smider du den væk koster det 132 dkk at få en ny (hvis jeg husker rigtig).

Det digital krypto kort koster mellem 100-400dkk (retail) at anskaffe, så prisen er ikke væsentligt mere end for de chip kort - feks Dankort - eller for den sag skyld magnet stribe sygesikrings kortet at erstatte.

Prisen få sådan noget hardware falder des flere man indkøber, da vi snakker om indkøb i million klassen, burde priserne være under 25% af de beløb jeg viser oven for.

Det eneste problem er at (afaik) ikke findes krypto kort der kan håndtere mere end en privat nøgle, som jeg antager det system som Stephan indikere ville kræve, altså ville det kræve op til flere tokens, eller at man laver en token hvor man kan havde mange privat nøgler liggende på den, ikke at det er et teknisk problem at lave, og ville sandsynligvis være billigere end NemID løsningen, som jeg forstår ligger på omkring 1 milliard.

  • 0
  • 0
Anonym

Flere falder i en fælde her.

At man ikke har beskrevet detaljen betyder ikke at det ikke er brugeruvenligt - tværtimod. En relationel model baseret på verificerbar viden i kontekst kan nemt være meget mere brugervenlig end en baseret på en ligegyldig identifikation - det er vigtigere at viden noget OM dig end hvem du er.

Du er "min læge" er vigtigere end dit efternavn er "Petersen". og det vedkommer ingen server at vi interagerer hverken fysisk eller over nettet medmindre nogen forbryder sig mod nogen.

Identitet er langt mere nuanceret end "Identifikation". Man skal dekomponere en identitet i dens bestanddele så de kan verficieres hver for sig med den metode som nu passer til formålet.

Hvordan den præsentere er fuldstændigt uafhængigt - det er et spørgsmål for klient-side usability for kan ligne præcis hvad du er vant til (f.eks. et mobiltelefoninterface) eller noget helt andet.

  • 1
  • 0
Anonym

@ Michael

Selvfølglig kan man lave det - det kræver kun at det efterspørgses, men det er staten som skal drive den første efterspørgsel ligesom ingen alene kan efterspørge en storebæltsbro.

NemId koster langt, langt mere end en 1 millard. Det er kun den direkte synlige omkostning. Systemtilpasningerne koster formentlig det 10-dobbelte og tabt dynamik og konkurrenceevne det 100-dobbelte bare inden for de første 10-15 år.

@ Anders

Trippel-negation ??

@ Anders

Der er i min opfattelse INTET som man kan tage for givet omkring en applikations/systemudbyders muligheder eller krav. Det er policies som skal resolves runtime. Og ja - en systemudbyder KAN kræve identifikation ligesom en bruger dermed BØR afbryde transaktionen. En Systemudbyder har aldrig behov for mere end Betinget Identifikation eller en specifik verifikation. At han ønsker fordi det overfører magt er ikke det samme som at der er noget form for legitims krav som ikke kan isoleres person-til-person.

Hvis du frivilligt laver personlige PR, f.eks. ved at identificere dig på en blog, your choice, men det ville sikkerhedsmæssigt fungere meget bedre uden.

  • 1
  • 0
Kristian Larsen

@Rasmus: AFAIK er digital signatur da blevet udskældt ca. siden dengang IT og Telestyrelsen sendte det i udbud og TDC vandt.

Ift. NemID er det også blevet udskældt at man istedet for at tage det eksisterende system og forbedre det rent faktisk kommer med et nyt system som er ENDNU dårligere end det TDC kørte før.

Mao. har der været kritik HELE vejen.

At ingen så har gidet lytte til IT kyndige mennesker i processen er vel bare symptomatisk.

Lidt som når man står med et færdigt byggeri og en kantine som skal servicere over 1000 mennesker om dagen og der ingen affaldshåndtering er, så har man glemt noget basalt.

I Digital Signatur sammenhæng er det helt basale man har glemt at SYSTEMET skal være til for BORGEREN.

  • 0
  • 0
Anonym

@ Anders

Ok - reelt værre fordi der havde sneget sig et u ind i brugeruvenligt.

Det er blot en afvisning af antagelsen "Har man beskrevet detaljen så ville det være Brugervenligt?"

Det ville bare lave en specifik instans som du kunne forholde dig til om DU synes var brugevenlig - men hvem siger at det som du opfatter som brugervenligt er det samme som det din mor opfatter som brugervenligt?

Pointen er at brugervenlighed IKKE er et relevant spørgsmål på dette plan. Kan du ikke håndtere det, så skal du delegere mere eller alt - worst case er NemId/Borger.dk hvor du er fuldstændigt sat uden for indflydelse.

Hvis man starter med at antage at borgerne er inkomptente, så GØR man borgerne inkompente. Det er et af de værste problemer med det danske børnehavesamfund.

  • 0
  • 0
Anders Reinhardt Hansen

@Stephan:
Jeg er helt enig i at brugervenlighed er forskelligt fra person til person, men der er rigtig mange mennesker her i landet som har svært ved computere i forvejen og du kan ikke vælge at sige at det ikke er statens problem hvis de ikke kan bruge dit design.

Man kan ikke afvise brugervenlighed, som et krav til et system som alle borgere i landet skal kunne bruge. PUNKTUM.

Herunder gælder også at sikkerheden ved brugen af systemet skal være brugervenlig.

Jeg siger ikke at dit system ikke kan designes til at være brugervenligt. Men hvis jeg skal vælge mellem at gå på kompromis med sikkerheden for eliten for at hæve sikkerhedsniveauet for de mange, så ved jeg godt hvad jeg vælger.

  • 0
  • 0
Ulrik Suhr

@Anders Reinhardt Hansen
Man kan ikke afvise brugervenlighed, som et krav til et system som alle borgere i landet skal kunne bruge. PUNKTUM.

I et sikkerhedsmæssigt øjemed kan man ikke diskutere brugervenlighed. Det er et krav man stiller til UI.

Det er ikke noget med eliten faktisk det modsatte. Den politiske elite prøver at styre borgernes "sikkerhed" til skade for borgerne.

  • 0
  • 0
Anonym

@ Anders

Brugervenlighed er meget vigtigt, men man må ikke forveksle dikteret forsimpling og brugervenlighed. Jeg siger blot at der ikke er grund til at tage stilling til brugervenlighed i en model der ikke som udgangspunkt begrænser brugervenligheden.

Nemid kan godt rummes smo en worst case instantiering indenfor det jeg beskriver, men NemId har ikke en sikkerhedsmodel som blot er tilnærmelsesvis sikker, brugervenilg eller interoperabel. Det er blot optimeret af hensyn til den kommercielle interesse.

  • 0
  • 0
Anders Reinhardt Hansen

[quote]@Anders Reinhardt Hansen
Man kan ikke afvise brugervenlighed, som et krav til et system som alle borgere i landet skal kunne bruge. PUNKTUM.

I et sikkerhedsmæssigt øjemed kan man ikke diskutere brugervenlighed. Det er et krav man stiller til UI.

Det er ikke noget med eliten faktisk det modsatte. Den politiske elite prøver at styre borgernes "sikkerhed" til skade for borgerne.[/quote]

Hvis designet indebærer at brugeren skal oprette x antal certifikater selv og styre hvor meget han vil dele med offentligheden på servicebasis, har du jo allerede dikteret hvordan noget af brugerfladen skal fungerer.

Brugervenlighed er ikke nødvendigvis begrænset til hvad der sker på skærmen. Hvis du skal til 8 myndigheder og henvende dig personligt er det jo f.eks. ikke særlig brugervenligt.

  • 0
  • 0
Anders Reinhardt Hansen

Brugervenlighed er meget vigtigt, men man må ikke forveksle dikteret forsimpling og brugervenlighed. Jeg siger blot at der ikke er grund til at tage stilling til brugervenlighed i en model der ikke som udgangspunkt begrænser brugervenligheden.

Nemid kan godt rummes smo en worst case instantiering indenfor det jeg beskriver, men NemId har ikke en sikkerhedsmodel som blot er tilnærmelsesvis sikker, brugervenilg eller interoperabel. Det er blot optimeret af hensyn til den kommercielle interesse.

Jeg er til dels enig i den udlægning, men så løser du jo ikke det problem du selv beskriver som et problem. For hovedparten af brugerne vil jo netop vælge den model der er nemmest for dem selv.

  • 0
  • 0
Anonym

For hovedparten af brugerne vil jo netop vælge den model der er nemmest for dem selv.

Præcis - nøgleordet er VÆLGE - ikke bare UI, men teknologi, modeller, leverandører m.m.

  • 1
  • 0
Anders Reinhardt Hansen

Jeg tror vi er meget enige. Mit budskab var bare at vi skal tænke klumpe dumpe bag skærmen ind også.

Der skal dog være et krav om at folk ikke blot kan bruge software baserede certifikater som TDC Digital signatur v.1. Den er billig, men kompromiterede PC'ere er et problem i denne sammenhæng.

  • 0
  • 0
Anonym

Hvis designet indebærer at brugeren skal oprette x antal certifikater selv og styre hvor meget han vil dele med offentligheden på servicebasis, har du jo allerede dikteret hvordan noget af brugerfladen skal fungerer.

Selvfeøglig - en model som ikke kan rumme det kan jo ikke rumme virkeligheden.

Du bør aldrig genbruge nøgler, men hvor nuanceret du vil styre det er en parameter, du skal skal styre.

Men selvfølgelig er der tekniske udfordringer med at håndtere kompleksitet. Men når man først begynder at designe kontekstule konstaterer man at det er væsentligt nemmere.

Serverside access control ender i kaos mht. administration, bureaukrati eller sikkerhed.

  • 0
  • 0
Anonym

Der skal dog være et krav om at folk ikke blot kan bruge software baserede certifikater som TDC Digital signatur v.1. Den er billig, men kompromiterede PC'ere er et problem i denne sammenhæng.

Viden om hvilken teknologi du bruger til at håndtere nøgler er en stærkt relevant del af tilliden til nøgler og den konkret identitet. Men f.eks. Direkt Anonymous Attestation kan bruges til at validere at nøglen er opbevaret i et tamperresistent device type xx uden at vide præcis hvilken device (MAC/Serienumme) der er tale om.

  • 0
  • 0
Anders Reinhardt Hansen

[quote]Der skal dog være et krav om at folk ikke blot kan bruge software baserede certifikater som TDC Digital signatur v.1. Den er billig, men kompromiterede PC'ere er et problem i denne sammenhæng.

Antyder du, at NemID beskytter mod, at en angriber har fuld kontrol over brugerens PC?[/quote]

En konpromiteret PC er mere sikker at bruge med one-time passwords som NEMID end med digital signatur der er beskyttet af et password ja.

Jeg siger ikke at NemId er 100% sikret mod en angriber. Men faktum er at utroligt mange PC'ere er inficeret og det prøver den gamle signatur på ingen måde at adressere.

  • 0
  • 0
Anonym

NemId kan hackes af et overvågningskamera - det er nonsens fra en sikkerhedsmæssig betragtning.

Tilsvarende er de ude af stand til at beskytte nøglerne. Selv antaget de ligger i hardware, så er opgaven håbløs. Hvis hardware bryder sammen, forsvidner alle nøgler på en gang - hvis de kan tage backup og overføre nøglerne til en ny enhed, så kan de også overføre dem til en ren softwareenhed og dermed kompromitere alle nøgler på samme tid.

  • 0
  • 0
Anonym

@ Anders

Det er ikke en relevant sammenligning - ingen er i tvivl om at vi skal have nøglerne ud af computere som kan hackes.

I den forbindelse bør man være opmærksom på at det gælder i langt højere grad for NemId og Cloud hvor risikoen er massivt koncentreret.

Og nej, der er intet grundlag for at stole på Nemid.

Som påpeget kan NemId selv nemt både svindle serveren til at tro at den har kontakt med borgeren og hardwaremodulerne kan ikke undgå at kunne kompromiteres.

Ligesom NemId ikke har nogen måde at stole på at det faktisk er borgeren selv som leverer de 2 passwords fordi de begge nemt kan være frivilligt eller ufrivilligt (f.eks. via et overvågningskamera eller med en man-in-the-middle på clienten) overgivet til 3. part.

Papkort med engangskoder er blot en dårlig model som man måske til nød kan leve med i en enkelt bank, men aldrig til alle banker og slet ikke til alt. Prøv selv at tænke på demovideoerne til NemId - de dokumenterer i sig selv et successfuldt hack fordi alle koder aflures af videoerne.

(Og nej - som sagt indledningsvist kan det problem ikke løses med en simpel token eller mobiltelefon)

Men det er det minimale problem - langt større er problemet at NemId har karakter af et garanteret successfuldt kommercielt man-in-the-middle angreb på samtlige samfundsprocesser og man fastlåser alle systeminterfaces mod et totalt uholdbart princip.

NemId er at betragte som 100% kompromiteret allerede på designtidspunktet - både sikkerhedsmæssigt og navnlig samfundsøkonomisk. At binde alt til den tankegang er ganske enkelt samfundsdestruktivt. Hvad værre er - at tvinge borgerne over på det med eDag3 og kartelsamarbejde bankerne imellem er formentlig egentlig kriminelt.

Problemet skal løses i alle 3 aspekter - vi skal have en rigtig CA (en passiv som IKKE er involveret i transaktioneren), et borgerkort (som kan håndtere mange nøgler og teknologier), åbne systeminterfaces så vi ikke hardkoder og net neutrality så vi ikke skaber knudepunkter.

  • 1
  • 0
Jens Madsen

Ikke fordi, at jeg er uenig med Stephan - men jeg tvivler på, at hans metode er sikker. Den vil, med stor sandsynlighed, bero på amerikanske metoder, f.eks. krypteringsmetoder og standarder. Og hvem siger, at de er sikre?

Næten alle former for krypteringer, er før eller siden brudt. Og det gælder ikke mindst dem med en offentlig del. At frigøre sourcekoder, metoder, osv. gør det ikke nemmere, at gøre sikkert.

Hvis teknikken beror på en metode, med f.eks. krypteringer som amerikanerne har udviklet, så er stor sandsynlighed for, at de måske også har udviklet en "bagddør". Vi ved, at man før eller siden, med stor sandsynlighed vil kunne bryde krypteringen. Og, hvem ved, om nogen har metoder, og computere, så de kan gøre det nu.

Skal en metode være sikker, må den ikke bero på en amerikansk udviklet krypteringsmetode eller standard. Men, hvem skal vi så stole på?

  • 0
  • 0
Anonym

Jens

Du skal ikke have tiltro til nogen enkeltteknologi - identitet er en sum af beviser af forskellige typer som hver enkelt kan realiseres med forskellige teknologier som er under konstant forandring.

Tiltroen til et givent bevis afhænger selvfølgelig også af din tiltro til den teknologi som bruges og ikke bare den nøgle eller eventuelle 3. part som er involveret.

Her er mange faktorer involveret. Og man skal huske på at sikkerhedsklassificeringen af teknologi er dynamisk og løbende eroderer. MIFARE-rejsekort chippen blev nedgraderet da den blev hacket. I praksis reducerer man dette til klasser - f.eks. FIPS (http://en.wikipedia.org/wiki/FIPS_140)

Vi skal over i en verden hvor dine sikkerhedspolicies kan udtrykke sådanne krav og individuelle prioriteringer. En amerikansk eller dansk myndighed, en dansk virksomhed og en dansk privatperson vil have meget forskellige syn på den samme teknologi - specielt hvis privatpersonen er fokuseret på Open Source.

Det kan hver enkelt ikke, dvs. vi skal vælge via hvilke vurderinger vi vil "abonnere" på og måder hvorpå vi kan pakketere mange aspekter ned i simpelt letforståelige "defaults". I dag er den opgave primært hos nogle få government agencies a la NIST/US Millitary. Men hvorfor ikke EFF, European Consumer Groups, GovCert Dansk Industri eller andre? De kan så igen hente input forskellige steder fra og nøjes med at adskilel sig hvor deres målgruppe har særbehov.

Vi har i et EU-projekt arbejdet ud fra antagelsen om opgradering af XACML så den kan håndtere 2-vejs og mere dynamiske konstruktioner.

I princippet er der intet i vejen for at vi ikke skulle komme til et punkt hvor du kan definere dine sikkerhedspolicy fuldstændigt teknologi/provider-neutralt, dvs. så en applikation uden at ændre en linje kode kan være interoperable med sikkerhedsmekanismer som slet ikke var opfundet da applikationen blev implementeret.

Det gør du implicit selv - f.eks. er jeg sikker på at mange brugere af Ubuntu har en (sikkerheds)policy om kun at acceptere open source drivere. Fint - men det krav står jeg ikke så skarpt på så min policy kan lægge mindre vægt herpå og mere på om den f.eks. lækker data i protokollen.

  • 0
  • 0
Anonym

hvorfor er det egentlig at du mener at du har patent på hvad der er rigtigt og forkert mht. at "stemple" data med brugerens nøgle?

det kunne måske være en fordel at alle transaktioner kan henledes til hvem der har udført en pågældende handling?

At "all transaktioner"? Inkl. folkeafstemninger, kæreteaffærer, lægebesøg etc. Nej - det er præcis den form for dogmatiske autoritære tilgang som er det danske hovedproblem - det er set mange gange før og det går altid galt.

Jeg blander mig på ingen måde i den konkrete udformning af den konkrete transkation.

Forskellen er at i stedet for at det skal afgøres af andre, så skal det afgøres i den konkrete process - hvis processen kræver Ansvarlighhed (=BETINGET Identifikation), så etableres det som en del af procossen - IKKE før og man bør ikke identificere fordi så kan du ikke sikre servicen.

hos skat kunne man forestille sig at det er relevant at vide om det er en borger eller en fuldmægtig der har udført en række hændelser som har ledt til rettelser.

Det kræver ikke identifikation, men den rette kombination af Autorisation (gruppetilhørsforhold/en såkaldt positiv credential), autentifikation (genkendelse = det er min konto) og evt. ansvarlighed (Betinget Identifikation)

hos en bank kunne man forestille sig det var relevant at vide om det var en kunde eller ansat der har udført en række hændelser som har ledt til rettelser.

Selvfølgelig - men hverken kunden eller den ansatte behøver at være identificeret overfor it-systemet. Den del kan hensigtsmæssigt ligge udenfor.

sporbarhed og såkaldte "audit trails" er meget vigtige i visse brancher, da de kan anvendes til at bevise svindel og fejl, m.m.

Helt enig - men det er beviskæder - IKKE nødvendigt databaser med personhenførbare data som ikke kan beskyttes og som forudsætter at hele transkationen gøres sårbar.

Det er f.eks. interessant at så snart talen går på at borgerne skal have adgang til at se hvilke offentligt ansatta som kigger på borgernes data, så skal de offentligt ansatte beskyttes. Det er jo blot udtryk for at man kun tager ansvar for sikkerhedsproblemer når de rammer en selv lige i ansigtet.

desuden synes jeg det er let købt at kritisere et system når det lanceres. argumenterne havde været langt mere interessante i den indledende debat.

Hus forbi - f.eks. fra før de forsøgte at gøre sort til hvidt med Certifikatpolitik 4.0
http://www.version2.dk/artikel/9479-sikkerhedsekspert-hovsaer-i-danids-d...

  • 0
  • 0
Ulrik Suhr

@ Anders Reinhardt Hansen,

Hvis designet indebærer at brugeren skal oprette x antal certifikater selv og styre hvor meget han vil dele med offentligheden på servicebasis, har du jo allerede dikteret hvordan noget af brugerfladen skal fungerer.

Nu snakker du "design" jeg går ud fra det er systemsiden? Nej vi snakker stadig teknik og ikke UI.
I artiklens tekst finder du bla. PGP nøgler og verificering af individet og ikke personen (dette synspunkt deler jeg også 100% med forfatteren og de fleste er nok også af den mening).
mht. din påstand med komplekse teknologiske kommunikationsformer komplicere UI er stadig ikke saglig. Ja systemet skal håndtere de virkelige forhold med eller uden sikkerhed!

Brugervenlighed er ikke nødvendigvis begrænset til hvad der sker på skærmen. Hvis du skal til 8 myndigheder og henvende dig personligt er det jo f.eks. ikke særlig brugervenligt.

Dette giver stadig ikke mening mht. teknologi og brugervenlighed? hvad har det med sikkerhed at gøre om det så er 1 million myndigheder?

  • 0
  • 0
Michael Nielsen

@stephan

Selvfølglig kan man lave det - det kræver kun at det efterspørgses, men det er staten som skal drive den første efterspørgsel ligesom ingen alene kan efterspørge en storebæltsbro.

NemId koster langt, langt mere end en 1 millard. Det er kun den direkte synlige omkostning. Systemtilpasningerne koster formentlig det 10-dobbelte og tabt dynamik og konkurrenceevne det 100-dobbelte bare inden for de første 10-15 år

Det er der ingen tvivl om, men bare basis udlægget for NemID, ville dække det som de mente var for dyrt. Så min holdning er klart at den design basis som NemID har lavet kunne havde været lavet uden alle de krumspring de har fortaget, uden centraliserede nøgler, og langt billigere.

Men self. Har det stadigvæk ikke taget hånd om det politiske.

  • 0
  • 0
Henrik Sørensen

@Stephan :

Tak for underholdende og interessant læsning.

Du bør være opmærksom på at "diktomi" ikke er den korrekte stavemåde, men derimod "dikotomi".

Jeg kan se at du er begejstret for at bruge ordet, så det er nok bedst at gøre dig opmærksom på det. :)

  • 0
  • 0
Anonym

@ Mixhael

Helt enig. Men navnlig følgeomkostningerne i form af systeminterfaces er det en gigantisk fejl at spilde på en forældet model.

Bemærk dog at det er meningsløst at tale om ikke-politisk teknologidesign. Hvad enten du er bevidst om det eller ej eksisterer der ikke værdiløs teknologidesign - du kan bevidst designe med bestemte værdier for øje eller du kan ubevidst gøre det, men værdierne vil stadig blive implementeret i det design, du laver.

Vi kan tale om Grundlovsrespekterende teknologidesign, dvs. at des mere universelt samfundet er afhængig af et givent teknologidesign desto vigtigere er det at gøre det neutralt og åbent interoperabelt.

Biometrisk overvågning er f.eks. et af de værste overgreb man kan foretage, mens en TCP/IP transkation kan rumme mange forskellige værdiprincipper som TCP/IP ikke tager stilling til - og i denne neutralitet er der i sig selv værdier designet ind - meget bevidst.

Konkret er der respekt for Grundloven og demokratiets mest bærende principper til forskel på et teknologi design som hardkoder at magten altid overføres fra Borger til System versus den i artiklen beskrevne model som ikke forholder sig hertil.

Gjort rigtigt vil modellen både muliggøre f.eks. ikke-personhenførbare transkationer (kontekstuelt isolerede transaktioner a la kontanthandler) og transaktioner hvor den ene part afkræver den anden part bevis for bestemte forhold for at en transaktion kan fortsætte.

Modellen forholder sig således eksplict IKKE til f.eks. terrorlovgivningen. Man skal ikke i infrastrukturens teknologidesign afgøre om det skal registres personhenførbart at du går på tolitettet selvom der er en til vished grænsende usandsynlighed for at du i den forbindelse foretager dig kriminelle handlinger som berettiger registrering.

Faktum er at nogengange skal man og nogengange skal man ikke - og det er stærkt dynamisk afhængig af både tid og sted. Det hverken må eller kan vi tage stilling til upfront uden at begår vlærdimæssige designfejl.

  • 0
  • 0
Jens Madsen

I nogle tilfælde, kan sporbarhed også betragtes som sikkerhed. Det er en sikkerhedsrisiko, for dem som ikke ønsker at blive sporet. Men, en sikkerhed, hvis det digitale signatur åbner op for, at de gør noget kriminelt. Så skal de naturligvis kunne spores, og sættes for en domstol.

Der er mange områder, hvor jeg som borger ønsker at sporing er muligt, og hvor jeg betragter det som en sikkerhed. Hvis nogle f.eks. gør noget imod mig, så ønsker jeg naturligvis, at det kan spores hvem der har gjort det, og de kan sættes for en domstol. Sporingen skal være sikker, og må ikke kunne pege på en forkert, og uskyldig. Desto mere alvorlig, at en mulig forbrydelse er, desto mere vigtigt er sporbarhed, og at den peger på den rigtige. I nogle tilfælde, kan det være mest sikkert, at informationerne om sporbarhed, og sporingen, er hemmelig. Men, at den stadigt er sikker. Og i andre, er det måske mest sikker, at sporbarheden er offentlig, og enhver kan følge og se forbryderen f.eks. via nettet.

Hvis digitalt signatur, ikke må bruges til noget alvorligt, så er sporbarhed ikke vigtigt. Men, skal det bruges f.eks. som adgangskontrol til et ammunitionsdepot, så bør det naturligvis være sporbart. Skal det bruges som adgang til valgurnen, så er det meget vigtigt, at det ikke er sporbart, for at valget kan foregå anonymt.

  • 0
  • 0
Anonym

Jens

Pas på du ikke argumenterer mod din egen stråmand, dvs. hvordan du selv udlægger andres udtalelser.

Etablering af sporbarhedskæder og ansvarlighed er en vigtig del af alle transaktioner - typisk når man ikke kan afdække alle risici upfront.

Anonymitet som i sin rene from medfører ikke-ansvarlighed efterspørges i min læsning af de mange undersøgelser ikke i situtioner hvor borgeren ikke villle ønske at andre var anonyme overfor dem. MEN vi kan sagtens etablere både Identifikation og ansvarlighed Person-til-Person (klient-til-klient) UDEN at serverne er indblandet heri, dvs. vi må IKKE antage ikke-anonymitet i designet fordi det vil medføre eliminering af kritiske frihedsgrader.

Det vil i alle tilfælde skade sikkerheden at identificere upfront serverside. I stedet bør du tilpasset den specifikke applikation arbejde med enten Betinget Identifikation (en af de mange tusinder varianter af escrow) eller metoder som betyder at dårlig adfærd kan straffes via tab af f.eks. reputation eller egentlig udelukkelse.

SÅ har vi specialtilfælde såsom f.eks. kriminelles koordinering. Men det har INTET med NemId at gøre fordi det primært addresserer transaktioner hvor den ene part (en statslig organisation eller en virksomhed) er identificeret og dermed vi kan være sikker på at transaktionen IKKE kan være en del af 2-vejs anonym kommunikation. En kriminel ville jo aldrig gå gennem Borger.dk og slet ikke bruge NemId. Tilsvarende bør borger-til-borger kommunikation heller ikke bruge Nemid fordi det kun svækker sikkerheden.

De stærke kriminelle - som i mange tilfælde er tæt associeret med både statslig (f.eks. strukturerede hackere som del af "cyberwar") og kommerciel aktivitet (narkohandel, falske "ægte" varer, handel med persondata og it-kriminalitet er i dag nogle af de største markeder) - kører deres helt egne netværk via peer-to-peer.

Der er INTET i ovenstående der antager om en transaktion er sporbar eller ej - det skal blot ikke afgøres før runtime. Runtime er det noget som skal afgøres interoperabelt styret af sikkerhedspolicies. Med et absolut minimum i access-operatørernes knudepunkter og ellers på indgangen til services på endpoints UDEN Central points.

Prøv at læse Worlds of Ends (og opdater den med den nødvendige forståelse af logisk isolerede transaktioner, dvs. formålsspecifik virtualisering af alle endpoints).
http://worldofends.com/

  • 0
  • 0
Anonym

http://nyhederne.tv2.dk/article/32275581/

Jo, der er masser af alternativer til bankkartellet.
Og du kan fravælge NemId ved at gøre det fysisk. Regningen bliver bare eksporbitant fordi tricket er at misbruge gebyrskruen til at tvinge dig ind i rusen.

Det eneste du ikke vil kunne få er noget som er sikkert, servicevenligt, prisrimeligt og digitalt. Fordi nogen skal profitere på ekstreme magtpositioner.

Der er noget dummebøde over hele konstruktionen. Hvis du ikke gør som vi vil havde dig til, så sender vi dig bøder indtil du går konkurs - til sidst skal du nok makke ret. Det drejer sig kun om at legalisere bødesystemet og den magtmodel, du skal indrettes til.

  • 0
  • 0
Anonym

Jesper

Giro-eksemplet dokumenterer hvad samme magthaver gør, når det drejer sig om at banke dig på plads i deres interesse. Betaling og Identitet hænger tæt sammen fordi bankerne ønsker at opretholde konto-konto modellerne (den digitale ækvivalens til check) fremfor at give dig kontant-muligheden og kontrollen tilbage via f.eks. Digital Cash.

DanId vil også sikre de kommer ind i transaktionen (hvor en CA intet har at gøre) og at enhver mulighed for at holde dem ude blokeres med både tekniske (du kan ikke), legale (du må ikke) og økonomiske værktøjer (ethvert skridt væk fra deres magtmodeller gøres kunstigt dyrere).

Formålet med DanId er ikke at lave en Digital Signatur - men reelt at forhindre en Digital Signatur,

En valid Digital Signatur med mulighed for at skabe de nøgler som passer til formålet ville flytte kontrollen fra banken tilbage til borgeren.

Det ønsker bankerne/PBS ikke, så derfor er alt indrettet på at tage kontrollen fra borgeren og føde pengemaskinen.

Den samme interesse har centralbureaukratiet fordi det give dem plankonomisk kontrol og magt. Vi har at gøre med en symbiose hvor 2 ikke-legitime kræfter samarbejder i egeninteresse på samfundets bekostning.

Hvis det institutionelle system havde fungeret, så ville DanId-modellen være blevet blokeret af alle 3 nævnte årsager. Teknisk ville IT- og telestyrelsen sikre en åben og sikker model, legalt ville både Datatilsynet. Konkurrencestyrelsen og Forbrugerstyreæsen m.fl. have stoppet dette for længe siden og økonomisk ville økonomistyrelsen, Rigsrevisionen, Finanstilsynet m.fl. have tilsikret at markedet stadig kan fungere.

Problemet er at bureaukratinteresserne i ministerierne arbejder imod samfundsinteresserne og alle tilsynsmyndigheder agerer medløbere.

Det går ud over Magda både som forbruger via dårligere pris/kvalitet, som skatteyder via et akkumulerende ressourcespilde og som borger via underminering af retsstaten.

  • 1
  • 0
Log ind eller Opret konto for at kommentere