Udbud køres i stilling: Det nye NemID – kaldet MitID – har et budget på 900 millioner kroner

Illustration: Digitaliseringsstyrelsen
Digitaliseringsstyrelsen løfter nu sløret for budget og ambitioner for fremtidens NemID, kaldet MitID.

Fremtidens NemID, kaldet MitID, som skal udvikles over de kommende år, har et budget på 900 millioner kroner.

Det fremgår af en såkaldt forhåndsmeddelelse som er offentliggjort på Den Europæiske Unions Tidende af Digitaliseringsstyrelsen.

Der er formentlig tale om Danmarks største it-løsning, som ifølge tidligere udmeldinger fra Digitaliseringsstyrelsen vil være klar i 2019-2020.

Ifølge meddelelsen vil den omfatte ca. 6-9 mio. aktive registrerede slutbrugere eller identiteter, og cirka 1 milliard anmodninger om autentifikation per år.

Og ambitionen er ifølge Digitaliseringsstyrelsen, at MitID kan det samme som NemID, men dog er »mere brugervenligt, fleksibelt og fremtidssikret.«

Yoel Caspersen, der er direktør for internetudbyderen Kviknet og blogger på Version2, er kritisk over for, at staten overlader en digitaliseringsløsning, der er så central for det danske samfund, til det private marked:

»Selve udbudsprocessen er garant for, at systemet stiger i både pris og kompleksitet, og det virker fra min stol vanvittigt, at man vil outsource kontrollen med samtlige borgeres identitet til et privat firma – men det er jo den måde, man har kørt det på de sidste mange år,« siger han.

»Ideelt set burde man i stedet danne en offentlig organisation med 10-20 dedikerede og vellønnede udviklere opdelt i små hold med 4-5 personer i hver, som kan håndtere hver sin del af grundsystemet,« siger han.

Private virksomheder kunne altid få adgang til at lave slutbrugerløsninger via API, mens selve grundsystemet bør altså være på offentlige hænder, supplerer han.

Central løsning øger sårbarhed

Internetaktivist og datalog Christian Panton hæfter sig ved, at Danmarks nationale ID-løsning stadig bliver meget centralt opbygget:

»Det er bekymrende at der tilsyneladende igen udbydes et centraliseret login-system, på trods af at det har alle byggeklodserne til at være decentralt. Med NemID var byggeklodsen PKI og nu er byggeklodsen identitets-brokerne.«

»Centraliseringen af NemID gav en række ulemper, fx har vi set at det kunne blive ramt af DDOS angreb og nedetid en efterårsferie pga. en Java-opdatering«, siger han.

Digitaliseringsstyrelsen har allerede indgået et partnerskab med de danske banker i form af et datterselskab til Finans Danmark, om at anskaffe og stille MitID til rådighed for hele den offentlige og private sektor i Danmark.

Partnerskabet indebærer bl.a., at MitID, ligesom NemID, bliver anvendt af bankerne, så de ikke udvikler hver deres – og så MitID ikke alene er brugbart til offentlige hjemmesider.

Desuden betyder partnerskabet af bankerne er med til at betale udviklingsarbejdet.

3. part kan udvikle klientløsninger

Blandt de konkrete forandringer, som nu luftes med MitID, er at eksterne parter (brokere) vil kunne certificeres til at lave deres egne klientløsninger med slutbruger-autentifikation.

Det kan handle om, at EUs regler for API imod den centrale MitID ‘motor’ gør, at det bliver langhåret og papirtungt at implementere og certificere – og dermed umuligt for en lang række parter, fx webshops.

Ved at indskyde brokers som mellemlag slipper man for, at den enkelte webshop skal forholde sig direkte til dette regelinferno.

Yoel Caspersen mener, det er positivt, at den nye løsning tilsyneladende åbner for udvikling af tredjeparts-løsninger til slutbrugere.

»Det vil nok primært være her, at udviklingen løber stærkt. Et problem ved den nuværende løsning er, at man som slutbruger ikke kan verificere autenciteten af det website, hvor man indtaster sine credentials til NemID – og det fremgår umiddelbart ikke, hvordan man vil sikre dette ved tredjeparts slutbruger-løsninger,« siger han.

Senere på året går udbuddet - dvs. jagten på en udvikler af løsningen - i gang.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
Michael Nielsen

Det er hvad det her lugter af.

Det er godt nok utroligt at Danmark smider skatteborgernes penge væk på at genopfinde gamle systemer, vel og mærke uden at lære noget fra de udfordringer som de gamle systemer har/havde. Det eneste man får ud af dette er at gentage de gamle fejl, og introducere nye i mixet..

Ingen under det offentlige konstant mangler penge.

Bjarne Nielsen

genopfinde gamle systemer, vel og mærke uden at lære noget fra de udfordringer som de gamle systemer har/havde

Grunden til, at man vælger at hælde den samme gamle vin på nye flasker er, at man helt grundlæggende set fra det offentlige er meget godt tilfreds med løsningen. Og det, som du kalder "udfordringer", opfatter man langt hen ad vejen som features. Det er meget vanskeligt at ændre på noget, som man selv synes er en succes.

Men flaskerne er da i det mindste nye. Og har både fået et nyt navn og et nyt logo!

Henrik Biering Blogger

Det afgørende for om markedet sættes fri, som ønsket af mange parter under den tidligere høring, er ikke strukturen med brokere, men derimod om vi kommer af den monopolposition, der eksisterer i dag qua §4.6 i NETS tjenesteudbydervilkår:

... Certifikater fra Nets DanID må ikke bruges til at generere eller signere Certifikater for andre eller i øvrigt danne grundlag for identifikation overfor tredjemand.

NemID tjenesteudbyder er indforstået med, at Nets DanIDs ydelser ikke må videreføres eller benyttes til at gennemstille Bruger til anden tjenesteudbyder, hvorved denne får mulighed for at benytte den forudgående autentifikation foretaget med brug af OCES-Certifikater og NemID med mindre andet aftales. Aftale om gennemstilling forudsætter, at den anden tjenesteudbyder, der gennemstilles til også har indgået en NemID tjenesteudbyderaftale med Nets DanID, og at der afregnes transaktionsvederlag pr. Bruger. Ved en anden tjenesteudbyder forstås en virksomhed, institution, organisation med et CVR-nummer, der er forskelligt fra det, som denne Aftale vedrører. ...

Det vil sige at man med NemID ikke (uden at betale NETS for alle sine egne ydelser) kan udnytte den nederst på side 12 i "National Standard for Identiteters Sikringsniveauer" angivne mulighed for at etablere helt uafhængige ID tjenester gennem en almindelig tjenesteudbyder- (eller broker-) aftale:

Generelt er det tilladt at basere identifikation på autentifikation med et gyldigt eID på mindst samme sikringsniveau, såfremt de nødvendige oplysninger (personidentifikationsdata) tilvejebringes gennem denne autentifikation. eID’et behøver ikke være fra den samme udsteder. ...

Det har tidligere fra Digitaliseringsstyrelsen forlydt at NETS nuværende spærreklausul (som formentlig også er i strid med EU's konkurrenceregler) ikke vil blive videreført under MitID. Det har jeg nu bedt dem om en bekræftelse eller redegørelse for.

Poul-Henning Kamp Blogger

Jeg synes den her detalje er det mest interessante, rent teknisk: "MitID-personidentiteter er ikke længere nødvendigvis certifikatbaserede (PKI)"

Den eneste anden mulighed jeg kender er PSK (Pre Shared Key) som har den store fordel at den er sikker per definition, i modsætning til certifikater der hænger hele sikkerheden på matematik de færreste fatter og endnu færre faktisk forstår.

I et setup som det foreslåede er nøgledistributionen præcis den samme ved certifikater og PSK og derfor er PSK i min optik klart at foretrække, rent sikkerhedsmæssigt.

Yoel Caspersen Blogger

I et setup som det foreslåede er nøgledistributionen præcis den samme ved certifikater og PSK og derfor er PSK i min optik klart at foretrække, rent sikkerhedsmæssigt.

Hvordan ville den optimale løsning se ud, hvis du fik diktatorisk magt over dette?

Skulle PSK distribueres via et hardware-device til den enkelte slutbruger?

Poul-Henning Kamp Blogger

Hvordan ville den optimale løsning se ud, hvis du fik diktatorisk magt over dette?

Jeg ville stille en stor spand med hardware-dimser på kommunekontoret og give borgerne lov til at fiske lige den af dem som de ville have.

Derefter monteres et batteri og borgeren indtaster sin selvvalgte pinkode to gange.

Nu rystes dimsen grundigt i ca. 45 sekunder, indtil der er samlet entropi nok til at lave en unik "secret".

Denne secret krypteres med en indbygget public-key og resultatet vise i displayet, der ved denne lejlighed aflæses med et lille kamera og transmitteres til MitID der har den tilhørende private-key.

I daglig brug præsenteres brugeren for en "challenge", indtaster denne og sin pinkode og aflæser et 6-8 cifferet "response" i LCD displayet, som indtastes på samme måde som tallet fra papkortet bliver det idag

Vi er oppe i styktal hvor det formodentlig er nærmest gratis at udstyre dimsen med et lille kamera der kan læse "challenge" som stregkode fra computerskærmen.

asbjørn jensen

Så kommer der jo nok igen et system som stiller afvigende krav til slutbrugernes systemer (PC)Er just i gang med Sundhed.dk, der som SKAT, udbetaling DK, e-boks stiller indbyrdes forskellige krav til mine PC'er.
Hvornår får digitaliseringsstyrelsen orden i den rodebutik ?

Jonas Finnemann Jensen

Mon ikke U2F ville være en bedre løsning.

hyperFIDO koster 10 USD, Yubikey U2F koster 20 USD, Yubikey m. U2F og NFC koster 40 USD, ved bestilling af 5-10 millioner kunne man nok få lidt rabat :)

Og ja, indtil NFC+U2F er bedre understøttet, så bliver mobil support måske noget med at man skal godkende mobilen ved at logge ind på en computer (ved første login).

Bjarne Nielsen

Mon ikke U2F ville være en bedre løsning.

Idet jeg antager, at du sammenligner med PHKs "ryste-tokens", så på mange måder jo. Jeg vidste ikke helt om jeg skulle grine eller græde, da jeg læste PHKs indlæg, så lad mig nøjes med at kalde det en typisk ingeniør-løsning.

Men begge løsninger har fordele og ulemper:

  1. U2F tokens er by-design lavet udelukkende til være anden faktor; ryste-tokens har en pin-kode, så der er (afhængigt af implementationen) mulighed for at binde endnu en faktor ind.
  2. U2F baserer sig på samme public key kryptografi, som tidligere er blevet dømt ude med ordene "... hænger hele sikkerheden på matematik de færreste fatter og endnu færre faktisk forstår" (1).
  3. Iom. ryste-tokens har et display, så er der potentialet til at have en sikker kommunikationskanal, som kan binde autorisationshandlingen sammen med det autoriserede på en for brugeren meningsfuld måde.
  4. U2F har ikke tastatur eller display, og vil derfor have en markant mindre form-factor. Ryste-tokens vil nok skulle op i en størrelse sammenlignelig med det hidtil kendte papkort.
  5. Som skitseret, så er der ikke noget, som identificerer et rystetoken. Og dermed heller ikke noget, som forhindrer informationen i at lække fra den centrale part, som "hemmeligheden" er delt med. Herved kan ryste-tokens fuldt og helt impersoneres. Denne svaghed har U2F ikke, da den hemmelige nøgle aldrig forlader token (2)(3).
  6. By design er det muligt at dele U2F tokens uden at det kan ses af den anden part, at flere brugere hver for sig bruger samme token. Det giver mulighed for, at man i en forening eller et firma har et fælles token for alle autoriserede brugere, og fysisk kan beskytte adgangen til dette. En konsekvens af dette er også, at jeg ikke behøver flere tokens bare fordi, at jeg både er privatperson og har andre identiteter i erhvervs- eller foreningsregi ... og disse identiteter kan ikke på baggrund af det faktum at samme token benyttes, knyttes sammen.
  7. By design er det muligt at bruge samme U2F token overfor flere modparter, uden at de vil kunne sammenkæde dette. Det betyder, at jeg vil kunne bruge et Mitid-U2F-token som anden faktor til f.eks. Google o.lign. uden at være nervøs for at Mitid og Google "snakker" sammen bag min ryg (eller for at en tredje-part skulle formå at erhverve sig passende viden fra Mitid og Google).

Så for at opsummere: U2F har betydelig mere fleksibilitet, men er kun en anden faktor. Ryste-tokens kunne muligvis bringes til at være mere end en anden faktor, men der savnes umiddelbart en del ting.

Og så er der økonomien, som du også er inde på. U2F er åben og kendt teknologi, hvor er der flere eksisterende leverandører at vælge imellem. Man vil muligvis kunne få en form for mængde-rabat ved fællesindkøb, men det er nu også noget fornuftigt ved at lave flere leverandører at vælge imellem. Jeg er nu heller ikke sikker på, at selv 5-10 mio. er en ordrestørrelse, som ville kunne give betydende yderligere mængdefordele på producentsiden.

Ryste-tokens, ja, der er væsentlig mere teknologi i dem, så de vil aldrig kunne blive lige så billige, selv ikke hvis de nogensinde skulle blive fremstillet i samme mængder. Og vi vil stå meget noget unikt dansk. Udsagnet om, at økonomien omkring dem allerede er sådan, at et kamera kan komme med "nærmest gratis", virker på mig som samme form for ønsketænkning, som finansieringen af Trumps grænsemur.

Og som en afsluttende bemærkning, så lad mig lige understrege, at ingen af løsninger opfylder alle mine ønsker. F.eks. vil jeg ønske mig, at jeg kunne identificere mig over for en part uden at IdP erhvervede viden om det. F.eks. er der ingen grund til at Mitid ved at jeg identificerer mig overfor Foreningen til Havenissernes Bevarelse i Danmark - det er alene en sag imellem mig og FtHBiDk. Sådan noget vil muligvis kunne konstrueres med disse tokens som en del af konstruktionen, men disse tokens alene gør slet ikke, at jeg bliver glad for Mitid.

Ad. (1): Retfærdigvis, så bruger "ryste-tokens" også samme "uforståelige matematik" til at få den delte kopi af nøglen lagret centralt. Og det med uforståeligt må vist stå for afsenderens egen regning: jeg har implementeret både hash- og public key-algoritmer, og RSA kan man lave på papir, hvor hvert enkelt trins betydning er nemt forståeligt (for små værdier af input!), mens SHA-2 bare er en række seriøst mærkelig permutationer.
Ad. (2): Det er under U2F muligt at offloade den hemmelige nøgle, f.eks. til den anden part som del af key-id, eller til eksternt storage. Det forudsætter så, at den er wrapped på passende vis af en master key, som holdes hemmelig. Men der behøves kun en masterkey, så selvom der er rigtigt mange hemmelige nøgler i spil for et token, så er det kun masterkey den selv behøver at have lagringplads til.
Ad. (3): Jeg kan ikke lige gennemskue, hvordan man skulle implementere dette for rystetokens, uden at komme ud i noget "uforståeligt matematik", men fraværet af bevis er jo som bekendt ikke bevis på fravær, så jeg hører gerne om gode ideer.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017