morten storm petersen bloghoved

Digital signatur i Norden – klarer Danmark sig godt?

I forlængelse af mine to seneste indlæg, næste generation af digital signatur og Digital signatur – fra chipkort til papkort satte jeg mig for at opfriske hvilke digitale signaturløsninger de nordiske lande egentlig har i dag?

I Finland genfandt jeg den helt traditionelle løsningsmodel, hvor man siden 1999 groft sagt har kunnet købe to store primtal på et chipkort på politistationen. Det bragte søde minder tilbage fra IT-sikkerhedskonferencer i halvfemserne, da teknologien bag digital signatur, Public Key Infrastructure (PKI), var højest på hype-kurven. Dengang kunne man få lov at holde indlæg om Alice, Bob og den onde Eve. Eve var hende, som ville aflytte (eavesdrop) samtalerne, altså sådan en slags NSA, bare fiktiv.

Denne type oplæg havde ofte en lille rundtur omkring det skønne i, at det er vanskeligt at faktorisere tal, som er et produkt af to meget store primtal. Vi med den matematiske baggrund, som holdt denne type oplæg, gik under det lidt overbærende tilnavn ”primtals-entusiasterne”.

Men det er jo snart 15 år siden, og det er nok gået op for de fleste af os, at stærke primtal ikke gør det alene, desværre!

Herunder resultatet af min rundtur i nordiske digitale signaturer, med forbehold for eventuelle misforståelser og fejltolkninger i denne korte ikke-videnskabelige gennemgang. Måske kan nogle af læserne udbygge billedet?

Sverige

Portalen www.e-legitimation.se er fælles indgang til mere end 200 tjenester, hvor der accepteres følgende tre e-ID leverandører:

Nordea e-legitimation. Tilbyder Software PKI-løsning eller traditionel chipkortløsning med kvalificeret certifikat. Nordea e-legitimation er gratis.

Telia e-legitimation. Tilbyder Software PKI-løsning eller traditionel smartcardløsning. Telia e-legitimation smartcard koster 495 SEK og en USB kortlæser koster 135,60 SEK.

BankID. Tilbyder software PKI-løsning eller traditionel chipkortløsning med kvalificeret certifikat. BankID smartcard koster 400 SEK, og kortlæser koster 100 SEK. BankID i software er gratis for brugeren. BankID anvendes af 4 mio. brugere og dækker angiveligt 75% af markedet i Sverige

BankID i Sverige har 250-300 mio. transaktioner årligt (2013), heraf ca. 20% offentlige transaktioner. Læs mere.

Finland

Finland har en national autentifikations- og betalingsgateway, kaldet Vetuma, baseret på SAML 2.0.

Den oprindelige finske digitale signatur løsning er borgerkortet. Det er et chipkort med kvalificeret certifikat udstedt via politiet. Prisen er 40 euro for et kort med 5 års gyldighed (uden kortlæser). I perioden 2004-2009 blev der udstedt ca. 200.000 kort.

Løsningen anvendes også til virksomheder, hvor ca. 60.000 har fået en organisationssignatur og på sundhedsområdet, hvor der er udstedt i størrelsesordnen 70.000 kort til sundhedsprofessionelle. Baggrundsmateriale.

Den mest anvendte autentifikationsløsning til digital forvaltning i Finland i dag er dog Tupas udbudt af bankerne, primært med en papirbaseret PIN-TAN. Teknisk minder løsningen om det Net-ID koncept, der blev udbudt af PBS i sin tid herhjemme. Brugere redirigeres fra en tjenesteudbyder til en netbank for at blive autentificeret der.

Norge

”ID porten” er fælles indgang til mere end 200 offentlige tjenester. Her er accepteret fire e-ID leverandører, som leverer indlogning på sikkerhedsniveau 3 (mellemhøjt) og 4 (højt). Sikkerhedsniveau 4 forudsættes for adgang til sundhedsoplysninger. ID porten.

De fire ID leverandører er:

MinID: Baseret på brugerID og password plus en engangskode enten fra kodebrev eller fra SMS. MinID er offentligt ejet og har 2,7 mio. brugere pr. januar 2012. MinID står angiveligt for 70% af trafikken mod de offentlige tjenester bag ID porten. I 2011 udgjorde MinID trafikken 24 mio. transaktioner på mellemhøjt sikkerhedsniveau. MinID baggrundsinformation.

BankID: Baseret på brugerID og password plus engangskode genereret af device anvist af borgerens bank. Med disse autoriseres en centralt opbevaret privat RSA nøgle, som genererer en teknisk signatur, i stil med NemID med nøglekort herhjemme. BankID er ejet af norske banker og har godt 2,9 mio. brugere, heraf 243.000 med mobilløsning. BankID understøttes på 263 tjenesteudbydere og har omkring 300 mio. transaktioner om året, som understøttes på højt sikkerhedsniveau . bankid.no

Buypass: Baseret på en software PKI-løsning eller traditionel smartcardløsning med kvalificeret certifikat. Buypass har sin styrke indenfor den norske tipstjeneste med 2,2 mio. brugere. BayPass smartcard koster 479 NOK inkl. USB kortlæser. Understøtter mellemhøjt og højt sikkerhedsniveau.

Commfides: Baseret på en software PKI-løsning eller traditionel chipkort/USB løsning med kvalificeret certifikat. Kommerciel tjeneste og smartcard med certifikat koster 1.180 NOK for tre år. Understøtter mellemhøjt og højt sikkerhedsniveau.

Danmark

De offentlige digitaliseringstjenester anvender primært NemLog-In SSO portalen, som understøtter NemID login.

NemID leveres af Nets DanID på fællesoffentlig kontrakt. På borgerområdet er den primære mekanisme autentifikation op imod centralt opbevaret privat RSA nøgle med brugernavn og password samt engangskode leveret på papir eller nøgleviser. Borgere kan også tilkøbe NemID på hardware, hvor den private nøgle genereres og opbevares på en USB med crypto chip. Derudover tilbydes medarbejder-, virksomheds- og funktionssignatur leveret primært som software PKI-løsninger, dog kan medarbejdersignaturen også fås med central opbevaring.

NemID anvendes af 3,9 mio. borgere, og der er ca. 8 mio. offentlige transaktioner om måneden. De offentlige transaktioner udgør godt 20% af den samlede trafik og andelen er stigende. Statistik.

Så hvad kan man udlede af det?

Som illustreret har de fire nordiske lande, som ellers kulturelt minder om hinanden, valgt vidt forskellige tilgange til digital signatur og digital forvaltning. Løsningstyperne omfatter software PKI, Smartcard PKI, Centralt opbevaret PKI og autentifikationsløsninger baseret på engangskoder.

Alle lande har indført en central logon portal i stil med vores NemLog-In. I Sverige, Norge og Finland gør sådan en portal det enklere at understøtte et bredere sortiment af signaturløsninger på tværs af tjenester i en art ”interoperabilitet via portaler” - strategi. I Danmark er det primært single sign on funktionaliteten som ønskes af NemLog-In.

De centrale logon portaler udgør en ny sikkerhedsrisiko i forhold til DOS og direkte angreb, da de optræder som betroede tredjeparter i infrastrukturen, på linje med udbyderne af signaturløsninger. Og dette endda typisk uden at være underlagt samme ansvarsforhold, erstatningspligt og tilsyn som udbyderne af signaturløsningerne er. Hvis en hacker sidder på sådan en central logon portal, er det ret lige meget, hvor sikker en signaturløsning borgeren har.

Norge ser ud til at være længst med at arbejde med forskellige sikkerhedsniveauer, med de overvejelser dette giver for tjenesteudbydere og brugere.

Fælles for udviklingen i de forskellige lande er, at det har været vanskeligt at finde en kommerciel bæredygtig model de sidste tyve år, så mange private aktører har undervejs tabt store investeringer, og har forladt området i dag.

Skulle man vove et polemisk øje for at starte en debat (det plejer jo ellers ikke at være nødvendigt i dette forum), vil jeg mene, at når man måler på udbredelse og anvendelse af digital signatur i offentlige tjenester, så fører Danmark efter første halvleg. Samtidig er udbredelsen herhjemme indenfor de private tjenester også god, sådan at brugerne efterhånden oplever at kunne bruge deres signatur alle de steder de ønsker, hvilket øger nytteværdien. Dette giver en god basis for den fremtidige udvikling herhjemme.

De mange forskellige tekniske løsninger i de nordiske lande viser desværre ikke en oplagt vej fremad på sikkerhedsområdet. Der er forskellige svagheder knyttet til de forskellige typer af løsninger, og ikke nogen oplagt stærkeste model. Men undervejs i udviklingen har primtalsentusiasterne heldigvis fået selskab af andre gode IT-sikkerhedskræfter, som skal hjælpe med at holde hackerne på sidelinjen, for det sikrer stærke primtal desværre ikke alene.

Kommentarer (43)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Andreas Bach Aaen

Det ser virkeligt ud til at forretningsmodellen med at man skal tjene pr. transaktion har været medvirkende til de mange skæverter sikkerhedsdesignene for mange af løsningerne i de nordiske lande.

Hvad ser vejen ud, hvis vi skal væk fra de centrale login-portaler?

Måske distribuerede løsninger, hvor der ikke centralt kan holdes øje med ( eller afregnes efter) antallet af transaktioner, da borgerne kan kommunikere direkte med hinanden eller med virksomheder?
Måske med distribuerede lister af invaliderede nøgler?

Kunne du give et par eksempler på hvad du mener med det inforståede: "og det er nok gået op for de fleste af os, at stærke primtal ikke gør det alene, desværre!" ?

Et det, at staten ikke stoler nok på borgerne til at de kan opbevare den private nøgle selv?
Altså holdningen at sikkerhed er noget staten bør gøre på vegne af borgerne, da de ikke er i stand til det selv?

  • 4
  • 0
Morten Storm Petersen

Hej Andreas.
Tanken bag kommentarer var blot, at selvom RSA algoritmerne i sig selv er sikre, er der mange angrebspunkter i de forskellige løsningsmodeller. I software PKI og chipkort er det især sårbarheder på den lokale computer, i centrale modeller er det især man in the middle og DOS.

Jeg mener at staten (og andre aktører der tilbyder digitale tjenester) kun kan give de enkelte borgere et ansvar, som disse realistisk kan leve op til. Og iøvrigt være pædagogisk med at informere borgerne om dette.

Jeg tror egentlig ikke, at der realistisk set er nogen vej udenom de centrale logon portaler. Men sikkerheden og tilsynet omkring dem bør være på niveau med det, der kræves af udbydere af digitale signaturløsninger, hvis de ikke skal blive de svageste led i kæden.

  • 5
  • 2
Christian Nobel

Jeg forbinder digital signatur med det at jeg kan kryptere en mail (som transporteres som almindelig, allerede opfundet email) med min private nøgle, og så kan jeg sende den til en anden som kan dekryptere mailen med min offentlige nøgle - og den modpart kan for så vidt være hvem som helst.

Det eneste lille Danmark kan præstere er en SSO løsning, det har altså imo ikke meget med digital signatur at gøre.

Så taler vi digital signatur, så fejler Danmark fælt (og så er der lige alt det der med et single-point-of-failure, en privat gatekeeper, mim risikoen, den manglende kontrol over egen nøgle, osv, osv)!

Og hvorfor skulle der ikke være nogen vej uden om de centrale logon-portaler - det er ligesom nogen har lidt svært ved at forstå at der er faktisk andet her i landet end staten, selv om staten selvfølgelig gør hvad den kan for at skræmme firmaer og talent ud af landet.

  • 8
  • 7
Jesper Lund

Jeg tror egentlig ikke, at der realistisk set er nogen vej udenom de centrale logon portaler.

Hvorfor er du så begejstret for disse MiTM portaler?

Vi laver en PKI-baseret digital signatur (specielt hvis folk valgte NemID på hardware), som kan bruges til at signere og kryptere email. Derefter dropper vi stort set ideen om at sende emails, og tvinger borgere og virksomheder ind i et webmail koncept, hvor vi er nødt til at stole på en central server administreret af et amerikansk-ejet IT firma. Jeg kan ikke kontrollere hvem afsenderen af et brev i "min" e-Boks er ("min" fordi det ikke er min e-Boks), og jeg kan ikke checke om dokumentet er blevet ændret mellem afsender og modtager.

NemLogin er et MiTM angreb som over for en server giver sig ud for at være mig. Det er meget fint at jeg kan udtrykke min utilfredshed ved de centralt opbevarede private nøgler i NemID ved at smide 300 kr efter NemID på hardware. Men NemLogin kan jeg ikke undgå, og NemID på hardware kan ikke bruges ret mange andre steder. Man kan selvfølgelig mene at et MiTM angreb er bedre end to, men den er lidt søgt.

  • 4
  • 1
Morten Storm Petersen

@Christian: Herhjemme blev NemLog-In bla. indført for at muliggøre borger.dk og adgangen herfra til andre sites, uden at brugeren skulle logge på igen. Men siden er den cementeret igennem eDag3 som strategisk og det offentlige kræver at borgerrettede løsninger understøtter den. Dette har handlet om convenience og ikke om sikkerhed, som jeg ser det. Når vi kigger mod understøttelse af udenlandske signaturer i fremtiden, vil det blive endnu mere nødvendigt med disse mellemhandlere og hele federation området peger jo også den vej.
@Jesper: Jeg mener at slutbrugerne har "stemt med fødderne" i forhold til at foretrække webmail fremfor mailklienter. Dette har staten så lagt sig i slipstrømmen af. Sikkerhedsmæssigt er S/Mime fra mailklienten stærkere, men også sværere at anvende for mange almindelige brugere. Der er forøvrigt en softwarepakke til NemID nøglekort som gør det muligt at lave S/Mime direkte fra en lokal mailklient, men den er ikke ret anvendt eller kendt.

  • 4
  • 3
Christian Nobel

@Christian: Herhjemme blev NemLog-In bla. indført for at muliggøre borger.dk og adgangen herfra til andre sites, uden at brugeren skulle logge på igen. Men siden er den cementeret igennem eDag3 som strategisk og det offentlige kræver at borgerrettede løsninger understøtter den. Dette har handlet om convenience og ikke om sikkerhed, som jeg ser det. Når vi kigger mod understøttelse af udenlandske signaturer i fremtiden, vil det blive endnu mere nødvendigt med disse mellemhandlere og hele federation området peger jo også den vej.

Hvad er det egentlig du vil sige, og forventer du i virkeligheden ikke noget svar når du laver sådan et blog indlæg som du har lavet, eller forventer du bare at vi klapper i vores små hænder og siger, ih hvor går det godt?

Du kan vende og dreje den på en milliard måder, men faktum er at vi har ikke nogen digital signatur i Danmark - punktum.

Og at sætte convenience over sikkerhed er imo direkte dumt - jeg kan også hoppe i seng med en luder på Haiti, og det er da nemmere at undlade gummiet, men det er denundelyneme dumt.

Så det vi står tilbage med er en kummerlig (og stinkedyr) SSO løsning til det offentlige, og en fantastisk gateway for NSA og andre suspekte - men som Helle siger, vi blir sgu glade for det i længden.

Og så smøg du dig fint uden om problematikken om at der også kan være et behov for at at signere borger til borger, borger til privat firma, og firmaer i mellem - alt dette ville være muligt hvis vi havde en rigtig digital signatur, og ikke en offentlig pendant til Facebook.

For tænk, selv om centralmagten gør hvad den kan for at umyndiggøre borgere og firmaer, så har disse altså stadig et behov for at kunne kommunikere, det drejer sig altså ikke kun om kommunikation til Engsoc!

@Jesper: Jeg mener at slutbrugerne har "stemt med fødderne" i forhold til at foretrække webmail fremfor mailklienter.

Åhhh, 50 billion flies argumentet - og så kan vi ellers parkere hjernen et andet sted.
Eller vi har måske bare gang i noget Erasmus Montanus logik - skæbnens ironi at dette skulle ske i Holbergs hjemland.

Dette har staten så lagt sig i slipstrømmen af. Sikkerhedsmæssigt er S/Mime fra mailklienten stærkere, men også sværere at anvende for mange almindelige brugere.

Og igen, drejer kommunikation sig kun med hvad Engsoc vil sende af dekreter til Winston og Julia, eller har det måske foresvævet dig at andre også kunne have gavn af sikker kommunikation?

Der er forøvrigt en softwarepakke til NemID nøglekort som gør det muligt at lave S/Mime direkte fra en lokal mailklient, men den er ikke ret anvendt eller kendt.

Aha, fortæl fortæl - er det så til alle platforme, og hvem har kontrollen over den private nøgle?

  • 4
  • 5
Rasmus Faber-Espensen

Aha, fortæl fortæl - er det så til alle platforme, og hvem har kontrollen over den private nøgle?

NemID Sikker Email

Der understøttes Windows, Linux og OSX med Outlook eller Thunderbird. I praksis leveres der et Windows CryptoAPI-modul og et PKCS#11-modul, så det vil virke i langt de fleste programmer, der understøtter kryptografiske moduler.

Den private nøgle befinder sig fortsat hos DanID. Pakken giver blot adgang til at lave RSA operationerne med den private nøgle gennem et standard interface i stedet for gennem appletten.

  • 2
  • 2
Helge Svendsen

Den private nøgle befinder sig fortsat hos DanID. Pakken giver blot adgang til at lave RSA operationerne med den private nøgle gennem et standard interface i stedet for gennem appletten.

Ikke for hardware (person/erhverv) og nøglefils løsningen (erhverv). Der har du selv nøglen, og ingen privat nøgle ligger hos Nets. Den ligger i pkcs11 modulet, henholdsvis på crypto token og i nøglefilen (som den gamle digitale signatur).

  • 1
  • 0
Rasmus Faber-Espensen

Sidst jeg undersøgte det, var det til Ubuntu, og i øvrigt til en version af Thunderbird der har haft end of life!

Så vidt jeg husker supporteres der den nyeste version af Ubuntu med den nyeste version af Thunderbird. Men det burde virke med langt de fleste distributioner og de fleste versioner af Thunderbird. Vejledningen er til gengæld rigtigt nok til en gammel version af Thunderbird, men der er vist ikke lavet meget om der.

  • 0
  • 0
Christian Nobel

Ikke for hardware (person/erhverv) og nøglefils løsningen (erhverv). Der har du selv nøglen, og ingen privat nøgle ligger hos Nets. Den ligger i pkcs11 modulet, henholdsvis på crypto token og i nøglefilen (som den gamle digitale signatur).

Skal det så forstås sådan at jeg kan signere en mail vha. NemID cryptotoken, sende den til dig, og du så kva min offentlige nøgle vil være i stand til at verificere at mailen er fra mig?

Vel at mærke udelukkende ud fra jeg sender mailen direkte til dig og ikke blander Nets ind i det, den eneste kontakt til Nets er når du henter min offentlige nøgle.

Og så i øvrigt undrer Mortens udgangspunkt mig såre, for hvis jeg trækker frem hvad Niels Didriksen skrev i en tidligere debat med Morten, så virker det som om at Morten ikke vil lytte:

"Jeg håber derfor, at du ikke, som så mange andre der er tæt på udviklingen af systemerne, vælger at danse blindt og døvt omkring den 18 tons store lyserøde elefant med rotorblink på hovedet, der står midt i dagligstuen.

Eller sagt på en anden måde; hvis du vælger at forholde dig passivt/ukonstruktivt eller slet ikke forholde dig til de fatale og grundlæggende designfejl og problemer i NemID, så er din blog (ked af at sige det) fuldstændig ligegyldig, og du burde derfor spare dit krudt til når nets mangler inspiration til selvforherligende pressemeddelelser."

Endvidere fandt jeg lige dette som blev fremført på IT-arkitekturkonferencen
den 1. april 2009:

"Den digitale signatur er et tilbud til borgere og virksomheder – der kræves særskilt lovhjemmel, hvis anvendelsen gøres obligatorisk inden for specifikke områder."

Og den lovhjemmel der refereres til er aldrig kommet, men alligevel er man ved at gøre anvendelsen obligatorisk.

  • 4
  • 4
Christian Nobel

Ja sådan fungerer S/Mime fra cryptotoken.

Jeg spurgte om jeg kunne i praksis, uden at Nets fungerer som andet end CA - jeg spurgte ikke efter en teoretisk betragtning.

Jeg lytter generelt meget, men formålet med bloggen er ikke, at alle bliver enige, men at flere forhåbentlig ser mere af forhistorien på området.

Og alligevel så bliver du ved med at trampe rundt som elefanten, for at bruge Niels' billede - og du forholder dig stadig ikke til privat-privat problematikken.

Så lad mig lige ridse op:

Hele digitaliseringen i Danmark, herunder den såkaldte digitale signatur er slået helt, helt fejl, da man har taget udgangspunkt i en proprietær løsning, hvor mantraet er "nem" i stedet for sikkerhed.

Dermed står vi nu med en SSO løsning til det offentlige, bygget over en model hvor en central (privat) aktør er gatekeeper for hele landet, og hvor borgeren ikke har kontrol over egen nøgle.
Endvidere er der kun et sikkerhedsniveau, svarende til at jeg skulle bruge samme nøgle til hønsehuset, huset, bilen og bankboksen, jeg kan ikke lave afledte nøgler, og jeg kan ikke lave fuldmagter, svarende til at hvis min nabo skulle låne min plæneklipper mens jeg er på ferie, ja så ville han også have fri adgang til min bankboks!

I det hele taget er leddet privat - privat (virksomhed, borger) helt ladt ude af ligningen, til trods for at der foregår mere kommunikation der, end privat - offentlig.

Så med det-skal-være-nemt mantraet har man i løbet af få år malet sig op i en krog det vil tage årtier at komme ud af igen, og samtidig har man lullet borgene ind i en helt forkert og afslappet holdning til sikkerhed - det skal ikke nødvendigvis være nemt, sikkerheden skal står først, og så må man ellers implementere løsninger der fungerer.
Det virker som om at "nogen" har opdaget internettet, og så skal det ellers bare bruges uden at tænke sikkerhed ind fra dag et.

Det er helt fejlslagent, og den tvungne digitalisering der pågår, i stedet for at lokke med attraktive tilbud, parret med en uheldig sengealliance med bankerne, er med til at Danmark i den grad mister talent, arbejdspladser og konkurrenceevne - se nu bare det seneste "initiativ" med post mellem det offentlige og firmaer, hvor firmaer skal tvinges til at bruge en central (NSA overvåget - fint, så kan de også sætte industrispionage i system) webbaseret mailløsning, som giver en masse bøvl og omkostninger for firmaerne, i stedet for at benytte det allerede opfundne email.

I det hele taget, så betyder det offentliges opbygning af en firewall omkring sig selv, at afstanden mellem centralmagten og de borgere og virksomheder, som de i virkeligheden er sat i verden for at servicere, ikke omvendt, bliver større og større, og de administrative omkostninger som der dermed læsses over på virksomheder og borgere er mangefold større en de teoretiske Villyarder det offentlige sparer.

Så nej, Danmark klarer sig rigtig, rigtig dårligt.

  • 4
  • 4
Rasmus Faber-Espensen

Skal det så forstås sådan at jeg kan signere en mail vha. NemID cryptotoken, sende den til dig, og du så kva min offentlige nøgle vil være i stand til at verificere at mailen er fra mig?

Vel at mærke udelukkende ud fra jeg sender mailen direkte til dig og ikke blander Nets ind i det, den eneste kontakt til Nets er når du henter min offentlige nøgle.

Ja. Hvis du sender en mail ved hjælp af "NemID Sikker Email" bliver der genereret en S/MIME besked, der indeholder beskeden, en RSA digital signatur og dit OCES-certifikat. RSA signaturen er genereret af den private nøgle, der ligger i DanIDs server.

Modtageren kan validere at du er afsender ved at validere signaturen og certifikat-kæden. Et led i det er at checke om certifikatet er spærret, hvilket kræver et opslag i DanIDs spærreliste. Udover det er DanID ikke involveret i valideringen.

Modtageren skal naturligvis stole på DanID, men man skal jo også stole på CA'en i en "klassisk" PKI.

  • 0
  • 0
Peter Makholm Blogger

Som jeg kan se har du målt på to parametre:

  • Valgfrihed af løsning

  • Udbredelse af både de enkelte løsninger og samlet udbredelse.

Det der slår mig er at samtlige løsninger, bortset fra den danske, tilsyneladende giver brugeren et mål af valgfrihed. I Danmark består "valgfriheden" hovedsagligt af om man vil have adgang til det offentlige eller kan nøjes med sin primære bank.

På den led er Danmark absolut bagerst i feltet.

Dine tal for udbredelse er meget svære at sammenligne. Det kunne være mere interessant at opgøre hvor stor del af den voksne befolkning der samlet set login-tjenesterne i de enkelte llande.

I Danmark er NemID aggressvit mast ned i halsen på befolkningen med trusler om at få frataget adgang til offentlig service. Hvordan har de andre lande opnået deres udbredelse?

På denne led mener jeg nærmest at Danamark har diskvalificeret sig selv.

  • 7
  • 1
Christian Nobel

Han skriver om TOTP (nøglekort). Jeg skriver om Hardware (borger/erhverv) og nøglefils løsningen. Du er stadigvæk nødt til at prøve at sætte dig lidt ind i de ting du kritiserer Christian. Så ja, epic fail.

Så du siger dermed, at hvis jeg erhverver mig en cryptotoken, så har jeg, og kun jeg den fulde magt over min private nøgle, og på den måde kan jeg signere en mail (i eksempelvis Thunderbird), sende direkte til dig, og det eneste du skal foretage dig for at se at det er korrekt signeret er at dekryptere min signatur med min offentlige nøgle som du henter hos DanID?

Hvis det er tilfældet, så må du gerne sende mig et link til hvorledes jeg erhverver mig sådan en løsning - og vel at mærke uden jeg lige skal logge ind med NemID først!

  • 3
  • 3
Peter Lind Damkjær

Så du siger dermed, at hvis jeg erhverver mig en cryptotoken, så har jeg, og kun jeg den fulde magt over min private nøgle, og på den måde kan jeg signere en mail (i eksempelvis Thunderbird), sende direkte til dig, og det eneste du skal foretage dig for at se at det er korrekt signeret er at dekryptere min signatur med min offentlige nøgle som du henter hos DanID?

Hvis du erhverver dig "NemID på hardware", genereres og gemmes din private nøgle på dit cryptotoken.

Hvis du anvender S/MIME behøver modtageren normalt ikke at hente den offentlige nøgle hos Nets DanID, da din mailklient typisk sender certifikatet (og dermed den offentlige nøgle) med i emailen.

Hvis det er tilfældet, så må du gerne sende mig et link til hvorledes jeg erhverver mig sådan en løsning - og vel at mærke uden jeg lige skal logge ind med NemID først!

https://www.nemid.nu/dk-da/privat/nemid_paa_hardware/

  • 5
  • 1
Claus Bruun

@Peter Lind

Nu vi er ved at afdække hardwareløsningen:

Jeg har i nogen tid overvejet at investere I løsningen, men det har ikke været mig muligt at finde ud af, hvor den kan bruges ? Findes der en liste over, hvem der supporter den på lige fod med den normale OCES ?

Jeg er naturligvis interesseret i, at den virker de "almindelige steder", som borger.dk, sundhed.dk, skat.dk, eboks.dk osv...

Jeg er klar over at bankerne bruger papkortet.

  • 2
  • 0
Helge Svendsen

Jeg har i nogen tid overvejet at investere I løsningen, men det har ikke været mig muligt at finde ud af, hvor den kan bruges ? Findes der en liste over, hvem der supporter den på lige fod med den normale OCES ?

Se det er til gengæld et rigtigt godt indspark i debatten.

Jeg forsøgte mig med poces på hw på PostDanmark, men der er der kun TOTP papkort login. Det er et stort problem.

Hvis man så har udstedt sit Poces til hw, hvordan logger man så lige ind der? Ens Papkort (TOTP) er jo kun kort tids. Dvs. til bankerne.

Det skal dog sige at nemlogin, det fælles offentlige login, virker fint med hw.

  • 1
  • 2
Andreas Bach Aaen

Jeg har investeret i "NemID på hardware".
Jeg kan hermed stadig ikke logge ind på min pensionskasse (AP Pension), min A-kasse (MA), hos Telia, hos dba.dk, ...

Så det er stadig en kamp uden lige at slippe for OCES. Så Danmark er bagud på point mht. valgfriheden. Det virker klart som at DanID bestemt ikke har travlt med at give de private udbydere support form "NemID på hardware" med i posen.

  • 1
  • 0
Helge Svendsen

Ingen skam rosning.

Men at du ikke kan logge ind hos forskellige service udbydere med een af løsningerne er IKKE Nets DanIDs ansvar. Det er dem der står bag den aktuelle tjeneste du skal have fat på. Eks. er det langt ude, at beskylde nets for, at hw løsningen ikke virker på PostDKs hjemmeside. Det var nok bedre at spørge PostDK, hvorfor det forholder sig sådan.

Jeg prøver bare at påpege at din kritik er faktuel forkert og blander en hel del forskellige ting sammen i en pærevælling. Du evner ikke at læse op på dokumentationen af de ting du kritiserer og læner dig op ad diverse pseudo argumenter.

I det hele taget et ret godt eksempel på, hvad der er galt med debatten ang. nationale digitale signaturer.

Dertil kommer at du måske burde justere din debatform, den er ikke befordrene for en saglig debat, og hører mest hjemme på Nationen.

  • 3
  • 4
Christian Nobel

Hvis du anvender S/MIME behøver modtageren normalt ikke at hente den offentlige nøgle hos Nets DanID, da din mailklient typisk sender certifikatet (og dermed den offentlige nøgle) med i emailen.

Den må du meget gerne lige skære ud i pap for mig.

For hvis jeg bruger min private nøgle til at signere en mail, og samtidig sender min offentlige nøgle sammen med mailen, hvordan skal modtager så vide at det ikke er noget jeg selv har fundet på, da han jo på den måde ikke verificerer min signatur vha. den offentlige nøgle der skal ligge hos CA?

Som jeg forstår S/MIME så fordrer det at jeg først har modtaget modpartens certifikat før jeg kan sende en mail på den måde du beskriver - det er så også fint nok der hvor man allerede har etableret et forhold til modparten, men det kan man jo som privat ligeså godt gøre vha. f.eks. PGP, så ingen grund til at rode DanID ind i det.

  • 3
  • 3
Rasmus Faber-Espensen

Den må du meget gerne lige skære ud i pap for mig.

For hvis jeg bruger min private nøgle til at signere en mail, og samtidig sender min offentlige nøgle sammen med mailen, hvordan skal modtager så vide at det ikke er noget jeg selv har fundet på, da han jo på den måde ikke verificerer min signatur vha. den offentlige nøgle der skal ligge hos CA?

Din offentlige nøgle ligger i certifikatet sammen med bl.a. dit navn og din email-adresse. Den klump bliver så underskrevet med CAens private nøgle og signaturen lagt ned i certifikatet. Hvis jeg nu er i besiddelse af CAens offentlige nøgle kan jeg ved at verificere signaturen i certifikatet få bekræftet at den offentlige nøgle må tilhøre dig (eller i hvert fald at CAen har attesteret dette).

  • 4
  • 0
Christian Nobel

Din offentlige nøgle ligger i certifikatet sammen med bl.a. dit navn og din email-adresse. Den klump bliver så underskrevet med CAens private nøgle og signaturen lagt ned i certifikatet. Hvis jeg nu er i besiddelse af CAens offentlige nøgle kan jeg ved at verificere signaturen i certifikatet få bekræftet at den offentlige nøgle må tilhøre dig (eller i hvert fald at CAen har attesteret dette).

Ja, men prøv så lige at læse en gang til hvad Peter skriver, for der siger han eksplicit at CA ikke skal kontaktes for at få den offentlige nøgle, men at den leveres med i mailen - og det giver altså ingen mening imo, for så kan jeg jo bare selv signere lige så tosset det kan være, det beviser intet andet end hvad jeg så selv påstår.

Så enten skal DanID være CA på traditionel vis, eller også hvis vi taler S/MIME så skal jeg have aftalt spillets regler på forhånd med modtager.

  • 1
  • 2
Rasmus Faber-Espensen

Ja, men prøv så lige at læse en gang til hvad Peter skriver, for der siger han eksplicit at CA ikke skal kontaktes for at få den offentlige nøgle, men at den leveres med i mailen - og det giver altså ingen mening imo, for så kan jeg jo bare selv signere lige så tosset det kan være, det beviser intet andet end hvad jeg så selv påstår.

Så enten skal DanID være CA på traditionel vis, eller også hvis vi taler S/MIME så skal jeg have aftalt spillets regler på forhånd med modtager.

Det er også korrekt. Mailen indeholder beskeden, en digital signatur, dit certifikat og et antal CA-certifikater.

Modtageren antages så at have et såkaldt rod-certifikat, som han stoler på.

Modtageren verificerer så:
* at den digitale signatur på meddelelsen er korrekt.
* at informationen i certifikatet matcher afsenderen af emailen.
* at signaturen på dit certifikat er korrekt (hertil bruger han informationen i CA-certifikatet) og at det er korrekt udstedt.
* at dit certifikat ikke er spærret.

Herefter fortsætter han processen med at verificere at CA-certifikatet er korrekt udstedt af den overliggende CA og således fortsætter han indtil han når op til en CA, som han stoler på (f.eks. Verisign).

Den process kræver ikke kontakt med CAen udover spærreliste-checket.

Så enten skal DanID være CA på traditionel vis [...]

Det er DanID også. Udover at opbevare den private nøgle i nøglekortløsningen agerer de også CA ved at udstede OCES-certifikater. Funktionen som OCES-CA deles blandt alle løsningerne.

  • 3
  • 0
Morten Storm Petersen

Beklager lidt sent svar fra mig her. Det jeg skrev i bloggen var egentlig: "når man måler på udbredelse og anvendelse af digital signatur i offentlige tjenester". Og målt på disse parametre mener jeg, at Danmark har et godt udgangspunkt for den videre udvikling. Som gennemgangen af status i de nordiske lande viser, er der ikke en oplagt bedste model, som alle andre følger.

  • 1
  • 0
Log ind eller Opret konto for at kommentere