Frygter du overvågning?

Om kort tid, det vil sige fra omkring juli måned, går virksomheden DanID i gang med at udskifte sikkerhedsløsningen til alle danske netbanker. Produktet hedder NemID og bliver også den fremtidige adgang til
at kommunikere sikkert og fortroligt med det offentlige. Med NemID bliver der også lagt op til en anderledes måde teknisk at håndtere krypteringsnøgler på.

Clipper Chip med bagdør

Nu skal også de private nøgler nemlig i en periode udelukkende opbevares i centrale nøglecentre og først senere med mulighed for at blive gemt på et smartcard.

Det har DanID meldt ud, og den første bølge af frygt for, at det medfører adgang til totalovervågning af danskernes internetkommunikation, har meldt sig. Men personligt mener jeg, det er big time paranoia.

Her er forklaringen, som starter for omkring 15 år siden. I starten af 1996 arbejdede jeg som journalist på fagbladet Ingeniøren. Jeg snakkede med en kilde, en dansk it-sikkerhedsekspert, som stort set uopfordret valgte at dele sin frygt med mig.

Hans bekymring gik ud på, at USA dengang lagde stort internationalt pres på andre landes regeringer for at kunne fortsætte sin meget restriktive eksportpolitik for effektiv krypteringsteknologi.

Men ydermere havde USA ifølge eksperten også stærke bestræbelser på at få skabt en international basis for at indbygge obligatoriske bagdøre i
krypteringsprodukter. Public Key Infrastructure (PKI), Key Escrow og Echelon var nogle af de involverede begreber, og Clipper Chip var navnet på en meget konkret bagdørsløsning, som de amerikanske myndigheder i 1993 havde udviklet og promoveret til blandt andre teleselskaber.

Telefonsamtalen blev starten til en fascinerende rejse for mig ind i en verden af teknologi og samfundsinteresser, som rummede efterretningsofficerer, EU-embedsmænd, borgerrettighedsforkæmpere, det danske it-sikkerhedsråd og krypteringseksperter.

Jeg interviewede en af de prominente og geniale fædre bag den moderne asymmetriske kryptering, Whitfield Diffie, og oplevede en gæstevisit af Mr. PGP, Phil Zimmermann, som trodsede amerikanske eksportforbud og leverede kryptering til menneskerettighedsorganisationer i diktaturstater.

Den afslørende embedsmand

En væsentlig indsigt bidrog en daværende embedsmand i EU-Kommissionen med.

David Herson, med en fortid i den britiske tophemmelige tjeneste GCHQ, havde følgende kommentar, da jeg under et OECDmøde i Paris spurgte ham, hvad han mente om, at den daværende krypteringsdebat fokuserede på balancen mellem privatlivets fred og hensynet til lov og orden (Law Enforcement):

' Law Enforcement is a protective shield for all the other governmental activities. You should use the right word ' we're talking about foreign intelligence, that's what we're talking about ' that?s what all this is about, konstaterede David Herson.

Det var altså hensynet til efterretningstjenesternes aflytningsønsker snarere end klassisk politiefterforsking, der ifølge Herson var drivkraften bag bagdørene. Den udtalelse gav international genklang. For den rummede en ufiltreret pointering af, at efterretningsinteresser også dengang krævede nem adgang til informationer.

Men den storstilede internationalt anlagte og USA-initierede snage-kampagne blev dengang manet i jorden af en uformel alliance af demokratibekymrede borgere, embedsmænd og politikere koblet med erhvervsverdenens forståelige ulyst til at blive udsat for industrispionage fra andre stater samt økonomisektorens forventelige insisteren på sikre systemer.

Den cocktail gætter jeg også på vil sikre vores infrastruktur i forbindelse med de kommende ændringer. At DanID har valgt at deponere nøglerne er ikke nødvendigvis en klog strategi.

Da jeg i sidste uge under en it-konference i Amsterdam tilfældigt mødte Gus Hosein, en digital borgerrettighedsforkæmper fra Privacy International, som i en årrække har fulgt udviklingen af krypteringsteknologier, var han nærmest himmelfalden over at NedIDs implementering og kaldte løsningen "ufattelig dum".

Men jeg sover roligt ved udsigten til NemID. Gør du?

/kurt

Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Jesper Lund

Selv om DanID ikke ligefrem reklamerer med det, er der to forskellige NemID løsninger

1) En bank udgave der kun har midlertidige nøgler (ren OTP løsning) 2) En OCES udgave med centrale nøgler der gør NemID til en ikke-kvalificeret digital signatur efter ITST's omskiftelige certifikatpolitik.

NemID til netbanken bliver obligatorisk i løbet af 2010, men det er helt frivilligt om man vil have et OCES certifikat tilknyttet. Uden OCES er NemID begrænset til brug i netbankerne. Man skal acceptere en lang række ekstrabetingelser for at få OCES delen med, herunder en noget ringere forbrugerbeskyttelse end der er gældende for netbank delen.

Min personlige damage control overfor NemID projektet bliver at sige NEJ til OCES delen (det daglige fix fra day-trading i netbanken kan jeg ikke undvære).

For det første vil jeg -- af princip -- under ingen omstændigheder have en digital signatur med centrale nøgler. Det skriger til himlen at det er forkert.

For det andet har jeg levet fint uden en digital signatur, og jeg kan ikke se hvad jeg skal bruge den til. Hvis SKAT gør alvor af truslen om at droppe deres TastSelv kode login, må jeg holde op med at være tasteabe for skattevæsenet og gå tilbage til den gode gamle papirløsning.

Hvis tilpas mange følger mit eksempel og siger nej-til-OCES, kan det være at SKAT kommer på andre tanker.

  • 0
  • 0
#2 Anonym

Kurt

Var det ikke for en gangs skyld en ide at droppe paranoia-perspektivet og i stedet for følge sporet omkring hvor meget mere vi skal betale i SKAT og hvor meget velfærd og velstand vi mister for at kompensere for den ineffektivisering som NemId uundgåeligt vil føre til?

De diskuterer en genopretnindspakke i Folketinget - hvem skal betale regningen for NemId? her tænker jeg ikke på småpengene i form af den direkte betaling til NemId, men det langt større beløb grundet følgeskader.

Hvem skal f-eks. betale regningen for at vi ikke kan bruge Cloud sammen med NemId fordi Finansministeriet glemte at tænke samfundshensyn før egeninteresser?

  • 0
  • 0
#5 Peter Warholm

Har man andre muligheder?

Er der Banker der ikke ventes at Bruge NemID? f.eks. de ren netbanker... ?

Hvis jeg nægter 'opgraderingen' af bankernes NemID login hvad sker der så? jeg skal vel have konto udtog på papir, regninger på Giro/Betalings kort m.m. ... dette bliver ikke billiger for banken ... (sikkert heller ikke for mig:-) )

Hvis jeg vil undgå alt dette her så er muligheden vel at trække alle betalinger hvor det er muligt ude af buget konto's automatik, hæve lønnen den første og betale kontant, med de restriktioner det giver.

eller hvad? :-)

Å&F Pete Warholm

  • 0
  • 0
Log ind eller Opret konto for at kommentere