Gæstebloggen

MitID – en markedsmæssig nyskabelse med muligt fødselshandikap

I løbet af 2020 starter danske virksomheder – de såkaldte tjenesteudbydere – på deres integration af MitID, efterfølgeren til NemID.

Med MitID følger introduktionen af obligatoriske mellemmænd, også kaldet brokers, og dermed åbnes for konkurrence på både pris og værdiforøgende tillægsydelser.

Potentielt dog med risiko for, at Nets i praksis vil kunne tage markedet for sig selv og spolere håbet om reel konkurrence.

Niels Flensted-Jensen er medstifter af og direktør for Criipto, som leverer 'e-ID as a service', som f.eks. dansk NemID eller svensk BankID. Niels har arbejdet de seneste 15 år inden for identity and access management. Illustration: Privatfoto

Hvordan kommer MitID til at fungere for brugerne?

Vi ved endnu ikke præcis, hvordan MitID kommer til at se ud og fungere. Men målet er at gøre brugeroplevelsen mere tidssvarende og fleksibel, så den kan tilpasses forskellige brugssituationer og sikkerhedskrav.

Med en brugervenlig MitID kan man f.eks. håbe, at mange flere web-butikker vil anvende det og dermed reducere antallet af svindelsager.

Ny national standard åbner markedet

De største nyskabelse i forbindelse med MitID drives i virkeligheden af den underliggende National Standard for Identiteters Sikringsniveauer, NSIS.

Kort fortalt fastlægger NSIS tre sikringsniveauer – lav, betydelig og høj – og hvordan disse vurderes gennem hele kæden fra udstedelse af MitID, løbende brug og arkivering.

Til denne brug skelner NSIS mellem selve processen med at etablere det såkaldte Elektroniske Identifikationsmiddel og den daglige brug til login hos tjenesteudbyderne.

Denne skelnen kan også anvendes på NemID, men i praksis har det ikke været interessant, da udstedelse og daglig brug blev foretaget af et og samme firma i en, udefra set, monolitisk løsning.

MitID udgøres jævnfør NSIS af to logiske komponenter, nemlig:

  • MitID-kernen som varetager udstedelse og sikring af selve det Elektronsike Identifikationsmiddel. Denne opgave løses centralt af Nets på vegne af et partnerskab mellem det offentlige og finanssektoren
  • MitID-brokere som vil fungere som de obligatoriske forhandlere og tekniske integrationspunkter mellem tjenesteudbyderne og Nets.

Denne adskillelse med udgangspunkt i NSIS etableres i håb om, at der vil opstå et brokermarkedet, hvor konkurrenceparametre ikke blot vil være pris (alle brokere skal afregne samme pris til kernen), men også et varierende udbud af værdigforøgende tillægsydelser som f.eks. signeringsportaler, rolle/rettighedsstyring, osv.

Tjenesteudbydere får det nemmere

Teknisk og kommercielt skal virksomhederne ikke længere samarbejde direkte med Nets, men i stedet med en MitID-forhandler, en såkaldt broker.

For virksomheder, der allerede i dag tilbyder NemID-login skal man også integrere MitID via en broker, som man selv vælger.

Den konkrete tekniske integration med brokere er ikke reguleret, og det står i princippet brokerne frit for at tilbyde forskellige integrationsmuligheder, som f.eks. NemLog-in’s nuværende understøttelse af SAML-protokollen.

I praksis kan man dog som minimum forvente OpenID Connect og med stor sandsynlighed også stadigvæk SAML.

Dette betyder, at det er slut med den proprietær Nets-software, den såkaldte tjenesteudbyderpakke. Med MitID skal man blot konfigurere en standardprotokol på sin valgte platform uden brug af specifik MitID-software.

Parametre for valg af broker kan være ting som driftsgarantier, sikkerhed, tillægsydelser og support (al support af tjenesteudbydere skal leveres af brokeren, support af borgerne leveres af Nets).

Fælles for alle kommende brokere er dog, at de har gennemgået en godkendelse og certificering for at få tilladelse til at integrere med og forhandle MitID.

MitID tilbyder ikke signering

Signering vil være en af de oplagte tillægsydelser der vil blive tilbudt af MitID-brokere, da MitID, i modsætning til NemID, ikke direkte kan bruges til at skrive under med. Dette vil åbne for mere skræddersyede brugeroplevelser uden de forholdsvis restriktive rammer der kendes fra NemID idag, bl.a. at man ikke kan underskrive PDF-filer.

Præcist hvad og hvordan vil først blive klart, efterhånden som de nye brokere bliver etableret i løbet af 2020.

Medarbejdersignaturer erstattes af Erhvervsidentiteter

Med NemID kan man som medarbejder, bestyrelsesformand i andelsforeningen, osv ende med en lang række NemID-nøglekort i skuffen, ét for hvert engagement.

Med MitID forsvinder disse og i stedet anvender man altid blot sin personlige MitID som til gengæld kan kobles til de relevante organisationer. Altså kun én MitID som bruges både hjemme og på arbejde.

Livscyklus af disse koblinger vil konceptuelt blive varetaget på samme måde som administrationen af medarbejdersignaturer i dag, men uden besværet med de mange forskelige nøglekort eller lignende.

Konkret kan man som minimum koble medarbejdere til virksomheder i den nye NemLog-in-service, men også dette er et sandsynligt område for tillægsydelser fra MitID-brokere.

Nets selv er MitID’s potentielle akilleshæl

MitID-brokerne vil være private aktører, der skal leve op til en række forholdsvis bekostelige tekniske og formelle krav med det formål at sikre tjenesteudbydere den bedste og mest sikre service.

Derfor bliver de to eksisterende aftaler med Nets også en reel hæmsko ved etableringen af samme broker-marked:

Den nuværende NemID-kontrakt, som gav Nets ejerskabet af NemID, inklusive de dertilhørende relationer til tjenesteudbyderne, samt den nye MitID-kontrakt.

Sidstnævnte blokerer tilsyneladende ikke for, at Nets selv kan etablere sig som broker og dermed udnytte, at de allerede har relationen til alle, der skal igennem skiftet til en broker.

Derved kan Nets – i modsætning til alle andre potentielle brokere – spare voldsomt på marketingbudgettet, og blot orientere kunderne direkte om hvordan de migrerer fra NemID til MitID via Nets’s egen broker.

Dette bør Digitaliseringsstyrelsen, FinansDanmark og de kommende brokere forholde sig kritisk til og om muligt forsøge at få greb om, så man undgår, at det kun er Nets der kan agere i brokermarkedet og vi dermed ender med et marked der i praksis ligner det nuværende monopollignende NemID-marked.

Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Claus Bruun

Interessant opsummering!

Når du skriver "MitID tilbyder ikke signering", mener du så ifm. mail eller vil man med MitID ikke kunne skrive under på fx. tinglysning.dk ?

Er der noget, der tyder på, at der er brokere, som kan/vil tilbyde en betalelig løsning til private, der svarer til den kvalificeret certifikat løsning, vi aldrig fik, så private kan lave end to end kryptering ?

Hvilke informationer bor inde i Nets HSM i den nye løsning ? - Så vidt jeg har forstået, er det HELE OCES certifikatet (eller hvad der svarer til), og selv i "høj sikkerhed" er det kun dekrypterings nøglen (måske OTP baseret) til den private nøgle, som bor i den Fido token, man vil kunne købe.

  • 1
  • 0
#2 Henrik Madsen

Hvilke informationer bor inde i Nets HSM i den nye løsning ? - Så vidt jeg har forstået, er det HELE OCES certifikatet (eller hvad der svarer til), og selv i "høj sikkerhed" er det kun dekrypterings nøglen (måske OTP baseret) til den private nøgle, som bor i den Fido token, man vil kunne købe.

Rigtigt relevant spørgsmål

Hvis "MitID på hardware" blot er en anden måde at lave SSO og man stadig ikke har fuld kontrol over hele eller dele af sin digitale signatur, så er systemet mindst lige så ubrugeligt som det gamle.

Jeg håber SERIØST at man tilbyder en ægte digital signatur løsning hvor JEG, uden tvivl har "noget" som gør at KUN jeg, kan signere digitalt og at ingen med onde hensigter kan udgive sig for at være mig, uden at de først får fat i det jeg har. (Hvilket er svært hvis det er en hardware dims som ikke er, eller kan forbindes til nettet eller en PC).

Nå ja og at de så laver dimsen så den virker med "alt" og ikke som idag hvor NemID på hardware ikke kan bruges til bank osv, og nøglegenerator kræver at man stadigvæk har papskiven som backup.

  • 0
  • 1
#5 Niels Flensted-Jensen

Vi ved faktisk ikke så meget om MitID-kernen på nuværende tidspunkt. Men hvad angår signering vil det være op til den enkelte broker at implementere det.

Dermed kan det ikke involvere et centralt lagret MitID-nøgle (det er kun Nets der har adgang til dem - hvis de findes - og der er jo ikke et API). Og de forskellige hardware devices de omtaler er alle blot varianter af 2-faktor login med OTP så vidt jeg kan se, så ingen lokal signering der heller.

Så indtil vi ved mere ser det ud til at der er to muligheder der begge trager udgangspunkt i et forudgående MitID-login: Straksudstedelse af et nøglepar som bruges til signering, eller blot en "vidnesignering" foretaget af broker'en.

  • 0
  • 0
#6 Christian Nobel

Jamen det er jo glimrende, vi er med andre ord ingen vegne nået, tvært om er det gået den forkerte vej siden starten af dette århundrede, hvor der faktisk eksisterede en digital signatur (ikke jordens bedste, men dog).

Og hvad i alverden skal vi med brookere og hvad har vi, når vi stadig ikke har en ægte (PKI) digital signatur med en statskontrolleret/autoriseret CA.

Verdens bedste til digitalisering - my bare ...

  • 4
  • 1
#7 Niels Flensted-Jensen

Jamen det er jo glimrende, vi er med andre ord ingen vegne nået, tvært om er det gået den forkerte vej siden starten af dette århundrede, hvor der faktisk eksisterede en digital signatur (ikke jordens bedste, men dog).

Ja det kan du jo ret i. I hvert fald har man med introduktionen af NemID valgt bekvemmelighed over den tekniske kontrol af egen privat nøgle.

Tror muligvis Stephan Engbergs Citizen First initiativ er mere i tråd med det du beskriver uden at jeg dog har sat mig ind i det.

  • 0
  • 0
#8 Christian Nobel

Tror muligvis Stephan Engbergs

Hvis man havde lyttet til Stephan for 15-20 år siden, og forstået hans budskab, så kunne vi måske have kandideret til at være verdens bedste til digitalisering.

Nu er vi bare verdens bedste til at underminere den personlige sikkerhed, i det hellige "nemt" dogmes navn, beklageligvis parret med en overvågning og kontrol som end ikke Orwell eller Huxley havde fantasi til at forestille sig.

  • 4
  • 0
#9 Henrik Madsen

Nu er vi bare verdens bedste til at underminere den personlige sikkerhed, i det hellige "nemt" dogmes navn, beklageligvis parret med en overvågning og kontrol som end ikke Orwell eller Huxley havde fantasi til at forestille sig.

Fuldstændig enig, Stephan var en stjerne på himlen dengang men ingen lyttede.

Ved vi forresten hvad der blev af ham, han var en meget krads modstander af den måde man implementerede NemID på, men lige pludselig forsvandt han tilsyneladende helt fra medierne og så videre.

  • 1
  • 0
#10 Christian Nobel

Ved vi forresten hvad der blev af ham, han var en meget krads modstander af den måde man implementerede NemID på, men lige pludselig forsvandt han tilsyneladende helt fra medierne og så videre.

Han lever i bedste velgående, jeg tror bare han blev træt af ævleriet i diverse bobblefora:

http://citizenkey.dk/

https://twitter.com/EngbrgDK

Det jeg godt kunne savne var at han var mere synlig i den offentlige debat, mere i form af gode indlæg i dagspressen og weekendavisen, samt selvfølgelig over for politikerne (men der er alt håb vist ude, bare se Hækkerups fortolkning af frihed).

  • 4
  • 0
#11 Henrik Madsen

Det jeg godt kunne savne var at han var mere synlig i den offentlige debat, mere i form af gode indlæg i dagspressen og weekendavisen, samt selvfølgelig over for politikerne (men der er alt håb vist ude, bare se Hækkerups fortolkning af frihed).

Helt enig.

Jeg forstår godt hvis han blev træt af at debattere dette offentligt på diverse fora, det er mit indtryk at de fleste som er glade for NemID kan deles op i 2 grupperinger.

  1. Dem som er ligeglade, bare det er nemt.
  2. Dem som tror det er smart, fordi de ikke FATTER en bjælde af hvad det er, der er problemstillingen. Denne gruppe er "jamen har du da noget at skjule" grupperingen.

Der findes også varianter som er både #1 og #2

Det ville dog som du også nævner, være rart hvis han var mere på banen i medierne, men det er så også mit indtryk at det er LANGT de færreste journalister som fatter problematikken og journalister plejer ikke at være for gode til at rapportere om ting de ikke fatter.

Man kan da håbe på at det her citizenkey han er med i, kunne munde ud i noget fornuftigt i forhold til MitID...Måske de pønser på at blive broker.

  • 1
  • 0
#12 Christian Nobel

Man kan da håbe på at det her citizenkey han er med i, kunne munde ud i noget fornuftigt i forhold til MitID...Måske de pønser på at blive broker.

Det er ikke til at vide.

Men ligegyldig hvor god en løsning Citizenkey (eller andre plastre-på-såret-løsninger) så bliver, så kan det ikke rette op på de helt fundamentale broken-by-design fejl som SkidtID også vil slæbe rundt på:

Det er ikke en digital signatur, og bliver det aldrig!

Det er stadig et stort statssanktioneret, af en udenlandsk kapitalfond kontrolleret, MiM angreb!

  • 1
  • 1
#13 Niels Flensted-Jensen

Henrik og Christian, jeg kan sagtens følge jer, I har jo ikke uret. Men I kommer nok ikke til at opleve at nogen faktisk giver jer ret.

Hele jeres holdning er at folk er for dumme. Det har I jo egentlig ret i, forstået som at de ikke forstår det tekniske på samme måde som I gør. Og det man gør når der er noget man ikke forstår (I må kunne finde paralleller fra jeres eget liv?) er at man finder nogen man kan stole, i det her tilfælde staten og "by extension" - Gud bedre det - Nets.

Det korte af det lange er at hvis I ikke bare vil side i netundertrøje og råbe af fjernsynet, kan I overveje at bringe jeres indsigt på en mere oplysende og overbevisende form i et bredere forum. ("Den der har evnen har pligten".)

Men det er svært. Poul Henning Kamps forsøg på at forklare politikerne at der skal oprettes en IT-havarikommision, er stadig ikke trængt igennem, og han er jo ellers ret veltalende og morsom.

  • 3
  • 1
#14 Henrik Madsen

Henrik og Christian, jeg kan sagtens følge jer, I har jo ikke uret. Men I kommer nok ikke til at opleve at nogen faktisk giver jer ret.

Problemet her, bliver at uanset hvor mange gange man så forsøger, nok så sagligt at forklare folk det så vil der være en overvældende majoritet af de folk der ikke hverkan KAN eller VIL kunne bringes til at forstå det.

Man bliver også hurtigt lidt træt af, overhovedet at forsøge, når standard reaktionen fra de folk som ikke kan eller vil fatte det, straks er at begynde at snakke om sølvpapirshatte eller at man da må have noget at skjule, hvis man er "bange" for at blive udsat for digital identitestyveri eller det der er værre.

Så længe vi ikke har nogen politikere som tager dette seriøst, ingen medier som dækker dette så seriøst og tilsyneladende et stort flertal af befolkningen er ligeglad med om deres digitale identitet ejes og styres af et amerikansk ejet firma og med hele gøjemøjet liggende på en server i Norge, så længe kan "vi få" der godt kan gennemskue problemstillingen og som forlanger et system som giver sikkerhed for at vores digitale signatur er i vores egne hænder, råbe og skrige, eller forsøge og forklare og forklare, uden at det får en skid betydning.

Det eneste som jeg reelt set KAN gøre, er at stritte imod så meget jeg nu kan og indtil videre er det da gået at leve uden NemID i en del år og selvom staten til stadighed mener at mere og mere skal klistres ind i NemID, så vil jeg holde stand indtil de får fikset deres lort så det overholder basale regler for digital signatur.

Det skal blive spændende næste år, når jeg igen skal til at selvangive på papir, det er ellers gået fint med tast-selv, men det skulle så også ødelægges. Men hey...Så må man jo bruge ressourcer på at nogen sidder i skat og taster mine tal ind manuelt nu hvor min revisor ikke længere kan gøre det via tast-selv.

  • 2
  • 1
#15 Christian Nobel

Hele jeres holdning er at folk er for dumme.

Nej, vores politikere er desværre nok for dumme.

Befolkningen er ikke nødvendigvis for dum, men har mange andre ting at beskæftige sig med (hvilket er meget forståeligt), hvorfor det er nemt for magthaverne bare at bilde dem noget ind - det skal jo bare det er nemt, nemt, nemt.

Det har I jo egentlig ret i, forstået som at de ikke forstår det tekniske på samme måde som I gør. Og det man gør når der er noget man ikke forstår (I må kunne finde paralleller fra jeres eget liv?) er at man finder nogen man kan stole, i det her tilfælde staten og "by extension" - Gud bedre det - Nets.

På en måde har du ret, lidt ala når folk automatvælger TDC eller hopper på MS galajen ud fra 50 billion flies devisen - men omvendt så synes jeg også du faktisk gør folk dummere end de er, for hvis man spiller med lukkede kort og udelukker folk med viden fra debatten, så ved folk jo ikke bedre.

Det korte af det lange er at hvis I ikke bare vil side i netundertrøje og råbe af fjernsynet, kan I overveje at bringe jeres indsigt på en mere oplysende og overbevisende form i et bredere forum. ("Den der har evnen har pligten".)

Hvis vi nu lige trækker Stephan frem igen, så har han være med til utallige høringer, bla, på Christiansborg, og han har været i fjernsynet, men ingen har ville lytte fra magthavers side, da man her har en vi-alene-vide tilgang (og så nogen gange nogle meget betænkelige kammeratlige forhold til overvågningskapitalisterne og storindustrien).

Og hvis jeg vil vide noget om et for mig ukendt ressortområde, ja så undersøger jeg f.eks. i et fagmedie hvordan tingene fungerer - hvad adskiller politikerne fra i det mindste at prøve at sætte sig ind i tingene, og evt. søge hjælp til det de ikke forstår.

I det spil er NIck Hækkerups groteske udtalelse om at mere overvågning = mere frihed jo et malende eksempel på at medlemmerne af incestmiljøet på Christiansborg intet aner om hvordan verden fungerer.

Men det er svært. Poul Henning Kamps forsøg på at forklare politikerne at der skal oprettes en IT-havarikommision, er stadig ikke trængt igennem, og han er jo ellers ret veltalende og morsom.

Man kan have delte meninger om hvorvidt man synes PHK er morsom, men han har været meget synlig i den offentlige debat, så hvis man ikke har hørt hans budskab om en IT-haverikommission, så er det fordi man ikke har villet høre - og det er da absolut heller ikke sikkert at det tjener vennernes interesse.

  • 1
  • 0
#16 Christian Nobel

Det skal blive spændende næste år, når jeg igen skal til at selvangive på papir, det er ellers gået fint med tast-selv, men det skulle så også ødelægges. Men hey...Så må man jo bruge ressourcer på at nogen sidder i skat og taster mine tal ind manuelt nu hvor min revisor ikke længere kan gøre det via tast-selv.

Apropos, hvordan kommer det til at foregå i praksis?

I realiteten har man hevet tæppet væk under 400.000 brugere - får man nu tilsendt en papirselvangivelse på samme måde som i gamle dage?

Eller man skal måske selv rekvirere den --- med NemID login ?

  • 0
  • 0
#17 Henrik Madsen

Apropos, hvordan kommer det til at foregå i praksis?

I realiteten har man hevet tæppet væk under 400.000 brugere - får man nu tilsendt en papirselvangivelse på samme måde som i gamle dage?

Eller man skal måske selv rekvirere den --- med NemID login ?

I praksis har jeg gennem alle årene fået min selvangivelse tilsendt i papirform da jeg er fritaget for digital post af gode grunde.

De eneste forskelle på 2020 og 2019 må derfor være at den papirversion jeg får tilsendt rent faktisk skal bruges i stedet for som hidtil hvor den har været kasseret fordi tallene var tastet ind på skat.dk med tastselv. Ja og så skal jeg jo nok forbi kommunen for lige af aflevere selvangivelsen, med mindre den da kan/skal sendes ind.

Jeg forestiller mig ikke at det tager min revisor længere tid at føre tallene fra mit regnskab ind i papirformularen end det tog at logge ind og taste dem ind på skat.dk

Den største forskel for mig er nok at jeg ikke "straks" kan se hvad jeg kan forvente at skulle efterbetale eller have tilbage, men må vente på det brev jeg også har modtaget i postkassen igennem alle årene, med de samme oplysninger om efterbetaling eller tilbagebetaling.

Så de eneste som egentligt bliver generet af det må være den stakkel ved skat som nu, skal sidde og taste tallene ind, frem for som før hvor revisoren gjorde det direkte og så måske den manuelle behandling som min selvangivelse skal igennem på kommunen når jeg afleverer den.

  • 0
  • 0
Log ind eller Opret konto for at kommentere