per andersen bloghoved

NemID - drop nu klynkeriet!

Danmark er en nation af brokkere ? og det har ramt NemID godt støttet af hadekampagner i visse medier. Men den er faktisk en markant bedrift.

Ja, ja, jeg var da også helst fri for papstykket, men come-on, kan man virkelig blive forbavset over, at man med en digital signatur faktisk prioriterer sikkerheden? Kan I huske da TDC rullede deres digitale signatur ud (eller rettere sagt forsøgte). Der var kritikken, at den var bundet til enheden, krævede installation, var besværligt at bruge og ikke fungerede på tværs af den private (banker) og offentlige sektor.

Nu er det lykkedes ' faktisk ganske enestående ' at gennemføre en signatur, der:
- bruges på tværs af alle offentlige og private systemer
- ikke er bundet til nogen enhed
- er nem at bruge (altså teknisk)
- og nu er rullet ud til den overvejende del af befolkningen

Her, hvor den nærmer sig sin 1 års fødselsdag, er det værd at tænke på, hvor mange andre projekter, der kan siges at have haft en sådan succes. Alle, der udvikler løsninger ved, at man altid kommer til at prioritere modsatrettede behov i den sidste ende ? det kan da ikke overraske.

Der har været kritik af forretningsmodellen (den skal jeg ikke forholde mig til her) og af papstykket, hvor jeg har set begavede mennesker argumentere for, at det kunne være lavet meget smartere. Men helt ærligt, det var en udbudsforretning, så hvis der har siddet nogle geniale mennesker med geniale løsninger rundt omkring hos leverandørerne, hvor var de så lige henne da det gjaldt? Og jeg tror faktisk, at dem der bød, har tænkt sig rigtig godt om!

Og nej, det er ikke sikkert nok med samme system som dankort eller andre tilsvarende systemer, når man kan bruge sin digitale signatur til bindende køb af ejendom og lignende.

For øvrigt har det været planen fra starten, at der skulle komme elektroniske alternativer til papkortet, og de skulle være på vej i år. Men disse planer har medierne så valgt ikke at skrive så meget om ' så havde man jo også en undskyldning for ikke at brokke sig så meget '..

Kommentarer (166)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kristian Lund

Det er fandeme for latterligt at kalde det for brok og klynkeri, når ens modsvar på kritiken er henholdsvis "det skal jeg ikke komme ind på" og "papkortet blev vedtaget ved udbud, så det er nok den bedste løsning".

Sidstnævnte er himmelråbende cirkulært (markedet ved bedst, så markedets løsning er den bedste, hvilket viser at markedet ved bedst), det første er en åbenlys undvigelsesmanøvre.

For at opsummere er der tre kritik-punkter (ca.):
- Brok over at teknikken/bureukratiet ikke virker ordentligt.
- Saglige argumenter for at papkort ingen yderligere sikkerhed giver, udover en lille ventetid indtil næste login, for den der alligevel har overtaget kontrollen med din enhed.
- Hvorfor skal ét firma have den egentlige kontrol med min digitale identitet, istedet for mig selv (og alle de åbenlyse følgesygdomme som enhvert sådan monopol og flaskehals giver).

Indlægget her kommer ikke ind på nogle af dem. At kalde ens modpart i en diskussion for klynkere og brokrøve, uden at gå imod deres pointer og argumenter er som sagt for latterligt - og jeg synes faktisk en undskyldning er på sin plads. Sådan taler man ikke til folk, heller ikke på nettet.

  • 1
  • 0
Jesper Larsen

... med Per Andersen.

NemID fungere ganske fint.
Er det perfekt? Nej.
Men det tilbyder stadig en forholdsvis sikker måde at bekræfte sin identitet på, hvilket jo var ideen (elle en del af den).
At det så ikke lige er en digital signatur er da synd, til gengæld er fleksibelt og tilgængeligt for IT-amatøre.
Min mor fik taget sit i brug uden at ringe en eneste gang, tak NemID... ;)

  • 0
  • 0
Peter Makholm Blogger

Det er godt at se dig angribe noget så meningsløst som klynkeriet over papkortet. Jeg glæder mig til at se dig tage de egentlige problemer med NemID i behandling istedet for bare at argumenterer mod et stråmandsargument.

Så kom ind i kampen og diskuter fornuften i at:
* Vi digitaliserer med tvang
* Succeskriteriet opnås med tvang
* Vi overlader den digitale identitet til at kommercielt monopol
* Vi bruger en sikkerhedsmodel der bygger på at PBS ikke bliver angrebet (mangler sikkerhed i dybden)
* ... samtidigt med at det er uklart hvor meget ansvar PBS påtager sig juridisk.
* Det er tvivlsomt om der findes en kompetant udvikle SLA for løsningen.
* Kundeforholdet mellem PBS og borgeren er uklart

Hvis du vil diskutere NemID, så drop stråmanden. Det er alligevel dårlig retorik.

  • 0
  • 0
Jesper Louis Andersen
  • bruges på tværs af alle offentlige og private systemer

Ved tvang. Naturligvis bliver et system en "succes" ved tvang. Problemet er netop at den digitale signatur (TDCs) ikke ved tvang blev tvunget ned over bankerne. Nu tvinger vi så NemID ved over forbrugerne.

  • ikke er bundet til nogen enhed

Joda. Enheden pt er papkortet. At den ikke er digital er så en anden sag. Sikkerheden består netop i at der kun er en enhed som kan logge ind. Akkurat som den digitale signatur.

  • er nem at bruge (altså teknisk)

Den gamle pinkode i min bank var nemmere at bruge fordi nøglen lå på min PC og det som oftest er den jeg logger ind fra (jeg stoler ikke på andres PCere). I den nuværende model bliver jeg altid halvsur fordi jeg skal finde papkortet for at kunne lave et login.

Der er to dele af brugervenlighed: Første gang, og så vedvarende brug. Meget tyder på at NemID fejler begge dele.

  • og nu er rullet ud til den overvejende del af befolkningen

Ved tvang...

Det hele handler om at regeringen har sovet i timen og har givet bankerne et monopol på digital signatur i Danmark, ikke-liberalt har dræbt al innovation på området og tilmed har tvunget borgerne til at bruge det.

Der er tekniske argumenter imod NemID (Applet'en har meget magt og applets er forældede, løsningen er central), juridiske (Løsningen er ikke omfattet af loven om digital signatur for det er ikke en digital signatur), politiske (monopolet - give private firmaer noget som skulle være statsejet), brugermæssige (papkort, folk kan ikke finde ud af det) etc.

Det eneste positive i hele misæren er at vi nu, ved tvang, har fået en samlet single-sign-on løsning. Den kunne vi have haft i 2005 hvis bare vi havde tvunget bankerne med på TDCs løsning. Uden papkort. Og det havde iøvrigt været en Digital Signatur ifølge EUs love på området. Staten er til for borgeren. Ikke for at give monopoler til diverse virksomheder...

  • 0
  • 0
Lars Christoffersen

NemID har fungeret perfekt for mig siden dag 1. Brokkeriet minder mest om det man hører fra USA's anti føderalister, hvor du principielt ikke på påtvinges noget som helst fra Staten, eller andre. Prøv lige at se hvordan sådan et samfund ført ud i live ville se ud.
NemID er et fornuftigt tiltag, der i længden vil spare os mange penge i den offentlige forvaltning

  • 0
  • 0
Jørgen Elgaard Larsen

Det var da imponerende, så meget en mand kan skyde fuldstændigt forbi målet i ét blogindlæg.

Ja, der er mange, der kritiserer papkortet, og det fylder tåbeligt meget i debatten.

Men du skøjter fuldstændigt forbi de virkelige problemer med NemId:

1)
Sikkerhedsmodellen er ensidigt koncentreret om bankernes behov. Det værste udslag af dette, er at NemID kun virker, hvis du kører en signeret applet, der giver DanID mulighed for at tilgå din harddisk.

2)
At kalde noget for en digital signatur, når borgeren ikke har fuld kontrol over sin private nøgle, er simpelthen noget vrøvl.

3)
Forretningsmodellen - som du meget behændigt undviger - er dybt betændt. Hvorfor skal et privat firma tjene penge og have monopol på udnyttelse af offentlig infrastruktur?
Det er fint nok at betale for udvikling og drift, men hvorfor skal man betale til Nets, hvis man vil bruge NemID på sin hjemmeside?

Og så indeholder dit blogindlæg en imponerende mængde faktuelle fejl:

Kan I huske da TDC rullede deres digitale signatur ud (eller rettere sagt forsøgte). Der var kritikken, at den var bundet til enheden

Den gamle digitale signatur var ikke bundet til enheden.

Nu er det lykkedes – faktisk ganske enestående – at gennemføre en signatur, der:
- bruges på tværs af alle offentlige og private systemer

Det er nok liiige at tage munden for fuld.

Men helt ærligt, det var en udbudsforretning, så hvis der har siddet nogle geniale mennesker med geniale løsninger rundt omkring hos leverandørerne, hvor var de så lige henne da det gjaldt? Og jeg tror faktisk, at dem der bød, har tænkt sig rigtig godt om!

Udbudsprocessen omkring NemID udmærkede sig ved at være usædvanlig lukket. Kravene til systemet blev først formuleret efter en række møder mellem PBS og IT- og Telestyrelsen. På det tidspunkt var det allerede aftalt, at PBS skulle købe den gamle digitale signatur af TDC.

Mig bekendt har der aldrig seriøst været forhandlinger med andre leverandører.

For øvrigt har det været planen fra starten, at der skulle komme elektroniske alternativer til papkortet, og de skulle være på vej i år. Men disse planer har medierne så valgt ikke at skrive så meget om

Tværtimod har der været fin mediedækning af det emne. Både når DanID lovede noget, og når de alligevel ikke holdt løftet.
Men iøvrigt kan man ikke klandre medierne for ikke at skrive om noget, som ikke eksisterer.

  • 0
  • 0
Jesper Louis Andersen

Brokkeriet minder mest om det man hører fra USA's anti føderalister, hvor du principielt ikke på påtvinges noget som helst fra Staten, eller andre.

Det er sådan set ikke det jeg er bekymret over. Det siger sig selv at staten som helhed bør vælge en løsning og så benytte den til offentlige institutioner. Faktisk bør staten i det moderne samfund stå for identitet og authenticering. Bare det at vi har CPR-numre vidner om et andet grundsamfund.

Men du kan ikke måle succeskriterierne for en løsning baseret på tal som har en oplagt confounder[1]: Successen er grundet en automatisk udrulning. Ikke fordi folk på eget initiativ vil have servicen.

[1] http://en.wikipedia.org/wiki/Confounding

  • 0
  • 0
Henrik Mikael Kristensen

Jeg finder det yderst alarmerende at ved helt almindelig brug:

  • Kan logge ind på netbank uden at bruge papkort efter ikke at have været logget ind på den i flere uger.

  • Skal reloade siden med javaapplet'en flere gange før den dukker op.

  • Må vente op til 20 minutter på, at javaprompten dukker op (efter jeg fik at vide af en ven, at den skam kommer, og jeg ikke behøver at sidde og reloade). Når man så forsøger et login, får man et timeout, og må derfor reloade siden og... vente igen.

  • Javaapplet'en fylder 900 kb og skal hentes hver gang. Det kan argumenteres at det er sikkert, men... 900 kb? Ikke så sært der er ventetid.

  • Ofte må bruge 2-3 forsøg på at komme ind i netbank.

  • Generelt er det svært at finde ud af, hvilken tilstand loginprompten er i. Er den ved at hente data? Lave auth? Er den gået i stå? Er den timet out?

Enhver loginprompt der grundlæggende siger "hvad var det lige du skrev, kan du skrive det igen?" på den måde som NemID opfører sig på, kan formes som et phishing forsøg.

  • 0
  • 0
Jacob Christiansen

Det største problem ved Nem-ID er at man ikke (som i den virkelige verden) kan have 1 underskrift uanset hvilken juridisk enhed man underskriver for.
At have flere signaturer (f.eks. for flere virksomheder) var med den gamle løsning problematisk fordi man ikke umiddelbart kunne se forskel på signaturerne. Med den nye løsning skal man bare have et papkort for hver signatur. Det kan så være at man skal have 10-20 papkort at holde styr på. Jeg tror ikke at 10-20 tokens vil være bedre, så jeg efterlyser en mere fleksibel løsning med færre ID'er. F.eks. muligheden for at samle flere ID'er under 1 signatur.

  • 0
  • 0
Klavs Klavsen

jeg bryder mig absolut ikke om netop de pointer Peter Makholm kommer med, og det faktum at det er et 100% monopol der er givet til bankerne - og især fordi løsningen lanceres som 100% sikker - samtidigt med at jeg skal stole på NemID's (dvs. PBS/Nets) sikkerhed, og hvis den brydes uden de (står) ved det, så har jeg ikke set nogen garanti for at jeg er beskyttet - så hvis de fejler, kommer jeg til at betale for det :( (se hvordan det gik dengang da startspærreren i biler først blev brudt i DK - stakkels forsikringstagere - der ingen dækning fik, det gælder sågar idag - se nylige indslag i kontant f.ex.).

Så foretrækker jeg, nu jeg selv er teknisk kyndig nok til det(i modsætning til de fleste - givet, og min private nøgle kan stadigvæk kompromitteres, intet er 100% sikert, men så er gevinsten trods alt kun 1 nøgle - ikke dem alle ), at sikre min egen private nøgle - istedet for at de alle er samlet.

Papkortet er en god ekstra sikring - de burde have beholdt den eksisterende digital signatur løsning og tilføjet papkortet og tilbudt en dyrere (smartcard+pinkode) løsning.

  • 0
  • 0
Niels Didriksen

Danmark er en nation af brokkere

Tilsat en slat inkompetente, medløbere nyttige idioter åbenbart..

Ja, ja, jeg var da også helst fri for papstykket, men come-on, kan man virkelig blive forbavset over, at man med en digital signatur faktisk prioriterer sikkerheden?

Haha.. Ja, hvis papstykket var problemet. Det eneste problem med papstykket er, at DanID er forpligtet til at levere den 2. faktor til borgerne gratis. Derfor vælger man den mest ufleksible og upraktiske dead-tree model, for så at have komplet frie hænder til at prissætte smartere og mere tidssvarende løsninger som f.eks. en token.

Derudover er NemID IKKE en digital signatur. Så længe du ikke fatter det, burde du ikke gå ind i diskussionen.

Nu er det lykkedes – faktisk ganske enestående – at gennemføre en signatur

I guder!!! Det er tvunget. Jeg undrer mig over hvorfor NemID-entusiaster bliver ved med at hylde udbredelsen som en succes i lyset af, at det er konstrueret så man er nødt til at handle i udlandet og storindkøbe frimærker og konvolutter hvis man vil undgå NemID. Kan du nævne andre steder, hvor succeskriterier opgøres på samme vis.

Jeg hæfter mig også ved, at du på ikke særlig behændig vis undlader at beskæftige dig med de reelle problemer. Og irritationen over et papkort is not it.

Du kan være glad for jeg ikke er din chef, hvis kvaliteten og indsigtsniveauet i dit indlæg er toneangivende for din kommuniation med kunder.

  • 0
  • 0
Peter Hansen

For øvrigt har det været planen fra starten, at der skulle komme elektroniske alternativer til papkortet, og de skulle være på vej i år. Men disse planer har medierne så valgt ikke at skrive så meget om – så havde man jo også en undskyldning for ikke at brokke sig så meget

Selv om sådanne alternativer skulle komme, er der stadig en lang række kritikpunkter, som NemID eller Per Andersen ikke forholder sig til eller vælger at overse (det er sgu' for besværligt). Jeg skal nok spare læserne for en opremsning.

Det måske vigtigste, de overser, er den betontankegang, som NemID er udtryk for. En tankegang, der med sikkerhed vil få "IT-Danmark" til at sakke bagud, når mere fleksible (og sikrere) alternativer vil vise sig.

  • 0
  • 0
Adam Tulinius

Med en sådan overskrift er det utroligt at så mange mennesker har givet sig tid til at komme med saglige argumenter mod et knap så sagligt blog indlæg.

Per, det er svært at tage argumentation seriøst, når man starter med at skrive at alle der er uenige klynker.

Men det har du jo nok alt sammen indset, siden du ikke har fulgt op på kommentarerne.

  • 0
  • 0
Baldur Norddahl

Traditionelt er der tre faktorer: 1) noget du ved (kodeord), 2) noget du har (token, papkort), 3) noget du er (biometrisk skanning).

To-faktor: vælg to af ovenstående.

Da det er velkendt at selvvalgt kodeord giver en ringe sikkerhed og dårlig brugeroplevelser når det bliver glemt, bør man måske vælge anderledes:

Nem-ID 2.0: lille usb-token med fingeraftrykslæser. Intet kodeord. Træk blot fingeren over læseren når du skal logge på.

Andre fordele: Kan ikke kopieres. Kan ikke "deles" med familiemedlemmer eller andre.

  • 0
  • 0
Maxx Frøstrup

Eftersom som det egentlig er dette der står øverst på siden (i min browser), må disse holdninger være trenden:

  • NemID er en Digital signatur.

  • Virker på tværs af de offentliges og det privates platforme

  • Er teknisk nem at bruge

  • Almindeligt udbredt.

Undskyld hvis jeg lægger ord i munden på dig Per, det er ikke min hensigt.

Længere oppe kan jeg se at de fag-kloge gør opmærksom på at NemID IKKE er en digital signatur, jvf. et eller anden lov.

Jeg ser general udbredelse om at det ofte IKKE virker i form af at du vil fra netbank til e-Boks, eller den fine artikel for et par uger siden med holdningen fra Job-net med at nå det virker ikke? ja ja, det skal du ikke tænke på...
Da det ikke er bekræftet ved hjælp af ordentlige uvildige undersøgelser, bliver jeg ved med at tro det virker for det meste. Når det så ikke virker, fejler det katestrofalt og ingen ved hvad de skal gøre ved det eller indberette det.

Rolig nu, jeg har en pointe, vil bare alle 5 punkter igennem.

Er teknisk nem at bruge? Jeg sad og kiggede på hvordan jeg skulle lave et certificat og krypetere en mail, jo jo det var godt nok ikke M$ standard, men indgangshumøret var løftet. Det fejlede dog i sidste ende (katestrofalt). Der er ingen chance på jeg overhovedet vil prøve på at sætte signatur/ID delen op for nogen som helst. (Vejledningen står i Digital signatur gruppen, for dem der har mod på at læse den).

Almindeligt udbredt? Jo, jeg ser ihvertfald de her nøglekort ligge og flyde alle steder nu om dage, alle har et. Og vi har 3 millioner netbank kunder rullet ind.... Prøv lige at tjekke disse tal op mod hvor mange der har OCES koblet på, evt. læg oveni hvor mange der rent faktisk har brugt, skal vi sige 10 nøgler på deres første kort. Det tal er vel egentlig det rigtige succeskriterie, bare en tanke.

Anyway, pointen:

Hvis denne tilgang til teknisk komplicerede systemer er trend, giver det mig en forklaring på hvorfor der er så meget klyt. Halv færdige løsninger. Hvor er kvaliteten og stoltheden blev af. Hvornår begyndte vi at ikke bare acceptere systemer af denne kvalitet, men at forvente dem.

Selvfølgelig er der muligheden for at indlægget er skrevet med det formål at trække nogle billige points ind.
Når man kigger kommentarene igennem herned af forefindes nemlig også et par brokkehoveder, vi er dog sluppet for den værste svabe. Den fulgte efter de mobile enheder ;o)

Men jeg glæder mig så nu til bloggen der tager de forhold op som: at det netop ikke er en digital signatur, men bliver markedsført som en sådan. Det paradoksale i at, det folk hader mest er det bedste ved systemet (pap-kortet). Og de punkter Peter Makholm nævner.

  • 0
  • 0
Per Andersen

Hej alle,

Tak for de mange kommentarer.

Ja, indlægget var ment som en provokation - det ser ud som om rigtig mange har følt sig provokeret og tonen viser, at der i mange tilfælde åbenbart er mange følelser involveret. Det kan man så spekulerer over.

Men det er også ment som et seriøst indlæg. At jeg, lige som diverse offentlige sider, kalder det for en "digital signatur" er vel en mindre fodfejl, der næppe har betydning for substansen i diskussionen. Men selvfølgelig nemt at angribe i stedet for substansen.

Hvis man har fulgt med i den offentlige debat, er der rigtig mange, der har kritiseret papkortet - også her i denne diskussion. Det var den side, jeg primært adresserede. Beklager hvis pladsen ikke tillader en gennemgribende analyse af alle fordele og ulemper.

Rigtig mange kommenterer "succes ved tvang". Jeg forstår ikke, hvad de snakker om. Ja, selvfølgelig tvinger man folk til at bruge sikre løsninger - hvornår har din bank sidst givet dig valget mellem en sikker login eller ej. Min kommentar om succes var i høj grad møntet på, at det er lykkedes at finde en fælles løsning som både offentlige og private virksomheder kunne arbejde med.

Der er i øvrigt mange af de tekniske problemer, der bliver nævnt, som jeg tror ikke har noget med selve NemID at gøre, men i stedet ens netbank. Jeg har ALDRIG problemer med min netbank, det er hurtigt og går aldrig i fejl eller glemmer at logge mig af.

Jeg vil fortsat hævde, at stort set alle kritikpunkter mod TDCs digitale signatur er adresseret med NemID, men det er også tydeligt, at der er kritik på banen som er lige så lidt sagligt som man hævder mit indlæg er (som at man ikke må mene noget om NemID hvis man ikke tilfældigvis har læst loven om digital signatur).

Kommentarer omkring "tvang", "monopoler", "udenlandske interesser" og lignende kommenterer jeg ikke - det er en politisk diskussion og det er ikke min mission. Den må vi tage en anden dag.

  • 0
  • 0
Peter Makholm Blogger

Så al kritikken affejes let ved at være usaglig klynk eller bare irrelevant? Eventuelt krydret med flere stråmandsargumenter om TDC's tidligere signatur-løsning.

Så ærlig talt, du forholder dig på ingen måde til substansen i kommentarene, vel?

  • 0
  • 0
Klavs Klavsen

@Per

Rigtig mange kommenterer "succes ved tvang". Jeg forstår ikke, hvad de snakker om.

Sikken en gang vrøvl. Faktum er at den forrige digitale signatur IKKE blev brugt til login i bankerne (det ville bankerne ikke) - og alle netbank kunderne blev derfor ikke påtvunget signaturen.
NemID bliver ALLE netbank-kunder påtvunget. Hvad er det du ikke forstår ved forskellen herved?

Mht. dine andre absurde affejninger af konstruktive kommentarer, til et meget indholdstomt blog-oplæg, så synes jeg du skal tage et læse kommentarerne igen - bl.a. Peter Makholms - og så spørg om en uddybning hvis du ikke forstår hvad der menes.

Ovenstående udmelding er efter min mening meget useriøs og viser ihvertfald ingen vilje til dialog, som efter min opfattelse, netop er en af hovedpointerne med at blogge.

  • 0
  • 0
Peter Makholm Blogger

Rigtig mange kommenterer "succes ved tvang". Jeg forstår ikke, hvad de snakker om.

Du nævner selv i dit blog-indlæg som successkriterie at systemet nu er rullet ud til en overvejende del af befolkningen. Så lad os analyserer hvorfor NemID har opnået dette, til forskel fra stort set et hvert andet nationalt digitaliseringstiltag.

Jeg tror ret hurtigt at du kommer til at slå op i en synonymordbog efter alternativer til ordet 'tvang'. Men jeg ser frem til din analyse af dette enkelte aspekt.

  • 0
  • 0
Peter Mogensen

og tonen viser, at der i mange tilfælde åbenbart er mange følelser involveret. Det kan man så spekulerer over.

"Tonen" startede vist med din brug af ordet "klynkeri" i overskriften. Det kan man så også spekulere over, hvis man synes det er interessant.

Kommentarer omkring "tvang", "monopoler", "udenlandske interesser" og lignende kommenterer jeg ikke - det er en politisk diskussion og det er ikke min mission. Den må vi tage en anden dag.

Flot... Hvis du ikke vil kommentere den egentlige kritik af NemID, hvorfor skriver du så dit blog-indlæg?
Nu falder meget af kritikken (f.eks. de demokratiske problemer) jo ind under det du kalder "lignende kommentarer", men stadigvæk.. din "mission" har tilsyneladende været at affærdige kritikken af NemID uden overhovedet at ville erkende hvad den går ud på.

  • 0
  • 0
Maxx Frøstrup

"Men det er også ment som et seriøst indlæg. At jeg, lige som diverse offentlige sider, kalder det for en "digital signatur" er vel en mindre fodfejl, der næppe har betydning for substansen i diskussionen. Men selvfølgelig nemt at angribe i stedet for substansen."

Siden første artikel jeg så om systemet på V2 har problematikken om at det bliver aggresivt markedsført som Digital signatur, og at forbrugerne med forsæt bliver vildledt til at forholde sig til systemet som en digital signatur.
Jeg kan tilgive hr og fru Nielsen at du ikke kan se forskellen.
Jeg kan tilgive videnskabsministeren for ikke at kunne skelne ved første øjekast og at komme til at lave en fodfejl første gang..... Ikke gentagne gange, specielt da det er et led i en vildledningskampagne.

"Rigtig mange kommenterer "succes ved tvang". Jeg forstår ikke, hvad de snakker om. Ja, selvfølgelig tvinger man folk til at bruge sikre løsninger - hvornår har din bank sidst givet dig valget mellem en sikker login eller ej. Min kommentar om succes var i høj grad møntet på, at det er lykkedes at finde en fælles løsning som både offentlige og private virksomheder kunne arbejde med."

Den vil jeg godt give dig. Potentialet for samarbejde systemerne imellem er større end nogensinde. Jeg vil nu ikke kalde det sikkert, snarere åbent.

Med hensyn til at kritisere pap-kortet er det faktisk blevet min skip knap...
Når nogen begynder at brokke sig over lavtech eller latterligheden i pap-kortet eller klager over det ikke virker på en mobil, springer jeg gerne videre til næste felt, da der højst sandligt ikke kommer noget sagligt fra den front.

Nu er der også stor forskel på hvilket medie man kommunikere i. Jeg orker f.eks. ikke bladre igennem kommentarene på B.T.s hjemmeside, niveauet bliver for brokkende og uden løsningsforslag.

Hvor imod USB-tokens har været på banen i en 18 måneders tid nu. Og nu kan jeg ikke vurdere om den er seriøst den ovenfor med fingeraftrykket, men det er en af de der, tænk lige over det.... Du burde kunne se det uhensigtsmæssige....

  • 0
  • 0
Maciej Szeliga

Rigtig mange kommenterer "succes ved tvang". Jeg forstår ikke, hvad de snakker om. Ja, selvfølgelig tvinger man folk til at bruge sikre løsninger - hvornår har din bank sidst givet dig valget mellem en sikker login eller ej.

DanskeBank havde f.eks. en elektronisk brik til Mac brugere (som også virkede på alt andet end MS Internet Explorer) som var næsten lige så god sikekrhedsmæssigt som papkortet.
Papkortet er som sådan en sikkerhedsmæssigt strålende løsning men dog lidt gammeldags og ikke ligefrem nem i brug... og kun så længe folk ikke scanner det ind på sin computer.

  • 0
  • 0
Per Andersen

Yep, lad mig tage den igen.

1) Før blev jeg tvunget til at bruge "sikker login" (jeg tør jo slet ikke bruge ordet "signatur" længere) af min bank og af de offentlige - og endda flere forskellige. Stort set alle danskere blev tvunget til "sikker login" - et eller flere steder (og der var banker, i øvrigt, der brugte nøglekort dengang også).
2) I dag bliver vi så alle tvunget til at bruge den ene og samme "sikker login". Så ja, successen er sikret ved, at både banker og offentlige er blevet enige om en fælles grænseflade til sikker login. I stedet for, at vi blev tunget til omkring 25 forskellige løsninger.

Ja, det synes jeg er et fremskridt.

Jeg mener ikke, at jeg ved at skrive et blogindlæg om de tekniske og sikkerhedsmæssige sider ved NemID skal tages som et gidsel i en politisk diskussion - såsom Markholms indlæg. At det er en vigtigere diskussion er jeres holdning - men slå jer endelig løs.

  • 0
  • 0
Morten W. Jørgensen

...kalder det for en "digital signatur" er vel en mindre fodfejl...

Så afgjort ikke. At kalde NemId ét når det er noget andet ville i det private erhvervsliv blive kaldt for villedende markedsføring og det forvirrer slutbrugerene.

Hvis en konsulent hos Capgemini ikke forstår forskellen mellem NemId og en digital signatur og alligevel gør sig klog på det, tillader jeg mig at tvivle på hans evner som konsulent.
Hvis han bevidst benytter sig af villedende markedsføring tillader jeg mig at tvivle på hans integritet.

Hvis man har fulgt med i den offentlige debat, er der rigtig mange, der har kritiseret papkortet

Så er det sjovt nok ikke dem der dominerer i denne debat. Jeg har kun kunnet finde et indlæg i denne tråd der kritiserer papkortet. Det fremstår som usagligt klynkeri fra din side, Per.

det er en politisk diskussion og det er ikke min mission. Den må vi tage en anden dag.

Ja naturligvis. NemId er både politik og IT. Det er jo nok derfor ministeren er så inetersseret i projektet Man kan ikke skille politik og IT ad i tilfældet NemId. Det burde en konsuleht hos Capgemini kunne forstå - hvis ikke tillader jeg mit at tvivle på om vedkommende er egnet til at skrive en blog om IT-trends.

Så alt i alt, Per, mener jeg du fremstår som utroværdig, uvidende eller bevidst villedende. Det er skidt - med mindre det er det du er hyret til at være.

  • 0
  • 0
Niels Didriksen

Du har med dit 2. indlæg demonstreret fuldkommen mangel på indsigt. Både i hvad NemID er og hvad kritikken går på.

Well, meningen var jo efter dit eget udsagn jo at provokere. Det er flot. Hvis Version2 giver kickback på reklamevisninger, kan jeg forstå det, men ellers er det lidt uforståeligt hvad dit indlæg egentligt skulle bidrage med.

Det er absolut ikke en "mindre fodfejl" at kalde det en digital signatur. Det er en af sagens vigtigste kerner.

Problematikken omkring papkortet er en bagatel, omend en tåbelig en. Men det fungerer helt fantastisk som afledningsmanøvre for kritik, omend det nok næppe var en del af planen.

Problemet ved TVANG er ikke så meget hvad bankerne gør. De må kræve vi bruger brevduer, hvis de har lyst. Problemet er, at det offentlige er med til at cementere et 100% konkurrenceresistent monopol, der iøvrigt er lovstridigt at anvendet i forbindelse med offentlig forvaltning. Se Stefan Engbergs udredninger for afdækning af de samfunds-skadelige effekter.

Det er i den grad en politisk sag du har valgt at fable løs om. Men når du ikke ønsker at sætte dig ind i sagen og bare vil provokere, så er det jo nok i sidste ende lidt formålsløst at diskutere.

  • 0
  • 0
Peter Makholm Blogger

For det første må du gerne stave mit navn rigtigt.

For det andet det er dig over et kalder kritikken af NemID for klynk, og projektet for en success, for derefter at rette skytset mod et enkelt kritikpunkt.

Så det er dig der kalder udbredelsen for en success. Jeg kommer så med en analyse af hvorfor dette projekt har opnået dette succesmål, når stort set ingen andre nationale digitaliseringsprojekter har opnået bare at komme i nærheden.

Derfor kan jeg på ingen måde acceptere at du beskylder mig for at tage dig som gidsel. Det er dig selv der bringer udbredelsen på banen - det må da være relevant at forklare hvad NemID gøre bedre end alle andre digitaliseringsprojekter istedet for over en kam bare at affærdige al kritik som klynk!

FØJ!

  • 0
  • 0
Niels Didriksen

Ja, det synes jeg er et fremskridt.

Jeg vil dog give dig ret i at et sikkert login der kan anvendes både i banken, i det offentlige og alle steder er et fremskridt.

Mange her på sitet ved hvad det vil kræve, og det er IKKE hvad vi har fået. Tværtimod har "skaberne" slået krøller på sig selv for IKKE at lave det som det burde gøres og som de fleste lande omkring os har valgt at gøre. Obama slog for en måneds tid siden til lyd for et lignende system, men specifikt baseret på ægte digital signatur, frivillighed og mulighed for konkurrence på de enkelte komponenter:
http://www.computerworld.dk/art/115642

Når DanID og venner vælger at gå til yderligheder for at undgå disse kvaliteter kan man jo kun undres.

  • 0
  • 0
Kristian Lund

> Kommentarer omkring "tvang", "monopoler", "udenlandske interesser" og lignende kommenterer jeg ikke - det er en politisk diskussion og det er ikke min mission. Den må vi tage en anden dag.

Nej, Per. Du startede med at kalde alle kritikere for brokrøve og klynkere. Du startede med debatten med en kæmpe sviner; et affejende angreb på folk der i indlæggende ovenfor viser sig, igen, at have langt bedre forståelse af emnet end dig.

  • 0
  • 0
Peter Mogensen

lad mig tage den igen.

Ja, lad os det:

1) Dit rant har ikke meget med den egentlige kritik af NemID at gøre.
2) Se 1)

Jeg mener ikke, at jeg ved at skrive et blogindlæg om de tekniske og sikkerhedsmæssige sider ved NemID skal tages som et gidsel i en politisk diskussion

Kald du det blot "politik", hvis man kritiserer andet end pap-kortet. Men det er altså nu engang ikke pap-kortet kritikken går på for andre end Anders Mattesen og ligesindede.
Hvis du da så bare havde forholdt dig til hvad "sikker" egentlig betød i den her kontekst. Du tager åbenbart for givet at NemID er universielt "sikker". Men det giver nu engang ikke mening at snakke om "sikkerhed" uden også at angive "for hvem" og "i forhold til hvilket trusselsscenarie".

  • 0
  • 0
Peer Kurt Rafn

På NemID's egen hjemmeside står der klart og tydeligt, at man kan bruge NemID på ENHVER computer i hele verden. Det passer bare slet ikke. De glemte at skrive, at computeren, man benytter skal have Java installeret. Jeg har netop været på en 14 dages ferie i Spanien og Portugal, og forsøgte mig på ca. 10 computere - dels hotellernes PC'er, dels internet-cafeer. Men ingen af dem havde Java installeret. Så jeg havde ingen mulighed for at checke min bank-konto med NemID.... Skrev efter ferie til nemID - og kde røb til korset og indrømmede, at de nok skulle rette lidt på hjemmesiden. På min næste ferie lader jeg NemID blive hjemme i skraldespanden og medbringer i stedet min ActivCard fra Danske bank. Det fungerer perfekt alle steder - også på computere uden Java.

  • 0
  • 0
Jesper Louis Andersen

1) Før blev jeg tvunget til at bruge "sikker login" (jeg tør jo slet ikke bruge ordet "signatur" længere) af min bank og af de offentlige - og endda flere forskellige. Stort set alle danskere blev tvunget til "sikker login" - et eller flere steder (og der var banker, i øvrigt, der brugte nøglekort dengang også).

En "Digital Signatur" har den grundliggende tekniske forskel fra en Loginløsning at du kan underskrive dokumenter med den. Altså, på samme vis som med en pen på et stykke papir. En digital signatur kan også yde konfidentialitet (2 parter kan kommunikere uden 3.-parts mulighed for at lytte med) og integritet (Jeg kan verificere at det modtagne er korrekt og i henhold til hvad afsenderen sendte).

Desuden er en "Digital Signatur" et lovmæssigt omfattet begreb. Men det er en anden sag.

2) I dag bliver vi så alle tvunget til at bruge den ene og samme "sikker login". Så ja, successen er sikret ved, at både banker og offentlige er blevet enige om en fælles grænseflade til sikker login. I stedet for, at vi blev tunget til omkring 25 forskellige løsninger.

Det er der sådan set ikke noget galt i som sådan.

Ja, det synes jeg er et fremskridt.

Enig. Det er det positive ved hele projektet. Det negative er så til gengæld alt det vi har mistet i proceduren. Og jeg må nok erkende at hvis vi vejer de to ting op mod hinanden, så er der som helhed tale om et tilbageskridt. Det også selvom vi har en enormt fremskridt med at alle benytter den samme løsning.

Som det ser ud nu, kan man muligvis redde den ved at lade NemID være et login-system og så udenom lave et rigtigt CA som Staten sidder på til vores digitale signaturer.

Der er et andet temmeligt stort kritikpunkt ved systemet og det er åbenheden i det. Det gør det meget svært at innovere oven på den eksisterende infrastruktur. Og det er synd. For eksempel kunne det være fedt at lave en simpel OAuth2 baseret identication service ovenpå NemID og offentlige data. Men ak, nej.

  • 0
  • 0
Peter Stricker

Morten W. Jørgensen,

Hvis en konsulent hos Capgemini ikke forstår forskellen mellem NemId og en digital signatur og alligevel gør sig klog på det, tillader jeg mig at tvivle på hans evner som konsulent.
Hvis han bevidst benytter sig af villedende markedsføring tillader jeg mig at tvivle på hans integritet.

Det er godt nok hårde ord. Men de er berettigede alene på baggrund af bloggen. Når Per Andersen tillader sig at gentage sin perfide provokation i svar på kritikken, så fortjener han også at de bliver gentaget.

  • 0
  • 0
Nicolai Rasmussen

Per, kan du virkelig mene det du skriver? Det må enten skyldes at du ikke forstår det grundliggende problem, eller du ikke har sat dig ordenligt ind i den kritik der er rejst.

Prøv at sætte dig ind i problemerne, i stedet for bare at stå og råbe. Når du har sat dig ind i de rigtige problemer, så kan du lave et nyt blogindlæg og forklare hvorfor du ikke mener de er relevante. Dine korte "smarte" svar vil ikke være passende for Version2s læsere. De fleste af os er faktisk i stand til at forstå endog meget komplicerede sammenhænge, og på et ganske abstrakt niveau. At fortsætte med en forsimplet og nedladende retorik får dig ikke til at fremstå hverken klogere eller mere rigtig på den.

Jeg ser frem til dit nye (og gennemtænkte) blogindlæg. Det behøver ikke at komme hverken i morgen eller i affekt. De fleste af os er her nok også om en måned.

  • 0
  • 0
Peer Kurt Rafn

Jeg er dæleme bange for at du har ret. ØV ØV ØV. Så er man jo totalt på spanden på sin ferie, med mindre man slæber sin egen PC med på ferie - og den bør blive hjemme og holde ferie. Det næste træk bliver vel, at man skal have en runesten med på ferie.... med koderne hugget ind i granit.

  • 0
  • 0
Rasmus Faber-Espensen

Suk.

Det er utroligt så tit at Lov om elektroniske signaturer bliver bragt op i NemID-diskussioner.

Formålet med den lov er at implementere EU-direktiv 1999/93, som handler om såkaldte kvalificerede certifikater.

Loven og direktivet beskriver så en række krav til nøglecentre, der udsteder kvalificerede certifikater.

For at kunne være klar i beskrivelsen defineres der i § 3 to begreber: "elektronisk signatur" og "avanceret elektronisk signatur". Den omdiskuterede § 3, nr. 2, litra c ("skabes med midler, som kun underskriveren har kontrol over") er en del af definitionen af en avanceret elektronisk signatur.

Så hvis man ser bort fra, at der udtrykkeligt i starten af paragraffen står "I denne lov forstås ved" (så det altså ikke er meningen, at man her vil lovgive om brugen af begreberne), kunne man altså argumentere for at NemID ikke var en "avanceret elektronisk signatur".

Hvis man derimod vil argumentere for at NemID ikke er en digital signatur skal man altså komme med nogle bedre argumenter.

  • 0
  • 0
Morten Andersen

I har da fat i de forkerte paragraffer. Jeg synes §10 stk. 3 er den interessante:

>> Stk. 3. Nøglecentre må ikke opbevare eller kopiere de personers signaturgenereringsdata, som nøglecentret gennem udstedelsen af certifikater måtte have fået kendskab til.<<

I starten af loven har vi:

>>Signaturgenereringsdata: Unikke data, som for
eksempel en kode eller en privat krypteringsnøgle, som anvendes til at fremstille en elektronisk signatur.<<

Med andre ord er der et direkte forbud mod at privatnøglen opbevares. I hvert fald hvis Nemid er et nøglecenter?

  • 0
  • 0
Morten Andersen

[b]
Som det ser ud nu, kan man muligvis redde den ved at lade NemID være et login-system og så udenom lave et rigtigt CA som Staten sidder på til vores digitale signaturer.[/b]

Jesper, hvad mener du med at Nemid kun er sikker log in og ikke digital signatur? Hvis du ved oprettelsen bekræfter du vil bruge den til at logge på offentlige myndigheder, bliver der også oprettet personlige nøgler og certifikater, som kan bruge fuldstændigt som den gamle digitale signatur, herunder login til hjemmesider, signering af mails mm.

  • 0
  • 0
Per Andersen

Det er almindelig kendt, at en overskrift sælger historien nu om dage - og hvis jeg provokerede med denne beklager jeg. Men provokerende overskrifter er et meget udbredt virkemiddel, også på Version 2 blogs (tag fx overskriften "F*ck Holger").

Bortset fra det har jeg forholdt mig sagligt til debatten i modsætning til mange andre. Når man begynder at se ord som "tivler på integritet", "sviner", "utroværdig", "uvidende" og "useriøs" holder jeg som regel op med at interessere mig for dialogen. Jeg gider ikke at diskutere med mudder i stedet for argumenter. Så hvem er det der råber?

Jeg er ikke sikkerhedsekspert. Det har jeg aldrig påstået. Omvendt mener jeg ikke, at jo mere man ved om emnet desto mere ret har man per definition, som det bliver antydet flere gange ovenfor.

Faktisk er min kritik primært rettet mod medier som for at lave en god historie kritiserer NemID på et spinkelt grundlag - og folk i almindelighed, der har glemt at de brokkede sig over den digitale signatur og nu med omvendt fortegn brokker sig over NemID.

Jeg tror at for 99% af den danske befolkning er det fuldstændig ligegyldigt om man juridisk kan kalde NemID for en digital signatur eller ej. Jeg synes den diskussion bliver voldsom teoretisk - og at det skulle være en dødssynd at IT&TS har nævnt det som den næste digitale signatur, har jeg svært ved at se.

Kritikere har måske ret i, at der findes alternative tekniske løsninger - det har jeg ikke forudsætninger for at bedømme. Min pointe er, at man med NemID har nået rigtig mange af de mål der er vigtige for den danske befolkning - og en klar forbedring i forhold til, hvad man havde før (dette er nogle så uenige i, uden jeg kan se, hvad der er blevet bedre i forhold til TDC løsningen - på det praktiske, ikke teoretiske plan). NemID er ikke fuldendt - og det var derfor min bemærkning om, at det perfekte findes ikke, og det er en afvejning af hensyn.

Der findes i øvrigt en god udredning her:
http://www.digitalsignatur.dk/visArtikel.asp?artikelID=1065

Der er rejst debat om det virkelige problem skulle være det kommercielle setup (monopol, den danske stats rolle, Nets og private interesser). Det er naturligvis enhvers ret at mene dette - jeg er uenig, og det er altså vanskeligt at diskutere politiske holdninger, da det bliver en meget bredere diskussion, og ofte følelsesladet. Derfor forsøgte jeg at undgå denne. Selv om også jeg naturligvis er klar over, at IT og politik ikke helt kan adskilles.

Måske skulle vi forsøge at tænke fremad. Nu er NemID her. Hvordan kan vi hjælpe med at gøre den endnu bedre og mere anvendelig fremover. Sådan i praksis.

Hermed ikke mere fra min side.

  • 0
  • 0
Kim Jensen

hmmm måske er jeg bare heldig, men nemID er vitterlig nem for mig og min ikke it-kyndige kone. En kode, et papkort og ens adgang til offentlige og private virksomheder.

Det er nemt, simpelt og det virker.
I forhold til Digital signatur, som vi havde før, så er nemID jo nirvana.

Vedr tvangstanken .... Hvad var alternativet?
10 forskellige løsninger?
Frivillighedensvej? Hvilket ville sige, at der ville gå 5-10 år før 90% benyttede sig af samme løsning.

  • 0
  • 0
Klavs Klavsen

@Kim:

Hvad var alternativet?

en digital signatur, hvor ejeren af den digitale signatur, også var den der opbevarede den/ejede den og at bankerne brugte den til login, ligesom de nu har gennemtvunget deres eget produkt - som staten har givet dem monopol på, som juridisk gyldig login/id.

Sikkerhedsmæssigt kunne den gamle digitale signatur være lavet bedre (f.ex. med et simpelt nøglekort tilføjet) - men der havde man i det mindste selv sin nøgle - og en masse misbrugsscenarier som mange finder "usandsynlige/urealistiske", var simpelthen umulige, eller gav for lille gevinst, til at det kunne betale sig - og ejeren af signaturen havde rent faktisk en teoretisk mulighed for at forsvare sig selv, i tilfælde af misbrug.

Og som om det ikke var slemt nok at personer kan få ganske alvorlige økonomiske konsekvenser, hvis deres ID bliver misbrugt, ligesom det er sket med folk der havde en bil med startspærre der blev stjålet (sker endda idag, sørgeligt nok), så er NemID et statsstøttet monopol - hvor vi ikke har noget valg - Vi må og skal have det - og øjensynligt bærer vi samtidigt alle risici.

Dette i modsætning til f.ex. dankortet, hvor man som forbruger, bare kan erklære at man har fået kortet misbrugt, så er man dækket ind af bankerne - så de betaler i det tilfælde selv for evt. ringe sikkerhed.

  • 0
  • 0
Klavs Klavsen

hvis det så var blevet implementeret sikkert - se f.ex. PHK's post her: http://www.version2.dk/artikel/18609-hvis-danmark-var-it-foregangsland - men det ville have krævet den gamle signatur, hvor ejeren af signaturen, også havde den private nøgle og kunne bruge sin egen signatur, uden at involvere 3.part, som har hånd og halsret over hvad denne vil tillade og vil have sig betalt for.

  • 0
  • 0
Vijay Prasad

Min pointe er, at man med NemID har nået rigtig mange af de mål der er vigtige for den danske befolkning

Hvilke mål er det du her mener er vigtige for den danske befolkning?

Det er klart at sælger man en løsning som "Nu skal du kun huske eet kodeord" uden at oplyse om hele gatekeeper problematikken, så vil folk tænke "smart". Personligt har jeg ikke noget problem med at huske flere kodeord, faktisk foretrækker jeg det, så jeg selv har kontrollen.

(og, jeg gætter på at du aldrig har prøvet at sende en krypteret e-mail med nogen af systemerne? Heldigvis er der ingen myndigheder/banker der kan læse dem, så det er endnu et "ikke problem" :-) )

folk i almindelighed, der har glemt at de brokkede sig over den digitale signatur og nu med omvendt fortegn brokker sig over NemID

1) "brok" kan sagtens være begrundet; 2) man kan sagtens forestille sig: x er bedre end TDC's signature som er bedre end NemID - kritik af NemID kan vel ikke affejes fordi man tidligere har kritiseret TDC's signatur (på andre punkter).

Kritikere har måske ret i, at der findes alternative tekniske løsninger

Der findes både tekniske OG konceptuelt alternative løsninger. Man har valgt en der teknisk og konceptuelt skriger gatekeeper.

Mvh,

  • 0
  • 0
Morten Jensen

@Per Andersen

Jeg tror at for 99% af den danske befolkning er det fuldstændig ligegyldigt om man juridisk kan kalde NemID for en digital signatur eller ej. Jeg synes den diskussion bliver voldsom teoretisk - og at det skulle være en dødssynd at IT&TS har nævnt det som den næste digitale signatur, har jeg svært ved at se.

Helt sikkert. De fleste er ligeglad med hvad man kalder NemID. Jeg er også ligeglad med benævnelsen. Problemet er årsagen til at det ikke er en digital signatur: At DanID ejer alles identitet.

Jeg forstår meningen i dit oprindelige indlæg som "folk klynker, når de brokker sig over, at det er et papkort". Der er jeg enig. Man bliver tvunget til langt værre ting her i Danmark - papkort er for mig en bagatel.

Hvis man læser med her på Version2, så burde man dog vide, at ingen af de seriøse kritikere nævner papkortet som det største hul. Det er sikkerhedsmodellen og den blinde tillid til DanID der ødelægger hele idéen ved NemID som digital signatur. Det er muligt at ekstrabladet fokuserer på papkortet, men så skulle du skrive et læserbrev til EB eller oprette en bruger på Nationen! i stedet for at blogge her.

Når det nu er muligt at lave en signaturmodel uden behov for en betroet central myndighed, og med samme/bedre sikkerhed, hvorfor så ikke give lov til det? NemID ville være fint, hvis jeg selv måtte generere min private nøgle og gemme den sikkert.

Men helt ærligt, det var en udbudsforretning, så hvis der har siddet nogle geniale mennesker med geniale løsninger rundt omkring hos leverandørerne, hvor var de så lige henne da det gjaldt? Og jeg tror faktisk, at dem der bød, har tænkt sig rigtig godt om!

At systemet har været i udbud siger intet om leverandørerne, andet end at de har været prækvalificeret til at tage opgaven.
Systemet er gennemtænkt ifht. PBS's forretningsmodel (for nu sidder de på flæsket), men ikke ifht. brugernes privacy eller retssikkerhed.

  • 0
  • 0
Per Hansen

er den aktuelle sag, hvor tyve har brudt ind hos ISS og stjålet nøgler til institutioner, et godt eksempel på at man IKKE skal opbevare nøgler, adresser og koder sammen ...

  • 0
  • 0
Peter Mogensen

Hej Per,

Jeg er ikke sikkerhedsekspert. Det har jeg aldrig påstået. Omvendt mener jeg ikke, at jo mere man ved om emnet desto mere ret har man per definition, som det bliver antydet flere gange ovenfor.

Ja, vi lever jo tragisk nok i et samfund, hvor politikerne har sat standarder for at jo mindre man ved om et emne, jo mere kvalificere er man åbenbart til at tage beslutninger på området - så kan man jo se det hele i "helikopterperspektiv". Det har de sidste mange nykårede IT-ordførere da ihvertfald slået på. Og bare se hvor det har bragt os hen...

Faktisk er min kritik primært rettet mod medier som for at lave en god historie kritiserer NemID på et spinkelt grundlag

Fair nok. Du ville have gjort dig selv en tjeneste ved at skrive det. Mediernes dækning af NemID har ganske rigtig været lige så tyndbenet som dit blog-indlæg.

...Jeg synes den diskussion bliver voldsom teoretisk

Ja - ligesom diskussionen om hvornår man kan kalde et valg for et "frit valg" bliver voldsom teoretisk, når vi snakker digitale valg. Sådan nogle detaljer burde man se bort fra. De besværliggør jo bare tingene. Hvis ikke der var alt den "teoretiske" kritik af digitale valg, så havde vi jo allerede et smart digitalt valgsystem i dag - og det ville ganske givet være en "success", målt på udbredelse i befolkningen.

Faktisk er det meget nemmere automatisk at se bort fra traditionelle principper for et retssamfund, når man skal digitalisere samfundet. Alt andet er noget "teoretisk" bøvl

.... sarkasme kan forekomme.

  • 0
  • 0
Niels Didriksen

Det er almindelig kendt, at en overskrift sælger historien nu om dage

Tror ikke der er mange, der er stødt over din overskrift. Og provokerende overskrifter sælger. Som jeg skrev tidligere. Hvis det var det, der var formålet, er dit indlig til at forstå.

Bortset fra det har jeg forholdt mig sagligt til debatten i modsætning til mange andre.

Jeg har svært ved at se det saglige. Du brokker og klynker, men spurgt ind til materien svarer du summarisk "det ved jeg ikke noget om", "det vil jeg ikke diskutere" og "det vil jeg ikke sætte mig ind i".

Jeg er ikke sikkerhedsekspert. Det har jeg aldrig påstået. Omvendt mener jeg ikke, at jo mere man ved om emnet desto mere ret har man per definition, som det bliver antydet flere gange ovenfor.

Enig. Når du siger, at NemID er nemmere end TDC's OCES har du ret, men hvis vi skal diskutere om NemID er en god ide, er det et krav at vide noget om sagen.

Faktisk er min kritik primært rettet mod medier som for at lave en god historie kritiserer NemID på et spinkelt grundlag

Det er det mest fantastiske du endnu har sagt. Tror der er mange læsere herinde, der mener at netop DU om nogen har forsøgt at lave en god historie på et for spinkelt grundlag.
Men derudover er det rigtigt at medierne kritiserer NemID på for spinkelt grundlag, ved ensidigt at fokusere på papkortet istedet for de virkelige, men svære problemer. Præcis som dig.

Jeg tror at for 99% af den danske befolkning er det fuldstændig ligegyldigt om man juridisk kan kalde NemID for en digital signatur eller ej

.
Helt enig. Det er også derfor det er lykkedes at fuldbyrde voldtægten.

Måske skulle vi forsøge at tænke fremad. Nu er NemID her. Hvordan kan vi hjælpe med at gøre den endnu bedre og mere anvendelig fremover. Sådan i praksis.

Der er ikke meget at gøre. Skrot lortet. Og her er et andet alvorligt problem. Selvom en moralsk ansvarlig politiker skulle kunne se problemet og ønske at gøre noget ved det, vil det jo være politisk selvmord at foreslå et projekt til 3-4 milliarder skrottet og starte forfra.

Per Andersen. Du burde virkeligt, ikke mindst for din egen skyld, sætte dig ind i hvad en PKI er, og hvorfor det er så uendeligt vigtigt at man selv genererer og opbevarer sin egen nøgle. Når du har forstået det kan vi diskutere det virkelige problem: At man har valgt ikke at give borgerne denne mulighed.

Det er yderst suspekt, alvorligt og kritisabelt. Specielt i lyset af at:
-Løsningen er tvunget. Der er intet alternativ.
-Den ægte digitale signatur bliver tvangsudfaset, selvom den virker fint idag.?!?!
-NemID kunne være lavet rigtigt uden borgerne ville have mærket noget.
-DanID forbyder i betingelserne at man arbejder udenom problemerne.
-DanID forbyder konkurrence på funktionaliteten.
-DanID, ITST og politikerne lyver jævnligt åbenlyst og offentligt om problemerne.
-DanID, ITST og politikerne har i årevist nægtet at erkende eller forholde sig til kritikken.
-Mange af landene omkring os tager store skridt for at "do the right thing"

Det er symptomatisk, at de der ved noget om NemID er imod, og dem der ikke gør (hej Per) synes det er den bedste ting siden softice.

Og slutteligt; Som en anden debattør påpeger, så er ISS indbruddet et helt fantastisk eksempel på alle problemerne ved NemID. Din husnøgle, din håndskrift, hele din digitale eksistens ligger hos NemID og du har ikke engang en kopi. Når du bruger dit papkort, så giver du en eller anden medarbejder hos NemID mandat til at bruge din underskrift på dine vegne, uden nogen mulighed for at du kan verificere dette arbejde. Ikke særligt smart. Med mindre man er NemID, som har fået et ubrydeligt monopol foræret.

  • 0
  • 0
Allan E. Hansen

Jeg har lige lært af Per at overskrifter sælger ;-)

Ikke desto mindre syns jeg det er signalet fra DanID og politikerne til folket.

Hvis de ønsker os at blive en nation af digitale kompetente borgere, bør de behandle os sådan.

NemID er efter hvad jeg kan se, designet med et trusselsbillede, hvor borgeren er truslen mod systemet.

Der er allerede en ægte digital signatur infrastruktur i drift OCES. Den skal skrottes for noget ringere???? Istedet for at bygge papkortet ovenpå det eksisterende???

Selv ikke hvis jeg til fulde påtager mig risiko og ansvar for generering og opbevaring af egen nøgle kan jeg få lov til dette?

Jeg mangler stadigt at høre et reelt svar fra politikerne på hvorfor vi absolut skal fratages ansvaret, hvorfor vi vælger at gøre det anderledes end andre lande.

  • 0
  • 0
Peter Mogensen

Når du bruger dit papkort, så giver du en eller anden medarbejder hos NemID mandat til at bruge din underskrift på dine vegne, uden nogen mulighed for at du kan verificere dette arbejde

Overfor det trussels-scenarie er koderne på pap-kortet ligegyldige. Hvis en medarbejder hos NemID vil misbruge din identitet, så sidder han da ikke og venter på at du bruger dit pap-kort.

  • 0
  • 0
Peter Makholm Blogger

I overskrift og provokation når Per ikke PHK til sokkeholderne: http://www.version2.dk/artikel/15872-nemid--har-i-drukket-af-natpotten

Og når provokation ikke trænger ind, så tager PHK hver enkelt indsigelse i langsom gengivelse: http://www.version2.dk/artikel/15893-nemid-i-langsom-gengivelse

Det giver selvfølgelig stadigvæk Per et par timer til at komme med substantielle indsigelser mod de kritikpunkter der er rejst mod hans udlæggelse.

Der er vel at bemærke ingen af indsigelserne her i tråden der er nye i forhold til dengang. Det kan godt være at Version2-kritikken kommer som en overraskelse hvis man primært har fulgt mainstream-medierne, men der er ikke noget nyt i dem.

Bemærkelsesværdigt er det faktisk at flertallet tilsyneladende giver Per ret: Kritikken af papkortet er forfejlet - eller i det mindst ude af proportioner.

De fleste af os forsøger så at opsummere alle de kritikpunkter Per tilsyneladende har overset og stiller åbent op til en diskussion af hvert enkelt punkt.

Hvad Per ønsker at diskuterer har jeg stadigvæk ingen ide om. Der har stort set været frit valg på alle hylder: teknik, sikkerhed, jura, samfundsnytte, brugervenlighed... Men alt er afvist som værende klynk, irrelevant, uinteressant eller uden for Pers ekspertise - (på trods af at han 16:27 påstår at udtale sig om de tekniske og sikkerhedsmæssige sider).

  • 0
  • 0
Christian Nobel

Dette var dråben!

Jeg har I måneder ikke haft lyst til at benytte V2s debat, men dine rants kan jeg ikke sidde overhørig.

Du fortsætter en stil som du også har haft på tidligere debatter på CW, hvor du på en (synes jeg) aldeles usympatisk og nedladende måde udtaler dig til højre og venstre om noget du ikke ved noget om.

Og hvis folk så ikke er enige med dig, så hælder du en spand (undskyld mit franske) lort ud over dem.

Selve essensen føler jeg ikke behov for at gentage, da den dels er dækket fremragende af de ovenstående debattører, dels i andre sammenhænge af Stephan Engberg, men du kan altså ikke forvente at du laver et blogindlæg hvor du starter med:

drop nu klynkeriet
Danmark er en nation af brokkere
hadekampagner i visse medier
.
.
og så efterfølgende tror du slippe afsted med at fortsætte i samme boldgade, efter flere debattører sagligt har kommet med teknisk velfunderede modargumenter.

Jeg er meget ked af at dette er en manden i stedet for bolden diskusssion, men jeg synes det er umådeligt trist at du i det hele taget kan slippe afsted med at lave et så usagligt og manipulerende blogindlæg, og så efterfølgende angribe dem der mener noget andet end dig på den gennemsyret usympatiske og ubehagelige måde - for så endelig, når du er løbet tør for argumenter, at luske ud af debatten.

Og så lige en helt konkret ting:

Der var kritikken, at den var bundet til enheden, krævede installation, var besværligt at bruge og ikke fungerede på tværs af den private (banker) og offentlige sektor.

Hvem har reelt ønsket at adgang til bank og det offentlige skal rodes sammen - mig bekendt foreligger der ikke tal der siger at borgerne har ønsket dette!

/Christian

  • 0
  • 0
Kristian Lund

Hej Per.

Provokation i en blog er intet nyt. Og langt hen af vejen helt OK, hvis du spørger mig. Men så må man også være parat til at tage diskussionen og nedfaldet:
- Vi er flere der har pointeret hvad kritiken retn faktisk går på - den ignorerer du.
- Flere har pointeret at du ikke aner hvad du taler om, og at du har svinet folk til over en kam. Begge dele er verificerbare ved at kigge i denne tråd. Dit "...hvem er det der råber?" lyder lidt hult, som det står der under din overskrift, og henviser til bla. min kommentar om at du har startet en useriøs debat.

Jeg forstår nu godt din frustration. Du har villet kommentere på en lille del af NemID (ie. pap-kort) misæren, og en lille del af folkets reaktion herpå (deres brok). Men i din overskrift og dit indlæg skyder du noget bredere. Men måske har du ret, og papkortet er blot en "lille ting" der irriterer lige nu. Personligt er mit problem at det er unødvendigt...

På samme måde er diskussionen om begreber måske også petiteser - selvom det nu lugter af vildledning af befolkningen. Men det er ganske rigtig en mere teoretisk diskussion, som jeg ikke mener man skal holde enhver blogdebatør ansvarlig for ikke at komme ind på.

Som jeg læser dit indlæg gider du stadig ikke tage den egentlige debat, udover at pointere, at du ikke ser et problem med at kunstigt opstille et unødvendigt monopol. Det kan vi da godt kalde en politisk debat, men den er så afgjort mere relevant end hvor trælst et papkort er, eller hvorvidt digital signatur er et juridisk begreb. At blande sig i NemID-debatten uden at ville tale om dette, svarer til at snakke burkaforbud uden at ville tale religionsfrihed, eller administrativ frihedsberøvelse uden at ville tale borgerrettigheder.

Det er tomt, ligegyldigt og kun provokation. Hvis du ikke gider debatten, så lad være med at åbne munden.

PS: Hvis du virkelig mener debatten var ment som, og burde være afgrænset til, pap-kortet, så gå da i det mindste ind i den debat. Forklar mig hvordan kortet hjælper, hvis en hacker har rod-adgang til min PC eller smartphone, og styrer både skærm og netværk...
PPS: Læg mærke til at alle forsvar i debatten også er variationer af "det virker for mig" - en ligegyldig detaljer overfor pointerne "det kunne lige så godt være nemmere" og "hvorfor skal jeg tvinges til at overlade min nøgle til ét firma, og handle med deres monopol i alle mine transaktioner?"

  • 0
  • 0
Klavs Klavsen

Hvorfor papkortet øger sikkerheden, ifht. kun at skulle angive et kodeord, er fordi det giver 2-faktor authentication - læs lidt her f.ex. http://www.cs.cornell.edu/courses/cs513/2005fa/nnlauthpeople.html

Kort sagt - kortet er "noget du har" - og kodeordet er "noget du ved".

Hackere kan godt, elektronisk, stjæle det du ved (dit kodeord), men så længe der også kræves noget du har (f.ex. et papkort, med kode der ændrer sig hver gang, for at bekræfte du stadig er i besiddelse af papkortet) så kan de ikke bruge dit kodeord alene til noget og det er dermed sikrere, på det punkt, end den rigtige digitale signatur vi havde før.

  • 0
  • 0
Rasmus Faber-Espensen

Med andre ord er der et direkte forbud mod at privatnøglen opbevares. I hvert fald hvis Nemid er et nøglecenter?

Loven siger:

Betegnelsen kvalificerede certifikater eller betegnelser, der er egnede til at fremkalde det indtryk, at der er tale om kvalificerede certifikater, må kun anvendes om certifikater, der opfylder de i stk. 2 og 3 nævnte krav, og som udstedes af et nøglecenter, der opfylder bestemmelserne i kapitel 4 samt regler fastsat i medfør heraf.

Så hvis DanID gav udtryk for, at der blev udstedt kvalificerede certifikater, skulle de overholde kravene i kapitel 4. Det har jeg aldrig hørt dem gøre.

Det er jo i denne sammenhæng bare en strid om ord. Ved en digital signatur i daglig tale forstås netop en "kvalificeret elektronisk signatur".

Loven snakker ikke om "kvalificerede elektroniske signaturer". Den snakker derimod om "avancerede elektroniske signaturer" og om "kvalificerede certifikater". Begrebet "Avanceret elektronisk signatur" bliver ikke beskyttet af loven. Det gør derimod "kvalificeret certifikat". Men et kvalificeret certifikat er i hvert fald ikke hvad jeg i daglig tale forstår som et certifikat. Blandt andet kræver det personligt fremmøde, hvilket er et større krav end selv EV-SSL-certifikater (kun klasse 3 personlige EV-certikater kræver personligt fremmøde).

  • 0
  • 0
Peter Mogensen

Så hvis DanID gav udtryk for, at der blev udstedt kvalificerede certifikater, skulle de overholde kravene i kapitel 4. Det har jeg aldrig hørt dem gør

Jeg har læst DanID's fine advokat-redegørelse for hvorfor de ikke mener de er bundet af loven og det er noget forvrøvlet juristeri.

Til syvende og sidst så bliver NemID brugt til alle de opgaver man i sin tid troede man egentlig lovgav om da man lavede loven. Jo mere folk erklærer den for en "success" (uagtet tvangselementet), jo mere skal det partout bruges til alt. Nu kan man knap nok navngive sit barn, eller få del i regeringens tilskud til håndværkerløn uden at forære DanID sin digitiale identitet.
Hver eneste gang NemID bliver brugt til noget, bliver det mindre og mindre relevant at der engang var nogen, der fandt på begrebet "kvalificerede certifikater". Selvom der engang skulle være nogen, der skulle ønske at lave det loven så faktisk snakker om (hvis man et øjeblik leger at man accepterer DanIDs juridiske udredning), så vil det være ligegyldigt. Til den tid står der alligevel NemID på alle usecases.

  • 0
  • 0
Maxx Frøstrup

Nu er det nok ikke lige det rette sted at spørge dumt, jeg gør det dog alligevel:

Digital Signatur, altså den fra TDC forkortet DS.
Og NemID.

Lige nu har vi en udrullet NemID infastruktur som betegnes relativ sikker, men uden bruger kontrol.

Tidligere havde vi DS, som ikke var sikker nok, pga et pap-kort.

Hvori ligger det store problem i at skrotte NemID helt og aldeles efterfulgt af at tilføje et pap-kort til DS?

Jeg må indrømme jeg har alle tider haft meget svært ved at se hvordan DS skulle være så teknisk vanskelig i forhold til NemID.
Jeg ved man skulle have adgang til sin nøglefil, men derfra tog systemet jo over på samme vis som det sker med NemID.
Fra mit perspektiv er forbedringen af login løsningen udelukkende en fjernelse af nøgle-filen.

Kunne man ikke lave det som option at oprette og holde rod-nøglen lokalt, eller omvendt: Lade det være en option at oprette/gemme sin rod-nøgle centralt (DanID)?

Er der nogen der sagligt kan forklare mig hvori der opstår et problem i dette design...

Med hensyn til Pappet, så er der jo ingen tvivl om at det skal vi da bare beholde eller erstate af en anden form for token.

Jeg tager gerne diskutionen et andet sted, bare sig hvor...

  • 0
  • 0
Dennis Thrysøe

Jeg mangler stadigt at høre et reelt svar fra politikerne på hvorfor vi absolut skal fratages ansvaret, hvorfor vi vælger at gøre det anderledes end andre lande.

Spørg ministeren. Det gjorde jeg, og mage til undvigelse og "rygsvømning" skal man lede længe efter.

Måske skulle nogen prøve at sammenfatte alle argumenter i denne tråd, og sende til ministeren. Hvis man er ihærdig nok, kan det være at man kan få "dem" (ITST) til enten at tage stilling, eller eksplicit nægte at tage stilling. I sidste fald kunne man måske få vækket en ideologisk journalist, hvis sådanne stadig findes et eller andet sted derude.

  • 0
  • 0
Klavs Klavsen

@maxx:

Diskussionen hører vel fint hjemme her, i mangel af nogen officiel hjemmeside med fora, hvor det kan diskuteres (svjv.).

Den tidligere signatur (DS) havde, ifht. NemID kun det manglende papkort som problem. Dette papkort, kunne sagtens være tilføjet, så det også skulle anvendes, hvor man ønskede den sikrere identifikation.

Det vil kort sagt ikke være noget teknisk problem med at vi bibeholdte den gamle løsning - dog har man jo indgået en monopol aftale med bankerne/PBS - så ville den skulle revideres, så de skulle overtage & bibeholde driften af DS, sideløbende med NemID.

  • 0
  • 0
Hans Schou

Per Andersen,

Hvis man har fulgt med i den offentlige debat, er der rigtig mange, der har kritiseret papkortet

Der er stor forskel på den offentlige debat, og så version2. De fleste læsere af version2 syntes papkortet (eller en anden løs digital dims) er en god idé. Nogle vil gerne have den i elketronisk form på deres telefon og tager så et billede af papkortet, og her håber jeg at de fleste er klar over at de ikke må, og hvilken risiko der er ved det.

Konklusion: Du har postet dit indlæg i et forkert forum.

Jeg er p.t. ikke NemID-bruger fordi 1) Java applet har adgang til alle mine filer, 2) min signatur skal ikke kunne misbruges af DanID.

  • 0
  • 0
Maciej Szeliga

Det er SLET ikke så simpelt.
Papkortet er sikkert fordi engangskoder er generelt sikre fordi de kun kan bruges een gang.

DS er ikke usikkert, det kan angribes fordi brugerens PC kan angribes og DS er afh. af noget som afvikles på brugerens PC, blev det udvidet med engangskoder så ville det blive sikkert og opfylde alle kravene.
Næste (tekniske) udfordring ville være: Hvordan kan vi opbevare signaturen sikkert og så det kan bruges på flere enheder (tlf., iPad, egen PC, vilkårlig PC)? Det ville kræve at den lå på en USB pind (og at iPhone/iPad så kunne læse denne pind).

  • 0
  • 0
Martin Wolsing

Jeg forstår slet ikke den grundlæggemde princip i, at det skulle være mere sikkert med et papkort sammenlignet med den gamle model med en digital signatur på computeren. Tidligere skulle en "tyv" have fysisk adgang til min computer, nu skal han bare have adgang til et papkort.

Jeg har ikke behov for at kunne ordne bankforretninger fra tilfældige computere, men fra mine egne enheder. Men med papirløsningen, så gider jeg ikke længere. Hver gang jeg skal betale et girokort trækker jeg den længe som jeg overhovedet kan, for at undgå NemID-papiret.

Min brug af netbank er faldet betydeligt som en direkte følge af indførslen af NemID. Ikke af princip, men fordi det er for bøvlet. Jeg kunne rigtigt godt tænke mig at se noget generel statistik for om, det er generelt at folk bruger netbank mindre nu end tidligere.

Den lange version kan ses på: http://iphoneguide.dk/iphone-forum/topic/er-jeg-den-eneste-der-er-træt-...

  • 0
  • 0
Klavs Klavsen

@Martin:
Tidligere skulle en tyv bare have elektronisk adgang til din computer (dvs. det kunne sagtens ske fra Kina af) - så kunne han snildt kopiere din digitale signatur og aflytte dit kodeord til den.

Med papkortet, sikrer det at han også skal stjæle det - og det lader sig ikke gøre elektronisk (medmindre nogle er dumme nok til at scanne det :)

Du har læst min forklaring med uddybende link om det?: http://www.version2.dk/artikel/19268-nemid-drop-nu-klynkeriet#post102636

  • 0
  • 0
Rene Koch

Hvad er du konsulent for ??? Forhåbentligt ikke noget med sikkerhed at gøre...

Du skulle måske sætte dig ind i tingene FØR du begynder at kommentere på det.

Dit indlæg er jo på højde med en udtalelse som: "Jeg kender en ryger der ikke er syg ... ergo er rygning ikke farligt..."

Venligst hold dig til den saglige kritik...

  • 0
  • 0
Henrik Mikael Kristensen

Med papkortet, sikrer det at han også skal stjæle det - og det lader sig ikke gøre elektronisk (medmindre nogle er dumme nok til at scanne det :)

Så er spørgsmålet bare, hvorfor jeg observerer, at man nogle gange kan logge ind uden brug af papkortet? Som bruger kan det være svært at finde mønster eller konsekvens i, hvordan NemID virker.

  • 0
  • 0
Martin Wolsing

@Klavs

Den er jeg helt med på. Men var det et problem i praksis? Fik folk stjålet deres digitale signaturer og kodeord i en lind strøm? Jeg vil mene, at det er meget mere sandsynligt, at folk får stjålet deres papkort (i deres pung) ind at de får stjålet deres signatur på computeren. Det kan godt være, at NemID teoretisk er mere sikkert, men praksis kan sagtens være lige modsat.

Det er klart at det hele bliver lidt mere sikkert, hvis det ikke kører rent digitalt, men er det ikke netop det, der er pointen med et digitalt samfund? Hvordan passer et papkort ind i den vision?

Glemmer eller taber jeg mit papkort kan jeg ikke bruge min netbank. Jeg gider ikke rende rundt med mit papkort i min pung hele tiden, eller at skulle finde det frem fra skuffen bare fordi jeg vil klare nogle bankforretninger.

Uanset sikkerheden i det, er det hele blevet mere besværligt - i hvert fald for mig. Det må kunne lade sig gøre at lave mere smidigt i dagens verden.

Og hvad gør vi, hvis NemID går ned, bliver kompromiteret etc. Nu skal AL trafik jo gå gennem dem? En optimal situation må da være, at kommunikationen kun går mellem de to parter og ikke via en trediepart, der skal verificere sikkerheden.

Hvad gør man i andre lande? Forsøger vi at opfinde den dybe tallerken igen?

  • 0
  • 0
Henrik Mikael Kristensen

Det jeg oplevede, var en fuld login, og det var efter flere ugers fravær. Jeg var lidt paf, men antog at det måske er noget i systemet der tillader dette, eller også at det var noget der skete i forbindelse med et skift til en ny brugerflade.

Efterfølgende logins (dem der gav 20-30-40 minutters ventetid) krævede dog brugen af papkort.

  • 0
  • 0
Peter Makholm Blogger

Som bruger kan det være svært at finde mønster eller konsekvens i, hvordan NemID virker.

Det er min opfattelse at bankerne ganske langsomt gik over til en model hvor man uden papkortet nok kunne se, men ikke røre.

Det vil sige at en ren elektronisk angriber kan se bevægelserne på din konto, men kan ikke selv overføre penge. En efter min mening ganske fornuftig skelnen.

Problemet er den elektroniske angriber muligvis stadigvæk kan lave et man-in-the-middle angreb hvor du sender en papkode der så bliver brugt til en anden transaktion end den du så på skærmen.

Det vilel kunne løses med en lommeregner token der skulle have nogle flere inddata end bare en challenge fra banken. For eksempel beløbsstørelse eller modtager-identification.

Jeg ved ikke om min brug af netbanken er faldet, men jeg samler opgaver i bunke, istedet for at sætte regninger i banken lige når jeg får dem.

  • 0
  • 0
Henrik Mikael Kristensen

Nu har vi jo noget med Prosa og CSC, som jeg ikke er så meget inde i, men som giver en forfærdelig masse grus i forskelligt maskineri hos bl.a. Skat.

Er NemID kørt på en måde, der kan give risiko for nationalt nedbrud, hvis folk relateret til NemID's operation kan komme i strejke?

  • 0
  • 0
Jesper Louis Andersen

Jesper, hvad mener du med at Nemid kun er sikker log in og ikke digital signatur? Hvis du ved oprettelsen bekræfter du vil bruge den til at logge på offentlige myndigheder, bliver der også oprettet personlige nøgler og certifikater, som kan bruge fuldstændigt som den gamle digitale signatur, herunder login til hjemmesider, signering af mails mm.

Dette er helt korrekt. Der bliver oprettet personlige nøgler og certifikater. Men bemærk den detalje at jeg som person ikke genererer og opbevarer nøglen selv. Det gør DanID for mig fordi de, antagelsesvist, har bedre styr på sikkerheden end mig. Så når jeg skal signere et dokument skal det forbi DanID. Hvorfor skal et dokument der er fortroligt mellem mig og min læge forbi DanID? Det giver ikke mening.

En meget væsentlig sikkerhed er at CA'et, der står inde for at jeg er den jeg nu også er, er decentralt fra selve nøglen. Ellers betyder det at et indbrud i CA'et med et snuptag ville gøre samtlige nøgler ugyldige fordi de potentielt er kompromitterede. Dertil kommer at jeg ikke kan bruge certifikatet til signering: DanID kan jo signere i mit navn, hvilket de som udgangspunkt ikke kan med pen-og-papir versionen. Desuden har jeg ikke konfidentialitet fordi jeg ikke havde kontrol over nøglegenereringsprocessen. Ej heller har jeg integritet.

Resultatet er at hvis jeg skal kommunikere sikkert, så laver jeg en GPG-key selv. Problemet er så bare det, at der ikke findes et CA som kan stå inde for at min GPG key er mig. Men det kunne man nemt løse: Jeg kan logge ind med min NemID og sende min GPG public part til CA-signering.

Jeg er helt på det rene med at det ikke er alle der vil være i stand til at gøre dette. Men muligheden skal være der! Ellers har vi bare givet afkald på en masse sikkerhedsaspekter og det eneste vi har fået igen er at vi har en samlet login-løsning.

  • 0
  • 0
Klavs Klavsen

@Adam & Martin

Til gengæld er der nu et single point of failure for al elektronisk identification; DanID.

Bestemt - jeg er (som gerne skulle fremgå af mine udtalelser) ikke tilhænger af NemID løsningen - og har selv fravalgt den som andet end bank login (jeg klarer mig ikke uden min netbank desværre), netop pga. det scenarie som jeg beskrev mht. startspærren og da den blev brudt.

NemID's centralitet, hvor de opbevarer vores alles nøgler, er et kæmpe problem og en af hoved problemerne i mine øjne.

Mht. noget bedre end Papkortet - så tag et kig på det link jeg angav - http://www.version2.dk/artikel/19268-nemid-drop-nu-klynkeriet#post102611 - hvor PHK omtaler en bedre løsning til at sikre "noget vi har", som jeg mener er MEGET vigtigt.

Idag er der tusindevis af danskereres computere der bliver misbrugt (dvs. er under 100% kontrol) af forbrydere, der bruger dem til DDOS angreb og meget andet. Den gamle DS lå tilgængelig "lige til højrebenet" på disse computere, hvis disse forbrydere skulle finde en relevant brug (dvs. økonomisk interesse) for den. Det mener jeg er et stort problem ved den gamle signatur - som jeg dog selv mener mig rimeligt istand til at beskytte mig selv imod (det er en del af det jeg laver til daglig :) - og derfor mener jeg at "noget man har" skal være der - og DS+"noget man har" ville IMHO være et kæmpe skridt i den rigtige retning.

Jeg har ikke set hvad andre lande har valgt, mht. digitale signaturer - men jeg håber da ved gud at de har valgt noget der ligner OCES (dvs. den gamle DS) + "noget man har" vejen.

  • 0
  • 0
Maxx Frøstrup

Umiddelbart har jeg stadig svært ved at se problemet i at køre de 2 systemer ved siden af hinanden?

Det er den samme biks der står for begge dele, og ja selvfølgelig skal der et pap-kort på DS, jeg har dog meget svært ved at se problemet i at have samme pap-kort/e-token til henholdsvis DS og NemID, altså ikke fysisk det samme kort, men teoretisk (du kan jo også bestille mere end et pap-kort).

Hvis man så ved oprettelsen af en "NemID v2" blev forespurgt om rod-nøglen skulle gemmes centralt (default og principelt NemID v1) eller externt, vælg selv fileplaceringen. (DS med Papkort).

Et sådant design opfylder fortroligheds elementet, iform af at rod-nøglen ikke ligger hos DanID, men skal tilveje bringes af brugerene ved hver transaktion, og kontrollen er tilbage ved brugeren.
Dog mere komplekst, men det er da selvvalgt komplexitet.
Personligt ville jeg faktisk gøre nøjagtigt som jeg gør med min DS, altså have den på en USB. Hvis jeg møder en device der ikke vil læse min USB, så kan jeg bare ikke bruge den device til at lave NemID transaktioner på. Og undskyld mig : "F**k iPad/pod/phone/Android/NexTerminal." Kan devicen ikke lave fil-adgang til mit certifikat må jeg altså bruge en standard device så som en PC, sikkert med Windows og Java men Linux har jeg hørt også virker, og det er alt meget lang tid siden jeg har set en PC uden USB indgang. Undskyld det var et sidespor.

Men Hvis jeg nu har opretten og opbevarer min rodnøgle på f.eks. en USB, eller et SDkort, Så skal man vel have fat i den device mit certificat ligger på for at kunne bruge det bag om min ryg????
Prisen er dog at jeg selv er teknisk ansvarlig for at mit certificat kan læses...

Den bruger lette løsning er så at lade rod-nøglen ligge hos DanID, så bliver det deres ansvar at min nøgle kan læses.
Prisen er dog jeg ikke har kontrol med hvornår det sker.

Jeg antager herfra at alle der samler denne bold op er enige om at man ikke slipper for pap-kortet i de her scenarier.

Grunden til jeg er nysgerrig på det er faktisk fordi jeg tilhører den svindende gruppe af danskere som ikke har sin OCES rod-nøgle ved DanID. Jeg kæmper en desperat kamp om at holde liv i min DS, da jeg nægter NemID adgang til f.eks. min Skattemappe. Dette har indtil videre kostet vores lokale computerforening deres netbanksaftale, men sådan er realiteterne. Og som jeg ser det vil netop kontrollen over ens rod-nøgle lukke munden på rigtig mange kritkkere, så kan vi tage monopol-snakken en anden gang, men et skridt på vejen er da netop at det er muligt at beholde kontrollen over sin egen nøgle, da min i så fald netop KAN vælge en anden udbyder..

Lige en hurtig:
Er der et problem i at lade DanID oprette/lave nøglen, hvis bare de gør det til et sted under min kontrol? Mener lidt: Når man laver nøglen, laver man 1 og kun 1 nøgle... Eller hvordan???

  • 0
  • 0
Klavs Klavsen

@Maxx:
har nogen sagt der var et problem med at lade begge systemer køre? Jeg sagde netop at der ikke umiddelbart var noget teknisk problem ved det.

Hvis du lader DanID oprette nøglen, skal du så være sikker på at de ikke har en lokal kopi - nøglen er jo elektronisk og kan derfor duplikeres så meget man har lyst.

Netop derfor virker DS således at man opretter den på sin egen computer.

  • 0
  • 0
Maxx Frøstrup

@Klavs

Ja dette bliver så et krav for at sikre at DanID netop ikke har en lokal kopi.
Men burde da stadig være relativt enkelt at implementere?

Er det ikke sådan, undskyld min uvidenhed:
At man under oprettelses proccessen bliver spurgt hvor nøglen skal lagres, også er det vel her man pr. default kan enten lagre den ved DanID?

Hvor er det kæden falder af med hensyn til at det bliver for indviklet for almindelige brugere?

Det sidste tal jeg så var faktisk at DS havde omkring 1,5 M brugere. Dertil vil jeg umiddelbart lægge alle de personer som skyndte sig at oprette en inden der blev lukket, fordi DS trods alt var et bedre alternativ end NemID.

Men ja, hvorfor bliver der ikke skubbet mere på at have begge kørende, en ting er det forretningsmæssige i det, og signalværdi. Men har vi ikke passeret det punkt hvor det har betydning. Dem som ikke er med endnu skal jo tvinges ind på NemID, mens mange nok ville vælge DS frivilligt, hvis de havde muligheden. Den sidste rest.
Helt ærligt, hvem er der tilbage??

  • 0
  • 0
Per Andersen

Hvad er du konsulent for ??? Forhåbentligt ikke noget med sikkerhed at gøre...

Næ, jeg er ikke konsulent i sikkerhed. Jeg har nævnt, at jeg ikke kender de tekniske detaljer. Men man kan rent faktisk godt diskutere andet end teknik, tro det eller lad være. Jeg har 20+ års erfaring med markeder, og det var sådan set det, mit indlæg var om (om NemID var en succes). Der har været enkelte gode kommentarer til dette, fx at successen kun er kommet gennem tvang, og det har jeg forholdt mig til.

Det er pudsigt at man - ret personligt - angriber mig for ikke at kende de tekniske detaljer og så kritiserer mig for ikke at ville kommentere på dem.

Som bruger kan det være svært at finde mønster eller konsekvens i, hvordan NemID virker

Bankerne HAR implementeret NemID forskelligt - se det link jeg tidligere sendte. Værsgo, her har I jeres frie markedsdynamik - åbenbart med forvirring til følge.

Der er stor forskel på den offentlige debat, og så version2... Konklusion: Du har postet dit indlæg i et forkert forum.

Det er vist tydeligt, at det er den generelle danske brokke-holdning og medierne min kritik gik på, og ikke læsere i dette forum. At man alligevel vælger at opfatte det som det sidste er kommet bag på mig. Der er masser af blogs her der handler om politikere, offentlige instanser mv. uden at man forventer, at det er dem, der læser det her.

du har svinet folk til over en kam

Jeg har på intet tidspunkt kritiseret eller svinet enkeltpersoner til i dette forum. Jeg har ikke brugt ukvemsord eller kritiseret folk for manglende kompetencer, idioti, skjulte dagsordener, useriøsitet og lignende. Du må blande nogle af de indlæg sammen der har kritiseret min person i stedet. Hvis man mener at kalde den danske nation for brokkere og klynkere er at svine folk til synes jeg du er meget følsom.

Jeg er meget ked af at dette er en manden i stedet for bolden diskusssion, men jeg synes det er umådeligt trist at du i det hele taget kan slippe afsted med at lave et så usagligt og manipulerende blogindlæg, og så efterfølgende angribe dem der mener noget andet end dig

Christian, jeg har aldrig oplevet andet fra dig, end at du går efter manden - med tacklinger til rødt kort - og ikke bolden. Trist.

Nogle mener, at jeg slet ikke forholder mig til modargumenter, andre åbenbart at jeg angriber alle og enhver. Faktum er, at jeg uden at blive personligt har kommenteret de forhold, der vedrører spørgsmålet om NemID op markedets opfattelse som en succes. Om Hr. og Fru Jensen kan være tilfredse, og det mener jeg stadig de kan.

Dette er muligvis opnået gennem et monopol, men det har jeg i denne situation ikke noget problem med, når man sammenholder det med, hvad der er opnået.

At man vil bruge lejligheden til at diskutere en række temmelig tekniske og juridiske forhold omkring NemID er meget fint.

  • 0
  • 0
Klavs Klavsen

@Maxx:

Men ja, hvorfor bliver der ikke skubbet mere på at have begge kørende, en ting er det forretningsmæssige i det, og signalværdi. Men har vi ikke passeret det punkt hvor det har betydning

Det tror jeg desværre ikke. Bankerne siger ikke nej til monopol-penge pga. "moral" og en "teoretisk" risiko for misbrug, hvor bevisbyrden og de økonomiske problemer/risici er forbrugernes og ikke deres :(

Det eneste vi kan gøre, er at skrive til vores politikere og hvis nok gør det, fatter de måske hvad der sker her udenfor borgen :(

  • 0
  • 0
Adam Tulinius

> Men man kan rent faktisk godt diskutere andet end
> teknik
Fair nok, hvad vil du så diskutere? Du vil jo heller ikke diskutere politik, eller nogen af de ting Peter Makholm foreslog.

> Det er vist tydeligt, at det er den generelle
> danske brokke-holdning og medierne min kritik gik
> på"

Ja, det er så tydeligt at kun er 80+ kommentarer der altså har ramt forbi hvad du tilsyneladende mente.

>> du har svinet folk til over en kam

> Jeg har på intet tidspunkt kritiseret eller svinet
> enkeltpersoner til i dette forum.

Nu er de to ting vel nærmest også modsætninger..

  • 0
  • 0
Maxx Frøstrup

Jeg hænger mig lige i 2 punkter:

Både NemID og DS driftes af DanID, som ultimativt ejes af Finanssektoren.

Med NemID burde risici og bevisbyrde ligge ved DanID, da de stiller sig ansvarlige for stukturen.

Med DS kan de principielt fraskive sig enkeltstående risici og bevisbyrder, da brugen selv har påtaget sig ansvaret.

Det er bare min optik, når jeg siger enkeltstående tilfælde, så er det fordi de selvfølgelig ikke kan fraskrive sig ansvaret for DS infastrukturen bryder ned, hvis NemID strukturen er ramt af samme angreb.

Alt andet lige vil jeg dog vurdere at muligheden for at DS kører videre selv om NemID er nede, er relativt høj da det
1. er teknisk kyndige personer som fortrinsvis har valgt denne løsning, og de ofte har en tendens til at finde en løsning/omvej.
2. Er en decentral stuktur og derfor meget sværere at knække.

"Det eneste vi kan gøre, er at skrive til vores politikere og hvis nok gør det, fatter de måske hvad der sker her udenfor borgen :("

Helt ærligt så magter jeg ikke at spilde tid på at informere en politikker. Min generalle opfattelse er at de egentlig ikke gider høre.

Det har taget mig nogle år at finde ud af, men det viser sig jo at meget få mennesker er interresseret i hvad jeg siger, da jeg ofte er for nørdet. Tilgengæld finder jeg extrem humor i dem som tager sig tiden til at forstå hvad jeg siger, de opdager ofte en verden de slet ikke kendte og kan pludselig se det "sjove". Men det er jo life of a nerd om igen, er sikkert ikke noget ukendt fænomen på et forum som dette.

  • 0
  • 0
Peter Makholm Blogger

Men man kan rent faktisk godt diskutere andet end teknik, tro det eller lad være.

Så vi stryger teknik fra listen over emner du er villig til at diskuterer? Sammen med politik, samfundsnytte, jura, brugervenlighed, vejret, forretningsmodellen og successkriterier?

Ærlig talt, hvad er du villig til at diskuterer?

Jeg har ikke brugt ukvemsord eller kritiseret folk for manglende kompetencer, idioti, skjulte dagsordener, useriøsitet og lignende

Du har meget konkret beskyldt mig for at tage dig som gidsel i en politisk diskussion. For lige så lidt som teknik ønsker du ikke at diskuterer politik. (samt jura, samfundsnytte og brugervenlighed).

Du har til stadgihed ikke foretaget dig andet i kommentarene end at forklaret at du ikke vil tage stillig til dette eller hint. Og i hvert andet indlæg efterlyser du tekniske indspark og i hvert andet indlæg afviser du tekniske forhold som værende irrelevante.

Du skriver i går klokken 16:27

Jeg mener ikke, at jeg ved at skrive et blogindlæg om de tekniske og sikkerhedsmæssige sider ved NemID skal tages som et gidsel i en politisk diskussion

Fint, lad os tage den tekniske og sikkerhedsmæssige diskussion. Det er min påstand at nemID's designmodel udviser en mangle på sikkerhed i dybden. Min eneste sikkerhed for at jeg ikke bliver kompromiteret er at DanID ikke bliver kompromiteret. Erfaringen viser at det er en rigtig dårlig sikkerhedsmodel (se RSA SecureTokens). Er det ikke et relevant kritikpunkt af NemID?

Du skriver også:

Faktum er, at jeg uden at blive personligt har kommenteret de forhold, der vedrører spørgsmålet om NemID op markedets opfattelse som en succes

Spørgsmålet er om disse successkriterier er relevante og om de står mål med de midler man har taget i anvendelse for at opnå dem. Du har slev sammenlignet med TDC's manglende success efter sammen delmål. Så hvorfor har PBS opnået hvad TDC ikke kunne opnå?

Er det fordi NemID er et teknisk eller sikkerhedsmæssigt bedre produkt? Er det fordi NemID er mere brugervenligt? Er det fordi NemID har været brugbart bredere? Er det fordi services er holdt op med at virke for folk der ikke har villet bruge NemID?

Du påstår at NemID er successfuldt. Det antyder at du er interesseret i at diskuterer denne påstand, herunder om påstanden er relevant.

Begge, meget relevante, diskussioner forsøger jeg at følge op på med min indledende kommentar. Med den virkning at jeg bliver beskyldt for at tage dig som gidsel i en politisk diskussion hvor efter du skiftevis efterlyser debat og afviser debat on netop samme emner.

Så her er min udfordring: Nævn [b]ét[/b] emne der er relevant for din læserskare som [b]du[/b] ønsker at diskutere.

  • 0
  • 0
Kristian Lund

@Klavs, Maciej:

Mit problem med paopkortet er, at det ikke giver yderligere sikkerhed. Hvis ens enhed, eg. computer, er overtaget, så skal man blot vente på at jeg vil lave en transaktion (eller, med 100% troværdige midler overbevise mig om at jeg skal det), og jeg deler gladeligt informationen fra "det jeg har" - papkortet.

Alt det bøvl, for dette lille-bitte, teknisk trivielle ekstra trin for angriberen er simpelthen for dumt. Intet kan redde sikkerheden i et system hvor brugerens eneste indgang er kompromiteret, medmindre angrebet afsløres.

  • 0
  • 0
Kristian Lund

>> "du har svinet folk til over en kam"

> Jeg har på intet tidspunkt kritiseret eller svinet enkeltpersoner til i dette forum.

Nej. "Over en kam", remember? Du kaldte alle kritikere for brokrøve? For klynkere? Læs dine egen overskrift, for pokker!
Jeg havde som sagt haft det fint med lidt kant i debatten, men du vil jo netop ikke debatere. Bare skære alle der har en anden holdning end dig, over en kam som en flok klynkende brokrøve, der er sure over et papkort.
Vi er sure over at DanID skal have adgang til alle filer på vores computer, og bedre kontrol med al vores kontakt til bank og det offentlige end vi selv har. Så undskyld hvis jeg bliver lidt stødt over at du kalder det for klynk.

> Faktum er, at jeg uden at blive personligt har kommenteret de forhold, der vedrører spørgsmålet om NemID op markedets opfattelse som en succes. Om Hr. og Fru Jensen kan være tilfredse, og det mener jeg stadig de kan.

Hvis Hr og Fru Jensen kan være tilfredse, er det fordi de ved lige så lidt som du ser ud til at gøre. Eller fordi de forgøjles at det eneste lillebitte problem er noget med et stykke pap.

Retten til deres identitet er blevet solgt til et privat selvskab, og deres adgang dertil er nu en vare de kommer til at betale for igen, og igen, og igen over skat, fordyrende takster for dem de skal lave transaktioner med, etc. etc.

Og de kan være tilfredse?

I say again: Jøses!

  • 0
  • 0
Martin Bøgelund

Kristian Lund:

Mit problem med paopkortet er, at det ikke giver yderligere sikkerhed.

Før NemID begyndte at anvende papkort, var lignende papkort-løsninger i brug i visse banker.

Disse banker havde ikke oplevet kompromitering af deres netbank-løsninger, med udgangspunkt i papkort-baseret login.

Andre netbankløsninger havde derimod været kompromitteret.

Så når du påstår at papkortet ikke giver yderligere sikkerhed, må du forklare hvad du mener med "yderligere" - "yderligere" i forhold til hvad?

Ift empirien tror jeg ikke du kan få yderligere sikkerhed, når du måler op mod 0 kompromitteringer.

  • 0
  • 0
Peter Mogensen

Det er vist tydeligt, at det er den generelle danske brokke-holdning og medierne min kritik gik på, og ikke læsere i dette forum. At man alligevel vælger at opfatte det som det sidste er kommet bag på mig. Der er masser af blogs her der handler om politikere, offentlige instanser mv. uden at man forventer, at det er dem, der læser det her.

Jeg forstår ikke logikken.
Du blåstempler og anbefaler et produkt ved kun at se på nogle helt trivielle kritikpunkter og mener at pga. af forum'et så er andre kritikpunkter ligegyldige for blåstemplingen?
En blåstempling er vel en blåstempling? Du kalder det både "sikkert" og en "succes" og en "markant bedrift" ... Din holdning til de termer bliver vel ikke anderledes hvis du beskrive din holdning for andre fora?
Er NemID en "sikker success", eller er den ikke? Eller er den det kun, når Fru Jensen og politikerne tiltales?

Jeg har altså svært ved at se at fornuften i systemet som sådan ændrer sig afhængig af hvem du har i tankerne, når du skriver blogindlæg.

  • 0
  • 0
Flemming Sørensen

Nu har jeg læst en god portion af kommentarene, men jeg skal også gerne indrømme at jeg ikke har læst dem alle.

En ting går dog igen, eller rettere; gør det netop ikke!
Det er muligt at man ikke kan foretage sig meget uden nøglekortet, men jeg bryder mig nu alligevel ikke om, at enhver kan få et godt overblik over min økonomi, ved bare at kende mit CPR nr, eller mit brugernavn, og så derefter bruge nogle forsøg på at gætte mit kodeord.
At oprette et brugernavn, udelukker ikke login med CPR nr.
Hverken kodeord eller brugernavn er case sensitive.

Men naturligvis er det slet ikke et problem...

  • 0
  • 0
Carsten Sonne

Per,

I finanssektoren og i den offentlige forvaltning er NemID givetvis en succes. Licensomkostninger til DanID er enten én krone pr. login, eller 3,12 kroner pr. bruger om året. Den offentlige forvaltning har fået gratis licens. Bankerne ejer PBS som igen ejer DanID. Andre markeder er knapt så glade for NemID. F.eks. har Michael Koch fra Telmor udtalt: "Hvis vi skal med i ordningen, vil det koste os langt over to millioner kroner. Det er alt for dyrt, og det synes vi ikke, den er værd"

Det kan syntes som en teknikalitet at NemID ikke er en digital signatur. Det dækker dog over en så dyr teknikalitet, at den aktivt blev fravalgt. Palle H. Sørensen, centerleder for Digital Signatur hos IT- og Telestyrelsen har udtalt: "Udbyderne af certifikater skal ikke overholde den lov, med mindre udbyderne markedsfører, at signaturen eller certifikatet er kvalificeret"

Årsagen er simpel. DanID udsteder ikke [i]kvalificerede certifikater[/i]. Oversat til til normalt dansk betyder det at ingen kan regne med nogen er den de udgiver sig for at være – uden vel og mærke at have blind tillid til DanID. Tine Elkjær-Larsen har oplevet situationen, og fortæller: "Damen kunne se, at jeg var logget ind på en forkert konto og bliver meget forvirret. Hun bliver ved med at sige ’jamen det er jo ikke dig’, og kan ikke forstå, hvad der er sket..."

Det er fint du og andre syntes NemID er en succes. Det ændrer ikke på systemets natur som en banal single-signon løsning, dyrt indkøbt af Staten for borgens penge – ikke bare for nogle år, men i de næste mange år. Med NemID fik Digital Signatur i DK definitivt dødsstødet. Men bankerne og Staten har fået fået hvad de ville – og derfor er det så en succes. Tillykke til dig og dine kunder.

Vh
Carsten Sonne

  • 0
  • 0
Maciej Szeliga

Mit problem med paopkortet er, at det ikke giver yderligere sikkerhed. Hvis ens enhed, eg. computer, er overtaget, så skal man blot vente på at jeg vil lave en transaktion (eller, med 100% troværdige midler overbevise mig om at jeg skal det), og jeg deler gladeligt informationen fra "det jeg har" - papkortet.

Når jeg lægger noget til betaling bliver jeg præsenteret med et nummer som jeg skal finde på papkortet og indtaste det andet nummmer, man kan altså i bedste fald hijacke en transaktion... man er nødt til at have fat i det nummer som NemID sender til mig for at få fat i en gyldig kode fra mig og denne skal bruges meget hurtigt. Du kender ikke det nummer som NemID sender, det er ikke bare den næste på listen. Hvis den kode NemID sender til mig ikke findes på mit kort ved jeg at der er noget galt.

  • 0
  • 0
Hans Schou

Maciej Szeliga,

man kan altså i bedste fald hijacke en transaktion...

Jeg har ikke hørt at det er sket endnu, men det er helt klart muligt at det kan lade sig gøre.

Sådan gør man: Du skaffer dig adgang til ofrets pc og installere en ændret version af ofrets browser. Når brugeren tilgår sin bank, bliver alle skærmbilleder kørt igennem et filter, som viser noget der er ændret lidt i forhold til virkeligheden. Brugeren foretager på et tidspunkt en transaktion, og her griber man ind og ændre kontonummer og beløb der sendes til banken, og de kontoudtog der derefter kommer. Så er man kommet forbi sikkerheden i papkortet. Man ville nok kunne nå at lave en del transaktioner på en måned, men så begynder det også at brænde på.

Der er en del opgaver der skal klares før ovenstående lykkedes, men det er meget der skal gøres og man skal så helst heller ikke blive opdaget til sidst (follow the money). Personligt frygter jeg det ikke, grundet min ringe økonomiske formåen.

  • 0
  • 0
Nikolaj Brinch Jørgensen

Per,

Det du bedriver her er enten et udtryk for en enorm arrogance, eller også er det et umuligt forsøg på ikke at tabe ansigt.

Fair at ville provokere. Det er jeg helt enig i, og masser går det.
Det er også modigt at stikke hånden ind i NemId hvepseboet. Men i det her tilfælde går den næsten fra modigt til dumdristigt.

At du udviser en så stor mangel på forståelse af de relle problemer omkring NemId, er sådan set også ok. Problemet opstår når du kloger dig på dem. Derefter forsøger du at affærdige problemerne med at gevinsterne er større - det lader sig svært gøre når man ikke kender problemerne.
Til slut skærer du så alle, der ved noget om problemerne og prøver at gøre opmærksom på disse, over een kam som klynkere og brokrøve.
Det er i min bog arrogant og næsten tåbeligt.

Een var inde på i starten at du nok burde komme med en undskyldning for dit indlæg, men mindsandten om du i dine kommentarer ikke bare fortsætter og gøre din situation endnu værre???

Det du har rodet dig ud i nu, ligner ikke dine forrige blog indlæg, som jeg har læst med glæde (specielt også fordi jeg mente du nok var af værdi for din arbejdsgiver).
Som forholdsvis ny blogger på version2 har du ikke endnu "nok i banken" til at fortsætte det her du er ude i, i det her blog indlæg. hvis du vil have success som blogger her på version2 (og det vil du, for du har sagt ja til tjansen, og det bliver du nok også betalt for af Cap), så bør du nok tænke på retræte, og medgive folk på debatten at din egen subjektive holdning til NemId, ikke nødvendigvis er sandheden om NemId.

Altså du er velkommen til at mene hvad du vil om NemId, det kræver ingen kvalifikationer. Men din subjektive holdning til hvad der er nemt ikke nemt (papkort osv.), hvad du anser for sikkert mm. er ikke det samme som hvad der rent faktisk er nemt eller om noget er sikkert (tåler en audit, er lovligt osv.)

Hvis du stadigt insisterer på at have din ret til ditten datten dutten om NemId, så bør du begynde på en argumentation for de nævnte områder (jvf. Peter Makholm). Ellers så drop det, og sig undskyld så vi kan bevare respekten for dig, ellers er risikoen at hele din blog falder sammen.

Husk at man altid kan sige undskyld, at blive ved med at opføre sig fornærmet over at nogen påpeger man tager fejl, er ... ja find selv på ordet (det modsatte af klogt).

Jeg tvivler på at Cap synes det er super fedt det her du er ude i. Jeg ville have svært ved at leve med det som arbejdsgiver. Folkene her på version2 er jo jeres kunder og skal lytte til hvad bla. du siger.

Men du må selvom det Per, bare et råd, fra en der tidligere med fornøjelse har læst dine indlæg.
Det her er dog desværre for mig et udtryk for meget arrogant holdning, så din blog bliver nok ikke besøgt så ofte længere, da personen bag indtil videre fremstår som en jeg får svært ved at respektere.
Det er dog op til dig selv at rette op på det image.

It's never too late - but then again some day it will be.

  • 0
  • 0
Nikolaj Brinch Jørgensen

Angående om det er nemmere at bruge NemId end ...?

  • TDC Digital Signatur

NemId er ikke en Digital Signatur så det er at sammenligne æbler og bananer.

  • Login til Netbank

Nej det er ikke nemmere. Nu skal jeg starte med at gå ud i garderoben, finde min jakke, finde min pung i jakken, finde nøglekortet i jakken. Tilbage til min PC.
Så skal jeg indtaste et brugernavn (CPR), derefter mit kodeord, og så finde et nummer på mit papkort ud fra et andet nummer og taste det ind.

Før var mit aftalenummer forudfyldt og jeg skulle taste mit kodeord.

Så nej det er blevet meget mere besværligt.

Omkring Single Sign On (SSO), så er NemId fattigmandsudgaven. Altså den med "Sign On on every Single system that uses this". Altså man kan ikke i en session logge ind på f.eks. SKAT med NemLogin, og derefter starte sin Netbank og vupti er man også logget ind her. Nej man skal også logge ind på Netbanken.

Ja SSO er det hvis man mener det er samme login system som bruges. Men i SSO er det så alligvel ikke, da dette normalt betyder at alle som benytter det samme login system kan få identitet automatisk propageret hvis man er logget på een gang.

Der er åbenbart ikke cross domain support for denne SSO løsning, og hvad er den så værd som SSO løsning? Ingenting, for indenfor domænet kan man sagtens lave SSO uden NemId.


Iøvrigt forudsætter snakken om sammenligningen med TDC Digital Signatur ligeledes at man forholder sig til token-based authentication vs. det at benytte direkte personherførbare data (CPR) som NemId gør, som login.
Dette burde slet ikke være lovligt.
Hvis eens token er kompromitteret eller man har mistanke herom kan man lave sig en ny, det er noget mere besværligt at få en ny identitet - har jeg hørt.

  • 0
  • 0
Maciej Szeliga

Sådan gør man: Du skaffer dig adgang til ofrets pc og installere en ændret version af ofrets browser. Når brugeren tilgår sin bank, bliver alle skærmbilleder kørt igennem et filter, som viser noget der er ændret lidt i forhold til virkeligheden. Brugeren foretager på et tidspunkt en transaktion, og her griber man ind og ændre kontonummer og beløb der sendes til banken, og de kontoudtog der derefter kommer. Så er man kommet forbi sikkerheden i papkortet.

Hvilket bringer os tilbage til trin 0: hvis maskinen ikke er sikker så kan den ikke bruges til sikre transaktioner, det er hele kærnen af problemet.
Det du beskriver vil kunne lykkes uanset hvilken sikkerhedsmodel man vælger.

  • 0
  • 0
Klaus Skelbæk Madsen

Brugeren foretager på et tidspunkt en transaktion, og her griber man ind og ændre kontonummer og beløb der sendes til banken, og de kontoudtog der derefter kommer.

Desværre er der nogle banker som kun kræver nøgle fra kortet ved login, og ikke ved godkendelse af en transaktion. Transaktionerne skal dog stadigvæk godkendes med kodeord, men det vil angriberen jo have i det maskinen er kompromiteret.

  • 0
  • 0
Nikolaj Brinch Jørgensen

Det gik lige op for mig, hvad hele meningen med blog-posten er.

Per arbejder for Capgemini, og har 20+ års erfaring med markeder. Hele indlægget er et markedsføringsstunt (han siger det selv: Overskrifter sælger!).

Capgemini har ikke formået i lang tid (4+ år) at vinde nogle offentlige udbud (har de vundet nogle større projekter overhovedet?), og derfor dette blog-indlæg.

Det er selvfølgelig en "smøring" af det offentlige at blåstemple deres løsning som har været udsat for enorm kritik, som selvfølgelig har til hensigt at blåstemple dem selv overfor eventuelle fremtidige kunder.

Det er betalt arbejde fra hans arbejdsgivers side - klogt spin! Men der er i den grad potentiale for backfire.

Version2 burde fjerne blog-indlægget da det er i strid med i hvert fald debatreglerne, på den måde at markedsføre sig selv og lave reklame!

I hvert fald er det en uheldig udvikling, når dem som får lov til at blogge, udnytter mediet på denne måde - det bør have konsekvenser. Version2 skal ikke efter min mening lægge spalteplads til den slags markedsføring, det underminerer mediets integritet.

Så ja Capgemini kan godt leve med indlægget (i den grad), men kan Version2?

  • 0
  • 0
Jens Chr. Hauge

Kære Per
Du formår at bringe gemytterne i kog!
Flere indlæg går efter manden og ikke bolden - det er en skam for en god og fri debat!
NemId er ikke særlig elegant, men brugbar.
Der er mange andre offentlige og private it-løsninger, som er mere kritisable.
MVH
Jens Chr.

  • 0
  • 0
Martin Bøgelund

Nikolaj Brinch Jørgensen:

Version2 burde fjerne blog-indlægget da det er i strid med i hvert fald debatreglerne, på den måde at markedsføre sig selv og lave reklame!

Ja, og lad os også lige få slettet alle PHK's blogindlæg der nævner Varnish, Jesper Lund Stocholm's der nævner Ciber, de gamle Microsoft-indlæg fra René Løhde og Jasper Bojsen, og de nye indlæg fra Anette Nørgaard, ...

Vi skal naturligvis også have fuldt indblik i hvilke aktier som bloggerne ejer, samt hvem de er gift eller lever sammen med, samt deres investeringer og aktiviteter. En indscannet kopi af de seneste 3 stemmesedler fra Folketingsvalg og kommunalvalg skal også fremlægges.

De der siger nej til disse vilkår, har selvsagt noget at skjule, så dem kan vi ikke tillade at blogge her.

Alt skal klinisk renses for personlige økonomiske, karrieremæssige, og politiske interesser. Dette af hensyn til Version2-læsernes manglende kritiske sans overfor Internetmedier, da den typiske Version2-læser ikke kan sætte udsagn som de har læst på internet i kritisk perspektiv. "Det passer, for jeg læste det på Internet!" er et typisk udsagn fra en almindelig Version2-læser.

Vi kræver beskyttelse fra denne form for selvpromoverende meningsdanneri og hjernevask, ja vi gør!

  • 0
  • 0
Per Sikker Hansen

I er godt klar over hvor absurd privilegerede vi er i Danmark, at have en så effektiv sikkerhedsforanstaltning som NemID?

Ja, der er problemer med NemID. Ja, det er problematisk at ét firma ligger inde med alle nøglerne. Ja, det er problematisk det er Java-baseret. Ja, det er problematisk at det er et papkort.

Men det er mange gange mere sikkert end den virkelighed det meste af resten af verden lever i: ganske almindeligt password-login på deres netbank. Ingen lokalt installeret key, ingen engangskoder, intet papkort, absolut ingenting. At logge ind på netbank er som at logge ind ethvert andet sted.

Hvis du er rigtigt heldig har din bank et filter, der inkluderer din IP-addresse -- så hvis du prøver at logge ind udenfor dit hjem skal du, uha, indtaste svaret på et "secret question". Det er jo sikkerhed. Eller. Eh.

Hver gang jeg ser min veninde fra Canada tjekke sin bankkonto aer jeg mit papkort fra NemID.

  • 0
  • 0
Nikolaj Brinch Jørgensen

Tak for dit indlæg Hr. Bøgelund. Jeg tror du helt misforstår pointe og sammenhæng (og laver stråmænd i et væk).

Desuden har ingen af de 100+ andre indlæg beskæftiget sig med denne pointe, men lader til at tro at Per selv mener hvad han skriver. Per har vist i andre indlæg at han ikke har tomgang i hovedet, derfor må der naturligvis ligge andet bag. Det er også derfor han bliver ved med at forsvare sin umulige position - han kan ikke lave retræte på det her, for så falder markedsføringskampagnen til jorden.

Noget andet er så at det er dejligt at læse indlæg som dine, der er helt ude i den ene ende af en skala, hvor det bliver alt eller intet. Derude kan man ikke diskutere, der handler det bare om at få ret.

  • 0
  • 0
Maxx Frøstrup

"Angående om det er nemmere at bruge NemId end ...?

  • TDC Digital Signatur

NemId er ikke en Digital Signatur så det er at sammenligne æbler og bananer."

Nu får den uvidende (mig selv) brug for hjælp igen:

Jeg falder af sporet her med at TDC vs. NemID er at sammenligne æble og bananer....

Jeg er med på at NemID IKKE er en digital signatur...

Men jeg har den klare opfattelse at TDC Digital signatur er/var en SSO. Er dette helt hen i æbleskoven?

Hvis ikke kan jeg jo fint sammenligne Æbledelen af TDC digital signatur med NemID. At jeg kan lave æble/bananmos ud af det ved at TDC Digital signatur måske/måske ikke er et kvalificeret certifikat og derfor en signatur, anser jeg faktisk mest som en fortaler for at rulle tilbage, eller sideløbe TDC digital signatur med NemID netop som en NemID v2. Igen igen vil jeg lige påpege at jeg ville ikke bryde mig om at bruge NemID v2 uden et papkort/token.

For dem som ikke lige kan se fidusen i papkortet:
1. Uanset hvor hacket/hijacket din login device måtte være er det kun din device. Dit papkort er ret vanskeligt at hijacke.
Ja det kan fotokopieret/fotograferes, så skal du dog stadig have fat i min nøgle, hvad enten den ligger på en usb-stick, min computer eller hos DanID. (Hvis den ligger på min computerdevice er den let at få fingre i, samme gælder DanID.)
2. Det er noget sværere med en extern device som min USB pen da man ikke "bare" kan kopiere filen, og den er ikke ret tit i forbindelse med noget en hacker/hijacker har kontrol over....
3. Der skal bruges et password, som mange nok har skrevet ned på en lap papir, og dog. Under alle omstændigheder så kan det ihvertfald fiskes ud af dig relativt let, og da det er af en statisk natur.

Oveni hatten vil jeg påstå at hvis man laver en løsning uden kortet, vil folk valfarte dertil, jvf den generalle brok/klynk. Jeg ser endda et fra hov, nikolaj :o) Sorry, det er altså papkort-klynk, at brokke sig over at man skal finde det frem. I det mindste har du ikke lagt dit kort lige foran din computer med en postIt på skærmen hvor dit password står ;o).
Som sagt, jeg ser det her pap-kort alle vegne for tiden, jeg er nok også skadet af at jeg bedømmer folk på deres PC, jeg er bare lidt nørdet.

Jeg opfordrer lige endnu engang:
Gentage efter mig: Papkortet er skide træls, men det tilføjer en noget extra sikkerhed.

  • 0
  • 0
Kristian Lund

@Martin Bøgelund og Maciej Szeliga:

Hans Schou beskriver fint hvordan papkortet kan "besejres" - det kræver naturligvis rod-adgang til ens computer. Min pointe er at sammenligne dette, med en model hvor et program på min computer eller telefon i klassisk stil genererer nøgler for mig, helt usynligt. En sådan model er nøjagtig lige så sårbar; som jeg selv og Maciej skriver er enhver model besejret, når mit adgangspunkt til systemet er overtaget totalt.

De to modeller er altså lige sikre, den ene er bare helvedes bøvlet, og ligger op til at man en dag kan sælge en lidt mindre bøvlet udgave (token eller software) til monopol-pris.

Det eneste modargument jeg har hørt går på fysisk tyveri af ens enhed. En tyv der har min computer behøver kun gætte mit kodeord, så er der fuld adgang. Med papkort skal dette også stjæles. Det løses nemt ved at man kan melde sin (enhed med) nøgle-generator stjålet, ligesom man kan med sit kreditkort eller pap-kort. Forskellen er nu latterligt lille...

Personligt synes jeg vi skal tage de der kodeord lidt mere alvorligt, der er andre muligheder en "min 6 tegn"-modellen (jeg tænker billeder, call-response-modeller og lign). Sikkerhed besejres sgu alligevel socialt...

  • 0
  • 0
Peter Hansen

Ærlig talt havde jeg et alternativ til NemID ville jeg være glad.

Som det er blevet nævnt tidligere betyder afhængigheden af java at der er mange steder, hvor man ikke kan anvende NemID. Jeg rejser jævnligt til steder, hvor der enten ikke findes java på maskinerne eller hvor andre forhold gør at det ikke virker.

For mig betyder det altså, at jeg er tvunget til at slæbe en computer med mig + er tvunget til at anskaffe et internetabonnement de pågældende steder for overhovedet at kunne checke min netbank. Tal lige om "token-løsning".

Tidligere havde jeg mulighed for at kunne anvende mobilbank, men dette er ikke længere muligt, og ikke alt kan betales via betalingsservice.
Så nu er jeg tvunget til at medbringe computer eller overdrage adgangen til min konto til en anden (med alle de misforståelser, det medfører).

Der er IKKE OK at behandle kunder på den måde, og den eneste grund til at banken kan gøre det er, at der ikke er et alternativ.

  • 0
  • 0
Peter Makholm Blogger

Jeg må sige at tonen bliver mere og mere ubehaglig og jeg bryder mig ikke om folks beskyldninger om skjulte motiver og inddragelse af Per Anderes arbejdsgiver, lige som jeg ikke bryder mig om Per Andersens beskyldninger den anden vej. (Men jeg har kun et minus per debat-indlæg)

Men for nu at blive i manden og bolden-metaforen: Jeg føler lidt at vi er blevet sat til at spille blinde-fodbold. I frustration over ikke at kunne finde bolden er folk begyndt at sparke hårdere og mere uforsigtigt.

Desuden er der en del af kritikken der går mod Pers spillestil og det mener jeg er fair game. Men jeg kan godt se at en del af det kan tages som personlig kritik.

  • 0
  • 0
Esben Damgaard

Jeg tror at grunden til at mange protesterer højlydt når man kalder NemID en digital signatur er hvilke muligheder der følge med en digital signatur.
Har man adgangen til sin private nøgle er mulighederne uendelige for hvad du lave.
Pt. med NemID skal man igennem DanID HVER gang man skal lave noget med sin NemID. En simpel ting som signering af noget tekst er umulig med mindre man kommer for DanID. Med en digital signatur kan det hele klares smertefrit og offline.

Der findes utallige måder at bruge en digital signatur, hvorimod NemID er begrænset til hvad DanID beslutter skal være muligt (og herigennem betaling for ydelser der med en digital signatur ville være umulig at tage penge for).

  • 0
  • 0
Henrik Schmidt

Helt enig!

Jeg er rimelig large. mht de mere overordnede aspekter af NemID. Mine kritikpunkter er langt mere nede på jorden:

Jeg bryder mig ikke om, at DanID kræver adgang til min harddisk. Ifølge DanID er det for at kunne skrive i en logfil og ikke andet, men den kunne sådan set lige så godt ligge på deres egne servere. Desuden irriterer det mig, at jeg ikke kan læse indholdet, da det er krypteret, og at de lægger den et sted, hvor der efter min mening ikke bør ligge logfiler. Det gør mig lidt mistroisk, at de ikke alene har valgt en så tumpet løsning, men at de sågar har forsøgt at forsvare den offentligt, og ingen planer har om at lave det om.

Jeg bryder mig ikke om, at koden til deres Java-applet ikke er offentligt tilgængelig.

Jeg bryder mig ikke om, at jeg ikke kan bruge store bogstaver og visse specialtegn i mit password.

Jeg bryder mig ikke om, at mit papkort kan kopieres uden at jeg opdager det. Når den stærkt forsinkede tokenløsning kommer, så bliver der i det mindste rettet op på det for mig personligt.

Jeg bryder mig ikke om, at jeg skal indtaste en ny engangskode, hver gang jeg skal (gen)læse en krypteret email. Det gør i praksis krypteret email ubrugeligt.

Det opfatter jeg ikke som klynkeri.

  • 0
  • 0
Nikolaj Brinch Jørgensen

Oveni hatten vil jeg påstå at hvis man laver en løsning uden kortet, vil folk valfarte dertil, jvf den generalle brok/klynk. Jeg ser endda et fra hov, nikolaj :o) Sorry, det er altså papkort-klynk, at brokke sig over at man skal finde det frem. I det mindste har du ikke lagt dit kort lige foran din computer med en postIt på skærmen hvor dit password står ;o).
Som sagt, jeg ser det her pap-kort alle vegne for tiden, jeg er nok også skadet af at jeg bedømmer folk på deres PC, jeg er bare lidt nørdet.

Ja det gør du. Det er fordi at der bliver klaget over at folk brokker sig over papkortet, og samtidigt bliver der sagt at det er nemmere med NemId. Papkortet gør det lige præcis ikke nemmere.
Det er kerne i striden om Nem. Derfor kan man ikke bare sige det er nemmere og så affærdige diskussionen om papkort.
Jeg er enig i at papkort gør det mere sikkert end uden, men det er ikke issue her.
Jeg udtaler mig om nemmere.
NemId er ikke SSO, for du kan ikke logge på een gang og så er kan du rende rundt i alt muligt offenligt i din session. Der var fejl som blev opdaget for Virk, hvor man når man loggede ud stadigt var logget ind, derfor "fixede" man det ved at stoppe cross domain supporten.

  • 0
  • 0
Nikolaj Brinch Jørgensen

Jeg må sige at tonen bliver mere og mere ubehaglig og jeg bryder mig ikke om folks beskyldninger om skjulte motiver og inddragelse af Per Anderes arbejdsgiver, lige som jeg ikke bryder mig om Per Andersens beskyldninger den anden vej. (Men jeg har kun et minus per debat-indlæg)

Det kan du have ret i. Altså det med inddragelse af Pers arbejdsgiver. Men nu repræsentere vi altså alle sammen en arbejdsgiver og som blogger repræsentere Per så Capgemini. Du arbejder for One, men repræsenterer som blogger her dig selv. Det er klart at man skal stå til ansvar for over sin arbejdsgiver med det man ytre sig omkring, derfor er det selvfølgelig relevant.

Jeg kan at du ikke bryder dig om at der spekuleres i hvad Per mon mener med sit indlæg. Det er så din holdning, jeg er af den holdning at siden indlægget ikke synes at have ret meget formål i sig selv andet end at starte et slagsmål (og det kan umuligt være meningen), så må der være en anden mening med.
Jeg forbeholder mig derfor retten til at forsøge at finde meningen ud fra de kendsgerninger jeg ved noget om, hvilket bla. indebære hvem Per repræsenterer her på version2 (Capgemini), samt andre informationer han selv er kommet med: han er markedsekspert, "Overskrifter sælger" og han lovpriser og blåstempler noget som 90% af dem med indsigt har fordømt som noget klyt.
Så kan du kalde det spin, konspirtationsteorier osv. Det ændrer intet ved at indlægget det er noget af det mest mærkelige jeg har læst, og blottet for mening, end ikke når Per så endelig skriver i debatten, kommer der svar på hvad meningen mon kan være?

Per skal da være velkommen til at skrive at det ikke forholder sig sådan som jeg beskriver, og så fortælle hvad meningen med indlægget så er. Men det lader ikke til at han har lyst til at svare på spørgsmål omkring sit eget blog indlæg, hvilket jeg synes er udtryk for en meget arrogant holdning - eller også kunne det være udtryk for en bevidst strategi?

Læg iøvrigt mærke til at jeg tidligere roser Pers tidligere indlæg. Jeg har intet imod Per eller den virksomhed han repræsenterer, dog har jeg vel ret til at konkludere som jeg gør, det synes jeg ikke du bør gøre dig til dommer over.

  • 0
  • 0
Per Andersen

Bare for at berolige jer, er jeg ikke bortgået i nedtrykt sindstilstand - men jeg vil gerne lave et (afsluttende??) svar på den meget kritik som er velovervejet og forholder mig bedre til argumenterne. Og lige nu har jeg et job at passe, så det bliver nok sent i dag.

  • 0
  • 0
Maxx Frøstrup

Fair nok, jeg vil til enhver tid give dig ret i at pappet, gør NemID mere besværligt end uden.
Altså ikke ligefrem Nem.
Jeg vil også sige at oprettelse og vedligeholdelse af NemID ikke helt holder vand med konceptet "Nem".

Jeg havde ikke opdaget at SSO ikke virkede, det troede jeg faktisk at den gjorde, da den vist gør det via min Borger.dk side. Eftersom jeg stadig har min DS logger jeg oftest bare ind der og har derfra adgang til alt (Nemt).
Jeg regnede egentlig med det var det samme for en NemID??

Jeg hører også at der fra Netbankerne er en vej fra Bank til e-Boks, har ikke selv e-boks og skal ikke kæde den til min bank såååå.

Jeg har faktisk ikke hørt noget brok fra mine Virk.dk bruger efter de er gået fra DS til NemID, trods mine advarsler. Så jeg forledes jo til at tro intet nyt er godt nyt. Det kan jeg så se ikke er tilfældet, men jeg blander mig helst udenom.

Oveni er jeg blevet tumpet i hovedet rigeligt nok ved at skulle bruge NemID konceptet og i mine forsøg på at finde ud af ting som ansvar, fejlretninger, tilpasninger osv osv.
Og der er de altså epic fail, og hænger slet ikke sammen med ordet "Nem".

Min opfattelse er dog at standard brugeren med bind for øjnene og javel hr. minister holdningen faktisk nemt bruger løsningen, igen træls med kortet, men ministeren siger det sååå.
I forhold til deres DS løsninger, så var de enddog lettere.

Hvilket holder mit fokus på hvorfor er det igen vi ikke ruller DS v2 ud til folket og giver dem et valg?
Hvad er det lige der er showstopper i det?

  • 0
  • 0
Nikolaj Brinch Jørgensen

Hej Maxx,

Ja du har ret at Hr. og Fru Hansen kan bruge det (NemId) uden det store besvær. Dog mere besværligt end før.

Der er 2 faser af sådan noget som NemId og TDC DS som man skal forholde sig til.

  1. Den initielle (installering og opsætning).
  2. Dagligt brug.

TDC DS var nogle nogle (især ikke windows brugere, og brugere af anden browser end IE) mere besværlig end NemId
NemId er meget mere besværlig i dagligt brug end TDC DS.

Man må så vurdere hvad der er vigtigst. Det er klart at er fase 1 næsten en umulighed, så er der ingen der hopper på, og vi er så tilbage ved det Per muligvis mener med succes. Nemlig at folk tager det til sig. Her skal man dog passe på med at udråbe det til succes for hurtigt, for præmissen for successen er i høj grad tvang (det kan vel meget godt sammenligned med de "frie" valg i Irak under Saddam Hussein?).
For kunderne/brugerne er det nok vigtigere at den daglige brug (fase 2) er så nem og ubesværlig som mulig, da man stort set altid kan få nogen til at hjælpe sig med fase 1, og det er en fast omkostning, hvor fase 2 er variabel og ender med at være en tidsrøver for mange, hvis den er for omstændelig. NemId indeholder også en anden ubenkendt (som ikke er berørt), nemlig den at kortet bliver væk, hvilket sætter en ude af stand til at logge ind, det kan ikke ske med TDC løsningen.

Personligt vil jeg helst have TDC løsningen, og ville også gerne have haft den i min netbank. Det kunne man have gjort og sparet en masse mia. på udvikling af det som vi har i dag. Man kunne også have tilføjet token funktionalitet i form af papkort og/eller elektroniske tokens mv. Igen hele systemet var der, men man ville lave noget nyt. Synd og skam at man på den måde har brugt en hulens bunke penge på noget som man ikke behøvede.

  • 0
  • 0
Maxx Frøstrup

Jo jo, jeg er helt enig Nikolaj.
Har som sagt selv DS, med næsten panikangst for at min USB pen med Certifikatet på skulle komme noget til.
Og jeg synes faktisk det var rimelig meget lige ud af landevejen at lave.
Metoden var ldt snærklet, noget med at lave en backup og bagefter slette originalen.

Og jeg kan huske min mor i sin tid fik tilsendt en lille cd efter samme princip. Og ja CD er billigere end USB, USB er dog mere ind i min computer venlig.

Og ja igen det var vist rimelig besværligt at ordne på en ikke Windows xp + EI maskine, og jeg har set lidt problemer med Win Vista + IE 8 eller 9.

Men det ændrer ikke ved mit spørgsmål eller præmissen for dette:

Hvorfor kan vi ikke bare tilføje et papkort til DS, kalde det Advanced NemID og frigive det til dem som er friske på at tage kampen op?
Det er selvfølgelig en nødvendighed at beholde standard NemID da det jo så er den "nemme og sikre" løsning som DanID burde tage ansvar for.
NemID Advanced er jo på det nærmeste open source hvor du selv bærer ansvaret for sikkerheden og "nemheden".

Hvorfor er begge systemer ikke idrift?

Faktisk 2 pointer:
1. Hvorfor er det ikke i drift?
Er der noget teknisk som UMULIGØR dette, er det en politisk beslutning, er det en forretningsbeslutning, why????

  1. Hvem er det der skal se fidusen?
    Hvordan trænger man igennem til dem der rent faktisk kan gøre noget ved det. Skriver man et brev til Charlotte om dagen, Søren Winge. Råber man bare længe nok på Computerworld, V2, Ing, Forbruger ombudsmanden, Datatilsynet What, Who?
    Man kan jo ikke ligefrem sige at det er Hr. og Fru Nielsen der vil have den her på bordet, men gud hvor vil det lukke munden på mange at vi rent faktisk havde en mulighed for at lave og opbevare vores egen rod-nøgle.

Er der overhovedet nogen tilbage som ville brokke sig fagligt hvis vi havde exclusiv egen kontrol med vores Rod-nøgle?

Og er der nogen der vil irettesætte mig ved at sammenligne en NemID rod-Nøgle med en Ruko-system nøgle (med key-pad på hoveddøren)?

  • 0
  • 0
Per Andersen

Først og fremmest tak for de mange kommentarer til mit indlæg. Jeg er glad for både de direkte kommentarer til mine vurderinger og de diskussioner der i øvrigt er kommet ud af det, som diverse sikkerhedsspørgsmål. Jeg har lært ganske meget nyt om problemstillingerne, og viden er jo en god ting, som flere har påpeget. Og det er sundt at få sine tanker testet på denne måde. Det er ikke det samme som jeg er blevet ”omvendt”.

@Nikolaj Brinch Jørgensen

så bør du nok tænke på retræte, og medgive folk på debatten at din egen subjektive holdning til NemId, ikke nødvendigvis er sandheden om NemId.

Ja, selvfølgelig er det en holdning, jeg giver udtryk for. Lige som mange andre blog-indlæg. Fx Peter Makholms rigtig gode indlæg om ”Indien eller død” eller sammes nyeste indlæg om selvbetjening, som jeg så tilfældigvis er helt uenig i. Det er altså ikke akademiske udredninger med dokumentation der tynger disse blog-indlæg i almindelighed.

Hvis man som udgangspunkt mener, at der er en objektiv sandhed om NemID, tror jeg det bliver rigtig vanskelig at diskutere. Men det har PHK skrevet meget bedre om end jeg (http://www.version2.dk/artikel/15893-nemid-i-langsom-gengivelse)

@Nikolaj Brinch Jørgensen

Husk at man altid kan sige undskyld, at blive ved med at opføre sig fornærmet over at nogen påpeger man tager fejl, er ...

Jeg vil selvfølgelig gerne (og har allerede gjort det) undskylde den provokerende indledning til mit blogindlæg. Det var heller ikke min hensigt at kalde specifikke personer for brokkehoveder, og da slet ikke dem, der med indsigt skriver indlæg på Version2. Beklager, men det var langt fra jer, jeg tænkte på, og jeg mener absolut ikke at flertallet af de seriøse kommentarer her har noget som helst med brok at gøre.

I øvrigt har jeg ikke kaldt nogen for ”brokkerøve”, uanset hvor mange gange Kristian Lund hævder det og Nikolaj Brinch Jørgensen ekkoer det. Jeg har aldrig anvendt den betegnelse.

Men vil jeg undskylde for, at jeg har en anden holdning end en række af skribenterne her? Selvfølgelig ikke. Vil jeg ligge under for intimidation såsom hints omkring min arbejdsgiver og skifte mening på basis af dette? Absolut ikke.

@Nikolaj Brinch Jørgensen

Per har vist i andre indlæg at han ikke har tomgang i hovedet, derfor må der naturligvis ligge andet bag … som blogger repræsentere Per så Capgemini … Men det lader ikke til at han har lyst til at svare på spørgsmål omkring sit eget blog indlæg, hvilket jeg synes er udtryk for en meget arrogant holdning - eller også kunne det være udtryk for en bevidst strategi?

Min blog er ikke en officiel Capgemini blog, og holdningerne er helt og aldeles mine egne, om end jeg naturligvis står til regnskab over for min arbejdsgiver. Det er en sag mellem os. Og jeg har faktisk skrevet (eller forsøgt på det) en række svar til de forskellige indlæg.

Peter Makholm

Med den virkning at jeg bliver beskyldt for at tage dig som gidsel i en politisk diskussion hvor efter du skiftevis efterlyser debat og afviser debat on netop samme emner

Det beklager jeg, kommentaren var ikke specielt kun møntet på dig. Men jeg har ved tidligere lejligheder oplevet, at en ”for” og en ”imod” fløj forsøger at få mig til at vælge 100% side i et politisk orienteret spørgsmål.

Peter Makholm

Er der iøvrigt nogen der kan finde debatten om udenlandske interesser som Per Andersen i går klokken 15:13 afviser at tage?

Helt min fejl – jeg mente kommercielle interesser og ikke udenlandske interesser.

*** Hvorfor skrev jeg blog-indlægget ***

Det er faktisk som jeg startede med at skrive. At i lyset af erfaringerne med den meget (af folk i almindelighed) kritiserede Digitale Signatur (DS) der kun efter en meget lang periode nåede en vis udbredelse, er det rimeligt med den nye sikkerhedsløsning at fokusere på disse forhold: samme signatur på tværs af sektorer, ikke bundet til en fysisk enhed (DS installeredes på den fysiske enhed), nem at bruge og hurtig udrulning til en stor del af befolkningen.

Det mener jeg er rimelige succesfaktorer og efterfølgende har jeg så fundet ud af, at disse forhold netop var de overordnede krav til forbedring fra ITST i udbudsforretningen.

Jeg konstaterer så, at disse mål i ganske stor udstrækning er nået. Alligevel brokker folk sig over NemID. Det var lige HER kæden hoppede af. I troede jeg mente jer og de seriøse og legitime indvendinger, der er rejst i denne dialog. Det mente jeg IKKE. Jeg mente, som jeg skrev, de personer ”ude i samfundet” der stadig brokker sig over pappet – og medierne, der fx har hængt sig meget i startproblemerne.

Jeg er så blevet belært om, at dette ikke er den rigtige diskussion. Sådan en påstand er selvfølgelig subjektiv, og jeg har forsøgt at få pointen igennem, at hr og fru Jensen nok ser det anderledes. Kan man hævde, at de bare er dumme og at for dem burde den rigtige diskussion være monopol, personlig identitet hos et privat firma, skrivning på deres harddisk, det præcise sikkerhedsniveau og sådanne forhold? Dette mener jeg er en nedvurdering af folk og forvrængning af perspektivet.

Men lad mig – efter utallige opfordringer kan jeg vel godt tillade mig at skrive – forholde mig til de vigtigste af dem (efter volumen her i tråden).

*** Tvang ***

Ja, systemet er indført ved tvang. Det har jeg tidligere kommenteret. Jeg blev også tvunget til at bruge Digital Signatur (ift. visse offentlige systemer), lige som mit kreditkort selskab tvinger mig til tre sikkerhedskoder ved net-transaktioner.

At man vælger den udrulningsmodel og en one-size-fits-all er jo et bevidst valg, og en succes eller fiasko affødes af de valg man træffer. Her har man altså truffet et valg der sikrer succes på ibrugtagningen. Det mener jeg godt man kan karakterisere som en succes.

Det er korrekt, at der ikke er alternativer, og vi lever i et samfund, hvor vi er vant til at hvis vi ikke er tilfreds med det ene kan vi skifte til det andet. Problemet er bare, at når det gælder standarder og infrastruktur, står man over for nogle særdeles svære valg omkring ensretning kontra valgfrihed. Vi er for eksempel smadderirriterede over, at der er forskellige strømstik i forskellige lande og der er forskellige opladere til forskellige mobiltelefoner bl.a. på grund af stik.
Vi er også tvunget ind i CPR systemet, selv om guderne må vide at der var meget kritik af dette de første årtier.

Nogle gange har man indtrykket, at ønsket om valgfrihed bliver et princip for princippets skyld, og så bliver det ren politik (eller personlig grundholdning om man vil). Det var den diskussion jeg ikke havde så meget lyst til at gå ind i, for den er så grundlæggende, at det er og bliver holdning og argumenter som regel er nyttesløse.

Jeg siger ikke, at det nødvendigvis er tilfældet med NemID. Og jeg kan se, at der er kreative forslag til, hvordan man kunne have alternativer parallelt med NemID. Men er I helt sikre på, at synsvinklen ikke er ud fra en personlig tilfredsstillelse i stedet for et samfundshensyn? (ikke at forveksle med nedenstående punkt om monopol).

Som fx når Klavs Klausen argumenterer for, at han gerne vil have en anden løsning til sig selv, for han nu tilfældigvis har IT kompetencer. Det synes jeg er en snæversynet holdning – tænkt sig hvis alle interessegrupper havde lov til at bede om en speciel sikkerhedsløsning til netop deres kompetencer og interesser.

Jeg synes overordnet, at det er godt for samfundet, at vi i modsætning til DS med NemID har fået en enkelt løsning – men mener også, at hvis man kan bygge videre på den og gøre den bedre, vil det være godt.

*** Kommercielt monopol ***

Dette synes, på tværs af hele debatten, at være det mest fremtrædende kritikpunkt, som man mener jeg har skøjtet hen over. Fx Kristian Lund:

Hvorfor skal ét firma have den egentlige kontrol med min digitale identitet, istedet for mig selv (og alle de åbenlyse følgesygdomme som enhvert sådan monopol og flaskehals giver).

.

Jeg har altså bare ikke slet ikke set det som et problem før end helvede bryder løs her. Og det er der nogle gode grunde til: jeg hører til den kategori af mennesker, der opfatter et overskudsgivende erhvervsliv som positivt og finder outsourcing af offentlige opgaver til private helt ok.

Ved offentlig outsourcing til private er man ofte nødt til at give eksklusivitet, enten for at opnå tilfredsstillende kommercielle vilkår eller for at undgå uhensigtsmæssigheder. Ved NemID tror jeg, at begge dele har gjort sig gældende. Tænk fx hvis regionen outsourcede ambulancedrift til flere, konkurrerende selskaber. Det ville blive meget svært at håndtere og have mange uhensigtsmæssigheder, selv om man ville kunne argumentere for, at tilkaldetiden ville blive kortere.

Jeg kan forstå argumentationen for, at netop folks identitet ikke bør overdrages til en privat virksomhed. Jeg er i øvrigt også modstander af monopoler (men mener i øvrigt at markedet skal ordne monopoler, ikke regulering, men det er vist nok en anden diskussion). Men at et enkelt firma har min digitale identitet liggende eller de har adgang til min harddisk holder mig ikke vågen om natten. Det er min opfattelse, at et privat firma i mindst lige så høj grad kan passe på sikkerheden omring dette som en offentlig kan – på en række punkter mener jeg endda bedre.

Jeg har heller aldrig haft problemer med, at private firmaer tjener penge på danske forbrugere. Det gør de alle sammen hver dag (eller burde) – og de skaffer Danmark jobs med bidrag til BNP. Men det forudsætter naturligvis at ITST gør deres arbejde, og at aftalen gennem et reelt udbud er indgået på kommercielle fornuftige vilkår, og her er vi sikkert uenige. Der har været kritik af udbudet, kan jeg se, men det som ved andre offentlige udbud, at hvis leverandører mener der har været urent trav, har du mulighed for at klage.

Punktet er i høj grad et holdningsspørgsmål – hvad man personligt mener man kan leve med. Og så må man vælge nogle politikere der matcher, selv om det faktisk er et lidt for nemt argument.

*** Sikkerhedsniveau ***

Er NemID mere sikker end DS – eller omvendt – eller er de bare forskellige med forskellige sårbarheder?

Flere indlæg synes at glemme, at sikkerhed ikke er et absolut begreb. Noget er ikke ”sikkert” eller ”ikke sikkert”. Det er lige som med huset derhjemme: Man må gøre op, hvor sikker man ønsker at være, hvor meget det må koste og hvor store værdier man har, man vil beskytte.

Når jeg ikke har blandet mig i den diskussion er det, foruden at jeg ikke er sikkerhedsekspert, fordi både NemID og DS er tilstrækkelig sikre for mig. Det er igen ud fra en grundholdning om, at jeg ikke ligger søvnløs om natten over indbrud i mine elektroniske systemer. Faktum er, at vi omgiver os med en helt masse risici, og i det store billede synes jeg nok det er mere bekymrende at gå over Jyllingevej, når de ligger og drøner med 120 derude. Min holdning er, at folk bekymrer sig for meget over, hvad andre kan få adgang til hvis de virkelig er kriminelle, dygtige og bruger mange ressourcer på det – jeg er godt tilfreds hvis bare min nabo ikke har frit adgang (skrev i øvrigt en klumme i Computerworld om dette). Dette selvfølgelig sat på spidsen.

Dermed ikke være sagt, at ingen skal bekymre sig om det – det skal dem, der designer systemerne selvfølgelig, og det er godt at se, at der er så mange i dette forum, der ved så meget om det. Men i denne forbindelse er jeg en, der bruger hoveddørslåsen og stiller mig tilfreds med, at Ruko nu nok har noget styr på det i stedet for at jeg piller låsen ud og skiller den ad. Og jeg mener, at jeg er kvalificeret til at diskutere sikkerhedsstrategier for huse uden at havde dyb indsigt i, hvad der gemmer sig inden i låsen.

*** Netbank, performance og uhensigtmæssigheder ***

Der er en del kritik af, hvordan NemID fungerer i forhold til visse netbanker. Jeg må gentage, at dette mener jeg er et spørgsmål om, at NemID implementeres forskelligt i banker og hos offentlige myndigheder (se udredningen på ITST) og langt hen er en kritik der skal rettes til bankerne og ikke NemID som teknologi.

*** Nem at bruge ***

Med spørgsmålet om ”nemt at bruge” er vi tilbage ved papkortet. Men brugervenlighed er meget mere end blot papkort (hvor nemt den løbende brug er). Brugervenlighed er også, at registreringsproceduren i forhold til DS er nemmere for brugeren, man skal ikke installere noget på sin PC, at der ingen problemer er med at bruge løsningen via alternative enheder og udskifte disse og man skal kun huske et enkelt kodeord på tværs af alle systemer. Jeg ved godt, at nogen her hævder, at de ikke har noget problem med flere kodeord – det er jeg overbevist om ikke er repræsentativt for befolkningen. Igen er prisen for alle de positive ting på venlighedslisten, at man har papkortet (eller må købe en kommende digital løsning). Det er stadig det, jeg hører folk snakke om – og det var det, jeg (provokerende) kaldte for typisk dansk brokkeri.

Der er dog nogle, der giver mig ret, fx Niels Didriksen

Når du siger, at NemID er nemmere end TDC's OCES har du ret

Jeg bruger ikke NemID til krypteret email og kan derfor ikke afvise, at dette er specielt besværligt.

*** Digital signatur eller ej ***

Om NemID bliver kaldt for en digital signatur eller ej er ikke umiddelbart interessant, som flere også har givet mig ret i. Der kan være afledte, substantielle effekter, der så vidt jeg kan se handler om sikkerheden, hvilket er adresseret ovenfor.

*** Afslutning ***

Jesper Louis Andersen:

Enig [om en enkelt fælles løsning]. Det er det positive ved hele projektet. Det negative er så til gengæld alt det vi har mistet i proceduren. Og jeg må nok erkende at hvis vi vejer de to ting op mod hinanden, så er der som helhed tale om et tilbageskridt. Det også selvom vi har en enormt fremskridt med at alle benytter den samme løsning.

Her er sagens kerne. Jeg kan lave den samme vurdering, men når frem til den modsatte konklusion, at når tingene vejes op mod hinanden mener jeg stadig, at den valgte løsning er et vigtigt skridt fremad. Det er forhåbentlig ikke enden på nogen udvikling og forventer, at løsningen gøres bedre i de kommende år.

Det er interessant, at en undersøgelse af bankkunder viser, at 75% af kunderne er tilfredse med NemID mens kun 18% er utilfredse – og specielt IT kyndige er utilfredse (http://www.computerworld.dk/art/113439/finansraadet-de-it-kyndige-er-kri...). En undersøgelse i 2008 af DS viste, at 85% var tilfredse. Jeg er helt overbevist om, at denne forskel er udtryk for irritation over papkortet og ikke andet.

Dette synes jeg er en fin kvantificering af den diskussion vi har haft her.

OG SÅ LOVER JEG ALDRIG MERE AT SKRIVE INDLÆG AF DENNE LÆNGDE (så noget har I da opnået!)

  • 0
  • 0
Carsten Sonne

så noget har I da opnået!

Mit egen primære motivation er et ønske om oplysning og bevidsthed. Jeg ser ikke noget de, os eller i. Jeg ser (læser) blot en masse halve sandheder. Generelt kan siges at mediernes leflen for laveste fællesnævner afføder en del, mere eller mindre, vildledende historier. Til tider kan udtalelser være af direkte manipulerende karakter - primært i politisk orienterede historier.

Forskellige meninger og holdninger er kun berigende. Hvis vi alle mente det samme, var verden et kedeligt sted. MEN, et vis niveau af faglighed må kunne forventes. I hvert fald hvis man gør sig til dommer over andres holdninger. Ellers er man jo dybest blot en ignorant tyran.

Al respekt for din holdning, Per. Jeg må dog sige at verden er større end du blot skitsere. Teknik er bare en ting. Noget andet er abstraktion og kreativitet - og at lave plads til selvsamme. Nogle gange skal det være lidt svært. Hvis det bliver for nemt - ja, så bliver mulighederne også derefter. Intet er gratis. På det punkt er ambitioner ikke det, der bedst kendetegner DK. Tværtimod. Det skal være nemt.

Som eksempel på hvor vidt et velfunderet grunddesign kan komme anno 2011, vil jeg nævne borgerkortet i Estonien. Ikke at det er perfekt - men det er der jo intet der er.
http://en.wikipedia.org/wiki/Estonian_ID_card

  • 0
  • 0
Henrik Schmidt

Jeg bruger ikke NemID til krypteret email og kan derfor ikke afvise, at dette er specielt besværligt.

Prøv det. Det er et mareridt. Jeg har dog ikke prøvet det på andet end OS X. Her skal man bruge en ny engangskode for hver gang, man vil læse en krypteret email. Uanset om man har læst den før. Det er ikke ligefrem single signon.

Det virker naturligvis ikke på smartphones og den slags.

  • 0
  • 0
Peter Mogensen

Nu vil jeg ikke tærske langhalm, men blot kommentere 2 ting i din slut-kommentar:

I troede jeg mente jer og de seriøse og legitime indvendinger, der er rejst i denne dialog. Det mente jeg IKKE. Jeg mente, som jeg skrev, de personer ”ude i samfundet” der stadig brokker sig over pappet – og medierne, der fx har hængt sig meget i startproblemerne.

Den misforståelse vil jeg mene at du selv er skyld. Jeg er 100% enig med dig i NETOP den kritik, men jeg kan altså godt skrive et indlæg, der påpeger den uden at det utvetydigt kan læses som en blåstempling af NemID.

Ja, systemet er indført ved tvang.

Jeg tror ikke helt du forstår problemet i den tvang.
Der er 2 forhold:
For det første er det et spørgsmål om tillid. Når jeg f.eks. bliver
tvunget til at bruge PBS og deres net-transaktions-system til mit
debit-card, så gør det gladeligt, fordi jeg allerede har placeret den
tillid til banken ved at betro dem mine penge. Der er ikke brug for at
udvidde tilliden. Men når NemID pludselig skal bruges til ting, der er banken fuldstændig uvedkommende, så skal jeg placere en tillid til banken, som jeg ikke mener er hverken sund, berettiget, eller nødvendig.
Mængden af tillid man kan have til et system er også større hvis man har et valg. Havde DanID ikke tvunget mig til at de skulle have min private nøgle og tvunget mig til at køre deres software på min computer, men istedet offentliggjort de nødvendige interfaces til at 3. part kunne levere løsninger, der interagerede med NemID, så havde jeg kunne place den tillid i systemet, der var nødvendig for at jeg kunne bruge det til andet end net-bank.
For det andet, så mener jeg at befolkningen er blevet decideret bedraget hvad angår frivilligheden. DanID har konstant slået på at NemID bestod af 2 komponenter - netbank og OCES - og at det var frivilligt om man ville bruge det til OCES. Havde NemID kun været et system til SSO på PBS systemer, så havde jeg ikke haft noget imod det. (Ud over den unødvendige priviligerede Java-applet, som jeg ikke ønsker har adgang til min disk). Jeg har før brugt Jyske Banks netbank med stor tilfredshed. Men den frivillighed DanID påstår man har med OCES eksisterer ikke, for det offentlige har en helt anden agenda og NemID bliver pushet i så mange applikationer nu, at det er helt urealistisk som borger at vælge OCES fra. Der har endda været stor påstyr om det problematiske i at så mange ikke valgte det til.

Du kan ikke sammenligne tvangs-problematiken med CPR og Dankort og det har været et gennemført uærligt forløb med hensyn til frivilligheden.

  • 0
  • 0
Peter Hansen

Du har selv ved din blogstil lagt op til en hidsig debat og nu gider du ikke mere.
Og hvad er opnået ? Absolut ingenting - tværtimod står du tilbage som en fortsat støtte af netop det, som mange her protesterer imod :

-bureaukrati for bureaukratiets skyld - uden af trit med en demokratisk tænkning de fleste er opdraget i. Eksemplet med CPR er jo netop udtryk for det samme, og eksempel på et system, der har været anvendt, men med store demokratiske omkostninger. Hvorfor gentage succesen ? Vi kan jo prøve at eksportere NemID til Kina, det passer nok bedre til regimets samfundsforståelse.

-mangel på innovation -
NemID er forældet, og allerede nu, 1 år efter sin lancering, er der væsentlige tekniske problemer
(eks. manglende understøttelse på mobile platforme, forsinket levering af erhvervsløsning, forsinket levering af elektronisk token)

-korruption/kritisabel embedsførelse -
hele udbudsprocessen overholder måske formalia, men at der her er tale om et sammenbrud af selve idéen bag offentligt udbud burde stå lysende klart. At bøje regler imod reglernes egentlige formål burde ikke være måden, man indleder et så vigtigt projekt på.

-ansvarsfralæggelse - klausulerne vedr. brugernes pligt til at bevise at de har anvendt NemID korrekt - i tilfælde af misbrug - er meget svækkende for hele NemID-tanken. Brugernes tillid til systemet forsvinder, når de finder ud af, at de selv skal hæfte. Jeg tror, at 99% af brugerne tror at der gælder samme regler for NemID som for Dankortet. Lad os se, hvad der sker, når de første sager dukker op.

En lille eftertanke :
Omkostningerne ved at skrotte NemID og udvikle noget bedre er måske store, men omkostningerne ved at skulle reparere på et projekt, der har været så fejlbehæftet (og kritiseret) fra starten vil jeg hævde vil blive væsentligt større - jfr. eks. IC4.

At du, Per, vil fortsætte med at have din holdning, er fint nok, dog vil jeg foreslå dig at vågne op og se fremad mod andre - og bedre - løsninger.

  • 0
  • 0
Carsten Sonne

Hvorfor gentage succesen ? Vi kan jo prøve at eksportere NemID til Kina, det passer nok bedre til regimets samfundsforståelse.

Alt den hurlumhej med asymmetriske nøgler, når det man vil have er en single-signon løsning; Og så give ejerskabet til en selvstændig privat virksomhed sammen med en garanti om monopol ? Så dumme er de ikke.

I min optik, er NemID direkte uintelligent.

  • 0
  • 0
Dennis Thrysøe

Per Andersen:

Det synes jeg er en snæversynet holdning – tænkt sig hvis alle interessegrupper havde lov til at bede om en speciel sikkerhedsløsning til netop deres kompetencer og interesser.

Tænk sig hvis man havde valgt et åbent (og mere sikkert) system, som kunne tilgodese alle disse interessegruppers kompetencer og interesser.

Ellers er jeg faktisk enig med dig noget hen ad vejen, Per: NemID som fænomen er en prisværdig idé som ser ud til at (være) lykkedes. Vi har nu en folkelig SSO.

Men som mange andre skriver, er det en stor skam at dette er opnået med en løsning der har så mange fejl og mangler.

Efter min mening er målet fint, men det helliger ikke midlet.

-dennis

  • 0
  • 0
Kristian Lund

Tak for et mere opklarende indlæg.

Jeg vil da lige starte med at vedgå, at du ikke har kaldt nogen for brokrøve. Du har affejet folk som nogle der brokker sig ude grund, og kaldt dem klynkende - førstnævnte falder i mit sprogbrug sammen at være en brokrøv, men det skal du selvfølgelig ikke tages til indtægt for.

Tilbage står dog stadig:
- En påstand fra dig og DanID om at løsningen er nem. Det er den ikke, det er unødigt bøvlet, cf. pap og krypterede emails.
- At løsningen er en succes, når succesen kun er opstået ved tvang.

Jeg læser desuden dit indlæg, som at du mener der er tale om en principiel diskussion omkring outsourcing. Den kan vi sagtens tage en anden gang. Men du siger også selv at du mener markedet er bedre til at bekæmpe monopoler - men her har vi jo netop en løsning der sørger for at markedet er ude af stand til at bryde monopolet!
Du skriver du er imod monopoler, men støtter en løsning der garanterer et ubrydeligt monopol - den må du sgu gerne lige forklare...

"Lad os vente til helvede bryder løs" synes jeg i øvrigt er en herre-dårlig idé.

  • 0
  • 0
Carsten Sonne

Martin Bøgelund:

Jeg er skuffet over den retorik, især set i lyset af hvor mange hug Per Andersen fik for sin måde at omtale "de modsatte" synspunkter på.

Ok - nok mest en reaktion på en fordomsfuld udtalelse. En mere modereret udgave kunne lyde:

Jeg har lidt svært ved at se, præcis hvad man vil opnå med det tekniske design bag NemID. Setup'et syntes samtidig at virke fastlåsende for både kunde og slutkunde - og med overvejende fordele for leverandør.

  • 0
  • 0
Flemming Frandsen

Et stats-tvunget monopol som DumID intet at gøre med hvad markedet vil have, hvis man gerne ville have et marked for single-signon så skulle man have lavet/valgt en single-signon protokol som alle kan implementere og så lave en whitelist af godkendte udbydere.

Hvis der var flere udbydere af single-signon så ville brugerne selv kunne fravælge bøvlede/usikre løsninger som DumID og TDC kunne, hvis de havde lyst, drive den gamle, velfungerende, skallerbare, ssl-client-certificate baserede digital signatur videre.

DumID er, ganske som Amanda, EPJ, Digital Tinglysning & Rejsekortet endnu et eksempel på at det offentlige Danmark ikke forstår noget som helst teknologi der er opfundet efter 1930.

Det er godt at vi har så mange penge og så solid en økonomi her i landet at det ikke gør noget at vi poster en masse penge i det ene fejlslagne IT projekt efter det andet.

  • 0
  • 0
Nikolaj Brinch Jørgensen

@Flemming
Om markedet vil have det, tja... måske ikke de teksniske brugere (a la version2 læsere), og måske heller ikke en del af de "almindelige forbrugere", men jeg tror at størstedelen af forbrugerne, altså slutkunderne, gerne vil have en SSO løsning til offentlige løsninger.
Derudover er det vel forkert at påstulere at markedet ikke vil have det, for bankerne og det offentlige Danmark vil godt have det og betale for det, og de er markedet for disse løsninger.

Du glemmer vist også at Elekronisk Tingkysning faktisk fungerer.

Det kunne ligeledes være interessant om du har viden om alle disse projekter til at dømme at det åbenbart var opgavestiller som havde lavet fejlene, siden du påstulerer at det er det offentlige Danmark der bærer skylden, har du det? Der er i hvert fald i alle tilfælde en leverandør indblandet også.

Det er ganske rigtigt at det ville være super hvis løsningen havde været interoperabel (det er den faktisk også, man kan f.eks. godt på et domæne, have f.eks. en anden SSO løsning som kører bag ved NemId, det er der kunder der har), således at man implementere den løsning man fandt bedst.
F.eks. benytter man NemLogin og SAML ovenpå NemId.

  • 0
  • 0
Nikolaj Brinch Jørgensen

Det forstår jeg ikke... hvordan definerer du "fungerer"?

Det fungere ved at man rent faktisk kan tinglyse et skøde, ved brug af systemet. Sådan definere jeg "fungerer"? Jeg prøvede det her i foråret, det virkede fint.

Mig bekendt indebærer en tinglysningsprocess at jeg skal underskrive juridiske dokumenter med min EGEN signatur. Hvordan kan jeg gøre det digitalt uden at have en?

Hmm, gør det det? Så er det nok det du gør, når du bruger din NemId til dette, nemlig at din EGEN signatur som opbevares hos DanId, benyttes til dette, og du med dit papkort og hvad ved jeg giver samtykke til DanId om at gøre det. Om det så er super smart og hensigtsmæssigt? Smart for rigtigt mange, hensigtsmæssigt i forbindelse med sikkerhedssprgsmålet - sikkert ikke.

Hvis ikke det er det du gør, (altså alt det her halløj med DanId/NemId), så kræver tinglysningsprocessen det ikke. Det kan man ligesom udlede heraf - er du ikke enig?

  • 0
  • 0
Michael Rasmussen

Hvis ikke det er det du gør, (altså alt det her halløj med DanId/NemId), så kræver tinglysningsprocessen det ikke. Det kan man ligesom udlede heraf - er du ikke enig?

Mig kendt kan man ikke anvende nemID til digital tinglysning, da en tinglysning kræver en, i juridisk forstand, gyldig og retsbindende underskrift. For at dette skal kunne lade sig gøre digitalt, fordrer det en digital signatur, der overholder loven om digital signatur, hvilket vi jo alle ved, at nemId ikke gør.

Dette er også den eneste grund til, at man stadigvæk kan erhverve sig en digital signatur fra det gamle TDC setup, da denne overholder loven om digital signatur, og derfor er eneste nuværende lovlige metode at foretage digital tinglysning i Danmark pt!

Folketinget er dog i lidt af et dilemma, da loven om digital signatur er forankret i EU-ret, hvorfor denne ikke blot kan omskrives i Danmark, så nemID som digital signatur lovliggøres. Var dette ikke tilfældet, var loven sikkert omskrevet for flere år siden.

  • 0
  • 0
Morten Jensen

@Michael Rasmussen

Folketinget er dog i lidt af et dilemma, da loven om digital signatur er forankret i EU-ret, hvorfor denne ikke blot kan omskrives i Danmark, så nemID som digital signatur lovliggøres. Var dette ikke tilfældet, var loven sikkert omskrevet for flere år siden.

Det her er IMO meget centralt i diskussionen om NemID. Flere fortalere (eller ihvertfald ikke-kritikere) bruger argumentet at "det virker jo" og at for Hr og Fru Jensen gør det næppe nogen forskel.

Det er rigtigt at man kan gøre det man vil, men det er problematisk at man f.eks. ikke kan skille netbank og OCES ad, hvis man vil have begge dele.

@Nikolaj Brinch Jørgensen

Om markedet vil have det, tja... måske ikke de teksniske brugere (a la version2 læsere), og måske heller ikke en del af de "almindelige forbrugere", men jeg tror at størstedelen af forbrugerne, altså slutkunderne, gerne vil have en SSO løsning til offentlige løsninger.

Jeg tror du har ret. Jeg tror bare ikke at de almindelige forbrugere vil have NemID. Omkring 25% havde valgt OCES fra, indtil skat, SU og diverse andre offentlige insitutioner fjernede alternativerne til NemID. Det er ikke markedet der har bestemt; det er staten.

  • 0
  • 0
Rasmus Faber-Espensen

@Michael Rasmussen:

Dette er også den eneste grund til, at man stadigvæk kan erhverve sig en digital signatur fra det gamle TDC setup, da denne overholder loven om digital signatur, og derfor er eneste nuværende lovlige metode at foretage digital tinglysning i Danmark pt!

Den gamle TDC signatur overholder heller ikke loven om digital signatur. TDC udstedte en kort overgang kvalificerede certifikater, men der var intet marked for det, og der er ikke længere nogen udbyder, der tilbyder dem. Den gamle digitale signatur bliver stadig tilbudt, da der stadig findes en del legacy systemer, der kun virker med den gamle digitale signatur.

Loven om tinglysning kræver ikke at der skal underskrives med kvalificerede certifikater. Der står derimod i lovens § 7 stk 4 :

Justitsministeren kan efter forhandling med ministeren for videnskab, teknologi og udvikling fastsætte nærmere regler om de tekniske krav til dokumenter og digitale signaturer.

Så eftersom man i øjeblikket kan bruge NemID, må man antage at Justitsministeren og Videnskabsministeren er blevet enige, om at det er okay.

  • 0
  • 0
Rasmus Faber-Espensen

@Michael Rasmussen:

Dokumentation udbedes?

Lov om elektroniske signaturer:

§ 6. Nøglecentre skal fastsætte og anvende betryggende procedurer til at kontrollere identiteten og andre forhold vedrørende underskriveren forud for udstedelsen af certifikatet.

[...]

Stk. 3. Forskningsministeren kan fastsætte nærmere regler om kravene i stk. 1 og 2.  

Bekendtgørelse om sikkerhedskrav m.v. til nøglecentre:

§ 6. Forud for udstedelse af et kvalificeret certifikat skal underskriveren over for nøglecentret fremvise relevant legitimation, der mindst skal omfatte navn, adresse, CPR-nummer, eller anden lignende dokumentation, hvis den pågældende ikke har CPR-nummer, samt dokumentation for andre forhold vedrørende underskriveren, som skal fremgå af certifikatet.

Stk. 2. Underskriveren skal være fysisk tilstede i forbindelse med, at identitetskontrollen foretages, jf. dog stk. 3.

Stk. 3. Såfremt nøglecentret på forhånd har kendskab til underskriverens person, kan kravet i stk. 2 dog fraviges.  
  • 0
  • 0
Rasmus Faber-Espensen

@Michael Rasmussen:

Hvilke af de regler, du fremhæver, gør, at den gamle digitale signatur fra TDC ikke opfylder loven om digital signatur?

"Underskriveren skal være fysisk tilstede i forbindelse med, at identitetskontrollen foretages".

Den almindelige (ikke-kvalificerede) gamle digitale signatur bliver blot udstedt ved at der blev sendt en PIN-kode til CPR-adressen.

  • 0
  • 0
Michael Rasmussen

Den almindelige (ikke-kvalificerede) gamle digitale signatur bliver blot udstedt ved at der blev sendt en PIN-kode til CPR-adressen.

Du glemmer Stk. 3.

Stk. 3. Såfremt nøglecentret på forhånd har kendskab til underskriverens person, kan kravet i stk. 2 dog fraviges.

Udtræk af oplysninger fra CPR-registret sidestilles med "[..]på forhånd har kendskab til underskriverens person"

Så jo, den gamle digitale signatur fra TDC opfylder lovens bestemmelser.

  • 0
  • 0
Rasmus Faber-Espensen

Udtræk af oplysninger fra CPR-registret sidestilles med "[..]på forhånd har kendskab til underskriverens person"

Der er en grund til at hverken TDC eller DanID ikke kalder den gamle signatur for et kvalificeret certifikat. At udsende et brev til en adresse, man har fået af en 3. part kan på ingen måde opfylde kravet i stk. 3.

Det er nok også den væsentligste grund til at der kun blev udstedt ca. 600 kvalificerede certifikater: brugerne synes simpelthen, at det er for besværligt at skulle møde op personligt.

  • 0
  • 0
Rasmus Faber-Espensen

Suk. Prøv at læse Lov om elektroniske signaturer.

Lovens formål er at definere hvad et kvalificeret certifikat er, og at lovgive om hvad kravene er til nøglecentre, der vil udstede kvalificerede certifikater.

Det giver ikke mening at snakke om at opfylde Lov om elektroniske signaturer, hvis man ikke forholder sig til kvalificerede certifikater.

Alternativt snakker du blot om definitionerne i § 3 (som udtrykkeligt begrænses til at kun at gælde for selve lovteksten), men man opfylder altså ikke en lov uden at opfylde alle de relevante §§, og den gamle signatur opfylder ikke identitetskravene i lovens § 6.

  • 0
  • 0
Michael Rasmussen

men man opfylder altså ikke en lov uden at opfylde alle de relevante §§, og den gamle signatur opfylder ikke identitetskravene i lovens § 6.

Selvfølgelig kan man opfylde en lov uden at opfylde samtlige paragraffer, såfremt loven beskriver flere genstandsområder.

Loven om digital signatur beskriver regler for to genstandsområder
1) Avanceret elektronisk signatur §3
2) Kvalificerede certifikater §4

Ergo kan et digitalt signatursystem være omfattet af loven, såfremt systemet opfylder blot et af genstandsområderne. For den gamle digitale signatur fra TDC gælder, at den opfylder bestemmelserne i §3, og er således omfattet af loven.

For NemID gælder, at den hverken opfylder bestemmelserne i §3 eller §4, hvorfor NemID ikke er omfattet af loven.

I henhold til gældende lov, kan man derfor ikke foretage en juridisk bindende digital underskrift af et dokument med NemID, da dette udelukkende kan ske med digitale signaturer omfattet af "lov om digitale signature", hvilket ovenstående viser, ikke er gældende for NemID.

  • 0
  • 0
Rasmus Faber-Espensen

§ 3 er ikke en bestemmelse. Det er blot definitioner til brug i resten af loven. Ud fra din sprogbrug må NemID også være omfattet af loven, eftersom den opfylder § 3 stk. 1 - og et selvsigneret certifikat må opfylde loven om elektroniske signaturer, eftersom et sådant er omfattet af definitionen i § 3 stk. 8.

Men diskussionen om sprogbrug er mindre relevant. Det vigtigste er hvad retsstillingen på området er.

Du påstod i dit originale indlæg, at 1) NemID ikke kan anvendes til en retsbindende underskrift, 2) den "gamle" signatur kan og 3) at det er på grund af Lov om elektroniske signaturer.

Lov om elektroniske signaturer fastsætter særlige regler for hvad man kalder kvalificerede certifikater og kræver i § 13 at man skal acceptere signaturer baseret på kvalificerede certifikater alle de steder hvor man i lovgivningen fordrer elektroniske signaturer. Der står derimod intet om, at man ikke må acceptere andre former for elektroniske signaturer.

Dansk lov har ingen formkrav til aftaleindgåelse. En mundtlig aftale er lige så bindende som en aftale der er digitalt signeret. Lov om elektroniske signaturer ændrer ikke på det. I visse sammenhæng kan der være særlige formkrav - f.eks. ved tinglysning. Her er det den enkelte lov, der regulerer det, og som beskrevet ovenfor er det op til Justitsministeren og Videnskabsministeren at bestemme reglerne for elektronisk underskrifter.

  • 0
  • 0
Peter Mogensen

Det giver ikke mening at snakke om at opfylde Lov om elektroniske signaturer, hvis man ikke forholder sig til kvalificerede certifikater.

Korrekt. Og i den forbindelse bør man også overveje hvad disse "kvalificerede" certifikater så var tænkt til at skulle bruges til. NemID bliver jo pushet til hver eneste samfundsopgave som en digital signatur kunne være relevant til, så jeg har meget svært ved at forestille mig at de politikere, der udformede "Lov om elektroniske signaturer" ikke havde forestillet sig at det var - f.eks. - elektronisk tinglysning de lovgav om.

Det kunne da være interessant at høre hvilke use-cases "Lov om elektroniske signaturer" så egentlig dækker, for det er åbenbart ikke noget vi nogensinde skal bruge i Danmark.

  • 0
  • 0
Nikolaj Brinch Jørgensen

Hej Peter,

Hvordan kan det være min EGEN signatur, når jeg slet ikke selv kender den eller kan bruge den uden at anmode DanID om at gøre det for mig?

Det er jo op til definitionen af EGEN (den er sikkert ganske subjektiv). Hvis du får noget er det også din egen. Andre kan også opbevare noget der er dit, og andre kan på din foranledning gøre ting med din genstand. Dette sker hele tiden, i og med du allerede har givet tilladelse til at en masse myndigheder kan gøre ting på vegne af dig. SKAT kan jo f.eks. tilbageholde din løn mod din vilje, hvis du skylder penge til det offentlige.

Det svarer jo til at være umyndiggjort med værge.

Nej det er ikke helt det samme. DanId er ikke din værge, du forestår selv at benytte dit Id, men du kan bare ikke selv gøre det, det skal du bede DanId om.

Jeg siger iøvrigt ikke noget om, om det er en god idé, jeg havde hellere beholdt den gamle model med certifikater, og nemt login til min eBank løsning.

Dog siger jeg bare at Elektronisk Tinglysning fungerer. En påstand om at det ikke gør må nødvendigvis bakkes op af noget dokumentation. Det er dog sådan at nogle få sager ikke kan eletronisk behandles hele vejen igennem, da de er for komplicerede, men det har vist heller aldrig været målet? Målet har været at få automatiseret behandlingen af størstedelen af sagerne, nemlig dem hvor det er lige ud ad landevejen.

Vi har selv benyttet dette system for nyligt, hvor både min kone og jeg skulle underskrive (ligesom modparten skulle), og det virkede faktisk forbløffende effektivt. At der så ikke er besparelser for forbrugeren (køber og sælger) undrer mig noget?

Det kan desuden nævnes at man af praktiske årsager selvfølgelig laver love om, så man kan udnytte IT bedst muligt. Dvs. i hvis der er love som bremser digitaliseringen af det offentlige, laver man det om. Det giver god mening generelt, men måske kan det være uhensigtsmæssigt i nogle sammenhænge (specielt hvis man, som du siger, bliver umyndiggjort).
Det er muligvis ikke nødvendigt at lave loven om for digital signatur (og lader sig sikkert ikke gøre da det som nævnt er EU-lov), men derimod kan man sagtens forestille sig at man så laver om i tinglysningsloven, så den ikke kræver digital signatur, eller så den i hvert fald passer til DanId/NemId modellen.

  • 0
  • 0
Michael Wörffel Intile

Citat: Sikkerhedsmodellen er ensidigt koncentreret om bankernes behov. Det værste udslag af dette, er at NemID kun virker, hvis du kører en signeret applet, der giver DanID mulighed for at tilgå din harddisk.

Det er korrekt (og ikke særligt betryggende), i dag den 22. juni kan netbank kun tilgåes såfremt man kører en Java applikation med følgende applikationsoplysninger:

This application will run with unrestricted access to your
personal files and other facilities (webcam, microphone) on
your computer.

  • 0
  • 1
Per Hansen

Dette er åbenlyst ikke korrekt, da flere store banker har lanceret smartphone løsninger, hvor man kan benytte NemID uden den famøse applet.

Det mest nærliggende er at tro, at brugerid, password og kode fra NemID kortet, bliver verificeret gennem servicekald fra bankerne til DanID

  • 0
  • 0
Per Hansen

Med applikationen mener du NemID appletten ?

Godt spørgsmål. Der er absolut ingen grund til at appletten skal have adgang til din pc.
Jeg kan faktisk ikke se nogen grund til at NemID kræver at man bruger en applet til at logge på med, uden at det ser ens ud alle steder, men det kunne være opnået mere elegant med andre midler.

  • 0
  • 0
Kaare Kyndal

Jeg er bange for at jeg ikke kan tage dette indlæg seriøst!

Ord som digital signatur og sikkerhed forbundet med NemID??

"Danmark er en nation af brokkere ? og det har ramt NemID godt støttet af hadekampagner i visse medier. Men den er faktisk en markant bedrift."

Anden verdenskrig var også en "markant bedrift" men den var der heller ikke mange der kunne lide!

Brokke os, ja det kan du bande på når der bliver trukket noget usikkert lort ned over hovedet på os som vi skal leve med, så hellere råbe op og forsøge at få det stoppet inden det er for sent!

"papstykket, hvor jeg har set begavede mennesker argumentere for, at det kunne være lavet meget smartere. Men helt ærligt, det var en udbudsforretning, så hvis der har siddet nogle geniale mennesker med geniale løsninger rundt omkring hos leverandørerne, hvor var de så lige henne da det gjaldt?"

Tror nok der kom gode løsningsforslag, men et stykke pap var nok det billigste!!!

"Nu er det lykkedes ' faktisk ganske enestående ' at gennemføre en signatur, der: - bruges på tværs af alle offentlige og private systemer - ikke er bundet til nogen enhed - er nem at bruge (altså teknisk) - og nu er rullet ud til den overvejende del af befolkningen"

Ligesom ved Licensen, handler det ikke om noget som er "rullet ud"
Men om simpelt tvang!

Dit indslag er useriøst og direkte latterligt??
Hvad er det du prøver på??

Hvorfor dropper man ikke bare denne falitløsning og kopiere et system som bare virker super godt, som det Estiske system fx!!

  • 0
  • 2
Jesper Poulsen

Hvorfor dropper man ikke bare denne falitløsning og kopiere et system som bare virker super godt, som det Estiske system fx!!

Det estiske system er MEGA-FAIL.

Identifikation og autentifikation BØR holder skarpt adskildt.

Du skal ikke identificere dig overfor et system; du skal kun bevise, at du har de rettigheder, du skal have. Det er IKKE det samme.

  • 1
  • 1
Per Lind

Nettop derfor er det jo bedre at have voice authentication over den mobile enhed, så er der klar opdeling af banerne! Med de tosseboller bag UNem-ID forstår jo kun det de selv brykker sammen i deres kul kælder! Føj for den lede og så at state kunde falde fo deres list, det synes jeg der skal bruges mere tid på!

  • 0
  • 0
Jesper Poulsen

Hvad er galt med det Estiske system?

Læst du det jeg skrev?

Du skal ikke IDENTIFICERE dig, når du bruger en digital signatur. Du skal kun bevise dine credentials. Det kan du sagtens gøre uden at identificere dig - men det kan du ikke gøre, hvis du kun har et ID-kort.

Du skal have mulighed for at spærre din adgang til ressourcerne, uden at spærre din identitet.

I tilfælde af identitetstyveri skal du kunne genvinde kontrollen med din identitet og det kan du ikke, hvis din digitale signatur er tæt knyttet til din identitet - og det vil den være, hvis den er integreret i din identitet (et ID-kort og en digital signatur i ét).

  • 0
  • 0
Log ind eller Opret konto for at kommentere