NemID, skal vi kigge på det ?

Så er også min bank blevet NemID-ramt og jeg har just modtaget nøglekortet.

Jeg har hverken kunnet finde dokumenter om hvorledes nøglekortets indhold produceres, eller uafhængige statistiske analyser af indholdet.

Hvis nøglekortets indhold består af rene tilfældige tal, hvor hvert enkelt ciffer på kortet er helt uafhængige af alle andre ciffere på kortet, er det naturligvis uangribeligt, end of story.

Den teori kan afvises hvis kortet ikke består alle relevante tests for tilfældighed (DIEHARD er et godt sted at starte).

Hvis kortet er lavet på nogen anden måde, er det i princippet angribeligt for IT kriminelle og spørgsmålet er alene hvor sandsynligt angrebet er.

Hvis f.eks løbenummeret kan forudsiges/beregnes fra de forrige, er der jo vidt åbent for simple man-in-the-middle angreb, hvis brugerens keyboard kan aflyttes med malware eller lignende.

Er det ikke på tide at vi laver vores hjemmearbejde og ser om vi kan finde tegn på statistiske svagheder ?

Det første hul i null-hypotesen om 100% tilfældighed er at der kan ikke være to ens løbenumre på et kort: Det ville forvirre Enkefru Hansen[1].

Så er det jeres tur: Hvem finder først den næste statistiske svaghed på nøglekortet.

phk

[1] I praksis kan DanID håndtere dette krav ved at smide alle nøglekort ud der har to ens løbenumre. I følge fødselsdagsparadoxet betyde at over halvdelen af alle kort skulle smides ud. Selvom de kan gøre dette før de printer kortet, lyder det dybt usandsynligt. Alternativt kan de smide enkelte løbenumre ud, hvilket så igen risikerer at have statistisk synlige konsekvenser.

Kommentarer (73)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mikkel Meyer Andersen

Med 132 løbenumre/nøgler på et kort og 9999 forskellige løbenumre (1-9999), er sandsynligheden for, at der er to ens 0.5804. Hvis man anvendte 5-cifrede løbenumre ville sandsynligheden være 0.0829. Og hvis folk ikke tror de teoretiske sandsynligheder, er de velkommen til at simulere det :-).

  • 0
  • 0
Torben Mogensen Blogger

I praksis kan DanID håndtere dette krav ved at smide alle nøglekort ud der har to ens løbenumre. I følge fødselsdagsparadoxet betyde at over halvdelen af alle kort skulle smides ud.

Halvdelen er faktisk underdrevet. Der er på et kort 132 firecifrede løbenumre. Så chancen for, at alle er forskellige er 0.99990.9998...*0.9768 = 0.0656. Dvs. at der er 93.4% chance for, at der er to ens løbenumre på et kort, hvis de er genereret uafhængigt og tilfældigt.

Det er dog ikke nødvendigvis et sikkerhedshul. Hvis man f.eks. vælger løbenumrene, som man trækker kort fra en bunke (dvs. uden tilbagelægning), så kan man ikke forudsige, hvilke løbenumre, der kommer i fremtiden (udover, at der ikke forekommer gentagelser).

Det er straks værre, hvis de bruges i sorteret orden (jeg er ikke NemID-bruger, så det ved jeg ikke). Så kan man regne ud, at den gennemsnitlige afstand til det næste tal er 10000/131 = 76.

  • 0
  • 0
Mikkel Meyer Andersen

Jeg opdager nu, at der er 148 løbenumre/nøgler (11 på første kort og 13 på de to næste). Det betyder, at:
Med 148 løbenumre/nøgler på et kort og 9999 forskellige løbenumre (1-9999), er sandsynligheden for, at der er to ens 0.6649. Hvis man anvendte 5-cifrede løbenumre ville sandsynligheden være 0.1031. Og hvis folk ikke tror de teoretiske sandsynligheder, er de stadigvæk velkommen til at simulere det :-).

Torben: Hvordan får du det til 93.4%?

  • 0
  • 0
Poul-Henning Kamp Blogger

Det første løbenummer må have sandsynligheden 1.0 for ikke at ramme andre. Jeg får produktet af 10.99990.9998...*0.9869 til 0.4196

Og enig, de fortløbende serienumre er et stort problem.

Ikke alene ved du at deres gennemsnitlige afstand er ca. 1/76, hvilket umiddelbart giver dig bedre end 1% chance for at gætte det næste løbenummer, men afstandsfordelingen ser ikke flad ud.

Poul-Henning

  • 0
  • 0
Michael Jensen

Der kan ikke være 2 ens løbenumre, da man får opgivet et løbenummer som man skal returnere en nøgle for. Hvis 2 af dem faktisk var ens ville man ikke kunne returnere en entydig nøgle.

Løbenumrene bliver ikke brugt i rækkefølge.

Nøglerne er 6 cifre, så chancen for at 2 af dem ens er meget lav. Men det burde da i princippet være ligegyldigt. Faktisk øger man sandsynligheden for at gætte en nøgle hvis man ved at de alle er forskellige, og man ved nogle af dem.

  • 0
  • 0
Mikkel Meyer Andersen

En Runs Test for Randomness på mine løbenumre giver en p-værdi < 2.2e-16 (vha. R).

Hvis man kigger på afstanden (til næste), er vores hypotese, at den er på 9999/148 = 67.56. Mine løbenumre giver 67.62, og yderligere:
[code=text]
Min. 1st Qu. Median Mean 3rd Qu. Max.
1.00 20.00 43.00 67.63 83.50 448.00
[/code]

Andre forslag til, hvad der skal afprøves?

  • 0
  • 0
Torben Mogensen Blogger

Det er skægt, at medianen er så meget mindre end gennemsnittet. Jeg havde forventet, at det var ca. det samme.

Hvis medianen altid er meget mindre end gennemsnittet, tyder noget på, at et ikke er helt tilfældigt.

  • 0
  • 0
Poul-Henning Kamp Blogger

Hvis de var det, kunne en kriminel med adgang til en keyboard logger helt trivielt lokke den næste kode ud af brugeren og derefter bruge den til at tilgå offerets netbank.

Offeret ville muligvis slet ikke opdage dette, da han jo selv havde brugt den pågældende kode.

Poul-Henning

  • 0
  • 0
Anonym

PHK

Selvom jeg teoretisk er enig i at man selvfølgelig bør undersøge dette, så tvivler jeg på at det er indsatsen værd.

Selvom man aldrig skal sige aldrig, så nøgter jeg nægter at tro at de kan være rå rablende dumme at de har ladet "random" data være algoritmisk afledt af løbenumre/person-identifiers.

Eftersom der kun er et begrænset forsøg før en specifik adgang lukker, så vil en randomness ikke skulle være særlig stærk for at kunne beskytte effektivt.

Der er langt større sårbarheder og mere effektive angreb end at kunne forudsige nøglerne på papkortene. De meste åbenlyse er keyboard_loggers kombineret med et kamera f.eks. gennem et vindue eller på offentlige steder.

I sidste ende er tiltroen til udsteder nul fordi der i sagens natur skal være en direkte systemkobling mellem kortgenereringen og -verificeringen.

Og det er før vi inddrager det forhold at nøglekortet kun er en frontend til selve hardwaremodulet og at hardwaremodullet kan snydes til at eksportere de private nøgler så de kan dekrypteres og tilgås i det åbne rum.

  • 0
  • 0
Ask Holme

Nu kan det godt være mig som er fuldstændig blind, men jeg kan faktisk ikke se hvorfor de 4-cifrede numre ikke må kunne forudsiges. De er jo udelukkende en må at fortælle brugeren hvilken en af engangskoderne man beder om.
Så længe der ikke er nogen korrelation mellem løbenummeret og engangskoden (hvilket der forhåbentligt ikke er eftersom at den samme person nødvendigvis vil få udleveret et nyt kort med et genbrugt løbenummer på ret hurtigt)

Det vigtige må være at selve engangskoderne ikke kan forudsiges ?

  • 0
  • 0
Lars Lundin

Selvom man aldrig skal sige aldrig, så nøgter jeg nægter at tro at de kan være rå rablende dumme at de har ladet "random" data være algoritmisk afledt af løbenumre/person-identifiers.

Men de kan begå en række fejl, der kan mindske sikkerheden væsentligt. Den klassiske er genbrug af tilfældige tal, som gjorde at f.eks. USSRs brug af OTP i en periode ikke længere var ubrydelig.

Krypteringen i tyskernes nærmest legendariske Enigma-maskiner blev også brudt pga. forkerte procedurer i udstyrets anvendelse.

  • 0
  • 0
Martin Bøgelund

De er jo udelukkende en må at fortælle brugeren hvilken en af engangskoderne man beder om.

Betragt dem som et tosidet tjek, der sikrer at både service-udbyder og bruger nemt kan blive enige om at de gensidigt er dem de udgiver sig for.

Serviceudbyderen kan vise sin autencitet ved at spørge om nøgle 2220 - og brugeren skal så få mistanke og afslutte login-processen, hvis nøgle 2220 slet ikke er på hans nøglekort.

Kun den rigtige serviceudbyder kan med sikkerhed stille et validt spørgsmål, og kun indehaveren af nøglekortet kan med sikkerhed svare rigtigt.

  • 0
  • 0
Mikkel Meyer Andersen

Stefan,
Jeg forstår ikke, hvorfor du ikke anerkender, at indsatsen fint kan være spredt. Lad dog folk arbejde indenfor det, de har interesse for og kompetencer til (tekniske, politiske osv.).

Vil du uddybe hvorfor du kalder problemer med nøglekortet (hvis sådanne findes) for petitesser? Det forstår jeg ikke. Er det en petitesse, hvis nøglen afhænger af løbenummeret (i sandsynlighedsverdenen)?

  • 0
  • 0
Anonym

Som skrevet ovenfor, så er jeg teoretisk enig -
men som jeg også skriver - jeg har ingen fantasi til at forestille mig at de kan være så debile. Hvis de ikke engang kan håndtere så banale spørgsmål, er der langt større problemer.

Pointen er at det har ingen samfundsrelevans fordi papkortene allerede er forældede og der er reelle sårbarheder i systemet, dvs. det er et hobbyprojekt for hobbyens skyld.

Hjernekræfterne kunne bruges mange gange bedre på problemer som rent faktisk gavnede samfundet. F.eks. at rette op på elmarkedet inden samme planøkonomiske og virkelighedsfjerne tankegang som ligger bag nemid rammer på dette område.

PKH raser mod Rejekortet - her har vi det næste Rejsekort.

  • 0
  • 0
Tine Andersen

Jeg har ikke netbank, skat ved, hvad jeg har i indtægt (fortidspensionist), så hvad skal jeg med dette, som min nørdemand så malende udtalte: "Glæd dig, det er et helvede, at få til at virke!".

Ja, det ligger stadig i kurverten, som er uåbnet.

Det eneste sundhedsmæssigt, jeg kunne tænke mig, at få aktindsigt dækker de ikke. (Der skal man skrive i forvejen, og selv møde op!).

Så hvad?
Mvh
Tine

  • 0
  • 0
Anonym

Jeg er også teoretisk enig med dig, men man skal have ikke ubetydelige politiske evner for at have en chance for at gøre noget ved det, du nævner.

10 målrettede ingeniører med en klar historie og et offentlige katastrofeprojekt at stoppe kan gøre forskellen.

Men ikke hvis de sidder og fedter med petitesser.

Husk at dette projekt (114 mio før fordoblingen grundet underbudgettering og 20 mio før de skjulte omkostninger) kun er den trojanske hest som bagefter koster millardbelob fordi det ødelægger alle målere i hjemmene og hardkoder dem op mod endnu en snabel i statskassen og borgernes lomme.

Det vi taler om er et programmeret sammenbrud og tab i et af de strategiske områder - det intelligente elnet.

Hvis man ikke siger fra overfor dårligdommene, så bliver de værre og værre.

  • 0
  • 0
Ask Holme

Ja ok - Den kan jeg godt købe. Men i så fald er man da også ret langt ude i sikkerhedskravene. En normal tokenløsning har fx. heller ikke denne sikkerhed der oplysning typisk blot serienummeret på pågældende token som jo er statisk...

Jeg kan godt forstå at man fx. stiller spørgsmålstegn ved om engangskoderne er ordentligt generede.
Men det giver altså ikke mening, at man stiller højere krav til NemID end hvad man kan få ved en given anden løsning.

Iøvrigt Stephen: At sammenligne NemID med Rejsekortet er vist ikke særlig præcis. Til at starte med har NemID jo fx. formået at gå i full-scale drift.
(Også er projekterne bare så forskelligartet og deres problemer så forskelligt begrundende at det ikke rigtig giver mening)

  • 0
  • 0
Morten Andersen

Som andre har anført så kan nøglenumrene (altså den 4-cifrede kode som vist er det PHK kalder serienumre, selvom de ikke er i serie) jo ikke være tilfældige, da sammenfald ville gøre det umuligt entydigt at udpege en nøgle (den 6-cifrede kode). Men hvad får man ud af at gætte et nøglenummer? Det er alligevel kun 4-cifre og er ikke det brugeren bidrager med. Og som andre har anført, præsenteres nøglenumrene ikke i rækkefølge.

  • 0
  • 0
Peter Hansen

Jeg kan se at alle tidligere indlæg omhandler generering af nøgler og nøgle numre, men ikke selve udtrækningen.

Jeg oplevede selv, at de 12 første nøgler skulle findes på nøglekortets side 3 hvilket jeg fandt meget besynderligt.

Bliver nøgle nummeret udvalgt tilfældigt blandt de ubrugte nøgle numre eller er rækkefølgen givet på forhånd og slås op via nøglekortnummeret?

Hvor gemmes den elektroniske kopi af nøgle kortet og hvem har adgang til disse?

Og den useriøse: Kan man vinde en julegås når man har pladen fuld? (Jeg har stadig 98 nøgler tilbage på mit første kort)

  • 0
  • 0
Torben Mogensen Blogger

Og den useriøse: Kan man vinde en julegås når man har pladen fuld?

Så er der bare nogen, der skal NemID banko: Man udtrækker et firecifret nummer hver dag (eller oftere). Den første, der har en række fuld på sit NemID kort, vinder en præmie ved at indsende et scan af sit NemID kort (eller originalen).

Den er der sikkert en del, der vil hoppe på, jævnfør de gentagne forsøg med at få folk til at udlevere passwords mod småkager og lignende.

  • 0
  • 0
Claus Nielsen

"Hvad får man ud af at gætte nøglenumrene?"

Hvis man kan gætte et eller flere nøglenumre og hvis man kan lokke brugeren ind på en falsk hjemmeside, hvor vedkommende skal bruge NemID, kan man få brugeren til at opgive en kode svarende til en ubrugt nøgle.

Næste problem bliver så at få banken til at spørge efter den samme nøgle når hackeren skal forsøge at overføre penge.

I forhold til det, er det interessant, hvad proceduren er i tilfælde af en afbrudt transaktion, hvor banken spørger efter en nøgle, men brugerens forbindelse afbrydes inden svaret bliver sendt?

Tæller dette som en fejlagtig login (med medfølgende risiko for at NemID bliver spærret)?

Selv hvis dette er tilfældet, kan en hacker stadig bruge nogle forsøg uden at kontoen spærres, så chancen for at netop den kendte nøgle bliver efterspurgt er ikke så dårlig, hvis hackeren logger ind, bruger sine tilladte forsøg og så logger ud igen indtil brugeren selv har været inde og logge korrekt ind - forhåbantlig med en anden kode).

Så det er meget væsentligt, hvor nemt det er at gætte nøglerne

mvh.
Claus

  • 0
  • 0
Poul-Henning Kamp Blogger

Næste problem bliver så at få banken til at spørge efter den samme nøgle når hackeren skal forsøge at overføre penge.

Sandsynligheden for at det sker, stiger lineært jo flere koder du har brugt fra kortet.

Poul-Henning

  • 0
  • 0
Claus Nielsen

Lad os antage at en hacker kender dit brugernavn (cpr-nummer) og adgangskode.

Hackeren kan så prøve at logge ind via NemID og afbryde forsøget efter at have modtaget et nøgleID.

NemID burde derfor som udgangspunkt regne alle nøgleID der har været efterspurgt i afbrudte transaktioner som brugte, da en hacker ellers efterfølgende kan bruge dette nøgleID til at lokke den tilhørende kode ud af brugeren.

Om NemID regner en afbrudt transaktion uden svar som et forfejlet login i forhold til spærring er et andet spørgsmål?

Hvis NemID ikke spærrer, kan en hacker der har lokket nøgle/kodepar ud af en bruger systematisk spørge igen og igen indtil den rigtige nøgle kommer frem.

Ellers kan hackeren spørge 4 gange og må så vente indtil brugeren har været inde selv og logge på en enkelt gang inden han kan prøve 4 gange igen.

Der er altså en rigtig god sandsynlighed for at hackeren før eller siden bliver spurgt om det kendte nøgle/kodepar.

  • 0
  • 0
Lars Christensen

Rejsekortet og NemId er begge statslige IT-prestigeprojekter der hver især er presset igennem udviklingsperioden, uden skelen til at "ting tager tid" og at uklare kravspec'er samt løbende tekniske tilføjelser kun gør det givne projekt endnu svære at få til at virke.

NemId har netop ikke været istand til at virke full-scala - ligesom Rejsekortet heller ikke kommer til det. Med mindre der afsættes ekspertise til at stoppe yderligere tekniske tilføjelser samt ikke mindst gennemføres test flere forskellige steder i landet - for at sikrer mod endnu en skandale, som med NemId.

Det er jo lidt pudsigt at Gartner udfærdiger en rapport, der viser at Rejsekortet kan opstartes i en halvfærdig version uden de store problemer - altså lige ud over at pendlerne samt dem der normalt kun har råd til at bruge den offentlige transport hvis de får rabat via køb af rabatkort - at disse væsentlige brugergrupper ikke kan få rabat - fordi Rejsekortet ikke er færdigt!

På samme vis har man opstartet NemId uden de helt nødvendige og normalt krævede brugertest. Dvs. at vi nu har et halvfærdigt system til sikring af samfundets digitale infrastruktur.

Det er stadig muligt at stoppe udbredelsen af NemId og få styr på drifts- og brugersikkerheden.

Mvh Lars plbrake.dk

  • 0
  • 0
Martin Bøgelund

Jeg har spurgt DanID's support om sikkerheden i NemID papkortet.

Jeg spurgte om hvorvidt man [i]skal[/i] destruere sit papkort når det er brugt (Jvf. tråden "løbenumre/nøgler" ovenfor v. Michael Jensen og PHK).
Svaret var, at et brugt nøglekort ikke kan misbruges, men at de anbefaler at man smider det væk, så man ikke blander det sammen med de(t) aktive kort.
Svaret får mig til at tvivle på om de forstod spørgsmålet - men ballet er så vidt jeg kan se åbent for at samle nøglekort og søge efter dubletter mv.

Jeg spurgte også om der kunne være statistiske svagheder ved nummer-udtagningen til engangskoder, som kunne føre til at man kunne gætte engangskoder (jvf PHK's oprindelige blogindlæg).
Svaret var, at det var der ikke, og at jeg kunne læse mere om sikkerheden på https://www.nemid.nu/om_nemid/hvad_er_nemid/sikkerhed/teknikken_bag_nemid/ og søge på "Public Key Infrastructure".

Svaret får mig (igen) til at tvivle på om de forstod spørgsmålet.

  • 1
  • 0
Morten Hattesen

Hvis de var det, kunne en kriminel med adgang til en keyboard logger helt trivielt lokke den næste kode ud af brugeren og derefter bruge den til at tilgå offerets netbank.

Det ville de kunne, hvis man blev bedt om engangskoderne i "kronologisk" orden, men det gør man ikke. Man bliver bedt om at oplyse koden for et (semi)tilfældigt sekvensnummer ud af de tilbageværende.

Men det ville naturligvis betyde, at en keyboard-logger ville vide hvilken nøgle var den sidst-tilbageværende nøgle på kortet.

Til orientering, kan det oplyses, at jyskenetbank.dk tidligere anvende engangsnøglekort (i papir) med fortløbende løbenumre. Det var langt lettere at identificere det rigtige løbenummer på de kort end på det nye nemid nøglekort - men nok ikke helt så sikkert.

  • 0
  • 0
Martin Bøgelund

Til orientering, kan det oplyses, at jyskenetbank.dk tidligere anvende engangsnøglekort (i papir) med fortløbende løbenumre. Det var langt lettere at identificere det rigtige løbenummer på de kort end på det nye nemid nøglekort - men nok ikke helt så sikkert.

Jyske Banks løbenummer var en fortløbende nummersekvens parret med 2 bogstaver, altså noget lignende:
01-YN
02-WZ
...

"Uforudsigeligheden" lå så i 2-bogstavskombinationen, mens den sekventielle nummerering gjorde det let at finde den rigtige nøgle.

Med de 4 cifrede løbenumre på NemID er der omkring 10000 forskellige muligheder. På Jyske Banks 2-bogsatavskombination var der omkring 26^2, altså ca 676.

  • 0
  • 0
Claus Nielsen

Umiddelbart kan jeg ikke se, hvorfor NemID ikke kunne have valgt at skrive nøglerne i tilfældig orden på kortet og så bruge dem i den rækkefølge de står i.

Det ville gøre det nemt for kunderne at se om der havde været forsøg på at hacke deres konto idet der så vil være koder der bliver sprunget over i rækkefølgen.

Kunderne kan nemmere finde den næste kode og behøver ikke en online tæller for at fortælle dem, hvor mange koder der er tilbage på kortet. (Hvilket i sig selv er en mulig sikkerhedsrisiko jvf. ovenstående diskussioner).

Er der nogen der kan fortælle mig hvorfor dette er en dårlig ide?

  • 0
  • 0
Poul-Henning Kamp Blogger

Svaret får mig (igen) til at tvivle på om de forstod spørgsmålet.

Ja, det er ret tydeligt at de ikke har store forhåbninger til at nogen borset fra dem selv ved noget om sikkerhed.

Langt hen ad vejen er det sikkert rigtigt.

Men DanID ville vinde meget i goodwill, hvis de tog sig tid til at fremlægge hvordan det faktisk virker for denne minoritet, således at vi kan svare alle dem der spørger noget mere tillidsvækkende end "HVIS de har gjort det ordentligt, er sikkerheden ok"

Poul-Henning

  • 0
  • 0
Mikkel Meyer Andersen

Jeg har i formiddags snakket med Peter Lind Damkjær fra DanID vedr. min forespørgsel på at få en stak nøglekort til statistiske undersøgelser. Det kunne desværre ikke lade sig gøre; som det er i dag lever nygenererede nøglekort sit eget krypterede liv (under FIPS 140 level 4) lige fra genereringen til printeren.

Han fortalte også, at de lavede nøglerne som forventet: Først genereres et tilfældigt tal. Hvis det allerede findes på det nye kort, bliver det smidt væk, og hvis ikke, bliver det medtaget. Så ganske som forventet.

Hvis de virkelig ville, kunne de sikkert godt levere en stribe kort (hvis man glemmer procedurer osv.) - men jeg har fuld forståelse for, at det ikke bare lige er noget, man gør. DanID/Peter Lind Damkjær skal have ros for at vende hurtigt tilbage med et svar. Tak for det.

Jeg spurgte også, om man måtte bruge (og evt. indsamle) brugte nøglekort. Det kunne han ikke se noget forkert i - for som han sagde, var de jo brugte. Er der stemning for, at der skal startes en indsamling? Personligt tror jeg ikke på, at der er noget at komme efter, og derfor heller ikke besværet værd.

  • 0
  • 0
Anonym

Tillad mig at sige at det formentlig er hamrende ligegyldigt hvad man når frem til med denne undersøgelse - sårbarheden overfor graden af randomness på papkorterne er meget lille

Det er ikke der problemerne ved NemId ligger - dem er der til gengæld masser af alle andre steder.

  • 0
  • 0
Martin Bøgelund

Stephan Engberg:

Tillad mig at sige at det formentlig er hamrende ligegyldigt hvad man når frem til med denne undersøgelse - sårbarheden overfor graden af randomness på papkorterne er meget lille

Det er ikke der problemerne ved NemId ligger - dem er der til gengæld masser af alle andre steder.

Det kan du på en måde have ret i.

Men rent [i]fagligt[/i] er dette spørgsmål meget mere interessant for Version2's målgruppe.

Din kritik bunder typisk i, at processerne er baseret på tillid på mennesker eller organisationer/virksomheder.

Et eller andet sted i denne form for processer, vil der [i]altid[/i] være behov for en form for tillid til mennesker eller organisationer/virksomheder.

Derfor er de forhold du plejer at kritisere en ufravigelig realitet, som man kan diskutere i en uendelighed uden at komme nogen vegne, hvorimod den aktuelle problematik kan studeres og undersøges rent videnskabeligt indenfor statistiske og datalogiske rammer.

Og dét er faktisk meget sjovere end at blive kaldt naiv og tankeløs af dig, bare fordi man ikke er bange for at få stjålet sit liv af Google og DanID.

God weekend, Stephan :-)

  • 0
  • 0
Anonym

Martin

Nonsens - det var dog den værste gang vrøvl jeg længe har set skrevet på Version2,

Et system er ikke bedre end de huller som designes ind- Specielt ikke når hullerne som nemid designes ind bevidst for at tjente penge og centralisere magt uden andet formål end magt for magtens egen skyld.

Et eller andet sted i denne form for processer, vil der altid være behov for en form for tillid til mennesker eller organisationer/virksomheder.

Det er din forståelsesfejl.

Et veldesignet PKI-design bygger ikke på tillid til at mogen kan holde på en hemmelighed - fordi det koncentrerer magt og risici uden formål.

En Veldesignet CA har kun EN hemmelighed - den private nøgler som hører til CA-enhedens signaturnøgle,

  • 0
  • 0
Søren Schack Hansen

Jeg har ikke netbank, skat ved, hvad jeg har i indtægt (fortidspensionist), så hvad skal jeg med dette, som min nørdemand så malende udtalte: "Glæd dig, det er et helvede, at få til at virke!".

Jeg ved ikke nok om sandsynlighedsberegninger til at sige noget fornuftigt til indlæggene, men ovenstående kan jeg da kommentere med:
Det er da snydelet at installere nemID, kan bruges på fremmede computere, samtlige browsere (Nåja, Firefox var lidt længe om at komme med) og alle operativsystemer, uden mærkelige krumspring.
Og så har det foreløbigt virket upåklageligt, de 112 gange jeg har brugt det, såe----!

  • 0
  • 0
Baldur Norddahl

Jeg har lige forsøgt, og når et login afbrydes når man har fået challenge (uanset om man trykker afbryd eller lukker browseren), er nøglen brugt (den tæller i hvert fald "nøgler tilbage" ned).

Er der nogen der er villig til at se om adgangen bliver spæret efter et antal "afbrudte forsøg"?

Hvis det ikke er tilfældet, har vi en sikkerhedsbrist. Malware der inkluderer en keylogger kan aflure login og kode. Softwaren kan derefter lave en autentisk udsende dialog som spørger efter et tilfældigt løbenummer. Med en sandsynlighed på over 1% findes dette løbenummer faktisk. Nu kan hackeren benytte afbrudte forsøg indtil at netbanken spørger efter samme løbenummer.

Da malware typisk kan inficere tusinder af computere, vil den russiske mafia på den måde kunne lænse et betydeligt antal konti, også selvom det kun virker på 1% af ofrene.

  • 0
  • 0
Anonym

For lige at samle lidt op af hensyn til dem som ikke har fulgt med andre steder.

Påstanden fra DanId - som vi ikke kan verificere er - at de private nøgler ligger (kun) krypteret med dit password i et dubleret tamperresistent hardware modul. Selve hardwaremodulet er særdeles begrænset så data opbevares krypteret med en nøgle kontrolleret af hardwaremodulet i et eksternt storage hvorfra det hentes ind efter behov.

(Det er påvist at DanId simpelt via en falsk "trusted" device kan eksportere alle private nøgler, hvorefter det er let at bryde password-beskyttelsen. Dvs, vi må rent sikkerhedsmæssigt antage at alle private nøgler allerede i klartekst er i DanIds besiddelse uden for illusionen af hardware hardwarebeskyttelsen.)

Påstanden er endvidere at adgangen spærres ved 3 fejlforsøg. Men det er ren policy eftersom det ikke er nogen teknisk mekanisme som kan sikre eller verificere dette. Ligesom det både kan være "hardwaremodullet" som gør det og noget uden for.

OTP-authentificeringen sker i en forbrænder som autoriserer genkendelse af et engangs-password, som systemet selv har udstedt som en simpel random (?) challange-respons.

Der er en begrænsning i antallet af forkerte forsøg, men det er en ren policy-model så den kan både hæves hvis folk ikke kan finde ud af det og sænkes hvis det misbruges.

Engangskodeordene KUNNE være forudsigelige HVIS
a) Der er en algoritmisk kobling mellem f.eks. identifiers og engangspasswords. Det har man f.eks. i Østrigs Bürgerkarter som er stærkt sårbart overfor Dictionary-attacks fordi de sektorspecifikke nøgler afledes fra en pessitent nøgle per borger koblet med kontekst-relaterede identifiers.

Vi har ingen indikationer på at DanId har begået en så banal fejl. men det bør verificeres.

b) Random funktion er så ringe implementeret at der er en stærk kobling mellem engangskoderne på SAMME kort.

Her ligger en statistisk problemstilling som rigtigt bør testes. Men systemet er meget lidt sårbart overfor svagheder her så længer der ikke er en algoritmisk kobling.

c) En angriber behøver ikke kende nogen af nøglerne hvis han kan gøre brug af et mafia fraud attack eller chess-players attack, hvor han agerer NemId overfor borgeren og borger overfor NemId.
Systemet har ingen beskyttelse overfor et sådant angreb.

Den lokale Applet er nødvendig af hensyn til at sikre at kritiske operationer ikke sker centralt, men verifikationen heraf er stærkt sårbare overfor social enginering af forskellig art.

Det mest åbenlys angreb er at sætte en server op som specialiserer sig i at agere klient overfor NemId, mens man arbejder med forskellige frontends til at snyde borgeren.

d) Et angreb som allerede er en realitet er det centrale angreb hvor interne - f.eks. på vegne af politiet - laver man-in-the-middle på indersiden mellem authentifieringen af engangskdoerne og selve hardwaremodulet. DanId kan selv agere hvemsomhelst overfor hvemsomhelst med fuld nøglekontrol.

Hvis vi skal pege på kilderne til sårbarhederne.

1) Alle adgange for samme borger skal over et centralt punkt - modellen har et indbygget sngle-point-of-failure i stedet for at bygger på distribueret peer-to-peer som er styrken ved PKI.

2) Alle adgangen lækker data i form af identifiers til alle sider som gør det nemt at koble transaktionerne i knudepunkterne og ødelægger sikkerheden i end-nodes.

Det problem kunne man isoleret have undgået ved at bruge Peer-to-peer zeroknowledge-baserede protokoller. Men værdien er begrænset når man alligevel skal ind over et single-point-of-failure i serveren.

3) Der er ingen integritet i systemet - engangskoderne er afkoblet af en man-in-the-middle fra signaturnøglerne og engangskoderne er afkoblet fra den fysiske person.

4) DanId påpeger at der ikke er nogen bagdør hvis du glemmer dit password - hvilket både er sikkerhedsmæssigt nødvendigt (den eneste information som DanId ikke allerede kender i klartekst men påstår at kun hardwaremodulet kender) og sikkerhedsmæssigt særdeles destruktivt (betyder at DanId bare kan udstede nye nøgler i dit navn og andre systemer skal tage dem for gode varer).

Blot en hurtig gennemgang.

Kravet til randomsness af engangskoderne er stærkt begræsnet hvilket også afspejles af at koderne er på så få cifre.

Et rigtigt grimt angreb kunne være et logisk denail of services angreb, hvor en server sættes til at genere login-attempts tilfældigt. Hvis samme system fødes med valide UserId vil hele systemet hurtigt bryde sammen fordi det med det samme vil lykke de pågældende UserId samt - hvis det lykkes at ramme en rigtig kombination (statistisk sandsynligt med nok forsøg) at angriberen derefter bliver ved til selve den private nøgle lukkes. Har angriberen også opsamlet passwords er vejen åben til identitetstyveri.

  • 0
  • 0
Baldur Norddahl

NemID skal benyttes som fælles login for banker, offentlige og private tjenester. For eksempel kan den lokale skakklub benytte NemID til login på deres hjemmeside. I det følgende antager vi at skakklubbens hjemmeside er overtaget af onde hackere fra Rusland, som vil overføre penge til danske muldyr.

Alle hjemmesider som benytter NemID præsenteres for den samme velkendte NemID dialog, som er implementeret som en java-applet. Hackerne har lavet en pixelperfekt kopi så du kan ikke se forskel. Du indtaster derfor i god tro dit login og kode.

Hackernes server er nu i besiddelse af dit login og din kode. Det bruger serveren på en kendt netbank. De prøver en ny netbank hver gang du logger ind, indtil at de finder din bank. Når banken spørger efter kode X på NemID kortet videresendes denne forespørgsel til dig, som sider og ser på NemID kopien. Du kan stadig ikke se forskel på originalen og spørgsmålet er 100% gyldigt, så du indtaster svaret. Hvis banken godkender dit svar bliver du logget ind på klubbens hjemmeside, ellers afvises du - helt som sædvanligt. Imens du tænker over din modstanders næste skaktræk flyttes alle dine penge til muldyrets konto.

Hackerne bliver ikke afsløret selvom de gætter en forkert bank. Prøv at logge ind på en bank, som du ikke er kunde hos. Hele login proceduren bliver gennemført før banken afviser dig som ikke-kunde. Der kan derfor gå lang tid før at det opdages at siden er hacket.

Alternativer til en hacket side er den underskov af underlødige sider, som i forvejen forsøger installere alt muligt skidt på folks computere. Det er ofte porno eller spillesider. Eftersom at NemID bruges i mange sammenhænge, vil befolkningens modstand mod at bruge NemID til login på en sådan side blive nedbrudt.

Hackerne kan eventuelt bruge et botnet til at proxy så at bankerne ikke kan spore og blokere IP adresser som selvforsvar.

Selv efter at bankerne og NemID bliver klar over at det foregår, kan det blive svært for dem at finde frem til den hjemmeside som høster koderne og få det stoppet.

  • 0
  • 0
Casper Thomsen

PHK og Dennis Krøger,

Mig bekendt bliver løbenumrene (tallene med fed) ikke brugt i stigende orden, men derimod hvad der umiddelbart virker "tilfældigt". Desuagtet er det interessant at kunne forudsige løbenumrene, eller have bedre muligheder end purt gætteri.

Som Peter Hansen allerede har nævt kunne det også være interessant at forudsige rækkefølgen løbenumrene udtrækkes i.

--

Jeg kommer til at tænke på om kortet er printet så det er svært at affotografere? Jeg tænker i samme sikkerhedsbrud som almindelige nøgler lider under -- at man på afstand med et kamera kan fotografere nøglen. Er det monstro svært at liste forbi et hjemmekontor og snuppe et billede af kortet der ligger fremme på bordet ved siden af tastaturet?

  • 0
  • 0
Martin Bøgelund

Stephan Engberg:

Et system er ikke bedre end de huller som designes ind- Specielt ikke når hullerne som nemid designes ind bevidst for at tjente penge og centralisere magt uden andet formål end magt for magtens egen skyld.

Stephan, dine evindelige rants mod DanID er off-topic her. De forudsætter ond vilje og skjulte dagsordener, som du i sagens natur kun kan frembringe formodninger om, og ikke påvise.

Venligst hold dig til blog-indlæggets bold omkring mulige statistiske svagheder på papkortet.

Tak.

  • 0
  • 1
Anonym

Martin

Der er ingen skjult dagsorden ved profit via kunstig begrænsning og blokering af konkurrence.

Problemet med Nemid er ikke skjulte dagsordner, men de problemer som skabes og ignoreres af de synlige dagsordener og indholdsløse påstande om fordele som aldrig kan opnås.

Analysen her har stærkt begrænset relevans fordi det ikke er en af modellens sårbarheder. Medmindre de er så stupide at du direkte algoritmisk kan regne dig frem til engangskoderne er resultatet af analysen næsten givet på forhånd - der er intet at komme efter.

  • 1
  • 0
Laura Kamstrup Helwigh

De herre, må jeg rose jer for jeres dejlige entutiasme!
Jeg sidder lige pt og skriver en stor opgve (Gymnasiets SRP) om kryptering og NemID/Digital signatur og I har virkelig kommet med nogle gode synspunkter og pointer, som jeg kan lade mig inspirere af til min diskussion.

I er fantastiske!
Tak!

  • 0
  • 0
Martin Bøgelund

Problemet med Nemid er ikke skjulte dagsordner, men de problemer som skabes og ignoreres af de synlige dagsordener og indholdsløse påstande om fordele som aldrig kan opnås.

Stephan, de dagsordener du kalder "synlige", er ofte meget svære at se for andre end dig - og som sagt bunder de i en formodning om at der er ond vilje (og derfor skjulte dagsordener) bag.

Analysen her har stærkt begrænset relevans fordi det ikke er en af modellens sårbarheder. Medmindre de er så stupide at du direkte algoritmisk kan regne dig frem til engangskoderne er resultatet af analysen næsten givet på forhånd - der er intet at komme efter.

Analysen har stærk relevans, fordi det ligger indenfor dette medies fagområde, og fordi det kan være en lakmusprøve på om der er kompetente kræfter bag teknikken, og velvilje hos DanID til at imødekomme befolkningens ønske om tillidsskabende indblik.

Så lige meget hvor kraftigt du prøver at nedvurdere det aktuelle emne fra blog-indlægget, og injicere din personlige mistro i debatten, så bør det ikke lykkes for dig at afspore debatten.

Jeg kan selvfølgelig vedblive med at bede dig om at stoppe dine off-topic indlæg, men det ville være så meget nemmere, hvis du pakkede din mistro sammen, og fyrede den af i debatter hvor den var on-topic.

  • 0
  • 0
Anonym

Martin

Det er på ingen måde en lakmusprøve at teste randomness af talkoder med så få cifre. Det er fagligt useriøst. Du kan dokumentere total inkomptance ved at påvise en algoritmisk sammenhæng, men en manglende sådan dokumenterer ikke kompetance.

Du kan ikke fagligt se modellen uden at se på formålet. Det faglig fokus bør være påstanden om at engangskoder reelt etablerer en sikkerhedsmodel og i så tilfælde om modellen er tilstrækkelig.

Påstanden kan let afvises med direkte henvisning til hele striben af angrebsmodeller fra de simple klient-side over indgreb i NemIds frontend serverside til de helt grove hvor man hente alle private nøgler ud af systemet.

Endvidere er det påpeget at modellen ikke sikrer applikationerne og ikke kan understøtte en effektiviseringsprocess af det offentlige. Så hvad er formålet?

Det relevante ved disse engangstalkoder er ikke deres grad af randomness, men at deres eneste formål er at ansvarliggøre dig, hvis nogen ønsker at få adgang til dine aktiver eller inkriminere dig. Disse talkoder kan sælge dit hus og de kan få dig smidt i fængsel - men de kan ikke sikre dig.

Hvad der er on-topic og off-topic her synes mest af alt at dreje sig om det involverer en kritisk tilgang til bureaukratiet eller et forsøg på at legitimere bureaukratiets handlinger uden fagligt grundlag eller samfundsmæssig nytteværdi.

Det ville således klæde dig hvis du ophørte med dine absurde konspirationsteorier - jeg påpeger det konkrete. Og herunder at processen er drevet af synlige kommercielle og planøkonomiske agendaer uden at komme ind på dine "Big Brother" fantasier.

Omkring de "synlige dagsordener", så fremgår

a) Den kommercielle dagsorden fuld synligt - NemId vil profitere på den private sektor på basis af det gratis "fix" som etablerer den kunstige knaphed, hvor DanId etablerer teknisk kontrol med borgerens adgange. Borgerne skal betale for alle andre modeller og det forhindres eksplicit at borgerne får en nøgle, borgeren kan kontrollere i henhold til Lov om Digital Signatur (selv den nye "token" synes at skulle genereres af Nemid).

b) Den planøkonomiske agenda fremgår klart af eDag3 - one-size-fits-all - tvangsensretning og centralisering uden nogen former for hensyn til de samfundsøkonomiske eller sikkerhedsmæssige konsekvenser.

c) Politiets bagdør fremgår af pgf. 20 spørgsmål, hvor man eksplicit sikrer sig at NemId og dermed også politiet har en bagdør til at kontrollere borgerne private nøgler.

d) Det fremgår direkte at kontraktgrundlaget at DanId ikke MÅ tillade afledte nøgler og dermed har man forankret både den kommercielle og planøkonomiske agenda i aftalen.

At etablere et grundlag for Afledte nøgler er det PRIMÆRE for enhver identitetskonstruktion fordi det er den eneste måde at tilvejebringe service- og effektiviseringsværdi uden at underminere sikkerheden.

Det politiske problem er tydeligvis inkompetance. Men det eneste skjulte er HVORFOR Finansministeriet og resten af centraladministrationen optræder så samfundsdestruktivt ?

Er det inkompetance eller en bevidst magtagenda? For hvilke andre forklaringer er der?

Men med henvisning til Clark's lov

Sufficiently advanced incompetence is indistinguishable from malice.

er sondringen ikke særlig relevant

BORTSET fra HVAD der i givet fald skulle til

1) Kan man uddanne, omorganisere ellr styre embedssystemet til at undgå den slags alvorlige skader på samfundet?

  • hvilket er mit håb og opfattelse idet jeg taler med mange offentligt ansatte som udtrykker frustration, fremmedgørelse og manglende indsigt.

2) eller ser man demokratiet som et afsluttet kapitel og vi allerede er dybt inde i en post-demokratisk proces drevet af bevidst magtmisbrug hvor en pseudo-demokratisk konstruktion misbruges til at legitimere magtsystemer her i form af et stadigt mere elitært bureaukrati.

Det bør bemærkes at sidstnævnte har vi set og ser i masser af varianter i form af mere eller mindre autoritære regimer. Verden kan sagtens synke ned i den slags igen - hvilket Nobels Fredspris aktuelt understreger risikoen for.

Hvis man ikke tror og arbejder for 1), så er vi allerede dybt inde i en fornægtelsesfase som er sammenligneligt med de mange som ikke i tide flygtede fra regimer under opbygning på trods af de klare signaler og mange advarsler.

Hvis man tror at demokratiet og samfundsøkonomien passer sig selv, så fornægter man den systemwatiske deroute som dansk konkurrenceevne er inde i, den hastigt akkumulerende statsgæld, det nærmest eksponentielt voksende lovkompleks og navnlig risici for endnu mere alvorlige sammenbrud end den finansielle bankkrise i 2008 som kun er forløber for et sammenbrud i nationalbanker som vi har set i Island, Grækenland, Yugoslavien, Argentina og helt sikkert vil se flere af.

Så for at gøre en lang historie kort. Randomness af disse engangstalkoder er IKKE fagligt særligt interessant - om de passer til et samfundsgavnligt FORMÅL er derimod MEGET fagligt relevant.

At fornægte det er blot en variant af medløberi.

  • 0
  • 0
Morten Hattesen

@Stephan:

Topic for denne debat blev givet i PHKs blog:

Så er det jeres tur: Hvem finder først den næste statistiske svaghed på nøglekortet.

Stephan, med al god vilje kan jeg ikke se hvordan dine indlæg i debatten har bidraget til at finde statistiske svagheder. Dine indlæg er derfor off-topic.

Kald mig bare medløber, men vær sød ikke konsekvent at afspore alle debatter, der vedrører NemID og Google.

  • 0
  • 0
Anonym

Morten

Den statistiske svaghed i forhold til hvad?

Lad os nu ikke gøre diskussionen dummere end at diskutere antallet af 9-taller efter kommaet i definitionen af oppetid, når dette problem teknisk er at man overhovet gør transaktioner afhængig af en central flaskehals.

Vi ser masser af forsøg på at afspore debatten om Nemid for at skabe illusioner om fortræffelighederne, om den store "success", om påståede effekter etc.

At diskutere graden af tilfældighed i så små tal - uden at forholde sig til den kontekst de indgår i - er at acceptere påstanden om at det overhovedet er meningsfuldt at etablere disse engangskoder.

  • 0
  • 0
Martin Bøgelund

Stephan Engberg:

At diskutere graden af tilfældighed i så små tal - uden at forholde sig til den kontekst de indgår i - er at acceptere påstanden om at det overhovedet er meningsfuldt at etablere disse engangskoder.

Ikke desto mindre er det dét som PHK's blogindlæg handler om.

Dit råberi om andre forhold omkring NemID er derfor off-topic i nærværende debat.

Kom venligst med on-topic indlæg, eller flyt dine udbrud et andet sted hen.

  • 0
  • 0
Jens Henriksen

@Stephan
Quote: "Jeg har svært ved at tage det seriøst når du ignorerer alt fagligt relevant og kun forfalder til Ad Hominem og argumentløse reklameindlæg for NemId"

Vi der læser tråden ud af interesse for PHK's oprindelige spørgsmål har svært ved at se det seriøse i, at uanset hvor mange gange du får at vide, at spørgsmålet er hvilken farve kagen har, så vedbliver du med at diskutere hvordan den smager!

  • 0
  • 0
James Avery

Vi der læser tråden ud af interesse for PHK's oprindelige spørgsmål har svært ved at se det seriøse i, at uanset hvor mange gange du får at vide, at spørgsmålet er hvilken farve kagen har, så vedbliver du med at diskutere hvordan den smager!

Men når det oprindelige spørgsmål er sikkerhedsteknisk, er det da væsentligt at spørgsmålet med altovervejende sandsynlighed er irrelevant i forhold til den faktiske sikkerhed!

Sagen er stadig: Manglende tilfældighed for de firecifrede papkorttal er en meget usandsynlig sikkerhedsbrist. DanID skal være nærmest bevidst inkompetente for at lave fejl her. Derfor er det med overvejende sandsynlighed spild af kræfter at undersøge netop denne del, når der er så mange lavthængende frugter. NemID er fyldt med mulige sikkerhedsbrister i hele sin konstruktion.

Skibet er læk - lad os med det samme undersøge roret!

  • 0
  • 0
Log ind eller Opret konto for at kommentere