NemID2: Gør det nu rigtigt 5/5

Følgetonen fortsætter:

Første afsnit var om gammel historie.

Andet afsnit om CPRs historie.

Tredje afsnit om Digtal Signatur.

Fjerde afsnit om NEMID.

Spørgsmålet er hvad vi, Danmark, skal gøre når kontrakten om den nuværende NemID snart udløber.

Min holdning er at vi skal gribe det helt anderledes til værks end tidligere.

NemID2 er uanset hvad vi ellers mener om det PKI - Public Key Infrastructure - og opgaven er at landets borgere får flest mulige fordele, færrest mulige ulemper for den laveste udgift.

Indtil nu har fokus været på hvad statsapparatet og erhvervslivet havde brug for eller kunne tvinges til, men fra nu af bør det handle om borgerne.

Driften er en statsopgave

Vi taler om et IT system der bliver helt centralt for at afgøre hvem der er og hvem der ikke er danskere og dermed er vi dybt inde i både grundloven og national sikkerhed.

Det duer simpelthen ikke at et privat firma med rod i regnskabet bliver lukket af erhvervsstyrelsen for regnskabsfusk og tager NemID2 med sig i faldet. Eller på grund af varemærkekrænkelser, rod i softwarelicenserne, patentkrænkelser, importsnyd, sortpengevask osv.

Vi kan heller ikke leve med at ejerskabet eller statsborgerskabet på specifikke medarbejdere betyder at deres loyalitet, personligt eller juridisk, ligger andre steder end til Kongeriget Danmarks Grundlov.

Driften af NemID2 skal foregå i statsligt regi.

Vi har jo heller ikke udliciteret tildeling af pas, visa og statsborgerskaber, vel ?

Vi skal have to uafhængige driftcentre

Og når jeg siger "uafhængige" mener jeg dælme "uafhængige":

To fysiske lokationer, to forskellige ministerier, to helt forskellige implementeringer.

Der skal ikke være nogen "single point of failure" på den måde Nets netværk eller JVM har været det i NemID.

Det påvirker både arkitektur, design og pris, men vi taler om en "der er ikke nitaller nok i verden" opgave her.

Åben, brugbar, gratis

Arkitektur, dokumentation og service skal være åben, brugbar og gratis.

Brugerbetaling betyder bare en masse papirnusseri og at løsninger optimeres efter reducerede omkostninger i stedet for kvalitet.

Kig på Geodatastyrelsens success med frie geodata.

Privatliv bygges ind

Borgerens ret til privatliv skal indbygges fra starten.

En blond pige skal kunne bevise at hun er 18 år på en natklub, uden at det automatisk afslører hendes addresse eller mobilnummer.

Vi skal have en politisk diskussion og beslutning om præcis hvilke spørgsmål staten via NemID2 er villig til at besvare om borgerne og til hvem de vil give disse svar.

Alle anvendelser derudover skal være 100% under borgerens kontrol og det må ikke tillades firmaer at gøre deres service betinget af svar ud over de ovennævnte lovpligtige.

Blandt de spørgsmål jeg lige kan forestille mig er:

  • Navn
  • Addresse
  • CPR nummer
  • Foto
  • Myndig
  • Dansk statsborger
  • Kørekort
  • Studerende
  • Pensionist
  • Helseoplysninger (blodtype, allergier osv. til ambulancepersonale)

Rollebaseret

De fleste borgere har alle mulige roller, husejer, kasserer i håndboldklubben, bilejer, medarbejder, bestyrelsesmedlem, myndig, statsborger osv.

NemID2 designet skal skelne klart imellem individet og dets identitet og de roller individet har og har adgang til.

Det skal f.eks være muligt at lave en fuldmagt til en bestemt rolle, uden at alle de andre roller påvirkes.

Alle skal kunne definere sådanne roller, både staten, firmaer, personer og foreninger og NemID2 skal gøre det muligt at validere disse roller tilbage til deres udstedelse.

(Det er meget lettere end det lyder, det er bare lidt gymnastik med kryptografiske signaturer.)

Minimumsservice

Staten skal tilbyde og drive minimumsservices, på samme vis som f.eks "fakturablanketten" der blev lavet da det offentlige overgik til elektronisk fakturering.

Der skal være et antal web-apps som kan bruges af alle NemID2 brugere til at lave nye roller, fuldmagter osv. osv.

Vil en person eller et firma have noget mere strømlinet, må de finde nogen til at skrive programmer for dem.

Identifikations materiale

Papkortet bliver basisservice.

Borgere der ønsker det, kan i stedet få et elektronisk "borgerkort".

Borgerkortet erstatter sygesikringsbevis, kørekort, rejsekort, studiekort osv. osv.

Borgerkortet kan kun aflæses hvis læseren presenterer et certifikat der giver adgang til et eller flere af de spørgsmål loven definerer ovenfor, eller hvis borgeren explicit giver tilladelse til aflæsning af yderligere oplysninger.

Rejsekortstanderen kan kun læse at der er en NemKonto at hente pengene på, ikke hvem du er eller hvor du bor.

Den grumme fyr foran diskoteket kan kun aflæse om du er myndig og se dit foto så han kan vurdere om det faktisk er dit borgerkort.

Kun beredskabet og sundhedsvæsnet kan aflæse at du er allergisk overfor latex og har tilladt organdonation.

Borgerkortet registrerer læsernes identitet og certifikat, således at borgeren kan se hvem der har været "i den anden ende", hvad enten det var en politibetjent, en dørmand eller en kommunal sagsbehandler.

Ideelt set ville jeg foretrække at borgerkortet kun kommunikerede optisk så borgeren kunne se præcis hvad der blev sendt og modtaget, men det er formodentlig ikke realistisk og i praksis bliver det nok noget NFC. Derfor er logfunktionen meget, meget vigtig.

Der skal være en inputmekanisme, enten et tastatur eller en anden til "password" anvendelig mekanisme.

De kryptografiske krumspring der er nødvendige bagved disse ideer burde være nogenlunde indlysende, så det vil jeg ikke fortabe mig i.

Som altid kræves der en mekanisme for "certificate revokation" i tilfælde af tabte/stjålne pap- og borgerkort, men det problem har man haft med rejsepas fra de tidligste tider, det er ikke et nyt problem.

Det ovenstående er utvivlsomt meget mere ambitiøst end nogen af de ideer som Digitaliseringsstyrelsen går og roder med og det er ikke sikkert at vi kan nå det hele til NemID kontrakten udløber.

Men det bør være mål i den kaliber vi stræber efter på den lange bane.

Danmark er jo et "IT-foregangsland" -- ikke ?

phk

Kommentarer (54)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lars K. Hansen
  • Hvordan får jeg fortalt diskotek "X" at de kun må aflæse min alder og billede?

Forudbestemt roller til forudbestemte brancher?
Det vil komme til at tage tid at tage stilling til hver enkel branche vs rolle man kan støde på :-/

Derudover:
- Hvor hulen skal man starte henne for at få dette enorme projekt i gang?
- Råder Staten over kompetencen til at kunne starte dette op?

Men det ville helt klart være en drøm hvis vi kunne få begrænsninger på hvad diverse firmaer/ministerier/børnehaver/osv. må se om os.

Så lad os håbe at IT ordførerne læser dette blog indlæg og lader sig blive inspireret i den rigtige retning.

  • 2
  • 1
Eskild Nielsen

Hvordan får jeg fortalt diskotek "X" at de kun må aflæse min alder og billede?

Forudbestemt roller til forudbestemte brancher?
Det vil komme til at tage tid at tage stilling til hver enkel branche vs rolle man kan støde på :-/

Det er derfor at det er vigtigt at borgeren kan se hvornår, hvorfor og af hvem kortet er blevet checket.

Hvis dørmanden så har brugt en rolle, han ikke har haft adkomst til at bruge, så kan det dokumenteres og påtales

  • 4
  • 0
Christian Nobel

Som sagt mange gange før.

Løsning skal være til brug for authetificering og signering, så der skal være en klar adskillelse mellem stat og bank.

Hvad bankerne ligger og roder med må være deres eget problem, men der må aldrig, aldrig være nogen kobling, med mindre borgeren selv eksplicit søger det.

  • 3
  • 0
Søren Hersdorf

"Borgerens ret til privatliv skal indbygges fra starten."
Det betyder at Nemid2 KUN kan benyttes til at genkende en person entydigt og alle andre oplysninger er en sag mellem personen og den der efterspørger oplysningen.
Nemid2 må ikke understøtte formidling af oplysninger som er personens egne.

  • 0
  • 0
Christian Nobel

Det vil kræve en massiv holdningsændring og revision af vores love, der idag er skrevet for at gøre usporbare økonomiske transaktioner umulige.

Jeg taler ikke om at bank og stat ikke kan udveksle alt muligt snadder bag om ryggen på os, for derved at undgå "terror" - sic.
Det er en anden diskussion som ikke er helt relevant (men derfor ikke nødvendigvis uinteressant) i denne sammenhæng.

Men at et banklogin skal være en helt separat sag, fuldstændig som det var i gamle dage.

  • 1
  • 0
Søren Hersdorf

"Fidusen ved at kræve at læse-terminalerne til borgerkortet har et certifikat, er netop at vi kun fortæller dem hvad de har lovfæstet ret til at vide"
Jeg kan ikke se hvad "læseterminalen til et borgerkort" har med Nemid2 at gøre. Nemid2 skal entydigt genkende/validere en persons identitet og hvad der derefter sker er Nemid2 uvedkommende. Det er en sag mellem personen og den entitet, som personen ønsker at interagere med.

  • 1
  • 4
Jesper Louis Andersen

Jeg kan ikke se hvad "læseterminalen til et borgerkort" har med Nemid2 at gøre. Nemid2 skal entydigt genkende/validere en persons identitet og hvad der derefter sker er Nemid2 uvedkommende. Det er en sag mellem personen og den entitet, som personen ønsker at interagere med.

Ideen er at vende det om. Dørmanden har lovmæssig hjemmel til at afvise Signe på 17 men godkende Ida på 18. Så vi giver dørmanden en læser certificeret til at svare på Myndig spørgsmålet. Det betyder at læseren har et kryptografisk certifikat så den kan bevise at den er en myndig-læser.

Ida's borgerkort kan checke at dørmandens læser har et lovligt certifikat, og fordi det kun accepterer "Myndig", så er det kun den oplysning kortet giver. Det logger også at dørmandens læser bad om denne oplysning.

Det er ikke perfekt i den forstand at en kompromiteret læser kan få andre oplysninger. Men så bliver det logget på borgerkortet og man kan tage affære. Desuden er det sådan ca. 1000 gange bedre end den nuværende løsning og alle løsninger der kom før dette.

Hvis det ikke er borgerkortet der laver denne afgørelse, så mister du som person alt kontrol med dine data. Desuden kan vi passende være lidt mere påpasselig med certifikater der lader dig hente samtlige oplysninger fra kortet. Et simplere spørgsmål om myndighed er til en hvis grad mindre afgørende.

  • 10
  • 0
Peter Mogensen

Der er snart valg, og antagelig ikke en eneste opstillet med it-viden i din valgskreds - det er problemet.

Hmm... tjae... det behøves der jo egentlig heller ikke være, hvis bare dem, der så var opstillet havde så meget overblik over hvor grænserne for deres it-viden gik at de afstod fra at finde på vanvittige projekter for at vise de var rigtig fremme i skoene (lad os f.eks. sige "e-valg") ... og bagefter belære fagfolkene om deres projekts lyksagligheder.

  • 6
  • 0
Peter Mortensen

Den håndscanner diskotekets dørmand anvender har et certifikat der kun tillader ham disse oplysninger, dit borgerkort svarer simpelthen ikke med andet.

Hmm, skal det ikke være således, at pigen skal lave en "rolle" på sit borgerkort, som giver rettigheder til [alder] og [billede] til alle de certifikater der tilhører den offentlige gruppe der hedder [diskoteker]
Dørmanden kan via diskotekets certifikat (som tilhøre gruppen "diskoteker") derfor aflæse pigens borgerkort som rollen "diskotek" og derved (kun) få adgang til [alder] og [billede] ?

  • 0
  • 0
Peter Stricker

Hmm, skal det ikke være således, at pigen skal lave en "rolle" på sit borgerkort, som giver rettigheder til [alder] og [billede] til alle de certifikater der tilhører den offentlige gruppe der hedder [diskoteker]


Eller endnu bedre, skift [alder] ud med [ja/nej] til spørgsmål om pigen opfylder kriteriet for at komme ind. Der er ingen grund til at pigen skal oplyse sin alder. Som Jesper skriver ovenfor er det tilstrækkeligt at vide, at pigen er myndig. Men det gælder kun, hvor det er kriteriet.

Men scenariet med diskoteket rejser så spørgsmålet, om hvordan authentificeringen skal foregå. Det er jo ikke nok, at verificere at kortets indehaver har lov til at komme ind. Det skal også være sikkert, at kortets bruger er kortets rette indehaver. Et password kræver både et tastatur og en kortindehaver der er i stand til at ramme tasterne. Vi skal ikke ud i en situation, hvor pigen beder dørmanden om at indtaste hendes password.

Skal vi acceptere, at der er situationer, hvor man må slække på kravene til at bevise, at man er rette indehaver af kortet? Eller skal vi vente med at bruge borgerkortet som adgangskort til diskoteker indtil der er fundet en løsning på dette?

  • 1
  • 0
Poul-Henning Kamp Blogger

Et password kræver både et tastatur og en kortindehaver der er i stand til at ramme tasterne. Vi skal ikke ud i en situation, hvor pigen beder dørmanden om at indtaste hendes password.

Hvis dørmandens scanner har et certifikat der giver ham lov til at spørge om "over 18 ?" og "foto" behøver pigen ikke taste sit password in.

Hvis han vil spørge om hendes navn og addresse og ikke har et certifikat dertil, svarer hendes borgerkort kun hvis hun giver tilladelse til det med en kode.

  • 0
  • 0
Jesper Louis Andersen

Hvis han vil spørge om hendes navn og addresse og ikke har et certifikat dertil, svarer hendes borgerkort kun hvis hun giver tilladelse til det med en kode.

Præcis! Og hvis staklen er blevet samlet op af en ambulance fordi der har været et færdselsuheld, så kan de umiddelbart få samtlige sundhedsoplysninger uden kode. Det kan gå hen og blive et rigtigt fornuftigt system der giver en masse fordele i forhold til hvad vi har nu, med meget meget få ulemper.

  • 5
  • 0
Søren Hersdorf

"Så bliver du nok nødt til at læse blogindlægget igen."
Super argumentation :-((

Det er en stor misforståelse at sammenblande borgerkort og Nemid2.
Nemid2 skal KUN validere en given person identitet. Nemid2 skal ikke formidle borgernes personlige data.
Det betyder at services (private eller offentlige) som vil forspørge på brugerens data, alder, foto, skostørrelse med mere, med brugerens accept, kun kan få valideret identiteten af en person fra Nemid2. At borgeren giver en serviceudbyder lov til at se vedkommenes persondata, skal ske uafhængigt af Nemid2.
Nemid2 hverken skal eller kan administrere persondata, adgange og/eller roller.
Det skal varetages af andre services.
Derfor: Lad være med at blande Nemid2 og et evt. borgerkort sammen i en integreret løsning, det ødelægger funktionaliteten af begge dele. Begge dele skal designes til at fungere uden den anden.

  • 1
  • 4
Michael Thomsen

Og hvis staklen er blevet samlet op af en ambulance fordi der har været et færdselsuheld, så kan de umiddelbart få samtlige sundhedsoplysninger uden kode.


Så du mener, at der skal laves et kæmpe sikkerhedshul? Hint: Hvor svært tror du det er, at stjæle en terminal fra en ambulance/hospital, hive certifikatet ud og vupti har du adgang til alle oplysninger på alle danskeres borgerkort/nemid/whatever.

Medmindre jeg som bruger har mulighed for at vælge hvilke oplysninger, som kræver kode (jeg kan leve med at "foto" og "myndig" ikke kræver kode), så siger jeg nej tak.

  • 0
  • 1
Søren Hersdorf

Jesper Louis Andersen: "Ideen er at vende det om. Dørmanden har lovmæssig hjemmel til at afvise Signe på 17 men godkende Ida på 18. Så vi giver dørmanden en læser certificeret til at svare på Myndig spørgsmålet. Det betyder at læseren har et kryptografisk certifikat så den kan bevise at den er en myndig-læser.

Ida's borgerkort kan checke at dørmandens læser har et lovligt certifikat, og fordi det kun accepterer "Myndig", så er det kun den oplysning kortet giver. Det logger også at dørmandens læser bad om denne oplysning.

Det er ikke perfekt i den forstand at en kompromiteret læser kan få andre oplysninger. Men så bliver det logget på borgerkortet og man kan tage affære. Desuden er det sådan ca. 1000 gange bedre end den nuværende løsning og alle løsninger der kom før dette.

Hvis det ikke er borgerkortet der laver denne afgørelse, så mister du som person alt kontrol med dine data. Desuden kan vi passende være lidt mere påpasselig med certifikater der lader dig hente samtlige oplysninger fra kortet. Et simplere spørgsmål om myndighed er til en hvis grad mindre afgørende."

Super beskrivelse af mulighederne i et borgerkort. Nemid2 er slet ikke nævnt, måske fordi Nemid2 ikke er nødvendig for den beskrevne løsning.
Hvis Nemid2 skal bruges i denne sammenhæng, så er det KUN for at verificere at den der anvender kortet også har koden til det.

  • 0
  • 0
Poul-Henning Kamp Blogger

Det er en stor misforståelse at sammenblande borgerkort og Nemid2.
Nemid2 skal KUN validere en given person identitet. Nemid2 skal ikke formidle borgernes personlige data.

Det er så din holdning...

Jeg deler den ikke: Vi skal have et system der kan besvare de i lovgivningen fastlagte spørgsmål om borgeren med mindst muligt tab af privatliv.

Der er ingen fordele, hverken teknisk, praktisk eller privatlivsmæssigt ved at bygge to separate systemer.

  • 5
  • 0
Poul-Henning Kamp Blogger

Så du mener, at der skal laves et kæmpe sikkerhedshul? Hint: Hvor svært tror du det er, at stjæle en terminal fra en ambulance/hospital, hive certifikatet ud og vupti har du adgang til alle oplysninger på alle danskeres borgerkort/nemid/whatever.

Ca. lige så svært som det er at gøre det med en dankort terminal.

Desuden vil certifikatet bliver revoket og afhængig af hvorledes vi implementere revokation-management, vil borgerkortene begynde at ignorere terminalen (bortset fra entry i logfilen)

  • 1
  • 0
Søren Vanggaard Jensen

Faktisk vil diskoteks-scenariet give mulighed for at Johnny bliver udelukket fra nogle eller alle diskoteker hvis han ikke kan opføre sig ordentligt (tilhold). Det, og lign. scenarier indenfor f.eks. alm. adgangskontrol, giver virkelig nogle muligheder.

Min bekymringer er umiddelbart 2 punkter:
1) Håndtering af defekt, bortkommet eller glemt id/borgerkort.
2) Opdatering af terminaler, revokation og autofornyelse af certifikater

Ad 1) Hvordan får man et nyt id-kort hvis man ikke har pas (sygesikring, kørekort mv. er jo sammenlagt med id-kort)? Hvor lang tid går der og hvad er man afskåret fra i mellemtiden?

2) Umiddelbart skal terminalerne være online når de bruges. Selv i 2014 er det nok urealistisk. Måske Tetra eller andre netværk kan være en del af løsningen - mobilnettet er næppe tilstrækkeligt.

Jeg tror ikke umiddelbart at ovenstående problematikker er meget anderledes fra de udfordringer vi har i dag, men jo mere "tekniske" løsninger vi bruger, jo mere handlingslammede bliver vi den dag tingene ikke fungerer....

Jeg var ved bageren forleden... ungarbejderen kunne ikke sælge mig et franskbrød fordi strømmen til kasseapparatet var røget.

  • 1
  • 0
Gert Madsen

Øhhh, præcis hvad mener du, da du svarede jo til to modsatrettede udsagn?


Nå, det forstår jeg ikke, men jeg formulerer mig åbenbart ikke klart :-)

Men man er nødt til at liste kravene til resultatet op.
Uanset om man vil have adskilt selve NemID fra den egentlige overførsel af oplysninger, som jeg kan læse at nogen vil, så er man nødt til at specifiere hvad man skal kunne.

At skrive at man "skal have mulighed for afledte nøgler etc." er en sikker vej til at kravet bliver ignoreret i den politiske proces.

Politikerne vil have løsninger. Værktøjet interesserer ikke rigtig. Hvis ikke det specificeres som krav, så får vi bare en 1:1 konvertering fra papkort til nøgleviser eller Mobil-app. Så er vi tilbage ved een nøgle, som giver adgang til samtlige oplysninger om en person.
Og det skal vi gerne undgå

  • 2
  • 0
Jesper Louis Andersen

Så du mener, at der skal laves et kæmpe sikkerhedshul? Hint: Hvor svært tror du det er, at stjæle en terminal fra en ambulance/hospital, hive certifikatet ud og vupti har du adgang til alle oplysninger på alle danskeres borgerkort/nemid/whatever.

Det er ikke et problem. Så snart det opdages at terminalen er stjålet, revokes dens certifikat, og så er den sådan ca. med samme funktionalitet som en mursten.

Jeg er enig i at det ville give mest mening at splitte NemID2's identifikation med dets behandling af brugerdata. Men en fornuftig løsning finder ud af hvorledes de to systemer skal spille sammen.

  • 1
  • 0
Michael Thomsen

Information ud over hvad der er fastlagt i lov kræver brugerens accept.


Det hjælper jo ikke borgeren, som insisterer på, at der skal bruges pin-kode når fx adressen skal oplyses, hvis politikerne har bestemt, at ambulancer skal kunne læse det hele uden kode.

Desuden vil certifikatet bliver revoket og afhængig af hvorledes vi implementere revokation-management, vil borgerkortene begynde at ignorere terminalen (bortset fra entry i logfilen)


Ja, og revokation har jo altid virket uden problemer. Og hurtigt. Og en forsvunden terminal bliver opdaget med det samme. Og den deler helt sikkert ikke certifikat med 100 andre terminaler, som følgelig skal opdateres.

Bare se hvor godt det har virket i Bluray verdenen for slet ikke at tale om almindelig ssl/tls/browsere.

  • 0
  • 1
Søren Hersdorf

Er du utilfreds med hvad politikerne vedtager må du bruge stemmeblyanten eller stille op selv.

Man kan også tage debatten og forklare hvorfor man synes privatlivet er vigtigt og hvorfor man meget nødigt vil have alle sine personlige oplysninger distribueret ud på mere eller mindre sikre elektroniske devices. Det vil nok være det nemmeste hvis vi kan forhindre uigennemtænkt, overflødig og besværlig lovgivning i at blive gennemført, fremfor at fjerne den igen, efter at den er fejlet.

  • 0
  • 0
Søren Hersdorf

Lovgivningen er for længst gennemført. F.eks skal du emaile "en kopi af pas og sygesikringsbevis" hvis du skal købe fast ejendom.

Det ændrer ikke på vigtigheden af at forhindre dårlig lovgivning.

Iøvrigt er det ikke nødvendigt at emaile noget i forbindelse med køb af fast ejendom, loven sikrer kun at identiteten på køber er entydigt kendt.
Dette kan løses på flere måder, herunder gennem mail af diverse indscannede dokumenter, hvilket desværre kun giver en teoretisk sikkerhed.

  • 1
  • 0
Michael Thomsen

Vores lovgivning på det punkt er meget klar: Politikerne bestemmer.

Er du utilfreds med hvad politikerne vedtager må du bruge stemmeblyanten eller stille op selv.


Med den holdning du lægger for dagen får vi aldrig lavet et system, som IT-kyndige ønsker at bruge. De personer, som ikke ønsker nemID/OECS af den ene eller anden grund vil da heller ikke acceptere det foreslåede system.

Uagtet om politikerne bestemmer eller ej.

Hvilket iøvrigt ikke er 100% korrekt. Hvis de bliver gjort opmærskom på problematikken I TIDE, så lytter i hvert fald nogle politikere til fornuft.

Faktisk får sådan et svar mig til at tro, at du har givet op.

  • 2
  • 0
Jesper Louis Andersen

Bare se hvor godt det har virket i Bluray verdenen for slet ikke at tale om almindelig ssl/tls/browsere.

Bluray er et helt andet problem fra et kryptografisk synspunkt. Det her kan godt laves fornuftigt med en passende kæde af certifikater. SSL/TLS har ganske rigtigt kæden, men fordi gud og hver mand kan udstede et certifikat, så er der ikke nogen værdi i certifikatet. Derudover mangler hængelåsen sin værdi af samme årsag. Hvis det lå i statsligt regi, så er det ganske nemt at begrænse udstedelse til dem hvor det giver mening.

Meget af de problemer der her kan opstå skal løses af politisk vej med love. Ikke af teknisk vej. Det handler om at du straffer dem der ikke kan finde ud af at passe på deres læsere osv.

  • 2
  • 0
Peter Stricker

Er du utilfreds med hvad politikerne vedtager må du bruge stemmeblyanten eller stille op selv.


Ingen af delene sikrer indflydelse. Vi skal kun vælge 175 medlemmer ind i folketinget, og dermed er der ikke plads til at alle utilfredse vælgere kan få et sæde i salen. Og du kan ikke være sikker på, at den politiker du stemmer på vil repræsentere din holdning til ethvert lovforslag, da retten til løftebrud er sikret i Grundlovens §56.

  • 0
  • 0
Lars Christoffersen

Kunne man ikke decentralisere elektroniske patient journaler også, så journalens ejer også har den på kortet. Så er man helt fri for centrale databaser med andre sundhedsoplsyninger end dem som ejeren går med til at dele, fx til statistik, etc.. Backup kunne være noget ala "last pass", hvor journalen opbevares på nogle centrale servere, men er krypteret og kun ejeren har nøglen?

  • 0
  • 1
Peter Kyllesbeck

Kunne man ikke decentralisere elektroniske patient journaler også, så journalens ejer også har den på kortet. Så er man helt fri for centrale databaser med andre sundhedsoplsyninger end dem som ejeren går med til at dele, fx til statistik, etc..


Dårlig idé, da informationer jo ikke er der/kommer, mens du er ved lægen/på hospitalet men kommer efter en tid. Tænk på diverse resultater af blodprøver og andre målinger.
Hvor skulle informationerne opbevares, til du kom med kortet?
Journalen/rne er arbejdspapirer for sundhedspersonalet, og de kan jo ikke nøjes med at konsultere journalen/rne mens du er tilstede (i mere ned en forstand).

  • 1
  • 0
Eskild Nielsen

Måske skal borgeren endda kunne tilvælge push af logudskrift pr e-mail i visse situationer, fx hvis kortet er blevet aflæst ved højere niveau end myndig+foto.
Udskiften skulle så som minimum indeholde tidspunkt, arten af de læste oplysninger, og GPS koordinater for læseren på aflæsningstidpunktet.

Hvis så dørmanden har brugt en læser med falskt certificat eller som han har skaffet sig på uærlig vis eller lignende, så sætter det spor.

  • 1
  • 0
Johnny Bahr Jakobsen

...ambulancer skal kunne læse det hele uden kode

En terminal er vel ikke brugbar før den bliver aktiveret med et af ambulancepersonalets borgerkort, med de rette tilladelser tilknyttet og en tilhørende personlig kode der indtastes. Terminalen behøver ikke at have nogen form for "identitet".
De forskellige situationer borgerkortet bruges i kan angive hvilke certifikater der indgår i transaktionen og hvem der skal have udstedt dem.
På den måde skelnes mellem online og offline transaktioner, og hvor data kommer fra/skal hen/logges/indpakning(online fra forskellige myndigheder, hukommelsen i kortet, logningsudstyr i ambulancen, indtastet, aflæses på skærm....).

  • 3
  • 0
Michael Thomsen

Det handler om at du straffer dem der ikke kan finde ud af at passe på deres læsere osv.


Haha, ja straffe offentlige myndigheder for at sjuske. Den var god. Hvad var det lige der skete da 700.000 cpr-numre blev lækket af det offentlige? Hint: Ingenting.

Hvad skete der da tinglysningen blev gjort opmærksom på at man kan bruge deres system til at finde cpr-numre? Hint: Ingenting.

Hvad skete der, da en privat person lækkede 10-15 CPR numre? Hint: bøde på nogle tusinde kr.

Så det vil jeg klade en ommer.

  • 2
  • 0
Michael Thomsen

En terminal er vel ikke brugbar før den bliver aktiveret med et af ambulancepersonalets borgerkort, med de rette tilladelser tilknyttet og en tilhørende personlig kode der indtastes. Terminalen behøver ikke at have nogen form for "identitet".


Så giver du reelt mulighed for at ambulancemanden, som også er dørvagt, kan misbruge sit ambulanceprivilege om aftenen.

Det eneste du har tilbage som sikkerhed for at undgå misbrug er en log (som ingen formentlig kigger i).

  • 0
  • 0
Kenn Nielsen

Det eneste du har tilbage som sikkerhed for at undgå misbrug er en log (som ingen formentlig kigger i).

Borgeren skal have ret til sin egen log.
Og den skal kunne hentes flere gange. - Uden at skulle ulejlige 'den manuelle del af systemet' med en forespørgsel.
Og man må gerne kunne opsætte forskellige 'triggerkriterier'.
Når den hentes skal den være signet, så der ikke kan være tvivl om at det er den version som eksisterer på gældende tidspunkt.
Herved kan man spotte om nogen manipulerer loggen bagud.

Loggen skal naturligvis også indeholde logninger af hvornår loggen udleveres, og til hvem.

K

  • 2
  • 0
Tommy Schouw

Jeg er lidt nysgerrig efter hvordan en tilbagekaldelse skulle foregå fra en kompromitteret kortlæser. I mit hoved er borgerkortet ude af stand til at kontakte "hovedsystemet" uden om en eventuelt kortlæser.

Den umiddelbare mulighed jeg kunne forestille mig ville være en 3-parts nøgle, hvor kortlæser, borgerkort og central myndighed alle har en bid af svaret. Så vil både kort og myndighed jo have mulighed for at logge alle anvendelser af borgerkortet (og derved spore borgerne).

Der er sikkert en snedigere måde at gøre det på, men jeg har svært ved lige at hitte på den? Nogen der er snedigere omkring emnet der kan uddybe?

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize