NemID2: Idestorm

Antag at NemID2 bliver lavet rigtigt.

Lad os ikke hænge os i detaljerne af hvad "rigtigt" indebærer med kryptografi og lovgivning, bare antag et øjeblik at det er gjort rigtigt -- Helt Rigtigt.

Hvad kan du bruge din NemID2 til, som NemID1 ikke kan bruges til ?

phk

Kommentarer (74)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jarnis Bertelsen

Det ville være rart (og på høje tid) med en udbredt krypteringsstandard for direkte kommunikation mellem både borgere, firmaer og offentlige institutioner. God integration med både udbredte mailprogrammer og større webmailtjenester er her en nødvendighed, ligesom det skal være nemt (automatisk?) at hente en vilkårlig modtagers offentlige nøgle fra centralt hold.

Torben Mogensen Blogger

Hvis det skal laves helt rigtigt, skal der være flere uafhængige løsninger, som brugerne kan vælge imellem på ethvert tidspunkt. Dermed opnår man dels konkurrence (hvilket reducerer prisen og forbedrer kvaliteten) og dels kan kan lukke midlertidigt eller permanent for en løsning, der viser sig at have et sikkerhedshul (uanset om dette er teknisk eller organisatorisk).

Endvidere kan man til særligt sikkerhedskrævende funktioner kræve login med to eller flere uafhængige ID-systemer. Ikke to specifikke, men to valgfri ud af alle de godkendte systemer, der skal jo stadig være konkurrence.

Jarnis Bertelsen

Det skal være muligt at få en valgfri autentificeringsudbyder til at opbevare sin private nøgle, hvis man ikke kan/vil varetage sikkerheden lokalt. En serviceudbyder skal have en standiseret metode/protokol til at bede om autentificering fra udbyderen, mens udbyderen vælger hvordan autentificeringen af brugeren foregår. Dermed kan brugeren vælge en autentificeringsudbyder, som han:
A) Stoler på (både kompetence og ærlighed)
b) Tilbyder en autentificeringsmetode, der passer til brugerens arbejdsgange. Nogle vil måske gerne bekræfte login via engangskoder sendt via email, andre hellere have engangskoder eller en specialudviklet app til deres smartphone.

Offentligt tilsyn og veldokumenterede sikkerheds-procedurer skal naturligvis kræves af alle autentificeringsudbydere.

Flemming Jacobsen

Jeg kan signere min PGP key (eller på anden måde bekræfte ejerforholdet), således at:
+ Min PGP nøgle kan bekræftes officielt
+ Offentlige systemer kan begynde at sende mig krypterede emails til min postkasse, og ikke bare til min eBox

Peter Stricker

Jeg kan give VVS manden en nøgle til mit hjem, som han kan bruge til at låse sig ind på onsdag mellem 12 og 16. Når jeg kommer hjem, kan jeg konstatere, at det var den VVS mand, jeg havde en aftale med, der var i mit hjem fra 13 til 15.

VVS manden har ikke adgang til mit redskabsrum eller pengeskab.

Heðin Ejdesgaard Møller

Med udgangspunkt i at "nemid2" bliver gjordt rigtigt, så forventer jeg som minimum at kunne bruge den på samme måde i den digitale verden, som en analog underskrift fungerer i papir verdenen.

Jeg har tænkt lidt over hvad der skal til for at jeg kan sige at jeg stoler på en "nemid2" løsning og jeg kom frem til følgende punkter.

1.Den private del af løsningen skal være at finde på en hardware
enhed, som kun den enkelte borger besidder.

2.Vi skal udelukkende bruge gennemtestede teknologier.

3.Løsningen skal være platformsuafhængig.

4.Sikkerhedsmessigt skal det ikke være nødvendigt for borgeren at
”trust” en 3. part, hvadenten det er en offentlig
institution, en privat virksomhed eller noget derimellem.

5.Løsningen må ikke have nogen single-point-of-failure.

6.Løsningen skal kunne signere og dekryptere dokumenter offline,
samt validere og kryptere dokumenter offline, såfremt borgeren
har gemt modtagerens offentlige nøgle lokalt.

7.Løsningen skal være 100% open-source, dette er nødvendigt for at
opfylde punkt 4.

Anders Reinhardt Hansen

"I mine øjne giver det mest mening hvis du ved hvem der har sendt dig en besked. Vi snakker vel ikke om navn og adresse.
"

Men dørmanden ved diskoteket skal vel ikke have dit navn og addresse ?

Eller hvis man forestiller sig at du kunne stemme eller andet med din NemID, så er det udelukkende to oplysninger du har brug for;
1. At du har ret til at stemme
2. En unik identifikator som sikrer at du ikke kan stemme to gange.
3. At denne unikke identifikator ikke er magen til den der bruges i andre systemer hvor du har adgang til navn eller lignende.

Esben Bjerregaard

Men det er jo ikke sikkert du har krav på at vide hvem de er ?

Hvad nu hvis det eneste du har krav på at vide er om de er myndige eller ej ?

Der skal en eller anden "api-key" til at sige hvad du må spørge om...


Nej, dørmanden skal selvfølgelig ikke kende mit navn og min adresse, medmindre jeg har lyst til at give ham disse oplysninger.

Jeg tænker mere noget i retning af:
Alice sender oplysningerne A,B,C
Bob validere at oplysningerne A, B, C er rigtige via åbent API

Poul-Henning Kamp Blogger

Jeg tænker mere noget i retning af:
Alice sender oplysningerne A,B,C
Bob validere at oplysningerne A, B, C er rigtige via åbent API

Hvorfor ikke: B har modtaget et certifikat fra CA der indeholder "Han må gerne vide om du er over 18 år"

B scanner A's NemID2 dims og tilbyder sit ceritifikat.

A checker certifikatet og svarer med signeret besked "jeg er (ikke) over 18 år".

A gemmer B's identitet i logfil.

På den måde løser vi også "aflæse alle NemID2 dimser i bussen" problematikken.

Esben Bjerregaard

Hvorfor ikke: B har modtaget et certifikat fra CA der indeholder "Han må gerne vide om du er over 18 år"

B scanner A's NemID2 dims og tilbyder sit ceritifikat.

A checker certifikatet og svarer med signeret besked "jeg er (ikke) over 18 år".

A gemmer B's identitet i logfil.

På den måde løser vi også "aflæse alle NemID2 dimser i bussen" problematikke

Også en fin løsning.
Pointen er ALLE skal kunne lave systemer der benytter verifikationsinfrastrukturen uden at spørge et stort amerikansk firma om lov, så længe BRUGEREN bliver spurgt om lov.

Det ville gøre Danmark til et rigere og simplere digitalt samfund.
Estland har gang i noget af det rigtige med http://www.OpenID.ee

Rune Larsen

I dag har vi 3 offentligt accepterede, online autentifikationsløsninger, som bruges i kombination af 2 for at opnå 2-faktor. Det er NemID OTP, NemID Kodeord og NemID nøgleviser.

I den ideelle verden udviddes disse muligheder med flere autentifikationsløsninger, som IKKE er kontrolleret af staten. Vi har allerede en del open source og kommercielle teknologier i brug fra forskellige udbydere som fx GPG, SecurID, SMS tokens, PIN-koder, kortnumre og fingeraftrykslæsning. Hver især med styrker og svagheder.

Statens rolle skal ikke være at udvikle disse sikkerhedsløsninger, men blot at certificere, at et id-nummer i en given sikkerhedsløsning er sammenkædet med oplysninger om subjekt. Fx at SecurID device 12345 tilhører mig.

En sådan certificering kan fx foretages ved at troppe op i borgerservice medbringende pas og autentifikationsmekanisme, og derefter besvare en challenge fra medarbejdren bag skranken. Fx signere et dokument med min GPG, mens de kan se, at det var mig der gjorde det.

Staten kan principielt ikke kræve adgang til borgeres private nøgler for så er de jo ikke private længere.

Den anden ende af systemet, dem der skal beskytte adgangen til noget, ja de har så forskellige muligheder for hvor højt barren skal sættes og hvad de vil tilbyde deres brugere af muligheder for at autentificere sig. Fx kan bankerne vælge at have en positivliste af autentifikationssystemer til en-faktor login for at SE oplysninger (som nu), og en anden positivliste af kombinationer af autentifikationssystemer til at FLYTTE penge.

Alle de nuværende NemID-beskyttede systemer administrerer jo i forvejen både deres egen og NemIDs sikkerhedspolitikker. At tilføje yderligere autentifikationssystemer behøver ikke være noget stort teknisk problem. Generelt må det være op til dem, der har noget at beskytte, at vælge hvilke autentifikationsmetoder de accepterer og bære risikoen herved. Naturligvis med mulighed for regres hvis brugeren har sjoflet sikkerheden i modstid med betingelserne for den givne sikkerhedsløsning.

Jesper Louis Andersen

Prolog: Vi skal lige vide hvad NemID i det hele taget er først. Det er både en single-sign-on løsning og en OCES certifikat-løsning. Det skal være helt oplagt hvad det er for et problem der ønskes løst med NemID2, og det kan være vi har behov for 2 uafhængige løsninger.

Vi skal også vide hvad NemID2 IKKE er. Hvilke problemer løser vi ikke? Jeg har personligt mest lyst til at smide store dele af OCES ud af NemID2-projektet og så løse et mindre projekt der kan lade sig gøre først. Så derefter bygge OCES ovenpå en løsning der faciliterer udvidelse.

  1. Lad os antage as NemID er en bevisbar identitet. Identiteten er reelt set erstatningen for det aldrende CPR-system. Naturligvis er identiteten omfattet er passende 2-faktor authentikation, som vi ser i den nuværende NemID-løsning.

  2. Jeg skal kunne aflede nøgler fra min identitet, på en relativt standardiseret måde. Det åbner for at jeg kan lave en løsning ovenpå NemID2 såfremt jeg ikke er tilfreds med denne. Det medfører også at NemID2 kan laves meget snævert, for utilfredse (læs: bankerne) kan bare løse ovenpå. Det er også de afledte nøgler jeg bruger i forhold til kryptering, signering i forbindelse med staten, og så videre. I princippet kunne vi stoppe med "hvad" allerede her, for nu har man et fundament hvorpå man kan bygge SSO-løsninger, kryptonøgler i ikke-definerede-lokationer-i-HSMs osv.

  3. NemID2 skal kunne lave "vaults" i den forstand at jeg kan separere de data jeg har givet min læge fra de data jeg giver mit forsikringsselskab. Det betyder at jeg har multiple identiteter og jeg styrer hvordan dataflow er mellem disse identiteter. Målet er at jeg har kontrol over mine data og hvem der har adgang til at læse dem.

  4. I forlængelse af 2: Jeg kan udstede midlertidige tokens der giver adgang til delmængder af mine data vel vidende at 3.-part ikke kan få mere oplyst på den identitet jeg har afledt og benyttet.

  5. NemID2 er en åben standard. Det er veldefineret hvordan NemID2 virker teknisk og det er muligt at interagere med standarden gennem passende API. Hvis staten er inde over hele projektet skal vi borgere have noget ud af vores skattekroner.

  6. NemID2 er så snævert defineret at der ikke er nogen økonomisk gevinst ved NemID2. Derfor er det oplagt at staten ejer systemerne der driver rod-systemet i NemID2. Det står banker og andre frit at definere løsningen ovenpå NemID2 hvor de kan få økonomisk gevinst, men hold vores identitet udenfor dette.

Martin Kirk
  • Login uden et fucking pap-skema eller nøglegenerator
    og hvis det ikke kan undgås:
  • Nøglegenrator på telefonen ligesom med Google OTP - evt. Google OTP

  • Ingen forbandet Java

  • Portabelt Certifikat som kan installeres på telefonen

  • Valgfri autologin ... E-Boks jeg kigger på dig, forbandede lort !!!

Christian Nobel

NemID2 skal være en (rigtig) digital signatur med hvad dertil hører, MEN den skal intet have med banker at gøre!

Mao, bankerne kan lave hvad de vil af SSO løsninger til webbank, men der skal være en klar adskillelse af stat og bank.

Gert Madsen

NemID2 skal kunne lave "vaults" i den forstand at jeg kan separere de data jeg har givet min læge fra de data jeg giver mit forsikringsselskab. Det betyder at jeg har multiple identiteter og jeg styrer hvordan dataflow er mellem disse identiteter. Målet er at jeg har kontrol over mine data og hvem der har adgang til at læse dem.

Her skal så lige tilføjes at det også kræver en myndighed a la Datatilsynet, men som rent faktisk håndhæver kravet om ikke at registrere flere oplysninger end nødvendigt.
Hvis ikke, vil bankkartellet omgående blive enige om at kræve alle oplysninger, og man vil alligevel ikke kunne have en bankkonto uden at afgive alle oplysninger.

Thomas Adams

Kunne man forstille sig et "nemid", hvor man kunne frit vælge brugernavn og kodeord pr. site og så man kunne bruge anden faktor for at verificere sig. En unik værdi som er tilknyttet ens identitet men som skifter hvert minut. Som man får via en token eller sms eller ligende når man skal bruge den.

Jeg er ikke særligt tryg ved at have samme brugernavn og kodeord alle steder. I princippet kræves det "kun" at man kender mit brugernavn og kodeord til nemid og så man stjæler mit papkort. Så har man adgang til alt (kommune/banker/eboks/mm).

Peter Stricker

Uanset, hvordan vores kommende digitale signatur (for det er vel en sådan vi ønsker, i stedet for NemID?) kommer til at se ud, så vil der være tusind gange så mange mennesker på kloden som i Danmark. Det vil være en stor fordel at gå sammen med de andre om at løfte opgaven.

Jeg frygter dog at vi som "Verdens Førende IT-Nation" endnu engang ender med en løsning, der kun kommer til at virke for myndige danskere bosat i Danmark med en velfungerende internetforbindelse og en af myndighederne godkendt adgangsterminal.

Christian Schmidt

Det skal være lettere at foretage NemID-handlinger på vegne af andre (fx udfylde selvangivelse for sin gamle bedstemor) uden fysisk at have fat i deres papkort (eller anden fysisk token). Det skal være let at afgive fuldmagt til andre (tidsbegrænset eller ej, til specifikke tjenester/funktioner eller til hele molevitten), og man skal kunne se en samlet oversigt over, hvilke fuldmagter man har afgivet.

Christian Nobel

Jeg længes efter en mere brugervenlig løsning. Det er alt for tidskrævende og besværligt med papkort.

Papkortet er sådan set det mindste problem - det er bare en primitiv implementation af et SSO system.

Men det er nødvendigt at have lidt mere respekt for sikkerheden, end kun at kræve at det skal være "nemt og hurtigt".

Sikkerhed må godt koste lidt tid, og selv hvis det ikke bliver mere brugervenligt, så må man ikke gå på akkord - dertil er betydningen alt for alvorlig.

Så måske "NemID2" burde gøre op med hele det håbløse "nem" begreb, hvis det ikke kan lade sig gøre forsvarligt.

Poul-Henning Kamp Blogger

Sikkerhed må godt koste lidt tid

Det er faktisk langt vigtigere at den er til at forstå.

Hvis ikke folk forstår hvorfor det er sikkert, kan de ikke udfylde deres plads i det samlede sikkerhedsritual korrekt.

På det punkt er papkortet ret godt: Alle kan forstå at det er kun dem der har papkortet og at det tilfører et element af "shared secret" til den samlede sikkerhed.

Oliver Billing

Et er sikkert, hvis løsningen bliver for besværlig gider slutbrugeren ikke at bruge den, medmindre de bliver tvunget. Det betyder at løsningen kun vil blive brugt af stat og kommuner, idet ingen organisation i et konkurrence præget marked vil miste kunder på besværligheder.

Så her er mit bud som er en fordel for både organisation og slutbruger:

Løsningen skal virke på tværs af devices, nemt og flydende. Uden besværlige "log ind på din pc og gør dit og dat før du får adgang til din app". Løsningen indeholder ens kontaktoplysninger som kan abonneres på. Hermed kan brugere give firmaer tilladelse til at abonnere uden at skulle indtaste det samme skidt igen og igen. Abonnementet kan ledsages af tillades til f.eks. nyhedsbreve m.m. Disse tilladelser skal self. kunne trækkes tilbage digitalt. Et system som dette gør det attraktivt for firmaer at tilmelde sig og attraktivt for borgere at bruge da det gør deres dagligdag nemmere.

Løsningen skal i min optik have forskellige sikkerheds niveauer. En simpel identifikation over for en webshop (eg jeg er en rigtig person) kan sagtens være med facebook mekanikker.Handlinger såsom ophæv min pension etc. kan kræve mere sikkerhed.

Der skal være flere udbydere af løsningen. Således kan jeg få en simpel two-factor authentication via min mobil og sølvpapirshattene kan sidde og installer certifikater på deres linux boks og bekymre sig om NSA ;-)

Jakob Buron

Jeg forstår ikke modviljen mod papkortet. Det er 10x mere sikkert end et Google Authenticator seed på min smartphone. Seed og password kan snuppes i en arbejdsgang af den samme malware.

Dertil kommer at det er nemmere at forstå for almindelige borgere (som PHK påpeger ovenfor), og nemmere at passe på - hvordan tager jeg backup af Google Authenticator?

Nøgleviseren er et udmærket alternativ til folk som hurtigt slider et papkort op. Men personligt ville jeg ikke bytte - den fylder jo meget mere end kortet.

Højt på min ønskeseddel til nemid2 står:

  • Gradueret sikkerhed (kendt fra gmail): Højere sikkerhedskrav ved login fra udland, nye IP-adresser, nye computere. Her kunne papkortet komme i brug hver gang. Kendt computer/browser fra dansk IP adresse kunne nøjes med password.

  • validering af modparten (hvem authenticater jeg med, og hvor mange oplysninger får de)

  • Sikkerhed for at jeg virkelig taler med CA'ens server og ikke en man-in-the-middle.

  • Mulighed for at kæde visse personlige oplysninger sammen med en pgp key (se for eksempel på hvordan keybase.io kæder facebook og twitter-profiler sammen med krypteringsnøgler). Bonuspoint hvis jeg kan kæde mit navn til nøgle A og cpr-nummer samt navn og adresse til nøgle B.

Maxx Frøstrup

For de 30-50%: Nej.
Personligt har jeg da også mit gule og Pap-kort i samme beholder jeg altid har på mig(forudsat jeg har tøj på).

Ved da fint at hvis jeg skiller det ad får jeg mere sikkerhed, men der skal stadig 2 postgange til at fange mit login:
1. intercept nøglekort+cpr.
2. intercept password.

Da CPR i min verden er trivielt kendt, så anser jeg udelukkende selve kortet + password som den 2 faktor sikkerhed der findes. Alt andet vil jeg holde på er en naiv illusion for netop 50-70% af befolkningen.

Jeg har derimod et problem med folk der gemmer et billede digitalt af deres nøglekort. Kender ikke keychain devicen, så vil ikke udtale mig om dens niveau på sikkerheden. Men vil klart ikke have en, da jeg stoler mindre på den end jeg stoler på mit pap.

Just my 2 cents.

Christian Nobel

Vil du svare på det?

Det var da en underlig form for cirkelargumentation.

Men meget simpelt, der er det galt i det at man så ligeså godt helt kan eliminere NemID funktionen, da det hele er reduceret til helt banalt password/brugernavn.

Og det kan såmænd også sagtens fungere ganske udmærket, eksempelvis mener jeg ikke at Skats tast-selv-kode er blevet kompromitteret på noget tidspunkt.

Men det er sådan set inderligt ligegyldigt, da målet burde være at få lavet en rigtig digital signatur, ikke en diskussion om en SSO løsning.

Christian Nobel

Og det er det mit spørgsmål går på; papkortet. Hvad er der galt i at opbevare papkortet sammen med sit sygesikringsbevis?

Er vi ude i noget kryptisk her, med at du mener at det er underforstået at papkortet og sygesikringsbeviset aldrig kommer i andre hænder, så kan du selvfølgelig have ret.

Men det er ikke det der er præmissen, men det at hvis din lomme bliver tømt, så er sikkerheden en illusion.

Thomas Jensen

... hvis din lomme bliver tømt, så er sikkerheden en illusion.

Illusion? Hvad mener du med det? At hvis en person får fat i mit sygesikringskort + mit papkort, så er sikkerheden ikke-eksisterende? Eller blot reduceret?

Man skal have 3 ting for at kunne bruge nemid til noget:
1. id
2. password
3. nøgle fra papkort/token

Hvis man kun har to af de ting, så kommer man ikke langt.

Christian Nobel

Illusion? Hvad mener du med det? At hvis en person får fat i mit sygesikringskort + mit papkort, så er sikkerheden ikke-eksisterende? Eller blot reduceret?

For tredie gang - sikkerheden er reduceret til helt almindelig username/password, og dermed er papkortet fløjtende ligegyldigt.

Derfor er det en illusion!

Man skal have 3 ting for at kunne bruge nemid til noget:
1. id
2. password
3. nøgle fra papkort/token

Hvis man kun har to af de ting, så kommer man ikke langt.

Se ovenfor.

Men papkortet kan være en absolut brugbar løsning, hvis man gemmer det forsvarligt, eksempelvis i et pengeskab, og kun tager det frem når man skal bruge det.

Thomas Jensen

Men papkortet kan være en absolut brugbar løsning, hvis man gemmer det forsvarligt, eksempelvis i et pengeskab, og kun tager det frem når man skal bruge det.

Jeg synes det geniale ved systemet (med papkort) er, at det ikke er nok med en keylogger til at aflure mit id og password. Man skal også have noget fysisk i hånden (papkort). Og selvom man får kortet i hånden, og også har adgang til dit id (cpr), så mangler man stadig password for at kunne bruge det til noget.

Pengeskab? Helt ærligt, kom ned på jorden.

Men nu vi er ved det; jeg forstår ikke hvorfor det som standard er muligt at logge ind via cpr. Man har en 9-cifferet kode, og man har mulighed for at oprette et selvvalgt id, og det burde egentlig være nok. Man kunne måske lave en mulighed for at logge ind med cpr på nemid's egen side, så man kunne ændre sit selvvalgte id, hvis man skulle have glemt det.

Henrik Bøgh

For tredie gang - sikkerheden er reduceret til helt almindelig username/password, og dermed er papkortet fløjtende ligegyldigt.


Er den ikke det, uanset om papkortet bliver opbevaret sammen med sygesikringsbeviset eller ej?

Jeg kan også godt se, at du foruden ovenstående har skrevet:

at det hele er reduceret til helt basalt username/password

og

at man så ligeså godt helt kan eliminere NemID funktionen, da det hele er reduceret til helt banalt password/brugernavn

Men jeg kan simpelthen ikke få øje på, hvorfor du mener at sikkerheden ved at opbevare sygesikringsbeviset sammen med NemID-kortet er reduceret?

Med mindre du har nogle uformulerede forudsætninger omkring sygesikringsbeviset?

Christian Nobel

Med mindre du har nogle uformulerede forudsætninger omkring sygesikringsbeviset?

Så som at der står et CPR nummer på sundhedskortet, og hovedparten af den danske befolkning bruger deres CPR nummer som username.

Tilbage er kun at gætte folks password.

Men som sagt, det er en tindrende ligegyldig diskussion, al den stund at imo skal en "NemID2" ikke være en ny, dårlig, central, SSO løsning, men en rigtig digital signatur, hvor kun borgeren har magten over nøglen.

Tauno Suikkanen

...ved ikke lige hvordan jeg skal skrive det kort. Der er meget "kultur" - og som ikke bare handler om højere løn. phk har taget den i anden sammenhæng.

Identitet ?
Jo, man har en juridisk identitet ifht loven - skal vi kalde det statisk identitet. Det svarer vel i det store og hele til cpr nummeret. Det kan som en har nævnt, fint autentificeres uden papkort - og mere sikkert. Men frem for alt mere brugervenligt.

Men problemet er vel, at denne oplysning opkræves i flæng ? Hvorfor skal en bank vide hvem jeg er, for at jeg kan have en indlåns konto ? Der skal vel bare være direkte forbindelse mellem mit hævekort og kontoen ?

Skal "cpr" være offentlig ? Næ, fordi alt kan blive brugt mod dig, hvis du er den svage. Der er sikkert mange, der pålægger sig temmelig meget selvcensur i mange sammenhænge. Jo, jeg forudsætter at ens handlinger kan kædes sammen med id'en. Tænkt eksempel: Er det rimeligt at google kan sælge profiler af din adfærd, psyke osv til de netbutikker, som du vil handle hos ? Så sagt på en anden måde, så mener jeg man skal kunne handle "anonymt" - selvfølgelig skal varen sendes, med en reference, der senere kan anvendes ifht f.eks forbruger lovgivningen.

Hvem har brug for offentlig id ? Dem der skal samle informationer ?

Det ville også være rimeligt at anonymitet var en option på version2.dk - i stedet for falske identiteter.

Altså; jeg skal kunne holde min identitet hemmelig, ind til jeg indgår en gensidigt forpligtigende aftale. Og så skal jeg kun afgive minimum id ifht aftale og lovgivning. F.eks at jeg er over 18 år.

Jo, jeg kan godt se nogle svar på "Hvorfor skal en bank vide.... ?". Dem har phk jo givet i en anden tråd: "Det kompliceres en smule af at vores såkaldte demokrati idag intet kan gøre der forstyrrer storkapitalens profit, uanset hvor meget den måtte skade klima, miljø og mennesker." Må lige tilføje: Overvågningen skal være effektiv.

Men jeg er ikke naiv nok til at tro på, at løsningen ligger i: "Hvis man vi nå sine mål må man kæmpe for dem, selv hvis det indebærer at man må gå ind i politik..."

Så, nemid2 skal være nem og kun udveksle information ifht den aktuelle aftale og tilhørende lovgivning. Denne information må ikke udskilles fra aftalen - gemmes/sælges eller andet i den retning.

Det samme bør gælde betalingskort. Jo, så er der nok nogen, der fortryder købet af Nets :-)

Men vi har også en dynamisk identitet, som i disse computer tider bliver for statisk - meget huskes, selv om vi ændrer os, og meget huskes selv om vi er et helt andet sted i livet. Denne dynamik hæmmes også af specifik fast kendt identitet f.eks offentlig cpr.

I det øjeblik vi har en brugervenlig nemid2, så er behovet for offentlig id også væk: Jeg er mig.

Næææ, hvor er jeg tosset at bruge tid på noget så urealistisk som frie borgere....

....tror egentlig bare jeg skriver af fra andre indlæg. Jeg er ikke den rette, men alt dette VKIHJUUIGO, fører ikke til noget ..... den var også til phk, som oprettede en tråd om datasikkerhed.

Nu har jeg igen spildt tid..., men jo, når nu phk er et fjols, så er han den bedste af slagsen i denne sammenhæng.

...og glem pap folket.

lArs hAnsen

Nem adgang til at læse post i en af MIG valgt mailclient. Hvis jeg vil bruge Firefox, så må det være mit ansvar. Jeg behøver ikke at have en stat til at fortælle mig at det ikke er sikkert nok og at jeg er nødt til at logge på en statslig hjemmeside for at læse min post.

lArs hAnsen

Nem adgang til at læse post i en af MIG valgt mailclient. Hvis jeg vil bruge Firefox, så må det være mit ansvar. Jeg behøver ikke at have en stat til at fortælle mig at det ikke er sikkert nok og at jeg er nødt til at logge på en statslig hjemmeside for at læse min post.

Skulle naturligvis have været Thunderbird (og ikke Firefox) eller en hvilken som helst anden MAIL klient. Det kan så være et krav at der understøttes standard SSL/TLS uden at man skal installere mærkelige plugins som kun virker med den næstsidste version og kun 32 bit og hvad der ellers har været af problemer med NemID pluginnet.

Log ind eller Opret konto for at kommentere