georg strøm bloghoved

Registrering kan være dårlig

Registrering uden pålidelig identifikation er katastrofal. Uanset om der er tale om gamle dages checkkonti, en moderne netbank, systemer til e-banking eller de offentlige systemer, skaber registreringen miljøer hvor en pålidelig identifikation er det eneste som kan forhindre at andre misbruger vores identitet.

Jyllandsposten beskriver i en artikel, at der kun er 270 gyldige numre for hver fødselsdato, når der både skal være checkciffer, kode for århundredet og for personens køn i de sidste fire cifre i CPR-nummeret. Desuden tildeles numrene i rækkefølge, så der kun er omkring firs drenge- og firs pigenumre for hver fødselsdato. Hvis det er nødvendigt at kende de sidste fire cifre af cpr-numret for at logge på, er det i snit nok med kun fyrre gæt.

Oven i flyder CPR-numrene, eller i hvert fald fødselsdatoerne omkring, så en ret stor gruppe har adgang til at finde nogle tal som passer med deres eget køn og nogenlunde alder.

Ifølge Jyllandsposten er Margrethe Vestagers løsning at anvende NemID. Den er sikker, men bare ikke nem nok, når du står nede på posthuset. Posthuset er tilfreds med et kørekort med et billede, selvom det er ret let at eftergøre, og der er kun en minimal chance for at kassereren reagerer på en falsk nedkradset signatur. En af konsekvenserne er, at der er en række kendte huller i de nuværende systemer som gør det muligt at stjæle andres identitet.

Dem der har læst romanen "Sjakalen" som foregår i tresserne, kan tænke på det daværende engelske system, hvor en kopi af en dåbsattest med et falsk stempel var nok til at få et gyldigt engelsk pas, hvor en kontrol ville vise at identiteten tilhørte en virkelig person, selvom han eller hun var død mange år tidligere. De nuværende systemer er ikke meget bedre beskyttede mod identitetstyveri.

Vi har brug for et sikkert digitalt identitetskort med billede som støtter brugen af et password, og eventuelt også har biometrisk identifikation. Ifølge Jyllandsposten arbejder andre europæiske lande på et fælles kort, mens Danmark af en eller anden grund står udenfor.

Måske er årsagen, at et nationalt identitetskort kan få os til at tænke på en politistat, hvor vi risikerer at blive stoppet og skulle vise vores kort på gaden. Det kan vi allerede. Forskellen er blot at du i dag risikerer at blive taget med på stationen, hvis du ikke kan vise noget legitimation eller fremsige et navn og cpr-nummer som politiet kan finde i registret, så de kan føle at du er identificeret.

Artiklerne i Jyllandsposten:

Cpr-nummer: http://jp.dk/indland/article2662336.ece

Identitetskort: http://jp.dk/indland/article2662936.ece?page=1

Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Karsten Nyblad

I praksis kigger folk, der skal tjekke identiteten, sjældent ordentligt på papirerne. F.eks tjekker buschauffører kun månedskort, hvis de af en eller anden grund tror, at der bliver snydt. Hvis man skal have et effektivt system, er det nødvendigt med automatiske systemer til at kontrollere, at et ID-kort tilhører den, der bruger det. Det gør det nødvendigt, at billedet bliver lagret digitalt.

En anden grund til at billedet skal lagres digitalt er, at det er for let at forfalske fysiske billeder. Ved at lagre billederne digital med digital signatur kan man komme ud over dette problem.

I password beskyttelse kan være meget fint, men det er for let at aflure, hvad folk taster, hvilket er endnu en grund til at der også bør være biometrisk identifikation på kortet.

Nu kan sådanne kort blive væk eller ødelagt. For at sikre, at folk ikke snyder og får myndighederne snydt til at lave et ID-kort i en anden persons navn, er det nødvendigt, at den myndighed, der udsteder ID-kortne, gemmer en kopi af billede og biometrisk data. Når først myndighederne har sådan en database, tror jeg, den også vil blive brugt af f.eks. politiet til opklaring af forbrydelser. Velkommen til Big Brother.

Endelig: Hvordan skal kortet aflæses? Vores pas bruger RFID cjips. Hvis et ID-kort kan aflæses uden ejerens samtykke, giver det muligheder for at overvåge befolkningen i stor stil.

  • 1
  • 0
#2 Anonym

Der er som sådan ikke brug for et kort i en digital verden. Ulempen ved kort, er netop at de kan forfalskes, noget andet er, at vi jo alle har et Pas eller andet identifikationskort i forvejen, så der er ganske enkelt ikke brug for flere kort.

Man kan sagtens identificerer sikkert digitalt, også i første person. Det er ikke noget problem. Det kan gøres, kun med de oplysninger man i øvrigt kan finde i en telefonbog, og det kan gøres så brugeren selv bestemmer hvilke oplysninger der skal benyttes i identifikationen. At brugeren selv skal kunne bestemme hvilke oplysninger der bruges, er et krav i flere lande. Det virker på alle platforme for det har grundlag i en webløsning. Ud fra devisen om at alt kan hackes, så er det sikkert muligt at hacke systemet, fuldstændig som andre systemer. Men de oplysninger en hacker vil få, er uden væsentlig værdi for det vil være samme offentlige oplysninger man vil kunne læse i en telefonbog ( eller f.eks. her på V2 ).

Systemet vil kunne fungerer som CPR, hvor det vil tilbyde en dynamisk løsning, som heller ikke afslører den enkeltes fødselsdato. Systemet kan implementeres med eksisterende systemer, hvis det ønskes, således at det eksisterende system får fjernet de mangler der er i den forbindelse.

Det handler om principielt om, at man skal kunne tilspørges som den man er, intet andet.

Magrethe Vestager er klar over, eller bør være, at et sådant Digitalt system findes. Det er kun et spørgsmål om at hun fatter telefonen og ringer....

Som Karsten Nyblad skriver, så er der ingen der kigger på ID-kort og ID-kort er for enkle at forfalske.

At ingen kigger på ID-kort, medfører at selve den løsning der anvendes, i et vist omfang skal tilbyde at man gemmer selve identifikationen, således at identifikationen kan efterprøves ved mistanke om svindel.

Biometrik, er ikke så kompliceret, det er som sådan det samme man gør når man kigger på et pasbillede. Dette kan digitaliseres og anvendes i automatiske genkendelsessystemer. Det er også muligt at forfalske den slags, det er ikke en 100 % sikker løsning. Derfor er det intet behov for flere "kort", vi har allerede Pas, Kørekort, osv. der identificerer os i den virkelige verden, der skal en digital løsning til, som identificerer os i den digitale verden. Det er jo også i den digitale verden, det skal bruges, og i den forbindelse, så skal løsningen nødvendigvis være digital, for overhovedet at kunne benyttes.

  • 0
  • 0
#3 Povl Hansen

Det nemmeste måde af få et identitetskort med billede, ville være af udstede et nyt kort til alle dem der bestiller pas, når nu man har billedet digitalt burde det jo været nemt af også trykke det på et sygesikringskort,

Af nogle buschauffører ikke tjekker månedskort, skyldes af de syntes det er mere vigtigt af køre til tiden,

  • 0
  • 1
#5 Gert Madsen

Man skal sætte tingene i forhold til nytten. Det er skudt over målet at lave en sikker identifikation, for at køre en tur i en bus.

Faktisk er det et af de tilfælde hvor identificering slet ikke burde forekomme. Buschaufføren skal tjekke at jeg har ret til køre den pågældende tur med bussen ("gyldig rejsehjemmel"). Hvem jeg er, rager sådan set ikke ham.

  • 3
  • 0
#6 Jette Hartmann

"noget andet er, at vi jo alle har et Pas eller andet identifikationskort i forvejen,"........ en af mine yndlings-hade-sager. NEJ ALLE har ikke hverken pas eller kørekort, eller andet med billede på. Det er faktisk ikke lovpligtigt at have pas/kørekort. Staten udsteder et sundhedskort - det er hvad man har af legitimation her i DK. Så kan div. posthuse og andre sjove foreninger kræve billedlegitimation så meget de vil.

  • 0
  • 0
#7 Anonym

Prøv at eksisterer i Danmark, uden billed legitimation, det er vanskeligt.

Det ER muligt at identificerer, uden at udgive en persons billede. Man skal kun sikre relationen mellem den legale myndighed og den enkelte. Altså at man er den man er.

Der er alle MULIGHEDER i Danmark, for at at alle kan identificerer sig selv, I FØRSTE PERSON, på alle de infrastrukturelle systemer der er. Pas, Kørekort, whatever, er en MULIGHED. Helt som andre løsninger også bør være det. Aldrig et krav, det er vi helt enige om !

Det er muligt at bygge et sådant identifikationssystem. Det kan dublerer eller erstatte CPR- / CVR-nummer, og det kan gøres dynamisk, så man kan skifte nummeret. F.eks. hvis man mener det bliver misbrugt. Det er tilsvarende muligt, at man udbygger og sikrer, at der identificeres i første person, på andre "statslige" loginsystemer.

Der er IKKE behov for et identitetskort, man kan gøre det helt uden, og man bestemmer selv, hvad man vil benytte som identifikationsdata. Det virker overalt hvor der et internet, og vil derfor også kunne identificerer sikker overfor sociale netværk, med udgangspunkt i fremmede lande. Så man slipper for, at andre misbruger ens identitet i den forbindelse. Med mobilen i hånden, vil det også virke på gaden, hvis man lige vil sikre sig, at ham Holger Hentehår, nu også er Holger Hentehår. Og dataudvekslingen er minimal, så det virker også, hvis der er en UlandsDanmark forbindelse, med datahastigheder kun lidt bedre end manuel morse.

Da der ikke skal produceres "papkort", kan det næppe blive mere "grønt" eller tilgodese det Digitale samfund bedre.

Hende Vestager kan bare ringe, så får hun en pris og leveringsdato. Hun kan også vælge at sætte andre til at effektuerer løsningen, og nøjes med at købe løsningen. Hun bliver oven i købet præsenteret for løsningen, så hun VED hvordan det virker, inden hun køber. Så hun bestemmer selv, nemmere kan det ikke blive.

Men Vestager VIL ikke have det, hun VIL kun have, at alle skal benytte en anden løsning, på trods af de mangler det har, og at det ikke leveres som den løsning man satte i udsigt. Vestager er ikke interesseret i, at nogens personlige integritet respekteres, eller at brugerne skal have styr på hvornår og i hvilken forbindelse der identificeres. Det VIL hun ikke, hun siger det selv.

Nu er det ikke Vestager, der har med den side af sagen at gøre, det er Corydon og Digitaliseringsstyrelsen. Men de VIL heller ikke gøre noget ved det, de VIL kun kigge på det samme som Vestager. Upåagtet, at de har kendt til løsningen, inden at den anden "statslige" løsning bleve godkendt.

Man VIL altså ikke tilgodese borgerne, med foretrækker dem der tydeligvis ikke kan levere en løsning der virker. Hvorfor, skal jeg være usagt.

  • 0
  • 1
#9 Georg Strøm Blogger

Jeg havde i går en lang samtale med Stephan Engberg som har arbejdet meget mere med denne problemstilling end jeg har. Her er en kort version af det jeg fik ud af hans forklaring.

I mange situationer er det ikke afgørende om du faktisk kan identificere dig. Det afgørende er, at du kan dokumentere at du har ret til at lave en bestemt transaktion. Det banale eksempel er når du køber noget kontakt i en forretning. Du viser pengene som dokumenterer at du kan købe varen, men behøver normalt ikke at identificere dig.

Et borgerkort - nu bliver det forkert at kalde det et ID-kort skal gøre det muligt at vise du er autoriseret til at lave forskellige transaktioner, at du har forskellige roller, uden at du nødvendigvis behøver at identificere dig. I hvert fald ikke med et CPR-nummer, som gør at dem der opsnapper det kan genfinde dig i alle mulige andre systemer.

I systemerne, er det afgørende at identificere den enkelte transaktion, ikke den absolutte identitet på den person som udfører den. Med mindre man bagefter skal finde frem til de transaktioner som en bestemt person har lavet, fordi politiet mistænker ham eller hende for at have lavet noget ulovligt og har fået en dommerkendelse.

  • 1
  • 0
#10 Frithiof Andreas Jensen

skal gøre det muligt at vise du er autoriseret til at lave forskellige transaktioner,

Det er sjovt at man ikke afskaffer grænserne - tværtimod:

Man laver mange flere af dem og meget mere finmaskede således at alle områder af samfundet til sidst kan omkredses af en grænse og/eller en betalingsmur.

Centralt styret af demokratiet, selvfølgeligt. Jeg er bare ikke sikker på at det er en særligt god ide. Man lægger et alt for stort væddemål på at Regeringen, samt alle mulige kommende regeringer, aldrig vil misbruge muligheden for f.eks. hurtigt og automatisk at udelukke politiske modstandere fra at have en lønkonto, internetadgang, rejser, o.s.v.

  • 1
  • 0
#11 Anonym

At blande transaktion sammen med identificering, er ikke væsentligt.

Det er selve identificeringen der er væsentlig, hvor denne er påkrævet. Dette kan, på internettet, foregå helt uden brug af et "papkort". "Papkortet" bidrager kun til et muligt yderligere misbrug, hvorfor det bør overvejes om der overhovedet er behov for dette kort. Et hvert kort kan forfalskes, og en løsning der fungerer over internettet, hvor man ikke skal have et kort i lommen, men hvor løsningen ligger Digitalt hos myndigheden, er i den forbindelse sikrere, end et kort.

Til gengæld, er det meget væsentligt, at hvis man som nation ønsker at udøve en magt, altså forlange loven overholdt på nogen infrastruktur, herunder internettet, skal nationens myndighed tilbyde at man kan identificerer sig, over for alle andre, på infrastrukturen selv.

Her skal det iagttages, at det er noget som nationen skal tilbyde, det er ikke noget som nationen kan forlange ! Kort eller ej. Ingen nation kan forlange at en identitet underkaster sig netop denne nations magt og beskyttelse, det er et valg som enhver selv har. Nationen kan kun tilbyde den enkelte identitet, at tilhøre nationen. ( Bortset fra i et Stasi-regime eller lignende )

Enhver identifikation, skal være i første person. Altså skal man kunne tilspørges som den man er. Alternativt er der tale om en udredning, hvor 3'die person redegør for en identitet. Her er der ikke kun tale om det retssystem som vi kender herhjemme, det er helt umuligt for noget socialt system, at fungerer uden identifikation i første person. ( Det gælder også for en myre, i dens sociale system. )

En Banksammenslutning eller nogen anden privat virksomhed, må aldrig, helt eller delvis agerer som identifikationsmyndighed. For en privat virksomhed, kan ikke være legal myndighed over for nogen identitet. Sker dette alligevel, så er den enkelte identitet, ikke underkastet en nation men en virksomhed.

Kun i det tilfælde, at virksomheden ikke aktivt indgår i selve identifikationen, og hvis identifikationen er i første person over for alle andre identiteter, samt hvis virksomheden er udtrykkeligt bemyndiget, kan der indgå en virksomhed i identifikationen af en given identitet og dennes legale relation til en nation. ( Altså, som hvis man laver Kørekort, på vegne af Politiet / motorkontoret, eller trykker pas, hvor man ikke indgår i identifikationen, men kun fremstiller den praktiske løsning som gør identifikationen i første person mulig. )

Lad os kigge på "transaktionen". I forbindelse med f.eks. en Bankforretning, er det GRUNDLÆGGENDE helt uvæsentligt for relationen mellem kunden og banken, hvilken legal identitet kunden har. Der er ingen forskel på, om det er hos købmanden, eller i Banken. Banken er som købmanden, en privat virksomhed, banken handler blot med med penge. Der kan være forhold der taler for, at banken skal kende relationen mellem identiteten og dennes legale tilhørsforhold, f.eks. i forbindelse med skat, terror, eller hvidvaskning af penge. Dette er dog mest en akademisk anskuelse, da Banken ikke har råderet over de penge en given identitet har på kontoen, eller er i stand til at udøve politimyndighed over for den enkelte identitet. Dette er senest afprøvet i en Bank med Jydske rødder, som er kritiseret for at hjælpe kunder med at sende penge ud af landet, til hemmelige konti i udlandet. Her kan det ses, at Banken ikke er i stand til at begrænse kundens frie ejendomsret, og derfor ikke har nogen reel mulighed for at forhindrer Skatteundragelse, eller hvad der nu har været motivet til at flytte substantielle summer til udlandet. At der kan være tale om en helt reel handel, hvor der betales for en vare eller ydelse i udlandet, er ganske enkelt ikke noget banken kan vide noget om, så det er ikke muligt for en bank eller pengeinstitut, at agere på myndighedernes vegne. Hvis et pengeinstitut skulle agerer på myndighedernes vegne, skal hver eneste transaktion, anmeldes som mulig lovovertrædelse. Beløbet er her ikke væsentligt, for mange små beløb, udgør som bekendt et samlet større beløb, hvis disse samles i en enkelt sum.

Hvis man vil afklare behovet, så er der behov for, at enhver kan identificerer sig over for alle andre, i første person. Ingen kan beskytte sig, og påkalde sig nationens beskyttelse, hvis ikke man kan identificerer sig sikkert og i første person. Det handler om simpel retssikkerhed !

Holder man "Transaktionerne" altså økonomien uden for, så skal man bare kigge på, at Datatilsynet har fundet det nødvendigt med standardformularer, bare for at kunne behandle sagerne om identitetsmisbrug og lignende, i forbindelse med enkelte sociale netværk. Her skal det indskydes, at den enkelte ikke engang kan forblive anonym over for den som foruretter ( det sociale netværk ), men er tvunget til at benytte et eksternt system der yderligere foruretter den misbrugte. Her er der ikke tale om få og enkelte sager, men store mængder af sager, sager der på andre infrastrukturer ville behandles meget hårdere. Man kan bare kigge på forskellen mellem et identitetsmisbrug med et kørekort, og så hvis man foretager et identitetsmisbrug på et socialt netværk. Med kørekort, risikerer man i værste fald en spjældtur, men på det sociale netværk, gider Politiet ikke engang kigge på sagen. Den forurettede må selv må opklare og efterforske, for efterfølgende selv at føre sag, hvis dette overhovedet er muligt.

Hvis vi vil have "Det digitale samfund", skal den slags være på plads.

Kigger man på "transaktioner", så tilbydes der kun begrænset mulighed for at man sikkert kan identificerer sig, og det er ikke i første person. Det betyder, at man afholdes fra at identificerer sig over for andre aktører/handlende, end dem som vil betale det eksisterende system. For alle andre aktører/handlende, end lige de virksomheder der er tilmeldt det eksisterende system, er der langt ringere mulighed for identifikation mellem køber og sælger, end for dem der underkaster sig det eksisterende system. Det begrænser ikke kun muligheden for den enkelete køber, frit at vælge hvem man vil handle med og identificerer sig over for, men det er også konkurrenceforvridende, for de virksomheder der ikke har mulighed for, eller vil, underkaste sig det eksisterende system.

Undlader man at kigge på virksomheder, men kigger kun på privathandel, herunder på de forskellige netauktioner og handelssteder, så er der slet ikke nogen sikker identifikation, hverken af sælger eller køber, hvilket bidrager yderligere til at svindel og misbrug.

Hvad omkostningen for ovenstående koster den enkelte og samfundet, forholder man sig ikke til, i de tal der kommer på bordet. Alene konkurrenceforvridningen, må nødvendigvis medfører at man er tvunget til at handle med langt større omkostninger en det reelt er nødvendigt, med tilsvarende store omkostninger for samfundet som helhed. Men også alle de andre omkostninger der følger med, når man ikke sikkert og enkelt, kan redegøre for hvem man er, er skjulte og udelades helt i de redegørelser der offentliggøres.

Vil man, identificerer sig sikkert, som ærlig borger, over for alle andre på internettet, er dette ikke en mulighed man tilbydes. Ikke fordi det ikke er muligt, men simpelthen fordi man ikke vil tilbyde en sådan løsning.

Behovet er der, og det er ikke kun et behov i forhold til transaktion, det handler først og fremmest om retssikkerhed i den nye digitale verden.

Igen der tilbydes i den eksisterende løsning, kun en stærkt konkurrenceforvridende løsning, der fortrinsvis forholder sig til "transaktion". Her er ikke medtaget, at den eksisterende løsning, ikke fungerer som forventet på hele internettet. Samt at der ikke kvitteres for den identifikation der foretages, herunder kvitteres for tilgang til data, identificerer i første person, osv. som ovenfor nævnt.

"Kort" har vi nok af, det tilbydes i alle mulige afskygninger. Det er ikke en løsning der fungerer i forhold til det fremtidige samfund, hvor alle transaktioner vil foregå digitalt. Der er behov for en løsning, hvor løsningen ligger hos myndigheden, således at man kan identificerer i første person, over for alle, uden at skulle trækkes med endnu et kort. Kort, bidrager ikke med noget nyt, og løser ikke problematikken omkring identifikation, i fremtidens digitale samfund.

Harald Blåtand er holdt op med at riste runer, checkhæftet er også en historisk løsning, det samme er de goe gamle arkivskabe, hvor vi kunne bruge CPR-kortet til noget.

Vi ER trådt ind i den Digitale tidsalder, det skal vi forholde os til og hilse velkommen. Der er ingen grund til at kigge bagud, på løsninger der hører fortiden til. Løsningerne findes, det er bare at rykke på det. Især hvis Danmark igen vil være en frontløber som Digital nation.

  • 0
  • 1
Log ind eller Opret konto for at kommentere