Signatur for hvem ?

Debatten om den nye digitale signatur kunne måske forbedres hvis vi lige vender tilbage til det fundamentale spørgsmål: "For hvem" ?

Skal den digitale signatur gøre det nemmere for det offentlige og bankerne at identificere deres borgere/kunder, for at forhindre snyd og forbrydelser ?

Eller skal den digitale signatur gøre det nemmere for borgerne at identificere sig overfor det offentlige og bankerne og forhindre at de bliver offer for snyd og forbrydelser ?

Svaret er naturligvis ikke "enten eller" men et forholdstal, men jeg fornemmer klart at vægten er lagt på "systemts" behov from for borgerens.

Hvem taler borgernes sag ' Hvilke krav har de opstillet '

Ting jeg savner, et fra borgersynspunkt:

Gradueret identifikation. Der er f.eks steder hvor det ville være rigeligt at signaturen betød "Ja, han har forældremyndigheden over N.N" eller "Ja, han ejer ejendommen X.X" eller måske blot "Ja, han er dansk skatteyder".

Flere identiteter: System bør have mulighed for virtuelle identiteter som "Formand for grundejerforeningen", "Forældrerepresentant i børnehavens bestyrelse", "medlem af det frivillige brandværn" osv. Brugeren skal naturligvis kunne vælge hvilken identitet han signerer med.

Hvad savner I ?

phk

Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin R. Ehmsen

Jeg vil bare gerne starte med at have en signatur.

Med det nye forslag kan jeg hverken signere eller kryptere emails og dokumenter, hvilket var noget jeg kunne med den "gamle" signatur.
Jeg har svært ved at se at den nye "signatur", rent faktisk er en signatur og ikke bare et sign-on-værktøj for det offentlige og banken.

  • 0
  • 0
Henning Makholm

Nørder er også borgere, og som nørdborger er det væsentligste for mig at kunne have tillid til at signaturen nu også virker og er sikker.

Jeg har ikke nogen signatur af den gamle slags, fordi den tillid ikke kunne fremskaffes. Det var ikke til at skaffe sig teknisk information om hvordan systemet virkede, men det lod til at efter man ansøgte om en signatur, og så ville TDC generere et nøglepar og sende mig den hemmelige del. Hvilken sikkerhed har jeg for at de ikke beholder en kopi af den hemmelige nøgle? Ingen. Det problem bliver kun værre i det nye system, hvor PBS ganske åbenlyst beholder alle de hemmelige nøgler. Så skal jeg sætte hele min identitet i pant på at PBS kan finde ud af at lave ordentlig adgangskontrol til deres server. Nej tak.

  • 0
  • 0
Frank Dall Kristensen

"System bør have mulighed for virtuelle identiteter som "Formand for grundejerforeningen", "Forældrerepresentant i børnehavens bestyrelse", "medlem af det frivillige brandværn" osv. Brugeren skal naturligvis kunne vælge hvilken identitet han signerer med."

Som foreningsmand og medarbejder i et firma har jeg oplevet åbenlyse mangler ved den gamle signatur mht. flere identiter og manglende hierarki. I den nye signatur ser det ikke ud til, at man forbedrer åbenlyse mangler per erfaring, men i stedet starter (forfra) på anden gammelkendt teknologi/procedure.
Man forsøger at udvikle papirlappen med engangskoder til at blive sendt via sms. Det er egentlig smart nok, hvis ellers der ikke går ged i flytning til ny mobiludbyder osv.
Men kan man sige, at vi som samfund kommer et stort skridt videre efter de første mange år med Digital Signatur version 1 ?
Jeg synes som minimum der mangler hierarki og tilknytning til forskellige identiterer som medarbejder, foreningsmedlem og familiemedlem. F.eks. skal jeg som ansat vide eller kunne bestemme alt om mit firma hos Skat.dk, hvad identificerer mig som kasserer i fotoklubben (SE-nummer eller ej), kan min gamle mor overlade mig at administrere fjernvarmeregnskabet for forældrenes ejendom ?

  • 0
  • 0
Anonym

Der er meget galt med det enorme tilbageskridt på sikkerhedsområdet, som VTU er i færd med at påtvinge befolkningen.

For det første har du ingen sikring for at det rent faktisk er borgeren du taler med. Kæden brydes uden sporbarhed - det bygger kun på DanIds PÅSTAND. Modellen er de fakto et man-in-the-middle angreb i sig selv. Der skal være en ubrydelig sporbarhedskæde tilbage til en nogle 100% kontrolleret af borgeren selv. En CA-enhed MÅ IKKE kunne skrive under på borgerens vegne.

For det andet skaber man en intravenøs magtfaktor med meget stærke særinteresser: Borgeren er ude af stand til at skrive noget under uden DanId med ejer er med som intravenøs tredjemand med kontrollende magt omkring form og interfaces. En CA-enhed MÅ IKKE kunne vide HVAD der skrives under eller MED HVEM man indgår aftaler.

For det tredje er der ingen sikkerhed for borgeren ved genbrug af nøgler på tværs. Den opstår først i det øjeblik du kan bruge FORSKELLIGE NØGLER til forskellig formål. Dvss ikke bare skal du have forskellige nøgler til forskellige roller - hver rolle skal også kunne have forskellige nøgler til forskellige FORMÅL.

For det fjerde er der INGEN DATASIKKERHED FOR NOGEN. Modellen bygger på den ekstreme opfattelse at man skal identificeres på ethvert gadekryds hvorved enhver handling og interfaktion skaber misbrug bare databaser eller triggers-punkter til at koordinere angreb på borgeren. Grundet interdependance rammer det alle serviceudbydere lige så hårdt som eller endda hårdere end det rammer borgeren. BORGEREN skal have mulighed for at lave formålsspecfikke nøgler hvilket FORUDSÆTTER at han IKKE Identificeres i selve transaktionen, men at man TILKOBLER en model som betyder at man kan forhandle under hvilke betingelser Identifikation KAN finde sted samt tilsikrer mekanismerne hertil.

For det femte er VTU er i færd med at forspilde hele investeringen i digitalsieringen, fordi udviklerne påtvinges en uholdbar model til sikkerhedsstyring som efterfølgende skal laves om. Men det kan ikke klars med lette justeringer - man skal helt ned i selve applikationsforståelsen og virtualisere fra bunden ud. Regningen løber op i mange millarder. Hvis man medtager de dynamiske konsekvenser bliver de over få år betydelige og formentlig 3-ciffrede.

For det sjette må man ikke glemme selve de tokens som borgerne skal have. Disse må ikke være logisk låst til en gatekeeper. Tværtimod er det kritisk at man over tid skal kunne opgradere og arbejde med mange forskellige nøglehåndteringssystemer som tilpasser sig borgerens behov. I dag betragtes kreditkort og mobiletelefoner jo nærmest som gatekeeperes personlige ret til at misbruge kontrollen mest muligt.

  • 0
  • 0
Henning Makholm

Jeg er umiddelbart ikke særlig enig i PHK's ønske om gradueret eller multipel identifikation. Det er en ting at uddelegere det til et privat selskab at certificere identiteten af fysiske personer, men hvem siger at det samme private selskab også skal være dem der træffer afgørelse om hvem der er lovligt valgt som formand for grundejerforeningen eller medlem af børnehavens bestyrelse?

På den anden side kan jeg også godt se hvilken retning PHK sigter i, og ved nøjere eftertanke tror jeg min uenighed bunder i at det offentlige forsøger at uddelegere for mange og for forskellige opgaver på en gang:

  1. Definer (a) rent teknisk hvordan en signatur og et certifikat skal se ud og anvendes i konkrete situationer som email, onlinetransaktioner i netbank, GSM-betaling, og (b) hvordan den socialt/juridiske semantik af en certifikatkæde er. Resultatet skal være en åben standard som alle kan implementere. Det meste af del (a) kan sikkert opnås ved at hevise til X.nnn eller RFC-mmmm, men (b) kræver en nøjere analyse af behov, juridiske overvejelser og politiske hensyn.

  2. Drift af en offentligt saktioneret certifikatudsteder for fysiske personer. Den skal have et åbent API som følger standarderne fra (1).

  3. Udvikling af (gratis) standardsoftware som fru Jensen kan anvende til at bruge sin digitale signature i praksis. Drift af eventuel serverundersøttelse som standardsoftwaren måtte have brug for.

Hvilke krav vi skal stille, er ganske forskellige alt efter hvilken af disse tre opgaver vi taler om. Ønsket om en specifik signatur til "formanden for ejerforeningen" er godt og relevant i udbud 1, men hører ingen steder hjemme i udbud 2. Om det skal med i udbud 3 kan vi diskutere.

Jeg synes også denne tredeling kaster nyt lys over røret om nøglefiler på en central server. Den ide bør afvises højlydt og vedholdende når vi taler om opgave 1 og 2, men i opgave 3 lyder det faktisk som en god ide at udbyde sådan en service til borgere som vælger at bruge den. Hovedsagen er at folk der er mere paranoide end som så, har mulighed for ikke at bruge den.

  • 0
  • 0
Henning Makholm

Tilføjelse til min kommentar lige ovenfor:

Der er ikke noget galt i at diskutere hvilke forventninger der er til det samlede system 1+2+3, sådan som PHK vel lægger op til. Min pointe er netop at opstille det (nørd)krav til det samlede system AT der skal være veldefinerede åbne grænseflader mellem de tre dele jeg identificerer.

(Samt, sekundært, at pege på at hvis vi er uenige om hvilke krav der skal stilles, kan det skyldes at vi har forskellige antagelser om hvilken entreprise det er kravene skal stilles til).

  • 0
  • 0
Anonym

Et aspekt, som står ud i flere af ovenstående indlæg, er antagelsen om at formålet med Digital Signatur er Identifikation.

Hvorfor?

Hvor er hensynet til både borgerens og systemets sikkerhed som undermineres med Identifikation uden balancer ?

Det er antagelsen af identifikation, der skaber sikkehredsproblemerne. En form for ansvarlighed (=betinget identifikation) er væsentlig for mange transaktioner, men upfront identifikation SKABER de trusler som man ikke kan beskytte imod.

Hvorfor blander man adgangskontrol og Identifikation sammen? Siden hvornår skal man identificeres for at gå ind af en dør eller passere en gade?

  • 0
  • 0
Henning Makholm

Tænk, der har vi jo lige netop miseren. Jeg sidder modsat og undrer mig over at man giver sig til at underminere et identifikationssystem i håb om at kunne bruge det til adgangskontrol også.

Vi er vist enige om at de to er ganske forskellige funktioner, men har forskellige opfattelser af hvilken af dem ordet "digital signatur" naturligt henviser til. Begge er relevante opgaver, men at forsøge at løse begge to med ét smæk kan kun gå galt.

  • 0
  • 0
Anonym

Vi skal bruge et identifiaktionssystem OG MANGE forskellige identitetssystemer (der bør være konkurrence), men identifikation er meget sjældent ønskelig. I langt hovedparten af tilfældende skal rod-id blot levere den underliggende ansvarsmodel som afledte nøgler baseres på.

Og selvfølgelig er der ikke nogen tredjepart involeret i samtlige transkationer som en borger deltager i - tanken er jo absurd.

Alligevel er det præcis hvad angriberne i VTU og PBS har udtænkt.

  • 0
  • 0
Henning Makholm

Når du udtaler dig om "meget sjældent" og "hovedparten af tilfældene", må du have en underforstået antagelse om hvilket univers af transaktioner du måler hyppighed i forhold til. Hvad er det?

For mig at se er kerneområdet for anvendelse af en offentligt støttet digital signatur netop tilfælde hvor det er væsentligt at kunne bevise hvem man er. Hvis identitet er uvæsentligt, er det ikke en digital signatur man har brug for, men et eller andet andet autentificeringssystem.

Hvis nogen skriver til min bank og beder dem købe aktier i firma sådan-og-sådan for mine penge, håber jeg meget at banken sørger for at identifice afsenderen som mig, før de handler.

Hvis nogen skriver til folkeregisteret og beder om at få fjernet reklamebeskyttelsesflaget i min post, håber jeg meget at kommunen sørger for at indentificere afsenderen som mig, før de handler.

Hvis nogen skriver til min a-kasse og beder om at få ændret min efterlønsstatus, håber jeg meget at a-kassen sørger for etc. etc.

Hvis nogen skriver til min arbejdsgiver og siger min stilling op, håber jeg meget ...

Hvis nogen skriver til tinglysningskontoret og påstår at jeg hermed sælger og tilskøder min lejlighed til N.N., håber jeg ...

Hvad er det du forestiller dig man skal bruge en digital underskrift til hvor det IKKE er for at dokumentere sin identitet?

  • 0
  • 0
Claus Holm Christensen

...man skal bruge en digital underskrift til hvor det IKKE er for at dokumentere sin identitet?

Det lagde PHK sådan set ud med, men tænk på de tilfælde, hvor det er nok at bevise dele af sin identitet. Mailing-listen har kun brug for min e-mail adresse, boligforeningen skal kun bruge min fysiske adresse, Arto.dk kan nøjes med min alder og folketingsvalget skal kun bruge mit statsborgerskab.

I alle tilfældene ønsker jeg dog stadig at være sikker på, at de ikke forveksler mig med andre.

  • 0
  • 0
Michael Eriksen

Jeg synes denne teknikalitetsdebat er helt overflødig, så længe de basale forhold omkring digital signatur ikke er bragt i orden.

Jeg har ikke en "gammel" digital signatur og skal absolut ikke have den nye sålænge den håndteres af utroværdige privatejede selskaber som TDC og KMD. Det er horribelt at betro personfølsomme data til kommercielle firmaer, hvoraf i det mindste TDC er ejet af en yderst tvivlsom amerikansk kapitalfond.

Så kunne man lige så godt overlade fx. personnummerregisteret til IBM, ikke?

  • 0
  • 0
Henning Makholm

Drift og udvikling af CPR-systemet har været outsourcet til CSC siden 1996. Deres aftale er netop blevet forlænget til 2013, så jeg tror ikke IBM står lige om hjørnet til at overtage den.

Og siden hvornår er det blivet en "teknikalitetsdebat" at debattere hvilke krav man burde stille til systemet? Mener du at det er irrelevant at tale om hvad vi hellere ville have end PBS-løsningen, før PBS-løsningen er endeligt afvist? Sådan virker tingene ikke -- tværtimod, for at komme af med den sjuskede løsning er vi nødt til at kunne formulere en vision om hvad der skal gøres bedre.

  • 0
  • 0
Michael Eriksen

Jeg var ikke bekendt med at CPR-systemet var udliciteret til en kommerciel amerikansk virksomhed. Det finder jeg er en lodret skandale og groft usmageligt. Jeg er rystet og enhver med interesse i persondata må have en grim smag i munden. Ingen kan jo et sekund være i tvivl om at NSA har fri adgang til alle danskeres personlige data nu. Føj.

  • 0
  • 0
Log ind eller Opret konto for at kommentere