morten storm petersen bloghoved

Skal signaturen have en lillebror?

Én digital signatur til alt og alle – er det også fremtiden?

Når man tænker på det langstrakte implementeringsforløb vi har haft for vores nuværende digital signatur løsning med NemID, er det mest oplagte nok ikke at tænke, at næste gang må vi hellere bede om to løsninger i stedet for én!

Ikke desto mindre er det jo relevant at overveje, om anvendelsesområdet for NemID og digital signatur efterhånden er blevet så bredt, at der er behov for en lillebror? En lillebror som er lettere at anvende og måske har en begrænset funktionalitet, ved siden af den standardiserede digitale signatur, vi kender i dag.

Den nuværende NemID digitale signatur er baseret på den tekniske standardisering fra 1990’erne med X.509 certifikater, nøglecentre som betroede tredjeparter og signaturformater såsom XML-DSIG og PKCS#7.
Infrastrukturen understøtter altså i dag, at hver bruger kan afgive en fuld standardiseret digital signatur knyttet til et dokument eller en aftaletekst. Dette undnyttes af en række af de avancerede tjenester f.eks. ved indgåelse af lejekontrakter i boligselskaber eller låneaftaler, men hovedparten af tjensterne anvender i dag udelukkende NemID til brugerautentifikation.

Vi har herhjemme udviklet en tradition for, at de digitale tjenester primært skal autentificere brugerne og ikke nødvendigvis få en standardiseret digital signatur på de enkelte transaktioner. Selv hos Skat skal man bare logge ind. Tager man for eksempel Norge, går man her mere traditionelt til værks, og baserer sig mere på at kunne opbevare en digitalt signeret transaktion og endda kunne validere den tekniske kryptering bag signaturen efter en årrække.

Jeg har i mine seneste indlæg taget en rundtur i forhistorien for NemID og digital signatur, og senest kigget på hvad de nordiske lande gør.
Denne blog tager en tur rundt om de mange interessenter omkring NemID og digital signatur her 10 år efter introduktionen, og slutter af med nogle overvejelser over hvad den eventuelle introduktion af flere sikkerhedsniveauer ville betyde for interessenterne.

Brugernes behov – det skal være let og trygt

Tjenesterne på internettet er i gang med at vænne brugerne til, at de kan gøre næsten alting online, præcis når de har lyst. Alle forhindringer for dette, søger brugerne udenom. Klik.

Tænk blot på kreditkorthandel. Kreditkortselskaberne har de sidste 20 år forsøgt at få os til at bruge en mere sikker (og bøvlet) mekanisme - jeg kan huske mindst tre forskellige storstilede kampagner og teknologiske investeringer. Men forbrugerne har ”vundet”, vi har stadig verdens sandsynligvis ringest tænkelige identifikationsmekanisme til at autorisere køb på nettet: ”Indtast dit kortnummer, udløbsdato og tre cifre fra bagsiden…”.

Så når brugerne stemmer med fødderne, så gungrer det!

Disse mekanismer har også styrke i forhold til digital forvaltning. Hos Skat var man mange år om at udfase tastselvkoden, for det var noget folk havde lært at bruge, og man ville ikke risikere, at de begyndte at ringe igen.

Så set fra brugernes synspunkt skal det selvfølgelig være let. Men det skal også være trygt. Man vil ikke læse i avisen om sikkerhedsproblemer og risici, som godt kunne ramme én selv!

Det offentliges behov – alle skal være med

Det offentliges ambition med digital forvaltning er, at alle danskere kan finde ud af at deltage. Lige fra debattørerne på Version2 til bedstefar og oldemor, som måske akkurat har lært at sende SMS’er til børnebørnene. Så det skal være let at autentificere sig, eller i hvert fald så let og interessant, at alle borgere vil investere kræfter i at lære det.Samtidig skal løsningen være sikker og tryg at anvende for alle.

Tjenesteudbydernes behov – det skal være billigt og give trafik

Tjenesteudbyderne har behov for at nå så mange brugere med så stor funktionalitet og så lille udgift som muligt.
Derfor skal det være enkelt og ensartet at modtage alle brugere, uafhængig af hvilken konkret NemID løsning brugerne har.

Netbankernes behov

Der er næppe tvivl om, at rigtig mange brugere er glade for at kunne anvende én sikkerhedsmekanisme, både i netbankerne og hos det offentlige.

Netbankerne selv anvender i dag i praksis supplerende sikkerhedsmekanismer til mistænkelige transaktioner, og det er næppe en udvikling, som stopper. Netbankerne vil derfor sandsynligvis have øget behov for at kunne tilpasse sikkerhedsløsningerne dynamisk til trusselsbilledet, og samtidig har de største banker behov for at have løsninger i andre lande også. Dette kan potentielt udfordre en dansk fællesløsning som NemID.

Flere sikkerhedsniveauer?

Så er det ikke skørt at bruge samme mekanisme til så vidt forskellige behov på internettjenester? Vi bruger jo heller ikke Pas på biblioteket?

Netbankerne har jo faktisk arbejdet med to sikkerhedsniveauer, med deres ”kigge adgang” baseret på NemID brugerID og password, og den fulde adgang, hvor også engangskoderne fra nøglekortet er i brug. Dette synes jo umiddelbart at være en god løsning for brugerne, som stadig kun har én mekanisme. I forhold til anvendelse mod digitale forvaltningstjenester er det ”lave” sikkerhedsniveau dog helt uden standardisering og tilhørende risikovurdering. Man kan så at sige ikke afgive en ”halv” digital signatur.

Af både tekniske og sikkerhedsmæssige årsager er det næppe muligt eller ønskeligt fremadrettet at lade én sikkerhedsmekanisme understøtte både et højt sikkerhedsniveau og en ”kigge adgang”. Og så er spørgsmålet, om brugerne i sidste ende er interesseret i at have to helt selvstændige mekanismer?

Hvis man indfører to sikkerhedsniveauer, får man også brug for en klassificering af hvad de må anvendes til.

I netbankernes pengetransaktioner er det forholdsvis enkelt at lave en risikovurdering af den transaktion, som brugeren ønsker at gennemføre. Hvis man blot vil se en saldo eller flytte penge imellem egne konti, er det ikke så farligt.

Den slags risikovurdering er oftest vanskelig i offentlige tjenester, hvor det kan være sværere at vurdere risici og identificere mistænkelige transaktioner.

Der er andre lande, hvor man har indført flere sikkerhedsniveauer for elektronisk identifikation. Som beskrevet i bloggen Digital signatur i Norden har man jo f.eks. i Norge nu to sikkerhedsniveauer. Her ser det ud til, at man i store træk klassificerer højt sikkerhedsniveau ved at dette forudsættes for adgang til sundhedsdata.

Hvor dette jo umiddelbart virker forståeligt, kan det også betyde, at man får en digitalisering i to hastigheder, hvor sundhedsområdet kobles af udviklingen, hvis de fleste tjenester kun forudsætter mellemhøjt sikkerhedsniveau. Dette kan umiddelbart give et pres for at give adgang til flere data med mellemhøjt sikkerhedsniveau, på samme måde som vi ser i dag herhjemme, hvor andre tjenester også ønsker mulighed for ”kigge adgang” ligesom netbankerne.

Så flere sikkerhedsniveauer giver umiddelbart anledning til nogle panderynker. Og hvor placerer vi i øvrigt de identitetsleverandører, som breder sig med eksempelvis Facebook og Google? Skal de spille en rolle indenfor digitale forvaltning?

Lillebror eller ej? Familieplanlægning er jo oftest en lidt tør, uromantisk aktivitet, som primært associeres til fædre med ingeniørbaggrund. Men når man forestiller sig den glade, lille purk der leger på gulvet, må man også huske på, at sådan én også kan give en del ballade til andre tider.

Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Torben Mogensen Blogger

Et alternativ til NemID bør ikke kun medføre en enklere, men potentielt mindre sikker, loginløsning, men også et alternativ med mindst lige så høj sikkerhed som NemID. Dermed får man dels konkurrence, så der er mere incitament til at levere et stabilt og billigt produkt, og dels får man et reservesystem, er kan bruges, når NemID er nede pga. Java-opdateringer og andre problemer. Eller omvendt, det er ikke tanken, at det andet system skulle være sekundært og kun bruges i nødstilfælde, det bør være en fuldgyldig konkurrent til NemID.

Man kan så i begge systemer (og måske flere endnu) have flere niveauer af sikkerhed.

  • 4
  • 0
Gert Madsen

Det er en god ide at lave 2 niveauer.

Og det højeste niveau skal være meget sikkert. Mere sikkert end NemID. Hvorvidt det så bliver mere besværligt er mindre vigtigt.

Der er årsager til at man har lavet besværlige procedurer til visse ting i den manuelle/analoge værden.
Jeg forstår ikke hvorfor man tror at disse årsager ikke skulle være gældende bare fordi man digitaliserer.

Og ja. Der vil være nogen som til enhver tid vil sætte bekvemmelighed over sikkerhed.
Men det kan ikke være en offentlig opgave at mindske retssikkerhed og beskyttelse af personlige oplysninger.
Så hellere erkende at nogen behøver hjælp til processen.

  • 3
  • 0
Ole Sanvig

Behøver det at være to niveauer af sikkerhed? Kunne man forestille sig det samme niveau af sikkerhed, men flere certifikater med hvert sit niveau af information om indehaveren?

Så man kan lave et certifikat, der identificerer én som fx over 18, men ikke giver "den anden ende" andre oplysninger end netop dét - og stadig med fuld sikkerhed?

  • 0
  • 0
Morten Storm Petersen

@Torben og Gert.

Det er interessant, at I begge peger på at vi nærmere skal have et højere sikkerhedsniveau eller to på niveau end et lavere niveau.

Jeg tror stadig at vi er meget afhængige af at skabe mekanismer, som realistisk kan betjenes af alle brugergrupper uden alt for megen uddannelse. Én af de helt store udgiftsposter ved denne infrastruktur er brugersupport. Og for hver gang vi betaler et support kald, har vi jo også en frustreret bruger i den anden ende, som har haft en dårlig oplevelse.

@Ole

Når jeg interesserer mig for to niveauer af sikkerhed er bagtanken selvfølgelig, at den mekanisme som har det laveste sikkerhedsniveau forhåbentlig også er lettere at få og anvende for brugerne.

  • 0
  • 0
Jacob Andersen
  • 0
  • 0
Gert Madsen

Jeg tror stadig at vi er meget afhængige af at skabe mekanismer, som realistisk kan betjenes af alle brugergrupper uden alt for megen uddannelse.


Det er ganske rigtigt.
Men jeg mener at vi skal have en signatur som først og fremmest er sikker nok til formålet.
Hvis det betyder at man ikke lykkedes med at lukke det antal offentlige kontorer, som man drømmer om, så må det være sådan.

Hele formålet med feks. tinglysning er faktisk at man kan være sikker på at have pålidelige oplysninger til rådighed, og at ejendomsretten bliver sikret for både Per og Poul.
Når man giver køb på sikkerheden, så falder det oprindelige formål til jorden, og man har ramt helt ved siden af skiven.

Kan man ikke lave en digital løsning, som både er sikker, og til at anvende for menigmand, så må man lade være. Med tiden skal en løsning nok dukke op.

Jeg mener at det er fuldstændigt forfejlet at man kompromiterer hele formålet med en række offentlige institutioner, og i yderste konsekvens, selve staten, fordi man har forelsket sig i et værktøj, der almindeligvis benævnes IT.

Der er selvfølgeligt ikke noget i vejen for at have en løsning, som er besværlig, men sikker, og som så kun kan bruges af en begrænset skare. Det er nok sådan en løsning, som Jacob peger på ovenfor.

Samtidigt er jeg helt enig i at man så kan/bør vælge at tage stikkene hjem i de tilfælde, hvor behovet for sikkerhed ikke er så stort. Her kan laves en fælles og simpel login lidt a la NemID, eller Skats login.

Derfor 2 løsninger.

  • 0
  • 0
Andreas Bach Aaen

Jeg finder det en stor fordel, at der ikke er en knytning mellem urelaterede sevices.
Det er derfor med velbehag, at jeg benytter tastselv koden hos Skat og glæder mig over, at dette ikkehar noget med indskrivningen af mine børn i skolen, eller lån på biblioteket.
Så en sikkerhedsbrist et sted fører ikke til en total overtagelse af min identitet.

  • 2
  • 0
Log ind eller Opret konto for at kommentere