henrik biering bloghoved

Slut med CPR, NemID og evindelige brokkerier - vil du være med til at forme fremtiden?

Med digitaliseringen flytter flere og flere værdifulde og personfølsomme aktiviteter online. Men løsningerne til udfordringer omkring sikkerhed og brugervenlighed i forbindelse med identitets- og rettighedshåndtering halter klart bagefter.

Talrige artikler her på Version2 vidner om problemer med beskyttelse af adgangskoder og persondata, identitetstyveri, aflytning af både person- og virksomhedskommunikation, samt om principielle og praktiske problemer med den kritiske komponent NemID.

Flere medier og organisationer har gjort opmærksom på problemerne:

Rådet for Digital Sikkerhed har efterlyst en åbning af markedet for ID-løsninger.

Redaktøren for Ingeniøren argumenterer i en leder endnu bredere for en reel debat om digitaliseringens uløste problemstillinger.

Forbrugerrådet vil af med CPR-nummeret som led i bestræbelserne på at komme det voksende ID-tyveri til livs.

På trods af intentioner om at begrænse svindel og tilbyde personaliseret kundeoplevelse er E-handelsorganisationen FDIH imod generel brug af CPR- eller NemID validering i forbindelse med e-handel.

Digitaliseringsstyrelsen har allerede i 2011 udarbejdet et debatoplæg, der omhandler problemer omkring identitetshåndtering og mulige ny løsningsmodeller.

Så mon ikke det forestående salg af hele NemID infrastrukturen kan få myndigheder og politikere til at overveje fornuften i at opretholde den nuværende monopolløsning, der med hensyn til såvel brugervenlighed som sikkerhed og forretningsmodel ikke har appelleret til det private marked for identitetshåndtering?

Hidtil har debatten desværre fokuseret på kritik af nuværende løsninger, mens reelle behov og alternative løsningsmodeller kun er blevet diskuteret i begrænset omfang. I andre lande har man derimod iværksat projekter, hvor offentlige myndigheder og private aktører arbejder sammen mod visionære mål baseret på principper om privacy, sikkerhed, interoperabilitet og brugervenlighed - eller på borgernes mulighed for at administrere adgangen til behandling af deres egne data.

Ingeniøren's læsere har vist, at man kan samle sig om konstruktive projekter om alt fra bygning af superhøjttalere til bemandet raketfærd. Så hvorfor skulle Version2's læsere og andre interessenter ikke kunne bidrage på kvalificeret vis, når det gælder IT-infrastruktur til fælles gavn for samfundet.

Det er ud fra disse overvejelser jeg nu inviterer til et konstruktivt samarbejde med henblik på først at skabe et generelt "inspirationskatalog" og derefter arbejde videre med analyser, kravspecifikationer samt eventuelt kritiske open source nøglekomponenter, der kan bidrage til at løse specifikke problemer for borgere og virksomheder. Det overordnede mål skal være at bringe danske virksomheder og borgere frem i digitaliseringens forreste række under hensyntagen til forskelle i såvel kompetencer som præferencer. Det er også vigtigt med et internationalt perspektiv, så vi som lille nation ikke fortsat maler os selv op i vores helt eget hjørne af verden og skal genopfinde alting fra grunden.

For at løse denne opgave er det nødvendigt at samle input fra alle interessenter og starte med at se på de grundlæggende behov og problemer. Derfra kan vi udvikle løsningsforslag under inddragelse af såvel tekniske, som policymæssige og kommercielle overvejelser.

Udover at Version2 vil blive benyttet som kommunikationsplatform er der ikke på forhånd taget nærmere stilling til hvilke samarbejds- og projektværktøjer projektet skal benytte.

Man kan deltage på alle niveauer fra sporadiske indspark og kommentarer til et vedvarende engagement. For at sikre fremdrift og en kvalificeret proces kræves dog én eller flere tovholdere - en rolle som jeg selv vil byde ind på. Hvis du er interesseret i at medvirke til projektet, så send en mail til hb@peercraft.com med oplysning om din relation til de problematikker, jeg har refereret til i dette indlæg. Du er også velkommen til at sende mig forslag eller kommentarer til alt vedrørende projektet, hvis du ikke ønsker at bruge debatfunktionen her på siden.

Relateret indhold

Henrik Bierings billede
Henrik Biering er medejer af Peercraft ApS og aktiv i OpenID Foundation. Han interesserer sig stærkt for VRM (Vendor relation management) og blogger om håndtering af identitet, omdømme og personlige data på nettet.

Kommentarer (21)

Benny Tordrup

Et krav må være, at løsningen ikke er baseret på central lagring af certifikater, men brugerne har 100% kontrol over deres certifikat. En løsning kunne være at kæde det sammen med en form for borgerkort, som så samtidig kunne erstatte personnummerbevis og sygesikringsbevis (og i princippet også andre beviser)

Benny Tordrup

Den valgte løsning med e-Boks som leverandør af Digital postkasse til borgerne er tåbelig. Man er påtvunget anvendelse af e-Boks. Det burde være muligt at anvende en hvilken som helst email-adresse, som man er i stand til at signere og kryptere ved hjælp af et Digitalt Certikat.

Andreas Bach Aaen

Supergodt initiativ.

Det skal gøres nemt for de mere IT-forskrækkede danskere at håndtere deres eget certifikat. Et hardwaretoken kunne være en mulighed.
Design systemet efter at ID'er udløber, kan blive stjålet/hacket og det skal være nemt og ikke omkostningstungt at få et nyt certifikat.

Det kunne væe en mulighed at identiteten ikke kun verificeres af offentlige myndigheder, men også borgere, der siger god for andre borgere. Altså at identiteter også kan bygges op nedefra som med pgp.

I manger tilfælde vil kommunikation/handel med en fremmed være bedre sikret med en tyk kæde af personer, der kender personer være bedre en en en validering af en enkel offenlig myndighed, der måske er blevet fuppet.

Vi skal ud af mantraet, at borgerne ikke selv kan sørge for sikkerheden omkring deres identitet og at staten i stedet gør det på de dumme borgeres vegne.
Alle dumme borgere skal således kunne skabe en digital identitet og gøres i stand til at holde på den uden, at være i stand til at indbrudssikre deres firewall og virusscanne og opdate deres IT-udstyr.

Det er vigtigt at få beskrevet de krav man med rimelighed kan forvente/forlange af borgernes private certifikatpunge.
Hvad skal der til for, at sikre mod lemfældig omgang med ens private certifikat?

Det er også væsenligt at løsningen er decentral, og at der ikke er centrale angrebspunkter. Borgere og virksomheder skal kunne kommunikere direkte uden trediepart.

Gert Madsen

Et af NemID's grundlæggende problemer er at man vil have at løsningen skal dække alle behov på samme måde.

Man kunne sagtens have en central login-løsning til "ufarlige" opgaver, og så have en "fuldblods" sikker adgang til mere alvorlige opgaver, hvor den sidste godt måtte være lidt mere besværlig at håndtere.

I ingen af tilfældene skal man selvfølgelig have overvågningshåndtag indbygget, som man har i NemID.

Daniel Udsen

Problemet med nemid osv har gennerelt været NIMBY, alt hvad staten realt skal for at implementere/facilitere et effektivt digital signatur system er at drive telefonbog's delen af systemet alt andet er effektivt implementeret i off the shelf software.

Du har to etablerede standarder centraliseret PKI/PKCS#12 og pgp/gpg hvor det eneste der mangler er en muglighed for at "tinglyse" hvilke offentlige signaturer der tilhører hvem. Det er det EU's formulering om Kvalificeret henviser til.

Det eneste andet problem du har er selve email delen, kan du kræve at borgeren selv har skaffet sig en signatur og en løsning til at modtage den eller skal staten ind of tilbyde en gratis løsning. Igen Drift af en ren IMAP/POP3 server er ikke avanceret og kan gøres forholdsvist simpelt især hvis vi husker at det er tinglysningen af adresse/nøgle der gør signaturen valid.

Når det kommer til nøglerne er der ingen vej uden om der skal stilles krav om hw, i udlandet løses det problem ved at man har forsynet traditionelle IDkort(i DK sygesikringsbeviset) med en krypto-token, den løsning kan sagtens overføres til DK og kolidere ikke med ideen om at "tinglyse" borger gennererede public key.

Hvis staten vil have en SSO løsning kan/bør den implementeres 110% seperart af signaturløsningen, og bør implementeres via OpenID protokollen eller tilsvarende.

Kristian Sørensen

Skal man have tillid til en bestemt stat for at bruge systemet?

Skal man have tillid til en bestemt bank for at bruge systemet?

Skal man have tillid til en bestemt virksomhed for at bruge systemet?

Skal man have tillid til en bestemt person for at bruge systemet?

SlemId har den store skavank at man skal have ubegrænset tiltro til en bestemt organisation. Har man ikke det, skal man have det alligevel for SlemId rummer ikke mulighed for noget alternativ og loven tvinger en til at bruge SlemId under trusler om bøder og fængsel.

Hans Schou

Et af de problemer vi ofte ser, er noget med login. Se fx Masser af danskere berørt: Data stjålet fra dating-sider. På linket kan man få hjælp til at lave sig et godt password, men desværre er den menneskelige hjerne slet ikke avanceret nok til at løse den opgave: Når mennesker vælger password, er de dårlige.

Så er der nogle sites der maskingenerere password for folk, men dem kan de ikke huske.

Det vi skal frem til, er at bruge samme mekanisme som SSH.

  • Du skaber selv din private nøgle
  • Du opbevarer den selv
  • Du tager ansvar for dig selv
  • Bliver nogen hacket, så er det kun din nøgle, og ikke 1 millon

Mange steder kan man nøjes med et ret simpelt login, som fx her på version2.dk. Det eneste krav der stilles, er at du kan svare på den mail de sender - til din nyoprettede jens.jensen@gamil.com adresse.

Så i stedet for et password, er mit forslag at bruge PKCS12 nøgler eller lignende.

Jeg har forsøgt mig med at lave en video-demo af hvordan det kunne se ud på et site der minder om version2s krav til identificering: Client Certificate Login Demo (lige pt virker den viste web-adresse, hvis nogen selv vil prøve). Det jeg forsøger at vise, er at man laver sin egen nøgle med sin email-adresse, og så tilgår man et site. Sitet registrere ens email og serial number, og sender email til bekræftelse. Andre kan ikke bruge det samme serial number til login, da det er fremkommet som et destilat af PKCS12-nøglen.

Den viste nøgle er self-signed, men den ville være klart mere valid hvis den var fra cacert.org. Men jeg forestiller mig egentlig at jeg møder op i en bank eller borgerservice og fremviser mit fingerprint og får det signeret der. Måske også taget et billede og jeg sætter min underskrift (fingeraftryk og DNA-aftryk er jeg ikke helt lige så tryg ved, som Trine Bramsen er).

Næste skridt er en løsning hvor det ikke bare er det korte serial number, men en public key der skal ind på serveren. Jeg har ikke nogen demo af det, men det skulle også kunne gøres med web.

Lige nu er det sådan at jeg har et tastselv-login til Skattevæsnet, og passwordet er selvvalgt og af samme standard som man kan forvente (jeg kan huske det). Det ville være klart bedre med et client certificate, i tilfælde af at CSC skulle blive hacket igen.

Hvor om alting er, så skal de løsninger stat og kommune skal bruge, være nogle hvor man selv skaber sine private nøgler, med selvvlagt software og selv opbevare dem. Og selv mister dem, og har bøvlet med at få skabt nogle nye og revoked de gamle nøgler.

Jan Harries

Er at man skal registreres så der ikke kan fuskes, for at komme online.
Så får man et ID, som vedhæftes alle uploades, og registreres alle downloads, posts osv.

Så er det total overvågning, men nu ved man hvem der lagde hvad op, og hentede hvad.
Og kan logg ind overalt, med sin Universal Internet ID.

Der skal noget opdatering af TCP/IP stakken til. Bare tilføj en protokol.. men det hele skal jo også omskrives, det er forældet.

Jan Harries

Er ikke at lave alle mulige løsninger.
Løsningen er at lægge alle kontroller af hvadsomhelt, ned i protokollerne selv, så det hele kører auto.

Internettet trænger som en v51.34 til en komplet omskrivning, det burde enhver programmør vide. V3 er som regel det færdige program, der virker uden bugs, og er smartest lavet.

Jan Gundtofte-Bruun

Som alternativ til e-boks har jeg tidligere argumenteret for at lave en national webmail, eller at tillade at folk registrerer en selvvalgt email-adresse -- ligesom man gør med NemKonto hos SKAT, som jo ikke tvinger folk ind i en bestemt bank.

Klavs Klavsen

Bliver jo desværre nok brugervenlighed.

Det er såvidt jeg forstår, den primære (officielle) begrundelse for ændringen fra at man selv opbevarede sin private nøgle, til at DanID gør det.

Og realistisk set, er den privat enøgle jo nok også bedre gemt hos DanID end hos ~80-90% af danskerne.

Så skal det være reelt opbygget, blier det nødt til at være et hardware token, og så må man tage det "besvær" der medfølger - men med ordentlig dokumentation og video vejledninger mm. skulle det nok kunne gå. Borgerservice hjælper jo også folk igennem at få et NemID idag - så kan de muligvis i sidste instans også hjælpe med at få et token til at du.

Fordelen er at der allerede idag, er flere hardware token leverandører som kan bruges - og man har beskyttet den private nøgle godt.

Alternativt skulle man måske gå efter et pico lignende device ( se http://www.version2.dk/blog/hvis-danmark-var-it-foregangsland-18609 ) - det kan også bruges mere bredt og kræver ikke drivere på computeren.

Den anden side af mønten, er hvordan vi sikrer at folk altid 100% kan se hvad de underskriver. Det må jo være noget med 2-sidet kryptering, så den der vil have noget underskrevet, krypterer det der skal underskrives med den private nøgle på den der skal underskrive, og den der skal underskrive, laver en hash af de modtagne, og signerer denne (sådan pgp email signering virker), og krypterer resultatet med modtagerens offentlige nøgle.

Resultatet skal så, af underskrivers side, automatisk også deponeres hos en (imho valgfri) 3. part - som sikrer bevisbyrden, uden at 3. part kan dekryptere/se hvad der egentlig foregår.

Den skal nok lige bages noget mere - det er jeg sikker på at nogle kryptografi eksperter allerede har gjort :)

Vi skal bare huske at det skal være brugervenligt også.. Jeg tror bestemt på at vi kan få udviklet et rigtigt godt system - og jeg vil personligt gerne bidrage..
Jeg vil sådan set foreslå vi laver en mailingliste.. eller et webforum (foretrækker mailingliste - helst med NNTP (news) adgang, så man kan tilgå et arkiv, istedet for at skulle have sit eget) - som f.ex. sslug.dk's system har - og de har også webforum koblet ind - så man kan skrive og se alles indlæg, på alle 3 måder.

Hans Schou

Der er to problemer med CPR-nummeret.

  1. Der er læger og andre faggrupper der tror, at hvis de har en i telefonen som kan fremsige et CPR-nummer, så er det den person, og giver dermed personfølsomme oplysninger.

  2. CPR-nummeret indeholder personlig information, så som fødselsdag og køn.

Det administrativt smarte ved CPR, er at det er det samme hele livet. Uanset om man flytter bopæl eller skifter navn, så er det stadig det samme. Et unikt ID som identificere en person.

Send et postkort med nyt CPR-nr til alle i DK der i forvejen har et. Skriv tydeligt på kortet at "Dette er Deres nye CPR-nummer. Det er ikke hemmeligt. De vil fremover få breve hvor det nye nummer er trykt uden på. Hvis De anvender CPR-nr i forbindelse med Deres arbejde, må De ikke antage at en der kan CPR-nummeret, er den person." Ønsker nogen teksten i du-form, er jeg til at forhandle med. Det skal ikke være stopklodsen.

Jan Andersen

Mange af indlæggene her handler om tekniske løsninger på identifikation og verifikation i forbindelse med digitale løsninger. Men en fælles løsnings udbredelse (popularitet og brugbarhed) afhænger jo i høj grad af, hvorvidt den også er forenelig med hvordan vi nu engang kommunikerer i det daglige. Der er jo masser af sammenhænge, hvor vi har brug for at identificere os og modparten har brug for at verificere at det rent faktisk er os, hvor det ikke kan ske gennem en onlineløsning eller ved personligt fremmøde sammen med chipkort, fingeraftryk, signering og lignende løsninger. Der har været nævnt henvendelser til lægen, som også i fremtiden ofte vil foregå per telefon fordi det nu altså bare er det letteste. Her har den misforståede brug af CPR-nummeret naturligvis vundet indpas fordi det er relativt let at overføre 10 cifre via telefonen.
I den virkelige verden glemmer folk også ting. Nu kommer jeg ikke særligt tit ved lægen, men de gange jeg sidder i venteværelset, er der altid nogle andre der ankommer og har glemt deres sygesikringsbevis, og alligevel kommer ind eller får fornyet deres recept - fordi lægesekretærer også er mennesker.
Det kunne også være pædagogen på legepladsen der skal aflevere et barn til en person der ikke normalt afhenter, men som det selvfølgelig er blevet oplyst om på forhånd. Hvordan kan hun - uden andre remedier end sin personlige smartphone - verificere, at den person der så er ankommet, faktisk er den vedkommende udgiver sig for at være?
Det er nogle helt andre scenarier end pengetransaktioner og underskrivelse af dokumenter, men det er jo netop i det personlige møde mellem mennesker - face-to-face eller via telefon - at der findes et åbenlyst behov for en robust og alligevel enkel løsning på at verificere hvem det er man står overfor.
Hvad vil være de korrekte løsninger på sådanne daglige brugsscenarier? Er det en identifikation (med CPR-nummeret) kombineret med oplysning af en kort genereret nøgle med begrænset levetid som modparten nemt kan verificere et sted, at kun jeg kan være i besiddelse af? Og i hvilken grad er dette et problem i forhold til ikke at have en centraliseret løsning? Hvad er realistiske muligheder for at basere det på løst koblede og åbne teknologier som fx SMS engangsnøgler, som det gøres i andre sammenhænge?

/Jan

Kristian Sørensen

Det må være et krav at man kan vælge imellem flere forskellige "udbydere af tillid".

Lidt ligesom man kan vælge imellem flere forskellige forsikringsselskaber eller banker.

Ligeledes må det være et krav at man kan afvise at indgå i en transaktion hvis modparten ikke kan fremvise et certifikat fra en af de udbydere man selv stoler på.

Gert Madsen

forenelig med hvordan vi nu engang kommunikerer i det daglige


Umiddelbart sympatisk, men dette bør altså ændres.

Den samme lægesekretær, som mener at et CPR-nummer er en fuldstændig identifikation, og autorisation, har ingen skrupler ved at skrige CPR-nummeret ud over venteværelset, så selv den mest tunghøre kan følge med.

Dette ikke for specielt at hænge lægesekretærer ud.

Man kan bytte lægesekretær ud med: Bankansatte, Apotekerassistenter, Borgerservicemedarbejdere etc.

Så enten må man holde op med at kommunikere identiteten direkte, eller også skal der gøres noget seriøst ved håndteringen af identitetetsoplysninger.

Jan Andersen

Umiddelbart sympatisk, men dette bør altså ændres.

Den samme lægesekretær, som mener at et CPR-nummer er en fuldstændig identifikation, og autorisation, har ingen skrupler ved at skrige CPR-nummeret ud over venteværelset, så selv den mest tunghøre kan følge med.

Jeg argumenterer slet ikke imod det faktum, at det er problematisk, at den offentlige unikke id bruges selvstændigt til at verificere identiteten på den der overbringer den. Jeg påpeger blot, at skal vi løse problemstillingerne her effektivt, så er det ikke nok kun at tænke i signering af dokumenter og transkationer - de svageste led ligger faktisk i nogle helt basale daglige brugsscenarier, som der altså ikke bliver ændret på uanset hvor meget teknologi vi finder på. Kan de ikke dækkes på en måde der er relativt enkel, så bliver det svært helt at komme af med det egentlige problem.

Så jeg tror ikke jeg har udtrykt mig klart nok. Vi har brug for et system, hvor vi godt kan have en offentlig unik nøgle som i dag (CPR-nummeret eller whatever) som gud og hver mand for den sags skyld må kende (og råbe ud i venteværelset, som du malerisk udtrykker det), kombineret med en løsning der gør, at jeg kan give samme trediemand en kode, der kun kan bruges i dette øjeblik denne ene gang, som vedkommende kan tjekke, og dermed i kraft af at jeg havde den rigtige, dermed kan være sikker på at jeg rent faktisk er den person der identificeres med den unikke (offentlige) nøgle. Og altså også i en form med passende sikkerhed, der kan bruges uden chipkort-læsere, irisscannere eller andre specielle gadgets, men baseret på at jeg alene ved talens brug kan overføre 8-10-12 cifre til modparten, som denne kan checke med relativt åbne og lettilgængelige teknologier.

Mit spørgsmål gik på hvordan dette bedst løses uden også at være en hindring i forhold til at ville undgå centralt styrede løsninger.

/Jan

Henrik Biering Blogger

Af de forskellige kommentarer i denne tråd fremgår det tydeligt at det en kompleks problemstilling vi skal have løst, hvis de løsninger, der kommer ud af projektet skal kunne anvendes til mange formål af både IT-kyndige og almindelige personer.

De første skridt må derfor være at få rammerne for projektet på plads.

1) Projektet skal have et sigende og huskbart navn. Jeg foreslår "BedreID".

2) Projektet skal have en passende organisation. Jeg undersøger i øjeblikket mulighederne for at finde en relevant organisation med formalia på plads, så vi ikke skal bruge unødige kræfter på den del. Forslag vedrørende dette modtages gerne på email (hb@peercraft.com).

3) Projektet skal som Klavs nævner have et sted, hvor vi kan strukturere fagligt indhold og debat. Jeg har ikke brugt det før, men http://vanillaforums.org (~ https://github.com/vanillaforums/Garden ) synes pt. at være et godt bud på et up-to-date og aktivt open source forum. Understøtter eksternt login med både social login og SAML, så det også burde være rimeligt simpelt at bruges til at teste vores egne løsningsidéer.

Gert Madsen

de svageste led ligger faktisk i nogle helt basale daglige brugsscenarier, som der altså ikke bliver ændret på uanset hvor meget teknologi vi finder på.

Det første er jeg helt enig i, hvorimod jeg tror at man er pisket til at ændre i disse scenarier, hvis vi skal nå frem til noget brugbart. Og ja, uanset hvor meget teknologi vi finder på.
Man er nødt til at acceptere at sikkerhed kan koste bekvemmelighed.

En af de grundliggende problemstillinger med det nuværende CPR-nummer er at det er både straffrit (og tilsyneladende acceptabelt) at ofre andres sikkerhed for sin egen bekvemmelighed.

Får man ikke gjort op med dette, tror jeg også at de tekniske løsninger kommer til kort.

Log ind eller opret en konto for at skrive kommentarer