Jeg har de sidste par dage kæmpet en brav kamp for at få signering/kryptering af e-mail med ”Nem”ID til at virke. Det var forholdsvis nemt med den gode gamle Digital Signatur eller med Open-Source løsninger som GPG eller OpenPGP.

Her vil jeg forsøge at beskrive oplevelsen og de problemer jeg løb ind i undervejs:

Da jeg af sikkerhedsmæssige årsager sagde (ATOMKRAFT) NEJ TAK til det famøse ”Nem”ID OCES certifikat da jeg i tidernes morgen (læs sidste år) fik ”Nem”ID login til min netbank proppet ned i svælget, skulle jeg jo først have koblet OCES på min ”Nem”ID inde på http://www.nemid.dk... hov nej... det er jo http://www.nemid.nu ih altså hvor fjollet...

Der er følgende link på hovedsiden af ”Nem”ID's hjemmeside: ”Brug dit netbank-NemID til offentlige sider ”

Det klikkede jeg så på og kunne læse:

”NemID til mere end netbank Da du aktiverede NemID i din netbank, blev du spurgt, om du også ønskede en offentlig digital signatur til dit NemID. Hvis du sagde ja til dette, kan du allerede nu bruge NemID til at logge på offentlige hjemmesider.   Hvis du svarede nej, kan du sagtens ændre mening. Du kan selv tilknytte offentlig digital signatur til dit NemID ved at logge på "Selvbetjeningen". Vælg linket "Bestil offentlig digital signatur til NemID" og følg vejledningen på skærmen.   Start bestilling af offentlig digital signatur til dit NemID ”

Altså log på selvbetjeningen og klikke på "Bestil offentlig digital signatur til NemID". Nemt nok tænkte undertegnede... det der Interweb er da ikke så svært.

Jeg logger så på selvbetjeningen samt skriger eder og forbandelser ud i æteren, da jeg jo skal bruge min nymodens OTP generator (læs papkort). Jeg er for øvrigt sikker på at den eneste grund til at de har lamineret lortet er så man ikke uden videre river det i 744 stykker i ren og skær arrigskab (det kan oplyses at det også er bidesikkert).

Meeen.... vent på det... der er sørme ikke noget link noget sted som hedder "Bestil offentlig digital signatur til NemID".

Nå så må jeg jo ringe til supporten tænker jeg... griber knoglen og ringer 80307050. Heldigvis skulle jeg kun vente i 20 minutter inden jeg kom igennem til en supportmedarbejder. Men så havde jeg jo også lidt tid til at filosofere over hvorfor humlebier ikke ved at de ikke kan flyve og hvorfor NemID hedder N-E-M-ID...

Da der så endelig er en fræk pige (eller nærmere en NemID support medarbejder) på linien, forløber samtalen nogenlunde sådan her:

NemID Support: NemID support det er Karen (navn opdigtet af min veludviklede fantasi!) Undertegnede: Hej Karen. Jeg har et problem med at få koblet mit OCES certifikat på mit NemID login, kan du hjælpe mig med det? NemID Support: Ja det er nemt, du skal bare gå ind på tre gange dobbelt v punktum nemid punktum nu og klikke på det link i bunden af forsiden hvor der står ”Brug dit netbank-NemID til offentlige sider” og følge vejledningen. Undertegnede: Jamen det har jeg skam prøvet inden jeg ringede til jer og der er ikke noget link i selvbetjeningen der hedder ”Bestil offentlig digital signatur til NemID”. NemID Support: Jamen det er altså sådan du skal gøre... Undertegnede: Jamen det virker jo ikke. Jeg kan da umuligt være den første bruger der ikke har tilmeldt OCES certifikat ved oprettelse af NemID til netbank? NemID Support: Neeeej det er du nok ikke... lige et øjeblik. Undertegnede: Sidder så og venter og prøver at tænke glade tanker for at passe på sit blodtryk. NemID Support: Hej så er jeg her igen. Det skulle altså virke på den måde inde i selvbetjeningen. Undertegnede: Jamen hør nu her kære ven... det gør det nu altså bare ikke, så hvordan løser vi mit problem? NemID Support: Lige et øjeblik... Jamen så må vi gøre det på en anden måde. Gå ind på tre gange dobbelt v punktum nemid punktum nu og klik på ”Bestil NemID til private”. Klik så på ”Bestil med kørekort eller pas”. Indtast dine oplysninger og så skulle du komme til et skærmbillede hvor du kan vælge at tilkoble OCES certifikat til dit NemID. Undertegnede: Det er da en noget besværlig, ulogisk og lettere kryptisk fremgangsmåde. Ville det ikke være en ide hvis i fik rettet det på jeres fine hjemmeside? NemID Support: Tjoo... det ville da sikkert være en god ting. Undertegnede: Jamen i har vel en ”bug tracker” i kan bruge når nu i finder fejl på hjemmesiden? NemID Support: Det ved jeg faktisk ikke om vi har. Undertegnede: Javel ja... men rigtig mange tak for hjælpen og hav en fortsat god dag.

Se kære læser... nu troede undertegnede jo at at alle problemer var løst.. meeen næh nej, det skulle vise sig at de først lige var begyndt.

Nu da jeg havde fået adgang til mit fine OCES certifikat skulle jeg jo have påklistret en e-mail adresse. Dette gøres i NemID selvbetjeningen under ”Certifikater” → ”Rediger Indstillinger”. Der kan man anføre ønsket e-mail adresse og om man vil publiceres i den offentlige certifikat database (mere om den senere) samt om ens navn skal fremgå af certifikatet.

Når man så trykker på ”Gem ændringer” får man besked om at man har fået tilsendt en e-mail med en pinkode man skal bruge til at verficere sin e-mail adresse:

Kære [navn]

Du har valgt at tilføje eller ændre din e-mail-adresse i dit OCES certifikat. Vi sender dig derfor en pinkode, så vi kan få bekræftet, at e-mail-adressen er korrekt. Hvis du har modtaget denne e-mail ved en fejl, bedes du blot slette den.

Pinkode: [6 cifret pinkode]

Med venlig hilsen DanID A/S - et selskab i Nets-koncernen

E-mailen er digitalt underskrevet og af ren og skær nysgerrighed checker jeg da lige certifikatet ud. Mystisk tænker jeg... hvorfor er det et ”gammelt” certifikat udstedt af TDC til DanID A/S? Nå videre i teksten. Jeg tamper den 6 cifrede kode ind i selvbetjeningen på nemid.nu og vælger ”Hent Certifikat”. Der åbner så en fin lille download boks i min FireFox hvor jeg kan vælge at gemme certifikatet på min datamat. Hovsa det var ikke så godt, tænker jeg da jeg ser at det bliver gemt i .crt format. Det kan hverken FireFox eller Thunderbird jo lide. Nå, det er jo ikke noget problem for jeg kunne jo huske fra dengang jeg fik min Digitale Signatur at DanID havde et fint lille værktøj til at konvertere certifikater til PKCS#11 her: https://danid.dk/export/sites/dk.danid.oc/eksportp12 Med en tilhørende guide her: https://danid.dk/export/sites/dk.danid.oc/da/support/vejledninger/window... Men ak og ve... der var ikke noget at finde omkring konvertering af certifikat på NemID's side. Ind på NemID support siden: https://www.nemid.nu/support/sikker_e-mail/ og læse, læse, læse! Her var et godt sted at starte tænkte jeg: https://www.nemid.nu/support/sikker_e-mail/i_gang_med_sikker_e-mail/ men undrer mig noget over at jeg skal hente et ”hjælpeprogram” til min computer (som efter installation hedder ”NemID Konfigurationsprogram”). Men som skrevet så gjort. Følger denne vejledning: https://www.nemid.nu/support/sikker_e-mail/i_gang_med_sikker_e-mail/hent... Jeg undres igen da udstederen tilsyneladende hedder ”TRUST2408” og ikke DanID eller NemID. Men nu tager galskaben rigtig fat: https://www.nemid.nu/support/sikker_e-mail/i_gang_med_sikker_e-mail/opsa... Man skal simpelthen indlæse en NemID_PKCS11.dll i Thunderbird for at man kan se sit certifikat... javel ja. Det skal desuden bemærkes at når man så sender sin e-mail underskrevet med NemID OCES signatur skal man jo selvfølgelig indtaste sit NemID brugernavn, adgangskode (husk børnlille det er lige meget om i bruger små eller store bogstaver) og en engangsnøgle fra nøglekortet. Det skal man desuden også gøre hver gang Thunderbird vil gemme en sikkerhedskopi (udkast) af den e-mail man er ved at skrive. En anden kuriositet er at efter NemID .dll fniller er installeret i Thunderbird på min datamat, crasher Thunderbird ca. 1/3 af de gange hvor jeg klikker på ”Afbryd” og selvfølgelig smider den indholdet af den e-mail jeg var ved at skrive væk. Desuden popper login boksen op med tilfældige mellemrum og beder om brugernavn, adgangskode og engangskode, selv når man læser eller skriver en e-mail hvor man IKKE bruger NemID Digital Signatur (f.eks. fra en helt anden konto i Thunderbird).

Vil så da fluks prøve at sende en test e-mail til en ven som jo også har NemID. Hvad jeg ikke ved er bare at han IKKE har noget OCES certifikat. Men jeg får sat NemID's LDAP server op i Thunderbird og laver en søgning på hans navn.... ingen forekomster af det. Laver så et opslag på hans e-mail adresse og får mærkeligt nok returneret

Navn: Pseudonym E-mail: [den rigtige e-mail adresse]

Fint nok tænker jeg så og sender et par test e-mail (signeret samt signeret og krypteret). Normalt kan man kun sende en krypteret e-mail til en modtager der har et certifikat. Men med NemID OCES kan man sende en krypteret e-mail til en NemID modtager der IKKE har et OCES certifikat.

Udover det kan man ikke slå SSL til for opslag i LDAP serveren.

Man kan også lave opslag i ”NemID adressebogen” her: https://www.nemid.nu/support/sikker_e-mail/soeg_certifikat/ Der returneres heller ikke oplysninger om at den e-mail adresse jeg laver opslag på IKKE har noget OCES certifikat, men man får lov til at hente et certifikat med:

Navn: Pseudonym E-mail: [den rigtige e-mail adresse]

Som man så snildt kan bruge til at sende krypteret e-mail med som modtageren så selvfølgelig ikke kan åbne fordi han/ hun jo ikke har et OCES certifikat. Men det får afsenderen af e-mailen bare ingen information om.

En helt anden problemstilling er at man aldrig vil kunne komme til at udveksle krypteret materiale med andre end Danske statsborgere som har et NemID med tilknyttet OCES certifikat. Samt at man kun kan kryptere materiale sendt i en e-mail og ikke filer lokalt på computeren (at man så slet ikke bør gøre det fordi man ikke selv har genereret den private del af nøglen er jo en anden sag).

Det skal jo nok give en masse sjov rundt omkring i landet når hvis folk begynder at ville signere/ kryptere deres e-mails.

Alt i alt er det min vurdering at almindeligt dødeliges chance for at få det til at virke er usandsynlig lille. Undertegnede har arbejdet med Elektronisk Data Behandling, datamater og Interweb i snart 20 år og jeg syntes at processen var ulogisk, besværligt og yderst fejlbehæftet. Det skal så siges at jeg ikke har rodet med at få det til at virke i Microsoft Outlook, da jeg bruger OpenSource software. Men andre er yderst velkomne til at gøre forsøget og melde tilbage.

Jeg kan sagtens se behovet for at have sikker log ind, kommunikation, verificering og evt. kryptering med banker/ det offentlige. Men jeg kan ikke forstå hvorfor sådan noget regulært makværk skal påtvinges hele landet befolkning.

Der findes indtil flere forskellige mere eller mindre OpenSource løsninger samt hardware tolkens i alle afskygninger som kunne have været implementeret i stedet for at skulle genopfinde hjulet igen... og så i processen at ”komme til” at lave det firkantet og ikke rundt...

Personligt bruger jeg meget GPG (GPG4Win: http://www.gpg4win.org/) og Yubikey (http://www.yubico.com/) med 38 tegns statisk password, samt Yubikey OTP til login div. Steder (Google Apps, LastPass, Wordpress) og GPG på min fine Android telefon (K-9 mail og APG app). Desværre er S/MIME ikke implementeret ordentligt på Android platformen endnu, men mon ikke det snart kommer.

Rune Juhl Jacobsen

En anden kuriositet er at efter NemID .dll fniller er installeret i Thunderbird på min datamat, crasher Thunderbird ca. 1/3 af de gange hvor jeg klikker på ”Afbryd” og selvfølgelig smider den indholdet af den e-mail jeg var ved at skrive væk. Desuden popper login boksen op med tilfældige mellemrum og beder om brugernavn, adgangskode og engangskode, selv når man læser eller skriver en e-mail hvor man IKKE bruger NemID Digital Signatur (f.eks. fra en helt anden konto i Thunderbird).

Jeg har netop fået signering/kryptering af mail til at virke i Thunderbird 3.3a4pre (Shredder), og kan meddele at problemet også eksisterer her, både når Thunderbird prøver at gemme en Draft, og når mailen skal sendes. Jeg har sendt en besked til NemID fra deres hjemmeside og fortalt om problemet, og venter på et svar andet end "vi skal bruge dit NemID-nummer". Jeg skal nok skrive her når jeg ved mere.

/Rune

  • 0
  • 0
Nikolaj Halberg

@Rune

Jeg har helt opgivet at bruge NemID til signering / kryptering på trods af at jeg fik det til at virke.

1) Det er utroligt besværligt at man skal sidde og fedte med nøglekort hver gang man vil sende en mail eller når ens mailklient belutter sig for at gemme en draft.

2) Den signerede og krypterede fortrolige e-mail som jeg sendte til min kommune (primært som test), blev alligevel sendt ukrypteret rundt til 3-4 andre personer på kommunen, som fysisk sidder på 3 forskellige lokationer og den "sidste" modtager af e-mailen vælger så oven i købet også at sende mig et svar tilbage, indeholdende alt kommunens interne "Hvem kan svare på det her" kommunikation samt at besvarelsen bliver sendt tilbage til mig UDEN signering eller kryptering...

Så kan det hele jo også bare være ligemeget ;)

  • 0
  • 0
Rune Juhl Jacobsen

Jeg tror nu heller ikke at jeg vil komme til at bruge det meget, netop fordi jeg ikke gider at finde pung og plastik frem hver gang der skal signeres en mail.

Vedrørende punkt 2, så synes jeg at du skal gøre kommunen opmærksom på det (hvis du da ikke allerede har), og evt. kontakte Datatilsynet.

NemID svarede hurtigt på min mail og bad om mit NemID-nummer. Jeg skrev tilbage og spurgte "hvorfor", og siden har jeg ikke hørt noget...

  • 0
  • 0