Dette indlæg er alene udtryk for skribentens egen holdning.

CPR: NemIDs bedstefar 2/mange

17. august 2014 kl. 12:0330
Artiklen er ældre end 30 dage

I forrige blogindlæg ridsede jeg det historiske forhold imellem person-identitet og statsmagt op.

Som vi så var stort set alle identifikationssystemer baseret på hvad man idag vil kalde "ihændehaverbeviser", selvauthenticerende dokumenter som den identificerede person bare kunne forevise og som normalt ikke krævede kontra-kontrol.

Problemet med disse selv-authenticerede dokumenter er at det er meget svært for maskiner at checke deres authencitet.

Tag pengeseddler som eksempel, de er også selv-authenticerende dog ikke for personidentifikationsformål.

Artiklen fortsætter efter annoncen

Det er faktisk først i de seneste 10 år det er lykkedes at lave computerløsninger der kan afsløre falske pengeseddler bedre, billigere og hurtigere end en banks kassemedarbejder kunne, fordi det er en "fuzzy vision" opgave.

En pengeseddel mister ikke sin gyldighed fordi den har været foldet som papirfly eller sangskjuler, været håndvasket, fået en kaffering på en café eller bare været brugt så mange gange at den er ved at falde fra hinanden. Kun hvis den er trykt noget andet sted end Nationalbankens Trykkeri duer den ikke.

Da man centraliserede landets skatteindkrævning med "kildeskatten" i 1960erne, opstod der et identifikationsproblem imellem Peter Hansen, Peter Hansen og Peter Hansen og blandt mange andre overvejelser i den forbindelse, var at udstede en eller anden form for computerlæsbart selv-authenticerende ihændehaverbevis til borgerne til formålet. Et "borgerkort".

Det blev dog relativt hurtigt opgivet, idet der ingen måde fandtes at gøre det både maskinlæsbart og selv-authenticerende på samme tid -- assymetrisk kryptografi var endnu ikke i værktøjskassen.

Artiklen fortsætter efter annoncen

I stedet nøjedes man med at tildele alle borgere et unikt numerisk mellemnavn som Det Centraler Person Register holdt styr på. Alle ID/AUTH problemer kørte videre som de hele tiden havde gjort: Personligt fremmøde foran offentligt ansatte der kendte alle i kommunen.

Det næste led i "rationaliseringen" af administrationsapparated var kommunalreformerne der fra 1965 til 1970 reducerede antallet af administrative enheder fra 1345 til 277 -- fra 3500 borgere til 18000 borgere per enhed i gennemsnit.

De tre teknologier der gjorde denne kommunalreform mulige var privatbilen, telefonen og CPR nummeret.

Telefonen betød at personligt fremmøde ikke altid var nødvendigt for trivielle sagstrin, privatbilen gjorde turen acceptabel når det var og CPR nummmeret skiftede, uden at nogen tænkte ordentligt over de langsigtede konsekvenser, rolle fra ID til AUTH: Hvis man kontaktede kontoret, angav et navn og et personnummer der passede sammen, åbnede pandoras æske.

Som authentification er CPR nummeret elendigt, men et ihændehaverbevis på personidentitet ville have krævet at der altid var personligt fremmøde og medføre en umængde af fuldmagter, så CPR blev til AUTH og det virkede nogenlunde, folk kunne godt forstå at de skulle holde det hemmeligt.

Loven om folkeregistrering, fik i 1968 indskrevet bestemmelserne om CPR, loven var herefter på ialt 86 linier og 1076 ord.

Lovens §3 svarer præcis på det der idag er kernespørgsmålet for designet af NEMID2: Hvilke spørgsmål er det staten er villig til at besvare om sine borgere, til hvem og på hvilke betingelser vil de svare:

§ 3. Fra det centrale personregister (CPR) kan til private personer og virksomheder m. v., der forud over for registret kan identificere en bestemt person, videregives følgende oplysninger om vedkommende person:

1) navn

2) stilling

3) adresse, med mindre denne er beskyttet, og

4) oplysning om, at personen er umyndiggjort, afgået ved døden, forsvundet eller er udvandret af landet.

Stk. 2. Andre oplysninger om en forud identificeret person kan kun videregives til private, såfremt vedkommende person eller virksomhed m. v. kan godtgøre at have retlig interesse i at få den pågældende oplysning.

Stk. 3. På vilkår, der fastsættes i hvert enkelt tilfælde, kan der mod vederlag gives tilladelse til, at erhvervsvirksomheder fra det centrale personregister (CPR) får de i stk. 1 angivne data eller løbende ændringer i disse for en større afgrænset kreds af personer, der enkeltvis forud er identificeret over for registret. Forinden sådan tilladelse gives, skal der indhentes en udtalelse fra det i lov om offentlige myndigheders registre omhandlede registertilsyn. Tilladelsen kan til enhver tid tilbagekaldes. Det er en betingelse, at oplysningerne udelukkende skal bruges i konkrete retsforhold og ikke til etablering af relationer, som ikke eksisterer i forvejen, samt at modtagne oplysninger kun må videregives til private personer eller andre erhvervsvirksomheder, såfremt det udtrykkeligt er fastsat i vilkårene. I vilkårene skal i øvrigt fastsættes de nærmere betingelser for udleveringen og brugen af oplysningerne samt betalingen herfor.

I 2013 fylder Loven om CPR registeret 628 linier og 8729 ord, vel at mærke uden indholdsfortegnelsen og bilag 1 og den indeholder ikke en tilsvarende klar og tydelig beskrivelse af hvad der foregår.

Tværtimod, loven er idag et morads af mere eller mindre snævre undtagelser til undtagelsers og vage formuleringer og ingen vil kunne afgøre det præcise omfang af CPR nummerets rækkevidde uden advokatbistand.

Computere gør komplexe ting muligt og intet sted ser man det mere tydeligt end i lovgivningen.

Grunden til at det gik sådan er naturligvis at når først man havde CPR nummeret var det fristende at bruge det. Pengeinstitutterne fik besked på at få et CPR nummer på alle konti. Forsikringsselskaber fik besked på at få et CPR på alle policer. Skifteretterne skulle have et på hvert skøde. osv. osv.

Gradvist skal flere og flere have adgang til CPR nummeret og tilsvarende gradvist bliver det en ringere og ringere authenticator som flere og flere, f.eks privatdetektiver og sladderbladsjournalister prøver at misbruge.

Det førte også til en følelse af at man som borger ikke havde nogen anden identitet end sit CPR nummer og en generel fremmedgørelse i forhold til "systemet", der kulminerede med Kim Larsens LP 231045-0637.

Kilder i pladebranchen påstår at "CPR-stuntet" blandt andet var for at få "lukket" hans CPR nummer så "visse personer" ikke kunne snage i hans personlige og økonomiske forhold.

Med den totalitarisme der indtræder efter terrorangrebet på New York i 2001 går det helt grassat, nu skal alle SIM kort, alle pengeoverførsler og en masse andre ligegyldige ting alle sammen være personhenførbare, altsammen i terrorbekæmpelsens hellige navn.

Efter "Strukturreformen" i 2007 er der 30-40.000 borger per kommune og CPR nummeret er for længt ubrugeligt som authentication.

Syv år senere ser det, efter at civile ulydighedsaktioner har afsløret CPR nummeret på stort set alle MF'er, endelig ud til at dette bliver udmøntet i lovgivning.

Fortsættes...

phk

30 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
8
18. august 2014 kl. 13:22

Hvorfor ikke lave et format med evt MD5 Checksum. Et "fil format" med cpr, adresse, tlf, email og evt 10 koder som er nemme at huske.

Læg det så på en usb pen(krypteret) eller i en QR kode.

11
18. august 2014 kl. 21:44

En ekstra fordel

Du har misforstået hvad et cpr nummer er. Når du skal kommunikere med nogen er det nogle gange smart at de ved hvem du er. Til dette kan man bruge noget som er unikt for dig. Nemlig cpr nummeret.

Går du også ind for at i stedet for navne skulle vi have en md5 hash? Det er jo fjollet og dumt. Ville gøre alt sværere og ikke hjælpe noget som helst.

20
19. august 2014 kl. 15:59

Fordi CPR-nummeret misforstås som en sikker identifikation af en person man taler med i telefon, og i en del tilfælde faktisk som autorisation.

Navn og adresse er noget som enhver ved, at alle kan få fat i, og så er der en chance for at det rent faktisk opfattes og bruges sådan.

23
19. august 2014 kl. 17:04

Man er nødt til at forholde sig til den kendsgerning at brugen af CPR-nummeret er gået helt i skoven, som PHK redegør for.
Det skal væk. Her taler vi om hvad der skal istedet.

Man skal beholde det som unikt "navn" på en person. Og ikke bruge det som authentifikator.

Cpr er ikke mere farligt end dit navn. Jeg kan ikke ringe til din bank og får ting til at ske bare ved at kende dit navn og konto nummer. Samme skal gælde for cpr.

27
20. august 2014 kl. 10:19

Sådan burde det være. Men sådan ER virkeligheden ikke.
Man er nødt til at foretage sig noget for at ændre den praksis, der er.
Alt andet er at stikke hovedet i busken, og fører ingen vegne.

Løsningen kunne jo være at give 5 års fængsel til folk som bruger cpr som authentifikator.

Men det er ikke cprnummeret der er noget galt med. Du kunne give adgang med navn, fødselsår eller hvis man gætter din ynglingsfarve.

13
18. august 2014 kl. 22:12

Nej. I ovenstående beskrivelse bruger du cpr nummeret som authentifikator.</p>
<p>CPR nummeret fortæller kun, at han påstår, at han er Eskild. Det giver ingen garanti for, at det er Eskild selv, der kommer med den påstand.

Det gør jeg på intet tidspunkt.

Hallo, jeg er flyttet til Herning og vil gerne have et gratis kort til biblioteket(Eller whatever) "Så gerne. Dit navn" Hans hansen "Der er 100 der hedder det. Kan du være LIDT mere præcis?" cpr 123123-1231 "det er på vej"

Nemt og smertefrit.

Det muligt at bruge et navn på en person uden at samtidig benytte det som authentifikator. Det er jo fuldstændig tosset. Det samme med cprnummer. Det er/"skal bruges som" et navn som er unikt. Ikke som authentifikator

15
18. august 2014 kl. 23:39

Nemt og smertefrit.

Ja, det var da utrolig nemt, du fik stjålet Hans' lånerkort, blot ved at kende hans cpr nummer.

Men igen burde bibliotekaren nok have bedt dig om at sandsynliggøre at du virkelig var Hans, så hun ikke kom til at give lånerkortet til en eller anden Anders, der gav sig ud for at være Hans.

16
19. august 2014 kl. 00:47

Ja, det var da utrolig nemt, du fik stjålet Hans' lånerkort, blot ved at kende hans cpr nummer.</p>
<p>Men igen burde bibliotekaren nok have bedt dig om at sandsynliggøre at du virkelig var Hans, så hun ikke kom til at give lånerkortet til en eller anden Anders, der gav sig ud for at være Hans.

Nu behøver bibliotekaren jo ikke være dum bare fordi det er lovligt. Hun sender det selvfølgelig til den korrekte adresse. Og ikke bare en du siger i telefonen.

I og med du har oplyst cprnummer, ved hun PRÆCIS hvilken adresse hun skal sende til. Så du får ikke mulighed for at få det sendt til en anden. Hvad skulle ideen ved det være?

14
18. august 2014 kl. 22:47

Bruger man ikke sygesikringskort til det idag? Det er vel i bund og grund bare at lave et mere uptodate sygesikringskort/borgerkort det handler om.

USB er billigt og mere eller mindre standard idag og USB flash kan også læses af linux osv.

Og cpr kan da stadig bruges, hvis man har tillid til det, selvmom man også har et nyt kort med "lidt" mere sikkerhed.

5
17. august 2014 kl. 18:43

Glimrende opsummering. Jeg har lige en anden vinkel på 1968-cpr også: der var ikke så mange udlændinge, der havde brug for at være i "systemerne", så derfor blev cpr loddet ind som eneste mulighed i rigtig mange systemer, som ville have haft gavn af at man havde tænkt muligheden for folk uden et dansk cpr-nummer ind.

(Det er jo det rene nostalgi at tænke tilbage: talløse kommuner, skrivemaskiner, to-finger systemet, blanketter, gennemslagskopier, posthuse, girokort, checks osv)

2
17. august 2014 kl. 14:48

Den lov, der henvises til på retsinformation.dk, er den reviderede Lov om Folkeregistrering, der blev til i forbindelse med at Registerloven også blev til i 1978.

Den oprindelige Lov om folkeregistrering fra 1968 var endnu kortere hvad angår CPR:

§2 Indenrigsministeren opretter et centralt personregister (CPR) og fastsætter de nærmere regler om dettes førelse og udnyttelse samt om betalingen herfor. Stk. 2. De kommunale folkeregistre medvirker til oprettelsen og vedligeholdelsen af det centrale personregister på den af indenrigsministeren fastsatte måde.

En indscannet udgave af loven der blev vedtaget i 1968 kan ses her: http://adasfar.dk/wp-content/uploads/2014/08/1968-05-29-Lovforslag-som-vedtaget.pdf

Loven var bemærkelsesværdigt upræcis, men ministeren fandt det passende med lidt spillerum, så man ikke var for begrænset i forhold til "udviklingen".

Lovforslaget blev først fremsat af en Socialdemokratisk indenrigsminister i november 1967. Det brede spillerum, som loven gav ham, blev i øvrigt kritiseret af oppositionen. Den socialdemokratiske regering faldt i december og i februar 1968 var det en konservativ minister, som genfremsatte det helt samme forslag. Nu var det socialdemokraterne der fandt forslaget for upræcist. Efter at SFerne var blevet lovet, at politiet og militærets efterretningstjenester ikke ville få adgang til CPR blev loven enstemmigt vedtaget.

Fun fact 1: Loven om folkeregistrering fra 1968 blev vedtaget 2 måneder EFTER, at tildelingen af CPR-numre allerede var begyndt - og 3 år efter man havde oprettet det sekretariat under Indenrigsministeriet, som stod for etablering af CPR.

Fun fact 2: Registerloven, som regulerede samkøringen af offentlige registre, fra 1978 havde umiddelbart to konsekvenser: Det blev sværere at samkøre offentlige registre - og private firmaer fik officielt adgang til CPR (hvilket de ikke havde haft inden da).

Shameless plug: Folk der er særligt interesserede kan læse en længere udredning om CPR fra 1924 til 1970, som jeg har skrevet, her: http://adasfar.dk/?attachment_id=216

1
17. august 2014 kl. 12:39

Iflg. Kim Larsen linket så er DK: DD-MM-YY-XXXX mens SE er: YY-MM-DD-XXXX.

Nem naturlig sortering af det svenske cpr nummer... hvorfor har vi egentlig omvendt/"forkert" dato formatering i DK?

17
19. august 2014 kl. 14:48

Endnu en grund: Man var bange for at befolkningen som helhed ville være negative overfor fagre nye tider og ville imødekomme det med et datoformat, som alle kunne læse uden besvær.

Man kunne måske forlænge serierne ved at lave CPR-numre med måneder, som gik fra 13-99? og datoer fra 32-99? Hvad med et par hexadecimale cifre, så kan nummerserierne udvides betragteligt! :)

6
18. august 2014 kl. 12:40

Iflg. Kim Larsen linket så er DK: DD-MM-YY-XXXX mens SE er: YY-MM-DD-XXXX.</p>
<p>Nem naturlig sortering af det svenske cpr nummer... hvorfor har vi egentlig omvendt/"forkert" dato formatering i DK?

Nej, det svenske format giver IKKE nem, naturlig sortering (efter alder, antager jeg du mener), idet årstallet kun er angivet med to cifre. Ligesom i Danmark betød det bl.a., at 106-årige blev indkaldt til skolegang. I Danmark bruger man det fjerdesidste ciffer i CPR-nummeret til at adskille 19xy fra 18xy og 20xy, men det var/er der mange IT-systemer, der ikke tager hensyn til. Jeg kender ikke det svenske format, men der er formentlig en lignende regel, ligesom der sikkert er en checksum-regel ligesom den danske.

Brugen af de fire sidste cifre til både at identificere århundrede, køn, løbenummer og checksum begrænser i øvrigt antallet af CPR-numre, der kan udstedet på samme fødselsdato: Idet det sidste ciffer skal være både en modulo-11 checksum og kønsangiver, er ca. hvert andet løbenummer ubrugeligt, så man har "kun" ca. 500 af disse. Da det første ciffer skal angive århundrede (man kan nøjes med lige/ulige, da ingen endnu er kommet i nærheden af at fylde 200 år), reduceres antallet yderligere til ca. 250. Det har givet problemer, og man har i visse tilfælde udstedt CPR-numre, hvor checksummen ikke passer, hvilket efter min mening er et stort problem. Så så jeg hellere, at man brugte det første ciffer i månedstallet til dette formål: Måned 23 kunne således svare til 03 og 32 til 12. Med tilsvarende for 4x/5x, 6x/7x og 8x/9x kan man gange antallet af lovlige numre med fem, blot med den pris, at nogle får månedstal, der skal regnes modulo 20.

Men om et personnummer absolut skal indeholde information om køn og fødelsdato er et spørgsmål. Fordelen er, at det giver mulighed for at filtrere på alder og køn uden at slå op i et centralt register, men da en tabel på under 10 millioner individer er småting i dagens computere (den kan ligge i cachen, så opslag er hurtige), er det ikke en stor fordel. Da CPR-numre blev brugt til autentificering ved personligt fremmøde kunne det bruges til at afvise mænd i 50'erne, der kom med et personnummer for en 23-årig pige. Men når personnummeret kun er en identifikator, er det ikke nødvendigt. Den sidste fordel ved dato m.m. i personnummeret er at gøre det nemmere at huske: De fleste kender deres egen fødselsdato, så man behøver kun at huske de fire sidste cifre (eller mindre, hvis man kender reglerne for køn, checksum og århundrede). Et tilfældigt tal på (mindst) syv cifre er sværere at huske.

Men hvorfor egentlig begrænse sig til cifre: Man kan begrænse antallet af nødvendige tegn ved at bruge bogstaver. Med a-z alene kan man nøjes med 5 tegn (som giver 26⁵ = 11881376 muligheder). Man kan gøre koden udtalelig ved at begrænse sig til KVKKVKKVK, hvor K er konsonanter og V vokaler. Det giver 20⁶ x 6³ = 64000216 muligheder. Dermed kan man droppe Q, W, X og Z og alligevel have 16^6 * 6^3 = 16777432 muligheder, altså næsten tre gange Danmarks nuværende befolkning. Jeg vil tro, at langt de fleste vil kunne huske koder i stil med "kahpontig" lige så let som fire tilfældige cifre.

7
18. august 2014 kl. 12:45

Brugen af de fire sidste cifre til både at identificere århundrede, køn, løbenummer og checksum begrænser i øvrigt antallet af CPR-numre, der kan udstedet på samme fødselsdato: Idet det sidste ciffer skal være både en modulo-11 checksum

Det har man netop været nødt til at opgive, fordi et bestemt kommunalt system gav alle tilrejsende personer der ikke kendte deres præcise fødselsdag den første i måneden, hvorved visse serier løb tør.

Mig bekendt er der kun køns-markering tilbage i de sidste fire ciffre nu.

3
17. august 2014 kl. 14:52

Nem naturlig sortering af det svenske cpr nummer... hvorfor har vi egentlig omvendt/"forkert" dato formatering i DK?

Tja. tradition. Sprogligt har det været normalen ( dd.mm.(yy)yy ) (endda uden foranstillet 0) se http://sproget.dk/raad-og-regler/artikler-mv/svarbase/SV00000046

En oversigt over forskellige landes datoformater.

http://en.wikipedia.org/wiki/Date_format_by_country

Danmark: The format dd-mm-(yy)yy is the traditional Danish date format. The international format yyyy-mm-dd or yyyymmdd is also accepted. There are no official standard for numeric date format, although the traditional format is the most widely used. The formats d. 'monthname' yyyy and in handwriting d/m-yy or d/m yyyy are also acceptable.

Sverige: National standard format is yyyy-mm-dd; casually many people use d/m yyyy or d/m -yy. Another possible format is d.m.yyyy.