Dette indlæg er alene udtryk for skribentens egen holdning.

Digital Identitetskrise

28. november 2008 kl. 23:4030
Artiklen er ældre end 30 dage

Jeg er blevet ven med Jule Manden på Facebook! Havde jeg været lidt yngre ville det nok have udløst kunstig søvnapnø hele december, ved tanken om det bugnende gavebjerg en sådan alliance kunne afstedkomme.

Misforstå mig ikke: Julemanden ser skam overbevisende nok ud på billedet derinde, og han er også ven med en farlig masse mennesker, så den del virker autentisk nok. Alligevel har en nagende tvivl gnavet i mig de sidste par uger, hvilket nok er grunden til at jeg ikke har accepteret invitationen til Juleaften endnu. Jeg har nemlig en frygtelig mistanke om, at det slet ikke er vores allesammens Nikolaus der gemmer sig bag skægget, og at alle vi julestemte er blevet ført bag lyset!

Problemet er bare, at jeg ikke kan bevise det.

Artiklen fortsætter efter annoncen

For ligesom med alle andre Facebook brugere er der ingen garanti for Julemandens identitet, og bag keyboardet kan der sidde alt fra Claus Riskær til Polle fra Snave og hvem ved? Måske er Julemanden i virkeligheden en kvinde!

Her på sitet er problemstillingen nogenlunde som på Facebook: Version2 redaktionen vil gerne vide hvem der står bag artikler og kommentarer i forsøget på at holde en god tone og en saglig debat. Derfor er brugervilkårene, at man skal registrere sig og gerne lægge et billede på sin profil. Desværre er der heller ikke her nogen garanti for autenticiteten af hverken navn eller billede eller kombinationen for den sags skyld, og det er teknisk uproblematisk at lave en falsk profil. Dermed er der åbnet for at debattere under falsk identitet - eller endnu værre - at give sig ud for at være en anden, dvs. foretage egentlig identitetstyveri.

Andre sites, Arto, GoSuperModel mfl. har endnu større udfordringer, og må decideret ansætte et vagtværn samt true med politianmeldelse for at sikre unge brugere mod mobning eller pædofile, bla. fordi de ikke har en pålidelig måde at identificere personer på.

Problemet er selvfølgelig, at der med egenregistrering ikke er nogen betroet tredjepart til at sige god for brugerne. Forestil dig vi anlagde samme strategi for udstedelse af kørekort eller pas ...

En pålidelig digital identitet kræver derfor dels, at vi har nogen som alle stoler på til at udstede den, dels at den er umulig (meget svær) at stjæle eller forfalske, og endelig at den er udbredt og let at bruge.

Et bud på en løsning her til lands er den digitale OCES signatur. Signaturen udstedes af en betroet 3. part (DanID på vegne af It- og Telestyrelsen), og den er gratis for borgere. Web sites kan anvende signaturen til at identificere en bruger f.eks. med gensidig autentificeret SSL.

Under etableringen af SSL sessionen, f.eks. ved HTTPS kald, fremsendes nemlig brugerens certifikat, som bla. indeholder fornavn og efternavn, samt potentielt e-mail-adresse. Personlige OCES certifikater indeholder desuden et unikt løbenummer, der kan oversættes til ejerens CPR-nummer af autoriserede parter.

Dermed er det i sidste ende svært at snyde med identiteten.

Løsningen har dog indtil videre ikke nydt stor udbredelse på andet end centrale offentlige websites, bla. fordi den har været kritiseret for at være vanskelig at bruge.

I en anden boldgade tales der om et borgerkort, som måske kan hjælpe, men det har vist lange udsigter, intentionerne til trods.
Så indtil videre hedder det stadig egenregistrering på en hær af websites og som konsekvens Det Vilde Vesten på identitetsfronten.

I mellemtiden er min Julemandskrise vokset til uhyggelige proportioner, da jeg meget uforsigtigt foretog en Facebook søgning på "Jule" og fandt ikke mindre end 2 gange "Jule Nissen", "Jule Mand", samt endnu en "Jule Manden".

Nu er vi altså ude i at min ønskeseddel skal ud til 5 julemænd for at jeg kan føle mig nogenlunde sikker til den 24. Mindst, for jeg har endnu til gode at søge på Santa Claus, Pere Noel, Father Christmas og de vel 80 andre pseudonymer der findes.

Det bliver vist en sej weekend.

30 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
29. november 2008 kl. 09:23

Hvordan forestiller man sig egentlig at et borgerkort skal benyttes? Fx hvordan logger man sikkert ind på et givent site med kortet og "beviser" over for sitet at man er den man siger?

2
29. november 2008 kl. 10:00

Det kunne jeg også godt tænke mig at høre lidt om ...

3
29. november 2008 kl. 11:25

Man kunne vel forestille sig, at kortet indeholdt en eller anden form for dynamisk genereret ID, f.eks. i stil med RSA secureID. Hvis autentifikationen skal have nogen værdi, må autentificeringen også foregå centralt.

4
29. november 2008 kl. 20:10

Prøv evt. at se WAYF (http://www.version2.dk/artikel/8296-wayfor-en-fisk)

  • her er problemet med at vide hvem man taler med egentlig uddelegeret til nogle andre, fx. Universitetet. Det er ret nemt men selvfølgelig ikke knyttet til DIG men i stedet til dig i egenskab af fx studerende. Når du så ikke længere studerer og mister din online-adgang til dit studie, så er dén identitet ikke brugbar.
6
29. november 2008 kl. 21:37

Man kunne vel strengt taget forestille sig, at det offentlige lavede deres egen WAYF. F.eks i tilknytning til borger.dk. WAYF Løsningen har dog stadigvæk ikke løst problematikken med sikker autentifikation, men vil dog kunne reducere antallet af brugernavne/password til det offentlige til 1.

Sikker autentifikation kan opnås med en hardware token med dynamisk genereret ID, der matches mod borger.dk's centrale login til det offentliges WAYF.

7
29. november 2008 kl. 22:53

Julemanden var et godt eksempel.

Men 2 julemænd skaber et problem, og dermed er overbevisningen tilintetgjort, hos et barn.

Jeg bruger min krop som Identitet, selv om jeg måske har "dubletter" andre steder.

Det Globale samfund, har brug for Identiteter og kræver Identifikation.

En Regering, har store vanskligheder ved at, afgøre Identitet.

Navn Adresse CPR nummer og lige et billed?

Disse kan dokumenteres, via Identifikation´s dokumenter. Som Kørekort, PAS eller en dåbsattest.

Problemet opstår, når man ikke følger reglerne, og ryger i RKI, og står tilbage med sin dåbsattest, som man i øvrigt ikke kan finde!

En borger, som bliver anholt kan jo sige hvad som helst. Hvis han ikke bære disse dokumenter!

Vi har ikke noget dokument som fortæller hvem vi er.

Identifikation, er noget som en regering leder med lys og lygte efter.

Det er derfor de poster Kr. i DNA bevis. Under dække af, sundheds forskning.

Hvis jeg ringede til den kordegn i den kirke som jeg var blevet døbt, og fik udleveret en kopi af en dåbsattest af en anden person, ville jeg kunne starte et nyt liv, med en anden mands identitet.

Prøv at ringe til den Kirke som du blev døbt i, og bed om en ny/kopi af din dåbsattest. Ingen problemer! Den får du da bare.

Identitet? ja måske! Men Hvem er du? Skal Kordegnen afgøre det? Ja åbenbart.

Det eneste man skal vide, for at lave dette nummer, er hvem som tidligere eller senere blev døbt i samme kirke. Kordegnen kan ikke kende forskel og i øvrigt var han der ikke da du blev døbt.

Problemet er, at samfundet kræver Identitet og ikke respekt.

Respekt er noget man opbygger, som individ. Og det kan man have tillid til.

Kreditværdighed, bør ikke være noget man atomatisk får når man er atten. Der bør være noget man tilbydes når man har bevist sin værdighed.

Julemanden eksistere ikke. Det er en lusket overbevisning, opfundet af en industri, til "glæde" for din børn.

8
Indsendt af Anonym (ikke efterprøvet) den søn, 11/30/2008 - 09:03

Kåre.

Du ved bedre end den slags. Og indlæggene ovenfor er - høfligst - afspejler hvor lidt folk faktisk sætter sig ind i spørgsmålene som er nogle af de mest fundamentale for velfærdssamfundet.

For det første KAN man rent sikkerhedsmæssigt ikke identificere online, man kan højst authentikere (at man er den samme som etableret i en anden sammenhæng)/at man kender en nøgle som kun den rigtige person kunne kende.

Det er ikke nemt at beskytte mod en hel stribe af angrebsmodeller, hvor identity lending/renting reelt er en af de sværeste - dvs. hvordan forhindrer man at personer som VIL bytte identitet gør det.

Men det gør ikke så meget, fordi online identifikation IKKE gavner sikkerheden. Man bør aldrig identificere i server-systemer, fordi det efterlader systemet i en tilstand som ikke kan sikres eller gavner processerne. Systemet har ingen måde at beskytte sig mod ilegitim misbrug, kriminalitet eller fejl. Tilsvarende har systemet ingen måde troværdigt at bygge tillid og borgeren ingen måde at bekystte sig på.

Et EPJ-system må f.eks. aldrig komme i nærheden at identificerende information, hverken i authentikeringen eller i selve databasen. Identifikation hører til 100% client-side i relationen mellem mennesker - af hensyn til både mennesker, effektivisering og systemsikkerhed.

Årsagen til at det går så langsomt på identitetsområdet kan entydigt henføres til statens magt- og ressourcemisbrug. Hvis de faktisk begyndte at interesserer sig lidt for identitet, sikkerhed og hvad samfundet har brug for i en digital verden, kunne man løse problemerne hurtigt.

Når statens monopol (på magt og rod-identitet) ikke køber sikkerhed, men kun køber og fremme ilegitim overvågning, så skævvrider man hele markedet.

"staten" (læs DJØF-laget fordi der er langt mellem politikere som bare er begyndt at sætte sig ind i området) interesserer sig kun for kontrol og detailstyring.

OCES og DanId er f.eks. karakteriseret ved der ikke er en sikkerhedsmodel - hverken for borgeren eller systemet.

Men problemet er jo bredere end blot lidt authentikering. Nem-kontrol projektet i Finansministeriet kan karaktereriseres ved at det er et planøkonomisk INEFFEKTIVISERINGSPROJEKT, fordi man ikke addresser kvalitet, behovsdækning og effektiviseringsdrivere, men kun omkostninger, måling af standard one-size-fits-all ydelser og tvangsmekanismer. Den digitale Taskforce spilder samfundsressourcer og skader samfundsudviklingen over en bred kam.

Tilsvarende er Justitsministeriets pas-udbud som at give Rasmus Trads værktøjerne til at bevise at han er Andre Lublin. Misbrug af certificeret biometri som tredjepartsviden fører direkte til biometrisk baseret identitettyveri og underminering af båpde sikkerheden og interoperabiliteten.

Så - Borgerkort drejer sig ikke om Identifikation, men om at sikre magtbalancerne i transaktioner fungerer, dvs. så kontrollen følger behovet af økonomiske årsager men med præcis respekt for at designet skal balancere stærkt modsat rettede hensyn mellem på den ene side at sikre borgeren og systemet mo dkriminalitet og på den anden side at beskytte mod borgerens kriminalitet.

Vi har fremlagt en samlet beskrivelse af vores bud.http://www.danishbiometrics.org/admin/files/Stephan%20Engberg%20presentation.PDF

Den er ikke detailjeret af 2 årsager. For det første er der mange måder at løse problemerne på, dvs. en specifik model er et af mange bud og bedre vil komme. For det andet nytter det ikke at diskutere teknik før man har forstået de problemer man søger at løse.

At forsøge at identifere en julemand som ikke eksisterer er som at forsøge at sikre en server baseret på identifikation.

9
1. december 2008 kl. 16:13

Men behøver ikke at deltage i mange af julebasarer her i december, før det står klart, at identifikationen af den ’rigtige’ julemand ikke kun er et problem i virtuelle verdener.

10
Indsendt af Anonym (ikke efterprøvet) den man, 12/01/2008 - 17:00

Hallo Kære børn.

Glæder I jer alle til jul? Det er også en rar tid. Og gaver skal I få! Allesammen. I er jo så søde, børn.

Mine flittige nisser er allerede i gang med at snedkerere, male og pakke både gyngeheste og dukkehuse. Sig blot, hvad I ønsker, så vil jeg bringe jer det hele.

Glædelig jul, Jule Manden