Digital Signatur og NemID – fra chipkort til papkort
Måske har man en dag, hvor man sad og fumlede efter NemID papkortet tænkt: hvordan havnede vi egentlig lige her?
Det er jo et godt spørgsmål. Og kigger man ud over de andre lande i Europa finder man ikke et svar, for der er næppe to lande, som har valgt samme tilgang til digital signatur. På trods af fælles EU direktiv og teknisk standardisering betyder landegrænser og kultur tilsyneladende stadig meget på et område som digital signatur, som hænger tæt sammen med national lovgivning, retssikkerhed og suverænitet.
Som jeg argumenterede i mit sidst indlæg Næste generation af digital signatur, varer det ikke så længe, inden det skal planlægges, hvordan vi ønsker at udvikle signaturen efter NemID.
Hvor underligt det end lyder, så synes jeg, at der er mange gode forklaringer på, hvordan vi bevægede os fra chipkort i 1999 og havnede med papkort til den nye generation af digital signatur i 2010. Og når man skal planlægge fremtiden, er det godt at kende forhistorien.
EU Direktivet og pilotprojekterne i 1999
Der var op igennem 1990’erne store forhåbninger til anvendelsen af digital signatur baseret på RSA sikkerhedsalgoritmerne. Området gennemgik en stærk teknisk standardisering og lovgiverne i Europa lagde sig også i selen for at følge med udviklingen. Dette resulterede blandt andet i EU direktivet om digital signatur dateret 13. december 1999. Her kan man blandt andet læse:
”Electronic communication and commerce necessitate electronic signatures and related services allowing data authentication. The interoperability of electronic-signature products should be promoted”.
Som det fremgår, var målet ikke digital forvaltning, men elektronisk handel, med hele den aura af magi, som det begreb dengang havde i politiske kredse.
EU direktivet blev implementeret i dansk lov pr. 1. oktober 2000 ved ”Lov om elektroniske signaturer” . Der gives i øvrigt en fin oversigt over juraen bag den digitale signatur på hjemmesiden NemID.nu. På samme hjemmeside findes en grundig gennemgang af Historien om digital signatur.
Den tekniske standardisering for Offentlige Certifikater for Elektroniske Services (OCES) forankredes i ”Forum for Digital Signatur” hos Danske Standard i Charlottenlund. Her fastlagde leverandører og deltagere i de første pilotprojekter om digital signatur fra 1999 tekniske standarder på områder, hvor der ikke på det tidspunkt var oplagte internationale standarder eller erfaringer at pege på.
Et af de problemområder som gav virkelig mange og lange diskussioner, var håndteringen af CPR nummeret. For at signaturen kunne anvendes til offentlige forvaltning, var det nødvendigt at lave en kobling til CPR nummeret, men på den anden side havde man, dengang som nu, et behov for at holde det hemmeligt.
Der blev fremført mange forskellige tekniske løsningsforslag til indkodning af CPR nummer på en hemmelig måde i de offentligt tilgængelige certifikater, men på grund af det forholdsvis lille antal gyldige CPR numre blev disse alle opgivet på grund af risikoen for udtømmende søgning. I sidste ende blev det besluttet at lave et neutralt løbenummer (PID) i certifikaterne og en tilhørende online PID/CPR opslagstjeneste.
Offentlige tjenester har lov til at få udleveret det CPR nummer, der hører til certifikatet. Private tjenester skal indhente CPR nummeret fra brugeren, som dermed selv udleverer CPR nummeret, hvorefter tjenesten kan få bekræftet sammenhængen mellem CPR nummer og certifikat i PID/CPR tjenesten. Det er disse metoder, som anvendes i dag.
Alle blev nok mindet om de heftige følelser CPR nummeret til alle tider har kunnet vække i debattørerne, da Ekstrabladet tilbage i 2000 kaldte PID nummer for et nyt ulovligt CPR nummer og mistænkeliggjorde videnskabsministeriets Palle Sørensen, som igennem hele forløbet med digital signatur var en vigtig og dygtig drivkraft på området. Er der mon ikke snart nogen, som laver en forening: ”befri dit CPR nummer”, hvor vi kan vælge at offentliggør vore numre?
De første pilotprojekter om digital signatur i 1999 viste mestendels, at smartcard teknologien ikke var hverken moden eller brugervenlig nok til udrulning til borgere og virksomheder på daværende tidspunkt. Projekterne fik dog opstartet vigtigt arbejde omkring standardiseringen og arbejdet med sikkerhed, som det f.eks. kan genopleves i Kodeks for sikker anvendelse af digital signatur i pilotprojekterne.
OCES i 2003
Efter pilotprojekterne, og et mellemliggende SKI udbud på området, blev der udskrevet en projektkonkurrence om OCES i 2002.
Projektkonkurrencen og den vindende løsning fra TDC fjernede en række hindringer for udbredelsen, og sikrede igennem et langt sejt træk, at OCES infrastrukturen vandt udbredelse.
Teknisk var OCES digital signatur en software baseret løsning, hvor man, i stil med netbankernes sikkerhedsløsninger på det tidspunkt, opbevarede en privat signeringsnøgle på brugeren harddisk.
I de første år fra 2003 til 2006 skete der en hastig produktudvikling af digital signatur infrastrukturen i takt med at de praktiske erfaringer og nye behov viste sig. Nogle af de forbedringer der blev indført var:
- Mulighed for OCES certifikater for unge mellem 15 og 18 år.
- Tvungen brug af stærkt password til aktivering af signaturen i de forskellige browsere
- Signatur leveret på ”CD Rom” og USB stick
- Mulighed for straks udlevering af signatur fra borgerservices i kommuner
- Udstedelse til borgere med adressebeskyttelse eller bosiddende i udlandet
- Bedre løsninger til blinde og svagtseende
- Open source softwarekomponenter (opensign og openlogon) til tjenesteudbydere
- Straks-udstedelse med Tastselv kode, medarbejder bredbånds installationsadresse eller voice respons løsning.
De mest udbredte offentlige identifikationsmekanismer tilbage i starten af 0’erne var henholdsvis tastselvkoden fra Skat og fælles pinkode fra KMD. Begge løsninger havde et langt liv parallelt med at digital signatur voksede sig stærkere, og udgjorde sammen med en konkurrerende løsning fra PBS kaldet Net-ID, de største konkurrenter i hvad nogle medier dramatisk kaldte signatur-krigen tilbage i 2004. Se for eksempel en artikel om Net-ID fra dengang.
Den nye generation af OCES signaturer blev lanceret med NemID til private i sommeren 2010 og NemID til erhverv sommer 2012.
Hvordan gik det med direktivet og signaturen i Europa imens?
Det oprindelige EU direktiv resulterede i mange implementeringer af kvalificeret signatur rundt omkring i Europa. De fleste løsninger baserede sig på smartcards og havde også en anvendelse som ID kort. Trods store investeringer i mange lande, har denne løsningstype ikke fremvist overbevisende mængder af elektroniske transaktioner, og i praksis er der i dag flere forskellige typer af elektroniske ID løsninger i næsten alle lande. Det kan man f.eks. læse mere om i IDABC esignatures projektet - se afsnittet ”final report”.
Som også beskrevet i Anders Boisens blog indlæg, er der nu en EU forordning undervejs. Denne forordning skal give en ramme for, at de mange nationale elektroniske ID løsninger kan bringes til at fungere på tværs af landegrænser.
Så hvor den oprindelige tilgang fra EU var at lave én teknisk og sikkerhedsmæssig standard, er ambitionen nu at kunne få forskelligartede systemer til at samarbejde, baseret på erfaringerne fra EU projektet STORK..
Tilbage til fremtiden
Nogle har ment, at den internationale standardisering og specielt EU forordningen vil skabe hindringer for en løsningstype, som den nuværende danske NemID. Det mener jeg egentlig ikke. Jeg mener, at vi i Danmark løbende vil have frihed til at videreudvikle de digitale signaturløsninger, som passer til vore behov og de sikkerhedsrisici vi løbende må gardere os imod.
I forhold til sikkerhedsudfordringerne tror jeg, at man om vores rejse med digital signatur kan sige, som Churchill sagde i forbindelse med sejren i andet slag om El Alamein: ”Now this is not the end. It is not even the beginning of the end. But it is, perhaps, the end of the beginning.”
At denne rejse så undervejs skulle omfatte et papkort til den digitale signatur, det havde vi nok ikke forestillet os, da vi sad og bøvlede med chipkort i 1999. Men kortet er til at forstå for alle, og hæver barrieren for angriberne.
Hvordan mon vi bedst kommer videre herfra, når der skal planlægges en efterfølger til NemID sortimentet fra 2017?
Jeg håber måske, at man fra offentlig side vil have selvtillid nok, til at forsøge at dele infrastrukturen og udfordringerne op i nogle mindre bidder.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
