NemID2: Idestorm

Nem adgang til at læse post i en af MIG valgt mailclient. Hvis jeg vil bruge Firefox, så må det være mit ansvar. Jeg behøver ikke at have en stat til at fortælle mig at det ikke er sikkert nok og at jeg er nødt til at logge på en statslig hjemmeside for at læse min post.

Og lad SQRL ID'et være vores nemid. PS: Læse hele siden før i forkaster det :-)https://www.grc.com/sqrl/sqrl.htm

Jeg forstår ikke modviljen mod papkortet. Det er 10x mere sikkert end et Google Authenticator seed på min smartphone. Seed og password kan snuppes i en arbejdsgang af den samme malware.

Dertil kommer at det er nemmere at forstå for almindelige borgere (som PHK påpeger ovenfor), og nemmere at passe på - hvordan tager jeg backup af Google Authenticator?

Nøgleviseren er et udmærket alternativ til folk som hurtigt slider et papkort op. Men personligt ville jeg ikke bytte - den fylder jo meget mere end kortet.

Højt på min ønskeseddel til nemid2 står:

• Gradueret sikkerhed (kendt fra gmail): Højere sikkerhedskrav ved login fra udland, nye IP-adresser, nye computere. Her kunne papkortet komme i brug hver gang. Kendt computer/browser fra dansk IP adresse kunne nøjes med password.

• validering af modparten (hvem authenticater jeg med, og hvor mange oplysninger får de)

• Sikkerhed for at jeg virkelig taler med CA'ens server og ikke en man-in-the-middle.

• Mulighed for at kæde visse personlige oplysninger sammen med en pgp key (se for eksempel på hvordan keybase.io kæder facebook og twitter-profiler sammen med krypteringsnøgler). Bonuspoint hvis jeg kan kæde mit navn til nøgle A og cpr-nummer samt navn og adresse til nøgle B.

Et er sikkert, hvis løsningen bliver for besværlig gider slutbrugeren ikke at bruge den, medmindre de bliver tvunget. Det betyder at løsningen kun vil blive brugt af stat og kommuner, idet ingen organisation i et konkurrence præget marked vil miste kunder på besværligheder.

Så her er mit bud som er en fordel for både organisation og slutbruger:

Løsningen skal virke på tværs af devices, nemt og flydende. Uden besværlige "log ind på din pc og gør dit og dat før du får adgang til din app". Løsningen indeholder ens kontaktoplysninger som kan abonneres på. Hermed kan brugere give firmaer tilladelse til at abonnere uden at skulle indtaste det samme skidt igen og igen. Abonnementet kan ledsages af tillades til f.eks. nyhedsbreve m.m. Disse tilladelser skal self. kunne trækkes tilbage digitalt. Et system som dette gør det attraktivt for firmaer at tilmelde sig og attraktivt for borgere at bruge da det gør deres dagligdag nemmere.

Løsningen skal i min optik have forskellige sikkerheds niveauer. En simpel identifikation over for en webshop (eg jeg er en rigtig person) kan sagtens være med facebook mekanikker.Handlinger såsom ophæv min pension etc. kan kræve mere sikkerhed.

Der skal være flere udbydere af løsningen. Således kan jeg få en simpel two-factor authentication via min mobil og sølvpapirshattene kan sidde og installer certifikater på deres linux boks og bekymre sig om NSA ;-)

At man ikke har et certifikat der er udstedt af nogen der kalder sig "TRUST2408 OCES CA I" eller "TRUST2408 OCES Primary CA" uden en eneste kommentar i rodcertifikatet. Hvem fanden er TRUST2408? Er det virkelig nogen man skal stole på?http://www.trust2408.com/repository/ICA01.crthttp://www.trust2408.com/repository/PCA.crtGsus.

Jeg længes efter en mere brugervenlig løsning. Det er alt for tidskrævende og besværligt med papkort.

Hvad kan du bruge din NemID2 til, som NemID1 ikke kan bruges til ?

Det er et sjovt spørgsmål. Men hvorfor spørger du?

Det skal være lettere at foretage NemID-handlinger på vegne af andre (fx udfylde selvangivelse for sin gamle bedstemor) uden fysisk at have fat i deres papkort (eller anden fysisk token). Det skal være let at afgive fuldmagt til andre (tidsbegrænset eller ej, til specifikke tjenester/funktioner eller til hele molevitten), og man skal kunne se en samlet oversigt over, hvilke fuldmagter man har afgivet.

Uanset, hvordan vores kommende digitale signatur (for det er vel en sådan vi ønsker, i stedet for NemID?) kommer til at se ud, så vil der være tusind gange så mange mennesker på kloden som i Danmark. Det vil være en stor fordel at gå sammen med de andre om at løfte opgaven.

Jeg frygter dog at vi som "Verdens Førende IT-Nation" endnu engang ender med en løsning, der kun kommer til at virke for myndige danskere bosat i Danmark med en velfungerende internetforbindelse og en af myndighederne godkendt adgangsterminal.

Kunne man forstille sig et "nemid", hvor man kunne frit vælge brugernavn og kodeord pr. site og så man kunne bruge anden faktor for at verificere sig. En unik værdi som er tilknyttet ens identitet men som skifter hvert minut. Som man får via en token eller sms eller ligende når man skal bruge den.

Jeg er ikke særligt tryg ved at have samme brugernavn og kodeord alle steder. I princippet kræves det "kun" at man kender mit brugernavn og kodeord til nemid og så man stjæler mit papkort. Så har man adgang til alt (kommune/banker/eboks/mm).

BørneNemID2. Associering af børneNemId2 med en (eller flere ) voksen NemID2 svarende til forældremyndigheden med administrationsmuligheder.

NemID2 med eget certifikat på flere samtidige dimser.

Man skal da kunne checke ind med sin NemID i bussen, og logge på Skats hjemmeside med Rejsekortet. Vær opmærksom på at din trækprocent stiger med 5, hvis du glemmer at checke ud.

NemID2 skal være en (rigtig) digital signatur med hvad dertil hører, MEN den skal intet have med banker at gøre!

Mao, bankerne kan lave hvad de vil af SSO løsninger til webbank, men der skal være en klar adskillelse af stat og bank.

• Login uden et fucking pap-skema eller nøglegenerator og hvis det ikke kan undgås:

• Nøglegenrator på telefonen ligesom med Google OTP - evt. Google OTP

• Ingen forbandet Java

• Portabelt Certifikat som kan installeres på telefonen

• Valgfri autologin ... E-Boks jeg kigger på dig, forbandede lort !!!

Prolog: Vi skal lige vide hvad NemID i det hele taget er først. Det er både en single-sign-on løsning og en OCES certifikat-løsning. Det skal være helt oplagt hvad det er for et problem der ønskes løst med NemID2, og det kan være vi har behov for 2 uafhængige løsninger.

Vi skal også vide hvad NemID2 IKKE er. Hvilke problemer løser vi ikke? Jeg har personligt mest lyst til at smide store dele af OCES ud af NemID2-projektet og så løse et mindre projekt der kan lade sig gøre først. Så derefter bygge OCES ovenpå en løsning der faciliterer udvidelse.

0. Lad os antage as NemID er en bevisbar identitet. Identiteten er reelt set erstatningen for det aldrende CPR-system. Naturligvis er identiteten omfattet er passende 2-faktor authentikation, som vi ser i den nuværende NemID-løsning.

1. Jeg skal kunne aflede nøgler fra min identitet, på en relativt standardiseret måde. Det åbner for at jeg kan lave en løsning ovenpå NemID2 såfremt jeg ikke er tilfreds med denne. Det medfører også at NemID2 kan laves meget snævert, for utilfredse (læs: bankerne) kan bare løse ovenpå. Det er også de afledte nøgler jeg bruger i forhold til kryptering, signering i forbindelse med staten, og så videre. I princippet kunne vi stoppe med "hvad" allerede her, for nu har man et fundament hvorpå man kan bygge SSO-løsninger, kryptonøgler i ikke-definerede-lokationer-i-HSMs osv.

2. NemID2 skal kunne lave "vaults" i den forstand at jeg kan separere de data jeg har givet min læge fra de data jeg giver mit forsikringsselskab. Det betyder at jeg har multiple identiteter og jeg styrer hvordan dataflow er mellem disse identiteter. Målet er at jeg har kontrol over mine data og hvem der har adgang til at læse dem.

3. I forlængelse af 2: Jeg kan udstede midlertidige tokens der giver adgang til delmængder af mine data vel vidende at 3.-part ikke kan få mere oplyst på den identitet jeg har afledt og benyttet.

4. NemID2 er en åben standard. Det er veldefineret hvordan NemID2 virker teknisk og det er muligt at interagere med standarden gennem passende API. Hvis staten er inde over hele projektet skal vi borgere have noget ud af vores skattekroner.

5. NemID2 er så snævert defineret at der ikke er nogen økonomisk gevinst ved NemID2. Derfor er det oplagt at staten ejer systemerne der driver rod-systemet i NemID2. Det står banker og andre frit at definere løsningen ovenpå NemID2 hvor de kan få økonomisk gevinst, men hold vores identitet udenfor dette.

At man ikke har flere nøglekort pr. login type (privat, virskomhed a, virksomhed b osv)

I dag har vi 3 offentligt accepterede, online autentifikationsløsninger, som bruges i kombination af 2 for at opnå 2-faktor. Det er NemID OTP, NemID Kodeord og NemID nøgleviser.

I den ideelle verden udviddes disse muligheder med flere autentifikationsløsninger, som IKKE er kontrolleret af staten. Vi har allerede en del open source og kommercielle teknologier i brug fra forskellige udbydere som fx GPG, SecurID, SMS tokens, PIN-koder, kortnumre og fingeraftrykslæsning. Hver især med styrker og svagheder.

Statens rolle skal ikke være at udvikle disse sikkerhedsløsninger, men blot at certificere, at et id-nummer i en given sikkerhedsløsning er sammenkædet med oplysninger om subjekt. Fx at SecurID device 12345 tilhører mig.

En sådan certificering kan fx foretages ved at troppe op i borgerservice medbringende pas og autentifikationsmekanisme, og derefter besvare en challenge fra medarbejdren bag skranken. Fx signere et dokument med min GPG, mens de kan se, at det var mig der gjorde det.

Staten kan principielt ikke kræve adgang til borgeres private nøgler for så er de jo ikke private længere.

Den anden ende af systemet, dem der skal beskytte adgangen til noget, ja de har så forskellige muligheder for hvor højt barren skal sættes og hvad de vil tilbyde deres brugere af muligheder for at autentificere sig. Fx kan bankerne vælge at have en positivliste af autentifikationssystemer til en-faktor login for at SE oplysninger (som nu), og en anden positivliste af kombinationer af autentifikationssystemer til at FLYTTE penge.

Alle de nuværende NemID-beskyttede systemer administrerer jo i forvejen både deres egen og NemIDs sikkerhedspolitikker. At tilføje yderligere autentifikationssystemer behøver ikke være noget stort teknisk problem. Generelt må det være op til dem, der har noget at beskytte, at vælge hvilke autentifikationsmetoder de accepterer og bære risikoen herved. Naturligvis med mulighed for regres hvis brugeren har sjoflet sikkerheden i modstid med betingelserne for den givne sikkerhedsløsning.

Man kunne se på dette EU projekt: https://abc4trust.eu/ - her er der netop sikret at man kun oplyser det der er nødvendigt (ex. at man er over 18 år, men ikke hele ens CPR nr)

Findes der en logging hvor brugeren selv kan se hvilke login man har lavet?

Med udgangspunkt i at "nemid2" bliver gjordt rigtigt, så forventer jeg som minimum at kunne bruge den på samme måde i den digitale verden, som en analog underskrift fungerer i papir verdenen.

Jeg har tænkt lidt over hvad der skal til for at jeg kan sige at jeg stoler på en "nemid2" løsning og jeg kom frem til følgende punkter.

1.Den private del af løsningen skal være at finde på en hardware enhed, som kun den enkelte borger besidder.

2.Vi skal udelukkende bruge gennemtestede teknologier.

3.Løsningen skal være platformsuafhængig.

4.Sikkerhedsmessigt skal det ikke være nødvendigt for borgeren at ”trust” en 3. part, hvadenten det er en offentlig institution, en privat virksomhed eller noget derimellem.

5.Løsningen må ikke have nogen single-point-of-failure.

6.Løsningen skal kunne signere og dekryptere dokumenter offline, samt validere og kryptere dokumenter offline, såfremt borgeren har gemt modtagerens offentlige nøgle lokalt.

7.Løsningen skal være 100% open-source, dette er nødvendigt for at opfylde punkt 4.

-Jeg kan bruge nemId uden adgang til servere styret af CSC/IBM/Whatever -Jeg kan bruge et åbent API til at validere at bruge er hvem de siger de er

Inspireret af tidligere indlæg om det engelske eId: At jeg kan give adgang til dele af min identitet begrænset til hvad der er nødvendigt, eks. at logge på kommunal hjemmeside at det er nok at jeg bor i kommunen.

Jeg kan give VVS manden en nøgle til mit hjem, som han kan bruge til at låse sig ind på onsdag mellem 12 og 16. Når jeg kommer hjem, kan jeg konstatere, at det var den VVS mand, jeg havde en aftale med, der var i mit hjem fra 13 til 15.

VVS manden har ikke adgang til mit redskabsrum eller pengeskab.

Jeg kan signere min PGP key (eller på anden måde bekræfte ejerforholdet), således at:

• Min PGP nøgle kan bekræftes officielt
• Offentlige systemer kan begynde at sende mig krypterede emails til min postkasse, og ikke bare til min eBox

Det skal være muligt at få en valgfri autentificeringsudbyder til at opbevare sin private nøgle, hvis man ikke kan/vil varetage sikkerheden lokalt. En serviceudbyder skal have en standiseret metode/protokol til at bede om autentificering fra udbyderen, mens udbyderen vælger hvordan autentificeringen af brugeren foregår. Dermed kan brugeren vælge en autentificeringsudbyder, som han: A) Stoler på (både kompetence og ærlighed) b) Tilbyder en autentificeringsmetode, der passer til brugerens arbejdsgange. Nogle vil måske gerne bekræfte login via engangskoder sendt via email, andre hellere have engangskoder eller en specialudviklet app til deres smartphone.

Offentligt tilsyn og veldokumenterede sikkerheds-procedurer skal naturligvis kræves af alle autentificeringsudbydere.

Hvis det skal laves helt rigtigt, skal der være flere uafhængige løsninger, som brugerne kan vælge imellem på ethvert tidspunkt. Dermed opnår man dels konkurrence (hvilket reducerer prisen og forbedrer kvaliteten) og dels kan kan lukke midlertidigt eller permanent for en løsning, der viser sig at have et sikkerhedshul (uanset om dette er teknisk eller organisatorisk).

Endvidere kan man til særligt sikkerhedskrævende funktioner kræve login med to eller flere uafhængige ID-systemer. Ikke to specifikke, men to valgfri ud af alle de godkendte systemer, der skal jo stadig være konkurrence.

Så kan man vel med god smag i munden signere forskellige dokumenter, f.eks. køb/salg fastejendom, underskrift på lånedokumenter osv. Noget som jeg absolut ikke tør med nuværende løsning (ikke om jeg ved af om man kan)

Det ville være rart (og på høje tid) med en udbredt krypteringsstandard for direkte kommunikation mellem både borgere, firmaer og offentlige institutioner. God integration med både udbredte mailprogrammer og større webmailtjenester er her en nødvendighed, ligesom det skal være nemt (automatisk?) at hente en vilkårlig modtagers offentlige nøgle fra centralt hold.

Jeg kan importere certifikatet i eksempelvis Thunderbird og benytte det til at signere mine mails.

Jeg kan være 100% sikker på, at jeg selv har genereret certifikatet, i øvrigt ...