Slut med CPR, NemID og evindelige brokkerier - vil du være med til at forme fremtiden?

Af de forskellige kommentarer i denne tråd fremgår det tydeligt at det en kompleks problemstilling vi skal have løst, hvis de løsninger, der kommer ud af projektet skal kunne anvendes til mange formål af både IT-kyndige og almindelige personer.

De første skridt må derfor være at få rammerne for projektet på plads.

1. Projektet skal have et sigende og huskbart navn. Jeg foreslår "BedreID".

2. Projektet skal have en passende organisation. Jeg undersøger i øjeblikket mulighederne for at finde en relevant organisation med formalia på plads, så vi ikke skal bruge unødige kræfter på den del. Forslag vedrørende dette modtages gerne på email (hb@peercraft.com).

3. Projektet skal som Klavs nævner have et sted, hvor vi kan strukturere fagligt indhold og debat. Jeg har ikke brugt det før, men http://vanillaforums.org (~ https://github.com/vanillaforums/Garden ) synes pt. at være et godt bud på et up-to-date og aktivt open source forum. Understøtter eksternt login med både social login og SAML, så det også burde være rimeligt simpelt at bruges til at teste vores egne løsningsidéer.

Det må være et krav at man kan vælge imellem flere forskellige "udbydere af tillid".

Lidt ligesom man kan vælge imellem flere forskellige forsikringsselskaber eller banker.

Ligeledes må det være et krav at man kan afvise at indgå i en transaktion hvis modparten ikke kan fremvise et certifikat fra en af de udbydere man selv stoler på.

Mange af indlæggene her handler om tekniske løsninger på identifikation og verifikation i forbindelse med digitale løsninger. Men en fælles løsnings udbredelse (popularitet og brugbarhed) afhænger jo i høj grad af, hvorvidt den også er forenelig med hvordan vi nu engang kommunikerer i det daglige. Der er jo masser af sammenhænge, hvor vi har brug for at identificere os og modparten har brug for at verificere at det rent faktisk er os, hvor det ikke kan ske gennem en onlineløsning eller ved personligt fremmøde sammen med chipkort, fingeraftryk, signering og lignende løsninger. Der har været nævnt henvendelser til lægen, som også i fremtiden ofte vil foregå per telefon fordi det nu altså bare er det letteste. Her har den misforståede brug af CPR-nummeret naturligvis vundet indpas fordi det er relativt let at overføre 10 cifre via telefonen. I den virkelige verden glemmer folk også ting. Nu kommer jeg ikke særligt tit ved lægen, men de gange jeg sidder i venteværelset, er der altid nogle andre der ankommer og har glemt deres sygesikringsbevis, og alligevel kommer ind eller får fornyet deres recept - fordi lægesekretærer også er mennesker. Det kunne også være pædagogen på legepladsen der skal aflevere et barn til en person der ikke normalt afhenter, men som det selvfølgelig er blevet oplyst om på forhånd. Hvordan kan hun - uden andre remedier end sin personlige smartphone - verificere, at den person der så er ankommet, faktisk er den vedkommende udgiver sig for at være? Det er nogle helt andre scenarier end pengetransaktioner og underskrivelse af dokumenter, men det er jo netop i det personlige møde mellem mennesker - face-to-face eller via telefon - at der findes et åbenlyst behov for en robust og alligevel enkel løsning på at verificere hvem det er man står overfor. Hvad vil være de korrekte løsninger på sådanne daglige brugsscenarier? Er det en identifikation (med CPR-nummeret) kombineret med oplysning af en kort genereret nøgle med begrænset levetid som modparten nemt kan verificere et sted, at kun jeg kan være i besiddelse af? Og i hvilken grad er dette et problem i forhold til ikke at have en centraliseret løsning? Hvad er realistiske muligheder for at basere det på løst koblede og åbne teknologier som fx SMS engangsnøgler, som det gøres i andre sammenhænge?

/Jan

Der er to problemer med CPR-nummeret.

1. Der er læger og andre faggrupper der tror, at hvis de har en i telefonen som kan fremsige et CPR-nummer, så er det den person, og giver dermed personfølsomme oplysninger.

2. CPR-nummeret indeholder personlig information, så som fødselsdag og køn.

Det administrativt smarte ved CPR, er at det er det samme hele livet. Uanset om man flytter bopæl eller skifter navn, så er det stadig det samme. Et unikt ID som identificere en person.

Send et postkort med nyt CPR-nr til alle i DK der i forvejen har et. Skriv tydeligt på kortet at "Dette er Deres nye CPR-nummer. Det er ikke hemmeligt. De vil fremover få breve hvor det nye nummer er trykt uden på. Hvis De anvender CPR-nr i forbindelse med Deres arbejde, må De ikke antage at en der kan CPR-nummeret, er den person." Ønsker nogen teksten i du-form, er jeg til at forhandle med. Det skal ikke være stopklodsen.

Bliver jo desværre nok brugervenlighed.

Det er såvidt jeg forstår, den primære (officielle) begrundelse for ændringen fra at man selv opbevarede sin private nøgle, til at DanID gør det.

Og realistisk set, er den privat enøgle jo nok også bedre gemt hos DanID end hos ~80-90% af danskerne.

Så skal det være reelt opbygget, blier det nødt til at være et hardware token, og så må man tage det "besvær" der medfølger - men med ordentlig dokumentation og video vejledninger mm. skulle det nok kunne gå. Borgerservice hjælper jo også folk igennem at få et NemID idag - så kan de muligvis i sidste instans også hjælpe med at få et token til at du.

Fordelen er at der allerede idag, er flere hardware token leverandører som kan bruges - og man har beskyttet den private nøgle godt.

Alternativt skulle man måske gå efter et pico lignende device ( se http://www.version2.dk/blog/hvis-danmark-var-it-foregangsland-18609 ) - det kan også bruges mere bredt og kræver ikke drivere på computeren.

Den anden side af mønten, er hvordan vi sikrer at folk altid 100% kan se hvad de underskriver. Det må jo være noget med 2-sidet kryptering, så den der vil have noget underskrevet, krypterer det der skal underskrives med den private nøgle på den der skal underskrive, og den der skal underskrive, laver en hash af de modtagne, og signerer denne (sådan pgp email signering virker), og krypterer resultatet med modtagerens offentlige nøgle.

Resultatet skal så, af underskrivers side, automatisk også deponeres hos en (imho valgfri) 3. part - som sikrer bevisbyrden, uden at 3. part kan dekryptere/se hvad der egentlig foregår.

Den skal nok lige bages noget mere - det er jeg sikker på at nogle kryptografi eksperter allerede har gjort :)

Vi skal bare huske at det skal være brugervenligt også.. Jeg tror bestemt på at vi kan få udviklet et rigtigt godt system - og jeg vil personligt gerne bidrage.. Jeg vil sådan set foreslå vi laver en mailingliste.. eller et webforum (foretrækker mailingliste - helst med NNTP (news) adgang, så man kan tilgå et arkiv, istedet for at skulle have sit eget) - som f.ex. sslug.dk's system har - og de har også webforum koblet ind - så man kan skrive og se alles indlæg, på alle 3 måder.

Er ikke at lave alle mulige løsninger. Løsningen er at lægge alle kontroller af hvadsomhelt, ned i protokollerne selv, så det hele kører auto.

Internettet trænger som en v51.34 til en komplet omskrivning, det burde enhver programmør vide. V3 er som regel det færdige program, der virker uden bugs, og er smartest lavet.

Er at man skal registreres så der ikke kan fuskes, for at komme online. Så får man et ID, som vedhæftes alle uploades, og registreres alle downloads, posts osv.

Så er det total overvågning, men nu ved man hvem der lagde hvad op, og hentede hvad. Og kan logg ind overalt, med sin Universal Internet ID.

Der skal noget opdatering af TCP/IP stakken til. Bare tilføj en protokol.. men det hele skal jo også omskrives, det er forældet.

Et af de problemer vi ofte ser, er noget med login. Se fx Masser af danskere berørt: Data stjålet fra dating-sider. På linket kan man få hjælp til at lave sig et godt password, men desværre er den menneskelige hjerne slet ikke avanceret nok til at løse den opgave: Når mennesker vælger password, er de dårlige.

Så er der nogle sites der maskingenerere password for folk, men dem kan de ikke huske.

Det vi skal frem til, er at bruge samme mekanisme som SSH.

• Du skaber selv din private nøgle
• Du opbevarer den selv
• Du tager ansvar for dig selv
• Bliver nogen hacket, så er det kun din nøgle, og ikke 1 millon

Mange steder kan man nøjes med et ret simpelt login, som fx her på version2.dk. Det eneste krav der stilles, er at du kan svare på den mail de sender - til din nyoprettede jens.jensen@gamil.com adresse.

Så i stedet for et password, er mit forslag at bruge PKCS12 nøgler eller lignende.

Jeg har forsøgt mig med at lave en video-demo af hvordan det kunne se ud på et site der minder om version2s krav til identificering: Client Certificate Login Demo (lige pt virker den viste web-adresse, hvis nogen selv vil prøve). Det jeg forsøger at vise, er at man laver sin egen nøgle med sin email-adresse, og så tilgår man et site. Sitet registrere ens email og serial number, og sender email til bekræftelse. Andre kan ikke bruge det samme serial number til login, da det er fremkommet som et destilat af PKCS12-nøglen.

Den viste nøgle er self-signed, men den ville være klart mere valid hvis den var fra cacert.org. Men jeg forestiller mig egentlig at jeg møder op i en bank eller borgerservice og fremviser mit fingerprint og får det signeret der. Måske også taget et billede og jeg sætter min underskrift (fingeraftryk og DNA-aftryk er jeg ikke helt lige så tryg ved, som Trine Bramsen er).

Næste skridt er en løsning hvor det ikke bare er det korte serial number, men en public key der skal ind på serveren. Jeg har ikke nogen demo af det, men det skulle også kunne gøres med web.

Lige nu er det sådan at jeg har et tastselv-login til Skattevæsnet, og passwordet er selvvalgt og af samme standard som man kan forvente (jeg kan huske det). Det ville være klart bedre med et client certificate, i tilfælde af at CSC skulle blive hacket igen.

Hvor om alting er, så skal de løsninger stat og kommune skal bruge, være nogle hvor man selv skaber sine private nøgler, med selvvlagt software og selv opbevare dem. Og selv mister dem, og har bøvlet med at få skabt nogle nye og revoked de gamle nøgler.

Skal man have tillid til en bestemt stat for at bruge systemet?

Skal man have tillid til en bestemt bank for at bruge systemet?

Skal man have tillid til en bestemt virksomhed for at bruge systemet?

Skal man have tillid til en bestemt person for at bruge systemet?

SlemId har den store skavank at man skal have ubegrænset tiltro til en bestemt organisation. Har man ikke det, skal man have det alligevel for SlemId rummer ikke mulighed for noget alternativ og loven tvinger en til at bruge SlemId under trusler om bøder og fængsel.

Problemet med nemid osv har gennerelt været NIMBY, alt hvad staten realt skal for at implementere/facilitere et effektivt digital signatur system er at drive telefonbog's delen af systemet alt andet er effektivt implementeret i off the shelf software.

Du har to etablerede standarder centraliseret PKI/PKCS#12 og pgp/gpg hvor det eneste der mangler er en muglighed for at "tinglyse" hvilke offentlige signaturer der tilhører hvem. Det er det EU's formulering om Kvalificeret henviser til.

Det eneste andet problem du har er selve email delen, kan du kræve at borgeren selv har skaffet sig en signatur og en løsning til at modtage den eller skal staten ind of tilbyde en gratis løsning. Igen Drift af en ren IMAP/POP3 server er ikke avanceret og kan gøres forholdsvist simpelt især hvis vi husker at det er tinglysningen af adresse/nøgle der gør signaturen valid.

Når det kommer til nøglerne er der ingen vej uden om der skal stilles krav om hw, i udlandet løses det problem ved at man har forsynet traditionelle IDkort(i DK sygesikringsbeviset) med en krypto-token, den løsning kan sagtens overføres til DK og kolidere ikke med ideen om at "tinglyse" borger gennererede public key.

Hvis staten vil have en SSO løsning kan/bør den implementeres 110% seperart af signaturløsningen, og bør implementeres via OpenID protokollen eller tilsvarende.

Et af NemID's grundlæggende problemer er at man vil have at løsningen skal dække alle behov på samme måde.

Man kunne sagtens have en central login-løsning til "ufarlige" opgaver, og så have en "fuldblods" sikker adgang til mere alvorlige opgaver, hvor den sidste godt måtte være lidt mere besværlig at håndtere.

I ingen af tilfældene skal man selvfølgelig have overvågningshåndtag indbygget, som man har i NemID.

Supergodt initiativ.

Det skal gøres nemt for de mere IT-forskrækkede danskere at håndtere deres eget certifikat. Et hardwaretoken kunne være en mulighed. Design systemet efter at ID'er udløber, kan blive stjålet/hacket og det skal være nemt og ikke omkostningstungt at få et nyt certifikat.

Det kunne væe en mulighed at identiteten ikke kun verificeres af offentlige myndigheder, men også borgere, der siger god for andre borgere. Altså at identiteter også kan bygges op nedefra som med pgp.

I manger tilfælde vil kommunikation/handel med en fremmed være bedre sikret med en tyk kæde af personer, der kender personer være bedre en en en validering af en enkel offenlig myndighed, der måske er blevet fuppet.

Vi skal ud af mantraet, at borgerne ikke selv kan sørge for sikkerheden omkring deres identitet og at staten i stedet gør det på de dumme borgeres vegne. Alle dumme borgere skal således kunne skabe en digital identitet og gøres i stand til at holde på den uden, at være i stand til at indbrudssikre deres firewall og virusscanne og opdate deres IT-udstyr.

Det er vigtigt at få beskrevet de krav man med rimelighed kan forvente/forlange af borgernes private certifikatpunge. Hvad skal der til for, at sikre mod lemfældig omgang med ens private certifikat?

Det er også væsenligt at løsningen er decentral, og at der ikke er centrale angrebspunkter. Borgere og virksomheder skal kunne kommunikere direkte uden trediepart.

Den valgte løsning med e-Boks som leverandør af Digital postkasse til borgerne er tåbelig. Man er påtvunget anvendelse af e-Boks. Det burde være muligt at anvende en hvilken som helst email-adresse, som man er i stand til at signere og kryptere ved hjælp af et Digitalt Certikat.

Et krav må være, at løsningen ikke er baseret på central lagring af certifikater, men brugerne har 100% kontrol over deres certifikat. En løsning kunne være at kæde det sammen med en form for borgerkort, som så samtidig kunne erstatte personnummerbevis og sygesikringsbevis (og i princippet også andre beviser)