NemID

NemID

 

- oh ve, oh ve, oh dobbelt ve!

En gyser, som du ikke hører om i nyhederne, men som du er nødt til at læse om i it-nyhederne og især i kommentarerne til it-nyhederne, hvis du vil holde dig orienteret. Det er en indviklet sag, men nogenlunde kort sagt:

Den 1. juli 2010 lancerer DanID en ny digital signatur, NemID, som ikke overholder reglerne i Lov om elektroniske signaturer og dermed ikke grundprincippet for digitale signaturer.

Med NemID kan man i første omgang logge ind på sin netbank og senere på mange andre tjenester, bl.a. skat.dk og borger.dk, tinglysningskontoret, sin elektroniske patientjournal, e-boks - og, for at det ikke skal være løgn, skal den måske også bruges til e-valg.

Med NemID har man en såkaldt "personlig nøgle" og et "nøglekort". Det har nu ikke noget med nøgler at gøre i it-sikkerhedsmæssig forstand, der er blot tale om nogle koder. Når man skal logge på sin bank skal man bruge sit bruger-id og sin personlige kode plus en engangskode fra "nøglekortet".

Problemet er, at DanID ligger inde med nøglerne, som du skal bruge til banken osv., og du kan ikke vide om andre er kommet i besiddelse af dem. Det vil sige at du strengt taget ikke kan være sikker på hvor mange, der er i besiddelse af din elektroniske identitet.

Det er stik imod grundprincippet for elektroniske signaturer, som siger, at kun indehaveren af signaturen og ingen andre må kende nøglen. Din personlige elektroniske signatur er således fra starten kompromitteret.

Det betyder, at DanID vil være meget udsat for ondsindede hackerforsøg og at brodne kar hos DanID vil kunne lække eller ændre danskernes personlige data. DanID er naturligvis meget på dupperne sikkerhedsmæssigt, men det er i flg. It- og Telestyrelsen indenfor det muliges grænse at omgåelse af sikkerheden kan "muliggøre afluring af borgerens personlige kode, som efterfølgende kan anvendes til aktivering af borgerens digitale signatur eller dekrypteringsnøgle." ft.dk (pdf-fil). På itpol.dk kan du se eksempler på, at personlige oplysninger er lækket fra "systemet".

Den nye signatur er tilmed temmelig dyr. Så dyr at Telmore ikke vil tilbyde sine kunder adgang med NemID. Og så synes de at den er besværlig. Telmore opfordrer derfor til, at man inden d. 1/7 opretter en digital signatur eller får sin nuværende fornyet. Den vil så kunne bruges i 2 år før den er forældet og skal udskiftes med NemID. Se Har du hørt om NemID? telmore.dk.

Denne løsning vil ganske vist spare Telmore for en masse penge, men ikke hjælpe kunderne. Bankerne vil nemlig ikke give deres kunder adgang til netbank med andet end NemID. Vil du ikke dele din signatur med andre og derfor ikke have NemID, så vil du heller ikke have adgang til din netbank fra juli måned (eller lidt senere hvis ikke du er blandt de første ofre). NemID vil også være problematisk for folk, der opholder sig meget i udlandet, hvor man ikke bare lige får et nyt kodekort, når man har mistet eller opbrugt det gamle. Det er bankernes PBS, der ejer DanID. Bankerne har derfor stor interesse i at tvinge alle over på NemID.

En anden ting er, at dette system vil give mulighed for at overvåge dig på en måde, der ville have fået magthaverne i den gamle østblok til at blive grønne af misundelse. Det kan godt være at de ville have hilst overvågningskameraerne velkomne, men NemID overgår alt hvad de i deres vildeste fantasi kunne drømme om, og lur mig om ikke der skulle være en politiker i en af de lande vi helst ikke vil sammenlignes med, der nikker anerkendende.

Det rigtig sørgelige er at det både er teknisk og økonomisk muligt at lave en ordentlig løsning, hvor den enkelte borger alene har rådighed over sin egen signatur. Og det er teknisk og økonomisk muligt at lave en løsning der ikke betyder at en enkelt virksomhed som DanID får monopolstatus på markedet. Og uden at det kan lade sig gøre at hacke eller ad andre veje at få adgang til samtlige borgeres nøgler på een gang! Og endda uden at man behøver at være bange for at ens digitale signatur bliver tilgængelig for ondsindet kode på ens computer (det er ikke sikret med den nuværende digitale signatur).

Nu skal man ikke tro at DanID er den store synder i det her, det er faktisk Økonomistyrelsen der er ansvarlig for NemID, og Itst, It- og Telestyrelsen, har deltaget i og godkendt udformningen. DanID har sikkert gjort hvad de kunne for at løse den opgave de har fået så godt som muligt.

Spørgsmålet om, hvorfor man har valgt at se bort fra det grundlæggende princip, at borgeren suverænt har kontrol med sin egen nøgle, kunne jeg godt bruge et svar på. Spørgsmålet blev stillet på Itst's konference, Digitaliser2010 d. 14/4. Der var lige tid til ét godt spørgsmål til sidst. Se hvordan vicedirektør i Itst, Marie Munk - som repræsentant for for den statslige myndighed, stiltiende accepterer at Johnny Bennedsen fra DanID og Lars Mathiesen fra Nykreditt, svarer udenom de sidste minutter af videoen fra Digitaliser2010.

Hvordan DanID i deres samarbejde med Itst har kunnet slippe udenom reglerne i loven om elektroniske signaturer: Jo, loven gælder kvalificerede certifikater. NemID benytter ikke kvalificerede certifikater, dvs. at NemID-certifikatet udstedes uden at man skal møde op personligt for at identificere sig. DanID markedsfører altså NemID som en digital signatur selv om den ikke bør betragtes som sådan, da den ikke lever op til kravene og oven i købet omgår lovgivningen på området. Og, som en af it-debattørerne siger, hvorfor have en lov på området når den alligevel ikke skal bruges? Det kan du læse om på disse sider:


Jeg skal i al fald ingen NemID have, fra juli siger jeg farvel til netbank. Intet overformynderi til mig, tak.
opdateret 28/4-2010
 

NemID. Ovovow