Artikel top billede

Sikkerheden i NemID handler om tillid

Med NemID samles de private nøgler på centrale servere. Det gør løsningen nemmere at bruge, men forbedrer ikke sikkerheden. Prisen er, at vi skal vise DanID 100 procent tillid.

Digital signatur fylder 10 år: I forhold til sikkerheden i den digitale signatur er der ikke sket de store teknologispring i de seneste 10 år, forklarer Palle H. Sørensen, der er centerleder i IT- og Telestyrelsen.

"Det er de samme algoritmer og den basale Public Key Infrastructure (PKI), der er fundamentet," siger han.

Men der er sket en udvikling på to områder, forklarer han.

Teknologien til opbevaring af den private nøgle, der anvendes til signeringen, er blevet billigere, bedre og mere trådløs gennem de 10 år. Det betyder, at der i dag er mange muligheder for at opbevare den private nøgle, beretter han.

"Parallelt hermed har udbredelsen af nemt tilgængelige hackerværktøjer udviklet sig, hvilket indebærer, at løsningerne skal være mere robuste over for hackerangreb. Derfor er det fortsat nødvendigt at afveje sikkerhed og brugervenlighed," siger Palle H. Sørensen.

"Det er afgørende, at der løbende gennemføres risikoanalyser og, at der er et sikkerhedsberedskab, der kan tages i anvendelse i takt med at trusselsbilledet ændre sig," siger han.

Professor Brian Vinter fra Datalogisk Institut ved Københavns Universitet er kun delvist enig i den vurdering.

"På det overordnede plan er sikkerheden ikke forbedret væsentligt med NemID, og jeg køber eksempelvis ikke argumentet om, at den centrale opbevaring giver større sikkerhed i forbindelse med it-kriminalitet, men der er nogle praktiske ting, der er blevet nemmere," siger Brian Vinter.

Han mener, at det er nogle andre forhold, der har haft betydning for de centrale nøgleservere.

"Private brugere har traditionelt haft svært ved at forstå vigtigheden af en personlig nøgle. Hvis den bliver smidt væk, kan man ikke bare få en ny nøgle."

"Det problem forsøger man at eliminere ved at samle nøglerne centralt. Man tager således nøglerne fra brugerne for at gøre systemet nemmere at anvende."

Det betyder, at ansvaret fjernes fra brugeren og flyttes til DanID, der administrerer løsningen.

"Prisen for brugervenlighed er, at vi skal stole på, at DanID kan tage vare på sikkerheden, og det er divergerende meninger om, hvorvidt de kan det. Brugeren giver et højt niveau af tillid til udbyderen i forbindelse med NemID," siger Brian Vinter.

"Mange stoler dog allerede på dette system i form af, at de anvender et Dankort. Det er en tilsvarende tillidsproblematik, der gør sig gældende."

"Der har været tilfælde af embedsmisbrug i Danmark, og det kan ske igen. Et realistisk sikkerhedsproblem kan være i form af enkelt personer, der misbruger systemet, men det helt store sikkerhedskaos anser jeg for meget usandsynlig," siger Brian Vinter.

"Personligt har jeg ikke noget problem med at have en digital signatur, men sikkerhedsproblematikken er et relevant emne, som man kan have andre holdninger til."

"Det er altid en afvejning mellem sikkerhed og belejlighed," siger han.

Sikkerhed og ny signatur

Palle H. Sørensen mener, at den nye signatur er mere sikker end den forrige.

De nye registreringsprocedurer for NemID er udformet med henblik på at øge sikkerheden og opfylde kravene til identifikation i Lov om forebyggende foranstaltninger mod hvidvask af udbytte og finansiering af terrorisme," oplyser han.

"Den største sårbarhed ved den nuværende signatur er den pc, som borgerne anvender og har installeret signaturen på," siger han.

I den kommende NemID vil brugerens private nøgle ikke længere ligge på brugerens pc, men bliver opbevaret i specielle kryptografiske hardware-moduler i en central server, der drives af DanID A/S, oplyser Palle H. Sørensen.

"NemID til borgerne vil således ikke - som det er tilfældet i den nuværende signatur - være en software-løsning, hvor sikkerheden alene er afhængig af, om brugeren kan opretholde et fornuftigt sikkerhedsniveau på pc'en," siger Palle H. Sørensen.

Han forklarer, at NemID vil blive baseret på en såkaldt to-faktor autentifikations-løsning, hvor adgang til anvendelsen af den private nøgle vil være beskyttet af en personlig kode, og en engangskode fra et nøglekort.

"Brugerne skal angive et brugernavn, en personlig unik kode og en engangskode fra et personligt nøglekort med fortrykte engangskoder, hver gang signaturen skal anvendes," siger Palle H. Sørensen.

Han forklarer, at de centralt opbevarede private nøgler vil blive sikret mod misbrug gennem tekniske og proceduremæssige sikkerhedsforanstaltninger, og så længe brugeren holder sin personlige kode hemmelig, vil brugerens digitale signatur være beskyttet mod misbrug.

"Endelig kan det tilføjes, at NemID samtidig følger de certifikatpolitikker, der gælder for udbydere af OCES-certifikater," siger centerlederen.

Han forklarer, at i certifikatpolitikkerne stilles en række krav til udbyderens udstedelsesprocesser, nøglehåndtering, certifikat-håndtering samt styring og drift af det tekniske miljø og de organisatoriske procedurer.

"Certifikatpolitikkerne forpligter udbyderne af OCES-certifikater til, at der årligt skal gennemføres systemrevision af sikkerheden og udarbejdes en protokol og revisionserklæring af en ekstern statsautoriseret revisor, der for NemID's vedkommende indsendes til IT- og Telestyrelsens godkendelse," siger han.

Han afviser dermed den kritik flere har rejst af, at det er usikkert at opbevare sikkerhedsinformationerne centralt.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere