Artikel top billede

Så sikkert opbevares din NemID

Sikkerheden i NemID har fået mange hug med på vejen. Her fortæller en af sikkerhedsfolkene bag løsningen, hvordan din signatur opbevares.

Din nye NemID opbevares efter alle kunstens regler, har det gennem hele udviklingsprocessen lydt fra DanID, der er firmaet bag den nye signatur.

De fleste kan nok blive enige om, at to-faktor-sikkerheden, der ud over brugernavn og password består af en engangskode, der tilsendes på et nøglekort, er en klar forbedring.

Et papkort med koder er dog blevet dømt "gammeldags" af kritikerne.

Uenigheden har dog været betydelig større i forbindelse med beslutningen om at flytte borgernes digitale nøgler fra den enkeltes computer til en central server, der administreres af DanID.

Skidt start

Allerede på premieredagen for NemID blev sikkerheden sat på prøve.

Mindre end 24 timer efter at NemID blev lanceret, kunne man nemlig læse på firmaets webside: "Sikkerhed kompromitteret. Vi har konstateret tegn på, at der foregår et sikkerhedsangreb."

Det endte dog lykkeligt, og NemID-folkene kunne ånde lettet op denne gang.

DanID er da også stadig fortrøstningsfuld, og man har stadig selvtilliden i behold, efter borgerens NemID nu ligger på DanID's centrale server, og ikke på den enkelte computer, som det var tilfældet med forgængeren.

"Langt de fleste sikkerhedsundersøgelser viser, at de it-kriminelle går efter klienterne, og ikke efter serverne. Klienterne er langt mere sårbare," siger Peter Lind Damkjær, der er PKI-specialist i DanID.

"Vi har siden 2003 opbevaret DanID's hovednøgler på vores servere i forbindelse med den gamle signatur, og vi har derfor opbygget en del erfaring, som er blevet overført til den nye model," fortæller han.

Log-sammenligning

DanID kontrollerer og opdaterer sikkerheden døgnet rundt, og har en række sikkerhedsrutiner, der skal sørge for, at der ikke sker fejl.

"Vi har en række overvågningsfunktioner, både fysiske og digitale, hvor der udtrækkes separate logfiler, som vi så sammenligner for at se, om der er uoverensstemmelser. Der skal mindst to medarbejdere fra forskellige afdelinger til for at få adgang til nøglerne, og deres færden skal stemme overens med logfilerne, " fortæller Peter Lind Damkjær.

NemID baserer sig på en teknologi kaldet Public Key Infrastructure (PKI). Det indebærer, at brugeren får udstedt en digital signatur, der består af et certifikat med en offentlig nøgle og en privat nøgle.

Med PKI-teknologien er det muligt for to parter i en kommunikation at identificere sig entydigt over for hinanden.

Desuden kan en afsender vælge at signere sin meddelelse digitalt, så modtageren både ved, hvem den kommer fra, og at den ikke er ændret undervejs.

NemID er en hybridbil

Nøglerne opbevares på specialdesignet hardware, der er placeret to forskellige steder i landet.

"Serverne er placeret i henholdsvis København og Århus, hvor der er skabt et rum, der eksempelvis er beskyttet af et kobber-lag, der skal forhindre, at der udsendes elektromagnetiske bølger, der kan aflyttes med en antenne," siger Peter Lind Damkjær.

"Vi har naturligvis også taget højde for de fysiske udfordringer i form af oversvømmelser, strømafbrud eller indbrud."

Herudover anvendes en speciel type hardware, der er bygget til sikkerhed.

"Generering og anvendelse af den private nøgle kan kun foregå i specielle, sikrede kryptografiske hardware-moduler. Brugerens private nøgle forefindes på intet tidspunkt ukrypteret, og kan ikke anvendes uden for det særligt sikrede hardware-modul," fortæller Peter Lind Damkjær.

Hardware lever op til FIPS 140 level 4, der er en amerikansk standard for krypto-hardware.

To motorer

Selv om NemID er udviklet i et tæt samarbejde mellem finanssektoren og den offentlige sektor, er der visse forskelle på sektorernes implementeringer.

"Man kan sammenligne det med en hybridbil med to motorer, der arbejder sammen, men har hver sin funktion," siger Peter Lind Damkjær.

Bankerne har i deres løsninger valgt, at de certifikater og private nøgler, der indgår i NemID, genereres og anvendes inden for en browser-session, hvorefter de slettes, fortæller han.

Den offentlige sektor har valgt en løsning, hvor certifikaterne bevares ud over browser-sessionen, så de kan anvendes mere generelt, eksempelvis til sikker e-mail.

Endvidere var det vigtigt for den offentlige sektor, at signaturen på sigt kan samarbejde med andre landes digitale signaturer.

Parterne var til gengæld enige om, at sikkerhedsniveauet og brugerfladen skulle være ens, derfor oplever brugeren præcis det samme, uanset om han logger på netbanken eller på en offentlig webside.

I praksis sker der det, at når brugeren logger på netbanken, udstedes et certifikat med en privat nøgle og en offentlig nøgle. Begge dele gemmes i computerens hukommelse og forsvinder, når browsersessionen lukkes.

Når brugeren går på offentlige hjemmesider, anvendes den offentlige digitale signatur.

Her udstedes certifikatet én gang med et sæt af en privat nøgle og en offentlig nøgle.

Certifikatet med de tilhørende nøgler opbevares på en sikker central server, og certifikatet er gyldigt i fire år.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere