Danskernes nye digitale signatur, NemID, har siden lanceringen den 1. juli været udskældt for blandt andet brugen af engangs-papirkoder til at øge sikkerheden.
Selskabet bag den nye signaturløsning, DanID, fortæller samtidig til Computerworld, at sikkerheden ikke ligger i hverken papir eller digitale løsninger som sådan. Både papir og digitale løsninger som eksempelvis sms'er kan fungere som den "anden faktor" i 2-faktor-sikkerhedsløsningen, som NemID bygger på.
Alligevel har DanID ikke umiddelbart planer om at udskifte engangskoder på papiret og frimærke-forsendelserne med digitale engangsløsninger og mail/sms som distributionskanaler.
Samtidig fraråder DanID på det kraftigste borgerne mod at scanne engangsnøglerne ind på computeren ved hjælp af OCR-software (optical character recognition), så man kan forvandle JPEG-filen til et tekst-dokument, hvor man siden kan kopiere nøglekoderne fra.
Det skyldes, at hvis en borger får besøg af hackere, vil vedkommende ikke opdage, at det indscannede nøglekort er blevet kompromitteret. Derimod vil det nuværende nøglekort på papir kunne genbestilles, hvis man mister det, oplyser DanID.
Brugerbetaling på tale
Selskabet fortæller, at der inden for et halvt års tid muligvis kan komme en digital nøglekortsløsning, der vil kunne erstatte de engangskoder på papirform, som vil blive postomdelt til danskerne i løbet af det næste halve år.
"I samarbejde med bankerne og IT- og Telestyrelsen arbejder vi med et supplement til nøglekortet, hvor engangsnøglerne skabes elektronisk. Det er værd at bemærke, at en elektronisk løsning muligvis vil indebære en brugerbetaling, afhængig af, hvordan løsningen konkret vil blive udformet og distribueret," fortæller kommunikationschef hos DanID, Jette Knudsen.
"Jeg nævner brugerbetaling, fordi vi ikke ønsker at fraskrive os muligheden. Det er ikke givet, det afhænger af bussines-casen vejet op mod omkostninger til nøglekort," fortsætter hun.
Hvis business-casen går op i en højere enhed, så kan danskerne eventuelt forvente digitale engangskoder i første halvår af 2011.
Hvad med løsning på mobilen?
Computerworld har været interesseret i, om borgernes mobiltelefoner kan komme i spil til modtagelsen af digitale nøglekort.
Digitale engangsløsninger på mobiltelefonen har ifølge DanID været på tegnebrættet.
Men hvis de smarte telefoner i stigende grad kommer til at virke som borgernes adgang til internettet med dertilhørende hacker-problemer, så vil vi ifølge DanID være tilbage til samme problemstilling med opbevaring af koderne på ens computer - borgerne er i fare for at få stjålet koderne uden at vide, der har været en hacker på besøg.
Også fysiske tokens har været i spil, som en sikkerhedsfaktor i NemID-løsningen, men det ligger modsat den papirbaserede løsning ikke lige til højrebenet.
"Engangsnøgler på for eksempel tokens er ikke noget, vi har en kontraktlig forpligtelse til at udvikle, og derfor skal udviklingen ske i et samspil med både IT- og Telestyrelsen og bankerne for at sikre, at der er opbakning til det konkrete design," fortæller Jette Knudsen fra DanID.