Artikel top billede

DanID giver svar på sikkerheds-kritik

NemID er blevet kritiseret for dårlig sikkerhed på en række områder. Her giver DanID sin version af sikkerheden i danskernes nye digitale adgangssystem.

Bølgerne har de seneste døgn slået hårdt ind over sikkerheden i NemID, der i løbet af de kommende måneder rulles ud som adgangssystem til tre millioner danskere.

Løsningen fra PBS-datterselskabet DanID er blandt andet blevet beskyldt for sikkerhedsbrister i forbindelse med anvendelse af java-appletter.

En kritik, som blandt andet er blevet afvist af en professor i it-sikkerhed.

Her giver PBS's pressechef Søren Winge svar på kritikernes ankepunkter.

Er det muligt for en myndighed, at snage i den enkelte NemID-brugers personlige forhold?

"Det er på ingen måde muligt for en tjenesteudbyder at anvende NemID-appletten til at tilgå personlig data på brugerens computer.

NemID-appletten fra DanID anvendes til entydigt at identificere en bruger over for en bestemt tjenesteudbyder. Det kan være en bank, en offentlig myndighed eller en privat tjenesteudbyder.
NemID-appletten hentes ned til brugerens computer direkte fra DanID uden om tjenesteudbyderen. Dialogen mellem NemID-appletten på brugerens computer og DanID's centrale server, der etablerer brugerens identitet, er krypteret og sikret efter alle kunstens regler."

Kan tjenesteudbydere, der er koblet på systemet, gå baglæns i transmissionen og aflure brugeren?

"Nej, tjenesteudbyderen modtager kun den signerede login-besked og har ikke nogen transmission at gå tilbage i."

Når brugeren besøger en tjenesteudbyder, har ikke alene denne tjenesteudbyder, men alle tjenesteudbydere, der er tilsluttet NemID, så fuld adgang til brugerens computer?

"NemID-appletten kræver læse- og skriveadgang til brugerens harddisk af hensyn til caching. For at et Java-program afviklet i en browser kan få sådan en adgang, skal programmet være signeret med en digital signatur, og brugeren skal acceptere, at programmet får denne adgang.

Det er kun NemID-appletten, der har læse- og skriveadgang, og denne adgang stilles ikke til rådighed for nogen tjenesteudbyder. NemID-appletten læser på intet tidspunkt personlige filer fra brugerens computer."

Har en tjenesteudbyder adgang til oplysninger, som brugeren har liggende hos andre tjenesteudbydere?

"En tjenesteudbyder tilsluttet NemID har ingen adgang til de oplysninger, der er registreret hos DanID eller hos andre tjenesteudbydere.

En tjenesteudbyder-adgang strækker sig til, at man ved login kan sørge for, at NemID-appletten bliver startet hos brugeren og efterfølgende få et svar tilbage, der er signeret med brugerens digitale signatur og som kan anvendes til at etablere brugerens identitet.

Efterfølgende laver tjenesteudbyderen et opslag hos DanID, der checker, om brugerens certifikat er gyldigt. Derudover har tjenesteudbyderen ikke andre adgange til oplysninger."

Kan en Java-ekspert lave en applet, der kan sættes i gang uden brug af en engangskode?

"Hvis nogen laver deres egen applet, vil den ikke være signeret af DanID, og den vil ikke kunne komme i kontakt med DanID's centrale systemer. Det er kun via DanID's centrale systemer, at brugeren kan generere en gyldig signatur eller signere et dokument."




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere