Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 2. november 2001.
CHIPKORT. Bankerne vil have lov at tjene penge på gebyrer, før de vil lægge chip på dankortet. Amtsrådsforeningen vil have regeringen til at betale for at skifte sygesikringskortet ud med et chipkort. Og regeringen vil helst overlade opgaven til
erhvervslivet. Imens spirer digitale signaturer og sikre tjenester frem - uden chip.
Hvis man sammenligner sikkerhed på internet med en bil, ville digital signatur kombineret med et smartcard til opbevaring af borgerens private nøgle være en solid Mercedes. Måske endda luksus som en Limousine, fordi certifikater og løsninger med chipkort stadig er sjældne, reservedele er dyre og den er meget svær at betjene.
I stedet er en række leverandører ved at udbrede en Folkevogn til danskerne: KMD og TDC tilbyder et softwarebaseret certifikat til 125 kroner på udvalgte posthuse, og flere kommuner tilbyder KMD's certifikat til deres borgere. Og det fungerer fint til almindeligt brug i mange år fremover, vurderer en række kilder, Computerworld har talt med.
- Hvad giver Limousinen i forhold til det besvær i forbindelse med udstedelsen, det større fysiske apparat til at skrive og læse certifikaterne, og så koster det mange flere penge, spørger Søren Duus Østergaard fra IBM. Han vurderer selv, at softwarebaserede nøgler er gode nok i de første år, og peger på, at softwarecertifikater er nemmere at skifte ud i forhold til ny teknik og længere nøgler.
IT-sikkerhedsrådet, der rådgiver regeringen om IT-sikkerhed, anbefaler chipkort til digital signatur, men afviser ikke, at et softwarecertifikat er godt nok i første omgang. Et signal, som regeringens task force har opfanget.
Limousinen skal ned i pris
- Der er større og større enighed om, at det er vanskeligt at hoppe direkte over til chipkortet. En Folkevogn som softwarecertifikatet er den mest velfungerende løsning for tiden, og selv om chipkort måske ikke er luksus som en Limousine, så tror jeg alligevel, vi må vente til den bliver billigere og enklere og svarer til Folkevognen i pris og funktion, siger Adam Wolf. Han står i spidsen for task force-udvalget, der skal koordinere stat, amter og kommuner i arbejdet med at indføre digital forvaltning.
Regeringen har endnu ikke udpeget en ansvarlig instans, der skal give danskerne digital signatur, men også IT- og Forskningsministeriet er enig med task force-udvalget.
- Vi kan komme meget langt uden chip. Men vi skal have risikovurderet de enkelte tjenester og data, siger kontorchef Yih-Jeou Wang. Han peger på, at ministeriet i samarbejde med Datatilsynet allerede er gået i gang med at vurdere, hvilken sikkerhed der er nødvendig til de enkelte tjenester. Men det forventes, at chipkortet bliver nødvendigt til følsomme persondata som for eksempel borgernes helbredsoplysninger, religiøse tilhørsforhold og politiske overbevisning.
Chip eller ej - leverandørerne står utålmodigt i kulissen for at komme i gang.
- Vi kan godt selektere tjenesterne, så de får det sikkerhedsniveau, der kræves. Men softwarecertifikatet er godt nok til langt flertallet af de interaktive transaktioner, siger underdirektør Jon Johnsen fra Kommunedata.
Endnu er det kun omkring 50 danskere, der har været på posthuset efter en digital signatur fra KMD, siden varen kom på hylderne midt i oktober.
- Nu skal vi have mange løsninger på banen. Der mangler ti-femten måske 20 løsninger, før der bliver run på, vurderer Jon Johnsen.
Flere af de politiske partier har stillet forslag om, at skifte sygesikringskortet ud med et chipkort i forbindelse med de Finanslovsforhandlinger, der foregår for tiden. Men såvidt Computerworld erfarer, har regeringen ikke sat den slags penge af i statens budgetter.
Billedtekst: Chipkort til digital signatur er den bedste og sikreste løsning. Man kunne kalde det den digitale underskrifts Mercedes. Men den er slet ikke kommet på banen endnu, før chipkortet er overhalet indenom af signatur på diskette. Både leverandører og regeringens task force erkender, at vi i mange år fremover må nøjes med en Folkevogn i form af en softwarebaseret signatur. Der er lang vej, før chipkortet teknologisk, prismæssigt og organisatorisk kommer i gear.
fakta: Sikkerhed er relativt
1. Laveste niveau - pinkode
Told og Skat og KMD tilbyder en pinkode til at godkende selvangivelse og ændre folkeregisteradresse. Pinkode kan bruges til enkle tjenester, der ikke kræver den højeste sikkerhed, fordi fejl eller misbrug bagefter kan korrigeres uden konsekvenser.
2. Bedre sikkerhed - softwarecertifikat
Bankerne har fået mere end en million danskere til at bruge home banking ved at installere et digitalt certifikat på borgerens pc. Certifikatet kan kun bruges til den pågældende bank, der også selv tager ansvaret, hvis der sker fejl eller misbrug.
3. Bedre endnu - kvalificeret softwarecertifikat
Danmark har vedtaget en lov om digital signatur, der beskriver, hvad en virksomhed skal leve op til, hvis den vil udstede et kvalificeret certifikat. I september indgik Statens og Kommunernes Indkøbs Service (SKI) en aftale med TDC, KMD, IBM og Cryptomathic om at udstede kvalificerede certifikater og drive nøglecentre for offentlige instanser. De fire virksomheder har forpligtet sig til at anerkende hinandens certifikater (krydscertificering).
4. Bedst - certifikat på hardware
Et certifikat er det samme - uanset hvordan det opbevares. Men det er letterede for hackere at opsnappe den private del af nøglen, hvis den opbevares på en diskette eller en harddisk. I stedet kan nøglen ligge på en såkaldt hardware token, der som en almindelig nøgle kan stikkes i computerens USB-port. Eller den kan ligge på en chip på et almindeligt plastikkort, som vi kender fra for eksempel et taletidskort. Men pc'er med kortlæsere til chipkort er endnu ikke almindelige, og teknikken volder stadig vanskeligheder. For eksempel er der problemer med at bruge forskellige mærker af læsere og chipkort.
