Alvorlig sikkerhedsbrist ved den digitale signatur

Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 6. maj 2004.


Flytter man sin digitale underskrift fra en pc til en anden, kan beskyttelsen med kodeord forsvinde. Problemet er blevet fortiet, og det kritiseres i skarpe vendinger af Dansk Folkeparti.

Regeringens digitale signatur lider af en alvorlig sikkerhedsbrist. Vil man bruge sin elektroniske "underskrift" på en anden pc end den, som signaturen oprindeligt blev installeret på, kan flytningen af signaturkoden åbne et kæmpe sikkerhedshul.
Den digitale signatur, som er udviklet af telekoncernen TDC, har samme juridiske gyldighed som en rigtig underskrift. Derfor er den beskyttet af et password, som man afkræves, når man vil "skrive under". Men flere har oplevet, at password-beskyttelsen er forsvundet, når underskriften benyttes fra den nye pc. De er ikke blevet afkrævet et password.
Teoretisk indebærer det, at hvis problemet opstod på statsministerens bærbare pc, kunne en vilkårlig person, der fik adgang til pc'en, sende breve signeret med statsministerens juridisk gyldige signatur.
I den virkelige verden har efterlønsmodtageren Erik Rasmus Hansen netop oplevet, at sikkerheden forsvandt. At han ikke blev afkrævet et password.
- Og så er underskriften jo intet værd, siger Erik Rasmus Hansen, der er en rutineret it-bruger.

Borgerne skal varsles
Slagelse Kommunes it-chef, Hans Lembøl, har tidligere oplevet det samme.
- Jeg fulgte TDC's flyttevejledning til punkt og prikke, og alligevel forsvandt sikkerheden ud i den blå luft, siger Hans Lembøl, der derfor helt har droppet sin digitale signatur.
Telekoncernen har længe været bekendt med problemet ved flytning, men har ikke advaret de foreløbig 150.000 brugere. Sikkerhedschef for TDC Erhverv, Per B. Hansen, oplyser, at en løsning på problemet kommer her i maj, men henviser i øvrigt til Morten Storm Petersen, leder af TDC's certificeringsafdeling.
- Så vidt jeg er orienteret, har problemet ikke haft alvorlige følger. Men hvis en bruger ikke afkræves password, så bør denne reetablere signaturen via en korrekt flytning, siger Morten Storm Petersen.
TDC ved ikke, hvor mange, der er ramt af sikkerhedsbristen. Supportafdelingen registrerer blot, at fem til syv procent af alle opkald gælder flyttefunktionen. Det svarer til omkring 250 flytninger på en måned.
- Hemmeligholdelsen af sikkerhedsbristen over for de 150.000 brugere er stærkt kritisabel, siger Jørgen Dohrmann, it-politisk ordfører for Dansk Folkeparti.
Jørgen Dohrmann mener, at det er afgørende, at borgerne varsles ved sårbarheder.
- I sidste ende - når signaturen er blevet udbredt - kan det jo være en families hus og hjem eller helbredet, der blev sat på spil. Staten og TDC har et fælles ansvar, siger han.
I Videnskabsministeriet, der er ordregiver på den digitale signatur, begrunder chefkonsulent Palle H. Sørensen tavsheden med, at kun ganske få mennesker ifølge TDC har været udsat for problemet.
Læs også side 6 og kronik side 24




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
KEYBALANCE A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere