Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 31. august 2007.
Det tager mindre end tre minutter at slette en digital signatur. Også selvom det ikke er din egen. Det er et ‘gigantproblem' for det digitale samfund, advarer ekspert.
Den digitale signatur er nøglen til fremtidens digitale servicesamfund. Men samtidig også et svagt led.
Det behøver nemlig ikke tage mere end tre minutter at slette en digital signatur. Også selvom det ikke er din egen. Alt det kræver er basal viden om ejeren af den signatur, man ønsker at slette.
Den viden kan i mange tilfælde findes ved simpel søgning på internettet. Det kræver blot navn, fødselsdato, adresse og e-mail-adresse.
Samtidig ses der stort på vigtige sikkerhedsprocedurer hos TDC, der administrerer de mere end én million danske signaturer.
Det er kritisabelt, mener Christian Wernberg-Tougaard fra Unisys, der sidder i regeringens panel, der arbejder med it-sikkerhed.
Han peger på, at det er et spørgsmål om at finde det sikkerhedsniveau, hvor det er nemt og hurtigt at spærre en signatur, hvis der eksempelvis er mistanke om misbrug.
"Omvendt må man sige, at den digitale signatur er og vil blive vores virtuelle identitet. Og hvis enhver, der kan få adgang til informationer, som er findbare nettet, kan få slettet eller spærret adgang til digital signatur, kan man skabe en masse problematiske situationer for folk," siger han.
For at øge sikkerheden kunne man bede kunden oplyse sit CPR-nummer. Alternativt forestiller han sig en webløsning, hvor selve den digitale signatur skal bruges, inden den kan spærres.
"Når vi nu er på vej ind i det digitale servicesamfund, så må der også være nogle andre mekanisker, til at sikre, at man ikke kan obstruere folks digitale identitet," siger han.
Sikkerhedsprocedurer droppes
Faktisk er den digitale signatur allerede udstyret med en sikkerhedsforanstaltning, der burde sikre mod, at uvedkommende kan blokere den.
Sammen med signaturen følger en spærrekode, som skal bruges i tilfælde, hvor en person ønsker sin signatur spærret og dermed slettet.
Men det er langt fra nødvendigt at oplyse koden, når man snakker med TDC's hotline. Computerworld havde således ingen problemer med at slette en digital signatur uden at være i besiddelse af spærringskoden.
Medarbejderen spurgte ganske vist efter den, men godtog Computerworlds manglende kode, da vedkommende med egne ord stolede på journalisten.
Scenariet er langt fra unormalt, påpeger Shehzad Ahmad, direktør i sikkerhedsorganisationen DK-CERT.
"Det er et menneskeligt problem i deres procedure. De skal lære, at de ikke bare kan stole blindt på en person, der lyder troværdig," siger han.
Han finder dog trøst i, at det trods alt ikke er muligt at misbruge andres digitale signatur til at få adgang til følsomme oplysninger.
Et gigantproblem
"I det øjeblik, hvor vi har et samfund, hvor den digitale signatur er rullet ud, vil det være et gigantproblem, at vi har et meget svagt led, som den her mulighed for at slette den digitale signatur," siger Christian Wernberg-Tougaard.
Billedtekst: Sikkerhed "Når vi nu er på vej ind i de digitale servicesamfund, så må der også være nogle andre mekanisker, til at sikre, at man ikke kan obstruere folks digitale identitet," siger Christian Wernberg-Tougaard, der sidder i regeringens panel, der arbejder med it-sikkerhed.
OriginalModTime: 30-08-2007 13:49:59
