Godt et år efter folketingets vedtagelse af lovgivningen om den digitale signatur, lægger Carsten Stenstrøm i lørdagens klumme op til en udemærket debat om, hvordan der kommer skred i brugen af de elektroniske underskrifter, samt hvordan man kan forvente at branchen skal tage del i opgaven med at udrulle en infrastruktur baseret på offentlige nøglecentre (PKI). For nogle år tilbage gik snakken om det såkaldte borgerkort, og man diskuterede hvor vidt det almindelige gule sygesikringsbevis skulle udvides til at fungere som digital ID-kort, men Amtsrådsforeningen afviste at betale af egen lomme for at sætte en chip på det lille gule plastickort, og ingen forventer heller, at borgerne vil betale for at få en digital signatur. Alle leder således efter en aktør der vil påtage sig opgaven med at uddele chipkort med certifikater til danskerne.
Men netop med indførelsen af digital signatur står vi overfor et følsomt område, i det den skal bygge på at en eller flere betroede tredjeparter, udsteder en form for digitalt ID-kort (certifikat), som indehaveren identificerer sig med, og at udstederen kan sige god for certifikatet og dets indehaver i lighed med traditionel udstedt legitimation, som f.eks. pas, kørekort o.lign. Et af de centrale succes kriterier for den digitale signatur er således, at der bagved infrastrukturen kommer til at stå en garant i form af en solid dansk virksomhed, som vi i almindelighed har stor tillid til hvad angår sikkerhed, driftstabilitet og uafhængighed. Her har PBS en bred erfaring inden for certifikatudstedelse og digital signatur såvel i Danmark som på internationalt plan i forbindelse med SET betalinger på Internettet. Elektroniske certifikater og digitale signaturer integreres herudover i de PBS-produkter, som udvikles til betalingsformidling via Internettet. Også KMD (Kommunedata) er, med sit mangeårige virke som driftafvikler for kommunale edb-løsninger og den fælleskommunale infrastruktur KMD-Net, en naturlig spiller på banen, når der snakkes nøglecenter i den fremtidige offentlige forvaltning. Derudover har yderligere et par af de af de kendte leverandører af infrastruktur, nemlig TDC Internet og Post Danmark været på banen med et ønske om at være helt eller delvist leverandør af løsninger på området.
KMD kører allerede et pilotprojekt med digitale borgercertifikater i de tre jyske kommuner, Hedensted, Juelsminde og Tørring-Uldum, der til at begynde med bl.a. gør det muligt at melde flytning, anmode om adressebeskyttelse, søge plads i daginstitution. Senest har Statens og Kommunernes Indkøb indgået en rammeaftale, der giver offentlige myndigheder mulighed for at købe certifikater til borgerne hos TDC Internet eller Kommunedata, eller at drive deres eget nøglecenter. Samtidig forbereder PBS sig på at levere infrastrukturen til bankerne, der forventes at ville udstyre fremtidens chipbaserede Dankort med mulighed for et personligt certifikat, mens Post Danmark har trukket sig som nøglecenter og nu i stedet tilbyder de lokale myndigheder at bruge posthusene som udstedelseskontor hvor der er tale om udstedelse af kvalificerede certifikater (dvs. hvor indehaveren skal møde personligt op for at legitimere sig).
Carsten Stenstrøm spørger i sin klumme bl.a. om vi skal have en fælles signatur, og refererer i den forbindelse til at IT- og Forskningsminister Birte Weiss har lagt op til, at det er det frie marked, der skal råde. Men når man taler om at skabe et fælles digitalt certifikat, er der dog et par væsentlige faktorer man skal have for øje. For det første er der en tendens til at PKI altid omtales i forbindelse med kommunikation med det offentlige, men der i lige så høj grad brug for sikker kommunikation mellem virksomheder og internt i virksomhederne. Et nøglecenter skal således ikke kun koncentrere sig om udstedelsen af personlige certifikater til borgerne, men også om certificeringer af medarbejdere der skal give sig selv til kende ved en bestemt rolle i virksomheden (medarbejdercertifikater), og om certificering af virksomhederne samt deres websider og andre programmer de stiller til rådighed for andre.
Men selv når vi snakker personlige certifikater, så er det ikke nødvendigvis det bedste for borgeren, hvis et enkelt nøglecenter alene står for udstedelsen af de digitale ID-kort. Man skal huske på at et nøglecenter ud over rollen som leverandør af certifikater, også kommer til stå som udbyder af en service for de myndigheder, virksomheder o.a., der måtte ønske at benytte certifikatet som adgangskontrol til deres systemer. Og erfaringen fra tidligere siger os, at et nøglecenter således hurtigt vil bliver offer for beskyldninger om udnyttelse af sin monopolstatus, som det f.eks. er set med TDC Internet der tidligere ejede DK-Hostmaster, og PBS der tidligere administrerede Dankortet. Af hensyn til den frie konkurrence vil det således være ønskeligt, om der bliver flere udbydere på markedet for digitale certifikater, og at man samtidig sikrer forbrugeren, ved at stille krav om at de enkelte nøglecentre skal have gensidig tillid til hinandens certifikater, i lighed med det man forsøger at opbygge omkring fri nummerportabilitet mellem teleselskaberne.
Endeligt vil der nok være behov for forskellige niveauer af autorisation, alt efter om certifikatet skal bruges til flyttemelding til folkeregisteret, adgang til internetbank, eller til at se personlige oplysninger om sig selv i de offentlige databaser. Der vil være varierende krav til, hvor sikre udstederne skal være på, hvem du er i forhold til de forskellige certifikater. Både PBS, TDC og KMD har således for øje, at det i forbindelse med adgangen til visse applikationer kan være tilstrækkeligt, at tage udgangspunkt i et eksisterende kundeforhold og det kendskab man dermed allerede har til certifikat ansøgeren. F.eks. kan enhver borger via Internettet bestille en såkaldt Fælles Pinkode hos KMD, der sammenholdt med personnummeret giver adgang til services som Flytteguiden og e-Boks.
Torben Kofoed-Hansen er Datamatiker, og ansat hos PBS, hvor han til dagligt
arbejder med chipkortsikkerhed på Internettet.
Læs også:
