Mens Nets er ved at blive solgt for milliarder af kroner, er konkurrencen på digitale sikkerhedssignaturer som Nets' egen NemID begyndt at tage til i hele Europa.
Den øgede konkurrence skyldes, at EU-kommissionen og -parlamentet i disse dage, uger og måneder arbejder på at få indført en grænseoverskridende eID med interoperabilitet, så løsningerne kan bruges på tværs af de europæiske landegrænser.
Det betyder eksempelvis, at en dansker kan identificere sig i spanske webbutikker, banker og på offentlige sites med en eID a la NemID - eller den danske signaturs efterfølger - ligesom en spanier vil kunne bruge en grænseovergrænsende sikkerhedsnøgle på danske websites.
Samtidig gør EU-apparatet det nemmere for it-selskaber at byde på eID-udbud i andre lande.
"Selvfølgelig er vi interesserede"
Den kommende EU-forordning forventes at ligge klar til sommer, og det glæder Mihály Dalos sig over.
Han er direktør for det ungarske it-selskab Microsec, som har specialiseret i sikkerhedsnøgler og -certifikater, og han ser Danmark som et muligt marked, når vores sikkerhedsnøgle skal i udbud om senest tre års tid.
"Selvfølgelig er vi interesserede, også selv om Danmark ikke er det største marked. Vi har god erfaring med mindre markeder som eksempelvis det ungarske," fortæller Mihály Dalos til Computerworld.
En noget mindre spiller
Mens Nets i dag omsætter for godt 5,5 milliarder kroner og har NemID ude hos godt fire millioner danskere, er det ungarske bud på en signatur-afløser i en noget mindre skala.
Microsec omsætter for godt 60 millioner kroner og har sin løsning ude hos knap 20.000 slutbrugere, der typisk er kunder i gas-, elektricitet og finanssektoren.
Alligevel er Mihály Dalos ikke bleg for at spille med musklerne, når det kommer til at hoppe på et dansk eller et andet europæisk udbud for den sags skyld.
"Det handler i bund og grund om skalering af serverkapacitet og båndbredde, og vi skal selvfølgelig have investeret i infrastruktur, men det er mindre udfordringer i forhold til den sikkerhed, som vi kan tilbyde," bedyrer han.
Sådan virker løsningen
I dag har Microsec sin nøgle-løsning ude hos blandt andre svenske, tyske og belgiske kunder, mens et selskab som MasterCard har vist nysgerrighed omkring løsningen.
Få certifikatet på din telefon
Mihály Dalos fortæller, at Microsecs sikkerhedsløsning virker ved, at en bruger ansøger om at få udstedt et sikkerhedscertifikat fra sin bank eller anden serviceudbyder til brugerens smartphone eller tablet.
Det vil ifølge sikkerhedsdirektøren optimalt tage mindre end fem minutter fra en kundeforespørgsel, inden autentifikations-certifikatet er gemt på telefonen i form af en app.
Med autentifikations-certifikatet ved hånden kan den enkelte bruger begynde at handle varer eller foretage banktransaktioner på sin pc.
"Transaktioner kan også foretages fra den mobile enhed, det kommer lidt an på brugeren, og hvor meget sikkerhed vedkommende ønsker," indskyder Mihály Dalos.
Når en bruger så eksempelvis har købt en rejse i en webshop fra sin pc, vil hele transaktionen blive sendt til godkendelse på mobilens autentifikationscertifikat via app'en, som brugeren så skal godkende.
"Alle transaktionens detaljer som kreditkortnummer og beløbsstørrelse vil fremgå af den meddelelse, som man modtager på sin mobile enhed, som man så enten kan godkende eller afvise, hvis man ikke kender til handlen. På den måde undgår vi man-in-the-middle-angreb," forklarer Mihály Dalos.
Du kan selv prøve løsningen her.
Ligesom et stjålet kreditkort
Hvis du får din mobiltelefon stjålet, vil det så ikke betyde, at tyvene kan købe vildt ind og godkende alle køb via jeres sikkerhedsapp?
"Jo, det kan man godt sige, da det svarer til, at du mister dit kreditkort. Men mens der måske kan gå dage, før du opdager, at kreditkortet er væk, vil du opdage, at din telefon er forsvundet, inden for minutter," svarer Mihály Dalos.
Han tilføjer, at brugerne derfor som minimum skal have et fircifret pin-login til deres mobile enhed, så ingen kan få direkte adgang til sikkerheds-certifikatet.
Hov, kører den ungarnske løsning også på Java?
"Derudover kan du tilføje et separat password til app'en med autentifikationscertifikatet, så det bliver endnu vanskeligere at misbruge stjålne telefoner," fortsætter han.
Java uden problemer
Den ungarske løsning kører over SCEP (Simple Certificate Enrollment Protocol), og rent teknisk er sikkerhedsløsningen på produktionsniveau udviklet i hovedsageligt C++.
Der er også visse Java-komponenter på produktionsniveauet, som dog ikke vil spille nogen rolle, når løsningen kører på en smartphone eller tablet, lover Mihály Dalos.
I Danmark har afhængigheden af Java-applets ellers i flere år spændt ben for, at NemID ikke kunne afvikles på mobiltelefoner, hvilket der dog langt om længe snart kommer en Javascript-baseret løsning på.
Massevis af konkurrenter
At ungarske Microsec om føje år skulle blive vinder af 'NemID'-udbuddet i Danmark, håber Mihály Dalos naturligvis på, selvom han indrømmer, at konkurrencen bliver hård i den kommende tid.
"Vi taler om et eID-marked, hvor der er stor vækst og mange konkurrenter i hele Europa, for det giver jo heller ingen mening, at hvert EU-land udvikler sin egen nationale løsning," forklarer han.
I dag følger Microsec EU-udviklingen nøje og vil ifølge direktøren være helt fremme i skoene, når de nye eID-forordninger bliver vedtaget i løbet af sommeren.
"Vi vil selvfølgelig være klar og compliant til den tid," lover den ungarske Microsec-direktør.
Kigger på fingeraftryk
Han nævner også, at selskabet kigger på biometriske løsninger som eksempelvis fingeraftryksgodkendelse på smartphonen til at styrke sikkerheden i sin løsning, men der er ikke aktuelle implementeringer på vej.
"Biologiske løsninger kan ikke stå alene, men det bliver helt sikkert interessant at følge udviklingen på dette område i de kommende år," fortæller Mihály Dalos.
Lige nu har Nets kontrakt med det offentlige og bankerne frem til 2015 med mulighed for to års forlængelse, og derfor skal Danmarks signaturløsning i udbud i senest 2017.
