Når brugere af den digitale signatur skifter kodeord for at sikre sig mod misbrug, bliver de gamle passwords ved med at give adgang til stærkt personlige og fortrolige oplysninger via eksempelvis offentlige hjemmesider i op til to år.
Dermed har danske borgere og virksomheder, som benytter den digitale signatur ikke umiddelbart mulighed for at forhindre misbrug med den digitale signatur, selv om de skifter password.
Først når borgere eller virksomheder bliver opmærksomme på misbrug og får udleveret en helt ny nøglefil til den digitale signatur, ophører de eksisterende passwords nemlig med at fungere, fordi de gamle nøglefiler dermed spærres.
Problemet med den digitale signatur betyder, at fremmede via offentlige hjemmesider kan skaffe sig adgang til borgeres stærkt personfølsomme oplysninger om eksempelvis økonomi, helbred og kirkelige tilhørsforhold ved at bruge et gammelt password og en tilhørende nøglefil.
Følsomme oplysninger er tilgængelige
Sikkerhedshullet minder om det, som Computerworld fornylig afslørede hos Danske Bank-koncernen.
Her er net-kunder ramt af et kodeords-kaos, som betyder, at gamle passwords bliver ved med at virke, selv om kunderne skifter ældre usikre kodeord ud med nye.
Når det gælder den digitale signatur, er sikkerheden knyttet til en nøglefil, som sammen med et tilhørende password giver fuld adgang til borgeres personfølsomme oplysninger og virksomheders fortrolige data.
Det bekræfter Morten Storm Petersen, som er direktør for it-sikkerhedsfirmaet Signaturgruppen og tidligere har haft ansvaret for opbygningen af OCES digital signatur infrastrukturen.
Ikke overraskende
- Det er der sådan set ikke noget overraskende i. Bankens løsning og den digitale signatur minder på dette område såvel som på andre områder om hinanden, siger Morten Storm Petersen
Til forskel for bankens løsning der dog nogle ekstra standardiserings-hensyn i forhold til den digitale signatur, som gør det vanskeligere at fravige ansvarsforholdene, fortæller Morten Storm Petersen.
Blandt andet gør hensynet til privacy, at der ikke er nogen central server, hvor man kan sidde og holde øje med, om data kommer fra den ene eller den anden version af signaturfilen, forklarer Morten Storm Petersen.
- Det er en del af designet i sikkerhedsløsningen, at man ikke fra centralt hold har nogen historik, siger han.
Derfor vil bankerne ifølge Morten Storm Petersen bedre kunne udvikle specialløsninger som værn mod misbrug, fordi de ikke skal fastholde interoperabiliteten for standardiseringen.
Ifølge Morten Storm Petersen har der tidligere i den offentlige diskussion været ytret ønske om, at man skal kunne se en historik over signaturanvendelsen.
Udfordrende løsning
- Der findes da nogle muligheder for at gøre en login-historik tilgængelig. Men det er en udfordring at gøre det og samtidig overholde standardiseringen, siger Morten Storm Petersen.
- Det har indtil videre ikke kunnet lade sig gøre, men i forbindelse med det kommende udbud på den digitale signatur kunne man udfordre leverandørerne til at levere en løsning som gør det muligt på en måde, så interoperabiliten stadig er i behold, siger Morten Storm Petersen.
Han understreger, at brugere af den digitale signatur altid vil kunne spærre signaturen, hvis der opstår mistanke at andre har fået adgang til kodeord eller nøglefil.
Ved udstedelse af en ny signatur spærres der nemlig samtidig for gamle nøglefiler og tilhørende passwords.
Uhensigtsmæssigt
Hos sikkerhedsfirmaet DK Cert mener direktør Preben Andersen, at problemerne med de gamle passwords er uhensigtsmæssige.
- Og i det øjeblik det går galt, er jeg ikke i tvivl om, at der vil komme fokus på det, siger Preben Andersen.
At det faktisk er muligt at bruge de gamle kodeord og digitale signaturer til at logge på eksempelvis Skats hjemmeside skyldes, at man har skullet lave en løsning ud fra et økonomisk perspektiv, fortæller Preben Andersen.
- Man har skullet lave en løsning, som var økonomisk forsvarlig, siger Preben Andersen.
Der findes ifølge Preben Andersen endnu ingen kendte eksempler på misbrug af de gamle passwords og nøglefiler til den digitale signatur.
- Jeg tror, at man vil finde løsningen acceptabel, så længe vi ikke har konstateret, at den er blevet misbrugt, siger Preben Andersen.
Usikker udstedelse
Hos it-giganten IBM mener Brian Birkvald, chef for IBM’s sikkerhedsgruppe, at sikkerhedsproblematikken i den digitale signatur mere ligger i, hvordan certifikatet bliver udstedt, end i teknologien bagved.
Han fortæller, at certifikat-løsningen i sig selv er en god løsning.
- Men hvis den skal lagre alle vores personlige oplysninger som borgere, så skal den bestemt udstedes på en mere sikker måde end de løsninger man er kommet frem med, siger Brian Birkvald.
Han mener, at den største udfordring i sikkerheden ligger i, hvordan udbyderne af certifikaterne håndterer løsningen.
Det giver nemlig risiko for, at brugerne begynder at tvivle på kvaliteten af servicen.
- Det er jo lidt det, som TDC har været op imod: At man ikke har følt, at det har været sikkert nok. Og det er det i princippet heller ikke. Der er i al fald ikke tillid til løsningen, siger Brian Birkvald.
Problem ligger i adfærd
Ifølge Brian Birkvald er problemet, at borgerne ikke har den samme respekt overfor den certifikatbaserede digitale signatur, som de ville have, hvis løsningen havde været placeret på et chipkort eller et andet fysisk medie.
- Hvis jeg får stjålet mit pas, ved jeg, at jeg skal melde det til politiet, og at det derefter bliver låst, så andre ikke kan misbruge det, siger Brian Birkvald.
Han mener, at vi som forbrugere højest sandsynligt ville tage denne adfærd med tage med os, hvis vi havde et certifikat med en chip eller noget andet fysisk, fortæller Brian Birkvald.
- Hvis vi i dag får stjålet pc’en derhjemme med alle mulige nøglefiler, bekymrer vi os mere om prisen på pc’en end de data, som ligger på den, siger Brian Birkvald.
Derfor ser sikkerhedseksperten helst den digitale signatur bliver gjort fysisk. Alligevel mener han godt, at en certifikatløsning kan bruges.