Artikel top billede

Sikkerheden i NemID handler om tillid

Med NemID samles de private nøgler på centrale servere. Det gør løsningen nemmere at bruge, men forbedrer ikke sikkerheden. Prisen er, at vi skal vise DanID 100 procent tillid.

Digital signatur fylder 10 år: I forhold til sikkerheden i den digitale signatur er der ikke sket de store teknologispring i de seneste 10 år, forklarer Palle H. Sørensen, der er centerleder i IT- og Telestyrelsen.

"Det er de samme algoritmer og den basale Public Key Infrastructure (PKI), der er fundamentet," siger han.

Men der er sket en udvikling på to områder, forklarer han.

Teknologien til opbevaring af den private nøgle, der anvendes til signeringen, er blevet billigere, bedre og mere trådløs gennem de 10 år. Det betyder, at der i dag er mange muligheder for at opbevare den private nøgle, beretter han.

"Parallelt hermed har udbredelsen af nemt tilgængelige hackerværktøjer udviklet sig, hvilket indebærer, at løsningerne skal være mere robuste over for hackerangreb. Derfor er det fortsat nødvendigt at afveje sikkerhed og brugervenlighed," siger Palle H. Sørensen.

"Det er afgørende, at der løbende gennemføres risikoanalyser og, at der er et sikkerhedsberedskab, der kan tages i anvendelse i takt med at trusselsbilledet ændre sig," siger han.

Professor Brian Vinter fra Datalogisk Institut ved Københavns Universitet er kun delvist enig i den vurdering.

"På det overordnede plan er sikkerheden ikke forbedret væsentligt med NemID, og jeg køber eksempelvis ikke argumentet om, at den centrale opbevaring giver større sikkerhed i forbindelse med it-kriminalitet, men der er nogle praktiske ting, der er blevet nemmere," siger Brian Vinter.

Han mener, at det er nogle andre forhold, der har haft betydning for de centrale nøgleservere.

"Private brugere har traditionelt haft svært ved at forstå vigtigheden af en personlig nøgle. Hvis den bliver smidt væk, kan man ikke bare få en ny nøgle."

"Det problem forsøger man at eliminere ved at samle nøglerne centralt. Man tager således nøglerne fra brugerne for at gøre systemet nemmere at anvende."

Det betyder, at ansvaret fjernes fra brugeren og flyttes til DanID, der administrerer løsningen.

"Prisen for brugervenlighed er, at vi skal stole på, at DanID kan tage vare på sikkerheden, og det er divergerende meninger om, hvorvidt de kan det. Brugeren giver et højt niveau af tillid til udbyderen i forbindelse med NemID," siger Brian Vinter.

"Mange stoler dog allerede på dette system i form af, at de anvender et Dankort. Det er en tilsvarende tillidsproblematik, der gør sig gældende."

"Der har været tilfælde af embedsmisbrug i Danmark, og det kan ske igen. Et realistisk sikkerhedsproblem kan være i form af enkelt personer, der misbruger systemet, men det helt store sikkerhedskaos anser jeg for meget usandsynlig," siger Brian Vinter.

"Personligt har jeg ikke noget problem med at have en digital signatur, men sikkerhedsproblematikken er et relevant emne, som man kan have andre holdninger til."

"Det er altid en afvejning mellem sikkerhed og belejlighed," siger han.

Sikkerhed og ny signatur

Palle H. Sørensen mener, at den nye signatur er mere sikker end den forrige.

De nye registreringsprocedurer for NemID er udformet med henblik på at øge sikkerheden og opfylde kravene til identifikation i Lov om forebyggende foranstaltninger mod hvidvask af udbytte og finansiering af terrorisme," oplyser han.

"Den største sårbarhed ved den nuværende signatur er den pc, som borgerne anvender og har installeret signaturen på," siger han.

I den kommende NemID vil brugerens private nøgle ikke længere ligge på brugerens pc, men bliver opbevaret i specielle kryptografiske hardware-moduler i en central server, der drives af DanID A/S, oplyser Palle H. Sørensen.

"NemID til borgerne vil således ikke - som det er tilfældet i den nuværende signatur - være en software-løsning, hvor sikkerheden alene er afhængig af, om brugeren kan opretholde et fornuftigt sikkerhedsniveau på pc'en," siger Palle H. Sørensen.

Han forklarer, at NemID vil blive baseret på en såkaldt to-faktor autentifikations-løsning, hvor adgang til anvendelsen af den private nøgle vil være beskyttet af en personlig kode, og en engangskode fra et nøglekort.

"Brugerne skal angive et brugernavn, en personlig unik kode og en engangskode fra et personligt nøglekort med fortrykte engangskoder, hver gang signaturen skal anvendes," siger Palle H. Sørensen.

Han forklarer, at de centralt opbevarede private nøgler vil blive sikret mod misbrug gennem tekniske og proceduremæssige sikkerhedsforanstaltninger, og så længe brugeren holder sin personlige kode hemmelig, vil brugerens digitale signatur være beskyttet mod misbrug.

"Endelig kan det tilføjes, at NemID samtidig følger de certifikatpolitikker, der gælder for udbydere af OCES-certifikater," siger centerlederen.

Han forklarer, at i certifikatpolitikkerne stilles en række krav til udbyderens udstedelsesprocesser, nøglehåndtering, certifikat-håndtering samt styring og drift af det tekniske miljø og de organisatoriske procedurer.

"Certifikatpolitikkerne forpligter udbyderne af OCES-certifikater til, at der årligt skal gennemføres systemrevision af sikkerheden og udarbejdes en protokol og revisionserklæring af en ekstern statsautoriseret revisor, der for NemID's vedkommende indsendes til IT- og Telestyrelsens godkendelse," siger han.

Han afviser dermed den kritik flere har rejst af, at det er usikkert at opbevare sikkerhedsinformationerne centralt.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere