Artikel top billede

Så sikkert opbevares din NemID

Sikkerheden i NemID har fået mange hug med på vejen. Her fortæller en af sikkerhedsfolkene bag løsningen, hvordan din signatur opbevares.

Din nye NemID opbevares efter alle kunstens regler, har det gennem hele udviklingsprocessen lydt fra DanID, der er firmaet bag den nye signatur.

De fleste kan nok blive enige om, at to-faktor-sikkerheden, der ud over brugernavn og password består af en engangskode, der tilsendes på et nøglekort, er en klar forbedring.

Et papkort med koder er dog blevet dømt "gammeldags" af kritikerne.

Uenigheden har dog været betydelig større i forbindelse med beslutningen om at flytte borgernes digitale nøgler fra den enkeltes computer til en central server, der administreres af DanID.

Skidt start

Allerede på premieredagen for NemID blev sikkerheden sat på prøve.

Mindre end 24 timer efter at NemID blev lanceret, kunne man nemlig læse på firmaets webside: "Sikkerhed kompromitteret. Vi har konstateret tegn på, at der foregår et sikkerhedsangreb."

Det endte dog lykkeligt, og NemID-folkene kunne ånde lettet op denne gang.

DanID er da også stadig fortrøstningsfuld, og man har stadig selvtilliden i behold, efter borgerens NemID nu ligger på DanID's centrale server, og ikke på den enkelte computer, som det var tilfældet med forgængeren.

"Langt de fleste sikkerhedsundersøgelser viser, at de it-kriminelle går efter klienterne, og ikke efter serverne. Klienterne er langt mere sårbare," siger Peter Lind Damkjær, der er PKI-specialist i DanID.

"Vi har siden 2003 opbevaret DanID's hovednøgler på vores servere i forbindelse med den gamle signatur, og vi har derfor opbygget en del erfaring, som er blevet overført til den nye model," fortæller han.

Log-sammenligning

DanID kontrollerer og opdaterer sikkerheden døgnet rundt, og har en række sikkerhedsrutiner, der skal sørge for, at der ikke sker fejl.

"Vi har en række overvågningsfunktioner, både fysiske og digitale, hvor der udtrækkes separate logfiler, som vi så sammenligner for at se, om der er uoverensstemmelser. Der skal mindst to medarbejdere fra forskellige afdelinger til for at få adgang til nøglerne, og deres færden skal stemme overens med logfilerne, " fortæller Peter Lind Damkjær.

NemID baserer sig på en teknologi kaldet Public Key Infrastructure (PKI). Det indebærer, at brugeren får udstedt en digital signatur, der består af et certifikat med en offentlig nøgle og en privat nøgle.

Med PKI-teknologien er det muligt for to parter i en kommunikation at identificere sig entydigt over for hinanden.

Desuden kan en afsender vælge at signere sin meddelelse digitalt, så modtageren både ved, hvem den kommer fra, og at den ikke er ændret undervejs.

NemID er en hybridbil

Nøglerne opbevares på specialdesignet hardware, der er placeret to forskellige steder i landet.

"Serverne er placeret i henholdsvis København og Århus, hvor der er skabt et rum, der eksempelvis er beskyttet af et kobber-lag, der skal forhindre, at der udsendes elektromagnetiske bølger, der kan aflyttes med en antenne," siger Peter Lind Damkjær.

"Vi har naturligvis også taget højde for de fysiske udfordringer i form af oversvømmelser, strømafbrud eller indbrud."

Herudover anvendes en speciel type hardware, der er bygget til sikkerhed.

"Generering og anvendelse af den private nøgle kan kun foregå i specielle, sikrede kryptografiske hardware-moduler. Brugerens private nøgle forefindes på intet tidspunkt ukrypteret, og kan ikke anvendes uden for det særligt sikrede hardware-modul," fortæller Peter Lind Damkjær.

Hardware lever op til FIPS 140 level 4, der er en amerikansk standard for krypto-hardware.

To motorer

Selv om NemID er udviklet i et tæt samarbejde mellem finanssektoren og den offentlige sektor, er der visse forskelle på sektorernes implementeringer.

"Man kan sammenligne det med en hybridbil med to motorer, der arbejder sammen, men har hver sin funktion," siger Peter Lind Damkjær.

Bankerne har i deres løsninger valgt, at de certifikater og private nøgler, der indgår i NemID, genereres og anvendes inden for en browser-session, hvorefter de slettes, fortæller han.

Den offentlige sektor har valgt en løsning, hvor certifikaterne bevares ud over browser-sessionen, så de kan anvendes mere generelt, eksempelvis til sikker e-mail.

Endvidere var det vigtigt for den offentlige sektor, at signaturen på sigt kan samarbejde med andre landes digitale signaturer.

Parterne var til gengæld enige om, at sikkerhedsniveauet og brugerfladen skulle være ens, derfor oplever brugeren præcis det samme, uanset om han logger på netbanken eller på en offentlig webside.

I praksis sker der det, at når brugeren logger på netbanken, udstedes et certifikat med en privat nøgle og en offentlig nøgle. Begge dele gemmes i computerens hukommelse og forsvinder, når browsersessionen lukkes.

Når brugeren går på offentlige hjemmesider, anvendes den offentlige digitale signatur.

Her udstedes certifikatet én gang med et sæt af en privat nøgle og en offentlig nøgle.

Certifikatet med de tilhørende nøgler opbevares på en sikker central server, og certifikatet er gyldigt i fire år.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere