DanID giver svar på sikkerheds-kritik

NemID er blevet kritiseret for dårlig sikkerhed på en række områder. Her giver DanID sin version af sikkerheden i danskernes nye digitale adgangssystem.

Bølgerne har de seneste døgn slået hårdt ind over sikkerheden i NemID, der i løbet af de kommende måneder rulles ud som adgangssystem til tre millioner danskere.

Løsningen fra PBS-datterselskabet DanID er blandt andet blevet beskyldt for sikkerhedsbrister i forbindelse med anvendelse af java-appletter.

En kritik, som blandt andet er blevet afvist af en professor i it-sikkerhed.

Her giver PBS's pressechef Søren Winge svar på kritikernes ankepunkter.

Er det muligt for en myndighed, at snage i den enkelte NemID-brugers personlige forhold?

"Det er på ingen måde muligt for en tjenesteudbyder at anvende NemID-appletten til at tilgå personlig data på brugerens computer.

NemID-appletten fra DanID anvendes til entydigt at identificere en bruger over for en bestemt tjenesteudbyder. Det kan være en bank, en offentlig myndighed eller en privat tjenesteudbyder.
NemID-appletten hentes ned til brugerens computer direkte fra DanID uden om tjenesteudbyderen. Dialogen mellem NemID-appletten på brugerens computer og DanID's centrale server, der etablerer brugerens identitet, er krypteret og sikret efter alle kunstens regler."

Kan tjenesteudbydere, der er koblet på systemet, gå baglæns i transmissionen og aflure brugeren?

"Nej, tjenesteudbyderen modtager kun den signerede login-besked og har ikke nogen transmission at gå tilbage i."

Når brugeren besøger en tjenesteudbyder, har ikke alene denne tjenesteudbyder, men alle tjenesteudbydere, der er tilsluttet NemID, så fuld adgang til brugerens computer?

"NemID-appletten kræver læse- og skriveadgang til brugerens harddisk af hensyn til caching. For at et Java-program afviklet i en browser kan få sådan en adgang, skal programmet være signeret med en digital signatur, og brugeren skal acceptere, at programmet får denne adgang.

Det er kun NemID-appletten, der har læse- og skriveadgang, og denne adgang stilles ikke til rådighed for nogen tjenesteudbyder. NemID-appletten læser på intet tidspunkt personlige filer fra brugerens computer."

Har en tjenesteudbyder adgang til oplysninger, som brugeren har liggende hos andre tjenesteudbydere?

"En tjenesteudbyder tilsluttet NemID har ingen adgang til de oplysninger, der er registreret hos DanID eller hos andre tjenesteudbydere.

En tjenesteudbyder-adgang strækker sig til, at man ved login kan sørge for, at NemID-appletten bliver startet hos brugeren og efterfølgende få et svar tilbage, der er signeret med brugerens digitale signatur og som kan anvendes til at etablere brugerens identitet.

Efterfølgende laver tjenesteudbyderen et opslag hos DanID, der checker, om brugerens certifikat er gyldigt. Derudover har tjenesteudbyderen ikke andre adgange til oplysninger."

Kan en Java-ekspert lave en applet, der kan sættes i gang uden brug af en engangskode?

"Hvis nogen laver deres egen applet, vil den ikke være signeret af DanID, og den vil ikke kunne komme i kontakt med DanID's centrale systemer. Det er kun via DanID's centrale systemer, at brugeren kan generere en gyldig signatur eller signere et dokument."


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
ED-Data A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
It-sikkerhed 2018: Dit forsvar mod nye digitale trusler

Trusselsbilledet ændrer sig hele tiden. Flere end nogensinde før bliver udsat for cyberangreb, og hackerne finder konstant nye veje ind i virksomhedernes systemer. Kom og bliv opdateret på den aktuelle sikkerhedssituation. Vi går i dybden med de nyeste tendenser inden for it-kriminalitet, og når dagen er omme, er du klædt på til at styrke din virksomheds digitale selvforsvar.

23. januar 2018 | Læs mere


Få succes med customer experience

Fremtidens kunder skal vindes med den bedste kundeoplevelse. Vi sætter fokus på, hvordan I kommer i gang med at give bedre oplevelser til jeres kunder og brugere. Kom og hør om forretningsmodeller, centrale begreber og værktøjer som brugervenlighed, brugerrejser, betalingsløsninger og alle de andre centrale områder, som du forventes at have styr på, når kunderne skal sikres den nødvendige 5-stjernede oplevelse.

25. januar 2018 | Læs mere


It-sikkerhed 2018: Dit forsvar mod nye digitale trusler

Trusselsbilledet ændrer sig hele tiden. Flere end nogensinde før bliver udsat for cyberangreb, og hackerne finder konstant nye veje ind i virksomhedernes systemer. Kom og bliv opdateret på den aktuelle sikkerhedssituation. Vi går i dybden med de nyeste tendenser inden for it-kriminalitet, og når dagen er omme, er du klædt på til at styrke din virksomheds digitale selvforsvar.

30. januar 2018 | Læs mere





mest debaterede artikler

Computerworld
Med ny iOS-opdatering vil du selv kunne slå udskældt batterifunktion fra på din iPhone
Apple har sænket ydeevnen på ældre iPhones for at få batteriet til at holde længere, men nu fortæller Tim Cook, at du i fremtiden selv kan slå funktionen fra.
CIO
Opråb til ERP-leverandørerne: Stram op - I opfører jer uanstændigt
Klumme: Hvorfor kan ERP-projekter ikke leveres til fastpris ligesom andre systemer? Hvordan kan ERP-leverandørerne slippe afsted med at opføre sig uanstændigt? ERP-leverandørerne har et alvorligt problem og er nødt til at gøre det bedre. Se nogle af mine vilde eksempler fra den danske it-branche her.
Job & Karriere
Dansk it-virksomhed indførte fire-dages arbejdsuge: I dag er sygefraværet rekord-lavt og direktøren har tabt sig 13 kilo
Interview: Great Place To Work kategori-vinderen IIH Nordic har indført en fire-dages arbejdsuge og taget et opgør med forstyrrende storrums-kontorer og en frustrerende mailkultur. I dag er medarbejderne gladere end nogensinde før.
White paper
Mobility - her er de aktuelle udfordringer
Hvad med sikkerheden? Mobility-bølgen fejer igennem danske virksomheder, og der er masser af muligheder og faldgruber. Sikkerheden halter, men det kan der gøres noget ved. Produceret af Computerworld.dk i oktober 2014.