DanID giver svar på sikkerheds-kritik

NemID er blevet kritiseret for dårlig sikkerhed på en række områder. Her giver DanID sin version af sikkerheden i danskernes nye digitale adgangssystem.

Bølgerne har de seneste døgn slået hårdt ind over sikkerheden i NemID, der i løbet af de kommende måneder rulles ud som adgangssystem til tre millioner danskere.

Løsningen fra PBS-datterselskabet DanID er blandt andet blevet beskyldt for sikkerhedsbrister i forbindelse med anvendelse af java-appletter.

En kritik, som blandt andet er blevet afvist af en professor i it-sikkerhed.

Her giver PBS's pressechef Søren Winge svar på kritikernes ankepunkter.

Er det muligt for en myndighed, at snage i den enkelte NemID-brugers personlige forhold?

"Det er på ingen måde muligt for en tjenesteudbyder at anvende NemID-appletten til at tilgå personlig data på brugerens computer.

NemID-appletten fra DanID anvendes til entydigt at identificere en bruger over for en bestemt tjenesteudbyder. Det kan være en bank, en offentlig myndighed eller en privat tjenesteudbyder.
NemID-appletten hentes ned til brugerens computer direkte fra DanID uden om tjenesteudbyderen. Dialogen mellem NemID-appletten på brugerens computer og DanID's centrale server, der etablerer brugerens identitet, er krypteret og sikret efter alle kunstens regler."

Kan tjenesteudbydere, der er koblet på systemet, gå baglæns i transmissionen og aflure brugeren?

"Nej, tjenesteudbyderen modtager kun den signerede login-besked og har ikke nogen transmission at gå tilbage i."

Når brugeren besøger en tjenesteudbyder, har ikke alene denne tjenesteudbyder, men alle tjenesteudbydere, der er tilsluttet NemID, så fuld adgang til brugerens computer?

"NemID-appletten kræver læse- og skriveadgang til brugerens harddisk af hensyn til caching. For at et Java-program afviklet i en browser kan få sådan en adgang, skal programmet være signeret med en digital signatur, og brugeren skal acceptere, at programmet får denne adgang.

Det er kun NemID-appletten, der har læse- og skriveadgang, og denne adgang stilles ikke til rådighed for nogen tjenesteudbyder. NemID-appletten læser på intet tidspunkt personlige filer fra brugerens computer."

Har en tjenesteudbyder adgang til oplysninger, som brugeren har liggende hos andre tjenesteudbydere?

"En tjenesteudbyder tilsluttet NemID har ingen adgang til de oplysninger, der er registreret hos DanID eller hos andre tjenesteudbydere.

En tjenesteudbyder-adgang strækker sig til, at man ved login kan sørge for, at NemID-appletten bliver startet hos brugeren og efterfølgende få et svar tilbage, der er signeret med brugerens digitale signatur og som kan anvendes til at etablere brugerens identitet.

Efterfølgende laver tjenesteudbyderen et opslag hos DanID, der checker, om brugerens certifikat er gyldigt. Derudover har tjenesteudbyderen ikke andre adgange til oplysninger."

Kan en Java-ekspert lave en applet, der kan sættes i gang uden brug af en engangskode?

"Hvis nogen laver deres egen applet, vil den ikke være signeret af DanID, og den vil ikke kunne komme i kontakt med DanID's centrale systemer. Det er kun via DanID's centrale systemer, at brugeren kan generere en gyldig signatur eller signere et dokument."


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Edgemo A/S
Salg af hardware, software, konsulentydelser og services inden for virtualiseret infrastruktur, cloud, datacenteret og unified communication.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Business intelligence: Selvbetjening og automatisering styrker din BI-løsning

En ny generation af løsninger inden for business intelligence og analytics skaber helt nye muligheder for, at man kan anvende analyserne mere aktivt i dagligdagen til at styrke forretningen.

21. august 2018 | Læs mere


Content management: Optimér din digitale tilstedeværelse på tværs af platforme

Et velfungerende CMS-system er fundamentet under enhver organisations digitale tilstedeværelse. Med det rigtige CMS kan du øge effektiviteten, få bedre kontakt til dine kunder og medarbejdere og optimere mange processer. På dette formiddagsseminar får du præsenteret nogle af de bedste CMS-løsninger i markedet lige nu.

22. august 2018 | Læs mere


Infrastruktur – on premise, outsourcing eller cloud?

Det er vigtigere end nogensinde at have et stabilt, effektivt og sikkert it-driftsmiljø. Hør om de nyeste teknologier og løsninger. Hør også om de nyeste cloudløsninger der muliggør Infrastruktur as a Service (IaaS), samt mulighederne for outsourcing. På det gratis formiddagsseminar bliver du klædt på til at træffe de afgørende beslutninger om fremtidens infrastruktur i din virksomhed.

23. august 2018 | Læs mere






Premium
Udbetaling Danmark skal forhandle om mulig kompensation med Netcompany til efteråret
Interview: Inden årsskiftet står det klart, om Netcompany skal kompensere Udbetaling Danmark for de startvanskeligheder, der har været i forbindelse med det nye boligstøttesystem. "Jeg kan hverken be- eller afkræfte, at vi kommer til at bede om et pengebeløb fra Netcompany," lyder det fra Søren Eismark, underdirektør i ATP, som står bag Udbetaling Danmark.
Computerworld
Ny-opdaget malware blokerer programmer som forsøger at slette den: Særligt windows 10 er ramt
En ny type malware er blevet opfanget, der både overvåger din computer og generer falske reklameindtægter til bagmændende. Og så har den en forkærlighed for Windows 10.
CIO
Henrik Jeberg om at arbejde i Silicon Valley: "Er du dygtig nok får du tilbud der får en til at falde ned af stolen."
Henrik Jeberg bor i San Francisco og er direktør i Hampleton Partners, der rådgiver om opkøb med særligt fokus på teknologi. Hør ham fortælle om forskellen på Danmark og Silicon Valley - og om nogle af de vilde forhold der hersker i verdens ubestridte tech-hovedstad.
Job & Karriere
KMD opsagde tryghedsaftaler med medarbejderne få måneder før 300 medarbejdere blev outsourcet til IBM
KMD har i løbet af foråret opsagt to såkaldte tryghedsaftaler med en del af selskabets medarbejdere. Når aftalerne stopper ved udgangen af 2018, er de pågældende medarbejdere ikke længere berettiget til særlig godtgørelse. Det kan få konsekvenser, hvis IBM som forventet skærer i antallet af de 300 KMD-medarbejdere, som selskabet overtager.
White paper
Mobility - her er de aktuelle udfordringer
Hvad med sikkerheden? Mobility-bølgen fejer igennem danske virksomheder, og der er masser af muligheder og faldgruber. Sikkerheden halter, men det kan der gøres noget ved. Produceret af Computerworld.dk i oktober 2014.