Professor: Så sikker er din nye NemID

Annonceindlæg fra DE-CIX

At opnå ægte digital suverænitet kræver modstandsdygtig netværkes struktur

Ønsket om digital suverænitet er blevet mere udbredt i løbet af det sidste årti.

Læs også:

Nu rammer et af Danmarks største it-projekter dig.

Leder: Velkommen til digital signatur 2.0.

NemID kan komme til at koste dyrt.

Det store digitaliseringsprojekt: Et papkort i hånden.

NemID: Vi koder på livet løs til det sidste.

Teledirektør: NemID er ikke ligefrem 'bulls eye'

Home-chef: Vi kan spare tid og penge med NemID.

Sikkerheden i NemID handler om tillid.

Den nye signaturmodel har også fået en ny sikkerhedsstruktur, når den nye digitale signatur, NemID, bliver lanceret 1. juli.

Med NemID flyttes de sikkerhedsnøgler, der hidtil har ligget på den enkelte brugers harddisk, til centrale servere, som håndteres af PBS, der står bag løsningen.

Samtidig bliver der implementeret et ekstra niveau af sikkerhed, så løsningen kommer til at bestå af to sikkerhedsfaktorer - i form af et kort med engangskoder, der skal anvendes i kombination med det normale login, og password, den såkaldte tofaktor-sikkerhed.

Den manøvre har fået megen kritik, ikke mindst i Computerworlds debatforum. Det kan du læse mere om her.

Her vurderer Ivan Bjerre Damgård, professor i kryptering og it-sikkerhed ved Aarhus Universitet, den nye sikkerhedsmodel.

Fordele ved centralisering

Hvad ser du som fordelene ved en centralisering af sikkerheden?

"Der er to hovedbegrundelser for at vælge en ny sikkerhedsløsning. Den væsentligste er, at folks computere som udgangspunkt ikke er sikre. Det er i øjeblikket ikke svært at tiltvinge sig adgang til en anden brugers digitale signatur, og det har man ønsket at gøre noget ved med central opbevaring af sikkerhedsnøglerne.

Derved er det ikke længere nok, at stjæle noget fra pc'en for at få fingrene i en anden persons signatur.

Desuden samles certifikater og nøgleopbevaring under samme leverandør, hvilket betyder en mindre risiko for svindel.

Samtidig er der også et praktisk element i denne model. Man har ønsket at gøre det nemt at bruge signaturen, der nu ikke længere er bundet til en enkelt computer med en nøglefil.

Det største praktiske problem ved den eksisterende signatur er helt sikkert, at man er tvunget til at installere noget på sin pc, hvilket man ikke skal nu."

Hvilke problemer er der forbundet med den centrale nøgleopbevaring, og kan du forstå den kritik, som mange har været ude med?

"Ja, det kan jeg godt forstå, fordi den valgte model stiller nogle voldsomme krav til, at identifikationen er korrekt.

Hvis man havde muligheden for at opbevare sin private nøgle på betryggende vis hos brugeren selv, ville det være at foretrække.

Desværre har vi ikke en infrastruktur, der er sikker nok til, at det er muligt.

Kan det således betegnes som den mindst dårlige løsning, der er blevet valgt?

"Det er jeg tæt på at mene."

Tror du, at signaturen bliver et springbræt for tofaktor-sikkerheden i andre sammenhænge?

"Det er der ingen tvivl om.

Der er allerede både firmaer og erhvervsdrivende, som anvender to faktorer i sikkerheden, men signaturen kan blive den helt store start på tofaktor-sikkerhed."