NemID gik i luften 1. juli i år og har siden været under hård kritik. It-folk har udtrykt bekymring over sikkerheden, og brugere betegner NemID's nøglekort på papir som et teknologisk tilbageskridt.
At NemID siden premieredagen har haft en del nedbrud, har ikke dæmpet kritikken af systemet, som danskerne fremover skal anvende til netbank samt SKAT, SU og andre offentlige nettjenester.
Peter Lind Damkjær, Senior Architect hos DanID, har specielt fokus på den sikkerhedsmæssige arkitektur for NemID og fortæller her om baggrunden for systemet og svarer på kritikken.
Kritik af PKI – ikke NemID
Et af kritikpunkterne af NemID er, at både den offentlige nøgle og den private nøgle opbevares centralt hos DanID. Kritikerne mener, at brugeren dermed ikke har kontrol over sin private nøgle. Det har skabt frygt for, at DanID vil kunne udgive sig for en hvilken som helst bruger.
Ifølge Peter Lind Damkjær eksisterede det problem også i den gamle Digitale Signatur:
– Hvis vi var ondsindede i DanID, kunne vi i den gamle løsning lave et nyt nøglepar og påstå, at vi er brugeren. Det er der ikke noget nyt i.
Den centrale opbevaring af nøglepar har også medført kritik af, at DanID med den nye løsning bliver et ekstra attraktivt mål for hackere. Igen henviser Peter Lind Damkjær til, at det også var tilfældet med Digital Signatur.
– Vi har altid været et spændende sted at angribe. Hvis jeg skulle angribe et PKI-system, så ville jeg gå efter udstederens nøgler. Dem, vi underskriver certifikater med. Så kan jeg udgive mig for at være hvem som helst. CA'ens (Certificate Authority, red.) nøgler er meget mere spændende end en brugers private nøgle, forklarer Peter Lind Damkjær.
Kritikken er dermed rettet mod en af forudsætningerne for et PKI-system: At der er en certifikat-udsteder.
Forbedring af sikkerheden
Trods kritikken mener DanID, at skiftet fra Digital Signatur til NemID har givet et løft af sikkerheden. I det gamle system blev den private nøgle gemt som en nøglefil på brugerens pc. Det var i princippet samme løsning, som nogle netbanker har anvendt i lang tid, hvor brugernavn og password samt en nøglefil på brugerens pc giver adgang til netbanken.
– Problemet med nøglefiler er, at brugernavn og password samt nøglefil er samlet ét sted, så hackere nemt kan få fat på begge dele, forklarer Peter Lind Damkjær.
– Nogle vil nok mene, at det ikke er den helt nyeste teknologi med sådan et papirkort. Brugertest viste imidlertid, at nøglekortet umiddelbart er til at forstå for alle. Derfor blev det valgt. Fidusen er, at den kode, man indtaster, ikke bliver brugt igen. Er der nogen, der har lagt en trojaner for at opsnappe kodeordet, så kan de ikke genanvende engangskoden, der lige er tastet ind. De får måske fat i den ene faktor, men ikke den anden, forklarer Peter Lind Damkjær.
Privat nøgle er usikker
Nogle kritikere siger, at de vil være mere trygge ved at have deres private nøgle liggende på deres lokale pc, frem for at DanID skal passe på den.
– Der mener jeg, at nogle af debattørerne har misforstået noget. Det vigtige er, at det kun er brugeren, der har kontrol over nøglen og kan bruge nøglen. Nogle af dem, der siger, at de godt selv kan passe på deres maskine, har måske været til for få sikkerhedskonferencer og black hat-konferencer, siger Peter Lind Damkjær og fortsætter:
– Jeg er glad for, og nu taler jeg som privatperson, at min private nøgle ligger på HSM hos DanID. Jeg ved godt, at så længe jeg bruger en lokal maskine, og der findes ting som Zeus og andet, så er min maskine nok ikke det bedste sted at have den liggende.
Nøglekort første skridt
NemID-brugere, som opfatter et papirbaseret nøglekort som et teknologisk tilbageskridt, kan måske blive stillet tilfreds med nogle af de løsninger, som NemID overvejer fremover.
– Det første skridt i processen var nøglekort på papir. Der arbejdes på, at man i stedet for kan få et elektronisk token, som populært sagt er et nøglekort med batteri i. Det er en lille dims med display og en knap. Når man trykker på knappen, kommer der seks tal frem. Her er man ikke begrænset til 148 koder som på papirkortet, forklarer Peter Lind Damkjær.
NemID kigger også på en sms-baseret løsning med fremsendelse af nøgler via sms.
– Det bliver dog lidt mere kompliceret, da tjenesteudbyderne også gerne vil bruge mobiltelefonerne til at køre deres applikationer i form af apps. Vi skal passe på, at vi ikke ender i en situation, hvor alting kommer ind fra den samme enhed. Hvis man logger på sin netbank fra sin telefon, og det også er der, sms'en tikker ind, så skal vi sikre os, at hackere ikke umiddelbart kan misbruge det, siger Peter Lind Damkjær.
Det er også en af årsagerne til, at DanID ikke tillader, at man indskanner nøglekortet på sin pc eller mobiltelefon. Det giver en potentiel mulighed for, at hackere kan få adgang til nøglerne.
Endelig er der også nyt til de brugere, der foretrækker at have deres private nøgle liggende lokalt.
– De, som synes, det er trist at have deres private nøgle liggende centralt, får mulighed for at få et smartcard. Det specielle ved smartcardet er, at du ikke kan suge nøglefilen ud. Den er beskyttet af smartcardet. Smartcard fungerer som minicomputer. Når man skal identificere sig i dag, foregår det centralt hos os. Med smartcard-løsningen vil man bede smartcardet om at underskrive, og det gør smartcardet så, når man giver en pin-kode. Det er en lillebitte signatur-server, siger Peter Lind Damkjær.