NemID

Fra Wikipedia, den frie encyklopædi
Gå til: navigation, søg
Disambig bordered fade.svg Ikke at forveksle med NemLogin.

NemID er en fælles log-in-løsning til danske netbanker og offentlige hjemmesider. NemID drives af firmaet DanID og blev taget i brug den 1. juli 2010.

Tanken er at man skal kunne bruge NemID til at logge ind på de institutioner, der har tilsluttet sig ordningen. Man skal dog have et OCES-certifikat for at få en offentlig digital signatur. Man skal kunne logge på med NemID fra en hvilken som helst computer, både i Danmark og i udlandet. Et krav har været at der skulle være to-faktor-autentificering. For at imødekomme dette krav har man i første omgang valgt, at brugerne skal benytte både en adgangskode (den ene faktor) og et nøglekort med engangskoder (den anden faktor).

Baggrund[redigér | redigér wikikode]

I 2003 fik TDC opgaven med den første udgave af Digital signatur i de første fem år, og IT- og Telestyrelsen skulle udbyde opgaven igen[1]. De opstillede følgende mål for forbedring[2]: Sikkerhed, brugervenlighed, mobilitet og udbredelse. I udbuddets start var fire konsortier med.[3] Disse bestod af forskellige kombinationer af virksomhederne TDC, KMD, IBM[4], Post Danmark, EDB Gruppen og PBS, hvor fx TDC var med i tre grupper og PBS i to[Kilde mangler]. Undervejs faldt nogle fra, og TDC og PBS fandt sammen om et fælles bud.[5] Ved deadline for bud på opgaven i november 2007 var det kun TDC og PBS, der kom med et bud.[6]

Samtidig var bankerne gået sammen om en ny fælles login-løsning til netbanker til erstatning for nøglefiler, som var blevet meget sårbare for elektroniske trojanske heste.[7] Antallet af angreb på netbanker var blevet større.[8][9] Bankerne og deres datacentre havde som modtræk lavet løsninger som bl.a. SMS-koder[10] eller låsning af nøglefilen til den enkelte pc.[11][12]

DanID indgik aftale[redigér | redigér wikikode]

TDC og PBS dannede "Selskabet af 24. august 2007" til udbuddet og som forhandler med IT- og Telestyrelsen om kontrakten, og i juni 2008 blev aftalen indgået. Samtidig trådte TDC ud af selskabet[13] og overdrog alle medarbejdere og aktiver til selskabet[14]. Den 25. juni 2008 blev aftalen og det nye navn på selskabet, "DanID", offentliggjort[15][16]. Efter et par forsinkelser, som først skyldtes at forhandlingerne trak ud[17] og senere at bankerne ville have mere tid til at teste systemet[18], blev systemet taget i brug den 1. juli 2010.

Teknikken[redigér | redigér wikikode]

Systemet består af to uafhængige[Kilde mangler] systemer. En OCES-certifikatautoritet, kaldet "OCES CA", samt et system til håndtering af brugerne, de private nøgler og adgangen til netbanker.[Kilde mangler]

OCES CA[redigér | redigér wikikode]

OCES CA håndterer processerne omkring udstedelse af certifikater ved signering af offentlige nøgler og administration af certifikater derefter. Her er der mulighed for, bl.a. via protokollen LDAP, at slå op om et certifikat stadig er gyldigt eller er blevet spærret. Man kan også søge efter certifikater via e-mail-adresse til brug for kryptering og signering af e-mails. Derudover har autoriserede myndigheder og firmaer adgang til en service via hvilken man kan slå et CPR-nummer op ud fra certifikatets løbenummer, det såkaldte pid.

Ved udstedelsen af certifikater sker der opslag i CPR-registret samt eventuelt i kørekort- og pasoplysninger til bekræftelse af personens identitet.[Kilde mangler]

Systemet kan håndtere både NemID og en særlig hardwareløsning, hvor den private nøgle kan lagres lokalt i stedet for at blive lagret centralt hos DanID.[Kilde mangler]

NemID[redigér | redigér wikikode]

Det andet system, som brugerne normalt har kontakt til, er selve NemID-systemet. Det består af to delsystemer[19]:

  • Et system til udstedelse af engangscertifikater, som bruges over for netbanker.
  • Et system til central lagring af de private nøgler til OCES-certifikater.

Håndtering af nøgler sker i nogle moduler, såkaldte "hardware security modules" (forkortet HSM), som er en speciel type hardware, der er certificeret efter standarden NIST FIPS 140-2 level 4 til formålet[19]. Det er et lukket system, hvor al kommunikation ind og ud er krypteret; også håndtering af data internt sker med kryptering. Det gælder også over for det disksystem, hvor data lagres, hvor backup af diske sker med de krypterede data.

Også ved login til systemet er der sikret med flere lag kryptering. I den SSL-forbindelse, som dannes til NemID, tjekkes bruger og adgangkode via en Secure Remote Password-protokol imellem Java-applet og NemID´s HSM[20]. Med denne protokol tjekkes, at brugeren har det rigtige password, men uden at NemID har det virkelige password[21]. Som den anden faktor bruges igen Secure Remote Password-protokollen til at verificere engangskoden fra nøglekortet.

Brugerens adgangskode bruges også til at udregne den nøgle, der skal bruges til at åbne brugerens private nøgler[21]. Dvs. NemID eller andre har ikke adgang til de private nøgler på det centrale system. Når man skal have forrettet en forbindelse til en service, danner browser og Java-applet en sessionsnøgle. Denne nøgle og kun den sendes til NemID, hvor nøglen bliver signeret med den private nøgle. Det gælder når en bruger skal sende en e-mail, der skal signeres. Omvendt, når en e-mail skal afkodes, sendes den krypterede sessionsnøgle til NemID, som tilbageleverer sessionsnøglen til at åbne det kodede dokument i e-mailen.

Kritik[redigér | redigér wikikode]

Der er en del kritik af DanID's håndtering af NemID.

Mange er utrygge ved at de private nøgler lægges på et centralt system. Spørgsmålet er om det misbruges, selvom systemet er udformet så det kun er brugerens adgangskode, der åbner op for den private nøgle. Det har været et krav fra IT- og Telestyrelsen at ved denne version af "Digital Signatur" skal den private nøgle være beskyttet af en hardware-løsning. Dvs. den gamle digitale signatur med en nøglefil skal fases ud.

En hardware-løsning kan udføres på to måder: Centralt med HSM-enheder eller decentralt med Smartcard. Den sidste løsning med smartcards, hvor al håndtering af den private nøgle sker inde i kortet, der er certificeret til formålet. DanID skal her kun direkte inddrages, når den offentlige nøgle skal signeres. Denne løsning skulle have været på plads i slutningen af 2010.[22], men er blevet udskudt til andet kvartal 2011.[23]

Forholdet til lov om elektroniske signaturer[redigér | redigér wikikode]

Det andet forhold – som delvis hænger sammen med opbevaring af de private nøgler – er om systemet skal overholde "Lov om elektroniske signaturer"[24],[25],[26]. Fra IT- og Telestyrelsens side var det ikke et mål, at NemID skulle overholde denne lov, som kun gælder for kvalificerede certifikater.[Kilde mangler] Ved kvalificerede certifikater er der større krav til kontrol af identitet, samt håndtering af nøgler og certifikater. Lovgivningen bygger på et EU-direktiv fra 1999.[Kilde mangler] Dog vil NemID efterhånden trinvis nærme sig de krav.[Kilde mangler]

Som et trin i retning af et forøget niveau til kvalificerede certifikater skrev juraprocessor Henrik Udsen et notat for DanID, hvori han undersøgte de juridiske muligheder for at opfylde kravene til kvalificerede certifikater med et system med central opbevaring af private nøgler. Hans konklusion var, at det kan lade sig gøre[27],[25]. Men han har ikke i notatet taget stilling til, om det nuværende NemID-system opfylder kravene til at kunne håndtere kvalificerede certifikater.[Kilde mangler]

Kritik fra IT-Politisk Forening[redigér | redigér wikikode]

I august 2010 kom IT-Politisk Forening med en kritik af, at DanID har valgt en løsning med signerede Java-appletter. Signerede Java-appletter har på brugerens pc fulde læse- og skriverettigheder. DanID bruger disse rettigheder til 1) mellemlagring (caching), 2) at gemme en log på brugernes pc'er, samt 3) håndtering af dokumenter, der skal signeres med digital signatur[Kilde mangler]. IT-Politisk Forening hævder, at applet-løsningen giver tjenesteudbydere såsom banker, myndigheder og andre virksomheder potentiel adgang til at aflure information hos brugeren og øvrige tjenesteudbydere, som brugeren har haft kontakt med.[28] Artiklen i Børsen giver indtryk af, at IT-Politisk Forening hævder, at alle sider, som bruger NemID, får adgang til brugerens computer. Men på IT-Politisk Forenings egen side om problemet gøres det klart, at det kun er DanID, som har adgang til brugerens private dokumenter på harddisken via NemID.[29]

DanID påstår, at tjenesteudbydere ikke kan få adgang til brugernes maskiner. Appletten til NemID kommer fra DanID-maskinerne på tjenesteudbyderens initativ, og kun en signeret applet fra DanID kan kommunikere med DanID's server. Serviceudbyderen får fra appletten kun en besked, der er signeret med brugerens signatur. [30] Derudover tilbød de at lade andre tjekke koden efter en debat på version2.dk.[31] IT-Politisk Forening påpeger dog, at sådan et tjek af kildekoden ikke kan forhindre DanID i efterfølgende at lægge en ny og ændret version af appletten op på deres server. Kildekoden til den nye version vil ikke være kontrolleret, og brugernes computere vil downloade og køre den nye version automatisk, uden at brugerne ved, at det ikke er den tidligere tjekkede version, de benytter.[32]

Brug af Java[redigér | redigér wikikode]

Det har også været kritiseret, at NemID kræver at brugeren har Java installeret. Java har historisk haft sikkerhedshuller, og der findes malware som angriber Java. Således risikerer man at ens computer kan bliver overtaget via et sikkerhedshul i Java, blot ved at besøge en hjemmeside med en browser som understøtter Java, hvis enten der er et zero-day sikkerhedshul i Java, eller hvis brugeren ikke har holdt Java opdateret. Sikkerhedseksperten Thomas Kristensen fra Secunia mener, at brugen af Java er er unødvendig for NemID, og at de burde bruge et almindelig webinterface i stedet.[33]

"[Valget af Java til NemID] har sørget for, at software, som ligger på top 5 over hackernes favoritsoftware til at komme ind på folks maskiner, er tvunget ned i halsen på brugerne og er på deres maskiner"

Thomas Kristensen, Version2

Desuden giver brugen af Java supportproblemer. Ud over Java-installationer som ikke er opsat rigtigt, så er Java's 2D-hardwareacceleration tilsyneladende inkompatibelt med nogle gamle grafikkort (eller grafikkort-drivere).[34]

Sikkerhedsproblemer ved valg af top-level-domæne[redigér | redigér wikikode]

DanID har valgt at placere NemID på domænet nemid.nu, som tilhører stillehavsøen Niue, og ikke på det danske domæne nemid.dk. Dette har fra starten givet anledning til forvirring. Nemid.dk ejes af et andet privat firma, Assemble, som intet har med DanID og NemID at gøre[35]. Stillehavsøen Niue, som kontrollerer topniveaudomænet .nu, som nemid.nu hører under, har desuden været kritiseret for ikke at yde tilstrækkelig juridisk sikkerhed omkring ejerskab af domæner[36].

Anden kritik[redigér | redigér wikikode]

Derudover har været en del kritik af brug af papkort til engangskoder. Nogle mener det er et trin tilbage at bruge pap, når der findes elektroniske enheder til formålet. DanID vil i løbet 2011 tilbyde en løsning.

Endvidere blev der allerede før NemID lanceredes advaret imod at løsningen muliggjorde såkaldte mand-i-midten-angreb (man-in-the-middle-angreb), så it-kriminelle har mulighed for at misbruge offerets bankkonti. DanID afviste påstanden, men kritikken har vist sig at være berettiget og antallet af netbankindbrud er stigende.[37][38]

Løsningen er i visse[Kilde mangler] tekniske kredse ikke særlig populær. Der er oprettet en "nej til nemid"-hjemmeside[39].

Yderligere "vandt" NemID titlen som Årets it-fuser 2010 hos Computerworld.[40],[41]

Hændelser[redigér | redigér wikikode]

Der har været flere situationer, hvor DanID har gjort noget som ikke var hensigtsmæssigt. Fx har de givet et NemID for en helt anden person til en gymnasieelev og givet et NemID til en skoleelev uden netbank.[42][43]

En andet problem er at der flere gange er blevet afsendt brev med nøglekort samtidig med koderne til aktivering af NemID-kontoen. Den første gang i august 2010 berørte det 27.611 certifikater[44], som efterfølgende skulle spærres efter krav fra Datatilsynet,[45] og i midt i september 2010 blev 17.261 konti spærret som ikke i forvejen var blevet spærret.[46].

Allerede den 17. september 2010 var der igen problemer, hvor printleverandøren, pga. en produktionsfejl et par dage før, sendte både nøglekort og brev med adgangskoder samtidig til 3.604 borgere.[47] For at forhindre gentagelse af denne fejl, blev der udviklet en applikation, som automatisk skulle forskyde afsendelsen af breve, og den manuelle kontrol blev fjernet, hvilket dog ikke fangede alle tilfælde.[48] DanID måtte sende nye breve til 3.403 brugere, der havde genbestilt i perioden fra den 18. november til den 22. december 2010.[49]

NemID har også haft tekniske driftsproblemer.[50]

Se også[redigér | redigér wikikode]

Noter[redigér | redigér wikikode]

  1. TDC's digitale signatur kan lakke mod enden – www.computerworld.dk
  2. Sikkerhedskonceptet vedrørende NemID – www.digitalsignatur.dk
  3. Kapløbet om digital signatur 2.0 er i gang – www.computerworld.dk 2. februar 2007
  4. IBM vil udfordre TDC på digital signatur – www.computerworld.dk, 9. februar 2007
  5. TDC og bankerne går sammen om digital signatur – www.computerworld.dk, 18. september 2007
  6. Kun PBS-TDC-alliance byder på ny digital signatur – www.computerworld.dk, 12. november 2007
  7. Skarp kritik af dansk netbank-sikkerhed – www.version2.dk – 4. januar 2008
  8. Rekordmange netbankindbrud i 2007 – www.version2.dk, 2. januar 2008
  9. Danskere fik stjålet ni millioner kroner i netbank-indbrud i 2008 – www.version2.dk, 26. marts 2009
  10. Nordea har SMS-sikret netbanken – www.version2.dk, 12. februar 2009
  11. Danske Bank øger sikkerheden efter kode-kaos – computerworld.dk, 25. januar 2007
  12. SDC tuner sikkerhed på 80 netbanker – computerworld.dk, 30. april 2007
  13. TDC færdig som leverandør af den digitale signatur – www.computerworld.dk/art/46623, 25. juni 2008
  14. Medarbejdere følger signatur ud af TDC – www.computerworld.dk, 25. juni 2008
  15. Ny digital signatur baseres på engangskoder – www.computerworld.dk, 25. juni 2008
  16. Sådan bliver den nye digitale signatur – www.version2.dk, 25. juni 2008
  17. Ny digital signatur bliver forsinket – www.version2.dk, 9. januar 2008
  18. Digital signatur-afløser forsinket – igen – www.computerworld.dk, 17. september 2009
  19. 19,0 19,1 Computerworld – Så sikkert opbevares din NemID
  20. Prosabladet nr 12 2010 side 29
  21. 21,0 21,1 Teknikken bag NemID – www.nemid.nu
  22. DanID til kritikerne: Få din decentrale, private nøgle til jul – version2.dk – 12. maj 2010
  23. Privat NemID-nøgle på smartcard forsinket et halvt år – version2.dk – 10. december 2010
  24. Ny digital signatur følger ikke loven – det var for dyrt – version2.dk den 21. juni 2010.
  25. 25,0 25,1 Den digitale signatur på kanten af loven – computerworld.dk, 2. februar 2010
  26. Lov nr. 417 af 31.05.2000 om elektroniske signaturer – retsinformation.dk
  27. Henrik Udsen (29. september 2009). "Notat om anvendelsen af serverbaserede løsninger for kvalificerede elektroniske signaturer". https://danid.dk/export/sites/dk.danid.oc/da/dokumenter/henrik_udsen_notat.pdf. 
  28. Store huller i sikkerhed omkring ny digital signatur – borsen.dk den 10. august 2010
  29. Den åbne bagdør i NemID
  30. Høj sikkerhed omkring NemID – Pressemeddelelse fra DanID den 10. august 2010. Teknisk bilag: Anvendelse af Java applet i NemID-løsningen (opdateret tirsdag d. 17. august)
  31. DanID vil vise Java-kode frem: »Vi har intet at skjule« – version2.dk – 11. august 2010
  32. IT-Politisk Forening stoler ikke på DanID trods kode-striptease
  33. Sikkerhedsekspert: Håbløst at basere NemID på Java – Version2
  34. NemID-support: Java og grafikdrivere er det mest drilske Version2
  35. Advarsel mod www.nemid.dk
  36. http://www.siteadvisor.com/studies/map_malweb_mar2007.html McAfee: "Mapping the Mal Web"
  37. Voldsom stigning i danske netbank-indbrud – version2.dk, 12. februar 2013
  38. Artikler om NemID og Man-in-the-middle-angreb – version2.dk
  39. NemID får hadesite – version2.dk – den 13. december 2010
  40. Kandidat til Årets it-fuser: NemID – computerworld.dk – den 21. december 2010
  41. Her er Årets It-fuser 2010 – computerworld.dk – den 27. december 2010
  42. 15-årig dreng uden netbank fik NemID – version2.dk den 11. oktober 2010
  43. Danske Bank gav gymnasieelev forkert NemID-identitet – version2.dk 2. september 2010
  44. Datatilsyn: DanID skal spærre 27.000 certifikater – den 31. august 2010 – computerworld.dk
  45. Datatilsynet har godt fat i nakken på DanID – computerworld.dk den 19. august 2001
  46. Nu spærrer DanID for 17.261 danskeres NemID-konti – computerwold.dk den 17. september 2010
  47. Ny NemID-svipser: DanID spærrer 3.604 konti – computerworld.dk den 1. oktober 2010
  48. Nye fejl hos DanID får videnskabsministeren op i det røde felt – version2.dk den 14. januar
  49. Folketinget – 2010-11 – UVT, Alm. del – Svar på spørgsmål 70 – Spm. om ministeren er bekendt med nye tilfælde, hvor borgere har modtaget d..... – (Udvalget for Videnskab og Teknologi)
  50. Minister skal opliste alle NemID-nedbrud – version2.dk, 25. november 2010

Eksterne henvisninger[redigér | redigér wikikode]