NemID

Fra Wikipedia, den frie encyklopædi
Gå til: navigation, søg
Disambig bordered fade.svg Ikke at forveksle med NemLogin.

NemID er en fælles log-in-løsning til danske netbanker og offentlige hjemmesider. NemID drives af firmaet DanID og blev taget i brug den 1. juli 2010.

Tanken er at man skal kunne bruge NemID til at logge ind på de institutioner, der har tilsluttet sig ordningen. Man skal dog have et OCES-certifikat for at få en offentlig digital signatur. Man skal kunne logge på med NemID fra en hvilken som helst computer, både i Danmark og i udlandet. Et krav har været at der skulle være to-faktor autentificering, hvor man i første omgang har valgt et nøglekort med engangskoder.

Indholdsfortegnelse

Baggrund [redigér]

I 2003 fik TDC opgaven med den første udgave af Digital signatur i de første fem år, og IT- og Telestyrelsen skulle udbyde opgaven igen[1]. De opstillede følgende mål for forbedring[2] : Sikkerhed, brugervenlighed, mobilitet og udbredelse. I udbuddets start var fire konsortier med[3] TDC, KMD, IBM[4] Post Danmark, EDB Gruppen og PBS i forskellige kombinationer, hvor fx TDC var med i tre grupper og PBS i to. Undervejes faldt nogle fra, og TDC og PBS fandt sammen om et fælles bud.[5] Ved deadline for bud for opgaven i november 2007, var det kun TDC og PBS, der kom med et bud.[6]

Samtidig var bankerne gået sammen om en ny fælles login-løsning til netbanker til erstatning for nøglefiler, som var blevet meget sårbare for elektroniske trojanske heste.[7] Antallet af angreb på netbanker var blevet større.[8][9] Bankerne og deres datacentrer havde som modtræk lavet løsninger som bl.a. SMS-koder[10] eller låsning af nøglefil til Pc'er.[11][12]

DanID indgik aftale [redigér]

TDC og PBS dannede "Selskabet af 24. august 2007" til udbuddet og som forhandler med IT- og Telestyrelsen om kontrakten, og i juni 2008 blev aftalen indgået. Samtidig trådte TDC ud af selskabet[13] og overdrog alle medarbejdere og aktiver til selskabet[14]. Den 25 juni 2008 blev aftalen og det nye navn på selskabet – DanID – offentliggjort[15],[16]. Efter et par forsinkelser pga. at forhandlingerne trak ud[17] og senere at bankerne ville have mere tid til test[18], kunne systemet tages i brug den 1. juli 2010.

Teknikken [redigér]

Systemet består af to uafhængige systemer. En OCES CA og et system til håndtering af brugerne, de private nøgler og adgangen til netbanker.

OCES CA [redigér]

OCES CA håndterer processerne omkring udstedelse af certifikater ved signering af offentlige nøgler og administration af certifikater derefter. Her er der mulighed for opslag via bl.a. LDAP, om hvorvidt et certifikat stadig er gyldigt eller er blevet spærret, søgning af certifikater via e-mail-adresse til brug for kryptering og signering af e-mails. Derudover er der for autoriserede myndigheder og firmaer en service for opslag fra pid – løbenummeret for cerfikatet – til CPR-nummer. Ved udstedelsen af certifikater sker der opslag i CPR-registret, samt i evt. kørekort- og pasoplysninger til verifikation af identiteten af personen.

Systemet kan håndtere både NemID og et særligt smartcard, som bruges til at lagre den private nøgle i stedet for centralt.

NemID [redigér]

Det andet system, som brugerne normalt har kontrakt til, er selve NemID-systemet. Det består af to delsystemer[19]:

  • Et system til udstedelse af engangscertifikater, som bruges over for Netbanker.
  • Et system til central lagring af de private nøgler til OCES-certifikater.

Håndtering af nøgler sker i nogle moduler, såkaldte Hardware security module (forkortet HSM), som er speciel hardware, der er certificeret efter standarden NIST FIPS 140-2 level 4 til formålet[19]. Det er et lukket system, hvor al kommunikation ind og ud er krypteret; også håndtering af data internt sker med kryptering. Det gælder også over for det disksystem, hvor data lagres, hvor backup af diske sker med de krypterede data.

Også ved login til systemet er der sikret med flere lag kryptering. I den SSL-forbindelse, som dannes til NemID, tjekkes bruger og adgangkode via en Secure Remote Password-protokol imellem Java-applet og NemID´s HSM[20]. Med denne protokol tjekkes, at brugeren har det rigtige password, men uden at NemID har det virkelige password[21]. Som den anden faktor bruges igen Secure Remote Password-protokollen til at verificere engangskoden fra nøglekortet.

Brugerens adgangskode bruges også til at udregne den nøgle, der skal bruges til at åbne brugerens private nøgler[21]. Dvs. NemID eller andre har ikke adgang til de private nøgler på det centrale system. Når man skal have forrettet en forbindelse til en service, danner browser og Java-applet en sessionsnøgle. Denne nøgle og kun den sendes til NemID, hvor nøglen bliver signeret med den private nøgle. Det gælder når en bruger skal sende en e-mail, der skal signeres. Omvendt, når en e-mail skal afkodes, sendes den krypterede sessionsnøgle til NemID, som tilbageleverer sessionsnøglen til at åbne det kodede dokument i e-mailen.

Kritik [redigér]

Der er en del kritik af DanID's håndtering af NemID.

Mange er utrygge ved at de private nøgler lægges på et centralt system. Spørgsmålet er om det misbruges, selvom systemet er udformet så det kun er brugerens adgangskode, der åbner op for den private nøgle. Det har været et krav fra IT- og Telestyrelsen at ved denne version af "Digital Signatur" skal den private nøgle være beskyttet af en hardware-løsning. Dvs. den gamle digitale signatur med en nøglefil skal fases ud.

En hardware-løsning kan udføres på to måder: Centralt med HSM-enheder eller decentralt med Smartcard. Den sidste løsning med smartcards, hvor al håndtering af den private nøgle sker inde i kortet, der er certificeret til formålet. DanID skal her kun direkte inddrages, når den offentlige nøgle skal signeres. Denne løsning skulle have været på plads i slutningen af 2010.[22], men er blevet udskudt til andet kvartal 2011.[23]

Forholdet til lov om elektroniske signaturer [redigér]

Det andet forhold – som delvis hænger sammen med opbevaring af de private nøgler – er om systemet skal overholde 'Lov om elektroniske signaturer'[24],[25],[26]. Fra IT- og Telestyrelsens side var det ikke et mål, at NemID skal overholde den lov, som kun gælder for kvalificerede certifikater. Ved kvalificerede certifikater er der større krav til kontrol af identitet, samt håndtering af nøgler og certifikater. Lovgivningen bygger på et EU-direktiv fra 1999. Dog vil NemID efterhånden trinvis nærme sig de krav.

Som et trin i retning af et forøget niveau til kvalificerede certifikater, skrev juraprocessor Henrik Udsen et notat for DanID, hvor han undersøgte de juriske muligheder for at opfylde kravene til kvalificerede certifikater med et system med central opbevaring af private nøgler. Hans konklusion var, at det kan lade gøre[27],[25]. Men han har ikke i notatet taget stilling til, om det nuværende systemet til NemID opfylder kravene til at kunne håndtere kvalificerede certifikater.

Kritik fra IT-Politisk Forening [redigér]

I august 2010 kom IT-Politisk Forening med en kritik af, at DanID har valgt en løsning med signerede java-appleter. Signerede java-appletter har på brugerens pc fulde læse- og skriverettigheder. DanID bruger de rettigheder til 1) caching, 2) at gemme en log på brugernes pc'er, samt 3) håndtering af dokumenter, der skal signeres med digital signatur[Kilde mangler]. IT-Politisk Forening hævder, at applet-løsningen medfører, at serviceudbydere såsom banker, myndigheder og andre virksomheder gives adgang til at aflure information hos brugeren og øvrige servicesudbydere, som brugeren har haft kontakt med.[28] Artiklen i Børsen giver indtryk af, at IT-Politisk Forening hævder, at alle sider, som bruger NemID, får adgang til brugerens computer. Men på IT-Politisk Forening's egen side om problemet gøres det klart, at det kun er DanID, som har adgang til brugerens private dokumenter på harddisken via NemID.[29]

DanID påstår, at serviceudbydere ikke kan få adgang til brugernes maskiner. Applet'en til NemID kommer fra DanID-maskinerne på serviceudbyderens initativ, og kun en signeret applet fra DanID kan kommunikere med DanID's server. Serviceudbyderen får kun fra applet en besked, der er signeret med brugerens signatur. [30] Derudover tilbød de at lade andre tjekke koden efter en debat på version2.dk.[31] IT-Politisk Forening påpeger dog, at sådan et tjek af kildekoden ikke kan forhindre DanID i efterfølgende at lægge en ny og ændret version af appletten op på deres server. Kildekoden til den nye version vil ikke være kontrolleret, og brugernes computere vil downloade og køre den nye version automatisk, uden at brugerne ved, at det ikke er den tidligere tjekkede version, de benytter.[32]

Brug af Java [redigér]

Det har også været kritiseret, at NemID kræver at brugeren har Java installeret. Java har historisk haft sikkerhedshuller, og der findes malware som angriber Java. Således risikerer man at ens computer kan bliver overtaget via et sikkerhedshul i Java, blot ved at besøge en hjemmeside med en browser som understøtter Java, hvis enten der er et zero-day sikkerhedshul i Java, eller hvis brugeren ikke har holdt Java opdateret. Sikkerhedseksperten Thomas Kristensen fra Secunia mener, at brugen af Java er er unødvendig for NemID, og at de burde bruge et almindelig webinterface i stedet.[33]

[Valget af Java til NemID] har sørget for, at software, som ligger på top 5 over hackernes favoritsoftware til at komme ind på folks maskiner, er tvunget ned i halsen på brugerne og er på deres maskiner

Thomas Kristensen, Version2

Desuden giver brugen af Java supportproblemer. Ud over Java-installationer som ikke er opsat rigtigt, så er Java's 2D-hardwareacceleration tilsyneladende inkompatibelt med nogle gamle grafikkort (eller grafikkort-drivere).[34]

Sikkerhedsproblemer ved valg af top-level-domæne [redigér]

DanID har valgt at placere NemID på domænet nemid.nu og ikke på det danske top-level-domæne nemid.dk. Dette har fra starten givet anledning til forvirring, da nemid.dk ejes af et andet privat firma, Assemble, som intet har med DanID og NemID at gøre[35]. Topniveaudomænet .nu, som nemid.nu hører under, tilhører stillehavsøen Niue, som har været kritiseret for ikke at yde tilstrækkelig juridisk sikkerhed omkring ejerskab af domæner[36].

Anden kritik [redigér]

Derudover har været en del kritik af brug af papkort til engangskoder. Nogle mener det er et trin tilbage at bruge pap, når der findes elektroniske enheder til formålet. DanID vil i løbet 2011 tilbyde en løsning.

Endvidere blev der allerede før NemID lanceredes advaret imod at løsningen muliggjorde såkaldte MITM-angreb (man-in-the-middle), så it-kriminelle har mulighed for at misbruge offerets bankkonti. DanID afviste påstanden, men kritikken har vist sig at være berettiget og antallet af indbrud i netbank er stigende.[37], [38]

Løsningen er i visse[Kilde mangler] tekniske kredse ikke særlig populær. Der er oprettet en "nej til nemid" hjemmeside[39].

Yderligere "vandt" NemID titlen som Årets it-fuser 2010 hos Computerworld.[40],[41]

Hændelser [redigér]

Der har været flere situationer, hvor DanID har gjort noget som ikke var hensigtsmæssigt. Fx har de givet et NemID for en helt anden person til en gymnasieelev og givet et NemID til en skoleelev uden netbank.[42][43]

En andet problem er at der flere gange er blevet afsendt brev med nøglekort samtidig med koderne til aktivering af NemID-kontoen. Den første gang i august 2010 berørte det 27.611 certifikater[44], som skulle spærres efter krav fra Datatilsynet,[45] og i midt i september 2010 blev 17.261 konti spærret som ikke i forvejen var blev spærret.[46]. Allerede den 17. september 2010 var der igen problemer, hvor printleverandøren, pga en produceringsfejl et par dage før, sendte både nøglekort og brev med adgangskoder samtidig for 3.604.[47] For at forhindre gentagelse af denne fejl, blev der udviklet en applikation, som automatisk skulle forskyde afsendelsen af breve, og den manuelle kontrol blev fjernet, hvilket dog ikke fangede alle tilfælde[48]. DanID måtte sende nye breve til 3.403 brugere, der havde genbestilt i perioden fra den 18. november til den 22. december 2010[49].

NemID har også haft tekniske driftsproblemer[50].

Se også [redigér]

Noter [redigér]

  1. TDC's digitale signatur kan lakke mod enden – www.computerworld.dk
  2. Sikkerhedskonceptet vedrørende NemID – www.digitalsignatur.dk
  3. Kapløbet om digital signatur 2.0 er i gang – www.computerworld.dk 2. februar 2007
  4. IBM vil udfordre TDC på digital signatur – www.computerworld.dk den. 9. februar 2007
  5. TDC og bankerne går sammen om digital signatur – www.computerworld.dk den. 18. september 2007
  6. Kun PBS-TDC-alliance byder på ny digital signatur – www.computerworld.dk den 12. november 2007
  7. Skarp kritik af dansk netbank-sikkerhed – www.version2.dk – 4. januar 2008
  8. Rekordmange netbankindbrud i 2007 – www.version2.dk den. 2. januar 2008
  9. Danskere fik stjålet ni millioner kroner i netbank-indbrud i 2008 – www.version2.dk den 26. marts 2009
  10. Nordea har SMS-sikret netbanken – www.version2.dk den 12. februar 2009
  11. Danske Bank øger sikkerheden efter kode-kaos – computerworld.dk den 25. januar 2007
  12. SDC tuner sikkerhed på 80 netbanker – computerworld.dk den 30. april 2007
  13. TDC færdig som leverandør af den digitale signatur – www.computerworld.dk/art/46623 den. 25. juni 2008
  14. Medarbejdere følger signatur ud af TDC – www.computerworld.dk den. 25. juni 2008
  15. Ny digital signatur baseres på engangskoder – www.computerworld.dk den. 25. juni 2008
  16. Sådan bliver den nye digitale signatur – www.version2.dk den. 25. juni 2008
  17. Ny digital signatur bliver forsinket – www.version2.dk den 9. januar 2008
  18. Digital signatur-afløser forsinket – igen – www.computerworld.dk den 17. september 2009
  19. 19,0 19,1 Computerworld – Så sikkert opbevares din NemID
  20. Prosabladet nr 12 2010 side 29
  21. 21,0 21,1 Teknikken bag NemID – www.nemid.nu
  22. DanID til kritikerne: Få din decentrale, private nøgle til jul – version2.dk – 12. maj 2010
  23. Privat NemID-nøgle på smartcard forsinket et halvt år – version2.dk – 10. december 2010
  24. Ny digital signatur følger ikke loven – det var for dyrt – version2.dk den 21. juni 2010.
  25. 25,0 25,1 Den digitale signatur på kanten af loven – computerworld.dk den 2. februar 2010
  26. Lov nr. 417 af 31.05.2000 om elektroniske signaturer – retsinformation.dk
  27. Henrik Udsen (29. september 2009). "Notat om anvendelsen af serverbaserede løsninger for kvalificerede elektroniske signaturer". https://danid.dk/export/sites/dk.danid.oc/da/dokumenter/henrik_udsen_notat.pdf. 
  28. Store huller i sikkerhed omkring ny digital signatur – borsen.dk den 10. august 2010
  29. Den åbne bagdør i NemID
  30. Høj sikkerhed omkring NemID – Pressemeddelelse fra DanID den 10. august 2010. Teknisk bilag: Anvendelse af Java applet i NemID-løsningen (opdateret tirsdag d. 17. august)
  31. DanID vil vise Java-kode frem: »Vi har intet at skjule« – version2.dk – 11. august 2010
  32. IT-Politisk Forening stoler ikke på DanID trods kode-striptease
  33. Sikkerhedsekspert: Håbløst at basere NemID på Java – Version2
  34. NemID-support: Java og grafikdrivere er det mest drilske Version2
  35. Advarsel mod www.nemid.dk
  36. http://www.siteadvisor.com/studies/map_malweb_mar2007.html McAfee: "Mapping the Mal Web"
  37. Voldsom stigning i danske netbank-indbrud – version2.dk – den 12. februar 2013
  38. Artikler om NemID og Man-in-the-middle-angreb – version2.dk
  39. NemID får hadesite – version2.dk – den 13. december 2010
  40. Kandidat til Årets it-fuser: NemID – computerworld.dk – den 21. december 2010
  41. Her er Årets It-fuser 2010 – computerworld.dk – den 27. december 2010
  42. 15-årig dreng uden netbank fik NemID – version2.dk den 11. oktober 2010
  43. Danske Bank gav gymnasieelev forkert NemID-identitet – version2.dk 2. september 2010
  44. Datatilsyn: DanID skal spærre 27.000 certifikater – den 31. august 2010 – computerworld.dk
  45. Datatilsynet har godt fat i nakken på DanID – computerworld.dk den 19. august 2001
  46. Nu spærrer DanID for 17.261 danskeres NemID-konti – computerwold.dk den 17. september 2010
  47. Ny NemID-svipser: DanID spærrer 3.604 konti – computerworld.dk den 1. oktober 2010
  48. Nye fejl hos DanID får videnskabsministeren op i det røde felt – version2.dk den 14. januar
  49. Folketinget – 2010-11 – UVT, Alm. del – Svar på spørgsmål 70 – Spm. om ministeren er bekendt med nye tilfælde, hvor borgere har modtaget d..... – (Udvalget for Videnskab og Teknologi)
  50. Minister skal opliste alle NemID-nedbrud – version2.dk 25.november 2010

Eksterne henvisninger [redigér]

s·d·r
Nem-løsninger
NemID  NemKonto  NemLogin
Hentet fra "http://da.wikipedia.org/w/index.php?title=NemID&oldid=7041972"