Daily Archives: March 6, 2014

Én digital signatur til alt og alle – er det også fremtiden?

Når man tænker på det langstrakte implementeringsforløb vi har haft for vores nuværende digital signatur løsning med NemID, er det mest oplagte nok ikke at tænke, at næste gang må vi hellere bede om to løsninger i stedet for én!

Ikke desto mindre er det jo relevant at overveje, om anvendelsesområdet for NemID og digital signatur efterhånden er blevet så bredt, at der er behov for en lillebror? En lillebror som er lettere at anvende og måske har en begrænset funktionalitet, ved siden af den standardiserede digitale signatur, vi kender i dag.

Den nuværende NemID digitale signatur er baseret på den tekniske standardisering fra 1990’erne med X.509 certifikater, nøglecentre som betroede tredjeparter og signaturformater såsom XML-DSIG og PKCS#7.
Infrastrukturen understøtter altså i dag, at hver bruger kan afgive en fuld standardiseret digital signatur knyttet til et dokument eller en aftaletekst. Dette undnyttes af en række af de avancerede tjenester f.eks. ved indgåelse af lejekontrakter i boligselskaber eller låneaftaler, men hovedparten af tjensterne anvender i dag udelukkende NemID til brugerautentifikation.

Vi har herhjemme udviklet en tradition for, at de digitale tjenester primært skal autentificere brugerne og ikke nødvendigvis få en standardiseret digital signatur på de enkelte transaktioner. Selv hos Skat skal man bare logge ind. Tager man for eksempel Norge, går man her mere traditionelt til værks, og baserer sig mere på at kunne opbevare en digitalt signeret transaktion og endda kunne validere den tekniske kryptering bag signaturen efter en årrække.

Jeg har i mine seneste indlæg taget en rundtur i forhistorien for NemID og digital signatur, og senest kigget på hvad de nordiske lande gør.
Denne blog tager en tur rundt om de mange interessenter omkring NemID og digital signatur her 10 år efter introduktionen, og slutter af med nogle overvejelser over hvad den eventuelle introduktion af flere sikkerhedsniveauer ville betyde for interessenterne.

Brugernes behov – det skal være let og trygt

Tjenesterne på internettet er i gang med at vænne brugerne til, at de kan gøre næsten alting online, præcis når de har lyst. Alle forhindringer for dette, søger brugerne udenom. Klik.

Tænk blot på kreditkorthandel. Kreditkortselskaberne har de sidste 20 år forsøgt at få os til at bruge en mere sikker (og bøvlet) mekanisme – jeg kan huske mindst tre forskellige storstilede kampagner og teknologiske investeringer. Men forbrugerne har ”vundet”, vi har stadig verdens sandsynligvis ringest tænkelige identifikationsmekanisme til at autorisere køb på nettet: ”Indtast dit kortnummer, udløbsdato og tre cifre fra bagsiden…”.

Så når brugerne stemmer med fødderne, så gungrer det!

Disse mekanismer har også styrke i forhold til digital forvaltning. Hos Skat var man mange år om at udfase tastselvkoden, for det var noget folk havde lært at bruge, og man ville ikke risikere, at de begyndte at ringe igen.

Så set fra brugernes synspunkt skal det selvfølgelig være let. Men det skal også være trygt. Man vil ikke læse i avisen om sikkerhedsproblemer og risici, som godt kunne ramme én selv!

Det offentliges behov – alle skal være med

Det offentliges ambition med digital forvaltning er, at alle danskere kan finde ud af at deltage. Lige fra debattørerne på Version2 til bedstefar og oldemor, som måske akkurat har lært at sende SMS’er til børnebørnene. Så det skal være let at autentificere sig, eller i hvert fald så let og interessant, at alle borgere vil investere kræfter i at lære det.Samtidig skal løsningen være sikker og tryg at anvende for alle.

Tjenesteudbydernes behov – det skal være billigt og give trafik

Tjenesteudbyderne har behov for at nå så mange brugere med så stor funktionalitet og så lille udgift som muligt.
Derfor skal det være enkelt og ensartet at modtage alle brugere, uafhængig af hvilken konkret NemID løsning brugerne har.

Netbankernes behov

Der er næppe tvivl om, at rigtig mange brugere er glade for at kunne anvende én sikkerhedsmekanisme, både i netbankerne og hos det offentlige.

Netbankerne selv anvender i dag i praksis supplerende sikkerhedsmekanismer til mistænkelige transaktioner, og det er næppe en udvikling, som stopper. Netbankerne vil derfor sandsynligvis have øget behov for at kunne tilpasse sikkerhedsløsningerne dynamisk til trusselsbilledet, og samtidig har de største banker behov for at have løsninger i andre lande også. Dette kan potentielt udfordre en dansk fællesløsning som NemID.

Flere sikkerhedsniveauer?

Så er det ikke skørt at bruge samme mekanisme til så vidt forskellige behov på internettjenester? Vi bruger jo heller ikke Pas på biblioteket?

Netbankerne har jo faktisk arbejdet med to sikkerhedsniveauer, med deres ”kigge adgang” baseret på NemID brugerID og password, og den fulde adgang, hvor også engangskoderne fra nøglekortet er i brug. Dette synes jo umiddelbart at være en god løsning for brugerne, som stadig kun har én mekanisme. I forhold til anvendelse mod digitale forvaltningstjenester er det ”lave” sikkerhedsniveau dog helt uden standardisering og tilhørende risikovurdering. Man kan så at sige ikke afgive en ”halv” digital signatur.

Af både tekniske og sikkerhedsmæssige årsager er det næppe muligt eller ønskeligt fremadrettet at lade én sikkerhedsmekanisme understøtte både et højt sikkerhedsniveau og en ”kigge adgang”. Og så er spørgsmålet, om brugerne i sidste ende er interesseret i at have to helt selvstændige mekanismer?

Hvis man indfører to sikkerhedsniveauer, får man også brug for en klassificering af hvad de må anvendes til.

I netbankernes pengetransaktioner er det forholdsvis enkelt at lave en risikovurdering af den transaktion, som brugeren ønsker at gennemføre. Hvis man blot vil se en saldo eller flytte penge imellem egne konti, er det ikke så farligt.

Den slags risikovurdering er oftest vanskelig i offentlige tjenester, hvor det kan være sværere at vurdere risici og identificere mistænkelige transaktioner.

Der er andre lande, hvor man har indført flere sikkerhedsniveauer for elektronisk identifikation. Som beskrevet i bloggen Digital signatur i Norden har man jo f.eks. i Norge nu to sikkerhedsniveauer. Her ser det ud til, at man i store træk klassificerer højt sikkerhedsniveau ved at dette forudsættes for adgang til sundhedsdata.

Hvor dette jo umiddelbart virker forståeligt, kan det også betyde, at man får en digitalisering i to hastigheder, hvor sundhedsområdet kobles af udviklingen, hvis de fleste tjenester kun forudsætter mellemhøjt sikkerhedsniveau. Dette kan umiddelbart give et pres for at give adgang til flere data med mellemhøjt sikkerhedsniveau, på samme måde som vi ser i dag herhjemme, hvor andre tjenester også ønsker mulighed for ”kigge adgang” ligesom netbankerne.

Så flere sikkerhedsniveauer giver umiddelbart anledning til nogle panderynker. Og hvor placerer vi i øvrigt de identitetsleverandører, som breder sig med eksempelvis Facebook og Google? Skal de spille en rolle indenfor digitale forvaltning?

Lillebror eller ej? Familieplanlægning er jo oftest en lidt tør, uromantisk aktivitet, som primært associeres til fædre med ingeniørbaggrund. Men når man forestiller sig den glade, lille purk der leger på gulvet, må man også huske på, at sådan én også kan give en del ballade til andre tider.

Som en af verdens største bitcoin-børser håndterede Mt. Gox i Tokyo bitcoins for milliarder af kroner, og udadtil så tjenesten fin ud. Men bag facaden var det en rodebutik uden lige med en direktør, som ikke påtog sig direktørrollen, men kastede sig over nye, sjove projekter i stedet.

Sådan lyder det – kort fortalt – fra tidligere ansatte eller konsulenter hos Mt. Gox, som i februar måtte lukke ned, efter at hackere i to år havde stjålet bitcoins for over to milliarder kroner fra tjenesten. Det skriver Wired.com.

Mt. Gox blev oprindeligt udviklet af amerikaneren Jed McCaleb, men han droppede projektet og solgte det i 2010 til den franske udvikler og iværksætter Mark Karpeles, der havde slået sig ned i Japan.

Softwaren bag Mt. Gox fik en overhaling af Mark Karpeles, og tjenesten fik hurtigt succes på det voksende marked for bitcoin-handel og -opbevaring. Et hackerangreb i 2011, som fik sitet offline i nogle dage, fik ikke tilliden til Mt. Gox til at forsvinde – men det afslørede, hvordan Mark Karpeles var underligt ligeglad med sikkerhedsproblemer.

Flere frivillige udviklerkræfter susede til Tokyo for at hjælpe Mark Karpeles med at få afværget hackerangrebet og knoklede i døgndrift, og de så måbende til, da direktøren for det hele valgte at holde fri hele weekenden. Da han dukkede op mandag, brugte han tiden på manuelt arbejde som at fylde kuverter i stedet for at koncentrere sig om at få Mt. Gox-tjenesten online.

Softwaren bag det hele blev også med tiden problematisk, for der blev ikke brugt versionsstyring, selvom der efterhånden var en del udviklere, som arbejdede på koden. Dermed risikerede man at overskrive hinandens arbejde. Det var kun Mark Karpeles selv, som kunne godkende kode til produktion, og det kunne tage uger – også når det gjaldt kritiske sikkerhedsopdateringer.

Et testmiljø kom først til umiddelbart før krakket, så indtil da blev kode brugt i produktion uden mulighed for at teste, hvordan det ville virke i sammenhængen.

»Kildekoden var ét stort rod,« lyder vurderingen fra en af dem, som Wired har talt med.

Mt. Gox som forretning blev i løbet af 2013 truet på flere måder, med sagsanlæg for 400 millioner kroner og 27 millioner kroner af firmaets penge indefrosset af de amerikanske myndigheder. Kunderne begyndte at flygte, og Mt. Gox gik hurtigt fra at være verdens største bitcoin-børs til at være nummer 3.

Imens koncentrerede Mark Karpeles sig om at indrette en cafe med bitcoin-betaling i stueetagen og at omprogrammere kasseapparatet, så det kunne modtage bitcoins. Ud over cafeprojektet gik hans tid med at ordne servere, sætte netværk op og andre it-support-opgaver, fortæller en insider.

En ny metode gør brug af augmented reality til effektivt at lindre eller helt fjerne fantomsmerter.

Metoden kan vise sig at have stort potentiale, da behandlinger i dag i mange tilfælde har en ringe effekt. Samtidig oplever op mod 70 procent af amputerede patienter fantomsmerter.

Men nu har et forskerhold fra Chalmers-universitetet i Gøteborg udviklet en metode, der kombinerer en række teknologier. Patienten får elektroder på stumpen ved den amputerede legemsdel. Elektroderne måler muskelsignalerne. Derefter oversætter en computer signalerne til bevægelser og viser en virtuel arm på en computerskærm, som patienten styrer med tankerne.

»Der er flere aspekter ved denne metode, som kombineret set kan være grunden til, at patienten oplever smertelindring,« forklarer den ledende forsker bag studiet, ph.d. Max Ortiz Catalan, i pressemeddelelsen.

»De motoriske områder i hjernen, der skal bruges til at bevæge den amputerede arm, er blevet genaktiveret, og patienten får visuel feedback af computerprogrammet, hvilket narrer hjernen til at tro, at der stadig er en arm. Han oplever sig selv som et helt menneske, der har fået sin amputerede arm tilbage.«

Den nye metode er blevet afprøvet på en patient, som har oplevet fantomsmerter, siden han mistede sin højre arm for 48 år siden. Ved hjælp at et behandlingsforløb blev smerterne kraftigt reduceret fra at være moderate eller uudholdelige. Nogle dage oplevede patienten at være helt smertefri.

»Vores metode adskiller sig fra tidligere metoder, fordi kontrolsignalerne kommer fra selve stumpen. Det sætter gang i det motoriske system, og kombinationen af det og den levende følelse, som augmented reality giver, kan være det, som giver patienten lindring,« siger Max Otiz Catalan i Chalmers-pressemeddelelsen.

Næste stop er et klinisk studie af den nye metode.

Chalmers-universitetets video

Oven på en kampagne igangsat på Microsofts egen blog, hvor de rekrutterer brugere til at opfordre XP-brugere til at opgradere til Windows 8, har brugerne angiveligt haglet Microsoft ned.

Det skriver hothardware.com

Giganten kritiseres for, at opgraderingsmulighederne egentlig ikke er nogen opgradering, eftersom at Microsofts opgradering betyder, at al indhold fra PCen slettes for derefter at geninstallere en frisk kopi af Windows 8.

Microsoft har i flere måneder ladet sine brugere fortælle, at al support og service til Windows XP og Office 2003 vil ophøre fra den 8. april.

Selv forsøger Microsoft efter mange vrede henvendelser at opliste fordelene ved et skifte til Windows 8 i et nyt blogindlæg, men ifølge Gene Grabowski, vicedirektør i PR-firmaet Levick, er det ikke underligt, at Microsoft kommer under beskydning.

Ifølge ham viser det, når Microsoft end ikke udbyder et ordentligt opdrageringsværktøj, at man simpelthen ikke udviser forståelse for sine kunder, ved ikke at overveje hvorfor så mange stadig bruger Windows XP, ligesom at man heller ikke tilbyder nogle fordelagtige priser på at opgradere.

Mobile enheder bliver i stigende grad udsat for malware. Det understreges af en ny opgørelse udført af det CAPTCHA-baserede annoncefirma Solve Media, som nu anslår, at 25 pct. af al mobiltrafik i USA er af den mistænksomme en af slagsen. Det er en stigning på 30 procent.

Det skriver techcrunch.com.

Ifølge Solve Media steg den mistænksomme trafik på virksomhedens eget netværk med 40 procent i 2013, og selvom at det ikke er givet at al den mistænksomme trafik alt sammen kommer fra bots, anslår virksomheden, at 72 procent af den registrerede trafik helt sikkert stammer fra bots.

“Med forventningen om, at amerikanske annoncebudgetter vil toppe med 182 mia. dollar i 2015, må brands og forlæggere forpligte sig til at indføre forbygning mod svindel nu,” siger den administrerende direktør for Solve Media, Ari Jacoby ifølge Techchrunch.

Ifølge ham hænger stigningen sammen med, at de stigende amerikanske annoncebudgetter bliver spenderet omkring feriedagene.

I fjerde kvartal af 2013 kom den største trafik fra Sydøstasien, Kina og Østeuropa.

Solve Media’s opgørelse er baseret på over 700 millioner CAPTCHA-verifikationer på omkring 8.400 websider.

For øjeblikket er YouSee i fuld gang med at opdatere software i wifi-modemmer, som står hos virksomhedens kunder landet over. Efterhånden som sofwaren bliver opdateret, bliver der også åbnet for et separat wifi-hotspot hos kunden, som andre YouSee-kunder kvit og frit kan tilgå, når de er på farten. YouSee kalder produktet for YouSee Wifi-spot. Virksomheden startede med at teste det lokalt i 2013, men er nu nået halvvejs med at rulle det ud over flere dele af landet, nemlig de områder, YouSee dækker.

Afdelingsdirektør hos YouSee Bredbånd Eva Tetsche vurderer, at et sted mellem 50.000 og 100.000 kunders hardware er blevet opdateret, og dermed indgår de som en aktiv del af YouSee wifi-spot-produktet.

»Vi tænker det som et supplement til mobilt bredbånd. Det er jo ikke et sammenhængende netværk (som mobilt bredbånd, red.), hvor man kan bevæge sig omkring og være på. Man vil ryge af og på. Det er to brugeroplevelser. Det er primært, så man kan sidde på en café eller ved naboen og kan gå på uden at skulle have fat i en trådløs netværkskode. Man kan spare på sin mobile datatrafik. Og som mobiludbyder kan vi jo også lave mobile-offload,« siger hun og henviser til, at det er billigere for YouSee, der også har en forretning inden for mobiltelefoni, at sende datatrafik via wifi-opkoblingerne end via telenettet.

Ikke alle YouSee-kunder

Det er ikke alle YouSees kunder, der i første omgang får forvandlet deres hardware til et åbent wifi-hotspot. Det er nemlig ikke alle typer hardware, der understøtter det. Eva Tetsche forventer, at når den nuværende opdateringsrunde er afsluttet i slutningen af marts eller begyndelsen af april, vil der være omkring 200.000 aktive hotspots, hvilket svarer til cirka halvdelen af YouSees bredbåndskunder. Og efterhånden som de resterende kunder får udskiftet deres hardware med noget, der understøtter den bagvedliggende teknik, vil resten af YouSees kunder løbende komme til at indgå i wifi-hotspot-produktet.

Ønsker en kunde ikke, at YouSee-modemmet i vindueskarmen skal være en del af det åbne net, er det muligt at blive fri. Men udgangspunktet er, at YouSees kunder ikke er blevet spurgt, om de vil indgå i nettet.

»Hvis vi havde valgt, at kunderne aktivt skulle melde sig til, så tænker vi, at vi måske – på en god dag – var kommet op på en 10-15 pct., der syntes, det var en god idé. nu gør vi det den anden vej rundt. Så håber vi, det er maks. 10 procent, der melder sig fra,« siger Eva Tetsche og tilføjer:

»Det er jo altid sådan med ny teknologi, at kunderne hellere vil sige nej til det, fordi de ikke helt ved, hvad det er. Men i virkeligheden er det måske måden at få kunderne til at ændre vaner og til at bruge ny teknologi. Ved at stille det til rådighed. Kunderne kan altid melde det fra. Det er bare at kontakte os og sige, at det ønsker de ikke at være en del af.«

Hvad med sikkerheden?

I forhold til datasikkerheden skulle der ikke være noget at komme efter. Eva Tetsche fortæller, at det åbne wifi – som altså ikke er mere åbent, end at det kun er YouSee-kunder, der kan få internetadgang – opererer på et separat trådløst netværk med eget SSID, som er isoleret fra det private netværk hos kunden.

En anden sikkerhedsmæssig problemstilling kunne være, at andre slet og ret misbruger adgangen til wifi’et til at begå ulovligheder via nettet. Men den går heller ikke, da det er nødvendigt for YouSee-kunder at logge ind via en webformular, før der åbnes op for det øvrige internet.

»Det kan aldrig komme den enkelte kunde til skade. Vi kan altid identificere den kunde, der har været på. Vi logger brugeren til bruger-ID. Det er også noget med terrorlovgivningen, det skal vi simpelthen gøre. Så kunderne behøver ikke være nervøse for det sikkerhedsmæssige,« siger Eva Tetsche.

Hvad med båndbredden?

Derudover lægger YouSee 10 Mbit/s oven i kundernes båndbredde, som er dedikeret til den ekstra wifi-trafik. Så heller ikke båndbreddemæssigt skulle der være noget at bemærke, når ‘fremmede’ kobler sig på det trådløse net.

Der kan dog være et lille ‘men’ i den sammenhæng. For wifi-båndbredden, som kunden har tilgængelig privat, kan nemlig godt risikere at blive påvirket, når andre kobler på wifi.

YouSee har imidlertid lagt en maksimal hastighed på 10 Mbit/s ind i forhold til, hvor meget udefrakommende på det separate åbne wifi-net kan bruge. Derudover kan hver enkelt opkobling til dette SSID maksimalt bruge 4 Mbit/s.

Og skulle det alligevel vise sig, at andre æder for meget af wifi-båndbredden hos kunderne, så har YouSee mulighed for at prioritere de private brugeres trafik, fortæller Eva Tetsche.

Rækkevidden på det – for YouSee-kunder – åbne wifi-net forventer hun vil blive op til 75 meter, alt efter hvor hardwaren står.

»Står det bag fire betonvægge, vil det jo ikke være 75 meter, men står det i vinduet i et parcelhus, så vil det kunne række rimeligt langt. Så op til 75 meter.«

Dækningskort er ikke SÅ præcist

Det er muligt på YouSees dækningskort for produktet af følge med, efterhånden som der bliver tændt for tilgængelige SSID’er i YouSee wifi-spot. Og har man af en eller anden grund ikke lyst til, at naboen eller andre skal vide, man bruger YouSee, så skulle der være en vis form for privatliv forbundet med dækningskortet også.

»Det har vi tænkt lidt over. Vi mener ikke, vi går så tæt på, at man ligefrem kan se, det er nummer tre på hjørnet,« siger Eva Tetsche og tilføjer:

»Men at man kan se, at i dette område er der tilpas mange hotspots til, at det er interessant.«