Må man bruge sin egen NemID-klient, hvis man har gennemskuet protokollen og kommunikationen med NemID’s servere?
Det spørgsmål har datalogen Christian Panton stillet Nets DanID, efter at han har udviklet sin egen javascript-baserede NemID-klient, der gør det muligt at bruge NemID på enheder, hvor Java er udelukket.
Svaret fra Nets var et rungende nej. Men inden svaret nåede at tikke ind i Christians indbakke, fik Version2 svar på spørgsmålet om sagen. Nets vil ikke forholde sig til Christians Pantons sag, men kun svare generelt på spørgsmålet. Og det var hverken et ja eller et nej:
»Som svar på dit spørgsmål kan Nets ikke forhindre borgere i at udvikle deres egne login-løsninger, men Nets har en aftale med Digitaliseringsstyrelsen og bankerne om en totalleverance, hvor Nets står inde for NemID-løsningen end-to-end,« skriver Nets i et skriftligt svar til Version2.
Til gengæld kan det være, at en hjemmelavet NemID-klient går for tæt på den kode, som Nets selv har skrevet, lyder vurderingen:
»Nets ejer NemID, det vil bl.a. sige de it-komponenter, som indgår i anvendelse af løsningen. Java-appletten, som benyttes i dag og den kommende Javascript-løsning er en integreret del af NemID. Såfremt andre foretager reverse engineering af komponenterne i NemID med henblik på at udvikle en tilsvarende log-on løsning fx baseret på samme protokoller, kan det være en krænkelse af Nets’ ophavsret,« skriver firmaet.
Før en ny del af den samlede løsning kan få stemplet ’sikker’, skal den vurderes som en del af helheden, understreger Nets:
»Som ejer af den samlede NemID løsning indestår Nets DanID for sikkerheden i hele løsningen. Hvis NemID blev opdelt i delkomponenter, ville der være en række sikkerhedsmæssige forhold som skulle analyseres nærmere, ligesom spørgsmålet om fordeling af ansvar i forhold til de enkelte delkomponenter skulle fastlægges,« lyder svaret.
Sagen lukket
Efter svaret fra Nets stillede Version2 en række yderligere spørgsmål – bl.a. om hvilke patenter, Nets mente, Christian Panton kunne risikere at overtræde. Navnligt da softwarepatenter ikke er gyldige i Europa. Version2 ville også gerne vide, hvorfor Nets reagerede med juridiske advarsler som “uautoriseret indtrængen i NemID’s sikkerhedsinfrastruktur” og “nødvendige juridiske tiltag”, og om Nets betragter det som en eventuel hackersag.
Nets afviser dog at svare på flere spørgsmål og oplyser, at de betragter sagen som lukket.
Leave a Reply