I stedet for én nøgle, som skal bruges alle vegne, skal danskerne kunne fabrikere flere forskellige nøgler til forskellige formål og selv have hovednøglen under fuld kontrol.
Sådan lød en af konklusionerne, da Version2, inviterede fire eksperter i it-sikkerhed og identitetsløsninger til et visionarium om fremtidens digitale signatur i Danmark. Digitaliseringsstyrelsen er nemlig i fuld gang med forberedelserne til en afløser for NemID, som skal være klar senest i november 2017, og repræsentanter for styrelsen deltog som observatører under visionariets møde.
»Har vi en ret til at være private, anonyme eller pseudonyme? Mange kendte mennesker har i dag et problem med at opgive deres rigtige navn og vælger for eksempel at booke hotelværelse under falsk navn,« sagde systemudvikler og it-debattør Poul-Henning Kamp ved visionariets møde, hvor fire medarbejdere fra Digitaliseringsstyrelsen tog imod rådene som observatører.
I dag har nogle brug for mange NemID’er
Den nuværende NemID fungerer på en fastlåst måde, hvor samme ID med adgang til følsomme persondata altid udleveres, uanset hvor borgeren logger på. Den linje må NemID-afløseren på ingen måde fortsætte, lød det fra eksperterne. I stedet skal staten skabe et solidt og åbent fundament, hvor det er nemt at tilpasse udleveringen af data efter det konkrete behov, så NemID også vil kunne anvendes i flere forskellige sammenhænge – f.eks. på virksomheders intranet.
Også brugervenligheden bør øges markant, lyder kravet. Hvis en borger f.eks. er medlem af mange virksomhedsbestyrelser, skal man i dag have et NemID for hvert eneste firma for at kunne skrive bestyrelsesreferatet under.
»Det kan man i stedet lave om til en rolle, og det er faktisk ret nemt at lave,« forklarede Henrik Biering, som er repræsentant for den åbne, internationale ID-løsning OpenID.
En af de vellykkede ting fra den nuværende NemID, som tænketanken ønsker at bevare, er papkortet med engangskoder, som ellers generelt har været upopulært blandt menigmand. Det er en effektiv måde at hæve sikkerheden på, som næsten alle kan forstå, lød dommen. Der må dog gerne udvikles flere muligheder for at få præsenteret disse engangskoder.
Mødet varede tre timer en torsdag formiddag i august. Det kom i stand i forlængelse af Digitaliseringsstyrelsens offentlige høringsperiode om næste generation af NemID. Her inviterede styrelsen til dialog med Version2 og nogle af vores ekspertbrugere. De fire eksperter var:
- Poul-Henning Kamp, selvstændig systemudvikler med bred erfaring i kryptografi, it-sikkerhed og systemdesign. It-debattør og blogger på version2.dk og ing.dk.
- Carsten Schürmann, lektor på IT-Universitetet. Leder af forskningsprojektet Demtech om e-valg, som rummer mange af de samme problemstillinger som en ny, digital signatur.
- Christian D. Jensen, lektor på DTU Compute, ph.d. i datalogi med speciale i it-sikkerhed. Underviser i kryptografi.
- Henrik Biering, dansk repræsentant for den internationale organisation OpenID Foundation, medlem af Rådet for Digital Sikkerhed. Blogger på version2.dk om ID-løsninger.
Konklusionen og hovedønsket fra eksperterne var en åben digital signatur, hvor vi ikke bare har én digital identitet, som i dag med NemID, men hvor alle interesserede kan oprette nye, afledte identiteter, der er bundet op til deres reelle identitet, men som viser lige netop det, der er brug for i situationen.
Det kan ske gennem brugen af roller og attributter og en såkaldt pseudonymisering, som ’skræller’ personlige oplysninger ud og for eksempel kun bekræfter, at en person er over 18 år gammel (se grafik).
»Jeg ville gøre det til en central del af NemID2. Det behøver ikke køre via en central tjeneste, for hvis du vil give din søn en fuldmagt til dine banksager i tre uger, kan banken give dig et certifikat, som du kan overdrage til din søn. Vi skal gøre det muligt for folk at lave den slags certifikater,« sagde Poul-Henning Kamp, systemudvikler og blogger på version2.dk og ing.dk.
Kræver intet mellemled
Faktisk kræver det slet ikke noget firma eller en statslig myndighed som mellemled at bruge den slags certifikater. For eksempel kan en gruppe privatpersoner stifte deres egen forening, underskrive vedtægterne digitalt og udnævne en bestyrelse.
Med deres digitale underskrifter kan de så åbne en bankkonto og bede banken om kun at give adgang for personer, som har det rette digitale certifikat, med digitale underskrifter fra bestyrelsen.
»Certifikater er en smuk teknologi, som kan bruges til alt det her. Når først der er en infrastruktur til det, kan det bruges i ’closed loop’, hvor jeg kan give et certifikat til en anden, og jeg selv er den eneste, som skal kunne tjekke det, for eksempel til at give andre adgang gennem min hoveddør i en bestemt periode,« sagde Christian D. Jensen, lektor på DTU Compute.
De smarte, kryptografiske funktioner, man får med sådan et åbent system, er de færreste danskere dog fortrolige med, og den store opgave vil derfor være at gøre det nemt at bruge. Det mente Henrik Biering fra OpenID Foundation måtte kunne lade sig gøre.
»Folk skal ikke vide noget om certifikater, de skal bare vide, at de kan oprette en rolle og overdrage den til andre. Det kan man gøre via software på en hjemmeside,« sagde han, mens andre i ekspertpanelet talte for en to-delt løsning, en basis-model og en mere avanceret.
Så kunne danskerne som udgangspunkt køre videre med en løsning, der minder meget om NemID i dag, men alle, som ønskede det, kunne åbne op for de mere komplicerede muligheder, lød en løsning.
Plastkort med foto og chip
Hvordan den avancerede løsning skulle tage form rent praktisk, er det for tidligt at lægge sig fast på, mente eksperterne, men en mulighed kunne være et plastkort med foto og indbygget chip. Dermed kan man nemlig også erstatte flere af de kort, danskerne bruger i forvejen, med det nye, digitale ID.
I den avancerede version ville kortet faktisk være en mini-computer med taltaster og en lille skærm, ligesom Danske Bank for eksempel tilbød sine netbank-kunder, før NemID blev lanceret i 2010.
Sådan en mini-computer ville løse problemet med at finde en hardware-platform, der er til at stole på – i fagtermer en ’trusted computing platform’. I dag kan man nemlig ikke sætte sin lid til hverken en klassisk desktop-computer eller sin smartphone. Der er for høj risiko for hackere begge steder, lød eksperternes vurdering.
Derfor var det velkendte NemID-papkort også populært i panelet, fordi det er simpelt, men effektivt. Så længe folk ikke dummer sig og tager billeder af engangskoderne med deres mobiltelefon, er det svært for en hacker at få fat i koderne.
Hvordan den nye digitale signatur ellers kan blive beskyttet bedst muligt, afhænger meget af det endelige design og om den for eksempel også skal bruges til netbank, eller kun til offentlig selvbetjening. Men det er en god idé at tilbyde flere forskellige sikkerhedsniveauer, så der er højere sikkerhed og måske krav om et særligt password, når man skal logge ind til følsomme oplysninger eller godkende en vigtig transaktion.
»Med NemID i dag skal du bruge samme password alle steder. Det er det første, vi lærer børn i skolen om it-sikkerhed – det må man ikke,« sagde Henrik Biering.
Også krypteringsteknologien skal være helt knivskarp og fremtidssikker.
»Vi skal vide, hvem vi skal beskytte os imod. Er det NSA? Hvis vi designer en protokol, som skal bruges til at kryptere vores data, så er det rigtig vigtigt, at den kryptering stadig er sikker fem år senere. Det skal vi tænke grundigt over nu,« sagde Carsten Schürmann, lektor på IT-Universitetet.
Giv it-eksperterne deres småkager
At finde en løsning, som kan bruges af alle danskere – når nu staten kører på med tvangsdigitalisering – var dog ikke nok. Belært af erfaring fra den nuværende NemID er det også afgørende at gøre de it-kyndige glade, lød det fra Christian D. Jensen.
»Flere af dem, jeg kender, som arbejder med it-sikkerhed, har fravalgt NemID til offentlig selvbetjening og bruger det kun til netbank. Nakkehårene rejser sig på alle, der arbejder med computere, når vi hører om, hvordan Nets gør, og så fortæller vi det videre, og det breder sig,« sagde han.
At finde en løsning, som it-folk vil anbefale andre, var også Poul-Henning Kamp meget stærk fortaler for. Han kom med eksemplet om, hvordan et bredt ønske fra it-folk til den nuværende NemID om understøttelse af standardprogrammer til at kryptere e-mails ikke blev fulgt.
»I må give it-eksperterne de småkager, de beder om, og klappe dem lidt på ryggen. I stedet for at få it-branchen imod løsningen, så prøv at få den med. Det er meget mere produktivt,« sagde han til Digitaliseringsstyrelsens repræsentanter.
I Digitaliseringsstyrelsen vil souschef Charlotte Jacoby tage visionariets råd med i det videre arbejde.
»Det var superspændende at få forskellige eksperters syn på ønsker og muligheder til en fremtidig løsning. Formen gav mulighed for at afklare og uddybe undervejs og skabe en bredere forståelse for, hvad der menes, i forhold til at læse et høringssvar,« siger hun.
Digitaliseringsstyrelsen skal det næste års tid igennem en lang række tilvalg og fravalg, når udbudsmaterialet om afløseren for NemID skal skrives. For mulighederne er mange, men kravene er også høje og forskellige fra mange sider. Og erfaringerne fra tidligere spiller naturligvis en vigtig rolle.
Den første reelle nationale digitale signatur blev lanceret i 2002 med det oplagte navn Digital Signatur. Teknologien var helt klassisk for den slags løsninger: Borgeren fik udstedt sit eget kryptografiske certifikat, der som standard blev bundet til én bestemt computer. Men selvom der gennem årene blev udstedt over en million signaturer, blev det aldrig en populær løsning.
Generelt fandt danskerne den svær at bruge, og mange glemte passwordet, fordi der gik lang tid mellem, at det gav mening at bruge Digital Signatur, for eksempel til at tjekke selvangivelsen hos Skat.
Sikkerhedsmæssigt var Digital Signatur også truet af malware-befængte computere, for havde en hacker adgang til din computer, var misbrug nemt.
Afløseren, NemID, blev lanceret i juli 2010 og var længe ventet, fordi digitaliseringen af Danmark led under den ufleksible og upopulære Digital Signatur. Et samarbejde mellem staten og Nets, der dengang var ejet af bankerne, betød, at NemID både skulle bruges til netbank – som de fleste danskere kendte og brugte tit – og til offentlige hjemmesider.
På grund af bankernes skift til NemID i netbanken kom NemID hurtigt meget bredt ud i befolkningen i forhold til forgængeren Digital Signatur. Og ved at samle al teknikken og de kryptografiske certifikater hos Nets, kunne man gøre det hele mere brugervenligt. De kendte papkort med engangskoder gjorde livet sværere for hackere, og man kunne logge på fra enhver computer, ikke bare sin egen.
NemID satte fut i digitaliseringen af Danmark, men it-eksperter kritiserede løsningen fra starten, fordi designet betyder, at alting skal gå igennem Nets. Det er et brud på de klassiske principper bag digitale signaturer og har fået it-folk til at fravælge NemID til offentlig selvbetjening.
Samtidig blev NemID baseret på Java-appletter i browseren, hvilket gjorde det umuligt at bruge NemID på tablets og telefoner og gjorde Nets og NemID meget afhængige af Java-producenten Oracles luner. Problemet med Java er dog netop blevet løst ved i stedet at anvende standard-teknologien Javascript.
Leave a Reply