Inden 1. juli vil Digitaliseringsstyrelsen frigive den første NemID-klient, som ikke bruger Java, men det langt mere udbredte Javascript.
Men styrelsen er blevet overhalet inden om af Christian Panton, datalog og medstifter af internet-tænketanken Bitbureauet. Han har nemlig udviklet sin egen NemID-klient i Javascript nu. Den er så vidt han ved den første uofficielle NemID-klient.
»Jeg har rodet lidt med det og ville se, hvor nemt eller svært det var at kode i Javascript, i stedet for at bruge Java. Så jeg har brugt nogle kolde, lange vinternætter på det. Det var mest for at forstå, hvad der sker i hele den proces,« siger han til Version2.
Ved at udvikle sin egen klient, der ikke bruger Java, ville han også kunne undgå alt bøvlet med Java og bruge NemID på flere slags enheder. Men foreløbigt kommer hans hjemmebyggede NemID-klient ikke ud i ’det fri’.
»Jeg har skrevet til DanID for nogle uger siden, men har ikke fået deres godkendelse endnu til at bruge eller offentliggøre min klient. Jeg håber, de giver lov, for jeg synes, det er relevant, at vi kommer ud over Java-problemet, og at vi får nogle flere øjne på den protokol, der ligger bag,« siger Christian Panton, der er datalog og tidligere har demonstreret, hvordan man kunne hacke Rejsekort-systemet.
Da Nets DanID blev taget på sengen af en opdatering fra Oracle, kiggede han også nærmere på NemID-klienten for at se, hvad der blev ændret.
Den nyudviklede NemID-klient er lavet som en udvidelse til Chrome, som man som bruger så får tilbudt i stedet for den normale NemID-klient. Christian Panton har dog ikke testet den op mod Nets DanID’s servere, men har i stedet lavet sin egen udgave af en NemID-server.
Hvor svært var det så at udvikle, på en skala fra 1 til 10?
»Det var på 11. Der er brugt rigtig meget obfuscation (forvanskning af koden, red.), som jeg skulle igennem. Selve det at skrive klienten var ikke så svært,« siger Christian Panton.
Fingeraftryk af din computer
Version2 har tidligere skrevet om, hvordan små programfiler skjult som GIF-filer bliver brugt af Nets til at tjekke, hvilken computer klienten kørte på. Det sker ved at tage et ’fingeraftryk’ af computeren med en tjeksum, og det ville Christian Panton også undersøge nærmere.
Dengang fik Nets DanID masser af kritik for at forsøge at skjule, hvad filernes funktion var, en praksis kendt som ‘security by obscurity’. Firmaet forsvarede sig med, at der ikke var noget galt i også at bruge røgslør for at gøre det sværere for hackere, så længe sikkerheden også uden røgslør stadig var høj.
»Det overraskede mig, at de laver tjeksum på din computer, både når man logger på offentlige hjemmesider og på banker. Det troede jeg ikke. Jeg kan til nøds forstå motivationen bag det, når man logger på en bank, fordi de har en risikoanalyse bag og vil vide, hvem der har overført de her penge. Men at man har den slags fingerprinting i det offentlige forstår jeg ikke,« siger Christian Panton.
Han anbefaler at køre NemID-klienten fra Nets i en virtuel maskine, hvis man ikke vil have sin computers fingeraftryk gemt i loggen.
Version2 har spurgt Nets DanID om den officielle holdning til alternative NemID-klienter og afventer svar.
Leave a Reply