Hvis du er virksomhedsejer, så kender du nok også det med at skulle holde styr på, hvad der kan føles som et hav af NemID-nøglekort. Et til virksomheden, et til personlig brug og så fremdeles. Blandt andet for at imødegå den problematik har danske iDeal Development udviklet app’en NemmereID til iPhone.
App’en kan holde styr på flere nøglekort i digital form på telefonen og finde den rette nøgle frem til lejligheden. Det foregår ved, at brugeren fotograferer papkortet via app’en, hvorefter data fra kortet bliver lagret krypteret i telefonen.
»Det handler om, at papirudgaven ikke tilgodeser superbrugere godt nok. Løsningen er nem at forstå og dejlig håndgribelig. Det er en måde at få alle brugere med på, og det er sympatisk. Men man ofrer brugervenligheden for superbrugerne,« siger Esben Thorving Bjerregaard, Solutions Architect og partner hos iDeal Development.
Han fortæller, at han selv har stået i en situation, hvor han har haft tre forskellige nøglekort, han skulle holde styr på.
»Jeg ender hver eneste gang med at sidde og slå op på det forkerte papkort, og det virker bare utrolig uoverskueligt,« siger Esben Thorving Bjerregaard.
Når app’en indeholder flere kort, kan det ske, at der er et nøglesammenfald, hvor det samme nøglenummer optræder på flere kort, fortæller han. Derfor er der mulighed for at navngive kortene i forbindelse med indscanning, så et kort eksempelvis hedder ‘arbejde’, og et andet hedder ‘privat.’
Så når der logges ind i en arbejdssammenhæng, er det svarnøglen fra arbejdskortet, der skal bruges.
Anvender tekstgenkendelse
NemmereID anvender OCR (Optical Character Recognition) til at hive nøgler og numre ud fra de affotograferede kort, så der kan søges i dem. Af samme grund er app’en kun henvendt til iPhone 5 eller nyere. På tidligere modeller af Apples smartphone kørte OCR-processen for dårligt, fortæller Esben Thorving Bjerregaard.
I forbindelse med affotograferingen af NemID-papkortene bliver nøglekortinformationerne lagret i telefonen krypteret med AES-256. Dermed er de ikke umiddelbart tilgængelige for uvedkommende. Koden til at låse krypteringen op ligger i iPhonens såkaldte keychain, fortæller Esben Thorving Bjerregaard.
»Vi opbevarer kryptonøglen i det, der hedder secure keychain. Det er et Apple-kontrolleret, sikkert område på telefonen,« siger han.
Ifølge Esben Thorving Bjerregaard afhænger den sikkerhed, der er forbundet med brugen af Apples keychain, af, hvilken sikkerhed der er implementeret på telefonen. Hvis der ikke er kode på enheden for at aktivere den, er det lettere for uvedkommende at få adgang til keychain, fortæller han.
Ud over en kode på telefonen er det også muligt at anvende en pinkode på selve app’en. Det er dog frivilligt, om brugeren vil sætte kode på app’en, fortæller Esben Thorving Bjerregaard.
Et muligt sikkerhedsproblem
Selvom NemmereID kan lyde bekvemmelig, er der i hvert fald et muligt sikkerhedsproblem, der springer i øjnene i forhold til app’en.
Papkortet eller den digitale nøgleviser er i dag fysisk adskilt fra den enhed, der bruges til at logge på NemID med. Dermed er tanken, at det også bliver noget sværere for en hacker at få fat i kodeord, brugernavn og data fra et nøglekort, som alle skal bruges for at logge på NemID.
Men når det hele foregår via den samme fysiske enhed, kan hackeren principielt få adgang til alle informationer ved at kompromittere telefonen – eksempelvis med software, der kan aflure brugerens tastetryk og informationer fra nøglekortet.
Det scenarie finder Esben Thorving Bjerregaard dog usandsynligt.
»Det kan lade sig gøre, afgjort. Men for at det kan lade sig gøre, skal man bruge nogle teknikker, der endnu ikke er set på iOS,« siger han.
Esben Thorving Bjerregaard medgiver, at det potentielt set kan svække sikkerheden ved NemID at lægge nøglekortet på telefonen, men i praksis mener han faktisk, det er sikrere at have nøglekortet krypteret på en telefon, der er beskyttet med en pinkode end som et papkort, hvis uheldet er ude, og en tyv får fat i en af delene.
»Det bliver meget spekulativt. Jeg mener, sikkerheden er langt bedre, end hvis du eksempelvis render rundt med dit nøglekort i din pung. Men selvfølgeligt kan det misbruges,« siger Esben Thorving Bjerregaard med henvisning til digitalisering af nøglekortet.
Generelt mener han, at Apples sikkerhedsforanstaltninger i forhold til App Store og iOS-styresystemet er relativt restriktive. Og det betyder ifølge Esben Thorving Bjerregaard, at det er sværere at knække sikkerheden i NemmereID, end hvis app’en havde kørt på andre udbredte smartphone-platforme.
Bekymring over nøglekort på telefon
Professor Kim Normann Andersen ved Department of IT Management, CBS har lavet et notat dateret 18. oktober til Folketingets Retsudvalg i forbindelse med en høring om offentlige myndigheders behandling af persondata.
I notatet nævner han blandt andet opbevaringen af NemID-koder som et potentielt sikkerhedsproblem i forhold til den digitale kommunikation, hvor personfølsomme data kan indgå, mellem borgerne og den digitale offentlige sektor.
»Denne individuelle sikkerhedsudfordring er på linje med sikkerhedsudfordringen i forhold til opbevaring af pinkoder. Eksempelvis kunne man forestille sig, at borgerne og ansatte tager billeder af NemID-koderne og lagrer dette på mobiltelefon eller andre medier,« står der i notatet.
Netop digital kopiering af nøglekortet er da heller ikke tilladt ifølge reglerne for brug af NemID, fremgår det af hjemmesiden NemID.nu, som Digitaliseringsstyrelsen står bag.
Og NemmereID fungerer jo netop ved, at brugere tager digitale kopier af deres nøglekort i form af fotografering. Esben Thorving Bjerregaard peger i den forbindelse på, at folk alligevel tager eksempelvis billeder af nøglekortet, og at det i den forbindelse er sikrere at anvende NemmereID, der krypterer kortinformationerne, end bare at tage et billede med telefonens almindelige kamerafunktion.
Tænkt som provokation
»Vi er jo godt klar over, at man som slutbruger ikke har lov at gøre det her. Man må ikke tage digitale kopier af nøglekortet. Det er op til den enkelte bruger, om man vil gøre det alligevel. Min klare holdning er, at det her er sikrere end mange af de alternativer, folk kan finde på,« siger han.
Esben Thorving Bjerregaard forventer ikke, at NemmereID, der koster 19 kroner i App Store, bliver en guldgrube for iDeal Development. App’en, der er blevet til, mens virksomheden har haft luft til det mellem andre udviklingsopgaver, er blandt andet et eksperiment for at se, hvad der kan lade sig gøre med OCR på en iPhone.
Og så er app’en også ment som en provokation i forhold til det nuværende papkort, som Esben Thorving Bjerregaard mener er gammeldags og besværligt at håndtere – og særligt, hvis en person er udstyret med flere papkort.
»Så i høj grad handler det også om, at vi egentlig synes, at NemID er en dårlig konstruktion, helt grundlæggende. Så det er også tænkt som en provokation,« siger han.
Heller ikke den digitale nøgleviser, der kan bestilles i stedet for papkortet, giver Esben Thorving Bjerregaard meget for:
»Det er lidt samme problem. Jeg skal huske at have den med mig altid. Så ligger den lige hjemme ved computeren, og jeg skulle huske at have den med på kontoret. Det er lidt old school.«
Leave a Reply