Wikipedia

NemID: Forskelle mellem versioner

Gennemse historikken interaktivt
← Gå til forrige forskelGå til næste forskel →
Content deleted Content added
VisueltWikitekst
mNo edit summary
Tags: Visuel redigering Mobilredigering Mobilwebredigering
Oprettede eller redigerede 6 arkivlinks ud af 57 analyserede links, se hjælp) #IABot (v2.0.8
Linje 11:
 
== Baggrund ==
I 2003 fik [[TDC]] opgaven med den første udgave af [[Digital signatur]] i de første fem år, og [[IT- og Telestyrelsen]] skulle udbyde opgaven igen<ref>[https://www.computerworld.dk/art/39925 TDC's digitale signatur kan lakke mod enden – www.computerworld.dk]</ref>. De opstillede følgende mål for forbedring<ref>[{{Cite web |url=http://www.digitalsignatur.dk/visArtikel.asp?artikelID=1065 |title=Sikkerhedskonceptet vedrørende NemID – www.digitalsignatur.dk] |access-date= 6. december 2010 |archive-date=24. september 2010 |archive-url=https://web.archive.org/web/20100924082754/http://www.digitalsignatur.dk/visArtikel.asp?artikelID=1065 |url-status=yes }}</ref>: Sikkerhed, brugervenlighed, mobilitet og udbredelse. I udbuddets start var fire konsortier med.<ref>[https://www.computerworld.dk/art/37879 Kapløbet om digital signatur 2.0 er i gang – www.computerworld.dk] 2. februar 2007</ref> Disse bestod af forskellige kombinationer af virksomhederne [[TDC]], [[KMD]], [[IBM]]<ref>[https://www.computerworld.dk/art/37855 IBM vil udfordre TDC på digital signatur – www.computerworld.dk], 9. februar 2007</ref>, [[Post Danmark]], [[EDB Gruppen A/S|EDB Gruppen]] og [[PBS]], hvor fx [[TDC]] var med i tre grupper og [[PBS]] i to{{kilde mangler|dato=Uge 22, 2013}}. <!-- jeg har ikke fundet kilde hvordan enkelte konsortier var sammensat/Steenth --> Undervejs faldt nogle fra, og [[TDC]] og [[PBS]] fandt sammen om et fælles bud.<ref>[https://www.computerworld.dk/art/41496 TDC og bankerne går sammen om digital signatur – www.computerworld.dk], 18. september 2007</ref> Ved deadline for bud på opgaven i november 2007 var det kun TDC og PBS, der kom med et bud.<ref>[https://www.computerworld.dk/art/42558 Kun PBS-TDC-alliance byder på ny digital signatur – www.computerworld.dk], 12. november 2007</ref>
 
Samtidig var bankerne gået sammen om en ny fælles login-løsning til netbanker til erstatning for nøglefiler, som var blevet meget sårbare for [[Trojansk hest|elektroniske trojanske heste]].<ref>[http://www.version2.dk/artikel/5763-skarp-kritik-af-dansk-netbank-sikkerhed Skarp kritik af dansk netbank-sikkerhed – www.version2.dk] – 4. januar 2008</ref> Antallet af angreb på netbanker var blevet større.<ref>[http://www.version2.dk/artikel/5744-rekordmange-netbankindbrud-i-2007 Rekordmange netbankindbrud i 2007 – www.version2.dk], 2. januar 2008</ref><ref>[http://www.version2.dk/artikel/10441-danskere-fik-stjaalet-ni-millioner-kroner-i-netbank-indbrud-i-2008 Danskere fik stjålet ni millioner kroner i netbank-indbrud i 2008 – www.version2.dk], 26. marts 2009</ref> Bankerne og deres datacentre havde som modtræk lavet løsninger som bl.a. SMS-koder<ref>[http://www.version2.dk/artikel/9933-nordea-har-sms-sikret-netbanken Nordea har SMS-sikret netbanken – www.version2.dk], 12. februar 2009</ref> eller låsning af nøglefilen til den enkelte pc.<ref>[https://www.computerworld.dk/art/37592 Danske Bank øger sikkerheden efter kode-kaos] – computerworld.dk, 25. januar 2007</ref><ref>[https://www.computerworld.dk/art/39114 SDC tuner sikkerhed på 80 netbanker] – computerworld.dk, 30. april 2007</ref>
Linje 35:
Håndtering af nøgler sker i nogle moduler, såkaldte "[[hardware security module]]s" (forkortet HSM), som er en speciel type [[hardware]], der er certificeret efter standarden ''NIST FIPS'' 140-2 level 4 til formålet<ref name="cw 2010-07-02" />. Det er et lukket system, hvor al kommunikation ind og ud er krypteret; også håndtering af data internt sker med kryptering. Det gælder også over for det disksystem, hvor data lagres, hvor [[Sikkerhedskopi|backup]] af diske sker med de krypterede data.
 
Også ved [[login]] til systemet er der sikret med flere lag kryptering. I den [[SSL]]-forbindelse, som dannes til NemID, tjekkes bruger og adgangkode via en [[Secure Remote Password]]-protokol imellem [[Java (programmeringssprog)|Java]]-applet og NemID´s HSM<ref name="prosabladet 12 2010">Prosabladet nr 12 2010 side 29</ref>. Med denne protokol tjekkes, at brugeren har det rigtige [[password]], men uden at NemID har det virkelige password<ref name="nemid.dk teknik">[{{Cite web |url=https://www.nemid.nu/om_nemid/hvad_er_nemid/sikkerhed/teknikken_bag_nemid/ |title=Teknikken bag NemID – www.nemid.nu] |access-date= 6. december 2010 |archive-date= 9. november 2011 |archive-url=https://web.archive.org/web/20111109071836/https://www.nemid.nu/om_nemid/hvad_er_nemid/sikkerhed/teknikken_bag_nemid/ |url-status=yes }}</ref>. Som den anden faktor bruges igen ''Secure Remote Password''-protokollen til at verificere engangskoden fra nøglekortet.
 
Brugerens adgangskode bruges også til at udregne den nøgle, der skal bruges til at åbne brugerens private nøgler<ref name="nemid.dk teknik" />. Det vil sige, at NemID eller andre ikke har adgang til de private nøgler på det centrale system. Når man skal have oprettet en forbindelse til en service, danner [[browser]] og Java-[[applet]] en sessionsnøgle. Denne nøgle, og kun den, sendes til NemID, hvor nøglen bliver signeret med den private nøgle. Det gælder, når en bruger skal sende en e-mail, der skal signeres. Omvendt, når en e-mail skal afkodes, sendes den krypterede sessionsnøgle til NemID, som tilbageleverer sessionsnøglen til at åbne det kodede dokument i e-mailen.
 
==Underskrift af gældsbreve==
I 2013 dømte både Østre og Vestre Landsret, at digitale underskrifter med NemID ikke var gyldige på gældsbreve. Så hvis en bank havde lånt penge ud på baggrund af en digital underskrift med NemID, kunne banken altså ikke få pengene tilbage gennem tvang via Fogedretten. Dette førte til ny lovgivning.<ref>https://www.version2.dk/artikel/landsretten-underskrift-med-nemid-er-ikke-gyldig-54750</ref><ref>{{Cite web |url=https://www.danskrevision.dk/nyheder/2014/01/nyt-lovforslag-vil-ramme-aftaler-indgaaet-med-digital-signatur/ |title=Arkiveret kopi |access-date=16. april 2019 |archive-date=16. april 2019 |archive-url=https://web.archive.org/web/20190416161129/https://www.danskrevision.dk/nyheder/2014/01/nyt-lovforslag-vil-ramme-aftaler-indgaaet-med-digital-signatur/ |url-status=yes }}</ref>
 
I 2019 dømte højesteret i "Om tvangsfuldbyrdelse på grundlag af digitale gældsbreve" at tvangsfuldbyrdelse kunne ske, selv om brugerne var blevet tvunget til at udlevere deres koder, hvis brugerne have handlet uagtsomt.<ref>{{Cite web |url=http://www.hoejesteret.dk/hoejesteret/nyheder/Afgorelser/Documents/82-18.pdf |title=Arkiveret kopi |access-date=16. april 2019 |archive-date=16. april 2019 |archive-url=https://web.archive.org/web/20190416161132/http://www.hoejesteret.dk/hoejesteret/nyheder/Afgorelser/Documents/82-18.pdf |url-status=yes }}</ref> Højesterets afgørelse skete på forkert retsgrundlag, da Højesteret i retsgrundlaget antog at NemID havde de kryptologiske egenskaber som et normalt sikkert public key-baseret underskriftsystem har, men som NemID ikke har på grund af de åbne sikkerhedshuller i NemID.
 
== Kritik ==
Linje 67:
 
=== Kritik fra IT-Politisk Forening ===
I august 2010 kom [[IT-Politisk Forening]] med en kritik af, at DanID har valgt en løsning med signerede [[w:Java (software platform)|Java]]-[[applet]]ter. Signerede Java-appletter har på brugerens [[pc]] fulde læse- og skriverettigheder. DanID bruger disse rettigheder til 1) mellemlagring (''caching''), 2) at gemme en log på brugernes pc'er, samt 3) håndtering af dokumenter, der skal signeres med digital signatur{{kilde mangler|dato=Uge 41, 2012}}. IT-Politisk Forening hævder, at [[applet]]-løsningen giver tjenesteudbydere såsom banker, myndigheder og andre virksomheder ''potentiel'' adgang til at aflure information hos brugeren og øvrige tjenesteudbydere, som brugeren har haft kontakt med.<ref>[http://borsen.dk/nyheder/it/artikel/1/188554/store_huller_i_sikkerhed_omkring_ny_digital_signatur.html Store huller i sikkerhed omkring ny digital signatur] – borsen.dk den 10. august 2010</ref> Artiklen i Børsen giver indtryk af, at IT-Politisk Forening hævder, at alle sider, som bruger NemID, får adgang til brugerens computer. Men på IT-Politisk Forenings egen side om problemet gøres det klart, at det kun er DanID, som har adgang til brugerens private dokumenter på harddisken via NemID.<ref>[{{Cite web |url=http://www.itpol.dk/nemid_bagdoer |title=Den åbne bagdør i NemID] |access-date= 8. april 2011 |archive-date=19. juli 2011 |archive-url=https://web.archive.org/web/20110719130240/http://www.itpol.dk/nemid_bagdoer |url-status=yes }}</ref>
 
DanID påstår, at tjenesteudbydere ikke kan få adgang til brugernes maskiner. Appletten til NemID kommer fra DanID-maskinerne på tjenesteudbyderens initativ, og kun en signeret applet fra DanID kan kommunikere med DanID's server. Serviceudbyderen får fra appletten kun en besked, der er signeret med brugerens signatur.
Linje 82:
 
=== Sikkerhedsproblemer ved valg af top-level-domæne ===
DanID har valgt at placere NemID på domænet ''nemid.nu'', som tilhører stillehavsøen [[Niue]], og ikke på det danske [[domæne]] ''nemid.dk''. Dette har fra starten givet anledning til forvirring. Nemid.dk ejes af et andet privat firma, Assemble, som intet har med DanID og NemID at gøre<ref>[{{Cite web |url=https://www.nemid.nu/om_nemid/aktuelt/20100914_advarsel_mod_www_nemid_dk.html |title=Advarsel mod www.nemid.dk] |access-date= 6. september 2011 |archive-date=30. juni 2011 |archive-url=https://web.archive.org/web/20110630173445/https://www.nemid.nu/om_nemid/aktuelt/20100914_advarsel_mod_www_nemid_dk.html |url-status=yes }}</ref>. Stillehavsøen [[Niue]], som kontrollerer topniveaudomænet .nu, som nemid.nu hører under, har desuden været kritiseret for ikke at yde tilstrækkelig juridisk sikkerhed omkring ejerskab af domæner<ref>http://www.siteadvisor.com/studies/map_malweb_mar2007.html McAfee: "Mapping the Mal Web"</ref>.
 
=== Anden kritik ===
Hentet fra "https://da.wikipedia.org/wiki/NemID"