UVT, Alm.del - 2009-10 - Bilag 251: Orientering om NemID, fra videnskabsministeren

Afvisning af påstande om sikkerhedsbrist i NemIDs Java appletBørsen bragte den 10. august 2010 en artikel med overskriften ”Sikkerhedsbristtruer den nye digitale signatur”, hvori der fremsættes en række påstande omkringen sikkerhedsbrist i den Java applet, som NemID anvender.IT- og Telestyrelsen og DanID kan hermed dementere, at der er en sikkerheds-brist i NemID eller den Java applet, som NemID gør brug af.DanID, som varetager udvikling og drift af NemID, har talt med den ene af de tociterede eksperter, Mikael Hertig. Han har erkendt, at der er tale om en misfor-ståelse, og han har efterfølgende udtalt følgende: "Mikael Hertig udtaler til Nen-some Note, at han med større vægt burde have pointeret overfor Børsen, at hanikke selv er i stand til at vurdere, om der er noget hul i NemID eller ikke." Udta-lelsen kan læses i sin helhed her:http://www.nensome.dk/default.asp?Dok=239&Emne=0.DanID har forgæves forsøgt at komme i kontakt med den anden citerede ekspert,Niels Elgaard Larsen, men IT-politisk Forening, som Niels Elgaard Larsen re-præsenterer, har gennem bestyrelsesmedlem Jørgen Elgaard Larsen i en kommen-tar på Computerworld udtalt, at ”Kommunikationschefen har uden tvivl ret i atderes konkrete, nuværende applet ikke i sig selv giver adgang til brugerens com-puter, og det har IT-pol da heller aldrig sagt.”. Hele kommentaren kan findes her:http://www.computerworld.dk/art/100522/quot-nemid-aabner-ikke-for-personlige-oplysninger-quot?threadid=20880#postauthor62673.Professor i IT-sikkerhed afviser påstandeneProfessor i it-sikkerhed ved Aarhus universitet, Ivan Bjerre Damgård, bekræfterover for Computerworld, at NemIDs Java applet ikke lider af de påståede sikker-hedsbrister. "Det, IT-Politisk Forening siger, er, at en vilkårlig applet kan giveadgang til personlige oplysninger, hvilket er korrekt, men i forbindelse med Ne-mID er der ikke tale om en vilkårlig applet," siger han. Artiklen kan læses i sinhelhed her:http://www.computerworld.dk/art/100522/quot-nemid-aabner-ikke-for-personlige-oplysninger-quot?a=fp_1&i=0.

Afvisning af de enkelte påstandeAf Børsens artikel fremgår følgende påstande:.1. Det er muligt for en myndighed at snage i den enkelte NemID-brugerspersonlige forhold.2. Tjenesteudbydere, der er koblet på systemet, kan gå baglæns i trans-missionen og aflure brugeren.3. Når brugeren besøger en tjenesteudbyder, har ikke alene denne tjene-steudbyder, men alle tjenesteudbydere, der er tilsluttet NemID, fuldadgang til brugerens computer.4. Appletten bliver automatisk installeret på brugerens computer.5. En tjenesteudbyder har adgang til oplysninger, som brugeren har lig-gende hos andre tjenesteudbydere.6. En kvik Java ekspert vil kunne lave en applet, der kan sættes i ganguden brug af engangskoder.Nedenfor gennemgås og tilbagevises de enkelte påstande fra Børsens artikel.Ad 1 - Det er muligt for en myndighed at snage i den enkelte NemID-brugerspersonlige forholdNemID appletten fra DanID anvendes til entydigt at identificere en bruger overfor en bestemt tjenesteudbyder, det kan være en bank, en offentlig myndighed el-ler en privat tjenesteudbyder.NemID appletten hentes direkte fra DanID ned til brugerens computer uden omtjenesteudbyderen, og når brugeren har identificeret sig selv via NemID applet-ten, sender den en besked tilbage til tjenesteudbyderen med brugerens identitet.Dialogen mellem NemID appletten på brugerens computer og DanIDs centraleserver, der etablerer brugerens identitet, er krypteret og sikret efter de højestestandarder. DanID har fået en lang række af verdens førende sikkerhedsekspertertil at teste og reviewe alle dele af systemet.Tjenesteudbyderen sørger for, at NemID appletten bliver startet hos brugeren,men kommer ikke direkte i kontakt med appletten. Tjenesteudbyderen modtagerefterfølgende et simpelt svar fra appletten, der er signeret med brugerens digitalesignatur.Det er derfor på ingen måde muligt for en tjenesteudbyder at anvende NemIDappletten til at tilgå personlige data på brugerens computer.Ad 2 – Tjenesteudbydere, der er koblet på systemet, kan gå baglæns itransmissionen og aflure brugerenTjenesteudbyderen modtager kun den signerede log-in besked og har ikke nogentransmission at gå tilbage i.

Ad 3 - Når brugeren besøger en tjenesteudbyder har ikke alene denne tjene-steudbyder, men alle tjenesteudbydere, der er tilsluttet NemID, fuld adgangtil brugerens computerDet, Niels Elgaard Larsen her formentlig henviser til, er det forhold, at NemIDappletten kræver læse- og skriveadgang til brugerens harddisk af hensyn til ca-ching. For at et Java program afviklet i en browser kan få sådan en adgang, skalprogrammet være signeret med en digital signatur, og brugeren skal acceptere, atprogrammet får denne adgang.Dette er en helt normalt fremgangsmåde, og det er den samme teknologi, somstort set alle eksisterende netbanksløsninger og den gamle digitale signatur an-vender.Det er kun NemID appletten, der har læse- og skriveadgang, og denne adgangstilles ikke til rådighed for nogen tjenesteudbyder. NemID appletten læser på in-tet tidspunkt personlige filer fra brugerens computer.Ad 4 - Appletten bliver automatisk installeret på brugerens computerDer er ikke tale om en installation af et program. På lige fod med andet internet-indhold gemmes en lokal kopi på et særligt sted (cache) på brugerens computer.Derved kan appletten startes hurtigere, næste gang brugeren vil logge på medNemID. Brugeren skal aktivt give tilladelse til at køre appletten, før denne afvik-les.Ad 5 - En tjenesteudbyder har adgang til oplysninger, som brugeren har lig-gende hos andre tjenesteudbydereEn tjenesteudbyder tilsluttet NemID har ingen adgang til de oplysninger, der erregistreret hos DanID eller hos andre tjenesteudbydere.En tjenesteudbyders adgang strækker sig til, at man ved log-in kan sørge for, atNemID appletten bliver startet hos brugeren og efterfølgende få et svar tilbage,der er signeret med brugerens digitale signatur, og som kan anvendes til at etable-re brugerens identitet. Efterfølgende laver tjenesteudbyderen et opslag hos Da-nID, der checker, om brugerens certifikat er gyldigt. Derudover har tjenesteudby-deren ikke andre adgange til oplysninger.Ad 6 - En kvik Java ekspert vil kunne lave en applet, der kan sættes i ganguden brug af engangskoderHvis nogen laver deres egen applet, vil den ikke være signeret af DanID, og denvil ikke kunne komme i kontakt med DanIDs centrale systemer. Det er kun viaDanIDs centrale systemer, at brugeren kan generere en gyldig signatur eller sig-nere et dokument.