Udvalget for Videnskab og Teknologi 2009-10
UVT Alm.del
Offentligt
776845_0001.png
776845_0002.png
776845_0003.png
776845_0004.png
776845_0005.png
Ministeren for videnskab, teknologi og udvikling
Udvalget for Videnskab og TeknologiFolketingetChristiansborg1240 København K
Hermed fremsendes svar på spørgsmål nr. 33, 34, 35, 36, 37 og 38 (Alm. del -bilag) stillet af Udvalget for Videnskab og Teknologi den 23. november 2009.Spørgsmålene er stillet efter ønske fra Hanne Agersnap (SF).
16. december 2009
Ministeriet for VidenskabTeknologi og UdviklingBredgade 431260 København K
Med venlig hilsen
TelefonTelefaxE-post
3392 97003332 3501[email protected]www.vtu.dk1680 5408
Helge Sander
NetstedCVR-nr.
Sagsnr.Dok nr.Side1/1

Spørgsmål nr. 33, 34, 35, 36, 37 og 38 stillet af Udvalget for Videnskab og

Teknologi den 23. november 2009 til Ministeren for videnskab, teknologi og

udvikling (Alm. del - bilag).

Spørgsmål 33

Ministeren bedes orientere om sikkerhedssystemerne for NemID?

Svar

Til brug for besvarelsen har jeg indhentet bidrag fra IT- og Telestyrelsen, der ud-taler følgende:”De væsentligste sikkerhedsforbedringer i forhold til den nuværende digitale sig-natur vedrører registreringsprocessen i forbindelse med udstedelse og opbevaringaf den private nøgle, der anvendes til signering.De nye registreringsprocedurer for NemID er udformet med henblik på at øgesikkerheden og opfylde kravene til identifikation i Lov om forebyggende foran-staltninger mod hvidvask af udbytte og finansiering af terrorisme.I den kommende NemID vil brugerens private nøgle ikke længere ligge på bruge-rens pc, men bliver opbevaret sikkert i specielle kryptografiske hardware-moduler i en central server, der driftes af DanID A/S. NemID til borgerne vil så-ledes ikke – som det er tilfældet i den nuværende signatur - være en software løs-ning, hvor sikkerheden alene er afhængig af, om brugeren kan opretholde et for-nuftigt sikkerhedsniveau på pc’en.NemID vil blive baseret på en såkaldt to-faktor autentifikationsløsning, hvor ad-gang til anvendelsen af den private nøgle vil være beskyttet af en personlig kode(noget man ved), og en engangskode fra et nøglekort (noget man har). Brugerneskal angive et brugernavn, en personlig unik kode og en engangskode fra et per-sonligt nøglekort (det vil sige et plastikkort med fortrykte engangskoder), hvergang signaturen skal anvendes.De centralt opbevarede private nøgler vil blive sikret mod misbrug gennem tekni-ske og proceduremæssige sikkerhedsforanstaltninger, og så længe brugeren hol-der sin personlige kode hemmelig, vil brugerens digitale signatur være beskyttetmod misbrug.Endelig kan det tilføjes, at NemID samtidig følger de certifikatpolitikker, dergælder for udbydere af OCES-certifikater. I certifikatpolitikkerne stilles en rækkekrav til udbyderens udstedelsesprocesser, nøglehåndtering, certifikat-håndteringsamt styring og drift af det tekniske miljø og de organisatoriske procedurer. Cer-tifikatpolitikkerne forpligter udbyderne af OCES-certifikater til, at der årligt skalgennemføres systemrevision af sikkerheden og udarbejdes en protokol og revisi-onserklæring af en ekstern statsautoriseret revisor, der for NemID’s vedkommen-de indsendes til IT- og Telestyrelsens godkendelse.Ministeriet for VidenskabTeknologi og UdviklingBredgade 431260 København KTelefonTelefaxE-postNetstedCVR-nr.3392 97003332 3501[email protected]www.vtu.dk1680 5408
Sagsnr.Dok nr.Side
09-07411211585481/1
Certifikatpolitikkerne er udarbejdet efter ”best practice” og krav til sikkerhed, al-goritmer med videre. Certifikatpolitikkerne refererer således til internationale ogde facto-standarder, der er gældende på området.”Jeg henholder mig til IT- og Telestyrelsens udtalelse.

Spørgsmål 34

Mener ministeren, at den nye OCES-certifikat-politik, der blev offentliggjort fre-dag den 2. oktober 2009 følger principperne i Lov om elektroniske signaturer? -herunder §10, stk. 3: Nøglecentre må ikke opbevare eller kopiere de personerssignaturgenereringsdata, som nøglecentret gennem udstedelsen af certifikatermåtte have fået kendskab til?

Svar

Ministeriet for Videnskab
Til brug for besvarelsen har jeg indhentet bidrag fra IT- og Telestyrelsen, der ud-taler følgende:”Det antages, at spørgeren implicit lægger til grund for spørgsmålet, at Lov omelektroniske signaturer finder anvendelse for NemID. Dette er ikke tilfældet, idetloven hverken finder anvendelse for den nuværende digitale signatur eller dennye NemID. Lov om elektroniske signaturer finder anvendelse på nøglecentreetableret i Danmark, der udsteder kvalificerede certifikater til offentligheden.Der er på nuværende tidspunkt ikke udbydere i Danmark af kvalificerede signatu-rer, det vil sige signaturer, der er reguleret af loven, ligesom udbredelsen heraf iEU generelt er meget begrænset.Både den nuværende digitale signatur og NemID er således alene reguleret afOCES-certifikatpolitikkerne samt udbyderens kontraktuelle forpligtelse over forIT- og Telestyrelsen med hensyn til at overholde OCES-certifikatpolitikkerne.Det giver således ikke mening at besvare spørgsmålet i relation til NemID. Ne-denfor gives i stedet en generel besvarelse af spørgsmålet, om en central nøgle-opbevaring er i modstrid med Lov om elektronisk signaturer. Spørgsmålet erblandt andet behandlet af en af Danmarks førende eksperter på området profes-sor, dr. jur. Henrik Udsen fra Københavns Universitet, der i et notat konkluderer:”Sammenfattende giver hverken loven, lovens forarbejder eller direktivet nogetsikkert svar på, hvordan forbuddet mod certifikatudstederens opbevaring af priva-te nøgler skal forstås, Spørgsmålet er heller ikke behandlet i retspraksis fra EF-domstolen eller fra danske domstole. Selvom der således ikke kan gives et sikkertsvar på spørgsmålet, er det ud fra det ovenstående min vurdering, at lovens § 10,stk. 3, ikke forbyder brug af centrale nøgleservere i certifikatudstederens besid-delse.”Notatet er i sin fulde længde offentliggjort på:https://danid.dk/export/sites/dk.danid.oc/da/dokumenter/henrik_udsen_notat.pdf
Teknologi og Udvikling
Side
2/2
En tilsvarende fortolkning af EU-direktivet, der ligger til grund for Lov om elek-troniske signaturer, er udarbejdet i regi af standardiseringsorganet CEN.Baseret på ovenstående vurderinger er det ministeriets opfattelse, at Loven omelektroniske signaturer ikke forhindrer en løsning baseret på kvalificerede certifi-kater med central opbevaring af private nøgler.”Jeg henholder mig til IT- og Telestyrelsens udtalelse.

Spørgsmål 35

Vil ministeren oplyse, hvornår og hvordan ordførerne er blevet informeret omdenne ændring i certifikatpolitikken?

Svar

Ministeriet for Videnskab
Ordførerne er ikke blevet orienteret om denne ændring i certifikatpolitikken.Kravene til sikkerheden for NemID-løsningen er generelt fastlagt i OCES-certifikatpolitikkerne, der administreres af IT- og Telestyrelsen. Første version afcertifikatpolitikkerne blev udarbejdet primo 2003 med henblik på at fastlæggekrav til den nuværende digitale signatur. Siden 2003 har certifikatpolitikkerneundergået flere revisioner, og i forbindelse med kravspecifikationen til den nyedigitale signatur blev fjerde version af OCES-certifikatpolitik for personcertifika-ter udarbejdet. Alle revisioner af certifikatpolitikkerne er gennemført efter enbred offentlig høring.Jeg har ikke forestillet mig, at ordførerne har haft interesse i at blive orienteretom alle de tekniske detailændringer, der gennem årene er foretaget i certifikatpo-litikkerne. Men jeg vil naturligvis gerne orientere ordførerne om alle fremtidigetekniske ændringer i certifikatpolitikkerne, hvis der er et ønske herom.
Teknologi og Udvikling
Side
3/3

Spørgsmål 36

Hvad er begrundelsen for, at brugere af digital signatur ikke tilbydes at få mulig-hed for at få en digital signatur på et personligt, elektronisk nøglekort på sammetid som den centrale løsning udbydes?

Svar

Da det er et stort og meget komplekst system, der er under udvikling, har det udfra en risikobetragtning været hensigtsmæssigt at opdele projektets leverancer iflere faser. Dette er god praksis for at kunne styre udviklingen og implementerin-gen af store it-projekter.Den tidsmæssige prioritering af de forskellige leverancer er foretaget ud fra ennytteværdibetragtning, idet nytteværdien af den centrale løsning er vurderet langtstørre end løsningen med digital signatur på et elektronisk nøglekort. Den centra-
le løsning vil i modsætning til signaturen på nøglekortet kunne anvendes til net-bankerne, den er mobil, og den er vederlagsfri for borgerne. Af samme årsagerforventes efterspørgslen på løsningen med digital signatur på nøglekort at blivemeget lille.

Spørgsmål 37

Finder ministeren denne tidsforskydning mellem de to systemer rimelig?

Svar

Ja, idet jeg henviser til mit svar på spørgsmål 36.

Spørgsmål 38

Vil der blive en overgangsordning, hvor de "gamle" digitale signaturer og net-bankordninger fungerer, så borgerne ikke behøver at gå over på NemID, før dendecentrale løsning udbydes?

Svar

Når den centrale løsning med NemID lanceres, vil der ikke længere blive udstedtflere af de nuværende digitale signaturer. Den decentrale løsning forventes at bli-ve tilbudt til borgerne et halvt år efter, at den centrale løsning er sat i drift. Denuværende digitale signaturer har en gyldighed på to år og vil ikke blive spærretsom følge af, at NemID idriftsættes. Det indebærer, at alle de nuværende signatu-rer, der er udstedt eller fornyet halvandet år før den centrale løsning sættes i drift,vil kunne anvendes indtil den decentrale løsning tilbydes.Der vil således blive en overgangsordning, hvor både NemID og den nuværendedigitale signatur fungerer i forhold til de offentlige myndigheder.Hvad angår bankerne, kan jeg kun oplyse, at de ikke modtager den nuværendedigitale signatur i deres netbank-løsninger. Spørgsmålet om overgangsordninger inetbankerne ligger uden for mit ressortområde at besvare.
Ministeriet for VidenskabTeknologi og Udvikling
Side
4/4