NemID
af Hans Schou 2012-03-05
Der er en del årsager til, at jeg ikke har NemID:
- Jeg har ikke brug for NemID.
- Min hustru checker det med netbanken, og der er sådan set bedre styr på økonomien, når hun styrer det, end når jeg gør.
- Dengang jeg skulle skrive børnene op til den kommunale pladsanvisning, mødte jeg personligt op, da jeg ikke har NemID. Dette er krævet for at kunne bruge den internetbaserede tilmelding.
- Som det er nu, skal jeg installere Java i min browser for at kunne bruge NemID. Der har været en del eksempler på misbrug[1] af Java-applet, og NemID er det eneste system jeg møder, der kræver Java. For effektivt at få isoleret en browser med Java installeret, ville jeg være nødt til at gøre det i en Virtuel Machine. Andet ville være dumt.
- En anden grund til kun at bruge NemID i en virtuel maskine er, at DanID kræver adgang til hele mit filsystem. Det giver dem adgang til alle de andre krypteringsnøgler jeg har på maskinen, og hvad skal de dog have det for? DanID's argumentet med at der skal skrives i en logfil, er meningsløst, for DanID's support beder aldrig borgerne om at kigge i den. Da den er krypteret, og der kun bliver skrevet i den når logon lykkedes, kunne de lige så godt skrive i en logfil på deres egen server. Det vil alt andet lige også gøre det nemmere for dem at yde support.
- Sikkerheden i NemID er så ringe, at forsikringsselskaber er begyndt at sælge forsikringer der skal dække tab, hvis NemID er årsagen til tabet.
- DanID har lagt nogle Trojanske heste ind i NemID, for at snage i mit system. Det gør DanID i hemmelighed, skjult i nogle grafikfiler. Disse heste kunne indeholde en keyboard-logger, og så er mine andre private nøgler rigtigt i fare.
- Krypteringsnøgler. Her kræver DanID at de skal skabe min private nøgle og at de skal opbevare den.
- Det lyder måske underligt, men private nøgler er noget man selv skaber. Kan man ikke selv finde ud af det, kan man få hjælp af én man stoler på.
- Private nøgler skal man selv opbevare. Ingen andre skal have adgang til dem. Hvis man tror man har mistet dem, eller bare mistet en kopi af dem, så skal man trække dem tilbage. Jeg syntes det ville være rigtig godt, hvis der var en central database hvor man kunne checke om andres private nøgler var trukket tilbage.
- DanID erstatter nogle åbne biblioteker i QT med deres egne, lukkede udgaver. Disse programændringer - hvis indhold altså er hemmeligt - er i konflikt med det pakkesystem jeg holder min computer opdateret med. Fremgangsmåden er i sig selv nok til at undergrave tilliden til DanID's løsning.
- Bankerne har også lavet nogle mobil-apps jeg kan installere på min smartphone. Disse apps kan indeholde Trojanske heste, som kan scanne min telefon, uden mit vidende. Det er ikke rigtigt muligt at bruge disse apps i Virtual Machine på telefonen, så de er heller ikke en mulighed.
- Kommunikationen imellem borgerne er en lukket standard. Det er ikke muligt selv at programmere et konkurrerende program, som man kan have tillid til. Derfor kan borgerne ikke bruge NemID til at kommunikere fortroligt med hinanden, og vi bliver så nødt til at falde tilbage til OpenPGP eller lignende. Det ville have været smart hvis vi kunne have brugt NemID til det hele.
- Når den både min private og offentlige nøgle ligger et fremmed sted, så har jeg ikke kontrol over hvad de kan blive brugt til. Det kunne bruges til at sende et brev til nogen, formuleret på en måde så modtager ikke svarre, og så finder jeg aldrig ud af at min nøgle er blevet misbrugt.
- DanID har monopol på NemID. Dette fjerner både incitamentet til at forbedre NemID og til at fjerne sikkerhedsrisici. Jeg ser monopolstillingen som den væsentligste grund til at det endnu ikke er lykkedes for DanID at udvikle en løsning, hvor den private nøgle er på en elektronisk dims.
- Domænet nemid.dk er registreret (ejet) af et andet privat firma. DanID burde have sikret sig domænet da man valgte navnet. Se domæneklage, nemid.dk.
Jeg vil gerne have NemID, men jeg har nogle ganske få og simple krav:
- Krypteringsnøgler er noget jeg selv skaber og opbevare.
- Autencitering bør ske med Browser Client Certificate.
- Autencitering bør ske mod det domæne man vil ind på. Det, der står i adresselinjen, skal være lig med det sted, du vil ind på (beklager, men du bliver nødt til selv at kontrollere det).
- Programmeringssproget kunne være ECMA-script. Jyske Bank har vist at det kunne lade sig gøre.
- Protokoller og API skal være åbne og kendte.
- Engangsnøgler - det har NemID allerede både i form af papkort og en elektronisk dims. Begge dele er godt, men den elektroniske er bedst, da man hverken kan kopiere eller affotografere den. Man ved, hvis man har mistet den, mens man ikke kan vide, om ens nøglekort er blevet kopieret.
GnuPG/OpenPGP Public Key encryption
Jeg har filet min egen private nøgle her 'hans.schou.public.key.html'.
Hvis du downloader og bruger min nøgle, så kommer dit program og fortæller at du ikke kan stole på den.
Hvis jeg nu var mødt op i min bank eller borgerservice og afleveret den dér,
så skulle du så stole på en af disse, og det er nu en gang mere troværdigt end denne simple hjemmeside,
som kan være hacket.
Tin foil hat - sølvpapirshat
Hvis du vil se min sølvpapirshat, skal du sende en email med: Navn, adresse, e-mail, CPR-nummer, religøse præferencer, seksuelle præferencer samt politiske præferencer til <chlor@schou.dk>, så sender jeg dig billedet. Din mail skal være signeret med din egen nøgle og godkendt af nogen jeg stoler på.