Sikkerhedskonceptet vedrørende NemID
Da der har været en del misforståelser omkring den nye digitale signatur, beskrives nedenfor kort konceptet for NemID med vægt på de sikkerhedsmæssige og lovgivningsmæssige aspekter.
- Introduktion
- NemID baseret på PKI
- NemID til både netbanker og offentlig digital signatur
- Forbedret registreringsprocedure for NemID
- Opbevaring af brugerens private nøgle i den offentlige digitale signatur
- Certifikatpolitikker og sikkerhedsprocedurer
- NemID på smartcard
- Reguleringsmæssigt grundlag for NemID
- Vil du vide mere?
NemID er betegnelsen for en it-sikkerhedsløsning, der fremover anvendes af både netbanker og offentlige digitale services. NemID er udviklet og vedligeholdes af DanID A/S, der er et 100 % ejet datterselskab af PBS A/S.
DanID A/S er valgt som leverandør efter et EU-udbud, som er gennemført af Videnskabsministeriet på vegne af hele den offentlige sektor. I forbindelse med udbuddet fremsatte Videnskabsministeriet, som følge af erfaringerne med den nuværende digitale signatur, krav om forbedring især på følgende områder:
- sikkerhed
- brugervenlighed
- mobilitet
- udbredelse
De væsentligste sikkerhedsforbedringer i forhold til den nuværende digitale signatur vedrører registreringsprocessen ved udstedelse af NemID samt opbevaring af den private nøgle, der anvendes til signering og log-in til hjemmesider. Disse forbedringer uddybes nedenfor.
Med hensyn til brugervenlighed og mobilitet er disse primært imødekommet ved at undgå installation, som i den nuværende løsning har voldt store problemer, og som låser brugeren til den eller de computere, hvor signaturen er installeret.
Udbredelsen sikres gennem en kraftig forøgelse af digitale tjenester, hvor NemID kan anvendes til log-in, særligt skal nævnes netbankerne, som alene vil give op imod tre mio. brugere.
NemID baserer sig på en teknologi kaldet Public Key Infrastructure (PKI). Det indebærer, at brugeren får udstedt en digital signatur, der består af et certifikat med en offentlig nøgle og en privat nøgle. Certifikatet udstedes af et CA (en betroet tredjepart), og den private nøgle, der kan lagres på mange forskellige medier og måder, genereres og anvendes under brugerens kontrol, f.eks. ved afgivelse af en personlig adgangskode.
NemID til både netbanker og offentlig digital signatur
Selv om NemID er udviklet i et tæt samarbejde mellem finanssektoren og den offentlige sektor, er der visse forskelle på sektorernes implementeringer.
Bankerne har i deres netbankløsninger valgt, at de certifikater og private nøgler, der indgår i NemID, genereres og anvendes inden for en browsersession, hvorefter de slettes.
Den offentlige sektor har i forhold til en offentlig digital signatur valgt en løsning, hvor certifikaterne bevares ud over browsersessionen, så de kan anvendes mere generelt, f.eks. til sikker e-mail. Endvidere var det vigtigt for den offentlige sektor, at den offentlige digitale signatur på sigt kunne gøres interoperabel med andre landes digitale signaturer.
Parterne var til gengæld enige om, at sikkerhedsniveauet og brugeroplevelsen skulle være den samme i begge implementeringer. Dette er opnået med udviklingen af NemID, idet bankerne og den offentlige sektor anvender den samme to-faktor infrastruktur til autentifikation af brugerne.
Brugeren oplever således, at han logger ind på præcis samme måde, uanset om han logger på netbanken eller på en offentlig hjemmeside, f.eks. borger.dk. I praksis sker der det, at når brugeren logger på netbanken, udstedes et certifikat med en privat nøgle og en offentlig nøgle. Begge dele gemmes i computerens hukommelse og forsvinder, når browsersessionen lukkes. Når brugeren går på offentlige hjemmesider, anvendes den offentlige digitale signatur. Her udstedes certifikatet én gang med et sæt af en privat nøgle og en offentlig nøgle. Certifikatet med de tilhørende nøgler opbevares på en sikker central server, og certifikatet er gyldigt i tre år.
Man kan se løsningen som en hybridbil, hvor bilen på nogle strækninger kører på el og på nogle strækninger på benzin. For chaufføren er oplevelsen den samme, og han behøver ikke bekymre sig om eller tage stilling til, hvornår bilen anvender den ene frem for den anden teknologi.
Brugeren kan vælge at have ét NemID, som både er koblet til netbanken og til den offentlige digitale signatur. Hvis brugeren ønsker det, kan der dog udstedes flere NemID, så man har et NemID til (hver af sine) netbank(er) og et andet NemID til offentlig digital signatur. Til hvert NemID vil der være et nøglekort, som brugeren kan identificere ved hjælp af det unikke nøglekortnummer.
Forbedret registreringsprocedure for NemID
De nye registreringsprocedurer for NemID er udformet med henblik på at øge sikkerheden og opfylde kravene til identifikation i Hvidvaskningsloven (Lov om forebyggende foranstaltninger mod hvidvask af udbytte og finansiering af terrorisme). Bankernes efterlever denne lov i forbindelse med udstedelse af NemID til deres eksisterende kunder.
I forbindelse med on-line bestillingsprocessen på NemID.nu er der indbygget flere kontroller til verifikation af en persons identitet. Dels verificerer systemet det angivne cpr-nummer, og dels angiver brugeren ved bestilling kørekort- eller pasnummer, som ligeledes verificeres. Herefter sendes en midlertidig adgangskode og et nøglekort med engangskoder i separate forsendelser til den folkeregisteradresse, der er knyttet til cpr-nummeret.
Ved bestilling i borgerservicecentre og skattecentre er der ligeledes skærpede krav til legitimation, før NemID kan udleveres.
Opbevaring af brugerens private nøgle i den offentlige digitale signatur
I PKI er det et afgørende element, at kun brugeren selv har kontrol over den private nøgle.
I den nuværende digitale signatur er den private nøgle installeret på brugerens pc og beskyttet af software. Sikkerheden i løsningen er bl.a. afhængig af, at brugeren kan opretholde et fornuftigt sikkerhedsniveau på pc’en. I modsat fald er det muligt for en hacker at kopiere den private nøgle fra pc’en.
I NemID med offentlig digital signatur vil brugerens private nøgle ikke længere være installeret på brugerens pc, men vil være opbevaret på en central signaturserver, der driftes og vedligeholdes af DanID A/S. Generering og anvendelse af den private nøgle kan kun foregå i specielle sikrede kryptografiske hardware-moduler under brugerens fulde kontrol. Brugerens private nøgle forefindes på intet tidspunkt ukrypteret og kan ikke anvendes uden for det særligt sikrede kryptografiske hardwaremodul.
Brugerens tilgang til den centralt opbevarede private nøgle sikres med en såkaldt to-faktor autentifikationsløsning, hvor adgang til anvendelsen af den private nøgle vil være beskyttet af en personlig adgangskode (noget man ved) og en kode fra et nøglekort med engangskoder (noget man har). Brugerne skal i praksis angive et bruger-id, en personlig adgangskode og en engangskode fra det personlige nøglekort, hver gang signaturen anvendes. Den private nøgle kan ikke anvendes i hardwaremodulet uden anvendelse af data dannet på baggrund af brugerens personlige adgangskode. DanID har på intet tidspunkt brugerens personlige adgangskode.
Nøglekortet, der er et plastikkort i kreditkortformat, indeholder 148 fortrykte engangskoder, og af sikkerhedsmæssige årsager kan hver engangskode kun anvendes én gang.
Tilgangen til brugerens private nøgle er baseret på en sikker challenge-response protokol, der har været gennemgået af førende internationale sikkerhedseksperter.
Med NemID ligger borgerens oplysninger fortsat hos den enkelte tjenesteudbyder. Brugerens bankoplysninger ligger i banken, skatteoplysninger hos Skat osv. Tjenesteudbyderne har ingen mulighed for at se, hvor brugeren anvender sit NemID. DanID kan se, hvornår og fra hvilken IP-adresse NemID er blevet anvendt. Hvis brugeren tilvælger det, registrerer DanID, på hvilke hjemmesider NemId er blevet anvendt. DanID har ingen adgang til, hvad brugeren foretager sig hos den enkelte tjenesteudbyder.
Certifikatpolitikker og sikkerhedsprocedurer
DanID og NemID med offentlig digital signatur er underlagt de certifikatpolitikker, der gælder for udbydere af OCES-certifikater (Offentlige Certifikater til Elektronisk Service). I certifikatpolitikkerne stilles en række krav til udbyderens udstedelsesprocesser, nøglehåndtering, certifikathåndtering, anvendelse af algoritmer samt styring og drift af det tekniske miljø og de organisatoriske procedurer.
Certifikatpolitikkerne forpligter udbyderne af OCES-certifikater til, at der årligt skal gennemføres systemrevision af sikkerheden og udarbejdes en protokol og revisionserklæring af en ekstern statsautoriseret revisor, der indsendes til IT- og Telestyrelsen til godkendelse. Der er desuden krav om en ledelseserklæring fra CA.
Certifikatpolitikkerne er udarbejdet efter ”best practice” og refererer til internationale og de facto standarder, der er gældende for drift og administration af PKI-infrastrukturer.
I tillæg til politikkerne er der adskillige praktiske sikkerhedsforanstaltninger, der sikrer, at kun en kombination af særligt betroede medarbejdere kan tilgå de kryptografiske moduler, hvor brugernes private nøgler er lagret. Ud over at have adgang til de fysiske lokaliteter, skal der anvendes to chipkort for at tilgå hardwaren. De to chipkort er placeret hos betroede medarbejdere to forskellige steder i organisationen. De centralt opbevarede private nøgler er således sikret mod misbrug gennem tekniske og proceduremæssige sikkerhedsforanstaltninger, og så længe brugeren holder sin personlige adgangskode hemmelig, vil brugerens digitale signatur være beskyttet mod misbrug.
Hvis brugeren får mistanke om, at hans NemID misbruges, kan både bruger-id og den personlige adgangskode ændres, og endvidere kan nøglekort og certifikat spærres, så NemID ikke længere kan anvendes. Endelig kan brugeren vælge at lukke NemID og dermed slette sin NemID-identitet fuldstændig. Spærring kan foretages hele døgnet.
En løsning, hvor den offentlige digitale signatur lagres på et smartcard, er under udvikling. Her vil brugerens private nøgle blive genereret og lagret direkte på kortet, hvorefter brugeren fysisk vil have den private nøgle i sin besiddelse. Nøglen vil være beskyttet af software og brugerens personlige adgangskode. Smartcard-løsningen vil kun omfatte offentlig digital signatur. NemID til netbankerne vil fungere som tidligere beskrevet.
Reguleringsmæssigt grundlag for NemID
Både den nuværende digitale signatur og NemID er reguleret af OCES-certifikatpolitikkerne samt udbyderens kontraktuelle forpligtelse over for IT- og Telestyrelsen med hensyn til at overholde OCES-certifikatpolitikkerne. Hertil kommer naturligvis, at løsningen er underlagt gældende dansk lovgivning, herunder Persondataloven. Desuden skal DanID efterleve Dansk Industri/ITEK’s ”God Privacy Praksis”.
OCES-certifikatpolitikkerne administreres af IT- og Telestyrelsen. Første version af certifikatpolitikkerne blev udarbejdet primo 2003 med henblik på at fastlægge krav til den nuværende digitale signatur. Siden 2003 har certifikatpolitikkerne undergået flere revisioner, og i forbindelse med kravspecifikationen til den nye offentlige digitale signatur blev fjerde version af OCES-certifikatpolitikken for personcertifikater udarbejdet. Alle revisioner af certifikatpolitikkerne er gennemført efter en bred offentlig høring.
Lov om elektroniske signaturer finder hverken anvendelse for den nuværende digitale signatur eller NemID. Lov om elektroniske signaturer finder anvendelse på nøglecentre etableret i Danmark, der udsteder såkaldte ”kvalificerede certifikater” til offentligheden. Der er på nuværende tidspunkt ingen udbydere af ”kvalificerede certifikater” i Danmark, og således ingen signaturer, der er reguleret af loven. Udbredelsen af kvalificerede signaturer er generelt begrænset i EU.
Når behovet for ”kvalificerede certifikater” og anvendelse af grænseoverskridende signaturer viser sig, forventes det, at den nuværende NemID-løsning vil kunne opgraderes til ”kvalificerede certifikater”. NemID er således et skridt på vej mod de kvalificerede certifikater, som er omfattet af Lov om elektroniske signaturer.
Du er velkommen til at kontakte Center for Digital Signatur på e-mailen info@digitalsignatur.dk, hvis du har spørgsmål til NemID.