Børsen bragte den 10. august 2010 en artikel med overskriften ”Sikkerhedsbrist truer den nye digitale signatur”, hvori der fremsættes en række påstande omkring en sikkerhedsbrist i den Java applet, som NemID anvender.

IT- og Telestyrelsen kan hermed dementere, at der er en sikkerhedsbrist i NemID eller den Java applet, som NemID gør brug af.

DanID, som varetager udvikling og drift af NemID, har talt med den ene af de to citerede eksperter, Mikael Hertig. Han har erkendt, at der er tale om en misforståelse, og han har efterfølgende udtalt følgende replik: "Mikael Hertig udtaler til Nensome Note, at han med større vægt burde have pointeret overfor Børsen, at han ikke selv er i stand til at vurdere, om der er noget hul i NemID eller ikke." Se i øvrigt http://www.nensome.dk/default.asp?Dok=239&Emne=0.  

DanID har forgæves forsøgt at komme i kontakt med den anden citerede ekspert, Niels Elgaard Larsen.

Professor i IT-sikkerhed afviser påstandene

Professor i it-sikkerhed ved Aarhus universitet, Ivan Bjerre Damgård, bekræfter over for Computerworld, at NemIDs Java applet ikke lider af de påståede sikkerhedsbrister. "Det, IT-Politisk Forening siger, er, at en vilkårlig applet kan give adgang til personlige oplysninger, hvilket er korrekt, men i forbindelse med NemID er der ikke tale om en vilkårlig applet," siger han. Læs hele artiklen her: http://www.computerworld.dk/art/100522/quot-nemid-aabner-ikke-for-personlige-oplysninger-quot?a=fp_1&i=0. 

Afvisning af de enkelte påstande

Nedenfor gennemgås og tilbagevises de enkelte påstande fra Børsens artikel.

1. Det er muligt for en myndighed at snage i den enkelte NemID-brugers personlige forhold.
2. Tjenesteudbydere, der er koblet på systemet, kan gå baglæns i transmissionen og aflure brugeren.
3. Når brugeren besøger en tjenesteudbyder, har ikke alene denne tjenesteudbyder, men alle tjenesteudbydere, der er tilsluttet NemID, fuld adgang til brugerens computer.
4. Appletten bliver automatisk installeret på brugerens computer.
5. En tjenesteudbyder har adgang til oplysninger, som brugeren har liggende hos andre tjenesteudbydere.
6. En kvik Java ekspert vil kunne lave en applet, der kan sættes i gang uden brug af engangskoder.

Ad 1 - Det er muligt for en myndighed at snage i den enkelte NemID-brugers personlige forhold

NemID appletten fra DanID anvendes til entydigt at identificere en bruger over for en bestemt tjenesteudbyder, det kan være en bank, en offentlig myndighed eller en privat tjenesteudbyder.

NemID appletten hentes direkte fra DanID ned til brugerens computer uden om tjenesteudbyderen, og når brugeren har identificeret sig selv via NemID appletten, sender den en besked tilbage til tjenesteudbyderen med brugerens identitet. Dialogen mellem NemID appletten på brugerens computer og DanIDs centrale server, der etablerer brugerens identitet, er krypteret og sikret efter alle kunstens regler. DanID har fået en lang række af verdens førende sikkerhedseksperter til at teste og reviewe alle dele af systemet.

Tjenesteudbyderen sørger for, at NemID appletten bliver startet hos brugeren, men kommer ikke direkte i kontakt med appletten. Tjenesteudbyderen modtager efterfølgende et simpelt svar fra appletten, der er signeret med brugerens digitale signatur.

Det er derfor på ingen måde muligt for en tjenesteudbyder at anvende NemID appletten til at tilgå personlige data på brugerens computer.

Ad 2 – Tjenesteudbydere, der er koblet på systemet, kan gå baglæns i transmissionen og aflure brugeren

Tjenesteudbyderen modtager kun den signerede log-in besked og har ikke nogen transmission at gå tilbage i.

Ad 3 - Når brugeren besøger en tjenesteudbyder har ikke alene denne tjenesteudbyder, men alle tjenesteudbydere, der er tilsluttet NemID, fuld adgang til brugerens computer

Det, Niels Elgaard Larsen her formentlig henviser til, er det forhold, at NemID appletten kræver læse- og skriveadgang til brugerens harddisk af hensyn til caching. For at et Java program afviklet i en browser kan få sådan en adgang, skal programmet være signeret med en digital signatur, og brugeren skal acceptere, at programmet får denne adgang.

Dette er en helt normalt fremgangsmåde, og det er den samme teknologi, som stort set alle eksisterende netbanksløsninger og den gamle digitale signatur anvender.

Det er kun NemID appletten, der har læse- og skriveadgang, og denne adgang stilles ikke til rådighed for nogen tjenesteudbyder. NemID appletten læser på intet tidspunkt personlige filer fra brugerens computer.

Ad 4 - Appletten bliver automatisk installeret på brugerens computer

NemID appletten installeres ikke på brugerens computer.  Af performancehensyn gemmes en kopi af appletten lokalt, så den kan startes hurtigere, næste gang brugeren vil logge på med NemID.

Ad 5 - En tjenesteudbyder har adgang til oplysninger, som brugeren har liggende hos andre tjenesteudbydere

En tjenesteudbyder tilsluttet NemID har ingen adgang til de oplysninger, der er registreret hos DanID eller hos andre tjenesteudbydere.

En tjenesteudbyders adgang strækker sig til, at man ved log-in kan sørge for, at NemID appletten bliver startet hos brugeren og efterfølgende få et svar tilbage, der er signeret med brugerens digitale signatur, og som kan anvendes til at etablere brugerens identitet. Efterfølgende laver tjenesteudbyderen et opslag hos DanID, der checker, om brugerens certifikat er gyldigt. Derudover har tjenesteudbyderen ikke andre adgange til oplysninger.

Ad 6 - En kvik Java ekspert vil kunne lave en applet, der kan sættes i gang uden brug af engangskoder

Hvis nogen laver deres egen applet, vil den ikke være signeret af DanID, og den vil ikke kunne komme i kontakt med DanIDs centrale systemer. Det er kun via DanIDs centrale systemer, at brugeren kan generere en gyldig signatur eller signere et dokument. 

Yderligere spørgsmål

For yderligere spørgsmål, kontakt centerleder Palle H. Sørensen, Center for Digital Signatur, IT- og Telestyrelsen, tlf. 7231 9222, .