NemID

Fra Wikipedia, den frie encyklopedi
Gå til: navigasjon, søk

NemID er en felles innloggingsløsning til danske nettbanker og offentlige nettsider. NemID drives av firmaet DanID og ble tatt i bruk den 1. juli 2010.

Tanken er at man skal kunne bruke NemID til å logge inn på de institusjoner som har tilsluttet seg ordningen. Man må dog ha et OCES-sertifikat for å få en offentlig digital signatur. Man skal kunne logge på med NemID fra en hvilken som helst datamaskin, både i Danmark og i utlandet. Et krav har vært at der skulle være to-faktor-autentifisering, hvor man i første omgang har valgt et «nøkkelkort» med engangskoder.

Bakgrunn[rediger | rediger kilde]

I 2003 fikk TDC oppgaven med den første utgave av digital signatur i de første fem år, og IT- og Telestyrelsen skulle utby oppgaven igjen.[1] De oppstilte følgende mål for forbedring:[2] Sikkerhet, brukervennlighet, mobilitet og utbredelse. I utbudets start var fire konsortier med:[3] TDC, KMD, IBM[4], Post Danmark, EDB Gruppen og PBS i forskjellige kombinasjoner, hvor for eksempel TDC var med i tre grupper og PBS i to. Underveis falt noen fra, og TDC og PBS fant sammen om et felles bud.[5] Ved deadline for bud for oppgaven i november 2007 var det kun TDC og PBS som kom med et bud.[6]

Samtidig var bankene gått sammen om en ny felles innloggingsløsning til nettbanker til erstatning for nøkkelfiler, som var blitt meget sårbare for elektroniske trojanere.[7] Antallet angrep på nettbanker var blitt større.[8][9] Bankene og deres datasentra hadde som mottrekk laget løsninger som blant annet SMS-koder[10] eller låsing av nøkkelfil til maskiner.[11][12]

DanID inngikk avtale[rediger | rediger kilde]

TDC og PBS dannet Selskabet af 24. august 2007 til utbudet og som forhandler med IT- og Telestyrelsen om kontrakten, og i juni 2008 ble avtalen inngått. Samtidig trådte TDC ut av selskapet[13] og overdro alle medarbeidere og aktiver til selskapet.[14] Den 25. juni 2008 ble avtalen og det nye navn på selskapet – DanID – offentliggjort[15][16]. Etter et par forsinkelser på grunn av at forhandlingene trakk ut[17] og senere at bankene ville ha mere tid til testing,[18] kunne systemet tas i bruk den 1. juli 2010.

Teknikken[rediger | rediger kilde]

Systemet består av to uavhengige systemer. En OCES CA og et system til håndtering av brukerne, de private nøkler og adgangen til nettbanker.

OCES CA[rediger | rediger kilde]

OCES CA håndterer prosessene omkring utstedelse av sertifikater ved signering av offentlige nøkler og administrasjon av sertifikater deretter. Her er det mulighet for oppslag via blant annet LDAP om hvorvidt et sertifikat stadig er gyldig eller er blitt sperret, søkning av sertifikater via e-post-adresse til bruk for kryptering og signering av e-post. Derutover er det for autoriserte myndigheter og firmaer en tjeneste for oppslag fra pid – løpenummeret for serfikatet – til CPR-nummer. Ved utstedelsen av sertifikater skjer der oppslag i CPR-registret, samt i eventuelt kjørekort- og passopplysninger til verifikasjon av personens identitet.

Systemet kan håndtere både NemID og et særlig smartcard som brukes til å lagre den private nøkkelen i stedet for sentralt.

NemID[rediger | rediger kilde]

Det andre systemet som brukerne normalt har kontrakt til, er selve NemID-systemet. Det består av to delsystemer:[19]

  • Et system til utstedelse av engangssertifikater, som brukes overfor nettbanker
  • Et system til sentral lagring av de private nøkler til OCES-sertifikater

Håndtering av nøkler skjer i noen moduler, såkalte hardware security module (HSM), som er spesiell hardware som er sertifisert etter standarden NIST FIPS 140-2 level 4 til formålet.[19] Det er et lukket system hvor all kommunikasjon inn og ut er kryptert; også håndtering av data internt skjer med kryptering. Det gjelder også overfor det disksystem hvor data lagres, hvor backup av disker skjer med de krypterte data.

Også ved log-in til systemet er der sikret med flere lag kryptering. I den SSL-forbindelse som dannes til NemID, sjekkes bruker og adgangkode via en secure remote password-protokoll imellom Java-applet og NemIDs HSM.[20] Med denne protokoll sjekkes at brukeren har det riktige passord, men uten at NemID har det virkelige passord.[21] Som den annen faktor brukes igjen Secure Remote Password-protokollen til å verifisere engangskoden fra nøkkelkortet.

Brukerens adgangskode brukes også til å utregne den nøkkel som skal brukes til å åpne brukerens private nøkler.[21] Det vil si NemID eller andre har ikke adgang til de private nøkler på det sentrale system. Når man skal ha forrettet en forbindelse til en tjeneste, danner nettleseren og Java-applet en sesjonsnøkkel. Denne nøkkelen og kun den sendes til NemID, hvor nøkkelen blir signert med den private nøkkel. Det gjelder når en bruker skal sende en e-post som skal signeres. Omvendt, når en e-post skal avkodes, sendes den krypterte sesjonsnøkkel til NemID, som tilbakeleverer sesjonsnøkkelen til å åpne det kodede dokument i e-posten.

Referanser[rediger | rediger kilde]

  1. ^ TDC's digitale signatur kan lakke mod enden – www.computerworld.dk
  2. ^ Sikkerhedskonceptet vedrørende NemID – www.digitalsignatur.dk
  3. ^ Kapløbet om digital signatur 2.0 er i gang – www.computerworld.dk 2. februar 2007
  4. ^ IBM vil udfordre TDC på digital signatur – www.computerworld.dk den. 9. februar 2007
  5. ^ TDC og bankerne går sammen om digital signatur – www.computerworld.dk den. 18. september 2007
  6. ^ Kun PBS-TDC-alliance byder på ny digital signatur – www.computerworld.dk den 12. november 2007
  7. ^ Skarp kritik af dansk netbank-sikkerhed – www.version2.dk – 4. januar 2008
  8. ^ Rekordmange netbankindbrud i 2007 – www.version2.dk den. 2. januar 2008
  9. ^ Danskere fik stjålet ni millioner kroner i netbank-indbrud i 2008 – www.version2.dk den 26. marts 2009
  10. ^ Nordea har SMS-sikret netbanken – www.version2.dk den 12. februar 2009
  11. ^ Danske Bank øger sikkerheden efter kode-kaos – computerworld.dk den 25. januar 2007
  12. ^ SDC tuner sikkerhed på 80 netbanker – computerworld.dk den 30. april 2007
  13. ^ TDC færdig som leverandør af den digitale signatur – www.computerworld.dk/art/46623 den. 25. juni 2008
  14. ^ Medarbejdere følger signatur ud af TDC – www.computerworld.dk den. 25. juni 2008
  15. ^ Ny digital signatur baseres på engangskoder – www.computerworld.dk den. 25. juni 2008
  16. ^ Sådan bliver den nye digitale signatur – www.version2.dk den. 25. juni 2008
  17. ^ Ny digital signatur bliver forsinket – www.version2.dk den 9. januar 2008
  18. ^ Digital signatur-afløser forsinket – igen – www.computerworld.dk den 17. september 2009
  19. ^ a b Computerworld – Så sikkert opbevares din NemID
  20. ^ Prosabladet nr 12 2010 side 29
  21. ^ a b Teknikken bag NemID – www.nemid.nu

Eksterne lenker[rediger | rediger kilde]