– fordi tiden kræver et MODSPIL

22. Jul 2010

Åbent brev til DanID om NemID

 
NemID vs OpenJDK Jeg har nu fået NemID, så min netbank fra Danske Bank virker i Ubuntu uden mystiske krumspring med wine og Internet Explorer. Det er jo som udgangspunkt fint!

Selve NemID-løsningen lader dog en hel del tilbage at ønske, og selv om nøglekortene sammen med et hemmeligt kodeord formentlig giver en helt fin sikkerhed for netbank og den slags, er det dybt problematisk, at de private nøgler ligger på en central server og ikke på et nøglekort hos den enkelte borger. Men det er en anden historie.

Det var ret nemt at få NemID til at fungere - men jeg var nødt til at installere Suns Java, fri-software-udgaven med OpenJDK og IcedTea-plugin kan ikke bruges, hvis man skal bruge NetID. Det er jeg ikke tilfreds med, det synes jeg faktisk godt, DanID kunne gøre bedre.

Jeg har derfor sendt dem denne lille hilsen, som jeg håber at få et forhåbentlig positivt svar på inden længe:
Det lykkedes mig næsten uden problemer at få NemID til at virke under Ubuntu 9.10.

Dog var der et enkelt problem: Jeres login-applet ville ikke virke under den udgave af Java, der som standard installeres på Ubuntu-systemer og som er fri for komplicerede juridiske bindinger, nemlig OpenJDK-JRE med IcedTea-plugin.

For at få det til at virke, var jeg med andre ord nødt til at installere Suns Java i stedet, der som sagt har visse juridiske bindinger og ikke er 100% fri software.

Hvordan kan det være? De fleste større hjemmesider kan godt finde ud af at lave Java-applets, der virker under OpenJDK. Er der planer på at rette op på det, så man kan bruge NemID med en IcedTea-plugin?

med venlig hilsen ...
Hvis jeg får et svar, vil jeg naturligvis lade det gå videre i form af en update til dette indlæg.

Update:

Jeg har nu modtaget dette svar fra DanID:
Vi har også gjort forsøget, og som du kan se af mail nedenfor,
virker det uden problemer for os. 

 

Venlig hilsen

 
From: xxx 
Sent: 23. juli 2010 12:57
To: yyy
Subject: FW: Det virker

Vi har nu haft lejlighed til at afprøve NemID på Ubunto 10.04 
med OpenJDK og IcedTea installeret fra Ubuntu  Software Center.

Det virker fint med NemID og vi kan logge på både www.nemid.nu og på en netbank.
Jeg må vel så konstatere, at det kun er med den version af OpenJDK, der findes i Ubuntu 9.10 (og tidligere?) det ikke virker, og at det virker i 10.04. Så det problem er altså løst!

Der er dog andre problemer ved NemId, hvoraf et er så stort, at jeg forventer at vende tilbage til det en af dagene. Ét af disse problemer er, som Ole Wolf gør opmærksom på i en kommentar, at man overhovedet er nødt til at have et program som Java installeret for at bruge digital signatur. Det burde overhovedet ikke være nødvendigt, eftersom krypteringsteknologien allerede er indbygget i alle de vigtigste internet-browsere.

Kommentarer:

wolf skrev:
23/07/2010 04:38:45

Jeg har skrevet et tilsvarende brev til NemID. Se http://blog.blazingangles.net/soapbox/2010/07/sporsmal-til-nemid.html samt kommentarerne, der uddyber, hvorfor det også er et socialt problem, at man skal installere software trods DanIDs skriftlige forsikringer om det modsatte.

Carsten Agger skrev:
23/07/2010 06:00:54

Ja, det havde jeg så også godt set og til en vis grad ladet mig inspirere af. Jeg brokker mig så ikke så meget over at skulle bruge Java som over at være bundet til en anden version af Java, end keg selv foretrækker at bruge.

Jeg har allerede fået et intetsigende ikke-svar fra teknisk support og har nu i stedet sendt mit spørgsmål til DanIds kommunikationschef. Se, om der sker noget :-)

wolf skrev:
24/07/2010 08:01:09

Det fremgår i øvrigt af Version 2, at videnskabsminister Charlotte Sahl-Madsen mener, at det er mest sikkert, hvis alle de private nøgler opbevares ét sted, som ikke er hos ejerne. Man kan godt høre, hun ikke har færdiggjort en uddannelse.

Per Jensen skrev:
26/07/2010 07:42:39

Der er langt større sikkerhedsproblemer med NemID. SE f.eks. debatten om det her. http://www.version2.dk/artikel/15599-minister-om-nemid-struktur-bedst-for-sikkerheden-at-samle-alt-hos-danid#post75143 mvh Per

Per Jensen skrev:
26/07/2010 07:45:31

I øvrigt har jeg også ladet mig inspirerer og sendt et spørgsmål tilsvarende til min bank (Nykredit) - vender tilbage hvis der kommer et svar.

Carsten Agger skrev:
26/07/2010 10:58:44

@Per, ja, der er hundrede ting i vejen. Det værste er måske, at fordi NemId-Java-applet'en kører som en signeret applet, kan det bruges til at læse (og skrive i) samtlige brugerens filer. Hvis det en dag blev misbrugt, ville det fungere som en ideel bagdør ind i samtlige computere, der bruger NetId - med mindre folk selv tager deres forholdsregler.

Generelt er der så mange problemer med NemId, at jeg vil fraråde alle at betragte den som en brugbar digital signatur. HVIS du sørger for at gå på netbank via en dummybruger, som ikke har adgang til at læse dine personlige filer, er systemet med fysiske kodeord en udmærket sikkerhedsmekanisme. Men et challenge-response-system bygget på et kryptokort med din private nøgle (i din egen lomme, uden nogen kopier nogen steder!) ville være meget bedre.

Maria skrev:
27/12/2010 01:06:38

Nem ID samt Dan ID er fucked op!!!! Det kan ikke finde ud af at sende min nøglekort until nu til min postboks i udlandet. Efter adskillige telefonsamtale og klager-mails siden september sket stadigt INTET. ALT FOR DÅRLIGT,jeg kan ikke tror på at de havde sendt det overhovedet,da jeg få alle min andre post fra Denmark uden problemer på en uge.

Skriv kommentar:

Angiv linjeskift ved <br> eller <p>. Du kan formattere teksten med <i>...</i> (kursiv) eller <b>...<b> (fed), ligesom du kan angive links med <a href="http://dit.link">...</a>. Andre HTML-tags kan ikke bruges.
Feltet "URL/Email" skal udfyldes, men du må gerne "camouflere" dig, hvis du ikke vil skrive din rigtige adresse.
ANTI-SPAM: Sæt et flueben i checkboxen for at angive, at du er et menneske og ikke en spamrobot.
 
Name:
URL/Email:
Comments:
ANTI-SPAM: Markér denne box/Please check this box.