– fordi tiden kræver et MODSPIL

05. Jun 2008

Sikker pjat - sikkerhedsråd på afveje

 
Det nyoprettede og selvbestaltede IT-politiske organ Rådet for større IT-sikkerhed er kommet med en anbefaling for at øge sikkerheden for unge, der chatter anonymt med hinanden over Internettet og måske kan lokkes til at mødes med folk, de ikke kender, og som evt. kan have ondt i sinde.

Rådet foreslår, at det offentlige skal begynde at udstede et såkaldt "ungdoms-ID", som de unge mennesker skal bruge for at bevise, hvor gamle de er, når de går ind på en chatside.

Som vi læser på rådets hjemmeside:
Alle unge under 18 år skal kunne få en digital ungdoms-signatur som de kan bruge til at dokumentere deres alder på blandt andet chat-fora. Det foreslår Rådet for Større IT-sikkerhed.

Formand for Rådet for Større IT-sikkerhed, Christian Wernberg-Tougaard, siger: "Der er brug for at skabe sikkerhed om alderen på dem som chatter.Vi har allerede en velkendt teknologi, nemlig den digitale signatur, som kan laves i en ungdomsversion. Det kan skabe tryghed for at to 13-årige som chatter, vitterligt begge er 13 år."
Man har i en senere pressemeddelelse lagt op til, at ID-et kan anvendes anonymt, det vil sige udelukkende som dokumentation af alder uden sammenhæng med navn, CPR-nummer osv.:
CHAT-SIKKERHED SKAL ADSKILLES FRA CPR

Med et UngdomsID kan chat-fora verificere alderen på børn og unge. Men hverken chat-fora eller andre serviceudbydere bør have adgang til børnenes CPR-numre. Rådet for Større IT-sikkerhed ønsker generelt at begrænse spredning af personrelaterede oplysninger for at undgå unødig overvågning og samkøring af oplysninger ...

Det ligger Rådet for Større IT-sikkerhed stærkt på sinde at også børns og unges privatliv beskyttes. Dog skal skal politiet i forbindelse med efterforskning have mulighed for se hvem der gemmer sig bag et UngdomsID.
Bemærk sidste sætning: ID'et tænkes altså at indeholde en sikker identifikation af den, det er udstedt til, således at chatdeltagere, der er logget ind med et sådant ID, ikke vil være rigtigt anonyme. Faktisk kunne pressemeddelelsens overskrift lige så godt have været:

CHAT-SIKKERHED SKAL SAMMENKOBLES MED CPR

...eftersom det vel alligevel mere eller mindre siger sig selv, at CPR-nummeret ikke er noget, alle og enhver skal have adgang til. Myndighederne vil til hver en tid kunne gå ind og se, hvem der har sagt hvad.

Jeg spår sådanne "ungdoms-ID'er" et kort liv, hvis de da nogensinde bliver til noget.

For det første vil de ikke for alvor forbedre sikkerheden: Det eneste, man kan sige om en "ID-chatter" er, at vedkommende bruger et ID, som er udstedt til en person med den og den alder. Det beviser ikke, at den pågældende ikke i virkeligheden er en 55-årig pædofil havnearbejder, der har købt certifikatet af et eller andet ungt menneske, der alligevel ikke skal bruge det.

I værste fald vil det kunne skabe en falsk tryghed: Hvis en chatside reklamerer med "sikker, ansvarlig chat" hvor kun folk med et "sikkert ID" har adgang, er dens deltagere sikkert "gode nok", og den unge og den unges forældre glemmer de helt elementære sikkerhedsregler for, hvordan man forholder sig til at kommunikerere med nogen, man aldrig har set og stadig slet ikke kender eller ved, hvem er.

For det andet og i forlængelse heraf forekommer forslaget at løse et problem, der reelt næsten ikke eksisterer. Den største og i hvert fald meget omdiskuterede fare ved chat rooms osv. er vel, at nogen lokker børnene til at mødes med sig et eller andet sted og gør et-eller-andet-grimt; skrækscenariet er en nederdrægtig vicepolitikomissær, men det kunne også være en bande af 13-15-årige, der vil lokke vedkommende i baghold.

Løsningen på den slags risici er ikke at mødes med nogen "i virkeligheden", hvis identitiet man ikke allerede har kontrolleret på anden vis, og det findes der allerede i dag glimrende tommelfingerregler for:

Lad være med at mødes med nogen, du ikke har talt i telefon med først, få og verificér vedkommendes navn og adresse, lad dine forældre tale med den pågældendes forældre, tag evt. en forælder med til mødet, osv.

Masser af børn og unge lærer hinanden at kende over nettet og verificerer hinandens identitet på den måde, og det går oftest helt problemfrit.

Jeg er sådan set ikke i tvivl om, at et sådant ID vil blive lavet, og at en-eller-anden af statens software-leverandører kan tjene et par millioner på kontrakten, men jeg tror ikke på, det vil få nogen særlig udbredelse eller komme til at gøre nogen gavn overhovedet.

For hvorfor skulle nogen ønske at bruge det? Hvorfor skulle børn og unge vælge chat rooms, hvor de skal logge ind med et UngdomsID, når de kan lade være? De kan være anonyme v.hj.a. et "nick" eller kaldenavn; hvis de er bekymrede for, om deres IP-adresse kan spores, kan de bruge Polippix.

Et "anonymt" ID, der sikrer, at ingen andre end staten kan læse med over skuldrene? Jeg tror, de fleste ville betakke sig.

Men kunne man ikke lave et sådant autoriseret ungdoms-ID, der kun validerer folks alder uden at tillade staten eller andre at vide, hvem der gemmer sig bag?

Jo, det kunne man nok, f.eks. ved en fremgangsmåde som denne: • unge mennesker, der ønsker et UngdomsID til anonym og sikker chat, skal henvende sig personligt på et kontor, der udsteder den slags (der kunne indrettes et på hver skole, med begrænset åbningstid)

• den unge dokumenterer v.hj.a. legitimation (hvis vedkommende er under 15, måske med en tilladelse fra forældrene) sin alder og identitet

• kontoret udsteder "on-the-fly" et unikt UngdomsID, der verificerer den unges fødselsdato. Dette ID kendes kun af den unge, som får det udleveret i form af et stykke papir med en kode, der kan bruges til at generere og downloade det egentlige ID.

• den pågældendes identitet verificeres kun personligt, og intet skrives på noget tidspunkt ned, der kan knytte modtageren til den koden, der er udvalgt tilfældigt og udleveret på et stykke papir; det registreres måske, at vedkommende har fået udleveret et autoriseret ID, men da selve ID'et først genereres, når den unge indtaster koden og downloader det, er der ingen mulighed for at knytte ID'et til et bestemt CPR-nummer.
Dette ville skabe et ID, der er lige så "sikkert" som det foreslåede, men som ikke kan knyttes til en bestemt person eller et bestemt personnummer.

Det ville stadig være en officiel bekræftelse af, at nogen faktisk har legitimeret sig og overfor en myndighed tilfredsstillende har dokumenteret at være født i det-og-det år. Man ville stadig ikke kunne forhindre nogen i at sælge deres ID, og man ville heller aldrig kunne gardere sig mod, at ID'et blev stjålet (den digitale signatur har samme problem).

Man kunne opnå noget lignende ud fra den løsning, Rådet foreslår, ved at subvertere den. Man kunne f.eks. oprette en "ID-børs". Den unge, der gerne vil "chatte sikkert", skal nu bare • få fat i et UngdomsID ad de officielle kanaler

• uploade sit ID til en bytteserver, der kvitterer ved at udlevere et komplet ID til en helt anden og ukendt person, der er født i samme år (eller måned)

• bruge det nye ungdomsID
Ulempe: man ville være nødt til at stole på, at børsen var ordentligt implementeret og kun delte hvert ID ud én gang.

Fordele: præcis de samme som ved Rådets løsning, bortset fra, at koblingen mellem UngdomsID og "rigtig" identitet nu er komplet upålidelig - sporbarheden er væk.

Personligt ville jeg nok opfordre mine børn til at lade være med at spilde tiden med de ID'er og tænke sig om i stedet.

Hele ideen er typisk for den "system-tænkning", der hærger diverse mere eller mindre officielle råd og udvalg og forplumrer billedet i hvert fald på dette område: Man tager et problem, der næsten ikke eksisterer og blæser det op, hvorefter man foreslår en "officiel" (læs: statslig) løsning, der ikke hjælper, men samtidig introducerer en hidtil uhørt grad af statslig indblanding og overvågning (her muligheden for at spore deltagerne i ethvert chat-rum for unge).

Hvis "Rådet for Større IT-sikkerhed" ikke har andet end den slags ineffektiv, socialdemokratisk betontænkning at byde på, kan jeg kun ønske det et kort liv.

Update:
Dette indlæg er nu oppeComputerworlds hjemmeside.

Kommentarer:

Morten skrev:
06/06/2008 03:30:31

Kan godt lide din subversive tankegang. Et rigtigt godt eksempel på, at ethvert kontrol- og registrerings-tiltag kan undergraves forholdsvis nemt, med en smule omtanke. Men jeg må så også samtidig sige, at det der råd får det til at løbe koldt ned ad ryggen - og sender tankerne tilbage til amerikanske tiltag som f.eks. Parents Musical Resource Center (PMRC), der fik en ubehagelig stor indflydelse på amerikanske pladeselskabers udgivelsespolitik.

Thor skrev:
06/06/2008 03:33:19

God indlæg, tak for det. Nu har alle (eller næsten) skoleelever allerede en unik id i form at et login til SkoleKom (via Uni-C). Det må da kunne bruges til noget i den stil, fx ved at eleven vælger at knytte en chat-signatur til sit login. I virkeligheden en form for single sign-on, men uden den direkte tilknytning af cpr.

Carsten Agger skrev:
06/06/2008 04:15:50

Morten: ja, den slags skulle der være noget mere af - subversive "bytteservere", f.eks.

Thor: Ja, i situationer, hvor det er vigtigt at vide, hvem man taler med, kunne SkoleKom-login'et være en god ting.

Der er to vigtige, modstridende behov her: Behovet for autentikering og behovet for anonymitet. Rådets forslag blander de to ting sammen og opnår derved ikke at tilfredsstille nogen af dem: Autentikering, men alligevel ikke (for ID'en kan være solgt eller stjålet) og anonymitet, men alligevel ikke (for myndighederne ved, hvem du er). Summa summarum, falsk tryghed og ingen forbedring af sikkerheden.

Måske et decentralt, "oppefra-og-ned"-organiseret system á la OpenID ville fungere bedre - ligesom "street cred" på diverse sociale sites også er vigtig. Ingen af disse teknologiske foranstaltninger er dog nogen undskyldning for ikke at tænke sig om. :-)

Skriv kommentar:

Angiv linjeskift ved <br> eller <p>. Du kan formattere teksten med <i>...</i> (kursiv) eller <b>...<b> (fed), ligesom du kan angive links med <a href="http://dit.link">...</a>. Andre HTML-tags kan ikke bruges.
Feltet "URL/Email" skal udfyldes, men du må gerne "camouflere" dig, hvis du ikke vil skrive din rigtige adresse.
ANTI-SPAM: Sæt et flueben i checkboxen for at angive, at du er et menneske og ikke en spamrobot.
 
Name:
URL/Email:
Comments:
ANTI-SPAM: Markér denne box/Please check this box.