29. marts 2010, 06:00

Efter 10 år med en bøvlet digital signatur, der ikke slog godt nok an, byder det offentlige den 1. juli sine borgere på en ny og mere brugervenlig underskrift til brug på nettet.

Dernæst gælder det bankerne. Senest den 30. november vil den nye e-underskrift, NemID, også være tre millioner menneskers nøgle til netbanken.

Ambitionerne standser ikke der. DanID, som står bag den nye fælles e-underskrift og ejes af bankerne, er i fuld gang med at markedsføre NemID overfor alskens aktører på nettet som almindelig log in-procedure.

Selv debatfora har DanID i kikkerten som indtjeningskanal. Ingeniørens it-medie Version2, der har et livligt debatforum, fik tilbudet om at slippe for besværet med eget log in-system, og berettede om det.

Eksport til Kina

Lige netop den salgsindsats fra DanID kalder på galgenhumoren. Der er jo eksportpotentiale i konceptet. Det kinesiske styre og andre, der sætter regimets rettigheder over alt, vil elske den danske model, der er tæt koblet til CPR-systemet. Tænk hvis enhver, der ytrer sig på nettet, kan identificeres helt entydigt.

DanID forsikrer os dog om, at selskabets liste over, hvor vi har logget ind med NemID, er dybt fortrolig. Den ”kan kun udleveres til myndighederne efter anmodning fra politi eller domstole”…
Galgenhumoren til side. Er NemID det store fremskridt, den markedsføres som?

Umiddelbart bliver det mere brugervenligt. Den nuværende signatur forudsatte installation af særligt software (med egen ”nøgle”) på egen PC. Men alene installationen af signatur-softwaren fik skræmt en del væk, da det ikke skortede med systemadvarsler undervejs. Og når folk købte ny pc, fik nogle problemer, når signatursoftwaren skulle flyttes over fra den gamle PC. Mindre tech-kyndige kunne gøre det så forkert, at password-beskyttelsen forsvandt.

Èngangs-pinkoder

Med NemID er det slut med at installere noget på egen pc. Ens personlige ”nøgle” lagres i stedet på en central computer hos DanID. For at bruge NemID skal man indtaste et brugernavn, et password samt en særlig engangs-pinkode. Den hentes fra et lille kodekort, man forsynes med, fyldt med i alt 148 engangskoder.

Hvilken pin-kode du skal bruge af de mange, afgør det centrale system. Til hver pinkode er nemlig tilknyttet et løbenummer, som du får sendt fra systemet, når aktuelt.

Med den gamle signatur var der to sikkerhedsfaktorer: Noget du havde på din pc (en stump software), og noget du vidste – dit password. Med NemID er der tre faktorer med engangskoden på kortet som den tredje (Jyske Banks netbanks-kunder har altid haft en løsning med engangs-koder).

Det indebærer, at du kan bruge enhver PC, også til at gå i banken. Og du slipper for, at din netbank kommer i fare, hvis hackere har haft held til at tage kontrollen med din PC. Ulemperne ved NemID? Den centrale server. Din ”nøgle” er ikke længere i din personlige besiddelse, men ligger centralt sammen med 3 millioner andres nøgler.

Det handler om tillid til, at den, der forvalter nøglerne, ikke misbruger mulighederne på egne eller andres vegne.

CPR-systemet misbruges kun yderst sjældent, og misbrugeren efterlader elektroniske spor, ligesom det sker ved netbanks-misbrug. Vi har også erfaret, at et centraliseret Dankort-system og PBS’s betalingssystem giver lettelser.

Overgangsløsning

Men tillid er en personlig sag. Jeg betragter selv NemID som en overgangsløsning. På sigt bør den personlige nøgle retur til individet, og teknologien stiller sig ikke i vejen. Det handler heller ikke alene om tillid til myndigheder, men også til, at den centrale server er tilstrækkeligt beskyttet mod nettets mange kriminelle.

Min egen paranoia over for Big Brother-risici er langt mere begrænset, end min noia over for nettets mørke kræfter. Personligt bryder jeg mig ikke om, at jeg kun kan få én NemID. At jeg identificerer mig på samme måde på nettet, uanset om det er overfor det offentlige eller netbanken eller andre.

Det eneste DanID kan tilbyde er, at en borger (eller en virksomhed, der jo også får en NemID) kan få flere nøglekort, så man for eksempel kan anvende ét kort mod det offentlige, et andet mod netbanken. DanID’s IT-system er imidlertid ikke indrettet til at kræve brugerens valg håndhævet.

En ting får mig dog til at ånde lettet op. Der vil altid være firmaer, der tilbyder fup og fidus på nettet, men selv om de måtte forlange, at log in sker med NemID, standser deres rettigheder der. DanID oplyser, at betaling via netbank stadig vil kræve særskilte aftaler og procedurer samt kundens egen accept.

DanID har imidlertid ikke indført, hvad der kan kaldes et lødighedstjek af sine kommende virksomhedskunder. Det er ellers en god idé. NemID vil garanteret blive markedsført af netop de underlødige som en slags blåstempling.