Hjem > Hacking, Hverdag > Hvorfor er sikkerhed så svært?

Hvorfor er sikkerhed så svært?

16 marts, 2010 Efterlad en kommentar Gå til kommentarer

Nu er det efterhånden ved at være rimeligt normalt at bashe sikkerheden i det offentlige for tiden. Men derfor vil jeg da ikke afholde mig fra at give dem et par bashes mere. Når det kommer til sikkerhed der omhandler folks liv og penge, må der simpelt hen ikke være noget, der kan gøres bedre, uden at det så også bliver gjort.

Jeg har lige fået ny digital signatur. Den gamle udløber her til den første, så den skulle jo opdateres. Det var nu nemt nok. Jeg bruger Chrome på en XP maskine, og bortset fra at jeg måtte prøve to gange, fordi PKCS11 modulet ikke lige blev installeret korrekt første gang, så fik jeg en ny signatur uden de store problemer.

I den forbindelse besluttede jeg mig for at bruge en anden kode på den nye signatur. Jeg har lige som mange andre IT folk, rigeligt med koder at huske til dagligt. Derfor er mine personlige koder opdelt i et system, alt efter hvor meget der kan gå galt hvis en af dem bliver brudt. Alle mine personlige ting, der har noget med mine personlige penge at gøre, har den samme kode som min signatur. Det er måske ikke så sikkert som at have forskellige koder, men i det mindste skriver jeg ikke koden ned nogen steder.

Nu når jeg alligevel skifter kode, så ville jeg dog lave en liste over hvor koden bliver brugt. Det er en smart måde at sikre at man får skiftet alle steder også i fremtiden. Jeg fik ændret de fleste sider uden at det var specielt besværligt, dog forstår jeg stadig ikke at HK kalder min kode for en PIN-kode, når nu de kræver bogstaver.

En af de steder jeg har brugt den gamle kode, var på Skat’s tast-selv sider. Da jeg forsøgte at skifte denne kode, gik stort set alt hvad der havde med sikkerhed at gøre galt. For det første husker min browser mit login navn, som er mit CPR nummer. Vel at mærke hele CPR nummeret. Det er ret usmart at Skat ikke har sat den lille attribut, der gør at browseren ikke gemmer feltet. Derudover kunne jeg ikke finde noget sted at skifte koden. Jeg har brugt en halv times tid på at lede efter det, men jeg kan ikke finde noget sted, hvor man kan ændre eller slette sin tast-selv kode. Jeg ville egentlig gerne bare bruge digital signatur i stedet, og så bare slette koden helt.

Dog fandt jeg til sidst ud af, at jeg kan bestille en ny kode. Denne kode bliver så sendt til mig per email, da jeg har tastet en email ind, som kontaktoplysning. Det undrer mig lidt at jeg kan modtage koden, i en ukrypteret email. Det vil sige at folk der på en eller anden måde, får opsnappet mit CPR, nemt kan logge på tast-selv, og alle andre sider der bruger tast-selv login. En af de sider er for eksempel E-boks, hvor alle mine forsikrings papirer, lønsedler og andre ret personlige ting bliver opbevaret for mig.

Skat burde dele CPR feltet ved login op i 2 felter, ligesom HK har gjort det. De sidste 4 cifre er at betragte som et password. Derudover burde de få indført en side, hvor man kan skifte tast-selv kode, samt helt slette den, såfremt man ønsker kun at bruge Digital signatur.

Med hensyn til oprettelsen af digital signatur, forstår jeg heller ikke at det kan lade sig gøre, uden at man møder op hos borgerservice. For nogle certifikat typer er det krævet at man møder op personligt. Det vil altså sige at DanID har erkendt, at der er forskel på sikkerheds niveau’et. Hvis jeg vil oprette et certifikat i en anden persons navn, skal jeg blot kende hans adresse og CPR nummer. Jeg skal så godt nok bryde ind i hans postkasse, den dag han modtager sit kodebrev fra DanID, eller være heldig at møde posten og lade som om jeg bor der.

Så vidt jeg har forstået, arbejder DanID på at skifte alle signaturer ud med nøglekort. Fordelen ved dette er at der altid er en fysisk lap papir, som man skal stjæle for at kunne bruge min identitet. Jeg forstår ikke, at man ikke ændrer reglerne, så alle der skal have et digitalt signatur, møder op hos borger service, der så kan vejlede en i oprettelse og eventuelt installation af certifikatet. Hvis borgerservice har tjekket ID, og eventuelt fotograferet vedkommende der afhenter den digitale signatur første gang, er jeg i hvert fald tilfreds med, at de har gjort hvad der måtte forventes, for at beskytte min identitet. Det kræver måske lidt ekstra mandetimer hos borgerservice, men eftersom mange allerede har digitale signaturer, bliver det en løbende process, da de udløber fordelt over hele året.

Problemet i dag er at man er ansvarlig for sin egen identitet. Det er for nemt at kopiere en identitet, og det kræver ikke de store summer penge at rette op på problemet. Sikkerheden er simpelt hen for vigtig til at jeg syntes man kan undlade at rette op på det.

Jeg foreslår følgende 3 ændringer til Skat og DanID. 1: Ændre feltet ved login med tast-selv kode til 2 felter, de sidste 4 cifre beskyttes som et password felt. 2: Opret en underside under tast-selv, der giver mulighed for at skifte og slette tast-selv kode. 3: Ved overgang til de nye nøglekort, skal alle afhente det første nøglekort hos Borgerservice, så vi er sikre på at signaturen er udleveret til en fysisk person, der er kontrolleret ID og eventuelt gemt billede af.

Categories: Hacking, Hverdag Tags:
  1. Ingen kommentarer endnu.
  1. Ingen Trackbacks endnu.