[Bemærk at jeg mener at Morten Steen Tambour Jacobsen's argumenter nedenfor ikke er teknisk korrekte. Jacobsen har også trukket nogle af dem tilbage i efterfølgende emailkorrespondance, før han til sidst gav op at forsvare NemID og brugte Argument From Authority med NemID's chefarkitekt som autoritet. -Thue] From: I-CDS - Borgerhenvendelser To: "thuejk@gmail.com" Sender: Morten Steen Tambour Jacobsen Date: Thu, 21 Oct 2010 14:33:52 +0200 Subject: NemID og sikkerhed Kære Thue Janus Kristensen, Tak for din henvendelse. Sikkerhedsaspekterne i den måde NemID løsningen er konstrueret på er vurderet meget grundigt og reviewet af førende nationale og internationale sikkerhedseksperter. Der foretages desuden en løbende risikovurdering af potentielle trusler mod sikkerheden i NemID. Det scenarie, du beskriver, er en blanding af klassisk fishing og et klassisk man-in-the-middle angreb. Disse risici har fra starten indgået i sikkerhedsvurderingen af NemID, og der er således ikke noget nyt i det scenarie du opstiller. Netop det at benytte en signeret Java applet er en måde hvorpå brugeren kan verificere at dialogen med NemID er reelt. Brugeren har her mulighed for at tjekke, at appletten er signeret korrekt med et certifikat fra DanID A/S. Dit forslag om at sende alle forbi en bestemt webside til login er faktisk sådan det foregår for hovedparten af de offentlige selvbetjeningsløsninger, da disse er tilsluttet NemLog-in. I alle disse løsninger sendes man således videre til NemLog-ins login side, hvor man kan logge på med enten NemID eller den gamle digitale signatur, for derefter at blive sendt tilbage igen. Med venlig hilsen Morten Steen Tambour Jacobsen Fuldmægtig, Cand.polyt. Center for Digital Signatur Direkte telefon: + 45 3337 9131 E-mail: mstj@itst.dk Ministeriet for Videnskab, Teknologi og Udvikling IT- og Telestyrelsen Holsteinsgade 63 DK-2100 København Ø Telefon: +45 3545 0000 Fax: +45 3545 0010 E-mail: itst@itst.dk www.itst.dk ________________________________ Fra: Thue Janus Kristensen [mailto:thuejk@gmail.com] Sendt: 6. oktober 2010 21:05 Til: I-ITST - enhedspostkasse Cc: tip@pol.dk Emne: NemID og sikkerhed Der er så vidt jeg kan se sikkerhedshul i den måde NemID fungerer på.= Tag følgende eksempel 1) En kriminel registrerer https://www.officielt-lydende-domaine.dk , og laver en pixel-for-pixel kopi af udseendet af en NemID login-boks på siden. 2) Et offer lokkes ind på siden, fx gennem et link i en officielt lydende email eller lignende. 3) Offeret taster sit personnummer og password ind. 4) Den kriminelle bruger straks disse til (automatiseret, i real-time) at logge ind i offerets netbank, og få en en challenge-kode 5) Den kriminelle's hjemmeside viser (automatiseret, i real-time) challenge-koden, som den kriminelle fik, til offeret. 6) Den kriminelle bruger nu straks offerets korrekte svar på challenge-koden til at hugge penge fra offeret's netbank. Jeg var fristet til at kalde offeret for "din bedstemor", som man kalder den gennemsnitligt dumme bruger. Men ovenstående kan jo ske for selv it-competente personer, for der er ingen måde for en bruger at vide om en NemID-dialog er reel. Den åbenlyse løsning er at lave NemID om, så alle logins foregår ved at man bliver sendt til https://nemid.dk , logger ind der, og så sendes tilbage igen. På den måde kan den vågne bruger vide, at det eneste legitime sted at indtaste sit NemID er på https://nemid.dk CC: Politiken. Svar må også gerne sendes CC til Politiken Hilsen Thue Janus Kristensen tlf: 23950681 PS: Hvorfor kræves det at man skal køre en Java-applet med fulde rettigheder til at tilgå min computer for at bruge NemID? Uden nogen god begrundelse, så vidt jeg kan se? Det er jo forrykt!