[Bemærk at min argumentation nedenfor mod at appletten giver reel sikkerhed ikke er helt skarp - der var faktisk meget bedre argumenter end dem jeg fremførte. Hvilket nu er irrelevant fordi NemID ikke længere bruger en applet] To: Thue Janus Kristensen Sender: Morten Steen Tambour Jacobsen Date: Tue, 9 Nov 2010 10:10:54 +0100 Subject: SV: NemID og sikkerhed Kære Thue, Peter Lind Damkjær fra DanID har svaret følgende på dine spørgsmål: "Det er korrekt, at man i princippet kan lave en ikke-signeret applet, så den ser ud som om, den er DanID's applet. Brugere med særlig indsigt vil kunne skelne dette ved at kigge på HTML-koden, downloade og verificere Java-appletten uden om browser-interfacet. Det er en kendt risiko, der blandt andet er nævnt i FAQ'en (under "Er NemID 100% sikker?"): https://web.archive.org/web/20130929014640/https://www.nemid.nu/dk-da/support/ofte_stillede_spoergsmaal/#er_nemid_100__sikker [Link rettet til arkiv-version -Thue] Parterne i NemID følger udviklingen og har forskellige "step-up"-muligheder, der adressere ovenstående, hvis det viser sig at gå til at blive et reelt problem. Der er allerede tiltag i appletten, der skal gøre det sværere, at automatisere det beskrevne angreb." Hvis du har yderligere spørgsmål til den tekniske sikkerhed i NemID, så må jeg henvise til DanID. Venlig hilsen Morten Steen Tambour Jacobsen Fuldmægtig, Cand.polyt. Center for Digital Signatur Direkte telefon: + 45 3337 9131 E-mail: mstj@itst.dk Ministeriet for Videnskab, Teknologi og Udvikling IT- og Telestyrelsen Holsteinsgade 63 DK-2100 København Ø Telefon: +45 3545 0000 Fax: +45 3545 0010 E-mail: itst@itst.dk www.itst.dk ________________________________ Fra: Thue Janus Kristensen [mailto:thuejk@gmail.com] Sendt: 3. november 2010 10:21 Til: I-CDS - Borgerhenvendelser Cc: tip@pol.dk Emne: Re: NemID og sikkerhed Min pointe er jo at jeg i den nuværende implementation som slutbruger ikke har en chance for at vide om den nemid-dialog jeg ser er reel. Selv ikke mig, som er super-sikkerheds-minded. Hvis du går ind på https://www.mitnykredit.dk/ibank/index.jsp , kan du så fortælle mig hvordan jeg kan vide om den applet som kører er fra danid, eller er en applet fra nykredit som bare påstår at være fra danid, men som fisher mit menid login/password/token. Specielt var min pointe, at det ville være trivielt at lave en løsning som ikke havde det problem i samme grad. Det er netop derfor at jeg mener at dette problem "relaterer sig direkte til NemID". Og det er ikke sandt at "Der vil kunne laves tilsvarende "proof of concept" eksempler på en hvilken som helst anden teknologi, der anvendes til autentificering på nettet.". Der findes faktisk løsninger hvor slutbrugeren har en chance for at vide om han bliver fished, modsat nemid. Hilsen Thue