1 <?xml version=
"1.0" encoding=
"utf-8"?>
2 <rss version='
2.0' xmlns:lj='http://www.livejournal.org/rss/lj/
1.0/'
>
4 <title>Petter Reinholdtsen - Entries tagged bankid
</title>
5 <description>Entries tagged bankid
</description>
6 <link>http://people.skolelinux.org/pere/blog/
</link>
10 <title>Lenker for
2013-
01-
01</title>
11 <link>http://people.skolelinux.org/pere/blog/Lenker_for_2013_01_01.html
</link>
12 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Lenker_for_2013_01_01.html
</guid>
13 <pubDate>Tue,
1 Jan
2013 09:
20:
00 +
0100</pubDate>
14 <description><p
>Her er noen lenker til tekster jeg har satt pris på å lese den
15 siste måneden.
</p
>
20 <a href=
"http://www.idg.no/computerworld/article262047.ece
">Myter og
21 FUD om fri programvare
</a
> av min venn Christer Gundersen som
22 kommenterer noen av de påstandene som er spredt via Computerworld
23 Norge de siste månedene.
</li
>
25 <li
>BankID er et opplegg der utsteder (dvs. banken eller dens
26 leverandør) sitter på alt som trengs for å bruke BankID, men har
27 lovet å ikke bruke den unntatt på oppdrag fra deg. Det er greit nok
28 for banktjenester, der banken allerede har full kontroll over
29 resultatet, men problematisk når det gjelder tilgang til
30 helseopplysninger og avtaleinngåelse med andre enn banken. Jeg
31 håper protestene brer om seg.
35 <li
>2012-
12-
11 <a href=
"http://www.aftenposten.no/meninger/debatt/BankID-blottlegger-helseopplysninger-
7067148.html
">BankID
36 blottlegger helseopplysninger
</a
></li
>
38 <li
>2012-
12-
07 <a href=
"http://www.nrk.no/nyheter/norge/
1.9695027">-
39 Helseopplysningene ikke sikre med Bank-ID
</a
></li
>
42 <a href=
"https://www.bankid.no/Presse-og-nyheter/Nyhetsarkiv/
2012/Papeker-alvorlige-men-kjente-utfordringer/
">Påpeker
43 alvorlige, men kjente utfordringer
</a
> er den offisielle
44 holdningen til de som lager BankID.
</li
>
47 <a href=
"http://www.tnp.no/norway/panorama/
3419-ntnu-researcher-warns-against-security-of-bank-id-password
">NTNU
48 Researcher Warns against Security of Bank ID Password
</a
>
52 <li
>2012-
12-
11 <a href=
"http://www.aftenposten.no/nyheter/iriks/Norske-elever-er-darligst-i-Europa-pa-algebra-
7066752.html
">Norske elever er dårligst i Europa på algebra
</a
>
55 <a href=
"http://www.aftenposten.no/meninger/debatt/Realfagsdodaren-
7067173.html
">Realfagsdødaren
</a
>
58 <a href=
"http://www.bt.no/nyheter/innenriks/
112/--Forventningene-er-for-hoye-
2816450.html
">-
59 Noen må bli skuffet
</a
> - Politiet i Bergen forteller hvor lavt de
60 prioriterer hverdagskriminalitet.
</li
>
63 <a href=
"http://e24.no/jobb/kripos-ansatt-doemt-for-snoking-for-venn/
20208585">
64 Kripos-ansatt dømt for snoking for venn
</A
> - viser hvor svak
65 reaksjonen blir når politiet misbruker innsamlet informasjon. En
66 forvarsel på konsekvensene av nasjonal brev- og besøkskontroll -
67 ofte kalt Datalagringsdirektivet.
</li
>
70 <a href=
"http://www.dagbladet.no/
2012/
12/
14/kultur/debatt/kronikk/jul/ensomhet/
24838541/
">Å
71 smøre en forskjell
</a
> - om ensomhet og jul.
</li
>
74 <a href=
"http://www.aftenposten.no/meninger/kronikker/n-krise-av-gangen_-takk-
7072452.html
">Én
75 krise av gangen, takk!
</a
>
79 <a href=
"http://www.aftenposten.no/meninger/NAV-Et-mangehodet-monster--
7072165.html
">NAV:
80 Et mangehodet monster
</a
></li
>
83 <a href=
"http://www.dagbladet.no/
2011/
01/
12/kultur/debatt/kronikk/personvern/
15027203/
">Pasienter
84 uten vern
</a
> - forteller litt om hvordan Norsk Pasientregister og
85 andre helseregister raderer bort pasienters privatsfære.
</li
>
89 <a href=
"http://www.aftenposten.no/meninger/debatt/Hvorfor-er-barnefamilier-fattige-
7073951.html
">Hvorfor
90 er barnefamilier fattige?
</a
></li
>
93 <a href=
"http://www.aftenposten.no/meninger/spaltister/Den-skjulte-minoriteten--konservative-kristne-i-Norge-
7075518.html
">Den
94 skjulte minoriteten – konservative kristne i Norge
</a
> - kronikk av
95 Bjørn Stærk fra aftenposten
</li
>
98 <a href=
"http://deltemeninger.no/-/bulletin/show/
303429_folkebiblioteket-
2-
0?ref=checkpoint
">Folkebiblioteket
99 2.0</a
> - Min venn Sturle om opphavsrett og Internett, i debatt med
100 Olav Torvund.
</li
>
104 <p
>Og et godt nytt år til dere alle!
</p
>
109 <title>FAD tvinger igjennom BankID-tilgang til personsensitiv informasjon om meg
</title>
110 <link>http://people.skolelinux.org/pere/blog/FAD_tvinger_igjennom_BankID_tilgang_til_personsensitiv_informasjon_om_meg.html
</link>
111 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/FAD_tvinger_igjennom_BankID_tilgang_til_personsensitiv_informasjon_om_meg.html
</guid>
112 <pubDate>Wed,
21 Nov
2012 17:
10:
00 +
0100</pubDate>
113 <description><p
>I dag fikk jeg svar fra fornyingsdepartementet på min
114 <a href=
"http://people.skolelinux.org/pere/blog/BankID_skal_ikke_gi_tilgang_til_min_personsensitive_informasjon.html
">forespørsel
115 om å reservere meg mot at BankID
</a
> brukes til å få tilgang til
116 informasjon om meg via ID-porten. Like etter at svaret kom fikk jeg
117 beskjed om at min henvendelse har fått
118 <a href=
"http://www.oep.no/search/result.html?caseNumber=
2012/
3446&searchType=advanced
&list2=
94&caseSearch=true
&sortField=doknr
">saksnummer
119 12/
3446 hos FAD
</a
>, som dessverre ikke har dukket opp i Offentlig
120 Elektronisk Postjournal ennå. Her er svaret jeg fikk:
</p
>
123 <p
>Date: Wed,
21 Nov
2012 11:
18:
52 +
0000
124 <br
>From: Hornnes Stig
&lt;Stig.Hornnes (at) fad.dep.no
&gt;
125 <br
>To: Petter Reinholdtsen
126 <br
>Subject: Reservasjon mot BankID
</p
>
128 <p
>Hei Petter,
</p
>
130 <p
>Du har sendt oss forespørsel om at din bruker blir reservert mot bruk
131 av BankID i ID-porten. Det er ikke lagt opp til at enkeltpersoner kan
132 reservere seg på denne måten.
</p
>
134 <p
>Tanken bak ID-porten er at innbyggerne skal kunne velge hvilken eID de
135 ønsker å bruke for å logge på offentlige tjenester. For å sikre
136 valgfriheten har vi inngått avtaler med BankID, Buypass og
137 Commfides. I tillegg har vi den offentlige MinID, men hvor utstedelse
138 skjer til adresse registrert i folkeregisteret, og derfor ikke er
139 egnet til tjenestene med det høyeste sikkerhetsbehovet.
</p
>
141 <p
>Sikkerhet er et viktig tema for oss. Alle leverandørene som er i
142 ID-porten i dag, inkl. BankID, har oppfylt både kravene som fremgår av
143 Kravspek PKI (pluss noen tilleggskrav fra Difi i anskaffelsen) og er
144 selvdeklarerte hos Post og Teletilsynet (PT) som har tilsynsansvar for
145 denne typen virksomheter. For BankID sin del ble det gjennomført
146 revisjon av løsningen i
2009, på bestilling fra PT etter en del
147 negative oppslag knyttet til nettopp sikkerheten i løsningen. Det
148 fremkom ingen alvorlige sikkerhetsproblemer i revisjonen.
</p
>
150 <p
>Når dette er sagt; Ingen løsninger er
100 prosent sikre, verken
151 papirbaserte systemer eller elektroniske. Eksempelvis vil misbruk av
152 identitetsbevis for å urettmessig skaffe seg en e-ID, alltid være en
153 risiko. Men det er en generell risiko for alle nivå
4-e-id-er vi har i
154 Norge per i dag. Det er kriminelt, men det er umulig å være ett
155 hundre prosent sikker på at det ikke kan skje. Vi har imidlertid fokus
156 på å redusere risikoen så mye som mulig, og skal jobbe videre sammen
157 med blant annet Justisdepartementet med ulike tiltak som vil bidra til
158 bedre grunnidentifisering av innbyggere.
</p
>
161 <br
>Stig Hornnes
162 <br
>Rådgiver - FAD
</p
>
165 <p
>Litt merkelig at de har glemt å legge opp til at enkeltpersoner kan
166 reservere seg på denne måten. FAD burde være klar over
167 problemstillingen med reservasjon, da jeg tok det opp med dem da de
168 presenterte MinID på en presentasjon de holdt på Gardermoen for noen
169 år siden. Det burde jo også være teknisk svært enkelt å få støtte for
170 slikt i en ID-portal. Her må det visst tyngre virkemidler til enn en
171 vennlig forespørsel om å reservere seg. Får tenke igjennom neste
174 <p
>Du lurer kanskje på hva som er problemet med BankID? For å
175 forklare det, er det greit å gå et steg tilbake og beskrive offentlig
176 nøkkel-kryptering, eller
177 <a href=
"http://snl.no/asymmetrisk_kryptografi
">asymmetrisk
178 kryptografi
</a
> som det også kalles. En fin beskrivelse
179 <a href=
"http://www.matematikk.org/artikkel.html?tid=
63068">finnes på
180 matematikk.org
</a
>:
</p
>
183 Se for deg at person A har en hengelås og at han sender den til deg (i
184 åpen tilstand), men beholder nøkkelen. Du kan dermed låse inn en
185 hemmelighet ved hjelp av hengelåsen og sende den til A. Bare A kan
186 låse opp igjen, siden bare A har den riktige nøkkelen.
189 <p
>Signering med asymmetrisk kryptering gjør at en kan vite at kun de
190 som har tilgang til nøkkelen har signert et gitt dokument. Mitt
191 problem med BankID er det er utformet slik at banken beholder nøkkelen
192 til hengelåsen og kontraktsmessig har lovet å kun bruke den når jeg
193 ber om det. Det er ikke godt nok for meg. Jeg forventer et system
194 der kun jeg har nøkkelen hvis det skal kunne brukes til å inngå
195 avtaler på mine vegne eller få tilgang til min personsensitive
196 informasjon. Jeg forventer at det velges en teknisk løsning der det
197 er tvingende nødvendig at jeg er involvert når det skal signeres noe
198 på mine vegne. BankID er ikke en slik.
</p
>
203 <title>BankID skal ikke gi tilgang til min personsensitive informasjon
</title>
204 <link>http://people.skolelinux.org/pere/blog/BankID_skal_ikke_gi_tilgang_til_min_personsensitive_informasjon.html
</link>
205 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/BankID_skal_ikke_gi_tilgang_til_min_personsensitive_informasjon.html
</guid>
206 <pubDate>Fri,
16 Nov
2012 12:
30:
00 +
0100</pubDate>
207 <description><p
>Onsdag i denne uka annonserte
208 <a href=
"http://www.fad.dep.no/
">Fornyingsdepartementet
</a
> at de har
209 inngått kontrakt med BankID Norge om bruk av BankID for å la borgerne
210 logge inn på offentlige nettsider der en kan få tilgang til
211 personsensitiv informasjon. Jeg skrev i
2009 litt om
212 <a href=
"http://people.skolelinux.org/pere/blog/Jeg_vil_ikke_ha_BankID.html
">hvorfor
213 jeg ikke vil ha BankID
</a
> &mdash; jeg stoler ikke nok på en bank til
214 å gi dem mulighet til å inngå avtaler på mine vegne. Jeg forlanger at
215 jeg skal være involvert når det skal inngås avtaler på mine vegne.
</p
>
217 <p
>Jeg har derfor valgt å bruke
218 <a href=
"http://www.skandibanken.no/
">Skandiabanken
</a
> (det er flere
219 banker som ikke krever BankID, se
220 <a href=
"http://no.wikipedia.org/wiki/BankID
">Wikipedia for en
221 liste
</a
>) på grunn av at de ikke tvinger sine kunder til å bruke
222 BankID. I motsetning til Postbanken, som løy til meg i
2009 da
223 kundestøtten der sa at det var blitt et krav fra Kreditttilsynet og
224 BBS om at norske banker måtte innføre BankID, har ikke Skandiabanken
225 forsøkt å tvinge meg til å ta i bruk BankID. Jeg fikk nylig endelig
226 spurt Finanstilsynet (de har byttet navn siden
2009), og fikk beskjed
227 fra Frank Robert Berg hos Finanstilsynet i epost
2012-
09-
17 at
228 Finanstilsynet ikke har fremsatt slike krav. Med andre ord snakket
229 ikke Postbankens kundestøtte sant i
2009.
</p
>
231 <p
>Når en i tillegg fra
232 <a href=
"http://www.aftenposten.no/nyheter/iriks/Tyver-kan-tappe-kontoen-din---selv-uten-passord-og-pinkode--
6989793.html
">oppslag
233 i Aftenposten
</a
> vet at de som jobber i alle bankene som bruker
234 BankID i dag, det være seg utro tjenere, eller de som lar seg lure av
235 falsk legitimasjon, kan lage og dele ut en BankID som gir tilgang til
236 mine kontoer og rett til å inngå avtaler på mine vegne, blir det
237 viktigere enn noen gang å få reservert seg mot BankID. Det holder
238 ikke å la være å bruke det selv. Jeg sendte derfor følgende
239 epost-brev til Fornyingsdepartementet i går:
</p
>
241 <p
><blockquote
>
242 <p
>Date: Thu,
15 Nov
2012 11:
08:
31 +
0100
243 <br
>From: Petter Reinholdtsen
&lt;pere (at) hungry.com
&gt;
244 <br
>To: postmottak (at) fad.dep.no
245 <br
>Subject: Forespørsel om reservasjon mot bruk av BankID i ID-porten
</p
>
247 <p
>Jeg viser til nyheten om at staten har tildelt kontrakt for å
248 levere elektronisk ID for offentlige digitale tjenester til BankID
249 Norge, referert til blant annet i Digi[
1] og i FADs
250 pressemelding[
2].
</p
>
252 <p
>1)
&lt;URL:
<a href=
"http://www.digi.no/
906093/staten-gaar-for-bankid
">http://www.digi.no/
906093/staten-gaar-for-bankid
</a
> &gt;
253 <br
>2)
&lt;URL:
<a href=
"http://www.regjeringen.no/nb/dep/fad/pressesenter/pressemeldinger/
2012/staten-inngar-avtale-med-bankid.html
">http://www.regjeringen.no/nb/dep/fad/pressesenter/pressemeldinger/
2012/staten-inngar-avtale-med-bankid.html
</a
> &gt;
</p
>
255 <p
>Gitt BankIDs utforming, der BankID-utsteder har både privat og
256 offentlig del av kundens nøkkel hos seg, er jeg ikke villig til å gi
257 tilgang til informasjon som hører til min min privatsfære ved hjelp av
258 innlogging med BankID.
</p
>
260 <p
>Jeg ber derfor herved om at løsningen settes opp slik at ingen kan
261 logge inn som meg på offentlige digitale tjenester ved hjelp av
262 BankID, det vil si at jeg reserverer meg mot enhver bruk av BankID for
263 å logge meg inn på slike tjenester som kan inneholde personsensitiv
264 informasjon om meg.
</p
>
266 <p
>Jeg har ikke BankID i dag, men som en kan se i oppslag i Aftenposten
267 2012-
09-
13[
3] er det ikke til hindrer for at andre kan bruke BankID på
268 mine vegne for å få tilgang. Det sikkerhetsproblemet kommer i tillegg
269 til utformingsproblemet omtalt over, og forsterker bare mitt syn på at
270 BankID ikke er aktuelt for meg til noe annet enn å logge inn i en
271 nettbank der banken i større grad bærer risikoen ved misbruk.
</p
>
273 <p
>3)
&lt;URL:
<a href=
"http://www.aftenposten.no/nyheter/iriks/Tyver-kan-tappe-kontoen-din---selv-uten-passord-og-pinkode--
6989793.html
">http://www.aftenposten.no/nyheter/iriks/Tyver-kan-tappe-kontoen-din---selv-uten-passord-og-pinkode--
6989793.html
</a
> &gt;
</p
>
275 <p
>Jeg ber om rask tilbakemelding med saksnummer for min henvendelse.
276 Jeg ber videre om bekreftelse på at BankID-innlogging er blokkert når
277 det gjelder tilgang til
"min
" informasjon hos det offentlige, i
278 forkant av BankID-integrasjon mot ID-porten som i følge
279 pressemeldingen skal komme på plass i løpet av et par uker.
</p
>
282 <br
>Vennlig hilsen
283 <br
>Petter Reinholdtsen
</p
>
286 <p
>Jeg venter spent på svaret. Jeg mistenker jeg må sende tilsvarende
287 beskjed til mine bankforbindelser for å sikre mine bankkontoer.
</p
>
289 <p
>Hvis det skal brukes offentlig nøkkel-teknologi til å inngå avtaler
290 på mine vegne og skaffe seg personsensitiv informasjon om meg, så er
291 mitt krav at det kun er jeg som har tilgang på min private nøkkel.
292 Alt annet blir å gi for mye tillit til andre. Med BankID sitter andre
293 på både
"min
" offentlige og private nøkkel.
</p
>
298 <title>Jeg vil ikke ha BankID
</title>
299 <link>http://people.skolelinux.org/pere/blog/Jeg_vil_ikke_ha_BankID.html
</link>
300 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Jeg_vil_ikke_ha_BankID.html
</guid>
301 <pubDate>Fri,
30 Oct
2009 13:
05:
00 +
0100</pubDate>
302 <description><p
>Min hovedbankforbindelse,
303 <a href=
"http://www.postbanken.no/
">Postbanken
</a
>, har fra
1. oktober
304 blokkert tilgangen min til nettbanken hvis jeg ikke godtar vilkårene
305 for
<a href=
"https://www.bankid.no/
">BankID
</a
> og går over til å
306 bruke BankID for tilgangskontroll. Tidligere kunne jeg bruke en
307 kodekalkulator som ga tilgang til nettbanken, men nå er dette ikke
308 lenger mulig. Jeg blokkeres ute fra nettbanken og mine egne penger
309 hvis jeg ikke godtar det jeg anser som urimelige vilkår i
310 BankID-avtalen.
</p
>
312 <p
>BankID er en løsning der banken gis rett til å handle på vegne av
313 meg, med avtalemessig forutsetning at jeg i hvert enkelt tilfelle har
314 bedt banken gjøre dette. BankID kan brukes til å signere avtaler,
315 oppta lån og andre handlinger som har alvorlige følger for meg.
316 Problemet slik jeg ser det er at BankID er lagt opp slik at banken har
317 all informasjon og tilgang som den trenger for å bruke BankID, også
318 uten at jeg er involvert. Avtalemessing og juridisk skal de kun bruke
319 min BankID når jeg har oppgitt pinkode og passord, men praktisk og
320 konkret kan de gjøre dette også uten at min pinkode eller mitt passord
321 er oppgitt, da de allerede har min pinkode og passord tilgjengelig hos
322 seg for å kunne sjekke at riktig pinkode og passord er oppgitt av meg
323 (eller kan skaffe seg det ved behov). Jeg ønsker ikke å gi banken
324 rett til å inngå avtaler på vegne av meg.
</p
>
326 <p
>Rent teknisk er BankID et offentlig nøkkelpar, en privat og en
327 offentlig nøkkel, der den private nøkkelen er nødvendig for å
328 "signere
" på vegne av den nøkkelen gjelder for, og den offentlige
329 nøkkelen er nødvendig for å sjekke hvem som har signert. Banken
330 sitter på både den private og den offentlige nøkkelen, og sier de kun
331 skal bruke den private hvis kunden ber dem om det og oppgir pinkode og
335 <p
>I postbankens
336 <a href=
"https://www.postbanken.no//portalfront/nedlast/no/person/avtaler/BankID_avtale.pdf
">vilkår
337 for BankID
</a
> står følgende:
</p
>
340 <p
>"6. Anvendelsesområdet for BankID
</p
>
342 <p
>PersonBankID kan benyttes fra en datamaskin, eller etter nærmere
343 avtale fra en mobiltelefon/SIM-kort, for pålogging i nettbank og til
344 identifisering og signering i forbindelse med elektronisk
345 meldingsforsendelse, avtaleinngåelse og annen form for nettbasert
346 elektronisk kommunikasjon med Banken og andre brukersteder som har
347 tilrettelagt for bruk av BankID. Dette forutsetter at brukerstedet
348 har inngått avtale med bank om bruk av BankID.
"</p
>
351 <p
>Det er spesielt retten til
"avtaleinngåelse
" jeg synes er urimelig
352 å kreve for at jeg skal få tilgang til mine penger via nettbanken, men
353 også retten til å kommunisere på vegne av meg med andre brukersteder og
354 signering av meldinger synes jeg er problematisk. Jeg må godta at
355 banken skal kunne signere for meg på avtaler og annen kommunikasjon
356 for å få BankID.
</p
>
358 <p
>På spørsmål om hvordan jeg kan få tilgang til nettbank uten å gi
359 banken rett til å inngå avtaler på vegne av meg svarer Postbankens
360 kundestøtte at
"Postbanken har valgt BankID for bl.a. pålogging i
361 nettbank , så her må du nok ha hele denne løsningen
". Jeg nektes
362 altså tilgang til nettbanken inntil jeg godtar at Postbanken kan
363 signere avtaler på vegne av meg.
</p
>
365 <p
>Postbankens kundestøtte sier videre at
"Det har blitt et krav til
366 alle norske banker om å innføre BankID, bl.a på grunn av
367 sikkerhet
", uten at jeg her helt sikker på hvem som har framsatt
368 dette kravet. [Oppdatering: Postbankens kundestøtte sier kravet er
369 fastsatt av
<a href=
"http://www.kredittilsynet.no/
">kreditttilsynet
</a
>
370 og
<a href=
"http://www.bbs.no/
">BBS
</a
>.] Det som er situasjonen er
371 dog at det er svært få banker igjen som ikke bruker BankID, og jeg
372 vet ikke hvilken bank som er et godt alternativ for meg som ikke vil
373 gi banken rett til å signere avtaler på mine vegne.
</p
>
375 <p
>Jeg ønsker mulighet til å reservere meg mot at min BankID brukes
376 til annet enn å identifisere meg overfor nettbanken før jeg vil ta i
377 bruk BankID. Ved nettbankbruk er det begrenset hvor store skader som
378 kan oppstå ved misbruk, mens avtaleinngåelse ikke har tilsvarende
379 begrensing.
</p
>
381 <p
>Jeg har klaget vilkårene inn for
<a
382 href=
"http://www.forbrukerombudet.no/
">forbrukerombudet
</a
>, men
383 regner ikke med at de vil kunne bidra til en rask løsning som gir meg
384 nettbankkontroll over egne midler. :(
386 <p
>Oppdatering
2012-
09-
13: Aftenposten melder i dag at det er
387 <a href=
"http://www.aftenposten.no/nyheter/iriks/Tyver-kan-tappe-kontoen-din---selv-uten-passord-og-pinkode--
6989793.html
">sikkerhetsproblem
388 med BankID
</a
> som gjør at ens bankkonto kan tappes helt uten at en
389 har delt passord og pinkode med noen. Dette illustrerer veldig bra
390 mitt poeng om at banken kan operere på kontoen (og signere avtaler
391 etc) helt uten at jeg er involvert. Jeg takker derfor fortsatt nei
392 til BankID-modellen.
</p
>
projects / homepage.git / blob