During Christmas, I have worked a bit on the Debian support for +LEGO Mindstorm +NXT. My son and I have played a bit with my NXT set, and I +discovered I had to build all the tools myself because none were +already in Debian Squeeze. If Debian support for LEGO is something +you care about, please join me on the IRC channel +#debian-lego (server +irc.debian.org). There is a lot that could be done to improve the +situation. :)
+Her er noen lenker til tekster jeg har satt pris på å lese den +siste måneden.
+ +Og et godt nytt år til dere alle!
+I fjor meldte Dagbladet og andre medier at -politiet -hadde samlet inn informasjon om 1.4 millioner telefonsamtaler i -området rundt Akersgata, regjeringskvartalet og Utøya, i forbindelse -med etterforskningen rundt bombeattentatet og massemordet 22. juli -2011. Politiadvokat Pål-Fredrik Hjort Kraby fortalte i følge -artikkelen at
- --- «Dette er ikke kun samtaler som knyttes til Breivik. Dette er alle -samtaler som er registrert på basestasjoner i tilknytning til både -bomba i Regjeringskvartalet og aksjonen på Utøya. Vi må analysere tid, -lengde og fra hvilke basestasjoner de er registrert på. Vi prøver å -finne ut hvem som har ringt til en hver tid, også i dagene før.» -- -
Det triste og merkelige er at ingen presseoppslag tok opp hva dette -egentlig betød for kildevernet. Et stenkast fra regjeringskvartalet -befinner redaksjonene til blant annet VG, Dagbladet og Aftenposten -seg. Det betyr at et betydelig antall av journalisters samtaler var -og er tilgjengelig for politiet. Og dette var ikke en unik hendelse. -Politiet henter rutinemessig ut informasjon om telefonsamtaler i -kriminaletterforskningen, og en kan gå ut ifra at det ofte vil være -noe kriminelt å undersøke nær en redaksjon da redaksjoner holder til i -sentrum og tettsteder, der det meste av annen aktivitet i et område -også foregår. F.eks. befinner Aftenposten seg like ved Oslo -Sentralstasjon, et ganske kriminelt belastet område, der jeg mistenker -politiet ofte hente ut samtaleinformasjon. Og avisen Aftenposten -annonserte jo for noen år siden at ansatte kun skulle ha mobiltelefon -(noe de kanskje angret på -da -mobilnettet brøt sammen), hvilket betyr at alle samtaler -journalistene gjennomfører går via nabolagets mobilbasestasjoner og -dermed blir med og analysert når politiet ber om informasjon om -mobilsamtaler i området. Det samme gjelder antagelig de fleste -mediehus nå for tiden.
- -Konsekvensen er at en må gå ut i fra at politiet kan få tilgang til -informasjon om alle samtaler med journalister, hvilket bør få varslere -og andre som vil tipse journalister til å tenke seg to ganger før de -ringer en journalist. Det er for meg en svært uheldig situasjon.
- -Anders Brenne tipset meg om dette tidligere i år, og har skrevet om -problemstillingen i sin bok -Digitalt -kildevern som ble lansert i år og -presentert -på et NONA-møte i april. Oppsummeringen fra møtet inneholder -flere detaljer og bakgrunnsinformasjon. Jeg synes det er besynderlig -at så få journalister tar opp denne problemstillingen, og ikke stiller -flere kritiske spørsmål til innføringen av datalagringsdirektivet og -den raderingen av personvernet som har foregått i Norge i løpet av -mange år nå.
-I dag fikk jeg svar fra fornyingsdepartementet på min -forespørsel -om å reservere meg mot at BankID brukes til å få tilgang til -informasjon om meg via ID-porten. Like etter at svaret kom fikk jeg -beskjed om at min henvendelse har fått -saksnummer -12/3446 hos FAD, som dessverre ikke har dukket opp i Offentlig -Elektronisk Postjournal ennå. Her er svaret jeg fikk:
- --- -Date: Wed, 21 Nov 2012 11:18:52 +0000 -
- -
From: Hornnes Stig <Stig.Hornnes (at) fad.dep.no> -
To: Petter Reinholdtsen -
Subject: Reservasjon mot BankIDHei Petter,
- -Du har sendt oss forespørsel om at din bruker blir reservert mot bruk -av BankID i ID-porten. Det er ikke lagt opp til at enkeltpersoner kan -reservere seg på denne måten.
- -Tanken bak ID-porten er at innbyggerne skal kunne velge hvilken eID de -ønsker å bruke for å logge på offentlige tjenester. For å sikre -valgfriheten har vi inngått avtaler med BankID, Buypass og -Commfides. I tillegg har vi den offentlige MinID, men hvor utstedelse -skjer til adresse registrert i folkeregisteret, og derfor ikke er -egnet til tjenestene med det høyeste sikkerhetsbehovet.
- -Sikkerhet er et viktig tema for oss. Alle leverandørene som er i -ID-porten i dag, inkl. BankID, har oppfylt både kravene som fremgår av -Kravspek PKI (pluss noen tilleggskrav fra Difi i anskaffelsen) og er -selvdeklarerte hos Post og Teletilsynet (PT) som har tilsynsansvar for -denne typen virksomheter. For BankID sin del ble det gjennomført -revisjon av løsningen i 2009, på bestilling fra PT etter en del -negative oppslag knyttet til nettopp sikkerheten i løsningen. Det -fremkom ingen alvorlige sikkerhetsproblemer i revisjonen.
- -Når dette er sagt; Ingen løsninger er 100 prosent sikre, verken -papirbaserte systemer eller elektroniske. Eksempelvis vil misbruk av -identitetsbevis for å urettmessig skaffe seg en e-ID, alltid være en -risiko. Men det er en generell risiko for alle nivå 4-e-id-er vi har i -Norge per i dag. Det er kriminelt, men det er umulig å være ett -hundre prosent sikker på at det ikke kan skje. Vi har imidlertid fokus -på å redusere risikoen så mye som mulig, og skal jobbe videre sammen -med blant annet Justisdepartementet med ulike tiltak som vil bidra til -bedre grunnidentifisering av innbyggere.
- -Mvh -
-
Stig Hornnes -
RÃ¥dgiver - FAD
Litt merkelig at de har glemt å legge opp til at enkeltpersoner kan -reservere seg på denne måten. FAD burde være klar over -problemstillingen med reservasjon, da jeg tok det opp med dem da de -presenterte MinID på en presentasjon de holdt på Gardermoen for noen -år siden. Det burde jo også være teknisk svært enkelt å få støtte for -slikt i en ID-portal. Her må det visst tyngre virkemidler til enn en -vennlig forespørsel om å reservere seg. Får tenke igjennom neste -steg.
- -Du lurer kanskje på hva som er problemet med BankID? For å -forklare det, er det greit å gå et steg tilbake og beskrive offentlig -nøkkel-kryptering, eller -asymmetrisk -kryptografi som det også kalles. En fin beskrivelse -finnes på -matematikk.org:
- --Se for deg at person A har en hengelås og at han sender den til deg (i -åpen tilstand), men beholder nøkkelen. Du kan dermed låse inn en -hemmelighet ved hjelp av hengelåsen og sende den til A. Bare A kan -låse opp igjen, siden bare A har den riktige nøkkelen. -- -
Signering med asymmetrisk kryptering gjør at en kan vite at kun de -som har tilgang til nøkkelen har signert et gitt dokument. Mitt -problem med BankID er det er utformet slik at banken beholder nøkkelen -til hengelåsen og kontraktsmessig har lovet å kun bruke den når jeg -ber om det. Det er ikke godt nok for meg. Jeg forventer et system -der kun jeg har nøkkelen hvis det skal kunne brukes til å inngå -avtaler på mine vegne eller få tilgang til min personsensitive -informasjon. Jeg forventer at det velges en teknisk løsning der det -er tvingende nødvendig at jeg er involvert når det skal signeres noe -på mine vegne. BankID er ikke en slik.
-