X-Git-Url: https://pere.pagekite.me/gitweb/homepage.git/blobdiff_plain/9f7fa5736309814303bc5063866ee9065a9a2fb8..58505b18fc58bfdc00ca52153160c6debe8de6cb:/blog/index.rss diff --git a/blog/index.rss b/blog/index.rss index 5e568445fd..b87dd9136e 100644 --- a/blog/index.rss +++ b/blog/index.rss @@ -6,6 +6,100 @@ http://people.skolelinux.org/pere/blog/ + + FAD tvinger igjennom BankID-tilgang til personsensitiv informasjon om meg + http://people.skolelinux.org/pere/blog/FAD_tvinger_igjennom_BankID_tilgang_til_personsensitiv_informasjon_om_meg.html + http://people.skolelinux.org/pere/blog/FAD_tvinger_igjennom_BankID_tilgang_til_personsensitiv_informasjon_om_meg.html + Wed, 21 Nov 2012 17:10:00 +0100 + <p>I dag fikk jeg svar fra fornyingsdepartementet på min +<a href="http://people.skolelinux.org/pere/blog/BankID_skal_ikke_gi_tilgang_til_min_personsensitive_informasjon.html">forespørsel +om å reservere meg mot at BankID</a> brukes til å få tilgang til +informasjon om meg via ID-porten. Like etter at svaret kom fikk jeg +beskjed om at min henvendelse har fått +<a href="http://www.oep.no/search/result.html?caseNumber=2012/3446&searchType=advanced&list2=94&caseSearch=true&sortField=doknr">saksnummer +12/3446 hos FAD</a>, som dessverre ikke har dukket opp i Offentlig +Elektronisk Postjournal ennå. Her er svaret jeg fikk:</p> + +<blockquote> +<p>Date: Wed, 21 Nov 2012 11:18:52 +0000 +<br>From: Hornnes Stig &lt;Stig.Hornnes (at) fad.dep.no&gt; +<br>To: Petter Reinholdtsen +<br>Subject: Reservasjon mot BankID</p> + +<p>Hei Petter,</p> + +<p>Du har sendt oss forespørsel om at din bruker blir reservert mot bruk +av BankID i ID-porten. Det er ikke lagt opp til at enkeltpersoner kan +reservere seg på denne måten.</p> + +<p>Tanken bak ID-porten er at innbyggerne skal kunne velge hvilken eID de +ønsker å bruke for å logge på offentlige tjenester. For å sikre +valgfriheten har vi inngått avtaler med BankID, Buypass og +Commfides. I tillegg har vi den offentlige MinID, men hvor utstedelse +skjer til adresse registrert i folkeregisteret, og derfor ikke er +egnet til tjenestene med det høyeste sikkerhetsbehovet.</p> + +<p>Sikkerhet er et viktig tema for oss. Alle leverandørene som er i +ID-porten i dag, inkl. BankID, har oppfylt både kravene som fremgår av +Kravspek PKI (pluss noen tilleggskrav fra Difi i anskaffelsen) og er +selvdeklarerte hos Post og Teletilsynet (PT) som har tilsynsansvar for +denne typen virksomheter. For BankID sin del ble det gjennomført +revisjon av løsningen i 2009, på bestilling fra PT etter en del +negative oppslag knyttet til nettopp sikkerheten i løsningen. Det +fremkom ingen alvorlige sikkerhetsproblemer i revisjonen.</p> + +<p>Når dette er sagt; Ingen løsninger er 100 prosent sikre, verken +papirbaserte systemer eller elektroniske. Eksempelvis vil misbruk av +identitetsbevis for å urettmessig skaffe seg en e-ID, alltid være en +risiko. Men det er en generell risiko for alle nivå 4-e-id-er vi har i +Norge per i dag. Det er kriminelt, men det er umulig å være ett +hundre prosent sikker på at det ikke kan skje. Vi har imidlertid fokus +på å redusere risikoen så mye som mulig, og skal jobbe videre sammen +med blant annet Justisdepartementet med ulike tiltak som vil bidra til +bedre grunnidentifisering av innbyggere.</p> + +<p>Mvh +<br>Stig Hornnes +<br>Rådgiver - FAD</p> +</blockquote> + +<p>Litt merkelig at de har glemt å legge opp til at enkeltpersoner kan +reservere seg på denne måten. FAD burde være klar over +problemstillingen med reservasjon, da jeg tok det opp med dem da de +presenterte MinID på en presentasjon de holdt på Gardermoen for noen +år siden. Det burde jo også være teknisk svært enkelt å få støtte for +slikt i en ID-portal. Her må det visst tyngre virkemidler til enn en +vennlig forespørsel om å reservere seg. Får tenke igjennom neste +steg.</p> + +<p>Du lurer kanskje på hva som er problemet med BankID? For å +forklare det, er det greit å gå et steg tilbake og beskrive offentlig +nøkkel-kryptering, eller +<a href="http://snl.no/asymmetrisk_kryptografi">asymmetrisk +kryptografi</a> som det også kalles. En fin beskrivelse +<a href="http://www.matematikk.org/artikkel.html?tid=63068">finnes på +matematikk.org</a>:</p> + +<blockquote> +Se for deg at person A har en hengelås og at han sender den til deg (i +åpen tilstand), men beholder nøkkelen. Du kan dermed låse inn en +hemmelighet ved hjelp av hengelåsen og sende den til A. Bare A kan +låse opp igjen, siden bare A har den riktige nøkkelen. +</blockquote> + +<p>Signering med asymmetrisk kryptering gjør at en kan vite at kun de +som har tilgang til nøkkelen har signert et gitt dokument. Mitt +problem med BankID er det er utformet slik at banken beholder nøkkelen +til hengelåsen og kontraktsmessig har lovet å kun bruke den når jeg +ber om det. Det er ikke godt nok for meg. Jeg forventer et system +der kun jeg har nøkkelen hvis det skal kunne brukes til å inngå +avtaler på mine vegne eller få tilgang til min personsensitive +informasjon. Jeg forventer at det velges en teknisk løsning der det +er tvingende nødvendig at jeg er involvert når det skal signeres noe +på mine vegne. BankID er ikke en slik.</p> + + + Why isn't the value of copyright taxed? http://people.skolelinux.org/pere/blog/Why_isn_t_the_value_of_copyright_taxed_.html @@ -670,34 +764,5 @@ details about the original story.</p> - - The fight for freedom and privacy - http://people.skolelinux.org/pere/blog/The_fight_for_freedom_and_privacy.html - http://people.skolelinux.org/pere/blog/The_fight_for_freedom_and_privacy.html - Thu, 18 Oct 2012 10:50:00 +0200 - <p>Civil liberties and privacy in the western world are going down the -drain, and it is hard to fight against it. I try to do my best, but -time is limited. I hope you do your best too. A few years ago I came -across a marvellous drawing by -<a href="http://www.claybennett.com/about.html">Clay Bennett</a> -visualising some of what is going on. - -<p><a href="http://www.claybennett.com/pages/security_fence.html"> -<img src="http://www.claybennett.com/images/archivetoons/security_fence.jpg"></a></p> - -<blockquote> -«They who can give up essential liberty to obtain a little temporary -safety, deserve neither liberty nor safety.» - Benjamin Franklin -</blockquote> - -<p>Do you feel safe at the airport? I do not. Do you feel safe when -you see a surveillance camera? I do not. Do you feel safe when you -leave electronic traces of your behaviour and opinions? I do not. I -just remember <a href="http://en.wikipedia.org/wiki/Panopticon">the -Panopticom</a>, and can not help help to think that we are slowly -transforming our society to a huge Panopticom on our own.</p> - - -