Mer fiks.

diff --git a/blog/data/2012-11-21-bankid.txt b/blog/data/2012-11-21-bankid.txt
index c9e8d5bef81583e5be6aa9d435eedacdf909b40f..7cf2604c49b9436e2a14b58b3be2086a2f6e7e60 100644 (file)
--- a/blog/data/2012-11-21-bankid.txt
+++ b/blog/data/2012-11-21-bankid.txt
@@ -1,83 +1,90 @@
-Title: FAD nekter å blokkere BankID for tilgang til personsensitiv informasjon om meg
+Title: FAD tvinger igjennom BankID-tilgang til personsensitiv informasjon om meg

 Tags: norsk, personvern, sikkerhet
 Tags: norsk, personvern, sikkerhet

-Date: 2012-11-21 11:50
+Date: 2012-11-21 17:10

 
 

-I dag fikk jeg svar fra fornyingsdepartementet på min
-<ahref="http://people.skolelinux.org/pere/blog/BankID_skal_ikke_gi_tilgang_til_min_personsensitive_informasjon.html">forespørsel
-om å reservere meg mot at BankID</a> brukes til å få tilgang til
+<p>I dag fikk jeg svar fra fornyingsdepartementet på min
+<a href="http://people.skolelinux.org/pere/blog/BankID_skal_ikke_gi_tilgang_til_min_personsensitive_informasjon.html">forespørsel
+om å reservere meg mot at BankID</a> brukes til å få tilgang til

 informasjon om meg via ID-porten.  Like etter at svaret kom fikk jeg
 informasjon om meg via ID-porten.  Like etter at svaret kom fikk jeg

-beskjed om at min henvendelse har fått
-<ahref="http://www.oep.no/search/result.html?caseNumber=2012/3446&searchType=advanced&list2=94&caseSearch=true&sortField=doknr">saksnummer
-12/3446</a>, som dessverre ikke har dukket opp i Offentlig Elektronisk
-Postjournal ennå.  Her er svaret jeg fikk:</p>
+beskjed om at min henvendelse har fått
+<a href="http://www.oep.no/search/result.html?caseNumber=2012/3446&searchType=advanced&list2=94&caseSearch=true&sortField=doknr">saksnummer
+12/3446 hos FAD</a>, som dessverre ikke har dukket opp i Offentlig
+Elektronisk Postjournal ennå.  Her er svaret jeg fikk:</p>

 
 <blockquote>
 <p>Date: Wed, 21 Nov 2012 11:18:52 +0000
 
 <blockquote>
 <p>Date: Wed, 21 Nov 2012 11:18:52 +0000

-<br>From: Hornnes Stig <Stig.Hornnes@fad.dep.no>
-<br>To: "petter.reinholdtsen@usit.uio.no" <petter.reinholdtsen@usit.uio.no>
+<br>From: Hornnes Stig &lt;Stig.Hornnes (at) fad.dep.no&gt;
+<br>To: Petter Reinholdtsen

 <br>Subject: Reservasjon mot BankID</p>
 
 <p>Hei Petter,</p>
 
 <br>Subject: Reservasjon mot BankID</p>
 
 <p>Hei Petter,</p>
 

-<p>Du har sendt oss forespørsel om at din bruker blir reservert mot bruk
+<p>Du har sendt oss forespørsel om at din bruker blir reservert mot bruk

 av BankID i ID-porten. Det er ikke lagt opp til at enkeltpersoner kan
 av BankID i ID-porten. Det er ikke lagt opp til at enkeltpersoner kan

-reservere seg på denne måten.</p>
+reservere seg på denne måten.</p>

 
 <p>Tanken bak ID-porten er at innbyggerne skal kunne velge hvilken eID de
 
 <p>Tanken bak ID-porten er at innbyggerne skal kunne velge hvilken eID de

-ønsker å bruke for å logge på offentlige tjenester. For å sikre
-valgfriheten har vi inngått avtaler med BankID, Buypass og
+ønsker å bruke for å logge på offentlige tjenester. For å sikre
+valgfriheten har vi inngått avtaler med BankID, Buypass og

 Commfides. I tillegg har vi den offentlige MinID, men hvor utstedelse
 skjer til adresse registrert i folkeregisteret, og derfor ikke er
 Commfides. I tillegg har vi den offentlige MinID, men hvor utstedelse
 skjer til adresse registrert i folkeregisteret, og derfor ikke er

-egnet til tjenestene med det høyeste sikkerhetsbehovet.</p>
+egnet til tjenestene med det høyeste sikkerhetsbehovet.</p>

 
 

-<p>Sikkerhet er et viktig tema for oss. Alle leverandørene som er i
-ID-porten i dag, inkl. BankID, har oppfylt både kravene som fremgår av
+<p>Sikkerhet er et viktig tema for oss. Alle leverandørene som er i
+ID-porten i dag, inkl. BankID, har oppfylt både kravene som fremgår av

 Kravspek PKI (pluss noen tilleggskrav fra Difi i anskaffelsen) og er
 selvdeklarerte hos Post og Teletilsynet (PT) som har tilsynsansvar for
 Kravspek PKI (pluss noen tilleggskrav fra Difi i anskaffelsen) og er
 selvdeklarerte hos Post og Teletilsynet (PT) som har tilsynsansvar for

-denne typen virksomheter. For BankID sin del ble det gjennomført
-revisjon av løsningen i 2009, på bestilling fra PT etter en del
-negative oppslag knyttet til nettopp sikkerheten i løsningen. Det
+denne typen virksomheter. For BankID sin del ble det gjennomført
+revisjon av løsningen i 2009, på bestilling fra PT etter en del
+negative oppslag knyttet til nettopp sikkerheten i løsningen. Det

 fremkom ingen alvorlige sikkerhetsproblemer i revisjonen.</p>
 
 fremkom ingen alvorlige sikkerhetsproblemer i revisjonen.</p>
 

-<p>Når dette er sagt; Ingen løsninger er 100 prosent sikre, verken
+<p>Når dette er sagt; Ingen løsninger er 100 prosent sikre, verken

 papirbaserte systemer eller elektroniske. Eksempelvis vil misbruk av
 papirbaserte systemer eller elektroniske. Eksempelvis vil misbruk av

-identitetsbevis for å urettmessig skaffe seg en e-ID, alltid være en
-risiko. Men det er en generell risiko for alle nivå 4-e-id-er vi har i
-Norge per i dag.  Det er kriminelt, men det er umulig å være ett
-hundre prosent sikker på at det ikke kan skje. Vi har imidlertid fokus
-på å redusere risikoen så mye som mulig, og skal jobbe videre sammen
+identitetsbevis for å urettmessig skaffe seg en e-ID, alltid være en
+risiko. Men det er en generell risiko for alle nivå 4-e-id-er vi har i
+Norge per i dag.  Det er kriminelt, men det er umulig å være ett
+hundre prosent sikker på at det ikke kan skje. Vi har imidlertid fokus
+på å redusere risikoen så mye som mulig, og skal jobbe videre sammen

 med blant annet Justisdepartementet med ulike tiltak som vil bidra til
 bedre grunnidentifisering av innbyggere.</p>
 
 <p>Mvh
 <br>Stig Hornnes
 med blant annet Justisdepartementet med ulike tiltak som vil bidra til
 bedre grunnidentifisering av innbyggere.</p>
 
 <p>Mvh
 <br>Stig Hornnes

-<br>Rådgiver - FAD</p>
+<br>Rådgiver - FAD</p>

 </blockquote>
 
 </blockquote>
 

-<p>Litt merkelig at de har glemt å legge opp til at enkeltpersoner kan
-reservere seg på denne måten.  Det burde jo være svært enkelt å få
-støtte for slikt i en ID-portal.  Her må det visst tyngre skyts til
-enn en vennlig forespørsel om å reservere seg.  Får tenke igjennom
-neste steg.</p>
+<p>Litt merkelig at de har glemt å legge opp til at enkeltpersoner kan
+reservere seg på denne måten.  FAD burde være klar over
+problemstillingen med reservasjon, da jeg tok det opp med dem da de
+presenterte MinID på en presentasjon de holdt på Gardermoen for noen
+år siden.  Det burde jo også være teknisk svært enkelt å få støtte for
+slikt i en ID-portal.  Her må det visst tyngre virkemidler til enn en
+vennlig forespørsel om å reservere seg.  Får tenke igjennom neste
+steg.</p>

 
 

-<p>Du lurer kanskje på hva som er problemet med BankID?  For å
-forklare det, er det greit å gå et steg tilbake og beskrive offentlig
-nøkkel-kryptering, eller
-<ahref="http://snl.no/asymmetrisk_kryptografi">asymmetrisk
-kryptografi</a> som det også kalles.  En fin beskrivelse
-<ahref="http://www.matematikk.org/artikkel.html?tid=63068">finnes på
+<p>Du lurer kanskje på hva som er problemet med BankID?  For å
+forklare det, er det greit å gå et steg tilbake og beskrive offentlig
+nøkkel-kryptering, eller
+<a href="http://snl.no/asymmetrisk_kryptografi">asymmetrisk
+kryptografi</a> som det også kalles.  En fin beskrivelse
+<a href="http://www.matematikk.org/artikkel.html?tid=63068">finnes på

 matematikk.org</a>:</p>
 
 <blockquote>
 matematikk.org</a>:</p>
 
 <blockquote>

-Se for deg at person A har en hengelås og at han sender den til deg (i
-åpen tilstand), men beholder nøkkelen. Du kan dermed låse inn en
-hemmelighet ved hjelp av hengelåsen og sende den til A. Bare A kan
-låse opp igjen, siden bare A har den riktige nøkkelen.
+Se for deg at person A har en hengelås og at han sender den til deg (i
+åpen tilstand), men beholder nøkkelen. Du kan dermed låse inn en
+hemmelighet ved hjelp av hengelåsen og sende den til A. Bare A kan
+låse opp igjen, siden bare A har den riktige nøkkelen.

 </blockquote>
 
 </blockquote>
 

-<p>Mitt problem med BankID er det er utformet slik at banken beholder
-nøkkelen til hengelåsen og kontraktsmessig har lovet å kun bruke den
-når jeg ber om det.  Det er ikke godt nok for meg.  Jeg forventer et
-system der kun jeg har nøkkelen hvis det skal kunne brukes til å inngå
-avtaler på mine vegne eller få tilgang til min personsensitive
-informasjon.</p>
+<p>Signering med asymmetrisk kryptering gjør at en kan vite at kun de
+som har tilgang til nøkkelen har signert et gitt dokument.  Mitt
+problem med BankID er det er utformet slik at banken beholder nøkkelen
+til hengelåsen og kontraktsmessig har lovet å kun bruke den når jeg
+ber om det.  Det er ikke godt nok for meg.  Jeg forventer et system
+der kun jeg har nøkkelen hvis det skal kunne brukes til å inngå
+avtaler på mine vegne eller få tilgang til min personsensitive
+informasjon.  Jeg forventer at det velges en teknisk løsning der det
+er tvingende nødvendig at jeg er involvert når det skal signeres noe
+på mine vegne.  BankID er ikke en slik.</p>