Mer tekst.

diff --git a/blog/data/2012-11-21-bankid.txt b/blog/data/2012-11-21-bankid.txt
index 0648b8a9698f2f3ab7d980f74827160e7f2ff356..c9e8d5bef81583e5be6aa9d435eedacdf909b40f 100644 (file)
--- a/blog/data/2012-11-21-bankid.txt
+++ b/blog/data/2012-11-21-bankid.txt
@@ -1,39 +1,45 @@
-Title: 
+Title: FAD nekter å blokkere BankID for tilgang til personsensitiv informasjon om meg

 Tags: norsk, personvern, sikkerhet
 Date: 2012-11-21 11:50
 
 Tags: norsk, personvern, sikkerhet
 Date: 2012-11-21 11:50
 

+I dag fikk jeg svar fra fornyingsdepartementet på min
+<ahref="http://people.skolelinux.org/pere/blog/BankID_skal_ikke_gi_tilgang_til_min_personsensitive_informasjon.html">forespørsel
+om å reservere meg mot at BankID</a> brukes til å få tilgang til
+informasjon om meg via ID-porten.  Like etter at svaret kom fikk jeg
+beskjed om at min henvendelse har fått

 <ahref="http://www.oep.no/search/result.html?caseNumber=2012/3446&searchType=advanced&list2=94&caseSearch=true&sortField=doknr">saksnummer
 <ahref="http://www.oep.no/search/result.html?caseNumber=2012/3446&searchType=advanced&list2=94&caseSearch=true&sortField=doknr">saksnummer

-12/3446</a>
+12/3446</a>, som dessverre ikke har dukket opp i Offentlig Elektronisk
+Postjournal ennå.  Her er svaret jeg fikk:</p>

 
 <blockquote>
 
 <blockquote>

-Date: Wed, 21 Nov 2012 11:18:52 +0000
-From: Hornnes Stig <Stig.Hornnes@fad.dep.no>
-To: "petter.reinholdtsen@usit.uio.no" <petter.reinholdtsen@usit.uio.no>
-Subject: Reservasjon mot BankID
+<p>Date: Wed, 21 Nov 2012 11:18:52 +0000
+<br>From: Hornnes Stig <Stig.Hornnes@fad.dep.no>
+<br>To: "petter.reinholdtsen@usit.uio.no" <petter.reinholdtsen@usit.uio.no>
+<br>Subject: Reservasjon mot BankID</p>

 
 

-Hei Petter,
+<p>Hei Petter,</p>

 
 

-Du har sendt oss forespørsel om at din bruker blir reservert mot bruk
+<p>Du har sendt oss forespørsel om at din bruker blir reservert mot bruk

 av BankID i ID-porten. Det er ikke lagt opp til at enkeltpersoner kan
 av BankID i ID-porten. Det er ikke lagt opp til at enkeltpersoner kan

-reservere seg på denne måten.
+reservere seg på denne måten.</p>

 
 

-Tanken bak ID-porten er at innbyggerne skal kunne velge hvilken eID de
+<p>Tanken bak ID-porten er at innbyggerne skal kunne velge hvilken eID de

 ønsker å bruke for å logge på offentlige tjenester. For å sikre
 valgfriheten har vi inngått avtaler med BankID, Buypass og
 Commfides. I tillegg har vi den offentlige MinID, men hvor utstedelse
 skjer til adresse registrert i folkeregisteret, og derfor ikke er
 ønsker å bruke for å logge på offentlige tjenester. For å sikre
 valgfriheten har vi inngått avtaler med BankID, Buypass og
 Commfides. I tillegg har vi den offentlige MinID, men hvor utstedelse
 skjer til adresse registrert i folkeregisteret, og derfor ikke er

-egnet til tjenestene med det høyeste sikkerhetsbehovet.
+egnet til tjenestene med det høyeste sikkerhetsbehovet.</p>

 
 

-Sikkerhet er et viktig tema for oss. Alle leverandørene som er i
+<p>Sikkerhet er et viktig tema for oss. Alle leverandørene som er i

 ID-porten i dag, inkl. BankID, har oppfylt både kravene som fremgår av
 Kravspek PKI (pluss noen tilleggskrav fra Difi i anskaffelsen) og er
 selvdeklarerte hos Post og Teletilsynet (PT) som har tilsynsansvar for
 denne typen virksomheter. For BankID sin del ble det gjennomført
 revisjon av løsningen i 2009, på bestilling fra PT etter en del
 negative oppslag knyttet til nettopp sikkerheten i løsningen. Det
 ID-porten i dag, inkl. BankID, har oppfylt både kravene som fremgår av
 Kravspek PKI (pluss noen tilleggskrav fra Difi i anskaffelsen) og er
 selvdeklarerte hos Post og Teletilsynet (PT) som har tilsynsansvar for
 denne typen virksomheter. For BankID sin del ble det gjennomført
 revisjon av løsningen i 2009, på bestilling fra PT etter en del
 negative oppslag knyttet til nettopp sikkerheten i løsningen. Det

-fremkom ingen alvorlige sikkerhetsproblemer i revisjonen.
+fremkom ingen alvorlige sikkerhetsproblemer i revisjonen.</p>

 
 

-Når dette er sagt; Ingen løsninger er 100 prosent sikre, verken
+<p>Når dette er sagt; Ingen løsninger er 100 prosent sikre, verken

 papirbaserte systemer eller elektroniske. Eksempelvis vil misbruk av
 identitetsbevis for å urettmessig skaffe seg en e-ID, alltid være en
 risiko. Men det er en generell risiko for alle nivå 4-e-id-er vi har i
 papirbaserte systemer eller elektroniske. Eksempelvis vil misbruk av
 identitetsbevis for å urettmessig skaffe seg en e-ID, alltid være en
 risiko. Men det er en generell risiko for alle nivå 4-e-id-er vi har i


@@ -41,9 +47,37 @@ Norge per i dag.  Det er kriminelt, men det er umulig 
 hundre prosent sikker på at det ikke kan skje. Vi har imidlertid fokus
 på å redusere risikoen så mye som mulig, og skal jobbe videre sammen
 med blant annet Justisdepartementet med ulike tiltak som vil bidra til
 hundre prosent sikker på at det ikke kan skje. Vi har imidlertid fokus
 på å redusere risikoen så mye som mulig, og skal jobbe videre sammen
 med blant annet Justisdepartementet med ulike tiltak som vil bidra til

-bedre grunnidentifisering av innbyggere.
+bedre grunnidentifisering av innbyggere.</p>

 
 

-Mvh
-Stig Hornnes
-Rådgiver - FAD
+<p>Mvh
+<br>Stig Hornnes
+<br>Rådgiver - FAD</p>

 </blockquote>
 </blockquote>

+
+<p>Litt merkelig at de har glemt å legge opp til at enkeltpersoner kan
+reservere seg på denne måten.  Det burde jo være svært enkelt å få
+støtte for slikt i en ID-portal.  Her må det visst tyngre skyts til
+enn en vennlig forespørsel om å reservere seg.  Får tenke igjennom
+neste steg.</p>
+
+<p>Du lurer kanskje på hva som er problemet med BankID?  For å
+forklare det, er det greit å gå et steg tilbake og beskrive offentlig
+nøkkel-kryptering, eller
+<ahref="http://snl.no/asymmetrisk_kryptografi">asymmetrisk
+kryptografi</a> som det også kalles.  En fin beskrivelse
+<ahref="http://www.matematikk.org/artikkel.html?tid=63068">finnes på
+matematikk.org</a>:</p>
+
+<blockquote>
+Se for deg at person A har en hengelås og at han sender den til deg (i
+åpen tilstand), men beholder nøkkelen. Du kan dermed låse inn en
+hemmelighet ved hjelp av hengelåsen og sende den til A. Bare A kan
+låse opp igjen, siden bare A har den riktige nøkkelen.
+</blockquote>
+
+<p>Mitt problem med BankID er det er utformet slik at banken beholder
+nøkkelen til hengelåsen og kontraktsmessig har lovet å kun bruke den
+når jeg ber om det.  Det er ikke godt nok for meg.  Jeg forventer et
+system der kun jeg har nøkkelen hvis det skal kunne brukes til å inngå
+avtaler på mine vegne eller få tilgang til min personsensitive
+informasjon.</p>