Pressemelding fra EFN (Elektronisk Forpost Norge) Oslo, torsdag 20. desember 2007 eID-AKTØRER VISER USERIØSITET I et innlegg om sikkerheten til BankID skrevet av Ketil Heggtveit i Secode[1], påstås det at det ikke var BankID som ble hacket, men brukeren som ble lurt. Påstanden er dermed at BankID er en sikker kvalitetsløsning og at det er brukeren det er noe feil med. Det Heggtveit unnlater si noe om er at dette problemet kunne vært unngått. Dette er et indirekte sikkerhetsproblem som skaper direkte tillitsproblemer med BankID og som derfor utgjør et direkte problem for eieren av den elektroniske identiteten. Problemet handler ikke bare om å beskytte pengene sine, men også om tilliten til den juridisk bindende elektroniske signaturen som BankID produserer. Man kan ikke annet enn å være dypt skuffet over at banknæringen og myndighetene viser liten forståelse for konsekvensene av, og stor mangel på kunnskap og kompleksitet om, bruk av elektronisk id. BankID er bankenes forsøk på statens eID, som de også skal bruke i bransjen selv. Det er mange løsninger for eID, og den løsningen som er ansett som sikrest av verdensekspertisen er eID lagret på smartkort, alternativt en Secure Signature Creation Device[2] som er nivået over smartkort. Banknæringen derimot har valgt en annen løsning. De benytter seg av banklagret id, eller sentrallagret id. Dette innebærer at den elektroniske identiteten ikke befinner seg hos eieren av id'en, men ligger lagret sikkert hos banken. Gjennom å bruke en engangskode kan brukeren autorisere bruk av den elektroniske id og banken signerer dermed på vegne av deg. Grunnen til at denne løsningen er valgt er for å unngå alle problemer med infiserte bruker-PC'er. Men det er her den fundamentale feilen med BankID ligger. BankID sikrer på ingen måte at det bare er eieren som kan utføre autoriseringen. Fordi det ikke er brukeren selv som oppbevarer og direkte benytter sin elektroniske identitet, finnes det ingen ende-til-ende-sikkerhet. BankID er dermed helt og holdent sårbar for alle typer angrep mot banker man har sett frem til i dag og vil kunne fortsette å se i fremtiden. Dette inkluderer man-in-the-middle- og phishing-angrep. Ingen sikkerhetsløsninger er sterkere enn sitt svakeste ledd. Banknæringens svar på problemet er å henvise til de sterke delene av løsningen og å skjule seg bak svakheter i loven. For ikke å snakke om alle de andre unnskyldningene, som f.eks. helhetsvurderinger, mangel på informasjon (som ofte er hemmelig) og økonomiske aspekter. Når lovens §14 sier at det er ulovlig å ha en løsning som tillater andre enn eID-eieren å disponere eID'en, følger ikke bankene loven med sin løsning. Hvorfor myndighetene, ved PTT, da aksepterer løsningen er uforståelig. Noe av poenget med elektroniske identiteter slik som BankID er at man på et sikkerhetsteknisk grunnlag skal være sikker på hvem systemet snakker med og hvem som har autorisert bruken. Med dette kan man redusere sjansen for og redusere arbeidsmengden med håndtering av angrep på systemet. Dette gir kostnadsbesparelser, samtidig som man oppnår å tilpasse sikkerheten til bruksområdets krav, som i dette tilfellet er Internett. BankID, slik den fremstår i dag, er som å anbefale folk å bruke mobiltelefon på fjellet: det gir falsk trygghet. Det er ikke noe galt med mobiltelefonløsningen i seg selv, den bare brukes på feil sted. At bankene velger å ofre sikkerheten på økonomiens alter burde ikke myndighetene akseptere. At dette er noe som myndighetene først tar hensyn til etter faktum viser manglende seriøsitet fra myndighetene når det gjelder sikkerhetsarbeid i denne sammenhengen. Spesielt i forbindelse med det som er ansett av myndighetene som god nok identifikasjon for en bransje som ansees som kritisk infrastruktur, og som etterhvert kan bli brukt som en nasjonal elektronisk id. Hvordan kan man stole på at sikkerhetsarbeid i den norske stat og sammfunnskritiske bransjer er av god nok kvalitet, når myndighetene stiller seg bak en løsning som åpenbart, og i henhold til ledende fagekspertise i verden, er en dårlig løsning for bruksområdet? Banknæringen påstår, ifølge direktøren for Sparebanknæringen og direktøren for FNH, at Norge er ledende på banksikkerhet i verden. Bankenes reaksjoner og deres BankID-løsning avslører hvor dårlig det står til med banksikkerheten og hvor mye penger bankene kaster bort på løsninger som i realiteten ikke reduserer sikkerhetsbyrden for næringen betraktelig. Det stemmer at 100% sikkerhet ikke er mulig, men det er mulig å oppnå langt høyere sikkerhet enn det BankID oppnår for bruksområdet, også med god brukervennlighet. EFN anbefaler derfor å lese våre høringssvar om eID[2] og om Datakrimloven[3], for en gjennomgående beskrivelse av svakhetene ved eID, Datakrimloven, det fundamentale problemet med BankID og et forslag til hvordan man kan løse eID-problemet med god sikkerhet. [1] Det er ikke BankID som er hacket http://www.digi.no/php/art.php?id=501003 [2] Høringsuttalelse fra EFN om Forslag til strategi for bruk av eID og e-signatur i offentlig sektor http://efn.no/eid-hoering2007.txt [3] Høringsuttalelse fra EFN om NOU 2007: 2 Lovtiltak mot datakriminalitet http://efn.no/datakrim-hoering2007.txt Kontaktperson for denne pressemeldingen: Thomas Finneid finneid@efn.no mobil: 9078 3590 ----------------------------------------------------------------- EFN er en elektronisk borgerrettsorganisasjon - en rettighetsorganisasjon for ALLES rettigheter - som jobber med medborgerskap og juridiske rettigheter i IT-samfunnet. www.efn.no