Elektronisk Forpost Norge (EFN)
Pb. 2631 Solli
N-0203 Oslo




Fornyingsdepartementet (FAD)                  Oslo 15. mai 2007
Postboks 8004 Dep
N-0030 Oslo
(postmottak@fad.dep.no)


HØRINGSUTTALELSE FRA EFN OM FORSLAG TIL STRATEGI FOR BRUK AV EID
OG E-SIGNATUR I OFFENTLIG SEKTOR


EFN leverer med dette høringsuttalelse (via epost) til FADs
Forslag til strategi for bruk av eID og e-signatur i offentlig
sektor.
(http://www.regjeringen.no/nb/dep/fad/dok/Horinger/Horingsdokumenter/2007/Horing--forslag-til-strategi-for-bruk-av/-4.html?id=454624)


EFN stiller seg positive til det arbeid som gjennomføres og
forslaget. Forslaget leder mot et krafttak i arbeidet med å
modernisere offentlig sektor i forhold til elektroniske tjenester.

EFN registrerer enkelte svakheter i strategien som bør vurderes.
EFN foreslår følgende punkter der strategien bør utvides eller
revurderes.

Strategien, slik den er presentert, bygger på en mangelfull
forståelse for helheten av PKI-konseptet. Dette vil påvirke
sikkerhets- og trussel-bildet strategien bygger på og løsningene
strategien presenterer. Høringsnotatet mangler en
vurdering/strategi for eID som kommer på avveier, samt en vurdering
av den begrensede levetiden en sikker elektronisk ID har i et
digitalt samfunn kontra det en ID har i det vanlige samfunn.
Strategien diskuterer praktisk og organisatorisk håndtering av
eID, men ser i stor grad bort fra enkelte sikkerhetsmessige
aspekter i forbindelse med eID-håndtering som bør vurderes.
Eksempler på dette er: universalnøkkel kontra tjenestespesifikk
nøkkel. Bruk av sikkert medium for lagring av eID.
Høringsforslaget åpner med at eID bør være bæreruavhengig, men
konkluderer senere med en sterk knytning til Nasjonalt ID.
Høringsforslaget diskuterer ikke bæreruavhengige strategier eller
alternativer. Løsningen har potensiell gjenbruk langt utenfor
offentlig sektor. Strategien bør derfor inneholde vurderinger som
tillater at gjenbruk lar seg gjennomføre med hensyn til kostnader
og bruksområder. Enkelhet og brukervennlighet i løsningen og
tjenestene. Markedet har ikke klart å løse problemet, derfor bør
det offentlige vise vei.


HELHETSFORSTÅELSE OG KOMPLEKSITET VED PKI

Dessverre er det i dag altfor mange som misforstår PKI-konseptet i
sin helhet og derfor ser på PKI som løsningen på de fleste
sikkerhetsproblemer, spesielt i forbindelse med et usikkert medium
som Internett. Den største misforståelsen pleier som regel å være
bygget på det teknisk-matematiske grunnlaget og dermed et løfte om
garantert sikkerhet ved bruk av PKI. Dette løftet er i seg selv så
lokkende at man ofte blindes for de andre tekniske og sosiale
egenskapene som omgir enhver elektronisk tjeneste.

En tjeneste som skal publiseres i en elektronisk verden, og
Internett spesielt, er tilgjengelig for alle verdens datamaskiner,
enten direkte eller indirekte. Internett er et tett sammenkoblet
nettverk av relativt ubeskyttede datamaskiner, som ofte er
tilgjengelig store deler av døgnet. Siden Internett i tillegg har
en kraftig anonymiserende faktor, fører disse to punktene til en
senket terskel for gjennomføring av aktiviteter som i det vanlige
liv ville vært lite gjennomførbare.

Enhver tjeneste består av minst tre aspekter:

1. Tjenesten
2. Kommunikasjonskanalen
3. Brukeren

PKI er en løsning for å sikre kommunikasjonen mellom brukeren og
tjenesten gjennom en usikker kommmunikasjonskanal. I dette ligger
det endel kraftige begrensninger. Det vil si at PKI ikke har
muligheten til å sikre tjenesten eller brukeren i seg selv, men
benytter bare disse for å sikre kommunikasjonen. PKI representerer
derfor bare en del av løsningen. Dersom andre deler ignoreres, kan
dette sammenlignes med å plassere en bankhvelvdør på et telt - man
kan ikke bryte inn gjennom døren, men andre veier er ganske åpne.
På tjenestesiden løses dette ved å sikre og overvåke tjenesten av
profesjonelle fagfolk. På brukersiden vil ikke de samme ressurser
og ekspertise være tilgjengelig. Dermed er brukeren det svake
leddet i løsningen.

Gitt dagens virus-situasjon er det ikke vanskelig å se for seg
virus som spesialtilpasses for å gjemme seg på brukerens maskin
for i det skjulte å:

1. lagre informasjon eller
2. manipulere den informasjonen som blir vist til brukeren
3. gjennomføre uautoriserte og ikke-brukerinitierte handlinger
4. stjele brukerens eID samt lese dens passord uten at brukeren
   oppdager dette.

Dette har vi ferske eksempler på fra DnBNOR og andre banker i
Skandinavia, der et spesialtilpasset virus har, i det skjulte,
bedt nettbanktjenesten om å overføre penger til spesielle kontoer
uten at brukeren vet om dette. Disse angrepene har bare vært en
generalprøve på hva vi kan forvente oss i fremtiden. Det er ikke
vanskelig å kjøpe slike tjenester fra kriminelle organisasjoner
over Internett og få dem spesialtilpasset for norske offentlige
Internett-tjenester. Dette kan være spesielt attraktivt i
forbindelse med f.eks. industrispionasje der norske bedrifter er i
sterkt konkurransepregede markeder (hvor de ansatte kan bli mål
for utpressing), eller fremtidige arbeidsgivere og f.eks. bransjer
som har behov for detaljert personinformasjon for å selge
produktet sitt. Dermed åpner man for enkel og uautorisert tilgang
til informasjonen og tjenesten gjennom brukeren eller brukerens
utstyr, dvs. PC, mobil etc.

Derfor mangler høringsforslaget en strategi for å sikre at eID
bare kan lagres på sikre medier, som fortrinnsvis tillater sikker
handlingsvisning og handlingsgodkjenning, slik at brukerens
datamaskin bare blir en kanal for å formidle beslutninger i stedet
for et apparat som gjør beslutningen.


KOMPLEKSITETEN FORBUNDET MED PKI

Ettersom en PKI-strategi er omfattende, kompleks og vanskelig å få
til på første forsøk, anbefaler derfor EFN at følgende punkter
vurderes i strategien:

1. utvidbarhet og gjenbrukbarhet av strategien og løsningen
2. utlysning av internasjonal strategi- og løsnings-konkurranse for
   bruksområdet.

Det er sannsynlig at det behøves endringer, både små og store, på
kort sikt og lengre sikt i forbindelse med løsningen og
strategien. Strategidokumentet bør diskutere hvordan man kan og
skal håndtere dette og inkludere åpenhet, utvidbarhet og
gjenbrukbarhet i strategien og løsningen. Konkret kan dette gjøres
ved å bryte strategien og løsningen ned i små og selvstendige
deler som henger sammen på spesifiserte måter. Dermed vil det være
lettere å endre på strategien og løsningen på et senere tidspunkt.
Et eksempel på dette er å si at scenarioet for hvordan brukeren
konkret gjennomfører autentisering og autorisering er en
selvstendig del og gjennomføres på en standardisert måte. Dermed
er dette en selvstendig del av løsningen som er uavhengig av alle
andre deler av løsningen og strategien.

Sikker og fungerende PKI er et komplekst tema som krever en
strategi og løsning laget spesifikt for problemområdet. Det
arbeidet som gjøres i Norge nå er innenfor et område som mange vil
kunne gjenbruke både offentlig og privat, i inn- og utland. Siden
det ikke finnes noen generell løsning med bruk av PKI, anbefaler
EFN derfor at departementet utlyser en konkurranse på
internasjonalt nivå som tar sikte på å designe en helhetlig
løsning for bruksområdet. Poenget med konkurransen er å dra nytte
av den ekspertise og kreativitet som eksisterer over hele verden
for å lage en løsning og prinsipper som mange kan gjenbruke. Dette
vil være etter en modell brukt av den amerikanske regjeringen, da
de for få år siden hadde en slik internasjonal konkurranse for å
velge en krypteringsløsning for intern uklassifisert bruk.
Løsningen fikk det offisielle navnet Advanced Encryption Standard
(AES), og er i dag den anerkjente og mest brukte løsningen for
sitt bruksområde i verden.


eID PÅ AVVEIER OG DENS BEGRENSEDE LEVETID

Elektroniske tjenester er som kjent ganske sårbare med hensyn til
levetiden til løsningens sikkerhetsnivå. Når man i tillegg vet at
en slik tjeneste vil være en sentral og attraktiv tjeneste som jo
offentlige e-tjenester og sikkerhetsløsninger er, vil det være
nærliggende å anta at interessen for det tjenesten tilbyr vil
være stor for uautoriserte brukere. Med bakgrunn i den
ovenfornevnte virussituasjon, er det nærliggende å anta at brukere
vil, over tid, bli utsatt for kriminelle aktiviteter slik som
forsøk på å stjele eller kopiere brukerens eID og passord. Siden
dette er realiteter i Internett og et digitalt samfunn, er det
viktig at strategien inneholder punkter om hvordan forholde seg
til eID som er:

 - tapt
 - på avveier
 - brukt til identitetstyveri

Det som er viktig i denne sammenhengen er at brukeren ikke blir
gjort til ufrivillig offer ved slike handlinger. Ettersom man
tufter løsningen på ideen om at PKI gir uavviselighet, er det
derfor viktig at strategien tar hensyn til dette slik at brukeren
ikke vil lide under slike tilfeller. Det er også viktig i samme
åndedrag å nevne hvordan man skal håndtere det relaterte problemet
med levetid på eID. Siden takten på aktiviteter i det digitale
samfunn er betydelig større enn i det analoge, kan man ikke anta
at et eID kan overleve lenger enn kanskje ett år. Det er derfor
viktig å ha en strategi for å på en effektiv og brukervennlig måte
tillate utbytting av eID. Dermed får vi to punkter som er viktige
i strategien:

1. Foreldede eID: utbyttingstakt og praktiske rammer rundt dette.
2. eID på avveier: erstatning og tilbakekalling av disse.

Et viktig problem i forbindelse med dette er det faktum at
strategien bygger på uavviselighet i forbindelse med PKI, men gitt
ovennevte scenarier må strategien ta hensyn til at det ikke
nødvendigvis er brukeren som har autorisert en handling eller
informasjon og derfor kan man ikke legge uavviselighet til grunn
for sikringen av tjenesten på en slik måte som angitt i
strategien i høringsforslaget.


SIKKERHETSMESSIGE ASPEKTER

Foruten de organisatoriske og praktiske sider av eID-håndteringen
tilkommer aspekter som angår det sikkerhetsmessige:

1. Universalnøkkel kontra tjenestespesifikk nøkkel.
2. Nivåsikkerhetsløsninger: PKI kontra engangspassord (PIN etc.).

Selv om disse punktene i stor grad krever en teknisk fagmessig
vurdering, er det også viktig å understreke at de må forankres i
en strategi for at tjenestene skal sikres i sin helhet. Strategien
nevner kort universalnøkler kontra tjenestespesifikke nøkler, men
legger ikke mer vekt på dette. Slik EFN ser det er dette en viktig
del av strategien av to grunner:

1. Det påvirker løsningen til tjenesten direkte, ved at man må
   vurdere flere modeller.
2. Det påvirker sikkerheten til løsningen, og dermed brukeren,
   direkte ved at mekanismen brukeren må forholde seg til endres
   avhengig av den valgte strategien på disse områdene.

Som nevnt ovenfor, i forbindelse med virus-trusselbildet, er det
sannsynlig og dermed påkrevet at strategien legger til rette for
utvidet sikkerhet. EFN anbefaler at strategien legger opp til en
PKI-løsning som bygger på tjenestespesifikke nøkler. Dette
innebærer at dersom noen skulle få tak i brukerens tjenestenøkkel
har vedkommende ingen større mulighet til å bruke andre tjenester
brukeren har tilgang til eller etterligne brukeren i andre
sammenhenger. Personens eID bør være begrenset i bruk til
opprettelse/endring av tjenestenøkler og enkelte andre sentrale
bruksområder. Personens eID vil da til vanlig ikke være eksponert
og vil dermed være langt sikrere.

Når det gjelder nivåsikkerhet med hensyn til PKI kontra PIN-koder
o.l. er det viktig å være klar over at engangspassord ikke gir
dårligere sikkerhet enn PKI. Tvertimot gir et engangspassord bedre
sikkerhet, siden passordet ikke kan gjenbrukes og dermed har det
ingen verdi dersom det blir stjålet. Problemet er heller
brukervennlighet. Engangspassord slik de brukes i dag er
tjenestespesifikke og skrives ut i åpen tekst på et ark man ikke
tar med seg til daglig. Hvis engangspassord skal benyttes i
enkelte tilfeller bør det styres av navet som "single sign on" for
alle tjenester. Da oppnår man noe, nemlig større brukervennlighet,
samt at kostnaden ved å bruke løsningen blir mindre for hver
tjeneste.


BÆRERUAVHENGIGHET

Innledningen til høringsforslaget gir en beskrivelse av et
spennende scenario for bruk av eID, samt beskrivelse av noen
fremtidsrettede tanker. En av disse tankene er at eID bør være
multibærende slik som i Finland eller Sverige. Dette er en tanke
EFN støtter. Dessverre konkluderer arbeidsgruppen med at
førstevalget til strategi for eID innebærer en sterkt knytning til
Justisdepartementets forslag om Nasjonalt ID. EFN mener dette
hindrer bæreruavhengighet og gjør eID ekskluderende. Det bør
fokuseres på bæreruavhengighet, der bæreren er en standardisert
bærende enhet som kan komme i mange former avhengig av både bruken
og brukerens valg.

Et svært interessant forslag er et smartkort eller en liten
USB-enhet som er uavhengig av datamaskinen, som gir brukeren
muligheten til å lese hva handlingen gjelder og så godkjenne eller
avvise den. Denne enheten skal ha som eneste funksjon å ta i mot
en kryptert og signert beskrivelse som vises på en egen liten
skjerm for godkjenning. Brukeren godkjenner eller avviser
handlingsforespørselen ved at enheten krypterer og signerer et
svar som sendes tilbake til tjenesten. Hvis denne enheten lages på
riktig måte vil dette redusere sjansen for uautorisert bruk
betraktelig og datamaskinen/mobilen/etc. blir redusert til å være
en formidler istedenfor en godkjenner. Dersom man sammen med dette
legger opp til at enheten kan lagre mange tjenestespesifikke
nøkler har man en bæreruavhengig enhet med egnet sikkerhet, som
også er enkel for brukeren og transportabel. En lignende type
enhet er allerede spesifisert av EU og heter Secure Signature
Creation Device.

En slik enhet kan også gjenbrukes til private tjenester, og dermed
kan brukeren gå med en bærerenhet som lagrer alle tjeneste-nøkler,
både til offentlig og privat bruk, og vil kunne gjenbruke enheten
overalt. Dette er en av fordelene med å ha en fleksibel og
utvidbar løsning. Dette vil også sikre at løsningen har lang
levetid og enkelt kan oppgraderes, i takt med nye
sikkerhetstrusler.

Videre mener EFN at selv om Nasjonalt ID ikke skulle bli
gjennomført, er dette ingen grunn til at politiet ikke skal kunne
ha oppgaven med å utdele digitale identifikasjonspapirer på lik
linje med pass. Det bør også være en grunnpillar at man ikke
krever avgifter for å kommunisere med det offentlige. I motsatt
fall vil resultatet kunne bli at ressurssvake vil oppsøke det
offentlige direkte eller per telefon og dermed undergrave
fordelene med elektroniske offentlige tjenester.


ENKELHET OG BRUKERVENNLIGHET I LØSNINGEN

I høringsforslaget er det gjort en vurdering om at "tungtvint
håndtering av eID vil skremme potensielle brukere". Dette vil EFN
si seg enig i, og dette understreker behovet for at strategien tar
hensyn til utvidbarhet og gjenbrukbarhet i løsningen, samt
eID-bæreruavhengighet.

EFN vil imidlertid påpeke at det er flere faktorer som kan skremme
bort potensielle brukere av slike tjenester. Først og fremst
dårlig brukervennlighet på tjenesten og dårlig organisert og lite
tilgjengelig informasjon.


MARKEDSALTERNATIVET

EFN vil advare mot markedsalternativene som beskrives i
høringsforslaget. Grunnen til dette er at markedet selv har prøvd å
lage og innføre løsninger i over 10 år allerede og ikke klart å få
det til i en slik skala som herværende strategi legger opp til.
Markedsaktørene har vært for opptatt av å lage noe bare for seg
selv, og ikke tenkt på gjenbrukbar arkitektur som alle lett kan
koble seg til. Det er derfor bedre at det offentlige nå benytter
anledningen til å lage en strategi og løsning som kan utvides og
gjenbrukes. Når løsningen uansett skal ut til hele befolkningen,
er det ingenting galt i at dens arkitektur og løsningskomponenter
kan gjenbrukes av både private, resten av samfunnet og eventuelt i
andre lands institusjoner.

I arbeidsgruppens rapport er det påpekt en fare for at staten trer
inn som en konkurrerende virksomhet. Men det markedet som
eksisterer i dag opererer stort sett mot bedrifter og utgjør
dermed ikke konkurrerende virksomhet i seg selv. Ved siden av
dette har markedet som nevnt ikke klart å levere løsninger som
fungerer godt nok, og dette er grunn god nok til at staten lager
en egen løsning for å ivareta sine egne og borgernes interesser.

EFNs høringsuttalelse om eID er utarbeidet av EFNs arbeidsgruppe
for digitale signaturer og kryptografi, koordinert og redigert av
Thomas Finneid.

Kontaktinformasjon:

   Thomas Finneid
   finneid@efn.no
   mobil: 9078 3590

EFN er en elektronisk rettighetsorganisasjon som jobber med
medborgerskap og juridiske rettigheter i IT-samfunnet.
www.efn.no

Med vennlig hilsen på vegne av EFN,

Thomas Finneid     og     Thomas Gramstad


Dette dokumentets nettadresse er:
http://efn.no/eid-hoering2007.txt