Loading…

Tilbage

Diskussionspapir om nye digitale sikkerhedsmodeller

20-01-2011 09:00:58

God it-sikkerhed kan i dag ikke kun opnås, ved beskytte sine systemer med høje mure (perimetersikkerhed). Faktum er, at en virksomheds interne systemer bliver åbnet, når medarbejderne bevæger sig ud af systemerne, ved eks. at tjekke mails på deres smartphones. Et andet element, der åbner systemerne, er den øgede brug af cloud computing.

Der er derfor behov for at videreudvikle it-sikkerheden, så den i højere grad imødekommer disse udfordringer. Samtidig er det nødvendigt at tænke sikkerhed og privatlivsbeskyttelse ind fra starten af løsningsdesignet - at lave forebyggende sikkerhed.

I dette diskussionspapir om nye digitale sikkerhedsmodeller, tages der en første diskussion af, hvordan man kan udforme en sikkerhedsmodel med stærk privatlivsbeskyttelse samt muligheden for at rykke data ud i skyen. Med de nye teknologier åbnes der op for helt nye tjenester og løsninger, som ikke har været mulige tidligere.

Dikussionspapiret beskriver de grundlæggende elementer i en ny sikkerhedsmodel der:

Giver sikkerhed for alle parter i en transaktion (herunder brugerne).
Dekobler data fra brugernes fysiske identitet.
Er baseret på kontekstafhængige akkreditiver og transaktionsisolering
Går fra et identifikationsbaseret paradigme til et valideringsorienteret paradigme.

Her på digitaliser.dk vil vi starte en debat om nogle af de spørgsmål, der knytter sig til de nye sikkerhedsmodeller. Vi opfordrer jer til at bruge kommentarfelterne nedenfor til at diskutere disse eller andre spørgsmål:

1. Er de nye sikkerhedsmodeller reelt bedre?

Er der behov for at videreudvikle digitale sikkerhedsmodeller i den retning, som er skitseret i dette papir.
Er sikkerhedsmodellerne, som beskrevet i dette papir sikre og fleksible nok?

2. Hvordan kommer vi til den nye model – hvilke udfordringer er der?

Hvilke praktiske udfordringer er der for at iværksætte nye sikkerhedsmodeller?
Hvad er det for en holdning, der skal gøres op med for at komme i gang med nye sikkerhedsmodeller?

3. Hvor kan den nye model iværksættes enkelt?

Kan nogen af de principper der er præsenteret i dette papir eksempelvis implementeres i mindre skala?
Hvilke områder vil det være relevant at anvende de nye sikkerhedsmodeller på?
Hvordan designes applikationer, så de er forberedt på den nye sikkerhedsmodel?

4. Hvad kræver de nye sikkerhedsmodeller af brugerne?

De nye sikkerhedsmodeller kan i visse tilfælde forudsætte, at brugeren (eller rettere dennes klient) skal administrere en række nøgler til forskellige tjenester og services. Stilles der for høje krav til brugernes kompetencer til at indgå i interaktionen med applikationen samt træffe valg?
Det kræver også, at brugerne aktivt tager stilling til, hvilke oplysninger brugeren ønsker at videregive til forskellige services og tjenester. Er det noget, den gennemsnitlige danske bruger vil interessere sig for?

5. Hvilke nye løsninger kan du forestille dig?

For mere information kontakt Morten Jørsum på: mojo@itst.dk

Nedenstående film giver et kort eksempel på hvordan man kan benytte de nye sikkerhedsmodeller:

Filer og referencer

Titel	Type
Nye digitale sikkerhedsmodeller.pdf	pdf
Internal Link	Intern reference
Internal Link	Intern reference

CitizenKey implementerer Trustworthy Anonyme og Trustoworthy Sikre Identiteter og data deling

Stephan Engberg

16. september 2020, 11:40

Efter Nye Digitale Sikkerhedsmodeller blev fremlagt i 2011 har der pågået et intenst udviklingsarbejde med henblik på at tilvejebringe generiske løsninger, så de enkelte projekter ikke skal påtage sig det komplicerede arbejde.

For det første er U-Prove teknologien produktionsmodnet og offentlig tilgængelig så enhver kan skabe løsninger på grundlag heraf. Men U-Prove er i sig selv en kompliceret teknologi, som kræver en avanceret overbyging for at omsætte til helstøbte Identieter. Til det formål blev CitizenKey-projektet igangsat.

CitizenKey barslede december 2019 med buddet på det kommende Borgerkort og hvordan det kommer til at fungere - her set i forhold til komplicerede compliance- og sikkerhedsproblemer såsom antihvidvask i Finansektoren.

http://citizenkey.dk/doc/CitizenKey_AML_Automatisering_20191210.pdf

Selve Borgerkortet implementerer fuldt udrullet og indrulleret et sikkerhedsniveau, som ligger betydeligt over de minimumskrav, der fremgår af f.eks. eIDAS, NSIS eller NIST 863. Mere om det senere.

Væsentligt er at CitizenKey implementerer grundkravene til "Trustworthy Environment" som er kernen i EU-Commissionens Digitale Strategi som annonceret Februar 2020.

Her er en gennemgang fra få dage efter annonceringen

https://www.youtube.com/watch?v=AVKaXs_I75Y

En Trustworthy Anonym Identitet implemenerer grundlaget for Privacy by Design (end ikke identificerbar i henhold til GDPR) og bruges til transaktioner, hvor der skal være ubetinget anonymitet, f.eks. bioprøver med DNA.

Trust Trustworthy Sikker Identitet implementerer grundlaget for Security by Design (multi-stakeholder Security inkl. ansvarlighed, men uden borgeren identificeres i transaktionen).

Tilsammen implementerer disse - så snart de er godkendt af eID myndighederne i en medlemsstat / i Danmark Digitaliseringsstyrelsen - såkaldt pseudonyme signaturer eller Identifikation i henhold til eIDAS artikel 5.2 uden digital identifikation eller overvågning i transaktionen.

CitizenKey (CitizenKey.dk) vil blive stilllet til rådighed i Danmark af Citizen First (http://citizenfirst.dk/) som en non-profit social-økonomisk medlemsorganisation uden ejere eller statslig indflydelse.

Efter Nye Digitale Sikkerhedsmodeller blev fremlagt i 2011 har der
 pågået et intenst udviklingsarbejde med henblik på at tilvejebringe
 generiske løsninger, så de enkelte projekter ikke skal påtage sig det
 komplicerede arbejde.
For det første er U-Prove teknologien produktionsmodnet og offentlig
 tilgængelig så enhver kan skabe løsninger på grundlag heraf. Men
 U-Prove er i sig selv en kompliceret teknologi, som kræver en
 avanceret overbyging for at omsætte til helstøbte Identieter. Til det
 formål blev CitizenKey-projektet igangsat.
CitizenKey barslede december 2019 med buddet på det kommende
 Borgerkort og hvordan det kommer til at fungere - her set i forhold
 til komplicerede compliance- og sikkerhedsproblemer såsom antihvidvask
 i Finansektoren.
http://citizenkey.dk/doc/CitizenKey_AML_Automatisering_20191210.pdf
Selve Borgerkortet implementerer fuldt udrullet og indrulleret et
 sikkerhedsniveau, som ligger betydeligt over de minimumskrav, der
 fremgår af f.eks. eIDAS, NSIS eller NIST 863. Mere om det senere.
Væsentligt er at CitizenKey implementerer grundkravene til
 "Trustworthy Environment" som er kernen i EU-Commissionens
 Digitale Strategi som annonceret Februar 2020.
Her er en gennemgang fra få dage efter annonceringen

 <a href="https://www.youtube.com/watch?v=AVKaXs_I75Y">https://www.youtube.com/watch?v=AVKaXs_I75Y</a>
 
En Trustworthy Anonym Identitet implemenerer grundlaget for Privacy
 by Design (end ikke identificerbar i henhold til GDPR) og bruges til
 transaktioner, hvor der skal være ubetinget anonymitet, f.eks.
 bioprøver med DNA.
Trust Trustworthy Sikker Identitet implementerer grundlaget for
 Security by Design (multi-stakeholder Security inkl. ansvarlighed, men
 uden borgeren identificeres i transaktionen).
Tilsammen implementerer disse - så snart de er godkendt af eID
 myndighederne i en medlemsstat / i Danmark Digitaliseringsstyrelsen -
 såkaldt pseudonyme signaturer eller Identifikation i henhold til eIDAS
 artikel 5.2 uden digital identifikation eller overvågning i transaktionen.
 
CitizenKey (CitizenKey.dk) vil blive stilllet til rådighed i Danmark
 af Citizen First (<a
 href="http://citizenfirst.dk/">http://citizenfirst.dk/</a>) som en
 non-profit social-økonomisk medlemsorganisation uden ejere eller
 statslig indflydelse.

Log ind for at besvare

Håndtering af alderskrav kan blive kritisk succesfaktor

Henrik Biering

06. februar 2011, 22:25

Mange tjenesteudbydere kræver idag oplysning om fødselsdag som følge af forskellige lovkrav om minimumsalder.

Ofte har tjenesteudbyderen herudover et ønske om at kunne aldersbestemme brugerne for at kunne tilpasse sine tilbud til brugeren på samme måde, som en expedient i en traditionel butik visuelt kan gøre, når en kunde træder ind i butikken.

Så eksemplet med dating site på side 29 i diskussionspapiret kunne ligeså godt dreje sig om så forskellige ting som et supermarked, en online markedsplads, et videosite eller en idrætsklub. Og sikkert også i flere offentlige sammenhænge.

Profileringsmæssigt vil det som regel være tilstrækkeligt at kende fødselsåret, mens det normalt antages at være nødvendigt at kende den præcise fødselsdag for at kunne dokumentere efterleven af lovkrav om minimumsalder.

Da fødselsdagen i kombination med mange andre typer oplysninger kan danne basis for identifikation, gælder det altså om at eliminere dette lovmæssigt baserede behov.

Teoretikere foreslår ofte at løse denne problemstilling ved at fremstille dynamiske akkreditiver, så en bruger på et givet tidspunkt blot kan dokumentere at hans alder er større end xx år. Sådanne akkreditiver er imidlertid formålsløse i forbindelse med online tjenester, hvor f.eks. et flueben på oprettelsesformularen "hvis jeg ikke er gammel nok nu, så check igen og giv mig besked, når jeg er" blot vil blive standard på de fleste oprettelsesformularer. Og er brugeren allerede oprettet som juniorbruger, vil den servicevenlige portal jo gentage aldersforespørgslen mindst én gang hver dag ved login.

Den eneste reelle måde at eliminere behovet for kendskab til fødselsdagen er derfor at fastslå at alderen kan dokumenteres alene på basis af kendskab til fødselsåret (d.v.s. Aktuelt år minus fødselsår). Rent faktuelt burde det allerede være sådan, idet flere love udelukkende specificerer at man skal være f.eks. 16 eller 18 år uden nogen decimalangivelse, angivelse af "fyldt" eller lignende.

Hvis det kan fastslås at alderen skal bestemmes ud fra de oplysninger en tjenesteudbyder har om en bruger - og at heltalsberegning med år er et tilstrækkeligt krav, vil det give tjenesteydere et meget stort incitament til kun at forespørge på fødselsår og undlade forespørgsel på fødselsdag. Både bruger og tjenesteudbyder vil herved få i gennemsnit 6 måneders forspring til at opbygge relationer i forhold til tjenesteudbydere, der også forespørger på fødselsdag.

Hvis angivelsen af en minimumsalder på f.eks. 18 år i lovene istedet skal tolkes som en minimumsalder på 365,25 x 18 dage, vil en tjenesteudbyder, der begrænser sig til at forespørge på fødselsår istedet måtte se passivt til i gennemsnitligt 6 måneder mens hans mere privacy-intrusive konkurrenter opbygger relationer med brugerne.

Sådanne love kan derved let blive en showstopper for minimum-disclosure og dermed en reel trussel mod hele grundlaget for det ønskede paradigmeskifte.

Omvendt vil en tolkning, der favoriserer minimum-disclosure allerede nu kunne virke som en katalysator for den ønskede udvikling mod kontextbaserede akkreditiver og consent - også selvom løsningerne i en overgangsperiode vil være afhængige af brugerens tillid til sin IDP.

Mange tjenesteudbydere kræver idag oplysning om fødselsdag som følge af forskellige lovkrav om minimumsalder. Ofte har tjenesteudbyderen herudover et ønske om at kunne aldersbestemme brugerne for at kunne tilpasse sine tilbud til brugeren på samme måde, som en expedient i en traditionel butik visuelt kan gøre, når en kunde træder ind i butikken. Så eksemplet med dating site på side 29 i diskussionspapiret kunne ligeså godt dreje sig om så forskellige ting som et supermarked, en online markedsplads, et videosite eller en idrætsklub. Og sikkert også i flere offentlige sammenhænge. Profileringsmæssigt vil det som regel være tilstrækkeligt at kende fødselsåret, mens det normalt antages at være nødvendigt at kende den præcise fødselsdag for at kunne dokumentere efterleven af lovkrav om minimumsalder. Da fødselsdagen i kombination med mange andre typer oplysninger kan danne basis for identifikation, gælder det altså om at eliminere dette lovmæssigt baserede behov. Teoretikere foreslår ofte at løse denne problemstilling ved at fremstille dynamiske akkreditiver, så en bruger på et givet tidspunkt blot kan dokumentere at hans alder er større end xx år. Sådanne akkreditiver er imidlertid formålsløse i forbindelse med online tjenester, hvor f.eks. et flueben på oprettelsesformularen "hvis jeg ikke er gammel nok nu, så check igen og giv mig besked, når jeg er" blot vil blive standard på de fleste oprettelsesformularer. Og er brugeren allerede oprettet som juniorbruger, vil den servicevenlige portal jo gentage aldersforespørgslen mindst én gang hver dag ved login. Den eneste reelle måde at eliminere behovet for kendskab til fødselsdagen er derfor at fastslå at alderen kan dokumenteres alene på basis af kendskab til fødselsåret (d.v.s. Aktuelt år minus fødselsår). Rent faktuelt burde det allerede være sådan, idet flere love udelukkende specificerer at man skal være f.eks. 16 eller 18 år uden nogen decimalangivelse, angivelse af "fyldt" eller lignende. Hvis det kan fastslås at alderen skal bestemmes ud fra de oplysninger en tjenesteudbyder har om en bruger - og at heltalsberegning med år er et tilstrækkeligt krav, vil det give tjenesteydere et meget stort incitament til kun at forespørge på fødselsår og undlade forespørgsel på fødselsdag. Både bruger og tjenesteudbyder vil herved få i gennemsnit 6 måneders forspring til at opbygge relationer i forhold til tjenesteudbydere, der også forespørger på fødselsdag. Hvis angivelsen af en minimumsalder på f.eks. 18 år i lovene istedet skal tolkes som en minimumsalder på 365,25 x 18 dage, vil en tjenesteudbyder, der begrænser sig til at forespørge på fødselsår istedet måtte se passivt til i gennemsnitligt 6 måneder mens hans mere privacy-intrusive konkurrenter opbygger relationer med brugerne. Sådanne love kan derved let blive en showstopper for minimum-disclosure og dermed en reel trussel mod hele grundlaget for det ønskede paradigmeskifte. Omvendt vil en tolkning, der favoriserer minimum-disclosure allerede nu kunne virke som en katalysator for den ønskede udvikling mod kontextbaserede akkreditiver og consent - også selvom løsningerne i en overgangsperiode vil være afhængige af brugerens tillid til sin IDP.

Log ind for at besvare

Hvordan kommer vi til den nye model – hvilke udfordringer er der?

Henrik Biering

06. februar 2011, 18:42

Der er ikke tvivl om at dette diskussionspapir åbner op for scenarier, der er attraktive for såvel brugere, som for offentlige og private tjenesteudbydere.

Realisationen af disse scenarier rummer dog flere komplekse problemstillinger, hvor selve kryptoteknologien formentlig er den mindste. Det sværeste at løse er utvivlsomt de "Hønen og Ægget" problematikker, der ligger i selve paradigmeskiftet.

Eksempel: Når TELLERs anbefalinger til internetbutikker idag er som beskrevet på side 2 højre spalte i dette dokument hvad skal så motivere butikkerne til at begrænse indsamling og brug af personhenførbare og korellerbare informationer som navn, adresse og telefonnummer for ikke at tale om CPR-nummer - selv når/hvis det pengetransaktionsmæssigt ikke længere er påkrævet?

Og hvad kan f.eks. en dansk/nordisk betalingsformidler stille op i en globaliseret VISA/MASTERCARD verden, hvor det er essentielt at danskfremstillede løsninger er interoperable med de løsninger, der indføres i andre - specielt større - lande. Ellers bliver danske særtiltag jo blot en forskningsøvelse - eller endnu værre - at Danmark mister terræn i det internationale innovationskapløb. Det kan derfor ærgre at selve diskussionspapiret er skrevet på dansk og ikke på engelsk.

Mange af de oplysningskrav, som idag stilles af offentlige og private tjenesteudbydere bunder i lovgivning, som også i sig selv er baseret på det traditionelle paradigme. Der bør derfor laves en systematisk gennemgang af eksisterende love og forordninger for at vurdere om en justering af disse kunne øge incitamentet blandt offentlige og private tjenesteudbydere for at minimere deres brug af personhenførbare oplysninger.

Herudover må man være forberedt på at brugernes holdning, lyst og evne til at administrere deres oplysninger varierer meget, hvilket nødvendigvis må afspejle sig i et bredt udbud af specifikke løsninger. Vi kan jo allerede idag se hvordan nogle brugere foretrækker den traditionelle digitale signatur, mens andre føler sig trygge ved at outsource sikkerheden til DanID. Hvad kan man fra det offentliges side gøre for at give brugerne frit valg mellem passende certificerbare løsningselementer fremfor at tvangsfodre dem med proprietære, sparsomt dokumenterede stats- og bankopfundne løsninger?

Formålet med dette indlæg er således ikke at kritisere selve oplægget, men derimod påpege behovet for at komme helt "down to basics" i en kulegravning for at finde mulige incitamenter for diverse interessenter til at påbegynde rejsen mod det ny paradigme. En gulerod foran næsen er bedre end 10, der hænger så højt oppe i skyen at man ikke umiddelbart kan nappe dem. Jeg har selv et par konkrete idéer, som jeg vil tillade mig at lufte i separate tråde.

ændret af Henrik Biering (06.02.2011)

Der er ikke tvivl om at dette diskussionspapir åbner op for scenarier, der er attraktive for såvel brugere, som for offentlige og private tjenesteudbydere. Realisationen af disse scenarier rummer dog flere komplekse problemstillinger, hvor selve kryptoteknologien formentlig er den mindste. Det sværeste at løse er utvivlsomt de "Hønen og Ægget" problematikker, der ligger i selve paradigmeskiftet. Eksempel: Når TELLERs anbefalinger til internetbutikker idag er som beskrevet på side 2 højre spalte i <a href="http://www.pbs.dk/da/produkter/internationale-betalingskort/Documents/IK_Sikkerhed_v_modtagelse_kortbet_internethandel_DK.pdf">dette dokument</a> hvad skal så motivere butikkerne til at begrænse indsamling og brug af personhenførbare og korellerbare informationer som navn, adresse og telefonnummer for ikke at tale om CPR-nummer - selv når/hvis det pengetransaktionsmæssigt ikke længere er påkrævet? Og hvad kan f.eks. en dansk/nordisk betalingsformidler stille op i en globaliseret VISA/MASTERCARD verden, hvor det er essentielt at danskfremstillede løsninger er interoperable med de løsninger, der indføres i andre - specielt større - lande. Ellers bliver danske særtiltag jo blot en forskningsøvelse - eller endnu værre - at Danmark mister terræn i det internationale innovationskapløb. Det kan derfor ærgre at selve diskussionspapiret er skrevet på dansk og ikke på engelsk. Mange af de oplysningskrav, som idag stilles af offentlige og private tjenesteudbydere bunder i lovgivning, som også i sig selv er baseret på det traditionelle paradigme. Der bør derfor laves en systematisk gennemgang af eksisterende love og forordninger for at vurdere om en justering af disse kunne øge incitamentet blandt offentlige og private tjenesteudbydere for at minimere deres brug af personhenførbare oplysninger. Herudover må man være forberedt på at brugernes holdning, lyst og evne til at administrere deres oplysninger varierer meget, hvilket nødvendigvis må afspejle sig i et bredt udbud af specifikke løsninger. Vi kan jo allerede idag se hvordan nogle brugere foretrækker den traditionelle digitale signatur, mens andre føler sig trygge ved at outsource sikkerheden til DanID. Hvad kan man fra det offentliges side gøre for at give brugerne frit valg mellem passende certificerbare løsningselementer fremfor at tvangsfodre dem med proprietære, sparsomt dokumenterede stats- og bankopfundne løsninger? Formålet med dette indlæg er således ikke at kritisere selve oplægget, men derimod påpege behovet for at komme helt "down to basics" i en kulegravning for at finde mulige incitamenter for diverse interessenter til at påbegynde rejsen mod det ny paradigme. En gulerod foran næsen er bedre end 10, der hænger så højt oppe i skyen at man ikke umiddelbart kan nappe dem. Jeg har selv et par konkrete idéer, som jeg vil tillade mig at lufte i separate tråde.

Log ind for at besvare

Søren Peter Nielsen

06. februar 2011, 20:25

Hej Henrik - Tak for dit indlæg.

Du har helt ret i at der skal være meget på plads udover at den nødvendige kryptografi kan fås i kommercielt tilgængelige løsninger - som dine eksempler og forslag også viser.

Een af dine indvendinger kan vi dog heldigvis nemt adressere - det er den om at papiret burde være på engelsk i stedet for på dansk. Andre har også påpeget dette, og vi har allerede modtaget flere udenlandske henvendelser - så vi arbejder på højtryk med at producere en engelsk udgave.

Jeg ser frem til at høre mere om de ideer du nævner

/Søren P

Log ind for at besvare

Tysk ePerso

Markus Hens

28. januar 2011, 9:35

En sikkerhedssystem, der implementerer mange af de forslag i oplægget (inklusive "pseudonymer" tilgang, hvor personen identificeres uden at der overføres personoplysninger), er allerede i drift i Tyskland siden 01.11.2010: http://www.personalausweisportal.de/cln_164/DE/Der-Neue-Ausweis/der-neue-ausweis_node.html

Log ind for at besvare

Camilla Grynnerup Fisker

02. februar 2011, 13:37

Markus,

Tak for din kommentar. Kan du fortælle mere om hvordan den Tyske løsning fungerer, hvilke tanker fra oplægget den implementerer og hvordan?

Log ind for at besvare