Leita í fréttum mbl.is

Rafræn skilríki og öryggi snjallsíma

Einhvern veginn hefur það atvikast að ákveðið hefur verið að krefjast notkunar rafrænna skilríkja vegna leiðréttingar ríkisstjórnarinnar á verðtryggðum lánum heimilanna.  Mér finnst það svo sem ekki vitlaus hugmynd, enda kom ég að stofnun Auðkennis haustið 2000 sem ráðgjafi á undirbúningstíma og eftir að fyrirtækið var stofnað.

Kostir rafrænna skilríkja við auðkenningu eru miklir, en þau eiga sér líka takmarkanir.  Eins og öll önnur skilríki, þá er ekki öruggt að sá sem notar skilríkið sé sá sem hann segist vera.  Það eru bara meiri líkur á að svo sé en á við varðandi ýmsar aðrar aðferðir.

Lög 28/2001 um rafrænar undirskriftir

Um rafrænar undirskriftir voru sett lög nr. 28/2001. Valgerður Sverrisdóttir, þá verandi viðskiptaráðherra, hafði forgöngu um setningu þeirra laga.  Í lögunum er í 2. gr. ýmsar skilgreiningar á hugtökum.  Eitt þeirra er hugtakið "fullgild rafræn undirskrift".  Það er skilgreint á eftirfarandi hátt:

Fullgild rafræn undirskrift: Útfærð rafræn undirskrift sem er studd fullgildu vottorði og gerð með öruggum undirskriftarbúnaði.

Til að undirskrift sé fullgild, þá verður hún að uppfylla tvö skilyrði.  Annað er að hún sé studd fullgildu vottorði og hitt að hún sé framkvæmd með öruggum undirskriftarbúnaði.

Í IV. kafla laganna er fjallað um öruggan undirskriftarbúnað.  Kröfur til hans eru nokkuð stífar, þ.e.:

Öruggur undirskriftarbúnaður skal tryggja að undirskriftargögnin.

a. geti eingöngu komið einu sinni fram,

b. verði með hliðsjón af eðlilegum öryggiskröfum ekki brotin upp og

c. séu varin með fullnægjandi hætti gegn notkun annarra en undirritanda.

Eru snjallsímar öruggur undirskriftarbúnaður?

Nú hefur verið lagt til að fólk noti rafræn skilríki á SIM-kortum snjallsíma til að veita rafrænt samþykki sitt á ráðstöfun hárra fjárhæða.  Því er haldið fram að veflykill Ríkisskattstjóra eða svo nefndur Íslykill tryggi ekki ýmsa öryggisþætti, sem rafræn undirskrift gerð með notkun rafræns skilríkis veitir.  Um þetta hef ég tvennt að segja:

1. Rafræn skilríki þar sem notaður er öruggur undirritunarbúnaður eru besta aðferðin við auðkenningu, þar sem krafist er óhrekjanleika, rekjanleika, eins mikla fullvissu og hægt er að viðkomandi sé sá sem hann er án þess að viðkomandi sé viðstaddur í eigin persónu.  Notkun rafrænna skilríkja hefur því ótvíræða yfirburði fram yfir veflykil Ríkisskattstjóra og Íslykil, þegar notkunin er gerð með öruggum undirskriftarbúnaði.

2. Snjallsímar uppfylla ekki kröfur sem gerðar eru til öruggs undirskriftarbúnaðar.  A.m.k. ekki eins og velflestir snjallsímar eru uppsettir.  Sími er í eðli sínu galopið tæki, sem allir geta sett sig í samband við.  Munurinn á snjallsíma og gamaldagssíma, jafnvel gamaldags farsíma, er að á eldri gerð síma, þá gerðist lítið sem ekkert nema handhafi símatækisins aðhafðist eitthvað líka.  Svo er ekki með snjallsíma.  Snjallsímar eru tölvur með mikla virkni án vitundar handhafa símtækisins.  Í snjallsíma eru stöðugt í gangi smáforrit (apps) sem eru hreinlega að njósna um ferðir og gerðir þess sem ber símann, skoða innihald skráa sem geymdar eru á símanum og óteljandi aðra hluti, sem ég er ekki viss um að fólk kæri sig um að vita af.  Fæstir snjallsímar eru búnir dulkóðun, vírusvörn eða eldveggjum sem gera þá galopna fyrir hnýsni hvers sem dettur í hug að tengjast símanum í gegn um hnýsniforrit.  Nýlega birtist frétt um gervifarsímasenda á víð og dreif í Bandaríkjunum og er giskað á að þessir sendar séu notaðir til að fylgjast með notkun farsíma og ferðum  handhafa þeirra.  Fram kom í fréttinni, að þetta hafi uppgötvast eftir að á markað komu snjallsímar sem vöruðu við ef símarnir væru skannaðir. 

Snjallsímar vs tölvur

Mikill munur er á notkun rafrænna skilríkja á einmenningstölvu og snjallsíma.  Tölvan myndi í flestum tilfellum teljast öruggur undirskriftarbúnaður, meðan snjallsíminn uppfyllir þau skilyrði sjaldnast.  Vissulega eru til tölvur sem ekki eru öruggur undirskriftarbúnaður og á sama hátt eru til snjallsímar sem eru öruggur undirskriftarbúnaður.  Einn megin munurinn á tölvu, þó hún væri ekki öruggur undirskriftarbúnaður og snjallsíma sem slíkt á við, er að snjallsímann er stöðugt verið að skanna meðan það á ekki við um tölvuna.  Hver einasti farsímasendir á svæði, þar sem snjallsíminn fer um, hann skannar símann.  Hann skannar ekki innihald hans, en á í samskiptum við símann.  Þessu til viðbótar, þá eru margir símar með opið þráðlaust nettengi (wi-fi) eða Blue-tooth tengi.  Ekki þarf því mikið að gerast til þess, að óprúttnir aðilar geti dreift óværum til stórs hóps snjallsímanotenda.

Þá kemur að öðrum mun á notkun rafrænna skilríkja í snjallsímum og tölvum.  Rafræna skilríkið er geymt á SIM-korti snjallsímans, en á kort sem sérstaklega er tengt við tölvuna fyrir notkun.  Óværa á snjallsíma hefði því aðgang að skilríkinu (væri það tilgangur hennar) á meðan síminn er í notkun.  Hún gæti fylgst með notkun skilríkisins og þess vegna hermt eftir henni.  Rafræna skilríkið á tölvunni er hins vegar bara tengt í stutta stund í einu (miðað við að það sé á örgjörva greiðslukorts).  Eftir það er það tekið úr sambandi og því getur óværa á tölvunni ekki notað sér það.

Aðrar aðferðir við undirritun

Ég get alveg tekið undir það að veflykill Ríkisskattstjóri eða Íslykillinn eru ekki öruggustu aðferðirnar við að auðkenna rafrænt einstakling.  Ég sé hins vegar ekki að þessar aðferðir séu neitt veikari, en að nota rafræn skilríki á snjallsíma.  Auðvelt væri að bæta inn viðbótar staðfestingarlið, svo sem að senda kóta í sms-skeyti, í tölvupósti eða í vefbanka viðkomandi.  Vissulega mætti líka gera það til að auka á öryggi rafrænna skilríkja í snjallsímum.  Með slíkri viðbót myndi ég leggja að jöfnu að nota rafræn skilríki í gegn um snjallsíma og að nota veflykil skattastjóra eða Íslykilinn.

Rafræn skilríki framtíðin

Svo ekkert fari á milli mála, þá tel ég rafræn skilríki framtíðaraðferð til þess að efla rafræna stjórnsýslu.  Kostir þeirra eru ótvíræðir fyrir þá sem vilja einfalda og auðvelda samskipti.  Ég er líka sannfærður um, að í framtíðinni munu snjallsímar upp til hópa uppfylla kröfur til öruggs undirskriftarbúnaðar.  Sá tími er ekki kominn nema fyrir brotabrot af snjallsímum sem eru í notkun.  Eða ætti ég að segja fyrir nema brotabrot af snjallsímaeigendum.  Ég held nefnilega að mun fleiri snjallsímar hafa möguleika á stillingum og uppsetningu búnaðar, sem gerðu þá að öruggum undirskriftarbúnaði, en þeir sem nýta þessa eiginleika.

Já, ég er paranoid þegar kemur að öryggismálum

Bara svona í lokinn.  Mér myndi ALDREI detta í hug að nota snjallsíma til að framkvæma millifærslur á bankareikningi.  Ég nota snjallsímann minn yfirhöfuð ALDREI til að opna vefbankaaðgang.  Ég efast ekki um að þetta er ofsalega handhægt, en líka stórvarasamt.  Ég er  öryggissérfræðingur og mér er borgað fyrir að vera paranoid þegar kemur að öryggismálum, svo þið hin getið verið aðeins öruggari í því sem þið gerið í hinum nettengda heimi fjarskiptanna.

Viðbót:

Mér finnst það umhugsunarvert og mögulega varhugavert, að stefna eigi 69.000 einstaklingum út í það að nota rafrænar undirskriftir vegna leiðréttingu lánanna.  Ástæðan er einföld:

Er komið tryggt dómafordæmi fyrir því að slík undirskrift sé tekin gild?  Nú verð ég að lýsa yfir vanþekkingu minni hvað þetta varðar.  Ég tel því nauðsynlegt að fá úr því skorið að slíkt dómafórdæmi sé fyrir hendi.  Sé það ekki til staðar, þá getur það haf alvarlegar afleiðingar, ef Hæstiréttur kæmist að því að einhverjir annmarkar séu á framkvæmdinni.


« Síðasta færsla | Næsta færsla »

Athugasemdir

1 identicon

Heill og sæll Marinó. Ólafur heiti ég og hef séð um þróun á skilríkjaverkefninu undanfanin 5 ár. Sérgrein mín eru einmitt SIM kort og er menntaður rafmagnsverkfræðingur. Mig langaði aðeins að leiðrétta smá misskilning sem mig grunar að mjög margir fleiri séu einmitt að velta fyrir sér. Sérstaklega þeir sem hafa einhvern áhuga á öryggismálum. Ég vona að sem flestir lesi bloggið þitt þannig að ég geti svarað sem flestum varðandi hvernig símar uppfylla SSCD kröfurnar.

Í upphafi voru fjölmargar lausnir skoðaðar og þar á meðal nokkrar "app" lausnir sem byggðu allar á því að setja skilríkin og undirskriftarvirknina upp á handtæki notandans. Bönkunum leist mjög vel á þessa útfærslu einmitt út af því að þá væru þeir ekki háðir samvinnu fjarskiptafyrirtækjanna og það mundi auðvelda dreifinguna á skilríkjunum mjög mikið. Munurinn á "app" nálguninni og því sem við erum að gera er sá að skilríkin eru framleidd og geymd á sérstökum PKI SIM kortum sem hafa hlotið EAL 4+ öryggisvottun og eru sérstaklega hönnuð með skilríkjavirkni í huga. Skilríkin eru framleidd á kortinu sjálfu (on board generation) í öðrum cyphering örgjörva sem er hliðstæður við aðal örgjörva kortsins og einkalykillinn aldrei sendur yfir neinn miðil. EAL 4+ vottunin er ekki léttvæg vottun sem kostar tugi milljóna í framkvæmd og uppfyllir lagakröfur 28/2001 um SSCD mjög ríflega. Neytendastofa sem hefur eftirlit með þessum hlutum er búin að fara vandlega yfir þetta. Auðkenni setur fjarskiptafélögunum mjög stífar kröfur um hvaða kort þau mega panta sem verða að uppfylla þessar kröfur. Dulkóðuð OTA sms skeyti eru notuð til að hafa samskipti við SIM kortið og eru addressuð beint á kortið en ná aldrei upp á OS lag handtækisins (stýrikerfið í símanum). Þannig veit t.d. hakkaður snjallsími aldrei af því að sms sendingar séu að eiga sér stað á milli SIM kortsins og broadband samskiptaeiningar handtækisins.

Í stuttu máli er það þess vegna sem að það gefur okkur svona meira öryggi að hafa eitthvað "secure element" til að geyma skilríkin á sem við stjórnum 100%.

Dómafordæmi eru til frá Noregi sem hafa náð mjög góðum árangri með nákvæmlega sömu lausn www.bankid.no . Til gamans er líka góð skýrsla frá GSMA um reynslu normanna af nákvæmlega þessari lausn

http://www.gsma.com/personaldata/wp-content/uploads/2014/02/Case-Study-on-Digital-Identity-Norwegian-Mobile-Bank-ID.pdf

Vona að þetta hjálpi eitthvað og dragi úr efasemdunum varðandi öryggi lausnarinnar :)

Bkv. Ólafur

Ólafur Páll Einarsson (IP-tala skráð) 15.9.2014 kl. 09:54

2 Smámynd: Marinó G. Njálsson

Sæll Ólafur,

Takk fyrir ítarlegt svar.

Ég ákvað í framhaldi af svari þínu, að senda póst á félaga mína hjá HP Enterprise Security Services Nordic, þar sem ég spurði, án þess að nefna ástæðuna, hvort þeir myndu nota rafræn skilríki á snjallsíma til að framkvæma greiðslu upp að $35.000.  Svörin sem ég fékk skiptust í tvo hópa.  Annar hópurinn sagi þvert nei og ef það kom skýring, þá var hún almennt að viðkomandi myndi ALDREI nota snjallsíma til fjármálaaðgerða og færi ekki einu sinni inn á vefbanka í gegn um snjallsímann.  Þessi hópur er því með sama viðhorf og ég.

Hinn hópurinn svaraði já, en í öll skiptin nema eitt kom góð skýring með sem ekki er hægt að túlka annað en réttlætingu.  Oftast var skýringin sú, að bankarnir tækju alla ábyrgð á því að aðgerðin væri örugg, þar sem appið væri komið frá bankanum.  Það mun ekki verða svo í tilfelli rafrænu skilríkjanna á íslenskum snjallsímum.  Þau verða á ábyrgð notandans.

Ég bý svo vel, að hluti af samstarfsmönnum mínum ýmist koma úr fjarskiptageiranum eða vinna að ráðgjöf fyrir hann.  Einn þeirra, hefur unnið við kerfishönnun, sagði:

"However, it can easily be argued that the authentication device should for technical and security reasons not be inside the phone, even if isolated on a SIM or in a "service enclave" a la Apple´s iPhone.  Putting the SIM-based user and network authentication in a separate device would have the added advantage of disabling the phone from being used when separated."

Ég sé enga ástæðu til að bæta einhverju við þetta frá öryggishliðinni.

Varðandi dómafordæmið, þá treysti ég ekki íslenskum dómstólum til að fylgja erlendu dómafordæmi.  Reynslan mín af neytendaverndarmálum segir, að íslenskir dómstólar móta sín eigin fordæmi.

Marinó G. Njálsson, 16.9.2014 kl. 10:10

3 Smámynd: Marinó G. Njálsson

Við þetta má bæta, að öll "já"-svörin komu frá samstarfsmönnum mínum í Svíþjóð, en "nei"-svörin komu að mestu frá Finnunum, þó einhver hefðu komið frá Svíunum líka.  Lá það nokkuð eftir þeim línum sem ég átti von á.  Svíar treysta "kerfinu" nánast í blindni, meðan Finnar eru mun meira á tánum gagnvart öllu sem getur farið úrskeiðis.  Hugsanlega er það afleiðing af fjármálahruninu hjá þeim á 10. áratug síðust aldar.

Marinó G. Njálsson, 16.9.2014 kl. 10:23

Bæta við athugasemd

Ekki er lengur hægt að skrifa athugasemdir við færsluna, þar sem tímamörk á athugasemdir eru liðin.

Höfundur

Marinó G. Njálsson
Marinó G. Njálsson
Upplýsingaöryggi og persónuvernd eru mínar ær og kýr, þó ég blaðri um allt og ekkert hér á blogginu. Er í Hagsmunasamtökum heimilanna og berst fyrir réttlæti fyrir heimili í landinu.  Loks er ég faggiltur leiðsögumaður.  Netfangið mitt er mgn@islandia.is og netfang fyrirtækisins oryggi@internet.is.

Heimsóknir

Flettingar

  • Í dag (22.12.): 0
  • Sl. sólarhring: 81
  • Sl. viku: 275
  • Frá upphafi: 0

Annað

  • Innlit í dag: 0
  • Innlit sl. viku: 34
  • Gestir í dag: 0
  • IP-tölur í dag: 0

Uppfært á 3 mín. fresti.
Skýringar

Des. 2024
S M Þ M F F L
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        

Innskráning

Ath. Vinsamlegast kveikið á Javascript til að hefja innskráningu.

Hafðu samband