Anfall är bästa försvar

Computer Sweden skriver igår om att 3 myndigheter ifrågasätter säkerheten i nya e-legsystemet och har bett MSB genomföra en granskning. Oberoende granskningar är mycket bra och borde ske oftare när Svenska myndigheter inför ny teknik – då hade vi säkert sluppit en del katastrofala misstag de senaste åren, inklusive det nuvarande BankID-styrda e-legitimationssystemet i Sverige.

För er som inte orkar läsa resten så kommer här en sammanfattning: Utspelet från Försäkringskassan, CSN och Arbetsförmedlingen är ett beställningsjobb från BankID som i och med införandet av ett nytt öppnare e-legsystem riskerar att tappa sitt monopol. Den granskning som MSB borde göra är av systemet för Mobilt BankID som just nu införs i stor skala i Sverige utan att någon oberoende, seriös säkerhetsanalys genomförts.

Federations-farfar gnäller

Det nya e-legsystemet i Sverige är i många delar en kopia av SWAMID, Sveriges högskolors identietsfederation. Som många säkert vet är SWAMID en av de saker jag har jobbat mest med de senaste åren och jag är mycket stolt över hur väl SWAMID fungerar samt att de lösningar som jag och mina kollegor tagit fram blivit kopierade inte bara en gång i Sverige redan 1,2. SWAMID är en del i ett stort ekosystem av identitetsfederationer som bara inom forskningssektorn omfattar flera 10-tals miljoner användare 1. Utanför denna sektor används samma teknik för att bygga samma lösning som e-legsystemet bla i Storbritanien, Finland, Danmark, Österrike & USA.

Federationer innebär den raka motsatsen till centralisering, monopol och är en teknisk garanti för valfrihet. Dessa kärnvärden borde de flesta i Sverige kunna skriva under på. Inklusive Försäkringskassan, CSN och Arbetsförmedlingen.

Men i Sverige har vi BankID som har hittat på eget … självklart mycket bättre.

DDOS

Det finns en hel del andra dumheter i kritiken, bla att den nya tekniken inte skulle vara “mobilanpassad”. Andra kommer säkert att bemöta detta och mycket annat som bara är “lagom dumt” men jag väljer att lyfta fram en av de springande punkterna i kritiken mot det nya e-legsystemet som är dumt på en alldeles särdeles flagrant idiotisk nivå:

Den nya federations-tekniken skall vara extra sårbar för sk DDOS-attacker! Det nya systemet är ett distribuerat system som är baserat på konkurrens och medger att fler aktörer delar på ansvaret att identifiera medborgare i Sverige. Idag är det nästan bara en aktör som står för denna kritiska samhällsfunktion: Banken. Nuvarande BankID-lösning är inte bara ett affärsmässigt monopol utan tekniken är dessutom i hög grad centraliserad och beroende av kritiska funktioner på BankGiro-Centralen (BGC) för att funka.

En centraliserad lösning är självklart mycket bättre än en distribuerad… Eller var det tvärt om?

Mer konkurrens tack

Vi ska ha mer oberoende granskning av teknik i Sverige. Jag hoppas verkligen att MSB lägger ner de resurser som krävs för att titta på hela ekosystemet för identitet i Sverige. Gör man det är jag övertygad om att man kommer fram till det som saknas är mer konkurrens i Sverige.

Idag har vi ingen konkurrens överhuvudtaget. Ibland lyfts argument mot konkurrens inom detta område (gissa varifrån) eftersom med fler aktörer så blir det ytterligare en sak som medborgare måste välja förutom elleverantör, dagis, skola osv. Detta argument måste man ta på allvar men det är också oerhört farligt ur ett sårbarhetsperspektiv. Ett allvarligt problem hos BGC eller BankID slår idag ut nästan alla medborgares tillgång till kritiska samhällsfunktioner.

Det är alltså detta som är den stora rosa elefanten i rummet: Det finns fortfarande bara en organisation som gör identifiering av medborgare i Sverige: Banken.

Det finns flera andra vertikaler som skulle kunna ta upp konkurrensen med Banken om att identifiera medborgare i Sverige, tex …

  • Daglighandel – vi har ganska få aktörer och flera av dom bedriver redan viss form av bankverksamhet
  • Svenska Spel – redan idag en teknik-intensiv verksamhet med fokus på säker identifiering
  • Mobiloperatörer – Sverige är ett av de mest mobil-täta länderna i världen och här rör det på sig lite redan.
  • Intresseorganisationer – varför inte DFRI tex? Bättre garant för individens fri och rättigheter kan jag inte tänka mig.

Nyligen annonserades att nästa generation av federationsteknologi, OpenID connect nu är publicerad. OpenID Connect kallas ibland SAML3 eftersom den är så nära SAML2 som vi använder i e-legsystemet i Sverige. OpenID Connect är enkelt att koppla ihop med SAML och är redan integrerat i alla mobilplatformar. Det också är den teknik GSMA valt för sitt mobile connect initiative. Ett samarbete med operatörsbranchen skulle kunna bryta upp BankID-monopolet i Sverige.

Heja e-legnämnden!

Jag slutar mitt “rant” med att lyfta på hatten för e-legnämnden. Dom får ofta stå ut med både det ena och det andra från både förespråkare och motståndare till en nystart för e-legitimation i Sverige men dom gör ett väldigt bra jobb under mycket svåra förhållanden.

Det är dags för Svenska myndigheter att släppa sargen och komma in i matchen.

3 Comments

Filed under Identity

3 Responses to Anfall är bästa försvar

  1. Pingback: Ny e-legitimation och de som har monopol klagar | Christoffer Holmstedt

  2. Krister Renaud

    En av de saker som lyfts i skrivelsen är att de påstår att den nya standarden är inriktad på identifiering och i mindre grad signering. De påstår att man inte kan på ett säkert sätt verifiera det man skriver under.

    Hur ser du på detta?

    • Det är helt riktigt att standarden är inriktad på identifiering. Det beror på att identifiering är 99% av problemet som behöver lösas med ett gemensamt ramverk.

      Även i dagens system är det ganska vanligt att Banken låter påskina att du gör signaturer när du eg gör identifiering.

      Låt mig ge ett exempel: Om jag använder Handelsbankens Internetbank så får jag ett kort med “BankID” på. Det kortet stoppar jag in i en läsare med siffer-tangenter på samt tangenter märkta “Sign”, “Login” och “Buy”.

      När jag loggar i på banken så väljer jag att använda min dosa med eller utan sladd. Om jag använder dosan med sladd så pratar den med nexus-programvaran som jag installerat på min dator men eftersom det är ganska pilligt så väljer jag (och gissar jag väldigt många andra) att använda dosan utan sladd.

      I läge utan sladdfunkar dosan som en OTP (one time password) token som inte kan signera några dokument alls vilket inte hindrar Banken att låta mig tro att jag signerar saker.

      Nu kommer påängen: Oavsett om jag använder min dosa med eller utan sladd så kommer Handelsbankens gränssnitt att säga åt mig att (tex när jag betalar mina räkningar) jag ska trycka på knappen märkt Sign. I detta fall handlar det inte om någon digital signatur – en OTP token kan helt enkelt inte signera dokument.

      Min analys är användbarhet smäller högre än teknik och att man gärna pratar om signatur som om man faktiskt gjorde sådana.

      Banken var mer intresserad av att jag kunde identifiera mig med den nyckel på mitt BankID-kort som används för signering, inte att jag faktiskt signerade en representation av transaktionen.