Skönt att få rätt
Inriktningen har varit allt kring bevisssäkring, bevisvärdering, vilken typ av elektroniska spår folk lämnar och alla juridiska aspekter omkring detta.
Föreläsare var it-forensiker, säkerhetsexperter, IT-brottsutredare samt jurister/advokater från både åklagarsidan och försvarssidan.
Jag räknar med att skriva en hel liten radda bloggposter inspirerad av det som sades på denna kurs. ;)
I denna post tänkte jag koncentrera mig på en sak som kom fram vid en föreläsning av en säkerhetsexpert och före detta specialutredare hos SÄPO som i grund och botten sågade allt bevisvärde i IT-spår, med tanke på hur enkelt det är att förvanska spår i en dator.
Men det är inte det som denna post kommer att handla om, nej mellan några powerpointbilder stannade han upp och totalsågade e-Legitimationer.
Jag har ju i ett par tidigare bloggposter sågat e-leg av ett par skäl, men den här föreläsaren sågade lösningen på helt andra skäl. Det blev en väldigt givande diskussion på kafferasten efteråt, och det verkade som att en del av de jurister som var där blev rätt chockade när de hörde vår diskussion, eftersom de verkligen utgått från att lösningen var säker.
Så när två stycken olika personer som sysslat med IT-säkerhet sedan 90-talet oberoende av varandra sågade lösningen, med hänvisning till helt olika men fullständigt giltliga skäl kunde man se en viss oro hos övriga deltagare.
Den Jurist som var huvudansvarig för att hålla utbildningen utbrast "Men det är ju oerhört, och så har de mage att lagstifta om att elektroniska signaturer inte får anses vara mindre trovärdiga än en riktig namnteckning"
De två huvudanledningarna till att jag sågar e-legitimation och inte kan tänka mig att skaffa en i nuvarande form är:
-
1. En vanlig legitimation innehåller något som är unikt från dig, t.ex. din namnteckning. När det gäller e-legitimation så kommer det unika från banken. Banken utfärdar, banken har certifikaten, du har ingenting. Blir du av med ditt e-leg kan banken utfärda ett nytt, blir du inte av med det kan banken likt förbannat utfärda ett nytt.
2. Jag anser att id-handlingar skall utfärdas av myndigheter inte privata företag. En bank gör hela tiden riskbedömningar och tar sina beslut gällande säkerhet på kommer vi gå plus eller minus. Hur många procent felaktigheter kan vi ta utan att det får inverkan på vår vinstmarginal. En myndighet har inget vinstintresse, utan har att följa lagstiftning.
-
1. De har tillverkat en trojan som klarade av att extrahera nycklarna från e-leget, samt pinkod från användare och exportera detta (skicka i mail). Sedan var de in och gjorde ett otillåtet skatteavdrag för "testpersonen" genom att koppla upp sig mot skatteverkets deklarationstjänst. De har vid ett flertal tillfällen demonstrerat och visat på osäkerheten i systemet och bevisat att de kan plocka ut certifikatnycklarna. Skatteverket fortsätter dock med en dåres envishet att hävda att det är omöjligt att få tag på certifikatnycklarna och "lura systemet".
2. Om det imorgon skulle komma en matematiker och säga att han knäckt RSA faller hela systemet. De hade som förslag redan före systemet började införas att man kunde haft en tre olika certifikat på e-leget, så att man i ett sådant fall skulle kunna revokera en hel algoritm. Säga att från och med idag kör vi inte med RSA utan med XXX. Men genom hela införandet valde man att bortse från alla tekniska råd man fick från expertgruppen.
Jag har ju sett en del remisser kring olika saker och för att komma runt en lagteknisk grej omkring upphandling finns det nu ett förslag att skapa en typ av federering mellan alla utgivare av e-legitimationer så att man kan koppla upp sig mot ett enda ställe för att kontrollera en e-legitimation. Den idén är faktiskt rätt bra, på den nivån. Men när man läser texten närmare så vill man på grund av EU, fri marknad o.s.v. tillåta andra än svenska företag att utfärda e-legitimationer.
Så det vi kan komma att hamna i inom något år, är att privata företag i andra länder kommer att kunna utfärda vad som i praktiken blir en giltig svensk ID-handling, och som våra myndigheter kommer att lita på.
Enligt det juristen sade så får enligt nuvarande lagstiftning en domstol inte anse att en elektronisk signatur är mindre trovärdig än en riktig. D.v.s. har du en e-legitimation och någon annan använder ditt certifikat så är du rökt. Är det ditt certifikat så är det enligt lagen DU som gjort det, oavsett vem som egentligen gjort det. Trots att det är en bank som har originalet och att det för en hackergrupp är tämligen trivialt att stjäla certifikatet från ditt lilla USB-minne.
Så det känns som att den klart bästa lösningen är att aldrig skaffa sig något överhuvudtaget.
Mvh
/J-O
Tags: Piratpartiet, Säkerhet, e-legitimation
För övrigt anser jag att Beatrice Ask bör landsförvisasIntressant. Kan du utveckla en aning vilka säkerhetshål som finns (utöver valet av vilka som ska kunna få utfärda legimitationen)?
E-legimitation med bankdosa borde väl i teorin kunna vara rätt säkert? Det borde väl kräva någon form av social engineering för att knäcka (förutsatt att kryptoalgoritmen håller).
E-legitimation på fil har jag däremot svårt att föreställa mig hur det skulle kunna vara säkert.
Det är ju kanske lite olika beroende på typ av e-leg.
Den trojan de använde kunde alltså under överföringen få fram och lagra det upplåsta certifikatet. Så att nästa gång man behövde tjänsten kunde man presentera det upplåsta certifikatet fast man då inte hade någon pin/dosa att låsa upp det med.
Jag har inte heller någon e-legitimation, främst av ditt skäl nummer 1. Jag har däremot viss erfarenhet av SSL, och från den utgångspunkten är jag övertygad om att jag själv måste generera och behålla kontrollen över min privata nyckel, medan jag låter banken (eller vem det månde vara) se min publika nyckel och utfärda ett intyg (certifikat) om att den är just min.
Jag känner mig mindre övertygad om giltigheten av ditt skäl nummer 2, att myndigheter är "bättre" certifikatutfärdare än privata företag. Det viktiga för mig är att jag hittar en certifikatutfärdare som åtnjuter högt och välförtjänt förtroende. Jag kan hålla med om att banker nog är olämpliga att ha certifikatutfärdande som en verksamhet vid sidan om sin ordinarie dito, men samma invändning kan resas mot att nätoperatörer (Telia) eller domänhandlare (GoDaddy) har det. Certifikattjänsten bör vara en självfinansierad service, liknande notarius publicus, som står och faller med allmänhetens förtroende för företaget. Om i stället PTS får statsanslag för att utfärda certifikat, så lär inte anslaget automatiskt upphöra bara för att allmänheten tappar förtroendet för PTS. Myndigheternas förmåga och intresse av att till punkt och pricka följande gällande lag kan dessutom diskuteras...
Myndigheterna i vissa länder har ju rentav ett eget intresse av att vid behov kunna utfärda falska certifikat, till exempel så att amerikanska FBI kan lägga beslag på domäner som de hävdar har använts för brottslig verksamhet (det kanske inte sker i dag, men lär göra det i takt med att DNSSEC och SSL blir flitigare nyttjat). Att jag som nätanvändare plötsligt blir hänvisad till en FBI-webbsida i stället för den torrent-tracker jag förväntade mig finner jag lika barockt som att kronofogden skulle få befogenhet att förfalska en skattesmitares namnteckning för att ta ut de pengar han gömt på olika bankkonton.
När till och med riksdagens IT-avdelning systematiskt fejkar certifikat för externa servrar i syfte att dekryptera riksdagsledamöternas SSL-sessioner och leta efter malware, vilken myndighet i hela världen kan vi då lita på?
Lägg därtill att det handlar om att installera en sluten mjukvara på datorn. I dessa sammanhang anser jag att man bör utgå ifrån att det programmet har bakdörrar, varför är annars källkoden hemlig? Varenda kotte som vet något inser ju att "security by obscurity" är förkastligt, så även de som utvecklar dessa program, därmed kan vi utgå från att syftet med sluten kod är en annan.
De vägrar låta sig granskas öpet och begär i nästa andetag att vi skall lita på dem. I alla andra situationer i livet när vi konfronteras med något sådant, så ber vi fulingen dra åt helvete.
