EFN mener BankID gir dårlig sikkerhet

EFNs Thomas Finneid tar til motmæle mot Ketil Heggtveits forsvar av BankID.

Høsten 2007 har vært preget av en debatt rundt sikkerheten i BankID, utløst av utspill fra professor Kjell Jørgen Hole ved universitetet i Bergen.

    Les også:

digi.no har mottatt et innlegg fra Thomas Finneid, master i informatikk fra Universitetet i Oslo, som følger eID-saken på vegne av Elektronisk Forpost Norge (EFN). Finneid har tidligere skrevet EFNs svar til eID-høringen. Finneids innlegg er rettet spesielt mot innlegget til Ketil Heggtveit, Det er ikke BankID som er hacket.

Her følger Finneids innlegg i sin helhet.

Heggtveit skriver i sitt innlegg at det ikke var BankID som ble hacket, men brukeren som ble lurt. Påstanden er dermed at BankID er en sikker kvalitetsløsning og at det er brukeren det er noe feil med.

Det Heggtveit unnlater å si noe om er at dette problemet kunne vært unngått og at dette problemet er en indirekte sikkerhetsproblem som skaper direkte tillitsproblem med BankID.

Man kan ikke annet enn å være dypt skuffet over at banknæringen og myndighetene viser liten forståelse for og stor mangel på kunnskap om bruk og kompleksitet ved elektronisk id.

BankID er bankenes forsøk på statens eID, som de også skal bruke internt i bransjen. Det er mange løsninger for eID. Løsningen som er ansett som sikrest av verdensekspertisen, er eID lagret på smartkort.

Banknæringen derimot har valgt en annen løsning. De benytter seg av banklagret id eller sentrallagret id, noe som innebærer at den elektroniske identitet ikke befinner seg hos eieren av id-et, men ligger lagret hos banken, på en «sikker måte». Gjennom å bruke en engangskode kan brukeren autorisere bruk av den elektroniske id og banken signerer dermed på vegne av deg.

Det er her den fundamentale feilen med BankID forekommer: Sikkerhetsproblemet eID skal løse, i sammenheng med BankID, kommer ikke innenfra bankene, men fra Internett og alle bankbrukeres PC-er. BankID sikrer på ingen måte at det bare er eieren som kan utføre autoriseringen. Siden det ikke er brukeren selv som oppbevarer og direkte benytter sin elektroniske identitet, finnes det ingen ende-til-ende-sikkerhet: BankID er dermed helt og holdent sårbar for alle typer angrep mot bankene man har sett fram til i dag og vil kunne fortsette å se i framtiden. Dette inkluderer man-in-the-middle og phishing angrep.

Ingen sikkerhetsløsninger er sterkere enn sitt svakeste ledd. Banknæringens svar på problemet er å henvise til de sterke delene av løsningen og å skjule seg bak svakheter i loven angående. For ikke å snakke om alle de andre unnskyldningene som helhetsvurderinger og økonomiske aspekter. Når lovens § 14 sier at det er ulovlig å ha en løsning som tillater andre enn eID-eieren å disponere eID-et, er dette det motsatte av hva løsningen til bankene kan gjøre.

Noe av poenget med elektronisk identiteter, slik som BankID, er at man på et sikkerhetsteknisk grunnlag skal være sikker på hvem systemet prater med og hvem som har autorisert bruken. Med dette oppnår man i tillegg å redusere sjansen for, og minke arbeidet med, håndtering av angrep mot systemet. Dette gir da kostnadsbesparelser og man oppnår å tilpasse sikkerheten til bruksområdets krav, nemlig internett. BankID, slik den er i dag, er som å anbefale folk å bruke mobiltelefon på fjellet: Det gir bare falsk trygghet.

At bankene velger å ofre sikkerheten på økonomiens alter, burde ikke myndighetene akseptere.

At dette er noe som myndighetene først tar hensyn til etter faktum, viser deres mangel på seriøsitet når det gjelder sikkerhetsarbeid i denne sammenhengen. Spesielt i forbindelse med det som er ansett av myndighetene som god nok identifikasjon for en bransje som ansees som kritisk infrastruktur og som etter hvert kan bli brukt som et nasjonalt elektronisk id. Hvordan kan man stole på at sikkerhetsarbeid i den norske stat og samfunnskritiske bransjer er av god nok kvalitet, når myndighetene stiller seg bak en løsning som, åpenbart og i henhold til ledende fagekspertise i verden, er en dårlig løsning for bruksområdet?

Når eID lagret på smartkort er den sikre løsningen for bruksområdet, er det uforståelig at banknæringen da kan velge en løsning som, i det minste, ikke er sikker nok. At den norske banknæringen, i henhold til direktøren for Sparebanknæringen og direktøren for FNH, er ledende på banksikkerhet i verden avslører mye om hvor dårlig det står til med banksikkerheten og hvor mye penger bankene kaster bort på løsninger som i realiteten ikke reduserer sikkerhetsbyrden for næringen betraktelig. Det er stemmer at 100 prosent sikkerhet ikke er mulig, men det er mulig å oppnå langt høyere sikkerhet for banknæringen, enn det BankID oppnår, selv med god brukervennlighet.

Det anbefales å lese EFNs svar til eID-høringen og EFNs svar til Datakrim-høringen: De tilbyr en gjennomgående beskrivelse av svakhetene ved eID, datakrimloven, det fundamentale problemet med BankID og et forslag for hvordan man kan sikkert løse eID-problemet.

Til toppen