Færslan var fyrst birt á Moggabloggi höfundar 12.9.2014.
Einhvern veginn hefur það atvikast að ákveðið hefur verið að krefjast notkunar rafrænna skilríkja vegna leiðréttingar ríkisstjórnarinnar á verðtryggðum lánum heimilanna. Mér finnst það svo sem ekki vitlaus hugmynd, enda kom ég að stofnun Auðkennis haustið 2000 sem ráðgjafi á undirbúningstíma og eftir að fyrirtækið var stofnað.
Kostir rafrænna skilríkja við auðkenningu eru miklir, en þau eiga sér líka takmarkanir. Eins og öll önnur skilríki, þá er ekki öruggt að sá sem notar skilríkið sé sá sem hann segist vera. Það eru bara meiri líkur á að svo sé en á við varðandi ýmsar aðrar aðferðir.
Lög 28/2001 um rafrænar undirskriftir
Um rafrænar undirskriftir voru sett lög nr. 28/2001. Valgerður Sverrisdóttir, þá verandi viðskiptaráðherra, hafði forgöngu um setningu þeirra laga. Í lögunum er í 2. gr. ýmsar skilgreiningar á hugtökum. Eitt þeirra er hugtakið "fullgild rafræn undirskrift". Það er skilgreint á eftirfarandi hátt:
Fullgild rafræn undirskrift: Útfærð rafræn undirskrift sem er studd fullgildu vottorði og gerð með öruggum undirskriftarbúnaði.
Til að undirskrift sé fullgild, þá verður hún að uppfylla tvö skilyrði. Annað er að hún sé studd fullgildu vottorði og hitt að hún sé framkvæmd með öruggum undirskriftarbúnaði.
Í IV. kafla laganna er fjallað um öruggan undirskriftarbúnað. Kröfur til hans eru nokkuð stífar, þ.e.:
Öruggur undirskriftarbúnaður skal tryggja að undirskriftargögnin.
a. geti eingöngu komið einu sinni fram,
b. verði með hliðsjón af eðlilegum öryggiskröfum ekki brotin upp og
c. séu varin með fullnægjandi hætti gegn notkun annarra en undirritanda.
Eru snjallsímar öruggur undirskriftarbúnaður?
Nú hefur verið lagt til að fólk noti rafræn skilríki á SIM-kortum snjallsíma til að veita rafrænt samþykki sitt á ráðstöfun hárra fjárhæða. Vissulega eru til aðrar aðferðir, s.s. Auðkennislykil. Um þetta hef ég tvennt að segja:
1. Rafræn skilríki þar sem notaður er öruggur undirritunarbúnaður eru besta aðferðin við auðkenningu, þar sem krafist er óhrekjanleika, rekjanleika, eins mikla fullvissu og hægt er að viðkomandi sé sá sem hann er án þess að viðkomandi sé viðstaddur í eigin persónu. Notkun rafrænna skilríkja hefur því ótvíræða yfirburði fram yfir veflykil Ríkisskattstjóra og Íslykil, þegar notkunin er gerð með öruggum undirskriftarbúnaði.
2. Snjallsímar uppfylla ekki kröfur sem gerðar eru til öruggs undirskriftarbúnaðar. A.m.k. ekki eins og velflestir snjallsímar eru uppsettir. Sími er í eðli sínu galopið tæki, sem allir geta sett sig í samband við. Munurinn á snjallsíma og gamaldagssíma, jafnvel gamaldags farsíma, er að á eldri gerð síma, þá gerðist lítið sem ekkert nema handhafi símatækisins aðhafðist eitthvað líka. Svo er ekki með snjallsíma. Snjallsímar eru tölvur með mikla virkni án vitundar handhafa símtækisins. Í snjallsíma eru stöðugt í gangi smáforrit (apps) sem eru hreinlega að njósna um ferðir og gerðir þess sem ber símann, skoða innihald skráa sem geymdar eru á símanum og óteljandi aðra hluti, sem ég er ekki viss um að fólk kæri sig um að vita af. Fæstir snjallsímar eru búnir dulkóðun, vírusvörn eða eldveggjum sem gera þá galopna fyrir hnýsni hvers sem dettur í hug að tengjast símanum í gegn um hnýsniforrit. Nýlega birtist frétt um gervifarsímasenda á víð og dreif í Bandaríkjunum og er giskað á að þessir sendar séu notaðir til að fylgjast með notkun farsíma og ferðum handhafa þeirra. Fram kom í fréttinni, að þetta hafi uppgötvast eftir að á markað komu snjallsímar sem vöruðu við ef símarnir væru skannaðir.
Snjallsímar vs tölvur
Mikill munur er á notkun rafrænna skilríkja á einmenningstölvu og snjallsíma. Tölvan myndi í flestum tilfellum teljast öruggur undirskriftarbúnaður, meðan snjallsíminn uppfyllir þau skilyrði sjaldnast. Vissulega eru til tölvur sem ekki eru öruggur undirskriftarbúnaður og á sama hátt eru til snjallsímar sem eru öruggur undirskriftarbúnaður. Einn megin munurinn á tölvu, þó hún væri ekki öruggur undirskriftarbúnaður og snjallsíma sem slíkt á við, er að snjallsímann er stöðugt verið að skanna meðan það á ekki við um tölvuna. Hver einasti farsímasendir á svæði, þar sem snjallsíminn fer um, hann skannar símann. Hann skannar ekki innihald hans, en á í samskiptum við símann. Þessu til viðbótar, þá eru margir símar með opið þráðlaust nettengi (wi-fi) eða Blue-tooth tengi. Ekki þarf því mikið að gerast til þess, að óprúttnir aðilar geti dreift óværum til stórs hóps snjallsímanotenda.
Þá kemur að öðrum mun á notkun rafrænna skilríkja í snjallsímum og tölvum. Rafræna skilríkið er geymt á SIM-korti snjallsímans, en á kort sem sérstaklega er tengt við tölvuna fyrir notkun. Óværa á snjallsíma hefði því aðgang að skilríkinu (væri það tilgangur hennar) á meðan síminn er í notkun. Hún gæti fylgst með notkun skilríkisins og þess vegna hermt eftir henni. Rafræna skilríkið á tölvunni er hins vegar bara tengt í stutta stund í einu (miðað við að það sé á örgjörva greiðslukorts). Eftir það er það tekið úr sambandi og því getur óværa á tölvunni ekki notað sér það.
Rafræn skilríki framtíðin
Svo ekkert fari á milli mála, þá tel ég rafræn skilríki framtíðaraðferð til þess að efla rafræna stjórnsýslu. Kostir þeirra eru ótvíræðir fyrir þá sem vilja einfalda og auðvelda samskipti. Ég er líka sannfærður um, að í framtíðinni munu snjallsímar upp til hópa uppfylla kröfur til öruggs undirskriftarbúnaðar. Sá tími er ekki kominn nema fyrir brotabrot af snjallsímum sem eru í notkun. Eða ætti ég að segja fyrir nema brotabrot af snjallsímaeigendum. Ég held nefnilega að mun fleiri snjallsímar hafa möguleika á stillingum og uppsetningu búnaðar, sem gerðu þá að öruggum undirskriftarbúnaði, en þeir sem nýta þessa eiginleika.
Hér fyrir neðan er breyting og viðbætur frá nóvember 2023:
Þvinguð notkun
Flestir einstaklingar eru í þeirri aðstöðu, að vera nánast þvingaðir til notkunar á rafrænum skilríkjum. Þessari miklu aukningu í notkun rafrænna skilríkja hefur fylgt meiri ágengd svikara í að komast yfir sannvottunarupplýsingar, samhliða því að smávægilegar yfirsjónir handhafa rafrænu skilríkjanna geta leitt til þess að svikurunum tekst ætlunarverk sitt. Raunar þurfa notendur ekki einu sinni að gera neitt rangt. Óværa er send á síma eða tölvu viðkomandi sem safnar upplýsingum áslátt og þar með leynilegar sannvottunarupplýsingar (þ.e. PIN).
Traustþjónusta sem er ekki traust
Tilgangur rafræn skilríka er að auka traust, að svo dæmi sé tekið við innskráningu í vefbanka, þá sé öruggt að sá sem skráir sig inn sé nákvæmlega sá sem kerfið heldur að sé að skrá sig inn. Komið hefur í ljós, að þeim tilfellum fjölgar sífellt, þar sem svikari hefur komist yfir aðgangsupplýsingar og náð þannig stjórn á bankareikningum saklaus notanda. Svikarinn fer síðan sínu fram og tæmir reikninga viðkomandi eða misnotar greiðslukort. Notandinn stóð hins vegar allan tímann í þeirri trú, að hann væri varinn fyrir slíku með notkun traustþjónustunnar, sem átti að felast í rafrænum skilríkjum.
Allir verða að líta í eigin barm og skoða hvað þeir geta gert betur. Ábyrgðin liggur hins vegar hjá þeim aðila, sem þvingar notendur til að nota ferli, sem ekki er öruggt, til innskráningar og verndunar fjármuna sinna eða hvað það er annað sem er í húfi. Hann getur ekki falið sig bak við, að hvatt hafi verið til þess að notendur sýni varúð og geti varið sig fyrir öllum gildrum sem svikarar egna fyrir þá. Notandinn er ekki ábyrgur fyrir því að traustþjónustan virki eða að það sé svona auðvelt að rjúfa hana. Séu öryggislögin ekki nógu mörg, þá þarf að fjölga þeim eða styrkja þau sem þegar eru notuð. Þetta er alveg eins og með raunlægan aðgang að fjárhirslum banka. Enginn banki leyfir einhverjum að koma oft á dag og ganga frjálslega um fjárhirslur sínar án þess að breyta ferlum og efla öryggi. Þetta leyfa þeir hins vegar í rafheimum.
Athugasemd sem barst við upprunalega póstinn:
Heill og sæll Marinó. Ólafur heiti ég og hef séð um þróun á skilríkjaverkefninu undanfanin 5 ár. Sérgrein mín eru einmitt SIM kort og er menntaður rafmagnsverkfræðingur. Mig langaði aðeins að leiðrétta smá misskilning sem mig grunar að mjög margir fleiri séu einmitt að velta fyrir sér. Sérstaklega þeir sem hafa einhvern áhuga á öryggismálum. Ég vona að sem flestir lesi bloggið þitt þannig að ég geti svarað sem flestum varðandi hvernig símar uppfylla SSCD kröfurnar.
Í upphafi voru fjölmargar lausnir skoðaðar og þar á meðal nokkrar "app" lausnir sem byggðu allar á því að setja skilríkin og undirskriftarvirknina upp á handtæki notandans. Bönkunum leist mjög vel á þessa útfærslu einmitt út af því að þá væru þeir ekki háðir samvinnu fjarskiptafyrirtækjanna og það mundi auðvelda dreifinguna á skilríkjunum mjög mikið. Munurinn á "app" nálguninni og því sem við erum að gera er sá að skilríkin eru framleidd og geymd á sérstökum PKI SIM kortum sem hafa hlotið EAL 4+ öryggisvottun og eru sérstaklega hönnuð með skilríkjavirkni í huga. Skilríkin eru framleidd á kortinu sjálfu (on board generation) í öðrum cyphering örgjörva sem er hliðstæður við aðal örgjörva kortsins og einkalykillinn aldrei sendur yfir neinn miðil. EAL 4+ vottunin er ekki léttvæg vottun sem kostar tugi milljóna í framkvæmd og uppfyllir lagakröfur 28/2001 um SSCD mjög ríflega. Neytendastofa sem hefur eftirlit með þessum hlutum er búin að fara vandlega yfir þetta. Auðkenni setur fjarskiptafélögunum mjög stífar kröfur um hvaða kort þau mega panta sem verða að uppfylla þessar kröfur. Dulkóðuð OTA sms skeyti eru notuð til að hafa samskipti við SIM kortið og eru addressuð beint á kortið en ná aldrei upp á OS lag handtækisins (stýrikerfið í símanum). Þannig veit t.d. hakkaður snjallsími aldrei af því að sms sendingar séu að eiga sér stað á milli SIM kortsins og broadband samskiptaeiningar handtækisins.
Í stuttu máli er það þess vegna sem að það gefur okkur svona meira öryggi að hafa eitthvað "secure element" til að geyma skilríkin á sem við stjórnum 100%.
Dómafordæmi eru til frá Noregi sem hafa náð mjög góðum árangri með nákvæmlega sömu lausn www.bankid.no . Til gamans er líka góð skýrsla frá GSMA um reynslu normanna af nákvæmlega þessari lausn
http://www.gsma.com/personaldata/wp-content/uploads/2014/02/Case-Study-on-Digital-Identity-Norwegian-Mobile-Bank-ID.pdf
Vona að þetta hjálpi eitthvað og dragi úr efasemdunum varðandi öryggi lausnarinnar :)
Bkv. Ólafur
Mitt svar við athugasemdinni:
Sæll Ólafur,
Takk fyrir ítarlegt svar.
Ég ákvað í framhaldi af svari þínu, að senda póst á félaga mína hjá HP Enterprise Security Services Nordic, þar sem ég spurði, án þess að nefna ástæðuna, hvort þeir myndu nota rafræn skilríki á snjallsíma til að framkvæma greiðslu upp að $35.000. Svörin sem ég fékk skiptust í tvo hópa. Annar hópurinn sagi þvert nei og ef það kom skýring, þá var hún almennt að viðkomandi myndi ALDREI nota snjallsíma til fjármálaaðgerða og færi ekki einu sinni inn á vefbanka í gegn um snjallsímann. Þessi hópur er því með sama viðhorf og ég.
Hinn hópurinn svaraði já, en í öll skiptin nema eitt kom góð skýring með sem ekki er hægt að túlka annað en réttlætingu. Oftast var skýringin sú, að bankarnir tækju alla ábyrgð á því að aðgerðin væri örugg, þar sem appið væri komið frá bankanum. Það mun ekki verða svo í tilfelli rafrænu skilríkjanna á íslenskum snjallsímum. Þau verða á ábyrgð notandans.
Ég bý svo vel, að hluti af samstarfsmönnum mínum ýmist koma úr fjarskiptageiranum eða vinna að ráðgjöf fyrir hann. Einn þeirra, hefur unnið við kerfishönnun, sagði:
"However, it can easily be argued that the authentication device should for technical and security reasons not be inside the phone, even if isolated on a SIM or in a "service enclave" a la Apple´s iPhone. Putting the SIM-based user and network authentication in a separate device would have the added advantage of disabling the phone from being used when separated."
Ég sé enga ástæðu til að bæta einhverju við þetta frá öryggishliðinni.
Varðandi dómafordæmið, þá treysti ég ekki íslenskum dómstólum til að fylgja erlendu dómafordæmi. Reynslan mín af neytendaverndarmálum segir, að íslenskir dómstólar móta sín eigin fordæmi.