MitID-partnerskab til forskere: Vi serverer ikke danskernes persondata til techgiganterne
Danskerne kan trygt bruge MitID, uden at det giver techgiganter adgang til persondata eller andre fortrolige oplysninger, skriver Adam Lebech og Michael Busk-Jensen.
Adam Lebech
Vicedirektør, Digitaliseringsstyrelsen
Michael Busk-Jepsen
Digitaliseringsdirektør, fhv. underdirektør, Finans DanmarkI sidste uge satte to lektorer fra IT-Universitet, Wang og Papazu, spørgsmålstegn ved i Altinget, hvad det betyder for danske borgere og deres data, når offentlige digitale apps som MitID udgives via techgiganternes app stores.
I debatindlægget ”Forskere: Hvem råder over danskernes persondata i techgiganternes tidsalder?” rejser de to lektorer en række konkrete bekymringer om, hvorvidt datasikkerheden i blandt andet MitID er truet, når techgiganter som Apple opstiller diverse evalueringskriterier i forbindelse med udgivelsen af apps i App Store.
Men bekymringerne udspringer af nogle misforståelser omkring, hvad det reelt er for informationer, techgiganterne i deres evalueringsproces får adgang til, og hvilke data der overhovedet ligger i MitID-appen. Danskerne har ikke grund til bekymring, når de benytter sig af MitID-appen.
Bekymringer om MitID udspringer af nogle misforståelser omkring, hvad det reelt er for informationer, techgiganterne har adgang til.
Adam Lebech og Michael Busk-Jensen
MitID-partnerskabet
Krypteringsalgoritmer i en app benyttes til at sikre forskellige egenskaber ved en it-løsning, som for eksempel sikring af fortrolighed, integritet og uafviselighed.
Det er korrekt, at man til Apple skal oplyse, hvilke krypteringsalgoritmer man anvender, da dette følger af amerikansk eksportlovgivning. Dette er imidlertid ikke et sikkerhedsmæssigt problem, da krypteringsalgoritmernes virkemåde er offentligt kendt.
Det sikkerhedsmæssigt afgørende er derimod de privatnøgler, der bliver dannet af den anvendte krypteringsalgoritme, samt beskyttelsen af disse privatnøgler.
Apple og Google får ikke adgang
Når MitID-appen downloades fra for eksempel App Store eller Google Play, er den endnu ikke knyttet til et specifikt MitID, og appen i sig selv kan derfor ikke bruges til noget. Først når den enkelte MitID-app er blevet aktiveret og knyttet til en brugers personlige MitID, kan appen benyttes til MitID autentifikation.
Aktiveringen sker ved at udnytte en række standardiserede sikkerhedsteknologier og krypteringsalgoritmer (blandt andet public-key cryptography). Det indebærer blandt andet, at når MitID-appen tilknyttes en brugers MitID via aktiveringen, tilknyttes samtidig to kryptografiske nøglepar til brugerens MitID.
Disse nøgler er er unikke for hver enkelt bruger, og nøglerne er delt mellem MitID-appen og MitID’s servere. Kryptografien, der anvendes, sikrer, at kun appen med de korrekte nøgler kan godkende en anmodning, og at en MitID-app, der hører til en bruger, kun kan godkende på denne brugers vegne.
Disse privatnøgler beskyttes af telefonens hardware, beregnet til dette formål – og kan kun tilgås af MitID-appen. Tilsvarende beskyttes privatnøgler, der anvendes i den anden ende – altså af MitID-backenden – med certificerede HSM-moduler (såkaldte Hardware Security Modules).
MitID bliver udelukkende benyttet til autentifikation. Appen har derfor ikke i sig selv adgang til danskernes data.
Adam Lebech og Michael Busk-Jensen
MitID-partnerskabet
Techgiganterne har naturligvis ikke adgang til disse nøgler og kan derfor hverken få indsigt i eller manipulere de data, som bliver behandlet af MitID i forbindelse med en autentifikation.
Ingen personlig data i MitID
Når Apple og andre techgiganter får information om de anvendte krypteringsalgoritmer i MitID, giver det derfor ikke adgang til fortrolig og personlig data.
Dertil kommer, at MitID udelukkende benyttes til autentifikation. MitID i sig selv har derfor i den forbindelse ikke adgang til danskernes data. Hvis en bruger eksempelvis bruger MitID til at få adgang til netbank eller Digital Post, så befinder informationer om brugerens økonomi eller digitale post sig på selve bankserveren eller digitale postdatabase og ikke i MitID.
Det er altid godt at være på vagt, når det gælder adgang til data, og de spørgsmål, som Wang og Papazu rejser i deres debatindlæg, er bestemt relevante.
Men hvad angår MitID vil vi gerne slå fast, at man som borger trygt kan anvende MitID i visheden om, at ingen kan tilgå ens personlige data.
'%3e%3cpath%20d='M174.5%205.49985C138.877%20-19.5379%20106.875%2013.5814%2091.8511%2029.6115C65.0748%2058.1778%2099.1498%2080.3465%20117.152%2037.3094C135.153%20-5.72759%2022.8866%200.0578454%2015.1662%2097.217'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M3.65346%2080.8587L15.109%2097.3301L29.6131%2086.6665'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_627_569'%3e%3crect%20width='163.796'%20height='107.816'%20fill='white'%20transform='matrix(-0.999973%20-0.00733143%20-0.00733143%200.999973%20164.582%201.24609)'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
Få GRATIS nyheder fra Danmarks største politiske redaktion
Adam Lebech
Michael Busk-Jepsen
