MitID-partnerskab til forskere: Vi serverer ikke danskernes persondata til techgiganterne

Danskerne kan trygt bruge MitID, uden at det giver techgiganter adgang til persondata eller andre fortrolige oplysninger, skriver Adam Lebech og Michael Busk-Jensen.

I sidste uge satte to lektorer fra IT-Universitet, Wang og Papazu, spørgsmålstegn ved i Altinget, hvad det betyder for danske borgere og deres data, når offentlige digitale apps som MitID udgives via techgiganternes app stores.

I debatindlægget ”Forskere: Hvem råder over danskernes persondata i techgiganternes tidsalder?” rejser de to lektorer en række konkrete bekymringer om, hvorvidt datasikkerheden i blandt andet MitID er truet, når techgiganter som Apple opstiller diverse evalueringskriterier i forbindelse med udgivelsen af apps i App Store.

Men bekymringerne udspringer af nogle misforståelser omkring, hvad det reelt er for informationer, techgiganterne i deres evalueringsproces får adgang til, og hvilke data der overhovedet ligger i MitID-appen. Danskerne har ikke grund til bekymring, når de benytter sig af MitID-appen.

Krypteringsalgoritmer i en app benyttes til at sikre forskellige egenskaber ved en it-løsning, som for eksempel sikring af fortrolighed, integritet og uafviselighed.

Det er korrekt, at man til Apple skal oplyse, hvilke krypteringsalgoritmer man anvender, da dette følger af amerikansk eksportlovgivning. Dette er imidlertid ikke et sikkerhedsmæssigt problem, da krypteringsalgoritmernes virkemåde er offentligt kendt.

Det sikkerhedsmæssigt afgørende er derimod de privatnøgler, der bliver dannet af den anvendte krypteringsalgoritme, samt beskyttelsen af disse privatnøgler.

Apple og Google får ikke adgang

Når MitID-appen downloades fra for eksempel App Store eller Google Play, er den endnu ikke knyttet til et specifikt MitID, og appen i sig selv kan derfor ikke bruges til noget. Først når den enkelte MitID-app er blevet aktiveret og knyttet til en brugers personlige MitID, kan appen benyttes til MitID autentifikation.

Aktiveringen sker ved at udnytte en række standardiserede sikkerhedsteknologier og krypteringsalgoritmer (blandt andet public-key cryptography). Det indebærer blandt andet, at når MitID-appen tilknyttes en brugers MitID via aktiveringen, tilknyttes samtidig to kryptografiske nøglepar til brugerens MitID.

{{toplink}}

Disse nøgler er er unikke for hver enkelt bruger, og nøglerne er delt mellem MitID-appen og MitID’s servere. Kryptografien, der anvendes, sikrer, at kun appen med de korrekte nøgler kan godkende en anmodning, og at en MitID-app, der hører til en bruger, kun kan godkende på denne brugers vegne.

Disse privatnøgler beskyttes af telefonens hardware, beregnet til dette formål – og kan kun tilgås af MitID-appen. Tilsvarende beskyttes privatnøgler, der anvendes i den anden ende – altså af MitID-backenden – med certificerede HSM-moduler (såkaldte Hardware Security Modules).

Techgiganterne har naturligvis ikke adgang til disse nøgler og kan derfor hverken få indsigt i eller manipulere de data, som bliver behandlet af MitID i forbindelse med en autentifikation.

Ingen personlig data i MitID

Når Apple og andre techgiganter får information om de anvendte krypteringsalgoritmer i MitID, giver det derfor ikke adgang til fortrolig og personlig data.

Dertil kommer, at MitID udelukkende benyttes til autentifikation. MitID i sig selv har derfor i den forbindelse ikke adgang til danskernes data. Hvis en bruger eksempelvis bruger MitID til at få adgang til netbank eller Digital Post, så befinder informationer om brugerens økonomi eller digitale post sig på selve bankserveren eller digitale postdatabase og ikke i MitID.

Det er altid godt at være på vagt, når det gælder adgang til data, og de spørgsmål, som Wang og Papazu rejser i deres debatindlæg, er bestemt relevante.

Men hvad angår MitID vil vi gerne slå fast, at man som borger trygt kan anvende MitID i visheden om, at ingen kan tilgå ens personlige data.

{{toplink}}

Forrige artikel Digitalt forskningscenter: Disse tre anbefalinger vil gøre Danmark førende inden for digital vækst Digitalt forskningscenter: Disse tre anbefalinger vil gøre Danmark førende inden for digital vækst Næste artikel Dataspecialister: Her er fem råd til at reducere byggeriets skjulte klimasynder Dataspecialister: Her er fem råd til at reducere byggeriets skjulte klimasynder