NemID er for meget kontrol til bankerne
NemID er blevet tvinget ned over hovedet på bankkunder, der bruger Internetbank inklusiv mig selv. Jeg må ærligt erkende at jeg er pænt lunkent på NemID både med hensyn til sikkerhed og ideen bag. NemID systemet er udviklet af DanID, der er ejet af PBS som er ejet af bankerne. For mig at se så er der altså et eller andet galt, når et firma ejet af bankerne udvikler et system som kan spore ens færden igennem flere institionelle hjemmesider/portaler, der er forbundet med NemID systemet. Der er altså ikke langt til at få indopereret en chip i kroppen, hvor alle ens penge, madrationer, familierelationer og trosretninger er registreret. Ja ok det var måske lige groft nok, men tanken om kun et ID til bank, forsikring, skat og lignende er et lidt foruroligende. Det er jo et system hvor data ganske givet er centralt placeret. Man kan jo ikke sige nej til at bruge NemID, jo det kan man godt, men så er det også slut med at bruge Internetbank, skat.dk og lignende.
Hvad gemmer NemID?
Det er ingen hemmelighed at NemID gemmer en del oplysninger om dig og de transaktione du gennemfører, når du interagerer med de institutioner offentlige som private, der er tilmeldt NemID. Her er en liste med de ting som helt sikkert bliver gemt, det er ihvertfald det DanID oplyser.
- CPR nummer.
- Navn.
- Adresse
- E-mail adresse (Hvis du har angivet den).
- Mobiltelefon nummer (Hvis du har angivet den).
Det der så ikke er nævnt her hvad NemID egentlig gemmer. Kunne det tænkes at de operationer og transaktioner man udfører i forbindelse med interaktionen med de forskellige hjemmesider bliver logget mere detaljeret? Hvis jeg nu lavede en bankoverførsel fra min bankkonto til en konto i Thailand, hvad vil det så blive gemt? Beløb, tidspunkt, afsender, modtager, beskrivelse, kontonumre, IP adresse og lignende givetvis.
Meget data bliver endvidere sendt til NemID´s servere via Cookies i din browser godt nok i almindelig tekst. Det data bliver videregivet til en ukendt part, som kommer til at stå for statisik.
Privat og offentlig nøgle er begge opbevaret hos NemID
Hele sikkerheden omkring NemID er bygget op omkring krypteringen PKI (Public Key Infrastructure), hvor data krypteres ved hjælp af en offentlig og privat nøgle. Hele idéen med PKI er at brugeren selv opbevarer den private nøgle, mens den offentlige nøgle er tilgængelig for alle og er typisk placeret på en server. Problemet med NemID er at de opbevarer både den offentlige og private nøgle og har dermed alt andet lige mulighed for at dekryptere data. Det er efter min mening ikke særligt sikkert og da de har pligt til at opbevare data i op til 6 år af hensyn til en eventuel politiefterforskning, skulle man nu være anklaget for terror, ja så har de altså mulighed for at dekryptere ens personlige data man har liggende på en af deres servere.
Er der andre som mig der er lidt skeptiske ved den her NemID løsning?