Usikker digital postkasse

Sikker digital postkasse er Difi og Fornyings-, administrasjons- og kirkedepartementet (FAD) sin løsning for å tilby elektronisk utsendelse av dokumenter fra staten og statlige organ til landets borgere. Sikkerhetsbloggen omtalte dette i februar 2013 da kravspesifikasjonen for løsningen hadde vært på høring og NSMs høringssvar ble publisert.

Ill.: Colourbox.no

Ill.: Colourbox.no

Etter at høringen var gjennomført ble NSM invitert til Difi for å gå gjennom revidert kravdokument. Den viktigste kommentaren fra NSMs side, om behov for ende-til-ende-kryptering, ble adressert og Difi presenterte en interessant og god løsning for å kunne tilby dette. Til tross for at løsning er beskrevet, ønsker ikke Difi å kreve dette eller vise hvordan vi kan nå dit.

Enkelt fortalt går ende-til-ende-krypteringsløsningen ut på at avsender sjekker i et register hvorvidt og i tilfelle hvilket digitale konfidensialtetssertifikat som er registrert på mottakere. Deretter blir dokumentet kryptert med dette sertifikatet og sendt til brukerens postboks. Dette medfører at postboksleverandøren ikke kan få innsyn i dokumentet som den formidler; akkurat slik som dagens manuelle/analoge postformidling gjennomføres.

Selv om Difi hadde et forslag til løsning for ende-til-ende-sikkerhet ble NSM informert om at det ikke ville bli stilt krav om denne funksjonaliteten. Dette ble begrunnet med at det ikke er mange konfidensialitetssertifikater tilgjengelig i markedet og at ingen av postboksleverandørene kan tilby støtte for ende-til-ende-kryptering «out of the box» i dag.

Derimot ville det bli stilt krav om at postboksleverandørens sertifikat skal benyttes for alle dens brukere. Det betyr at alle brev som skal til en mottaker hos postboksleverandør A vil bli kryptert med postboksleverandør A sitt sertifikat. Når dette mottas hos postboksleverandør A vil dokumentet dekrypteres for så å legges i brukerens postboks.

Sikkerhetsvurdering fra NSM

Sikkerhetsvurdering fra NSM

Selv om dette hindrer at meldingsformidler får innsyn i alle dokumentene den formidler, hindrer den ikke at postboksleverandøren får innsyn i alle dokumenter den håndterer for sine brukere. Dette er tilsvarende at man sender papirbrev og postmannen åpner brevet før hun legger det i mottakerens postboks.

NSM anser det svært uheldig å etablere en digital tjeneste hvor sikkerheten er lavere enn tilsvarende manuell/tradisjonell/analog tjeneste og sendte derfor et skriv til Justis- og beredskapsdepartementet (JD) med våre sikkerhetsvurderinger (se venstre). JD har som kjent tatt over samordningsansvaret for forebyggende IKT-sikkerhet fra FAD.

Difis svar

Difis svar

NSM har deretter mottatt svar fra Difi (se under/høyre), og som Difi sier, har NSM uttalt seg på et ikke-ferdig kravdokument, så våre kommentarer må sees i lys av kravspesifikasjonen som var på høring over jul/nyttår. Som observante lesere ser, har NSM en rekke kommentarer til løsningen, men den viktigste er den som allerede er nevnt; behov for ende-til-ende-kryptering (fra avsender til mottaker) av dokumenter.

Uavhengig av om kommunikasjonen mellom avsender og meldingsformidler eller meldingsformidler og postboksleverandør er kryptert, eller om meldingen krypteres fra avsender til postboksleverandør, vil den foreslåtte løsningen medføre at borgernes brev fra det offentlige blir håndtert i klartekst av borgernes postboksleverandør.

Difi anser at sikkerheten i borgernes private datautstyr er lav og at ende-til-ende-sikkerhet dermed ikke gir forbedret sikkerhet. NSM anser at trusselen mot en enkelt borgers datautstyr, med tilhørende lite antall dokumenter, er betydelig mindre enn mot en postboksleverandørs komplette dokumentlager. Konsekvensen av et sikkerhetsbrudd hos sistnevnte vil ha store konsekvenser ved at dette kan føre til at alle lagrede dokumenter hos postboksleverandøren blir kompromittert eller kommer på avveie.

Ill.: Colourbox.no

Ill.: Colourbox.no

NSM forstår at det kan være vanskelig å stille krav om at sertifikater skal benyttes for kryptering når slike sertifikater ikke har stor utbredelse i samfunnet. Det er allikevel nødvendig at sikkerheten ligger til grunn for å ta i bruk digitale tjenester. Når mer sensitiv informasjon enn skatteopplysninger blir gjort tilgjengelig elektronisk, er det nødvendig å sikre at man ikke opplever fler Altinn-Kenneth tilfeller, som barnefordelings-Bjarne eller Syfilis-Synne.

De siste ukers avsløringer om spionasje, utro tjener og hacking viser tydelig hvor viktig konfidensialitetsbeskyttelse og kryptering er. Ved bruk av skytjenester og utkontraktering blir dette spesielt viktig med tanke på at informasjonen kan befinne seg i andre jurisdiksjoner.

About Lars Olaussen

Lars Olaussen er sjefingeniør i Nasjonal sikkerhetsmyndighet, avdeling for teknologi, seksjon for kryptoutvikling. Hans ansvarsområde er råd- og veiledning og krav- og tiltaksutvikling innen elektronisk identifikasjon, kryptoløsninger og nøkkelforvaltning for beskyttelse av lavgradert og annen sensitiv, men ugradert informasjon.
This entry was posted in forvaltningen, Informasjonssikkerhet, Internettsikkerhet, Kryptografi. Bookmark the permalink.

7 Responses to Usikker digital postkasse

  1. Ole K says:

    Jeg synes det er trist og skremmende at Difi prøver å snakke seg rundt det sentrale som NSM her påpeker. De bruker mange fine ord som ROS-analyse og sikkerhetskrav, snakker om kravspesifikasjonsarbeidet, og hva som er velprøvde metoder ved anskaffelse av it-tjenester for det offentlige. Likevel virker det som det hele koker ned til at “er det en målsegning at løsningen kan etableres raskt”, og da velger man heller å lempe på (for meg burde være tilsynelatende helt opplagt) kravet om ende-til-ende-kryptering.

    Og at man at på til begrunner at ende-til-ende-kryptering er mindre viktig fordi “innbyggernes utstyr kan være dårlig sikret, og at sikkerhetsforståelsen hos innbyggerne til dels er lav”? Det er jo nesten som å si at “siden folk flest har en skrøpelig postkasse i tynt metall som lett lar seg bryte opp (om det i hele tatt er en hengelås på den en gang), så spiller det ingen rolle om postmannen åpner brevet før det legges i postkassen”…

    Det er iallfall bra at NSM ser viktigheten av dette og prøver å formidle det videre inn i byråkratiet. Så håper jeg bare dere lykkes med det etter hvert også og får Difi/JD på bedre tanker!

    • Dag H Baardsen says:

      I disse NSA- og Prism-tider og med et sviktende Datatilsyn
      som stadig vekk må spise både hester og kameler er det godt at det
      er ett organ som faktisk opptrer som en vaktbikkje på
      sikkerhetsfronten i forhold til offentlige organer. Samtidig er det
      også kjekt å se at Lars Olaussen er såpass tøff på dette at han går
      ut og kritiserer kommunikasjonen som er kommet fra Difi i så skarpe
      ordelag som i denne bloggposten. Jeg håper oppslaget her på bloggen
      og i NRKs nettavis er nok til at Difi faktisk vil gjøre noe med
      kravene og få på plass et ordentlig og generelt
      ende-til-ende-regime – gjerne også utover ren post. Det er på høy
      tid.

  2. Pingback: The Personal Blog of Terje Wold | Statlige kjemper strides om sikkerhet i nasjonal digital postkasse

  3. Nå finnes det allerede gode løsninger for ende-til-ende-kryptering via web, som enkelt kunne la seg integrere med digitale postkasser. Ta for eksempel Crypho http://www.crypho.com , der jeg selv arbeider, som leverer ende-til-ende kryptering i nettleseren, uten at sluttbrukerne må forholde seg til kompliserte sertifikater og liknende.

    Det er på tide at systemleverandører, og spesielt til det offentlige, begynner å ta brukernes sikkerhet og privatliv på alvor.

    Takk til NSM for at de følger med.

  4. Olav Have Holm says:

    Difi anser altså sikkerheten ved borgernes datamaskiner såpass lav osv.

    For å finne en parallell: Da jeg kjøpte min første pc i 1987 hadde jeg aldri noe antivirusprogram på den. Da må logikken være at jeg nå, ca. 10 pc’er senere ikke har noe antivirusprogram.
    Difi forutsetter altså at sikkerheten ikke kommer til å endre seg i overskuelig fremtid. Eller kanskje Difi bare planlegger en sikkerhetsløsning som skal vare frem til 2015 og så byttes ut?

  5. Pingback: Har vi venner? | Sikkerhetsbloggen

  6. Pingback: 5 Kryptert epost | Sikkerhetsbloggen

Comments are closed.