ArbejdsmarkedMitID-partnerskab til forskere: Vi serverer ikke danskernes persondata til techgiganterne
I sidste uge satte to lektorer fra IT-Universitet, Wang og Papazu, spørgsmålstegn ved i Altinget, hvad det betyder for danske borgere og deres data, når offentlige digitale apps som MitID udgives via techgiganternes app stores.
I debatindlægget ”Forskere: Hvem råder over danskernes persondata i techgiganternes tidsalder?” rejser de to lektorer en række konkrete bekymringer om, hvorvidt datasikkerheden i blandt andet MitID er truet, når techgiganter som Apple opstiller diverse evalueringskriterier i forbindelse med udgivelsen af apps i App Store.
Men bekymringerne udspringer af nogle misforståelser omkring, hvad det reelt er for informationer, techgiganterne i deres evalueringsproces får adgang til, og hvilke data der overhovedet ligger i MitID-appen. Danskerne har ikke grund til bekymring, når de benytter sig af MitID-appen.
Bekymringer om MitID udspringer af nogle misforståelser omkring, hvad det reelt er for informationer, techgiganterne har adgang til.
Adam Lebech og Michael Busk-Jensen
MitID-partnerskabet
Krypteringsalgoritmer i en app benyttes til at sikre forskellige egenskaber ved en it-løsning, som for eksempel sikring af fortrolighed, integritet og uafviselighed.
Det er korrekt, at man til Apple skal oplyse, hvilke krypteringsalgoritmer man anvender, da dette følger af amerikansk eksportlovgivning. Dette er imidlertid ikke et sikkerhedsmæssigt problem, da krypteringsalgoritmernes virkemåde er offentligt kendt.
Det sikkerhedsmæssigt afgørende er derimod de privatnøgler, der bliver dannet af den anvendte krypteringsalgoritme, samt beskyttelsen af disse privatnøgler.
Apple og Google får ikke adgang
Når MitID-appen downloades fra for eksempel App Store eller Google Play, er den endnu ikke knyttet til et specifikt MitID, og appen i sig selv kan derfor ikke bruges til noget. Først når den enkelte MitID-app er blevet aktiveret og knyttet til en brugers personlige MitID, kan appen benyttes til MitID autentifikation.
Aktiveringen sker ved at udnytte en række standardiserede sikkerhedsteknologier og krypteringsalgoritmer (blandt andet public-key cryptography). Det indebærer blandt andet, at når MitID-appen tilknyttes en brugers MitID via aktiveringen, tilknyttes samtidig to kryptografiske nøglepar til brugerens MitID.
Disse nøgler er er unikke for hver enkelt bruger, og nøglerne er delt mellem MitID-appen og MitID’s servere. Kryptografien, der anvendes, sikrer, at kun appen med de korrekte nøgler kan godkende en anmodning, og at en MitID-app, der hører til en bruger, kun kan godkende på denne brugers vegne.
Disse privatnøgler beskyttes af telefonens hardware, beregnet til dette formål – og kan kun tilgås af MitID-appen. Tilsvarende beskyttes privatnøgler, der anvendes i den anden ende – altså af MitID-backenden – med certificerede HSM-moduler (såkaldte Hardware Security Modules).
MitID bliver udelukkende benyttet til autentifikation. Appen har derfor ikke i sig selv adgang til danskernes data.
Adam Lebech og Michael Busk-Jensen
MitID-partnerskabet
Techgiganterne har naturligvis ikke adgang til disse nøgler og kan derfor hverken få indsigt i eller manipulere de data, som bliver behandlet af MitID i forbindelse med en autentifikation.
Ingen personlig data i MitID
Når Apple og andre techgiganter får information om de anvendte krypteringsalgoritmer i MitID, giver det derfor ikke adgang til fortrolig og personlig data.
Dertil kommer, at MitID udelukkende benyttes til autentifikation. MitID i sig selv har derfor i den forbindelse ikke adgang til danskernes data. Hvis en bruger eksempelvis bruger MitID til at få adgang til netbank eller Digital Post, så befinder informationer om brugerens økonomi eller digitale post sig på selve bankserveren eller digitale postdatabase og ikke i MitID.
Det er altid godt at være på vagt, når det gælder adgang til data, og de spørgsmål, som Wang og Papazu rejser i deres debatindlæg, er bestemt relevante.
Men hvad angår MitID vil vi gerne slå fast, at man som borger trygt kan anvende MitID i visheden om, at ingen kan tilgå ens personlige data.
Artiklen var skrevet af
Omtalte personer
Nyeste job
Indsigt
Ministersvar
Karina Lorentzen Dehnhardt spørgerHvilke initiativer vil ministeren tage, så Danmark også får ført sager mod techgiganterne?
Louise Brown spørger Sophie LøhdeHvorfor er reglerne ikke ændret, så onlineplatforme kan levere håndkøbsmedicin?
Peter Skaarup spørger Rasmus StoklundHvilke redskaber anvender myndighederne til at forebygge radikalisering via sociale medier?
Følg lovforslaget- B 84 Anvendelse af kunstig intelligens i forbindelse med behandling af ansøgninger om dansk indfødsret (Udlændinge- og Integrationsministeriet)Fremsat
- L 111 Lov om supplerende bestemmelser til forordningen om kunstig intelligens (Digitaliseringsministeriet)1. behandling
- L 96 Lov om leje (Social- og Boligministeriet)1. behandling
'%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M4.59974%208.70857L10.9598%2011.4343C11.6239%2011.7189%2012.3756%2011.7189%2013.0397%2011.4343L19.3998%208.70857C20.0699%208.4214%2020.8459%208.7318%2021.133%209.40187C21.2035%209.56618%2021.2398%209.74308%2021.2398%209.92184V18.0592C21.2398%2019.1153%2020.6104%2020.0697%2019.6397%2020.4857L13.0397%2023.3143C12.3756%2023.5989%2011.6239%2023.5989%2010.9598%2023.3143L4.35982%2020.4857C3.38913%2020.0697%202.75977%2019.1153%202.75977%2018.0592V9.92184C2.75977%209.19282%203.35075%208.60184%204.07977%208.60184C4.25853%208.60184%204.43543%208.63815%204.59974%208.70857Z'%20fill='%23EA1718'/%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M12%209.24001C14.1912%209.24001%2015.96%207.47121%2015.96%205.28001C15.96%203.08881%2014.1912%201.32001%2012%201.32001C9.80884%201.32001%208.04004%203.08881%208.04004%205.28001C8.04004%207.47121%209.80884%209.24001%2012%209.24001Z'%20fill='%233340B1'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_26833_4934'%3e%3crect%20width='24'%20height='24'%20fill='white'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
Mest læste Digital- Her er, hvad der skete, da Mette Frederiksen skabte vild forargelse med udtalelse om børn, big tech og cigaretter
- I fremtiden hedder din sidemakker ChatGPT. Og det er kun de rigeste, der vinder på det
- Schaldemose: Det er bevidst manipulation at kalde EU-lov for chatkontrol. Det handler om at beskytte vores børn
- Forsker om politiets brug af omstridt software: "Det er fejlagtigt at tro, at Palantir ikke har adgang til data"
- International forsker advarer: Når mennesker ledes af maskiner, skader det demokratiet
