Upplýsingaöryggi - InfoSec

Rafræn skilríki og öryggi snjallsíma

 Rafræn skilríki og öryggi snjallsíma

(Greinin birtist upphaflega 12.9.2014, en er hér í uppfærðri útgáfu með viðbótum og breytingum frá nóvember 2023.)

Einhvern veginn hefur það atvikast að ákveðið hefur verið að krefjast notkunar rafrænna skilríkja vegna leiðréttingar ríkisstjórnarinnar á verðtryggðum lánum heimilanna.  Mér finnst það svo sem ekki vitlaus hugmynd, enda kom ég að stofnun Auðkennis haustið 2000 sem ráðgjafi á undirbúningstíma og eftir að fyrirtækið var stofnað.

Kostir rafrænna skilríkja við auðkenningu eru miklir, en þau eiga sér líka takmarkanir.  Eins og öll önnur skilríki, þá er ekki öruggt að sá sem notar skilríkið sé sá sem hann segist vera.  Það eru bara meiri líkur á að svo sé en á við varðandi ýmsar aðrar aðferðir. Hafa skal þó í huga, að lítið mál er að taka yfir snjallsíma og þar með misnota þau forrit og búnað sem hann hefur að geyma.

Lög 28/2001 um rafrænar undirskriftir

Um rafrænar undirskriftir voru sett lög nr. 28/2001. Valgerður Sverrisdóttir, þá verandi viðskiptaráðherra, hafði forgöngu um setningu þeirra laga.  Í lögunum er í 2. gr. ýmsar skilgreiningar á hugtökum.  Eitt þeirra er hugtakið "fullgild rafræn undirskrift".  Það er skilgreint á eftirfarandi hátt:

Fullgild rafræn undirskrift: Útfærð rafræn undirskrift sem er studd fullgildu vottorði og gerð með öruggum undirskriftarbúnaði.

Til að undirskrift sé fullgild, þá verður hún að uppfylla tvö skilyrði.  Annað er að hún sé studd fullgildu vottorði og hitt að hún sé framkvæmd með öruggum undirskriftarbúnaði.

Í IV. kafla laganna er fjallað um öruggan undirskriftarbúnað.  Kröfur til hans eru nokkuð stífar, þ.e.:

Öruggur undirskriftarbúnaður skal tryggja að undirskriftargögnin

a. geti eingöngu komið einu sinni fram,

b. verði með hliðsjón af eðlilegum öryggiskröfum ekki brotin upp og

c. séu varin með fullnægjandi hætti gegn notkun annarra en undirritanda.

Eru snjallsímar öruggur undirskriftarbúnaður?

Nú er svo komið að fólk notar rafræn skilríki á SIM-kortum snjallsíma til að veita rafrænt samþykki sitt á ráðstöfun hárra fjárhæða.  Vissulega eru til aðrar aðferðir, s.s. Auðkennislykil.  Um þetta hef ég tvennt að segja:

1. Rafræn skilríki þar sem notaður er öruggur undirritunarbúnaður og öruggar undirritunaraðferðir eru besta aðferðin við auðkenningu, þar sem krafist er óhrekjanleika, rekjanleika, eins mikla fullvissu og hægt er að viðkomandi sé sá sem hann er án þess að viðkomandi sé viðstaddur í eigin persónu.  Notkun rafrænna skilríkja hefur því ótvíræða yfirburði fram yfir aðrar aðferðir, s.s. veflykil Ríkisskattstjóra og Íslykil, þegar notkunin er gerð með öruggum undirskriftarbúnaði.

2. Snjallsímar uppfylla einfaldlega ekki kröfur sem gerðar eru til öruggs undirskriftarbúnaðar.  A.m.k. ekki eins og velflestir snjallsímar eru uppsettir og hve auðvelt er að beita blekkingum til að komast yfir leynilegar sannvottunarupplýsingar (þ.e. PIN).  Sími er í eðli sínu galopið tæki, sem allir geta sett sig í samband við.  Munurinn á snjallsíma og gamaldagssíma, jafnvel gamaldags farsíma, er að á eldri gerð síma, þá gerðist lítið sem ekkert nema handhafi símatækisins aðhafðist eitthvað líka.  Svo er ekki með snjallsíma.  Snjallsímar eru tölvur með mikla virkni án vitundar handhafa símtækisins.  Í snjallsíma eru stöðugt í gangi smáforrit (apps) sem eru hreinlega að njósna um ferðir og athafnir þess sem ber símann, skoða innihald skráa sem geymdar eru á símanum og óteljandi aðra hluti, sem ég er ekki viss um að fólk kæri sig um að vita af.  Fæstir snjallsímar eru búnir dulkóðun, vírusvörn eða eldveggjum sem gera þá galopna fyrir hnýsni hvers sem dettur í hug að tengjast símanum í gegn um hnýsniforrit eða spilliforrit.  Vel þekkt er að alls konar aðferðir eru notaðar til að fylgjast með notkun farsíma og ferðum handhafa þeirra.  Þar á meðal fjöldi þeirra appa sem sett hafa verið inn á símana.

Snjallsímar vs tölvur

Mikill munur er á notkun rafrænna skilríkja á einmenningstölvu og snjallsíma.  Tölvan myndi í flestum tilfellum teljast öruggur undirskriftarbúnaður, meðan snjallsíminn uppfyllir þau skilyrði sjaldnast.  Vissulega eru til tölvur sem ekki eru öruggur undirskriftarbúnaður og á sama hátt eru til snjallsímar sem eru öruggur undirskriftarbúnaður.  Einn megin munurinn á tölvu, þó hún væri ekki öruggur undirskriftarbúnaður og snjallsíma sem slíkt á við, er að snjallsímann er stöðugt verið að skanna meðan það á ekki við um tölvuna.  Hver einasti farsímasendir á svæði, þar sem snjallsíminn fer um, skannar símann.  Hann skannar ekki innihald hans, en á í samskiptum við símann.  Þessu til viðbótar, þá eru margir símar með opið þráðlaust nettengi (wi-fi) eða Blue-tooth tengi.  Ekki þarf því mikið að gerast til þess, að óprúttnir aðilar geti dreift óværum til stórs hóps snjallsímanotenda. Þessu til viðbótar eru margar óværur þannig, að notandinn þarf ekki einu sinni að gera neitt til þess að óværan virkist (heitir á ensku Zero-click exploit). Um leið og óværan er móttekin, sem gerist yfirleitt sjálfkrafa, þá byrjar hún að vinna.

Þá kemur að öðrum mun á notkun rafrænna skilríkja í snjallsímum og tölvum.  Rafræna skilríkið er geymt á SIM-korti snjallsímans, en á korti sem sérstaklega er tengt við tölvuna fyrir notkun á henni.  Óværa á snjallsíma hefði því aðgang að skilríkinu (væri það tilgangur hennar) á meðan síminn er í notkun eða samskiptum þar sem skilríkjanna er þörf.  Hún gæti fylgst með notkun skilríkisins og þess vegna hermt eftir henni.  Rafræna skilríkið á tölvunni er líklega bara tengt í stutta stund í einu (miðað við að það sé á örgjörva greiðslukorts).  Eftir það er það tekið úr sambandi og því getur óværa á tölvunni ekki notað sér það.

Rafræn skilríki framtíðin

Svo ekkert fari á milli mála, þá tel ég rafræn skilríki framtíðaraðferð til þess að efla rafræna stjórnsýslu.  Kostir þeirra eru ótvíræðir fyrir þá sem vilja einfalda og auðvelda samskiptin.  Ég er líka sannfærður um, að í framtíðinni munu snjallsímar upp til hópa uppfylla kröfur til öruggs undirskriftarbúnaðar eða ætti ég að segja fyrir nema brotabrot af snjallsímaeigendum.  Sá tími er ekki kominn að mestu leyti vegna ferlisins sem fylgt er.    Það er nefnilega forsenda þess, að snjallsími sé öruggur undirskriftarbúnaður (og þar með sannvottunarbúnaður vegna aðgangs að alls konar vefþjónustu), að notandinn sé varinn fyrir óværum og svikurum sem sífellt eru að reyna að komast yfir þær upplýsingar sem þarf til að nýta traustþjónustu rafrænna skilríkja.

Þvinguð notkun

Flestir einstaklingar eru í þeirri aðstöðu, að vera nánast þvingaðir til notkunar á rafrænum skilríkjum. Þessari miklu aukningu í notkun rafrænna skilríkja hefur fylgt meiri ágengd svikara í að komast yfir sannvottunarupplýsingar, samhliða því að smávægilegar yfirsjónir handhafa rafrænu skilríkjanna geta leitt til þess að svikurunum tekst ætlunarverk sitt. Raunar þurfa notendur ekki einu sinni að gera neitt rangt. Óværa er send á síma eða tölvu viðkomandi sem safnar upplýsingum áslátt og þar með leynilegar sannvottunarupplýsingar (þ.e. PIN).

Traustþjónusta sem er ekki traust

Tilgangur rafræn skilríka er að auka traust, að svo dæmi sé tekið við innskráningu í vefbanka, þá sé öruggt að sá sem skráir sig inn sé nákvæmlega sá sem kerfið heldur að sé að skrá sig inn. Komið hefur í ljós, að þeim tilfellum fjölgar sífellt, þar sem svikari hefur komist yfir aðgangsupplýsingar og náð þannig stjórn á bankareikningum saklaus notanda. Svikarinn fer síðan sínu fram og tæmir reikninga viðkomandi eða misnotar greiðslukort. Notandinn stóð hins vegar allan tímann í þeirri trú, að hann væri varinn fyrir slíku með notkun traustþjónustunnar, sem átti að felast í rafrænum skilríkjum.

Allir verða að líta í eigin barm og skoða hvað þeir geta gert betur. Ábyrgðin liggur hins vegar hjá þeim aðila, sem þvingar notendur til að nota ferli, sem ekki er öruggt, til innskráningar og verndunar fjármuna sinna eða hvað það er annað sem er í húfi. Hann getur ekki falið sig bak við, að hvatt hafi verið til þess að notendur sýni varúð og geti varið sig fyrir öllum gildrum sem svikarar egna fyrir þá. Notandinn er ekki ábyrgur fyrir því að traustþjónustan virki eða að það sé svona auðvelt að rjúfa hana. Séu öryggislögin ekki nógu mörg, þá þarf að fjölga þeim eða styrkja þau sem þegar eru notuð. Þetta er alveg eins og með raunlægan aðgang að fjárhirslum banka. Enginn banki leyfir einhverjum að koma oft á dag og ganga frjálslega um fjárhirslur sínar án þess að breyta ferlum og efla öryggi. Þetta leyfa þeir hins vegar í rafheimum.