“Sikker mail” mellem myndighed og borger

 

 

 

billede af Mikael Hertig

Mikael Hertig

 

 

 


Sikker mail mellem myndighed og borger

Fortrolighed og identifikationskrav

Af Mikael Hertig *

* Cand. scient. pol.

Summary and conclusion

Virtually all emails in Denmark are sent encrypted. This also applies when a citizen sends mail to an authority, and the authority responds back to the citizen via his own mail – outside of the “e-boks”1. The fundamental difference between the e-boks solution and regular email is almost invariably that the identity of the citizen and the administration cannot be falsified, for example by spoofing. It is often portrayed in the public as if personal data security were to be threatened if one did not use e-boks.

This article discusses and reviews this topic. In a regulation, the EU has referred to a standard for email security. Neither the regular email nor Danish the e-boks solution ranks at the very highest level (LoA 4). There are various weaknesses with the e-boks solution and the regular mail. Both solutions are at a high level of safety (LoA 3), each with its own defects, which can more or less be remedied. The question is whether to go up to an expensive and cumbersome higher security at a point where the gain is theoretical.

The conclusion is that the common solution is sufficient if in practice the identity of the citizen cannot be called into question and it can be proved that the mail correspondence is encrypted, for example through TLS.

Resumé og konklusion

Stort set alle emails i Danmark sendes krypteret. Det gælder også, når en borger sender mail til en myndighed, og myndigheden svarer tilbage til borgeren via sin egen mail – uden om e-boks. Den principielle forskel på e-boks-løsningen og almindelig email er næsten undtagelsesløst, at borgerens og forvaltningens identitet ikke kan forfalskes, for eksempel via spoofing2. Det fremstilles ofte i offentligheden, som om persondatasikkerheden skulle være truet, hvis man ikke anvender e-boks.

Denne artikel diskuterer og gennemgår dette emne. EU har i en forordning henvist til en standard for email-sikkerhed. Hverken den almindelige email eller e-boks-løsningen rangerer på det allerhøjeste niveau (LoA 4). Der er forskellige svagheder ved e-boks-løsningen og den almindelige mail. Begge løsninger ligger på på et højt sikkerhedsniveau (LoA 3) med hver deres skavanker, som mere eller mindre kan afhjælpes. Spørgsmålet er, om man skal op på en dyr og besværlig højere sikkerhed på et punkt, hvor gevinsten er teoretisk.

Konklusionen er, at den almindelige løsning er tilstrækkelig, hvis vedkommende borgers identitet i praksis ikke kan drages i tvivl, og det kan godtgøres, at mailkorrespondancen er krypteret, fx gennem TLS.

Baggrund

De krav, der traditionelt stilles til sikker dataudveksling, gælder naturligvis også for udveksling af e-mail. Det kalder vi TIF: Tilgængelighed, Integritet, Fortrolighed.

  • Adgangssikkerhed, tilgængelighed. Det betyder, at de folk, der skal have informationen, også får den til rådighed, så de kan bruge den. Når talen er om almindelig informationssikkerhed, er det ikke tilfældigt, at borgeren modtager emailen, og omvendt, at forvaltningen kan modtage, hvad der sendes retur fra borgeren til myndigheden.

  • Integritet. Informationerne skal ikke forandres under transporten fra afsender til modtager. De skal være relevante og må kun anvendes i overensstemmelse med det formål, de er tiltænkt.

  • Fortrolighed. Informationerne må ikke komme uvedkommende i hænde.

Disse tre hensyn skal tilgodeses samtidigt i alle it-systemer og ved al udveksling af informationer. I enhver konkret sammenhæng skal det være muligt at tage stilling til, hvordan de varetages.

Nogle informationer skal offentliggøres for eksempel i form af nyheder. Men allerede ved betalingsordninger, netabonnement med kendt modtager etc. arbejdes der med at begrænse mængden af modtagere.

I almindelighed kan man sige, at det første hensyn alt for ofte opfattes som banalt. Men netop når man ønsker at varetage fortrolighedshensynet, kan det gå unødvendigt ud over tilgængeligheden, så de modtagere, der skulle have informationen, får besvær med at modtage den.

Mail-sikkerhed

Det åbne brevkort

Den simple email er en meddelelse fra en afsender til en modtager. Den simple form er en meddelelse, der sendes som et åbent brevkort.
Enhver, der håndterer brevkortet, kan læse det. Afsenderen må gå ud fra, at der ikke er behov for fortrolighed. Tværtimod kan hilsner og lignende nå modtageren, og det gør ikke noget, at andre også kan læse det. Der er ingen fortrolighed i åbne brevkort.

Email-systemerne var indtil for få år siden organiseret, så andre kunne læse indholdet undervejs fra afsender til modtager. Indholdet kunne opsnappes ved brug af it-tekniske kneb. Man må i nogle tilfælde regne med, at sådan opsnapning også har fundet sted, måske endda systematisk. Hverken afsender eller modtager kunne ved sådanne systemer kontrollere, om andre havde haft adgang til indholdet.

Det almindelige brev i en lukket kuvert

Forskellen på det almindelige brev og det åbne brevkort er, at hverken postbudet eller andre beboere på adressen hos modtager eller afsender kan læse indholdet, før konvolutten åbnes. Brevet er utilgængeligt fra det øjeblik, det er kommet i kuverten, til det åbnes af modtageren. Modtageren kan i princippet se, om brevet har været åbnet før modtagelsen eller ej.

Lukningen af brevet kan være forsynet med en forsegling, som skal udgøre en ekstra fortrolighedsgaranti. Brevhemmeligheden er grundlovssikret i papirverdenen.

Det anbefalede brev

 

 

Forskellen på det almindelige brev og det anbefalede brev er, at afsenderen får en garanti for, at en meddelelse om brevet når modtagerens postkasse. Men Højesteret har afsagt en kendelse, hvorefter det ikke kan anses – selv med et anbefalet brev og en meddelelse om, at et brev ligger til afhentning – som godtgjort, at det er læst.3 Fortrolighedshensynet er på samme niveau som for almindelige breve.

Anbefalet brev med afleveringsattest


Ved afleveringsattest forstås, at afsenderen efterfølgende får en kvittering, efter at modtageren har skrevet under på at have modtaget brevet. Anbefalet brev med afleveringsattest anses for sikker analog post.

Identifikation4, legitimation5 og autentifikation6

Skal man sikre sig, at modtageren er den rigtige, vil man i den analoge verden betragte et bestemt sted, nemlig vedkommende persons nuværende adresse og dermed postkasse som tilstrækkelig til, at brevet når rette vedkommende. Postkassen er forsynet med en lås, eller brevsprækken sørger som sidste transportkanal for, at brevet når vedkommendes bopæl. Dengang posten blev uddelt dagligt og kvaliteten var høj, indebar identifikation i almindelighed ikke noget væsentligt problem.

Ved legitimation, der betyder retfærdiggørelse i andre sammenhænge forstås, at man dokumenterer sin identitet, for eksempel ved fremvisning af pas eller kørekort. Det sker samtidigt ved et personligt fremmøde.

Men i tilfælde af, at noget var særlig fortroligt eller særlig følsomt, skulle der mere end almindelig identifikation til. I moderne it-sammenhæng kaldes det ’autentifikation’. Herved forstås stort set, at vedkommende legitimerer sig overfor et it-system.


Kryptering

Ved kryptering forstås her en række digitale teknikker, som bruges til at sikre it-kommunikation, herunder også og måske især email.

Kendskabet til de vigtigste teknikkers funktionsmåde er væsentlig for at kunne præcisere, hvad “sikker mail” i praksis betyder, og hvilke krav der kan stilles under bestemte betingelser for, om en mailkorrespondence kan anses for sikker eller ej.

Symmetrisk kryptering

Symmetrisk kryptering er den teknik, der i praksis bruges til at løse den centrale del af fortrolighedsopgaven. Udgangspunktet er, at indholdet af en datafil forvandles fra det forståelige, det synlige eller hørbare, dataprogrammet eller hvad filen nu indeholder, fra klartekst7 til komplet uforståelig kryptokode8. For at kunne ændre indholdet fra klartekst til kryptokode bruger man et krypteringsprogram. Programmet skal præcist kunne foretage både oversættelsen fra klartekst til kryptokode og tilbageforvandlingen fra kryptokode til klartekst. Programmet overholder specifikationerne i en algoritme9. Men der kræves også en krypteringsnøgle. Det er karakteristisk for symmetrisk kryptering, at det er den samme nøgle, der bruges til både kryptering og dekrypterting tilbage til klartekst. Når Datatilsynet og andre nævner “stærk kryptering”, indebærer det, at dekryptering kun skal kunne lade sig gøre med den rigtige krypteringsnøgle. Den mest anerkendte krypteringsalgoritme hedder AES10.

Når specifikationerne er præcise nok, opnås der en tilstand, hvor den, der dekrypterede datafil kan bruge sit program, mens afsenderen bruger et andet. Det kaldes ’interoperabilitet’.

Forestil dig et tilfælde, hvor afsender og modtager aftaler at bruge et fælles kodeord. Kodeordet indgår i dannelsen af den egentlige krypteringsnøgle, men er ikke krypteringsnøglen selv.

Så har du dermed den mest simple form for afsendelse og modtagelse af en datafil, og det fungerer fint nok.

Krypteringsprogrammer, du selv kan anvende, kan downloades for eksempel fra https://www.aescrypt.com/

Den symmetriske krypteringsnøgle i et simpelt krypteringssystem kaldes “den hemmelige nøgle”.

Nøgleudveksling

Lige så snart kryptering skal sættes i system, duer metoden med at man aftaler et kodeord til brug for en fælles symmetrisk krypteringsnøgle ikke. Mange forskellige kodeord kan man ikke huske, og al erfaring taler for, at der skal gøres noget for at sikre, at folk i almindelighed kan sende lukkede kuverter til hinanden.

Man bruger asymmetrisk kryptering som middel til at checke, om den person eller computer, man vil udveksle nøgler med, er den rigtige. Den mest kendte måde udføres ved hjælp af primtal. Det gælder for små som store primtal, at hvis man ganger ét primtal med et andet, får man et nyt tal, “faktoren”. Faktoren er kendetegnet ved, at du kun kan dele (dividere) faktoren med et tal (det ene af de to oprindelige primtal) uden at få en rest. Det er lige præcis den teknik eller mere avancerede udgaver af den, den asymmetriske kryptering gør brug af.


Forestil dig, vi har to personer, Anders og Birthe.

Anders får udleveret to primtal, 7 og 11. 7 kalder vi hans private nøgle, 11 hans offentlige nøgle.

Birthe får også udleveret to primtal, 17 og 19. 17 er Birthes private nøgle, 19 hendes offentlige nøgle.

Når Birthe vil sende en besked til Anders, slår hun hans offentliggjorte nøgle op: 11. Ved udvekslingen bruger hun sin egen private nøgle: Derfor skal 17 multipliceres (ganges) med 7: 17*11= 187. Anders kan nu dividere 187 med 11, men får kun det svar af programmet, at den er god nok, fordi der ingen rest er.
For en sikkerheds skyld sender han et check. Her bruger han sin private nøgle 7. Han slår Birthes offentlige nøgle, 19. 19 * 7 = 133. Igen kan han dele med sin private nøgle og få et resultat uden rest.

Den asymmetriske kryptering bygger helt fundamentalt på, at den private krypteringsnøgle alene kan kontrolleres af den pågældende person selv. Den kan lagres et sted, som vedkommende bærer i nærheden af sig og kan på en sikker beskyttet måde være indbygget i hans computer, telefon eller lignende.

Bemærk betegnelserne: “den private nøgle” og “den offentlige nøgle”. Selv om den private nøgle i et kryptosystem er meget vigtig og skal holdes hemmelig, er betegnelsen “den hemmelige nøgle” jo optaget af den symmetriske krypteringsnøgle.

Hashfunktion

Det er en egenskab ved en hvilken som helst datafil, at den er dannet af nuller og ettaller, som hænger sammen med et tegnsæt. Hver fil har så en tværsum. Det er et tal, der er en egenskab ved filen. Ændrer man noget som helst i datafilen, kommer der altid en ny talværdi ud af det. Også kryptokoden har en sådan digital tværsum. På den måde kan man se, om den fil, en modtager får fra en afsender, er ændret undervejs i processen. Hashfunktionen er en meget mere avanceret måde at gøre det samme på. Det gælder jo i sikkerheds-it, at en indbryder først kunne læse den oprindelige hashværdi, så indsætte nogle ændringer og fake den samme tværsum som den oprindelige til oplysning. Hash-algoritmer er mere ofte end andre blevet knækket. Skal man sikre sig ægtheden af en transmitteret datafil som for eksempel en email, bør der være en hashfunktion tilknyttet.

Tidsstempling11

Det er vigtigt, at hele forløbet fra Anders til Birthe og tilbage igen kan følges eller rekonstrueres tidsmæssigt. Hvis” manden i midten” bryder ind undervejs, bør det jo være det samme ur, begivenhederne stemples med. Det lyder ufatteligt enkelt, men er det bare ikke. Dels kan ure fakes, dels skal synkroniseringen være så nær det perfekte som muligt.

Derfor er der på internettet tidsstemplingstjenester til at varetage den opgave.

Autentifikation og den betroede tredjepart

Autentifikation handler om at fastslå en persons eller en juridisk persons identitet overfor et it-system. Måske har det forbigået nogens opmærksomhed, at det er blevet ret udbredt i forskellige sammenhænge, at man bruger en persons telefonnummer til entydigt at fastslå en persons identitet. Begrebet er neutralt. Derfor handler det om ambitionsniveau. Det nederste lag er, at vedkommende bare bruger sin almindelige email. I almindelighed vil “to-faktor-validering” kunne gøre det. Mailen til én computer, validering gennem sms. Hvis vedkommendes navn kan slås op i en telefonbog, er man langt ude over det banale.
Man skal her huske på, at samfund typisk bygger på tillid mere end på kontrol.
På den anden side kan der være sammenhænge, hvor man én gang for alle vil fastslå en persons identitet, for eksempel ved udstedelse af vigtige identifikationsdokumenter som pas og kørekort.

Begrebet “betroet tredjepart12” betyder her den virksomhed, der uden nogen anden interesse i sagen sammenstiller så mange identifikationstræk, at det efter et sagligt, forvaltningsmæssigt skøn med stor sandsynlighed kan fastslås, at den pågældende svarer til den person, papirerne vedrører.

Elektronisk underskrift

Ved brug af dankortet eller et visakort eller mastercard skriver du ikke under med kuglepen på papir, men du benytter dig af noget entydigt, du har på dig, og en pinkode eller kodeord, som du husker. Det er blevet så dagligdags, at man næsten har glemt det.

Fremgangsmåden er blevet hurtig og enkel, men den gør brug af kryptering på et højt niveau. Når du holder kortet hen over læseren ved kassekøen, giver du dit samtykke til betalingen. Er beløbet over en vis grænse, beder man dig om at afgive din pinkode til underskrift. Men allerede det nik, du giver ved at acceptere betalingen, gælder som bevis på accept.

Certifikat, Certifikatmyndighed (CA) og Certifikatpolitik (CP)

Ved et ’certifikat’ forstås et elektronisk dokument (en datafil), der indeholder brugerrettigheder, identifikation og kryptonøgler. Filen kan anvendes til autentificering, altså en procedure enten som betaling med kreditkort eller til bankbetaling med nemid.

Graden af sikkerhed var i den nu historiske Lov om Elektroniske signatur bl.a. bestemt af beskyttelsen af private krypteringsnøgler, som indehaveren af den private nøgle ved såkaldt avanceret digital signatur skulle have fuld kontrol over. Den danske OCES og Nem-id har aldrig kunnet leve op til lovens bestemmelse om avanceret elektronisk underskrift, fordi de private nøgler opbevares hos Nem-id/NETS.

Digital signatur

NEM-ID bygger på S/MIME13. Her er det den digitale underskrift, der er i fokus. Skriver du et brev, så kan du enten sende det med en digital signatur som en garanti for, at det kommer fra dig.

De fleste breve fra jobcentrene til e-boks kan være digitalt signerede automatisk, uden at brugeren kan se det. Når borger eller partsrepræsentant sender et vedhæftet brev, vil nogle fortsat underskrive brevet fysisk med kuglepen og så scanne det ind i underskrevet stand. Men i praksis er den digitale underskrift ved at være reduceret til en overflødig falbelade, bl.a. fordi myndighederne er holdt op med at underskrive breve.

Kritikken af S/MIME (se fodnoten) som teknisk mere problematisk end den mindre udbredte PGP/mime viser en art logisk dilemma. Det må antages, at de fleste S/MIME udførelser er indrettet med bagdøre af hensyn til at sikre uvedkommendes, for eksempel efterretningstjenesters adgang til at åbne mails uden borgerens medvirken.

PGP


Da PGP14 i sin tid blev introduceret, var det som Open Source. Det vil sige, at enhver kan skaffe sig adgang til det aktuelle programs kildekode for at sikre sig, at der ikke er skjulte bagdøre. Sådan forholder det sig fortsat.

Ophavsmanden, Frank Zimmermann, introducerede PGP under krigen i Balkan. Sikkerheden var om man så må sige bullet-proof, idet rapportere kunne sende emails ud af krigszonen og få deres artikler internationalt publiceret, uden at deres identitet blev afsløret. Ved formuleringen PGP = Pretty Good Privacy – forstod han noget, der kan bruges i praksis, “god nok”.

Skal man opsummere den principielle forskel mellem de to koncepter, bygger S/MIME på koncerners eller myndigheders behov for at kontrollere borgeres identitet, mens PGP bygger på den forudsætning, at identiteten sjældent er problemet, mens sikkerheden imod misbrug af uvedkommendes data er det. Vægten ligger mere på krypteringen af mails og vedhæftede filer selv, idet kravene til autentifikation kan overdrives.

Selv om hensynene til sikker autentificering og til privatlivsbeskyttelse ikke strider logisk direkte mod hinanden, kan det i praksis se om, som om de tilgængelige løsninger gør det.

PGP’s model bygger på, at man selv laver sit eget certifikat, sine egne credentials og installerer dem i sin adressebog. Udveksling sker så sammen med andre, der gør det samme. Det sker således uden nogen betroet tredjepart. Men Open Source miljøet kan også installere S/MIME certifikater fra en mere eller mindre betroet tredjepart i Mozillas mailsystem Thunderbird. Det er en smagssag, om certifikaterne er nødvendige eller ej. De er på den almindelige krypteringsside indhentet af SSL/TSL.til mail. Thunderbird findes vist ikke til Android, så kravet om at installere certifikat i sin mailklient kræver, at man bruger en mac eller pc til sikker mail i den forstand. Selve S/MIME certifikatet kan hentes her:

https://www.actalis.it/products/certificates-for-secure-electronic-mail.aspx

Gældende regler for mailsikkerhed


Nu gælder EU-forordning 910/2014. Forordningen er gældende ret i Danmark. Den støtter sig på en standard, ISO NT 10558.

Med hensyn til sikker autentifikation beskriver standarden fire niveauer. Med sådanne organers kendte forkærlighed for forkortelser kaldes niveauerne LoA (Level of assurance.)

1: Lav Ingen kryptering anvendes, blot et brugerangivet navn og ingen andre sikkerhedsforanstaltninger.

2: Medium Der anvendes nogle sikkerhedsmekanismer.

3: Høj grad af tillid til identiteten og sikkerheden

4: Meget høj grad af tillid.


Ligesom ved den tidligere lov eksplicit gjorde det til et krav, at kun indehaveren af ’credentials’15 har råderet over bevismidlerne, identiteten og dermed sin til sin private nøgle. Ved ’credentials’ forstås nærmest det samme som indholdet i et certifikat, det vil sige rettigheder og kryptonøgler. Da NemID-Nets opbevarer nøglen, vil nøglen kunne aktiveres uden borgerens medvirken, for eksempel hvis en domstol kræver nøglen udleveret. Det er en svaghed ved den danske løsning. Havde man – ligesom i andre lande – valgt en smartkort-løsning, kunne sikkerheden være højnet markant, fx til LoA 4.

Dermed må det vurderes, at sikkerheden i NEM-ID – e-boks ikke kan vurderes som meget høj LoA, selv om den såkaldte certifikatpolitik på de fleste andre områder har et højt sikkerhedsniveau.

 

 

 

Retlige krav til “sikker mail”

“§ 3. Den dataansvarlige myndighed skal træffe de fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger.” (Datatilsynets It-sikkerhedhedsvejledning af 2000)

Juridisk er der intet ændret ved, at det er et nødvendigt skøn under henvisning til teknikkens aktuelle stade, der afgør om noget er sikkert nok eller ikke. Den almindelige anbefaling er, at emailen fra a til b er ’krypteret’. Her tænkes på kvaliteten af den symmetriske krypteringsalgoritme. Da det ingen mening giver at bruge en usikker, og da de sikre krypteringsalgoritmer er tilgængelige, giver det ingen mening at bruge andet. Stort set al mail er krypteret med stærke krypteringsalgoritmer. Det sker, uden at nogen behøver at tænke over det.

Almindelig mail er krypteret i dag

Påstanden om, at almindelig email ligner forsendelser som åbne brevkort er falsk og forældet. Først med SSL, siden med TLS er sikker. . Danske Kommuner, der benytter Microsoft Exchange og Outlook, følger – hvis de kører på almindelige servere, TLS. I modsat fald er deres egen IT-sikkerhed ikke god nok, og så er det den, ikke borgeren, der er problemet.

På modtagersiden er der formentlig stadigvæk mailservere, der ikke lever op til TLS 2,1 eller højere. Men det kan testes pr. automatik.

Spørgsmålet om, hvorvidt en emailadresse, koblet til mailserver, enten i skyen eller på anden vis er sikker eller ej, er afhængigt af en aktuel teknisk vurdering i forhold til teknikkens aktuelle stade. Ud fra en generel sikkerhedsvurdering, bortset fra spørgsmålet om autentificering og identitet fastslået gennem en sikker tredjepart er løsningerne ens.

Der er ingen saglig risikovurdering, der aktuelt viser, at TLS i hovedsagen ikke skulle være tilstrækkeligt sikker til at udveksle data mellem en kommune og en modtager.

Juraen om e-post mellem myndighed og borger

Brugen af nem-id og e-boks er ret indarbejdet i daglig praksis. Mange er tilvænnet og ser den som en del af dagligdagen. Det kunne se ud, som om offentlige myndigheder altid kan kræve, at borgeren skal modtage al post via sin e-boks. Imidlertid er det ikke helt tilfældet.

At alle borgere med meget få undtagelser er tilsluttet e-boks indebærer ikke, at en offentlig forvaltning udelukkende skal bruge e-boks i sin kommunikation med alle borgere, idet loven ikke tvinger myndigheden til altid at bruge e-boks.

At e-boks er en nem løsning for forvaltningen, indebærer ikke altid, at løsningen i alle tilfælde er en nem løsning for borgeren16.

“§ 6. Fysiske personer og juridiske enheder, der er tilsluttet Digital Post, kan tillade, at andre kan læse meddelelser, der er sendt til eller fra vedkommende i postløsningen, medmindre dette er udelukket efter anden lovgivning. Tilladelse gives ved i postløsningen at angive, hvem der skal have læseadgang.

Stk. 2. Finansministeren kan fastsætte regler om, at fysiske personer kan give læseadgang på anden må‐de end anført i stk. 1. Erhvervs- og vækstministeren kan fastsætte regler om, at personer, der har erhvervsaktiviteter, og juridiske enheder kan give læseadgang på anden måde end anført i stk. 1.”

Et af argumenterne for udelukkende at ville bruge e-boks er, at e-boks skulle være “sikker”. Når “sikker” her sættes i citationstegn, skyldes det, at der hersker nogen uklarhed om, hvilke krav der er nødvendige, og hvilke der er er tilstrækkelige til at opfylde kravene til sikkerhed.

I praksis er snart sagt al e-mail i dag symmetrisk krypteret mellem afsender og modtager. Der anvendes kombinationer af symmetrisk kryptering, asymmetrisk kryptering, hashing og tidsstempling allerede når en person bruger fx gmail, yahoomail eller tilsvarende. Det skyldes, at IMAP / TLS anvender moderne kryptering fuldt ud.

Sønderborg Kommune har afvist at sende til en borgers personlige mail, fordi den “ikke er krypteret”- Det skyldes formentlig et administrativt it-system, der forveksler manglende synligt og personligt certifikat (S/MIME eller måske NEM-ID) med manglende kryptering. Begrundelsen er usaglig og forkert. Mailen er krypteret. Det er ikke krypteringskvaliteten, der måske er problemet. Det er identitetsikkerheden. På Digitaliseringsstyrelsens webside kan slå myndigheders certifikater op og installere dem i sin Outlook eller tilsvarende. Samtidig oplyser styrelsen urigtigt, at Yahoo, gmail og lignende ikke er krypteret. Hvad styrelsen måske mener er, at der ikke altid er tilknyttet et certifikat, der kan valideres17. Det er så heller ikke helt rigtigt18.

Identitetssikkerhed

Hvilke krav kan man stille til en borger for, at vedkommende nu også er den, hun eller han giver sig ud for at være? Tillidsforholdet mellem myndighed og borger – både skriftligt og mundtligt – bygger oftest på genkendelighed. Ved det fysiske fremmøde på jobcentret melder folk sig via deres sygesikringskort og bliver kaldt. Den lille formelle detalje – sygesikringskortet – bruges som garanti for, at det er den pågældende selv, der er mødt. Ondsindet spekulativt kan man jo forestille sig forfalskning på alle mulige niveauer. Hovedsagen er imidlertid, at der sjældent er nogen interesse i en sådan forfalskning.

Det handler om forholdet mellem kontrol og tillid. Forvaltningen skal sikre sig, at vedkommende har legitimeret sig tilstrækkeligt. Men i praksis er det næppe noget problem. Der findes næppe mange eksempler overhovedet på forfalskning af identitet ved personligt fremmøde. I den sammenhæng gælder, at når først folk har mødt hinanden én gang, så er man genkendt. Tilliden vinder over kontrollen.

Man kan måske i politisk sammenhæng diskutere, om kravene til identitetsvished er koblet til myndighedernes ønske om at kontrollere borgeren, altså en slags indbygget trend i retning af mere overvågning. Det er ikke centralt i sammenhængen her.

Risikoen ved email består i, at oplysninger kommer uvedkommende i hænde. Det er i den sammenhæng relevant at drøfte CA (certifikatudstedende myndighed), den betroede tredjepart og nødvendigheden af personligt fremmøde ved certifikatudstedelse. Da krypteringen som nævnt ellers er på det samme niveau, handler tvivlen alene om sikringen af identiteten.

Mere uformelt er alle de interessenter, der er ude efter på en eller anden måde at fastslå en persons identitet ude efter at sammenstille nogle få informationer: et netkort, valget af browser, sted, telefonnummer. De firmaer, der lever af at snage i personens egenskaber med henblik på markedsføring, kreditværdighed etc. kan identificere den samme person, som i sammenhængen her gøres til et vanskeligt problem på grund af en teoretisk mistanke.

Mens det er indlysende, at det offentlige ved indretningen af et digitalt mailsystem til sikker email er forholdsvis oplagt, at der skal en passende grad af identitetssikkerhed til for at inddække de mest oplagte risici for lækager, er det modsat ret oplagt, at hvis korrespondancen via TLS er sikret mod, at uvedkommende (bortset fra andre myndigheder?) kan få adgang, og hvis der i almindelig praksis ikke er nogen som helst tvivl om modtagerens identitet, så er det usagligt at afvise at bruge vedkommendes egen TLS-sikrede email-adresse.

Konklusion

En konklusion her må nødvendigvis være foreløbig. Men det må anses for helt klart, at når en kommune ureflekteret sender til sine byrådsmedlemmer uden brug af e-boks, så anser den naturligvis vedkommendes identitet for godtgjort. Den overvejer så heller ikke (og med rette), om der skal tages yderligere krypteringsskridt.
I det omfang, almindelig TLS-sikring af email som anskueliggjort her er god nok, er der taget behørigt hensyn til, at mailen ikke må kunne komme uvedkommende i hænde. Hvis det er det, der menes med sikkerhed, er almindelig email godt nok. Handler det om identifikation, ligner det overdrevet at forlange personlige certifikater, når en myndighed sender til en borger.

1“E-boks” is an official secure email correspondance solution granted by the Government. Read this (in Danish): https://www.e-boks.com/danmark/da/hvad-er-e-boks/

4Identifikation betyder i denne sammenhæng: at fastslå en persons identitet. (Hvem-bekræftelse). https://de.wikipedia.org/wiki/Identifizierung

8Kryptokode kaldes på engelsk ciphertext: https://en.wikipedia.org/wiki/Ciphertext

9Algoritme betyder bare en logisk beskrevet fremgangsmåde. Beskrivelsen af en krypteringsalgoritme skal være detaljeret beskrevet, for at den kan bruges.

16Som partsrepræsentant er det irriterende at få blandet personlig post sammen med post til ens klienter, fx Da jeg har mange klienter, mangedobles omfanget af min e-boks, og oplysninger om mine egne forhold til myndighederne. Det virker mod hensigten som tilspamning.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *