Birt á Moggablogginu 28.11.2007 - Efnisflokkur: Tölvur og tækni
Þau eru loksins að verða að veruleika rafrænu skilríkin fyrir almenning. Rúm 7 ár eru síðan að vinna við þetta verkefni fór í alvöru af stað. Þá var farið af stað með hugmynd sem gekk út á samstarf hins opinbera og bankanna. Fyrirtækið Auðkenni var stofnað í október eða nóvember 2000. Haldin var ráðstefna um málið á vordögum 2001 og lög samþykkt á Alþingi. Grunnurinn var lagður að kerfi sem auðveldlega hefði verið hægt að hrinda í framkvæmd haustið 2001. Þá gerðist það, að ríkið ákvað vera ekki með. Áhuginn dvínaði og Auðkenni missti frá sér þá tvo menn sem höfðu dregið vagninn. Það var synd.
Ég og Þorsteinn Þorbergsson (sem þá var hjá Búnaðarbankanum, en er nú hjá Landsbankanum) fengum það verkefni að koma þessu verkefni á koppinn. Mitt verk var að skanna markaðinn, kynna mér regluverkið og öryggismálin og vera síðan ráðgjafi við verkið. Hlutverk Þorsteins var að vera fulltrúi bankanna í verkinu og sjá til þess að hlutirnir hreyfðust. Innan nokkurra vikna vorum við staddir í Barcelona og komnir í samband við helstu frumkvöðla Evrópu á þessu sviði. Þar var líka með okkur fyrsti framkvæmdarstjóri Auðkennis, Guðlaugur Sigurgeirsson, sem komið hafði frá Ratsjárstofnun. Það var litlu til sparað, þar sem verkið átti að ganga hratt og vel fyrir sig. Næst bættist í hópinn Birgir Már Ragnarsson, lögfræðingur, og var hópurinn orðinn virkilega flottur. Ég sá fyrir mér að þarna væri framtíðarstarfið mitt komið, þegar fyrirtækinu væri búið að vaxa fiskur um hrygg. Önnur ferð var farin og í henni fengum við að fara inn í herbergi, sem teljast verður eitt það mikilvægasta fyrir rafræn viðskipti í heiminum. Ég sagði eitt, þar sem þau eru líklega þrjú í það heila í heiminum rýmin, þar sem rótarbúnaður vegna rafrænna skírteina er geymdur.
Hugmyndin sem farið var af stað með haustið 2000, var að útvíkka finnska módelið og gefa út kort sem bæði gæti virkað sem rafrænt skilríki fyrir opinbera þjónustu og notað fyrir aðgang og auðkenningu í bankaviðskiptum. Munurinn átti þó að vera sá, að í Finnlandi sækir notandinn kortið til lögreglunnar, en hér á landi áttu bankarnir að sjá um dreifinguna.
Því miður varð ekkert úr þessu þá, þar sem ríkið ákvað að fara í samstarf við Skýrr. Í stað rafrænna skilríkja á örgjörva var farin sú leið að gefa út stafræn skilríki fyrir rafræn samskipti og til að votta vefþjóna. Umfang útgáfunnar var ekki nóg til að halda úti metnaðarfullri starfsemi og því endaði Auðkenni eiginlega ofan í skúffu hjá fyrirtækinu Fjölgreiðslumiðlun (FGM). FGM er ekki beint þekkt fyrirtæki, en það sér um svo kallaða RÁS-þjónustu fyrir greiðslukortaviðskipti.
Það var alveg ljóst, að rafræn skilríki/auðkenni þyrftu að koma á einhverjum tímapunkti og því bara tímaspursmál hvenær Auðkenni risi endurskapað upp úr öskunni, eins og fuglinn Fönix forðum. Það gerðist svo á síðasta ári með tilkomu auðkennislykla vegna vefbankaaðgangs. Staðan var ósköp einföld. Vefbönkum stóð ógn af tölvuþrjótum sem farnir voru að veiða notendakenni og aðgangsorð með hjálp trójuforrita og leynirása. Litlum forritsbútum var smyglað með tölvupósti inn á tölvur notenda og þegar notendur slógu inn notendakenni og aðgangsorð sáu forritsbútarnir um að senda upplýsingarnar til eigenda sinna. Það þurfti því bara einfalda kostnaðargreiningu til að ákvarða hvort og þá hvenær tímabært væri að taka upp auðkennislykla.
En draumurinn var að nota stafræn skilríki (digital certificate) og það var ekki gert nema að nota örgjörvakort. Núverandi auðkennislyklar gera raunar ekkert annað en að framkalla talnaröð út frá tilteknu sæði sem er hugsanlega það sama fyrir alla lykla. Þó það sé ekki hlaupið að því, þá er bara tímaspursmál hvenær einhverjum tekst að brjóta upp algrímið sem er notað. Örgjörvakortin eru því næsta skref í þróuninni. Þau byggja á tveggja laga auðkenningu/sannprófun, þ.e. með einhverju sem notandinn hefur (kortinu) og einhverju sem notandinn veit (lykiltölu/aðgangsorði). Þetta er raunar sama og auðkennislykillinn, en nú er auðkenningin ekki einstefnuauðkenning, heldur er hægt að nota tvístefnuauðkenningu þar sem innskráningartölvan og kortið geta skipst á upplýsingum og örgjörvinn á kortinu getur sannprófað tætisummu þeirra upplýsinga sem berast frá innskráningartölvunni áður en hann sendir auðkenningargögn til tölvunnar. Auk þess getur kortið sent frá sér tætisummur sem innskráningartölvan sannreynir. Það verður því mun erfiðara að brjótast inn í þetta öryggisferli og komast á óheimilan hátt inn á bankareikninga. Vissulega er notað aðgangsorð eða lykiltala, en hægt er að stilla kortin þannig, að með því að slá inn tiltekna ranga lykiltölu, þá læsist kortið og verður ónothæft. Einnig er hægt að stilla kortin þannig, að aðgangur að t.d. vefbönkum sé eingöngu heimill frá ákveðinni tölvu nema viðbótarlykilnúmer sé notað líka. Þar sem það númer er annað hvort notað sjaldan eða er síbreytilegt (t.d. sent í GSM síma eða fengið af auðkennislykli), þá er dregið verulega úr líkum á óheimilum aðgangi. Næsta skref er þriggja laga auðkenningu/sannprófun, sem byggir þá á einhverju sem notandinn hefur (kortinu), einhverju sem hann veit (aðgangsorði eða lykiltölu) og einhverju sem hann er, þ.e. lífkenni (t.d. fingrafari). Þegar er hægt að fá kort sem nema fingraför og hafa þau verið á markaðinum í a.m.k. 7 ár.
Ég spáði því í mars (sjá blogg mitt frá 1. mars Rafrænar kosningar í Eistlandi) að boðið verði upp á rafræn kosningakerfi við sveitarstjórnarkosningarnar árið 2010. Nú er bara að sjá hvort það rætist.