- Etter at anbudet ble lyst har vi stått på hodet, sier kommunikasjonssjef Hege Steinsland hos BankID.
Med utsikter til flere nettbaserte tjenester på nivå 4, det vil si med sensitive data, har Difi sett behov for flere leverandører av elektroniske pålogging til offentlige tjenester gjennem Id-porten.
Mer om anbudet: Flere vil slåss om ny eID
Ny sjanse
Nå øyner BankID en ny sjanse for at den velkjente kodebrikken skal kunne brukes til å logge inn på offentlige tjenester på nett.
BankID er den mest utbredte påloggingsløsningen for pålogging til digitale tjenester, med 2,7 millioner brukere og nærmere 290 millioner transaksjoner i 2011.
I hovedsak er det landets banker som bruker løsningen, og folk flest er dermed vant til denne metoden.
Manglet kryptering
I forrige anbudsrunde for to år siden nådde de ikke opp fordi BankID manglet mulighet for kryptert meldingstjeneste.
Les mer: BankID skviset ut av eID
Samtidig kom det hard kritikk kritikk fra krypteringseksperter om selve konstruksjonen av BankID.
PKI
Kjernen lå i begrepet Public Key Infrastructure (PKI), nøkkelen til kryptering av påloggingsinformasjonen.
Buypass' påloggingskort, det såkalte tippekortet, har denne nøkkelen lagret i kortet, mens BankID benytter sentrallagrede nøkler.
Det vil si at de lagres hos en betrodd tredjepart. I prakais betyr det hos Nets, tidligere kalt Bankenes betalingssentral.
Utro tjenere
Dette åpnet for at utro tjenere kunne få adgang til kundedata, også kalt man-in-the-middle-problem.
Nå røper produktsjef Nils Inge Brurberg at BankID vurderte å kopiere Buypass-løsningen for å få innpass hos staten.
- Vi kjørte et prosjekt for å se på en smartkort-løsning, slik som Buypass har. Her kom vi frem til at det ville være veldig krevende å utstede nye kort til tre millioner kunder, sier Brurberg til Teknisk Ukeblad.
Fikset
Han legger ikke skjul på at problemstillingen med man-in-the-middle var reell, men at den nå er fikset.
- Dette er løst ved å sørge for sikker tunnel, SSL, mellom BankID-brukeren og brukerstedet. I tillegg er det lagt inn noen kontroller som sikrer at SSL-sesjonen terminerer hos det ekte BankID-brukerstedet. På oppdrag for Post- og Teletilsynet gjorde Norconsult en gjennomgang av sikkerheten i BankID i 2010. Her ble også disse tiltakene mot mann-i-midten gransket, og de konkluderte med at vi er godt beskyttet, sier produktsjefen.
Krypteringen ikke klar
- Hva gjør dere med Difis krav om meldingskryptering?
- Vi har ennå ingen slik løsning, men har meldt fra at den vil bli utviklet i tide. Slik kryptering kommer ikke til å bli tatt i bruk før andre kvartal i 2014, svarer Brurberg.
Skreddersøm
I utlysningsteksten skriver Difi at eID-løsningen som velges "bør allerede ha en utbredelse i befolkningen".
Hos BankID er man varsom med å antyde at anbudet er skreddersydd for dem.
- Anbudet er veldig likt forrige gang. Ser vi på krypteringen, settes de samme kravene nå. Og nå har jo vi lært av forrige runde og tilpasset løsningen, kommenterer Brurberg.
For alle
- Dreier det seg om skreddersøm, Difi-direktør Hans Chr. Holte?
- Difi ønsker alle tilbydere av e-ID på høyeste sikkerhetsnivå velkommen til å delta i konkurransen, også BankID. Men det er viktig å være klar over at konkurransen retter seg mot markedet i hele EØS, slik at alle leverandører i dette markedet kan søke om å få delta i konkurransen. Vi kan selvsagt ikke på forhånd bestemme oss for hvem vi vil inngå kontrakt med, svarer Difi-sjefen.
Les andre IT-nyheter:
Nå er Silicon Alley hetere enn Silicon Valley
