Selger. Ola Lømo (t.h.) og Frode Ervik Pettersen i Simultan prøver å selge inn sin krypteringsteknologi til staten. (Bilde: Espen Zachariassen)
Selger. Ola Lømo (t.v.) og Frode Ervik Pettersen i Simultan prøver å selge inn sin krypteringsteknologi til staten. (Bilde: Espen Zachariassen)
Ola Lømo, Simultan. (Bilde: Espen Zachariassen)

Minibedrift kan stoppe tvil om sikkerhet

  • IT

Samtrafikknavet

  • Staten jobber med en felles plattform for eID (elektronisk identitet), det såkalte samtrafikknavet.
  • Her skal publikum kunne logge seg på offentlige tjenester på internett uavhengig av hvilken tilbyder man velger, som BankID eller Buypass.
  • Professor Kjell Jørgen Hole, UiB, og kryptolog Kristian Gjøsteen, NTNU, mener den grunnleggende teknologien ikke er sikker nok så lenge de digitale nøklene lagres sentralt og ikke hos den enkelte kunde.
  • BankID er blant de mest utbredte løsningene for formidling av kryptert informasjon og kan bli en av deltakerne i samtrafikknavet.

Det lille IT-selskapet Simultan på Elverum kan ha løsningen på spørsmålet om statlige og kommersielle påloggingsløsninger til offentlige tjenester på internett kan beskytte sensitive personopplysninger godt nok.

Bedriften er ikke alene om å friste Direktoratet for forvaltning og IKT (Difi) med sine løsninger.

Plattform

Potensielle leverandører strømmer til Difi for å presentere sine teknologier.

Årsaken er at direktoratet har fått i oppdrag av Fornyingsdepartementet å etablere Samtrafikknavet, som skal bli en felles plattform for pålogging til offentlige tjenester på nettet.





Anbud

– Vi har kontakt med en rekke kommersielle aktører i disse dager. Det er i første rekke leverandører av teknologi og eID-løsninger, sier prosjektleder Tor Alvik.

Navet skal være en løsning eid av det offentlige og anskaffes etter vanlige regler for offentlige anskaffelser.

Blant dem er Buypass og BankID, de mest utbredte løsningene. Eksperter har sådd tvil om sikkerheten ved BankID, fordi en del av krypteringen foregår i brukernes nettleser og dermed ikke kan kontrolleres skikkelig.

Og fagfolk mener BankID kan hackes av utro tjenere fordi kodenøkler lagres sentralt og ikke ute hos den enkelte bruker.





Kraftig kryptering

Det er disse utfordringene Simultan mener å sitte med løsningen på. I bunnen ligger en databaseteknologi med automatisk håndtering av krypteringsnøkler. Krypteringen er kraftigere enn dagens standard. I praksis handler det om krypteringsnøkler på opp til 4096 biter.

Dette krever normalt langt kraftigere maskiner enn vanlige pc-er, men fungerer ved hjelp av programvare som optimaliserer prosessoren. I tillegg foregår krypteringen på grunnivå med egenutviklet programvare. Med andre ord foregår ingen koding i nettleseren, slik at hele prosessen kan kontrolleres.

– Vi mener at vår norske krypteringsteknologi kan ligge i bunnen av Samtrafikknavet, slik at alle eID-leverandører, som BankID og Buypass, kan bygge sine applikasjoner på denne. Fordelen er at den er bygget på grunnleggende programmering uavhengig av annen programvare. Derfor er det mulig å kvalitetssjekke den grundig helt fra bunnen av, sier Ola Lømo, utvikler og gründer av Simultan.

Han har tidligere laget blant annet kommunikasjonsløsninger mot BBS, benyttet av 800 bedriftskunder, blant dem Statoil-stasjonene.





Intet svar

– Og vår løsning baserer seg på at kodenøklene befinner seg hos brukerne, på den enkeltes pc eller på en sikret minnepinne. Ikke i et sentralt lager, som ekspertene har kritisert. Da unngår man faren for utro tjenere som får tilgang til sensitive personopplysninger, sier partner Frode Ervik Pettersen hos Simultan.

Difi er tilbakeholden med å karakterisere forslaget fra Simultan.

– Jeg har hatt et møte med selskapet, og fått presentert deres løsninger. Teknologiske valg i samtrafikknavet vil bli avklart i løpet av høsten og det er for tidlig å si noe om hvilke valg som vil bli gjort, sier prosjektleder Tor Alvik hos Difi.