Teknologien bag NemID

NemID baserer sig på en teknologi kaldet Public Key Infrastructure.

Public Key Infrastructure (PKI) 

NemID baserer sig på en teknologi kaldet Public Key Infrastructure (PKI). Det er en teknologi, der er baseret på række sikkerhedsprocedurer og -politikker. Dette indebærer, at brugeren får udstedt en digital signatur, der består af en privat nøgle og et certifikat med en offentlig nøgle.

Borgere og myndigheder har brug for at kunne kommunikere nemt og sikkert med hinanden – fx udveksle personfølsomme oplysninger. Public Key Infrastructure gør det muligt for to parter at identificere sig entydigt over for hinanden, hvor begge parter har sikkerhed for: 

  • at den anden part er entydigt identificeret
  • at meddelelsen kommer fra den, der påstår at have sendt den
  • at meddelelsen ikke er blevet ændret, siden den blev sendt
  • at ingen uvedkommende har kunnet læse den.

En sikker kommunikation kan opnås ved brug af NemID, der er baseret på PKI infrastrukturen, der består af følgende elementer: 

  • Program til kryptering og digital signering, der sikrer uproblematisk anvendelse af krypterings- og signeringsnøgler.
  • Certifikater til identificering af indehaveren, og som rummer den offentlige nøgle.
  • Et certificeringscenter der udsteder og fornyer certifikaterne, og fx sørger for at spærre certifikater.
  • Procedurer eller faciliteter til sikker generering og opbevaring af den private nøgle.

Brugerens private nøgle

I PKI er det et afgørende element, at brugeren er den eneste, der har kontrol over den private nøgle. I NemID er brugerens private nøgle opbevaret på en central signaturserver, der driftes og vedligeholdes af Nets DanID A/S. Generering og anvendelse af den private nøgle kan kun foregå i specielle sikrede kryptografiske hardwaremoduler under brugerens fulde kontrol. Brugerens private nøgle forefindes på intet tidspunkt uden kryptering og kan ikke anvendes uden for det særligt sikrede kryptografiske hardwaremodul.

Brugerens tilgang til den centralt opbevarede private nøgle sikres med en såkaldt to-faktor autentifikationsløsning, hvor adgang til anvendelsen af den private nøgle vil være beskyttet af en personlig adgangskode (noget man ved) og en kode fra et nøglekort med engangskoder (noget man har). Brugerne skal i praksis angive et bruger-id, en personlig adgangskode og en engangskode fra det personlige nøglekort, hver gang signaturen anvendes.

Den private nøgle kan ikke anvendes i hardwaremodulet uden anvendelse af data dannet på baggrund af brugerens personlige adgangskode. Nets DanID har på intet tidspunkt brugerens personlige adgangskode.

Nøglekortet indeholder 148 fortrykte engangskoder, og af sikkerhedsmæssige årsager kan hver engangskode kun anvendes én gang.

Tilgangen til brugerens private nøgle er baseret på en sikker protokol, der har været gennemgået af førende internationale sikkerhedseksperter.