· About 4 minutes read

Rafræn skilríki

Ég er loksins orðinn handhafi stafrænna skilríkja.

Nei, þetta er rangt. Ég er búinn að vera með stafræn skilríki síðan 1998, PGP skilríki sem ég gaf út sjálfur og hvers áreiðanleiki byggist á undirskriftum vina minna og annarra sem hafa staðfest að ég sé ég. Þrátt fyrir að lög hafi heimilað notkun rafrænna skilríkja um þó nokkurt skeið hefur mér ítrekað verið hafnað þegar ég hef undirritað skjöl af ýmsu tagi með PGP skilríkjum mínum, án þess að ég hafi fengið nokkur skynsamleg svör við því af hverju það er ófullnægjandi. Það væri svosem efni í miklu lengri grein, en það nægir að segja að aðal umkvörtunarefnið hjá hinum ýmsu stofnunum virðist vera að PGP skilríkin mín eru ekki gefin út af íslenska ríkinu.

Orðum þetta öðruvísi.

Ég er loksins orðinn handhafi stafrænna skilríkja sem eru gefin út af íslenska ríkinu.

Nei, þetta er líka rangt. Þannig er að þau stafrænu skilríki sem ég fékk í hendurnar um daginn eru gefin út af mínum viðskiptabanka, en þau hafa þar til gert útgáfuskírteni sem er undirritað af Íslandsrót, sem er í umsjá Auðkennis. Auðkenni er sjálfstætt fyrirtæki í eigu bankanna og er með einhverja gildandi samninga við fjármálaráðuneytið, eðli hvers ég þekki ekki.

En þegar ég fékk mín stafrænu skilríki afhent um daginn afhenti starfsmaður bankans mér plagg til undirritunar. Hún sagði að plaggið væri samningur minn við íslenska ríkið um notkun skilríkjanna. Ég las plaggið að sjálfsögðu. Á því var ekki skjaldarmerki íslenska ríkisins, né heldur stóð á því nokkuð sem gaf til kynna að um væri að ræða samning við íslenska ríkið, heldur stóð efst í stórum stöfum: “Áskriftarsamningur einstaklings Fyrir [sic] rafræn skilríki gefin út undir milliskilríki Auðkennis”. Svo eru nefndir aðilarnir, Auðkenni ehf., kt. 521000-2790, og svo ég.

Ekkert var athugavert við samninginn sem slíkan, og ég undirritaði hann og allt í góðu með það, en ekki fyrr en ég var búinn að benda bankastarfsmanninum vinsamlega á að þetta væri ekki með nokkru móti samningur við íslenska ríkið, og það væri afvegaleiðandi og jafnvel ólöglegt að fullyrða slíkt við fólk. Hvernig eignarhaldi Auðkennis er háttað skiptir engu máli, vegna þess að hér er um að ræða einkahlutafélag sem er sjálfstæður lögaðili.

Allt heila málið með þessi rafrænu skilríki er ótrúlega flækt út í rugl og virðast margar grundvallarákvarðannir hafa verið teknar með viðskiptasjónarmið fyrir augum frekar en öryggis- eða hentugleikasjónarmið. Þríhyrningi Zookos hefur verið misþyrmt grimmilega. Ég skil vel að það er margt flenniflókið og erfitt við þetta, enda er margföldun tvegga stórra prímtalna atriði sem ótrúlega margir hafa fundið nýstarlegar leiðir til að gera að stórfenglega flóknu (og umfram allt dýru) máli, en það ætti í það allra minnsta að reyna að gera þetta þannig að það sé ekki verið að blekkja neinn.

Blekkingarnar eru tvær, eftir því sem ég sé:

  1. Að íslenska ríkið sé eini aðilinn sem getur gefið út skilríki svo þau séu örugg og áreiðanleg og ófalsanleg og þar fram eftir götunum, og
  2. Að íslenska ríkið sé að gefa út skilríki.

Horfum svo fram hjá því hversu klunnalegt það er að ætla sér að beita fyrir sér samningarétti til að tryggja öryggi stafrænna skírtena – það er “security by policy” í stað “security by design” – og alveg sama hversu góður eða slæmur samningurinn er munu ótal vitleysingar ógna öryggi kerfisins með því að geyma PIN númerið sitt í veskinu sínu og láta ræna því af sér.

Sem sagt… ég er loksins orðinn handhafi stafrænna skilríkja sem mér finnst ekki traustverðug eða trúverðug. Húrra, húrra.