E-val i Norge

0 kommentarer
Norge planerar en pilot av ett elektroniskt röstningssystem över Internet för utvalda försökskommuner under 2011.

Utvärderingen av E-valg 2011 projektet ska ge Stortingen ett beslutsunderlag för om elektronisk röstning ska införas för hela norska nationen. Det finns en vision om att detta ska kunna ske till valet 2017.

Information på engelska:
http://www.regjeringen.no/en/dep/krd/kampanjer/election_portal/electronic-voting.html?id=437385

Information på bokmål (det finns även en länk till sidor på nynorsk för de som föredrar det):
http://www.regjeringen.no/nb/dep/krd/kampanjer/valg/elektroniskstemmegivning.html?id=437385

Det unika med detta projekt är att man har som ambition att medborgarna ska kunna rösta hemifrån från sina egna datorer.

Den stora utmaningen är hur man ska kunna garantera säkerhet, integritet och valhemlighet när medborgarnas datorer inte nödvändigtvis går att lita på. Några namnkunniga estninska kryptologer beskriver ett förslag till teknisk lösning för detta i följande rapport:
http://eprint.iacr.org/2010/195.pdf

Vad finns det för vision om e-val i Sverige?

/Lars J

Tvåfaktorsautentisering med vadå?

0 kommentarer
Hela marknaden och stora delar av världen verkar vant sig vid tanken att användarnamn och lösenord inte räcker för att säkerställa identitet när en användare skall ges tillgång till resurser. Den accepterade lösningen är någon form av tvåfaktorautentisering (ska inte tråka ut er med ”något som man har…” osv) med hjälp av en autenticeringstoken. Men det finns en uppsjö av dessa tokens, vilken tror ni på?

Engångslösenord har länge varit populärt. Finns massor med varianter från skraplottsliknande saker, tidsbaserade dosor som spottar ur sig nya lösenord efter några sekunder, saker som ser ut som räknedosor, små applikationer för telefonen, displayer på kreditkortet… osv. Alla dessa fina saker är jättebra och vissa kanske tom gör att det blir ”säkert” – men det är bökigt att läsa av siffror från en liten pryl och skriva in dem i ett lösenordsfält -det gör inte att mamma (iaf inte min) vill använda datorn mer…

Finns en massa fina saker som man kopplar ihop med sin dator och därmed kan identifiera sig, jag tänker på olika USB-donglar tex. Här finns det otrolig potential att göra något både ”säkert” och kanske tom användarvänligt tycker jag. Finns tex firmor som gör små plastiga (= billiga = bra!) USB-nycklar som man trycker in i datorn, så att datorn tror att den har fått ett nytt tangentbord, detta tangentbord spottar ur sig långa och bra lösenord när det behövs. Jag har gillat tanken sedan jag först hörde talas om den (tror det var i ett patent från ett franskt stort bolag).

Så finns det naturligtvis smarta kort. Stöd för smarta kort är integrerat i de flesta OS och fler och fler tillverkare har inbyggda smartkortläsare i datorerna. Hur står sig då smarta kort mot USB-donglar? Det finns USB-donglar som är smarta kort och därför kan ge samma höga säkerhet och stora utbud av applikationer. Med en sådan USB-dongel får man ett smart kort, men behöver inte bry sig om smartkortläsare –en stor fördel. Är slaget således vunnet för USB-donglarna?

Idag används de smarta korten även som ID-handlingar för visuell identifiering. Det är svårt att sätta bild, namn, logos, säkerhetstryck… på en liten pryl som ser ut som ett USB-minne (finns någon firma som försöker, men jag vet inte hur framgångsrika de är). Man använder smarta kort för fysisk access mha RFID, det är det inte vanligt att USB-donglarna kan göra. De smarta korten kan också användas för traditionella applikationer som använder magnetremsa eller till och med embossed ID nummer. Förvaring av sin autenticeringstoken är också något att tänka på. USB-dongeln passar nog bäst på nyckelknippan, medan smarta kortet kan vara i plånboken, korthållaren eller i visitkortshållaren.

Jag tror att smarta kort är den lösning som passar de flesta bäst, mycket beroende på att formfaktorn är bra och passar till ändamålet -vi är vana vid att identifiera oss med en platt plastbit. Vad tror ni?

/Joakim Thorén

Två Omegapointare skall presentera på OWASP AppSec Research 2010

0 kommentarer
Två Omegapointare skall presentera på OWASP AppSec Research 2010 den 23-24 juni.

Michael Boman skall prata om "The State of SSL in the World" den 23 juni 11:55-12:30.

Dan Bergh Johnsson skall prata om "Value Objects a la Doman-Driven Security: A Design Mindset to Avoid SQL Injection and Cross-Site Scripting Vulnerabilities" den 23 juni 15:30-16:05.

Anmäl dig till sommarens OWASP AppSec 2010-konferens nu om du inte redan har gjort det.