Hjemmeudviklet NemID-klient får syngende nej: Trues med ‘nødvendige juridiske tiltag’

En egenudviklet NemID-klient, der bruger Javascript, har fået et blankt afslag fra Nets, der truer udvikleren med juridiske tiltag og en mulig hackersag.

“Ok, det må jeg ikke”. Sådan skriver datalog og internetaktivist Christian Panton på sin hjemmeside efter han har fået et afslag fra Nets. Christian Panton udviklede nemlig en NemID-klient, der kørte på JavaScript, for at gøre NemID mere tilgængelig. Men det skal han holde sig langt fra, lyder svarer mellem linjerne fra Nets, der står bag NemID.

Med advarsler som “uautoriseret indtrængen i NemID's sikkerhedsinfrastruktur” og “nødvendige juridiske tiltag” advares Christian Panton fra at prøve sig med sin klient.

»Det er mega ærgerligt. Jeg kom med en løsning i hånden og sagde: “Lad os se om, vi ikke kan løse det problem, rigtigt mange danskere har med ikke at kunne få NemID til at virke med java og som samtidig udgør et kæmpe sikkerhedsproblem.”,« siger Christian Panton til Version2.

Over nogle lange vinternætter havde datalogen udviklet en NemID-klient ved hjælp af reverse engineering og gravet sig gennem den obfuskerede kode. Til sidst havde han en løsning klar, og testede den op mod en udgave af NemID, der lå på en af hans egne servere. Og det var heldigt, han ikke testede den op mod de rigtige NemID-servere, kan man læse af svaret fra Nets.

For havde han gjort det, var der nemlig ifølge Nets tale om en uautoriseret indtrængen i NemID's sikkerhedsinfrastruktur. Med andre ord: Christian Panton ville, ifølge Nets, have hacket en kritisk dansk infrastruktur.

Og han skal heller ikke gøre sig tanker om at dele koden eller endda viden om koden, lyder advarslen fra Nets - det vil nemlig bryde deres ophavsret og overtræde en række pantenter. Derfor vil Nets træffe de “nødvendige juridiske tiltag for at sikre, at disse rettigheder ikke krænkes,” som det lyder i mailen.

Men hvorfor overhovedet lave en JavaScript NemID-klient, når Nets er på vej med deres egen? Christian Panton spår lange udsigter til den JavaScript-løsning, Nets er på vej med, som efter planen skulle være klar i juli. Han havde derfor håbet, Nets havde været mere imøddekommende.

»Det er mange måneder endnu fra nu af og frem til at de første tjenester begynder at implementere løsningen, formentlig først omkring årsskiftet,« siger Christian Panton til Version2 og påpeger, at hans løsning ikke skulle være permanent:

»Min løsning er en slags polyfilla - en midlertidig løsning.«

Ud over at være datalog er Christian Panton internetaktivist i Bitbureauet. Klienten er derfor et udtryk for, at få alle med på den bølge, det offentlige Danmark har sat i gang med brugen af NemID.

»Vi er i høj grad afhængigt af NemID på alle platforme med digitaliseringsstrategien. Så det havde været rigtigt rart, hvis man kunne bruge det allerede nu.«

Vil ikke kæmpe mod Nets

Løsningen blev udviklet af Christian Panton selv, og som privatperson ønsker han ikke at tage kampen op mod Nets - en kamp, han betegner som én mand mod en romersk hær.

»Jeg gider ikke kæmpe med jurister, det er fuldstændigt pointeløst i denne her sag,« siger Christian Panton til Version2 og fortsætter:

»Jeg vil ikke sove dårligt om natten og risikere min families psykiske og fysiske velbefindende ved at der skal ske noget her. “Vi sagsøger dig langt ind i helvede” minder det lidt om.«

Overraskende bastant afslag

»Det er af almindelig høflighed, at jeg skrev en mail til dem. Der kunne jo være nogle store sikkerhedshuller i systemerne, som de blev gjort opmærksomme på med min løsning, som herefter skulle rettes. Derfor havde jeg håbet, at de havde anerkendt arbejdet,« siger Christian Panton til Version2 og fortsætter:

»De lægger ikke ud med at sige, at det er interessant, men i stedet med bål og brand. Det er ukonstruktivt.«

Vil ikke gå videre med sagen

Flere - blandt andet Version2’s læsere - har ønsket at Christian Panton deler koden, sin indsigt og værktøjer med offentligheden. Det har han dog ingen interesse i efter Nets reaktion. Derfor vil han heller ikke gå videre med sagen og for eksempel forhøre sig hos Digitaliseringsstyrelsen, der har det politiske ansvar for NemID.

Men hvis andre har lyst til at tage teten, vil han gerne hjælpe med, hvis det juridisk er muligt. Det vil dog kræve, at der er nogen, der kan sige god for, at han ikke kommer i juridiske problemer.

»Jeg gider ikke bruge mere energi på det nu. Hvis der er nogen, der gerne vil snakke lidt videre med Digitaliseringsstyrelsen om det, vil jeg gerne deltage. Jeg gider bare ikke kæmpe en kamp hvor jeg bliver mødt af en mur. Jeg møder den romerske hær for alvor nu.«

Læs uddrag af mailen her:

Med Christian Pantons tilladelse bringer Version2 her et uddrag af mailen, Nets har sendt til ham.

Nets ejer NemID, det vil bl.a. sige de IT-komponenter, som indgår i anvendelse af løsningen. Java Appletten, som benyttes i dag og den kommende JavaScript-løsning er en integreret del af NemID infrastrukturen. Som ejer af den samlede NemID løsning indestår Nets DanID for sikkerheden i hele løsningen. Løsningen er designet, udviklet og sikkerhedstestet som et "hele". Nets betragter brug af sådanne klienter som uautoriseret indtrængen i NemID's sikkerhedsinfrastruktur.

Såfremt der foretages reverse engineering af komponenterne i NemID med henblik på at kopiere eller offentliggøre viden om NemID (herunder anvendelse af samme protokoller, datastrukturer, sekvenser og lignende) vil dette være en krænkelse af Nets' ophavsret, ligesom det kan medføre overtrædelse af patenter hos 3. part.

Nets vil gøre de nødvendige juridiske tiltag for at sikre, at disse rettigheder ikke krænkes.

Version2 har kontaktet Nets for en kommentar