Bankid oppgraderer sikkerheten
Byttet krypteringsalgoritme, men operatørene forsinker ny mobilløsning.
Bankid, utviklet i samarbeid mellom Finansnæringens Hovedorganisasjon og Sparebankforeningen, tilbys av en rekke banker i Norge og benyttes nå av over 2,5 millioner nordmenn.
Nå har PKI-løsningen økt sikkerhetsnivået, sannsynligvis uten at noen brukere har merket overgangen.
Bedre kryptering
Hittil har Bankid benyttet 1024 bits SHA1-kryptering på autentisering og 2048 bits SHA1 på signering. Etter oppgraderingen er det nå 2048 bit SHA256 som gjelder for autentisering og 4096 bit SHA256 for signering.
- Vi har i det stille byttet algoritmen og økt lengden. Ifølge amerikanske sikkerhetsmyndigheter står 1024 SHA-algoritmen for fall i 2011. Enhver kryptoalgoritme vil bli knekket før eller siden, men samtidig kan man ikke bytte for tidlig fordi de nye algoritmene er krevende i bruk. Jeg tror vi er veldig tidlig ute i verden med å oppgradere, sier Frode B. Nilsen, drifts- og utviklingssjef i Bankid.
Nilsen understreker at byttet ikke har bakgrunn i noen konkrete hendelser. Det har heller ikke vært noen dans på roser å oppgradere.
- Leverandørene har ikke hatt produkter for disse hashene, derfor har de måttet utvikle ut fra våre krav, og vi har ikke kunnet jobbe videre før de hadde utviklet ferdig, forklarer Nilsen.
Sim-brems
Også for mobilløsningene til Bankid er nye algoritmer på vei. Bankid har flyttet en rekke signaturer, men er ikke klare ennå. Først må Telenor bytte til sim-kort som støtter lengre nøkler. På mobiltelefon lagres nemlig nøkkelen på sim-kortet, og låses opp via en pin-kode du setter i nettbanken når du bestiller mobilbank.
Det er faktisk bare Telenor som støtter Bankid mobilbank per idag. Igjen beror det på sim-kort– det er gratis for operatørene å tilby nettbank som sådan, men de andre operatørenes sim-kort støtter ikke nøkkellagringen og da er man like langt. Onecall skal dog være «i samtaler» med Bankid.
Nilsen påpeker at det er forskjell på sikkerheten for autentisering og sikkerheten for signering, hvorav sistnevnte må være mer sikker.
- Det er stort sett autentisering som skjer på mobil, så vi har tid på oss, sier Nilsen.
Med de nye nøklene på plass skal det bli svært vanskelig å kompromittere sikkerheten, i så fall må det heftig datakraft til. De eneste som i teorien kan knekke nøkkelen er forsvarsindustrien, mener Nilsen.
Professor og sikkerhetsekspert Kjell Jørgen Hole har hacket Bankid to ganger. Han tror ikke et angrep på Bankid vil komme ved at noen knekker de nye nøklene. Les videre på neste side!
