Danske it-forskere fra Aarhus Universitet har udviklet en helt ny digital signatur, som benytter mobil-telefonen sammen med pc'en til at skabe en signatur, der er langt sværere at misbruge, end den nuværende.

Den digitale signatur kan bruges på en vilkårlig pc og forhindrer hackere i at tiltuske sig en anden persons digitale identitet og eksempelvis tømme offerets netbank eller for den sags skyld at fodre myndighederne med falske oplysninger om personen via nettet.

»Hackeren vil aldrig kunne stjæle nøglen via pc'en,« fortæller professor Ivan Damgaard fra Datalogisk Institut på Aarhus Universitet om den nye løsning, som han har ledet udviklingen af.

Nøglen saves over

Den digitale signatur, som vi får tildelt i dag, skal lægges ind på brugerens hjemme-pc. Problemet er, at den meget let kan stjæles, fordi det hele ligger samlet på pc'en.

Det princip bryder den nye løsning fundamentalt med. Det danske forskerteam har nemlig 'savet' nøglen til signaturen over i to dele, hvoraf den ene del ligger på en central server, mens den anden er lagt ind på brugerens mobil. Hver halvdel er intet værd i sig selv, men hvis de begge er tilgængelige, kan man lave underskrifter via en vilkårlig pc.

Har man eksempelvis brug for at underskrive et digitalt dokument, sender pc'en en besked til mobilen, såvel som til serveren, om at levere hver sit bidrag til signaturen.

Serveren afleverer hvis brugeren er logget ind, men mobilen leverer først sin halvdel i det øjeblik brugeren, har accepteret det. Først når pc'en har modtaget begge bidrag, kan den samle delene til én helt almindelig signatur.

Danske it-forskere har netop skabt en digital signatur, der kan gøre det betydeligt mere sikkert at overføre penge eller videregive personlige oplysninger via internettet. (Foto: Colourbox)

»I forhold til de eksisterende løsninger har vores digitale signatur den klare fordel, at den ikke er bundet til en bestemt pc. På pc'en ligger der ikke noget, der kan stjæles, så i princippet kan du bruge en vilkårlig pc til at underskrive med. Og selv om din pc er korrupt, så er det værste en hacker kan gøre at forhindre, at du underskriver dokumentet,« forklarer Ivan Damgaard.

Mobilen afslører hackerangreb

Den nye teknologi gør det umuligt at lave de frygtede 'man in the browser'-angreb, hvor en bruger på nettet via netbanken bliver frarøvet store summer helt uden at opdage det.

Angrebet består i at hackeren stiller sig som et usynligt led mellem brugeren og banken og fravrister personen sin digitale signatur ved at fremvise ham nogle falske aftaler, som han skal underskrive. De skærmbilleder, som offeret kan se, ser umiddelbart ud til at bekræfte den pengeoverførsel, som man ønsker at lave. Men i virkeligheden underskriver brugeren en helt anden aftale, der giver banken ordre om at overføre penge til hackeren.

»Årsagen til, at det kan lade sig gøre med de nuværende løsninger er, at hele nøglen til den digitale underskrift ligger på pc'en. I vores tilfælde ligger der ikke noget på computeren til at skrive under med,« argumenter Ivan Damgaard.

Tre spillere gør fælles front

Systemet har tre spillere, og så længe hackeren kun har én af dem under kontrol, er det stadig helt sikkert. Har hackeren eksempelvis kun kontrol over pc'en, vil mobilen altid afsløre den virkelige pengeoverførsel, og så vil man hurtigt opdage, at computeren fremviser noget forkert på skærmen.

»Hvis nu mobilen bliver stjålet, kan man lukke ned for serveren, så en hacker ikke vil kunne få adgang til den anden del af nøglen. Og hvis en hacker får kontrol over serveren, så mangler han adgang til mobilen,« siger Damgaard.

Forskerne har netop lagt sidste hånd på den første prototype af den digitale signatur, der er udviklet i projektet 'IT Security for Citizens (ITSCI)'. Næste skridt er at teste signaturen af på almindelige brugere - et projekt, som forskerne forventer løber af stablen til efteråret.

Potentiel køber på banen

Viser det sig også at være en succes, er systemet klar til brug; og allerede nu har flere partnere meldt sig på banen som partnere og potentielle købere. Det gælder eksempelvis DanID, der står for den nuværende Digitale Signatur under PBS.

»Problemet med de nuværende teknologier er, at de er sårbare i forhold til hackerne. Vi er derfor på jagt efter noget, der er bedre. For der er ingen, der kan være tjent med, at hackerne får vind i sejlene,« siger Peter Lind Damkjær, der er sikkerhedsspecialist ved DanID.

DanID lancerer til efteråret en ny version af den nuværende digitale signatur, hvor brugerne ud over at skulle indtaste signaturen, også får udleveret nogle papkort med koder på, der skal bruges som et ekstra sikkerhedsled. Da hackerne ikke har adgang til dette kort og man ikke kan finde det på pc'en, vil de får sværere ved at bryde ind i netbankerne.

»Der er imidlertid nogle udfordringer ved denne løsning, så derfor kigger vi os om efter nogle andre muligheder på sigt. Der er ingen tvivl om, at vejen frem i den digitale signatur er mobiltelefonen, fordi de både har et display og muligheden for at indtaste koder. Det giver mulighed for at indføre et ekstra sikkerhedsled, og samtidigt får man en fleksibel enhed, så man kan bruge systemet overalt. Det er også årsagen til, at vi er med i det her projekt,« siger han.

Et våbenkapløb

Ivan Damgaard er han ikke et sekund i tvivl om, at den nye digitale signatur vil kunne stoppe de nuværende angreb mod hjemmebankerne 100 procent. Men om den sikkerhed vil vare ved for altid er nok mere tvivlsomt.

»Det er klart, at det er et konstant våbenkapløb mellem os og hackerne. Hver gang, vi kommer op med en løsning, så vil der helt sikkert være nogen derude, der vil forsøge at bryde det. Udfordringen for os er at lave noget, der både er sikkert og brugbart på samme tid, og det er umuligt at få begge dele 100 procent. Men der er ingen tvivl om, at det nye system er betydeligt bedre end de løsninger, der findes på markedet i dag,« slutter han.

ITSCIs nye digitale signatur fra Alexandra Instituttet.