Stafræn ökuskírteini, annar hluti - Innbyggt öryggi
9. desember, 2025
Netöryggi er gríðarlega vítt svið sem spannar allt frá þróun flókinna tæknilegra lausna til hönnunar mannlegra ferla. Netöryggissérfræðingar geta þannig komið að smíði vélbúnaðar, hönnun dulkóðunar, þróun hugbúnaðar, mótun ferla við afgreiðslustörf og hönnun notendaviðmóts. Notendaviðmót er kannski ekki það fyrsta sem kemur upp í hug margra þegar rætt er um netöryggi, en umfjöllunarefni þessa bloggs er einmitt frábært dæmi um hvernig netöryggi snertir alla anga hugbúnaðarþróunar, þar með talið viðmótið.
Innbyggt öryggi
Áður en lengra er haldið er vert að nefna eina hugmyndafræði innan netöryggis sem kallast innbyggt öryggi (e. security by design). Í stuttu máli snýst hugmyndafræðin um það að þegar kerfi (hugbúnaður, ferlar, o.s.frv.) er hannað, þá eigi það að vera meginmarkmið að einfaldasta og augljósasta leiðin til að nota kerfið sé jafnframt sú öruggasta. Mörg dæmi um innbyggt öryggi höfum við úr raunheimum. Til dæmis læsist hurðin á þvottavélum þegar vatni er dælt inn á hana og rafmagnstöflur heimila eru með innbyggð öryggi sem lágmarka líkur á skaða komi til misnotkunar eða bilana. Augljóslega er hér átt við aðra merkingu öryggis, þ.e. öryggi í skilningnum „safety“ en ekki „security“, en þessi fyrirbæri eiga þó margt sameiginlegt og sérstaklega þegar kemur að innbyggðu öryggi.
Dæmi um skort á innbyggðu öryggi í stafrænum ferlum má sjá í síðasta bloggi okkar um gömlu innskráningargátt island.is. Þar lá vandamálið einmitt ekki í innskráningargáttinni sjálfri heldur í leiðbeiningum um notkun hennar. Lausnin var miðuð að stórum hóp forritara, með mismunandi bakgrunn og þekkingu, en leiðbeiningarnar voru ófullgerðar og innihéldu öryggisveikleika.
Stafræn kort
Ef við berum stafrænu ökuskírteinin saman við önnur kort sem stafræn veski áttu að leysa af hólmi, þá tökum við eftir ákveðnu misræmi. Tökum brottfararspjald sem dæmi. Á því eru birtar ýmsar upplýsingar svo sem brottfarar- og áfangastaður, tímasetning, og svo einhvers konar kóði. Aftur á móti, þegar mætt er á flugvöll, þá er enginn sem skoðar brottfararspjaldið í símanum, heldur er kóðinn einfaldlega skannaður og sannreyndur. Þegar öllu er á botninn hvolft, þá eru auðlesnu upplýsingarnar á brottfararspjaldinu fyrir handhafa þess, til að hann viti um hvaða flugmiða ræðir, tímasetningu og aðrar gagnlegar upplýsingar, en eiginlega brottfararspjaldið í augum öryggisgæslu flugvallarins er kóðinn.
Af hverju er þetta útfært svona? Til hvers þurfum við kóðann? Með vísan í fyrsta hluta þessa bloggs, þá er svarið við því einfalt, það er aldrei hægt að treysta því sem stendur á tölvuskjá.
Hönnun skírteinanna
Eins og rakið var í fyrsta hluta var skanna komið fyrir í island.is appinu, tveimur árum eftir innleiðingu skírteinanna, sem gerði öllum kleift að staðfesta gildi stafrænna ökuskírteina. En þá er rétt að spyrja sig, fyrir hvern eru upplýsingarnar á stafræna skírteininu sjálfu? Af hverju er nafn, kennitala og passamynd birt á því? Samanborið við flugmiðann sem innihélt upplýsingar sem handhafinn gæti þurft á að halda, þá ætti handhafi ökuskírteinis að vera meðvitaður um nafn, kennitölu og útlit. Það eina sem væri hægt að réttlæta að hafa á skírteininu eru ökuréttindin, sé þörf á að rifja þau upp.
Það er því ljóst að hönnun skírteinanna ýtir bókstaflega undir ranga notkun þeirra, þ.e. að „skoða“ þau eins og hefðbundin skírteini en ekki skanna þau eins og leiðbeiningarnar, sem seinna voru gefnar út, gefa til kynna.
Ef við berum þetta saman við norsku hönnunina, þá er hún reyndar keimlík þeirri íslensku, þ.e., skírteinið birtir nafn, kennitölu, mynd og kóða til aflesturs. En stærsti munurinn á þessum útfærslum er að í Noregi voru skýr skilaboð gefin með útgáfu skírteinanna um að þau væru aðeins gefin út sem viðbót við hefðbundin ökuskírteini og þau gilda eingöngu sem persónuskilríki þegar lögregla stöðvar ökumann við akstur. Það er t.a.m. ekki hægt að ganga að því vísu að hægt sé að nota þau í vínbúð Noregs.
Í þessu felst gríðarlegur munur þegar kemur að öryggi. Í norska tilfellinu nægir að þjálfa alla lögreglumenn til að gæta þess að skanna alltaf skírteini og treysta aldrei því sem stendur á skjánum. Hér heima voru þau skilaboð gefin að skírteinið væri jafngilt því hefðbundna, og við stöndum því uppi með miklu breiðari notendahóp með alls konar bakgrunn, þ.e. starfsfólk apóteka, vínveitingahúsa, læknastofa, Vínbúðarinnar og kjörstaða, svo dæmi séu nefnd. Það er enginn vettvangur þar sem hægt er að miðla upplýsingum til svona breiðs hóps, og því ómögulegt að ætlast til þess að allir sem „skoða“ skilríkin átti sig á þessum vanköntum.
Hér höfum við skýrt dæmi um hvernig notendaviðmót getur haft gríðarleg áhrif á öryggi kerfa. Það að velja að herma hefðbundin skírteini í stafrænu veski sendir þau skilaboð til notenda þeirra að þau séu jafngild, að þarna sé um einhvers konar stafrænt plastskírteini að ræða, þó að raunin sé allt önnur.
Örugg útfærsla
Hvernig er hægt að útfæra raunverulega örugg stafræn ökuskírteini (og skilríki)? Það vill reyndar svo til að flestir Íslendingar eiga stafræn skilríki sem uppfylla ýtrustu alþjóðlegar öryggiskröfur, þ.e. vegabréf og nýju nafnskírteini Þjóðskrár.
Undirrituð gögn
Útfærslan sem þannig alþjóðleg stafræn skilríki notast við er að lítill tölvukubbur er steyptur í skilríkin og á hann eru skrifuð gögn skilríkisins, þ.e., nafn, aldur, kennitala, auk lífkenna og myndar. Þessi gögn eru svo undirrituð stafrænt. Ef staðfesta þarf gildi skilríkisins er hægt að lesa gögnin á tölvukubbnum með NFC . Þegar það er gert þarf að gæta þess að stafræna undirritunin stemmi við innihaldið, þannig er gengið úr skugga um að innihaldinu hafi ekki verið breytt, og svo þarf einnig að kanna hvort lykillinn sem undirritaði skilríkið sé hluti af traustri keðju. Ef öll þessi próf standast, þá getum við verið fullviss um að innihald skilríkisins sé rétt og það sé vissulega útgefið af viðeigandi stofnun. Í öllum praktískum skilningi má segja að slík skilríki (þ.e. stafræna hlutann) sé nánast ómögulegt að falsa.
Önnur útfærsla á sömu hugmyndafræði er að í staðinn fyrir tölvukubb er hægt að birta undirritað innihald skilríkjanna með kóða (einhvers konar QR kóða). Sömu lögmál gilda í kjölfarið, nema skönnunin fer þá fram með myndavél en ekki NFC. Svona kóða má m.a. sjá á baki nýju íslensku nafnskírteinanna sem og austurrískra nafnskírteina .
Þessi útfærsla hefur þann kost að hún er algjörlega óháð nettengingu. Þar sem allar upplýsingar skilríkisins eru til staðar á skilríkinu sjálfu er hægt að skanna það án nettengingar. Skanninn geymir einnig lista yfir þær vottunarstöðvar (certificate authories) sem hann treystir, og þarf því ekki nettengingu heldur.
Tenging við trausta þjónustu
Önnur möguleg útfærsla er í anda flugmiðanna. Þá komum við fram við kóðann sem birtist á skilríkinu sem eins konar lykilorð. Þegar skanninn les kóðann er innihald hans sent á vefþjónustu sem skanninn treystir, mögulega hjá sama aðila og gefur út skilríkið, til að sækja upplýsingar um það. Þessir kóðar geta einnig verið tímabundnir. Sé kóðinn skannaður eftir að hann rennur út telst hann ekki gildur lengur. Þetta tryggir þá m.a. að skilríkið sem verið er að skanna sé ekki gamalt skjáskot.
Þessi leið krefst þess, í það minnsta, að sá sem skannar skírteinið sé nettengdur, þar sem skanninn þarf að hafa samband við vefþjónustu. Séu tímabundnir kóðar notaðir, þá krefst þessi aðferð þess einnig að handhafi skírteinisins sé nettengdur, svo hægt sé að sækja nýjan kóða áður en skannað er.
Þessi leið varð fyrir valinu við útfærslu rafrænu ökuskírteinanna, eftir að skanninn var tekinn í notkun, og er enn notuð í dag með skírteinin í island.is appinu. Líftími kóðanna er ein mínúta, sem tryggir að skanninn gefur aðeins grænt ljós á nýuppfærð skírteini.
Hvað nú?
Eins og fram hefur komið, þá ákvað Stafrænt Ísland að leggja af stafræn ökuskírteini í stafrænu veski 1. október síðastliðinn og frá öryggislegu sjónarmiði, með vísan í allt ofantalið, þá er það ákvörðun sem taka ber fagnandi. En þá er rétt að spyrja sig, hvaða lærdóm höfum við dregið af gömlu útfærslunni? Hvernig eru nýju skírteinin betri og öruggari?
Nýja útfærslan
Ef við skoðum útfærslu nýju skírteinanna í island.is appinu þá sjáum við að þau innihalda tímabundinn kóða sem ætlaður er til skönnunar og gerir staðfestingu skírteinisins mögulega. Skanninn er á sama stað og fyrir gömlu skírteinin, og því geta allir sem hafa aðgang að island.is appinu staðfest gildi skírteinanna.
Nýja útfærsla skilríkjanna. Skilríki hjá handhafa (til vinstri) og skannað skilríki (til hægri)
Hvað með viðmótið? Ef við höldum áfram að skoða skírteinið þá sjáum við að það inniheldur m.a. mynd, nafn, kennitölu og ökuréttindi. Það er því við hæfi að spyrja sig: hvað hefur í raun og veru breyst? Sú hætta er enn fyrir hendi að viðtakendur skírteinisins lesi bara það sem stendur á því og taki því gildu. Nýlegar fréttir benda til þess að jafnvel upplýsingar um skírteinin sem birtar eru á vefsvæði island.is séu notaðar sem ígildi skilríkja í einhverjum tilfellum og leiddu sjálfvirkar breytingar á því viðmóti til handtöku ungmenna . Það er því næsta víst að ekki sé verið að nota skannann á öllum þeim stöðum sem taka á móti stafrænu ökuskírteinunum.
Við erum þannig aftur komin á þann stað að skjáskot geti verið notuð til að falsa skilríki. Taki einhver skrefið alla leið og hanni eftirlíkingu island.is appsins (allavega þess hluta sem birtir skírteinin), sem tæki vanan einstakling kannski eina helgi, er aftur hægt að útbúa fölsuð skírteini fyrir alla Íslendinga á örfáum mínútum sem munu virka á öllum þeim stöðum sem ekki nota skannann. Það má því segja að á vissan hátt séum við á sama stað eftir breytinguna.
Hvað er til ráða?
Það er vert að staldra við og spyrja sig fyrst: er notkun stafrænna ökuskírteina sem fullgild persónuskilríki góð hugmynd? Við eigum núna góð nafnskírteini sem uppfylla ýtrustu öryggiskröfur, sem og gömlu góðu ökuskírteinin. Fólk sem tekur á móti skilríkjum í plastformi hefur betri skilning á fölsun slíkra skilríkja. Ef ungur einstaklingur mætti í Vínbúðina með gamla plastaða pappírsökuskírteinið sem segði að hann væri tvítugur myndu eflaust einhverjar efasemdir vakna við afgreiðsluna.
En segjum sem svo að við viljum halda áfram notkun stafrænna ökuskírteina sem persónuskilríkja, hvað er þá til ráða? Svarið við því er einfalt, og snýr einmitt að tengingu viðmótshönnunar við öryggi: fjarlægjum allar upplýsingar af skírteinunum sem ekki ber að treysta. Þetta á einnig við yfirlitssíðuna á vefsvæði island.is sem og önnur viðmót sem túlka mætti sem skilríki. Eins og minnst var á áður, þá ýtir vera þessara upplýsinga á skírteininu undir ranga notkun þeirra. Handhafinn þarf ekki á þeim að halda og notendur eiga ekki að treysta þeim, þannig þær eiga ekki heima þarna.
Hugmynd að bættri hönnun skilríkjanna. Skilríki hjá handhafa (til vinstri) og skannað skilríki (til hægri)
Er þetta fullkomin lausn? Alls ekki. Nú hafa verið gefnar út tvær útgáfur af stafrænum ökuskírteinum síðastliðin fimm ár, og að bæta við enn einni breytingunni gæti valdið ákveðnum ruglingi. Við erum, svo imprað sé á því, að eiga við gríðarlega stóran notendahóp með alls konar bakgrunn og þekkingu. Eflaust er stór hluti þessa hóps ekki enn upplýstur um að notkun gömlu skírteinanna í stafrænu veskjunum sé hætt. Það er líklega enn hægt að nota falsað ökuskírteini í stafrænu veski á ýmsum stöðum. Sama mun eiga við ef hönnun skírteinanna í appinu er breytt, þá mun eflaust ennþá vera hægt að nota falsaða útgáfu af fyrri hönnun. Þar að auki gerir reglugerð um ökuskírteini skýra kröfu um að þessar upplýsingar séu birtar á stafrænu ökuskírteinunum. En þrátt fyrir vankantana væri þetta skref í rétta átt.
Innbyggt öryggi
Eins og staðan er í dag er oftast hugsað um öryggi þegar þróun er komin langt á leið eða jafnvel lokið. Í hugum margra er þetta einhvers konar box sem þarf að haka í og skiptir í rauninni sáralitlu máli.
Þetta dæmi sýnir, aftur á móti, mikilvægi innbyggðs öryggis við þróun hugbúnaðar, ferla, annarra kerfa og jafnvel reglugerða- og lagabreytinga. Ambaga telur það einmitt mikilvægt að öryggissérfræðingar fái að koma að öllum stigum þróunarferla, allt frá hugmyndavinnu til afhendingar. Öryggissérfræðingur hefði t.d. getað bent á lausnina sem stungið var upp á hér að ofan við hönnun frumgerðar stafrænu ökuskírteinanna. Það hefði ekki breytt grundvallarþróun skírteinanna, en við hefðum staðið uppi með öruggari lausn fyrir vikið strax frá upphafi.