rafræn auðkenning og traustþjónusta fyrir rafræn viðskipti.
Virðulegi forseti. Alveg eins og málið áðan, um takmarkaða ábyrgð hýsingaraðila, er hér um að ræða tæknilegt mál þegar kemur að rafrænni auðkenningu. Það er ekki erfitt að gera sér grein fyrir því hvað það er, enda ansi margir sem eru farnir að nota rafræna auðkenningu. Umhverfið varðandi rafræna auðkenningu á Íslandi er dálítið undarlegt eins og er, þar sem aðeins einn aðili veitir það, en einhver annar þyrfti að taka það upp hjá sjálfum sér, held ég, að veita slíka þjónustu. En hún er bara í boði á einum stað eins og sakir standa og langar mig að fara aðeins yfir tæknilegu atriðin og af hverju þau eru mikilvæg.
Þarna er aðallega um tvennt að ræða sem er e.t.v. einfaldast að fjalla um. Eins og fólk kannast við er lykilorðum oft lekið fram og til baka. Þar er reynt að nota dulkóðun í aðra áttina, þ.e. lykilorð notandans er tekið og á það sett alls konar stærðfræði til að rugla því lykilorði, meira að segja ýmsu öðru bætt við til að reyna að rugla það enn meira, og út kemur einhver stafaruna sem enginn kann skil á og sér ekkert lykilorð úr þeirri stafarunu. Ef ég myndi fá slíka stafarunu frá þriðja aðila gæti ég ekki notað hana til að skrá mig inn á samfélagsmiðla sem viðkomandi aðili sem á lykilorðið sem þessi stafaruna er unnin frá. Ég þarf upprunalega lykilorðið. Réttara sagt gæti ég þurft eitthvað annað en upprunalega lykilorðið, en það er kannski aðeins of flókið til að pæla í því, bara svo lengi sem niðurstaðan er stafarunan. Eftir að búið er að meðhöndla lykilorðið kemst viðkomandi inn á sitt lokaða svæði. Það er ekki hægt að lesa úr þessu stafarugli til baka í lykilorðið. Það kallast að afkóða. Það er sem sagt hin leiðin í þessu sem rafræna auðkenningin felst að vissu leyti í. Þá á hver og einn aðili sinn persónulega auðkennislykil en allir aðrir geta fengið aðgang að opinberum auðkennislykli þess aðila. Ef t.d. hv. þm. Smári McCarthy ætlaði að senda mér dulkóðuð skilaboð gæti hann því notað þennan opinbera dulkóðunarlykil minn, skrifað einhver skemmtileg skilaboð og læst þeim skilaboðum með opinbera lyklinum mínum. Eina leiðin til þess að aflæsa þeim skilaboðum er með einkalyklinum mínum. Það getur enginn annar notað opinbera lykilinn til þess að snúa upp á og opna öfuga leið og séð upprunalegu skilaboðin.
Í þessu felst ákveðin rafræn undirritun líka til að votta að það var vissulega ég sem skrifaði undir viðkomandi skjal. Enginn annar hefði getað gert það af því að ég var með einkalykilinn minn og ákveðið annað þar á bak við.
Þetta er mikilvægt af því að eins og hv. þm. Helgi Hrafn Gunnarsson kom að hérna áðan er þörf fyrir dulkóðuð samskipti alveg eins og nafnleysi af því að við búum einfaldlega við umhverfi þar sem er njósnað. Það er bara þannig. Við urðum vitni að því í lekum Edwards Snowdens þar sem fram kom að opinberir aðilar úti um allan heim eru einfaldlega að njósna um okkur. Við vitum líka í sambandi við t.d. kosningar undanfarið, varðandi Cambridge Analytica og því um líkt, að verið er að safna upplýsingum, þó ekki nema svokölluðum meta-upplýsingum, um okkur. Persónunjósnir eru stundaðar á stórum skala úti um allan heim. Dulkóðuð samskipti koma í veg fyrir að hægt sé að sjá þetta efni. En það er líka hægt að nota dulkóðuð samskipti til að eiga samskipti við aðra á ólöglegan hátt.
Í umræðunni fyrir nokkrum árum var ákveðinn misskilningur um t.d. klám á internetinu og hvernig njósna ætti um slíka notkun til að koma í veg fyrir að fólk gæti horft á klám á netinu. Það er náttúrlega grundvallarmisskilningur, því að hægt er að eiga dulkóðuð samskipti þar á milli sem myndu ekki gera neinum kleift að sjá hvað nákvæmlega fer þar á milli aðila. Þá var ýjað að því í umræðunni að þá þyrfti bara að banna dulkóðun. Þá erum við komin á fyrir-internetöld, já, fyrir heimsstyrjöldina, það er reyndar búið að nota dulkóðun í hundruð ára. Ég held að til séu rómverskir dulkóðunarlyklar og þeim mun eldri, alls konar leiðir til að læsa skilaboðum þannig að enginn annar geti lesið hvað er í þeim.
Þess vegna er jákvætt og mikilvægt að fá svona löggjöf frá aðilum sem hafa greinilega aðgang að mjög tæknilegri ráðgjöf því að við höfum alveg farið í gegnum löggjafarferli hérna, eins og t.d. á síðasta þingi, þar sem verið var að setja lög um bitcoin þar sem virtist ekki vera tæknilegur skilningur á því hvað það væri og hvernig glíma ætti við það eða skilgreina það í íslenskum lögum. Það var ákveðin barátta að reyna að fá fólk til að skilja hvað væri verið að fjalla um.
Þetta lítur ágætlega út. Það eru ýmis atriði í þessu varðandi heimildir Neytendastofu sem ég set ákveðin spurningarmerki við, en varðandi tæknilega atriðið held ég að þetta sé nokkuð sem við séum því miður tiltölulega illa búin undir til að gera vel. Ég efast ekki um að við gætum það en við hefðum þurft að eyða þó nokkrum tíma í að klára það og nýta þá allt of litlu sérþekkingu sem við höfum hérna innan lands og fá hjálp við það.
Það er nokkuð jákvætt að fá þetta mál svona vel ígrundað úr þeirri átt sem það kemur úr. Ég vona að aðstæðurnar á auðkennismarkaðnum á Íslandi verði betri og það að hér séu skilgreind rafræn skilríki sem ákveðin opinber auðkennisaðferð, að hún sé í rauninni gerð á sama hátt og önnur, eins og vegabréf og svoleiðis, aðgengileg með opinberum hætti, að það sé opinber aðili sem ber líka ábyrgð á því en ekki einkaaðilar, sem eru eins og er eini aðilinn sem hægt er að snúa sér til. Mér finnst það fyrirkomulag pínu ruglingslegt og skil ekki alveg af hverju það er þannig. En þetta er mjög jákvætt og ég þakka fyrir.
