Digital signa-suk

Safari eller en anden browser? Jeg får bare den sædvanlige Java-applet, hvor jeg selv skal vælge PCKS12-filen på disken og taste kodeord.

Nogle hjemmesider bruger Safaris indbyggede certifikat-understøttelse. Her skal man indlæse PCKS12-filen i Hovednøgleringen, højreklikke på certifikatet, vælge "Ny id-indstilling..." og indtaste URL'en på den hjemmeside, som skal have lov til at bruge signaturen (i nogle tilfælde den KMD-mellemstation, der sørger for valderingen).

at man på mac (og måske på linux) skal trykke enter i stedet for at bruge musen eller omvendt for at det virker.

Personligt bruger jeg også tastselv fordi mine succes historier med dig. sign. er meget meget meget meget få (sådan i omegen af 1)

Det virker i Firefox, såfremt at man trykker Okay med musen i stedet for at bruge return, bruger man return spørger den blot om password igen. Den bug har eksisteret i 2½ år og jeg synes det er ufatteligt at den fejl ikke er rettet endnu.

Det er så lamt. Hele systemet er måske fint nok designment, men det er implementeret af en flok lallerøve.
Det er simpelthen uforståeligt at man igen igen lader firmaer der tager leverancer og almidelig ikke avanceret software udvikling så let og ikke forstå at kvalitetssikre sine ting, og giver dem opgaver.

Digital Signatur er sådan noget l... fordi brugeroplevelsen er så ringe. Det kan godt være det virker på IE 6, 7 & 8. Men os der bare vil have tingene skal virke og ikke gider rode med control panel, drivers og møj, vi bruger for det meste en ordenlig standard compliant browser (jeg er ivrigt bruger af Safari og Firefox).

Det er ufatteligt at man efter at have lavet noget så amatøragtigt som Digital Signatur, laver Digital Signatur 2.0 som er omtrent ligeså latterligt.

Den del (Enter efter PW) virker fint på min (Ubuntu 9.10 med FF 3.5.8).

Til gengæld er jeg træt af at skulle browse efter min digitale signatur.

Hurraaaaa for den gammeldags tast-selv kode.

Den bliver imidlertid afskaffet per 1. august 2011, hvilket skulle være "et meget vigtigt skridt i forhold til at forenkle servicen og sikre store besparelser på det offentlige område fremover" ifølge Finansministeriet.

Kilde: http://modernisering.dk/da/projektside/andre_projekter/edag3/nyheder_og_...

#!/usr/bin/perl

use MIME::Base64;

while (<>) {if ( $_ =~ /^pkcs12="(.*)";/ ) {print decode_base64($1); exit; }}

Den bliver imidlertid afskaffet per 1. august 2011, hvilket skulle være "et meget vigtigt skridt i forhold til at forenkle servicen og sikre store besparelser på det offentlige område fremover" ifølge Finansministeriet.

Det ser ud til det bliver meget svært at slippe for DanID.

Lad os håbe systemet potentiale for misbrug bliver udnyttet, så vi kan få en sikker DS, hvor jeg faktisk er mig.

Til de af jer, der er trætte af at browse rundt på disken efter .pkcs12 filen på *nix, er løsningen blot at smide filen i ~/.oces/

Nikolaj Brinch Jørgensen:
Har du prøvet den nye NemID? Brugeroplevelsen er cirka 200% anderledes på alle platforme. Der er gjort rigtig meget ud af at den er strømlinet på alle platforme, Windows, Mac og jævnt mange udgaver af Linux.

Har du prøvet den nye NemID? Brugeroplevelsen er cirka 200% anderledes på alle platforme. Der er gjort rigtig meget ud af at den er strømlinet på alle platforme, Windows, Mac og jævnt mange udgaver af Linux.

Det lyder lovende. Ved du, om man kan få udstedt nyt password med det samme, hvis man har glemt det gamle?

Kristoffer Nilaus Olsen:
Det afhænger af lidt forskellige ting, men sandsynligvis har du ikke lyst til at glemme den, da du så mister dit certifikat.

Til de af jer, der er trætte af at browse rundt på disken efter .pkcs12 filen på *nix, er løsningen blot at smide filen i ~/.oces/

Det gør det da en anelse nemmere, at pkcs12-filerne som ligger der vises i dropdownmenuen.

Så skal man bare pine død huske KUN AT BRUGE MUSEN til at klikke OK efter indtastning af kode...

Der må virkelig være en der sidder og griner et eller andet sted efter at have fundet på enter/return-joken :-)

I stedet for kun at bruge musen kan man også bruge tabulator for at komme ned til OK-knappen.

Og personligt har jeg ingen problemer med Digital Signatur og Mac. Alle steder, der bruger NemLog-In fungerer for mig.

Det afhænger af lidt forskellige ting, men sandsynligvis har du ikke lyst til at glemme den, da du så mister dit certifikat.

Så man kan altså ikke få tilsendt nyt password med det samme via sms eller email, som man kan med SKATs eksisterende Tastselv-løsning?

Jeg har svært ved at se, at NemID skulle være en forbedring på dén baggrund.

80% af SKATs nuværende 3,2 millioner brugere benytter Tast-selv-koder, og hvis det er korrekt, at man ikke kan bestille et nyt password omgående - som man kan med samtlige andre brugernavn/password-løsninger på nettet - skal disse millioner af brugere tilsyneladende vænne sig til en mindre brugervenlig løsning, når NemID introduceres.

Jeg ved heller ikke hvad det er Nem i NemID står for? Er det at det er nemt for de MAX 100 mennesker der skal adminstrere det, eller tror man at oplevelsen for de 5 mio.+ brugere bliver at det er nemt?
Hvis man stadig skal hen over postDK for at få koder osv. så er det jo ikke nemt . Men det er så dejligt når folkene i elfenbenstårnet sidder og finder ud af hvad der er smart og nemt for andre.
Det lugter langt væk af at systemet er tænkt fra administrations/implementations punktet (vi lader certifikater mv. ligger på en server hos os - Yeah right, vil i ikke også have nøglerne til mit hus, så kan jeg bare køre forbi jer og låne de når jeg vil ind - Super!)

Det ER ikke smart, nemt eller hvad man prøver at kaste efter af glorificerende ord - det er en helt igennem dårlig løsning. Lad mig om at opbevare nøgler og identifikation af mig (jeg har altså mit eget pas).

Nej vi kan jo starte med at undervise hr og fru Danmark i at anvende signaturen - slet ikke hvis de er så frække at benytte et no-nonsense OS a la Ubuntu eller Mac OS X, hvor brugeroplevelsen er i højsædet. Så skal de trækkes igennem det her møg udviklet af nogle amatører.

Føj!

Det er altså ikke raketvidenskab, men hold da op hvor får folkene bag, det til at se svært ud. Jeg tror rationalet for dem har været "Det var svært for os at lavet, så det skal være svært for dem at bruge", så er vi tilbage hos IT systemer til IT folk nok engang. Men leverandørene klapper nok igen hinanden på skulderen, spiser kage og siger godt gået...

Hvor herre bevares...

Læste følgende på Dorthe Tofts blog ifm. en såkaldt "brugerfejl" ved digital signatur, hvor signaturfilen ikke var beskyttet af kodeord efter sikkerhedskopiering - kommer der mon ny nemID senere på året?

Ifølge Palle Sørensen [centerleder hos IT- og Telestyrelsen] er der nemlig tale om en teknisk spidsfindighed ved sikkerhedskopiering af den digitale signatur, som flere har misset, og derfor advarer man også med ordet VIGTIGT i vejledningen hvor sikkerhedskopiering beskrives. Gøres det forkert, afkræves brugeren ikke password. “Den nye digitale signatur, NemID, der kommer senere på året, forhindrer folk i selv at lave den fejl. Det har heller ikke været muligt for folk, der arbejder i et Microsoft-miljø,” forklarer Palle Sørensen. Ifølge ham opstår problemet, der hvor der bruges “åbne” browsere som for eksempel Firefox, og folk tager backup til et format, der hedder pkcs12. Det har kodningsmæssigt ikke været muligt at forhindre, at fejlen kan begås, oplyser Palle Sørensen.

http://bizzen.blogs.business.dk/2010/03/05/password-fejl-ej-hos-skat-men...

Hvilken type signaturfil benytter BEC?

I praksis fungerer det utroligt enkelt, signatur/nøgle filen ligger i et bibliotek under hjemmebiblioteket, og kan frit flyttes, [b]men[/b] kan ikke benyttes uden det tilhørende password.

Selve genereringen af signaturen foretages så på klient niveau vha. Java, temmelig ukompliceret.

Samtidig er nøgle og certifikatfil adskilt - så hvorfor pokker skal man nu til at opfinde den dybe tallerken igen.

Brug dog samme model, og giv folk mulighed for at have så mange signaturer de nu ønsker for at føle sig trygge - personligt vil jeg i hvert fald [b]under ingen omstændigheder have samme signatur til min bank som til det offentlige.[/b]

Og farcen med Dan^^^NemId er jo så tragisk at man tror det er løgn - dels har det kostet (som snart så mange andre offentlige IT projekter at det er til at blive syg over) samfundet en rasende masse penge, dels er sikkerheden en illusion og et magtovergreb af værste skuffe.

/Christian

Hvorfor skal BEC blandes ind i det her?

Fordi jeg stillede et spørgsmål, jeg håbede nogen kunne svare på, nemlig hvordan er BEC' digitale signatur lavet!

Og så nævnte jeg den som et eksempel på en signatur der kan flyttes (på tværs af platforme) nemt, og uden at den pludselig opfører sig underligt.

/Christian

Jeg ved det ikke, men kan nok finde ud af det. Men det virker da som om BEC bruger den almindelige crypto pakke fra Java som benyttes i forb. med f.eks. SSL.

Jeg kunne heller ikke forestille mig at de ville finde på at opfinde deres egen, når deres platform komme med et systemet, som tilmed er vældig godt dokumenteret med fine eksempler.