Magt over den Digitale Signatur

Tja, svært at sige. Men måske bruges ClientCertificate og RootCertificate til et indledende sanitetscheck (fx om certifikatet er gyldigt) inden applikationen ber om kodeord til at åbne PKCS#12 strukturen. Men bortset fra det findes certifikaterne jo allerede PKCS#12 strukturen.

Måske er tradeoffet ved selv at skulle udpege sin PKCS#12 fil, at man kan slippe for at indtaste et kodeord - det kan man jo selv bestemme ;-) Hvis man altså mener det er sikkerhedsmæssigt forsvarligt...

det var sku en del letter da men selv kunne download DS manuelt, mærkelig nok er der stadig en vejledning på TDC hjemmeside til den mulighed

Installation af Digital Signatur i andre browsere end Internet Explorer
http://kundeservice.tdc.dk/publish.php?id=6648

Jeg tror at de ændret muligheden sidste i 2006!

Jeg anvender den Crypto Service Providere som TDC har udviklet til brug på Windows.

Dette komponent gør det muligt at for Firefox og andre programmer som understøtter PKCS#12 at tilgå TDC CSP uden at man skal igang med at eksportere sine certifikater til PKCS#12-formatet.

Læs nederst her http://mozilladanmark.dk/wiki/Firefox/TDC_Digital_signatur

Velkommen i klubben.

Har været i gennem samme prøvelser som dig for vel knapt et par år siden. En total inkompetent support blev ved med at bede mig starte IE! Det lykkedes mig ikke at få fat i en kompetent supporter før jeg skrev til minister Sander og forelagde ham det problem han havde erhvervet sig ved at tvinge mig til at modtage min statslønseddel gennem eboks, men manglende support hos hans foretrukne leverandør af digital signatur. Det hjalp. En over-supporter, der kunne læse - og forstå - min tilsendte oplysninger tilsendte mig kort tid efter et script der kunne trække signaturen ud af den fejlbehæftede html-fil.

Næste gang jeg henvendte mig til minister Sander var så her i efteråret fordi jeg bla. konstaterede at skat og klasselotteriet f.eks. ikke ville kendes ved mig. Jeg havde da først brokket mig til klasselotteriet, som efter en kort email udveksling fik en overordnet til at ringe til mig (it-chef måske - kan ikke huske det). Der fik jeg at vide at man havde implementeret den kode som TDC anbefalede dem at bruge ved indlogning vha. digital signatur.

Jeg undrer mig bare over at eboks og sygeforsikringen danmark sagtens kan logge mig ind uden at skulle ud og rode efter en fil på disken (jeg har faktisk ikke min signatur liggende mere som en fil, men kan da selvfølgelig eksportere den ud af Firefox om fornødent, men jeg forsøger at sætte mig i den sagesløse borgers sted).

Min sidste henvendelse resulterede i en skrivelse fra IT og telestyrelsen, som hældte vand ud af ørene og fandt at den anbefalede løsning var den bedste. Jeg kan jo så konstatere at andre kan implementere løsninger som fungerer problemfrit i mange forskellige miljøer - tankevækkende!

Jeg kan jo kun håbe på at minister Sander næste gang får stillet nogle bedre krav til borgervenlige løsninger når vi skal have en ny digital signatur, for TDC er komplet inkompetente på andet end software ovre fra Redmond.

Jeg fraråder faktisk min omgangskreds at få digital signatur med mindre det er absolut uundgåeligt, for jeg ved jo hvem der måtte komme til at supportere dem...Jeg tilråder dem derimod at anvende Firefox og andre programmer, som ikke lige er lavet i Redmond eller omegn af hensyn til sikkerheden. Og faktisk har det reduceret diverse angreb ganske betragteligt på de maskiner jeg supporterer. Det er der sikkert flere årsager til dette f.eks. at mindre udbredelse medfører mindre interesse fra folk med onde hensigter, selv om f.eks. Firefox efterhånden er ved at være ret udbredt.

Nå, men det er min opfattelse at vi skal "punke" minister Sander så længe, at han kan forstå at vi borgere vil have fornuftige og brugbare løsninger uanset hvilket "fartøj" vi anvender når vi surfer rundt på webbølgen. Det må være et rimeligt krav, da det stadig kun er et fåtal af Danmarks befolkning, som er uddannede inden for IT.

<citat>
Eneste tilbageværende problem er at de to standarder OpenLogon og OpenSIgn ikke er integreret i Firefox endnu.
</citat>

Projektet er open source. Hvis der er nogen der ønsker at bidrage til den ønskede funktionalitet, hører projektet MEGET gerne om det!

<snip>
OpenLogon anvendes f.eks. på Skat.dk og Klasselotteriet.dk.
OpenSign anvendes f.eks. på NemKonto.dk og Skrivunder.nu.

Men det er ikke værre end at man når man når til authentificering på et af disse sites bare skal vælge "Find certifikat" og udpege sin pkcs12-fil.
</citat>

Hvis man lægger HTML-filen i roden af et drev (f.eks. en USB) eller i mappen "$USERHOME$.oces\" leder OpenOCES/OpenSign default disse steder. Dermed er man fri for at trykke "gennemse..."-knappen. PKCS#12-filen kan også anvendes i omtalte ".oces"-mappe.

<citat>
Min sidste undren går på om de oplysninger om ClientCertificate og RootCertificate der ligge i html-versionen af dignatur-filen slet ike skal bruges til noget???
</citat>

Lige præcis i ovenstående eksempel bruger det til at vise certifikat-information i dropdown-listen, netop uden at brugeren skal indtaste password på forhånd som også Martin skriver i første kommentar.

Ved lejlighed vil jeg tilføje dette til:
http://www.lind-damkjaer.dk/moreDS

/Peter
Der er ansat i TDC, men som i denne sammenhæng skriver som privatperson og deltager i OpenOCES.org.

PS. Tak for roserne til arbejdet på MozillaDanmarks side. Det glæder mig, at det kan finde anvendelse. Til orientering findes indholdet fra MozillaDanmark også som pdf på:
http://www.lind-damkjaer.dk/moreDS/DigitalSignaturMozilla_v0.5.pdf

Jeg har selv haft lignende erfaringer med at få en digital signatur og har som forfatteren valgt at lade min udløbe, mest fordi jeg faktisk aldrig brugte den.

Jeg mener dog at der er et reelt behov for en udbredt digital signatur. Specielt på email siden synes jeg det er lidt skræmmende at den langt overvejende del foregår ukrypteret og uden signatur (2 sider af samme sag imho), specielt i tider med stigning i industri-spionage og identitetstyveri. Jeg kende ingen firmaer hvor man overvejer at sende fortrolige oplysninger som postkort, men mange hvor de sendes med email på trods af at sikkerheden er sammenlignelig. Jeg prøvede så småt at sætte et projekt i værk med at indføre krypterings-/signatur-muligheder på mit sidste arbejde, men måtte droppe det da det krævede alt for mange resourcer og understøttelsen af OCES var meget mangelfuld i de mail programmer vi brugte.

Er der nogen, der har erfaringer med at indføre/bruge (den offentlige) digital signatur til email for en hel virksomhed?

Jarnis

PS. Min tidligere kommentar om intet kodeord på PKCS#12 filen var selvfølgelig en joke - man kunne fristes til at kalde denne "metode" for sinke-sign on.

@Jarnis og Knopper

Flere virksomheder har med rette overvejet om de ønsker at tillade krypteret e-mail at slippe igennem deres perimetersikkerhed (e.g. central anti-virusscanner). Derfor har TDC udviklet et koncept der var kendt under arbejdstitlen "split-certifikater" og som er produktificeret som Medarbejdersignatur Avanceret.

Yderligere info:
https://split.certifikat.dk
og
http://erhverv.tdc.dk/publish.php?dogtag=f5_e_dig_sig_med_sv

FOR EN ORDENS SKYLD SKAL JEG GØRE OPMÆRKSOM PÅ, AT KUNDEVILKÅRERNE DIKTERER, AT MAN SKAL BESKYTTE SIGNATUREN (OG DERMED PKCS#12-FILEN) MED PASSWORD.

/Peter

Jeg har lige brugt din herlige oneliner, lidt Scalakode og http://crackpkcs12.sf.net til at genfinde mit halvglemte password på min OCES signatur.

Tak!