It-pris og 25.000 kroner til digital signatur-pioner

26 kommentarer.  Hop til debatten
Palle H. Sørensen fra IT- og Telestyrelsen har netop modtaget IDA-IT Fondens pris BIT'en sammen med en check på 25.000 kroner.
19. januar 2009 kl. 16:30
errorÆldre end 30 dage

Om ikke andet kan man sige, at timingen er bemærkelsesværdig.

It-prisen BIT'en på 25.000 kroner er mandag eftermiddag uddelt til lederen af IT- og Telestyrelsens Center for Digital Signatur, Palle H. Sørensen, ved et arrangement om netop den nye digitale signatur. Bag prisen står IDA-IT Fonden, under ingeniørforeningen IDA's it-netværk IDA-IT.

Prisen overrækkes efter, at Version2 i den seneste tid har sat fokus på de svagheder, den offentlige digitalisering har været ramt af. Men det tager ikke glæden fra dagens prismodtager:

»Jeg er naturligvis meget beæret og stolt over at modtage prisen. Men også ydmyg, for det er et meget fint selskab, jeg her kommer i«, siger Palle H. Sørensen og henviser til tidligere modtagere som Peter Landrock, Preben Mejer og Dines Bjørner.

Artiklen fortsætter efter annoncen

»Det er jo sjældent, at man som offentlig ansat kommer i betragtning i sådanne sammenhænge,« siger han videre.

I motiveringen for uddelingen lægges vægt på, hvor svær en opgave det har været at drive den digitale signatur frem.

»Palle H. Sørensen har gennem de seneste ti år påtaget sig rollen som foregangsmand for udviklingen af den digitale signatur herhjemme, og med vedholdenhed og mod er det lykkedes at bringe Danmark op blandt verdens førende nationer på feltet. Han har gennem innovation og nytænkning været ankermand for den digitale signatur ? en proces hvor det på intet tidspunkt har været muligt at lægge sig i slipstrømmen på andre lignende projekter. Den pioneropgave er løst med stort mod, hvilket er udslagsgivende for tildelingen af prisen,« lyder det blandt andet i IDA-IT Fondens begrundelse.

26 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
1
Indsendt af Anonym (ikke efterprøvet) den tir, 01/20/2009 - 06:43

Ingen tvivl om at Palle Sørensen fortjener hæder for at have arbejdet med en vigtig problemstilling i så lang tid. Sikkerheden har behov for bedre værktøjer til sporbarhed, når det er ønsket.

Men meget tyder på at prestigen i projektet langt har oversteget hensynet til samfundet og demokratiet - man har mistet fokus på formålet og værdiskabelsen for blot at få noget som ikke ligner en total fiasko. Og dermed har man - selv hvis man gennemtvinger tiltaget for at påstå "succes" - gjort det til en sikker fiasko.

Alt peger på at DanId IKKE kan udgøre en Digital Signatur og IKKE vil skabe værdi for samfundet udover at etablere en pengemaskine for PBS.

Juridisk er er formentlig tale om desideret Grundlovsbrud, idet man eksproprierer borgerenes individuelle suverænitet, men en række andre lov-hensyn er også ignoreret eller fortiet i processen. Prestigen overstiger lovligheden.

Sikkerhedsmæssigt er modellen totalt utroværdig. Man kan ikke vide om man taler med en borger eller med DanId selv. I praksis må man antage at man taler med DanId. Sporbarhedskæden er brudt og tilsvarende er konfidentialiteten umulig at sikre. Samtidig er modellen lavet så ingen transaktion reelt kan sikres mod noget - modellen er brudt i bunden og kan ikke bygge tillid.

Borgerne opnår intet. Man tvinger usikker identifikation i det åbne så ingen applikationer kan sikres. Det skaber problemer, men løser ingen.

Teknisk er modellen ikke-interoperabel og fastlåser omkring en bestemt teknolologi brugt forkert uden hensyn til at området for identitet er under hastig udvikling.

Kommercielt er er tale om et man-in-the-middle-attack som intravenøst tvinger en ny kommerciel pengemaskine ind i alle samfundsprocesser. Man skal anmode DanID om tilladelse til at skrive under og man kan ikke gøre det fortroligt. Det vil voldsomt skævvride markedet uden anden grund end bevidst fejldesign for profit. Selv hvis modellen var lovlig burde PBS betale millarder istedet for at blive finansieret, dvs. man har udøvet yderst letsindig omgang med skatteborgernes penge.

Fejlen ligger i VTU som ikke havde mandat til at indgå aftalen - ikke engang Folketinget selv kan på denne måde unødvendigt og uden grund underminere borgernes suverænitet uden en Grundlovsændring.

Det klæder ikke IDA-IT og Ingeniørforeningen at hædre en person bag et så teknisk ringe tiltag som snarere burde være præsenteret for en stævning for Grundlovsbrud og samfundsundergravende virksomhed.

Det er underminerende for systemets legitimitet at samfundets tilsynsmyndigheder endnu ikke har grebet ind og rettet op på ulovlighederne.

Og det klæder ikke medierne at man har ladet et så åbenlyst problem for demorkatiet og samfundsøkonomien køre så langt.

2
20. januar 2009 kl. 10:00

Kære Stephan Engberg,

det er en fornøjelse at se dig gang på gang pille danID systemet fra hinanden. Jeg er helt enig DanID har intet med digital signatur at gøre. Det er en login løsning, så kan kan lave selvbetjening hos det offentlige på samme måde,som man kan med homebanking. Sikkerheden er lige ringe. DanID løsningen giver ingen selvstændig værdi for borgeren, som f.eks. mulighed for at signere et brev og sende det privat til en anden borger.

Dog hører denne diskussion ikke nødvendigvis hjemme under denne artikel, så jeg vil opfordre dig til at skrive et indlæg til version2.dk, og bede dem om at bringe det. Her i kunne jeg godt tænke mig at se ikke blot din kritik af DanID, men i særdeleshed hvilke rammer du mener Digital Signatur i stedet burde have. Med andre ord. Vis at du ikke blot er en gammel sur mand. Din meget seriøse kritik vil få endnu mere ben at gå på hvis du også kan pege på alternativer.

Jeg ved det ikke er nemt. Men sikkert lidt nemmere end at angive en sikker måde at afholde elektroniske valgafhandlinger :-)

4
Indsendt af Anonym (ikke efterprøvet) den tir, 01/20/2009 - 10:57

Kære Andreas Bach Aaen.

Tak for kommentaren.

DanId er IKKE bare en logon løsning - det er en juridisk bindende underskrift og dermed din suverænitet vi taler om. De kan sælge dit hus og begå kriminalitet i dit navn med omvendt bevisbyrde.

Bortset herfra er der 2 forskellige problemstillinger i det som du sætter op.

For det første skal vi slet ikke have en single-sign-on løsning til det offentlige, hvis vi har sikkerhed (for alle), kvalitet for borgerne eller effektivisering på sinde. Single sign-on vender modellen og flytter styringen væk fra dem som kender behovet og er de eneste som kan vurdere kvalitet og styre allokeringsprocesserne.

Det offentlige er alt for stor og bred sektor til at blive betragtet som en enhed. Det fører til planøkonomi og spilder systematisk borgernes skattepenge uden at bidrage til velfærden.

For det andet skal vi skelne mellem princip-diskussionen og de basale krav til en løsning på den ene side og vurderingen af specifikke alternativer på den anden.

Principdiskussionen slår benene væk under DanId og den primitive tilgang til sikkerhed som VTU pt. repræsenter. DanId er ikke et svar på nogen af spørgsmålene - det skal bare stoppes !

Jeg spilder ikke min tid på at skrive artikler, men arbejder på at lave løsninger. Det må være op til medierne at dække debatten. Men læs f.eks. næste nummer af Tænk.

Jeg leverer blot et pip, når det bliver for åbenlyst skævt repræsenteret i medierne. Og at begynde at give priser for overgreb på Grundloven må mildt sagt siges at være forbløffende.

Omkring alternativer.

Der er politiske valg som skal træffes i en alternativ model. F.eks. skal man afgøre om default er anonymitet (dvs. ingen ansvar) eller betinget identifikation (frihed under ansvar). Spørger du f.eks. i IT Politisk Forening, så vil de argumentere stærkt imod ansvarliggørelse, hvor jeg f.eks. ikke tror på at vi nogensinde får en fuldt anonym digital infrastruktur og må tage udgangspunkt her.

Personligt vil jeg ikke tage stilling til de politiske valg, men arbejder for muligheden af ansvarligørelse og konsekvens uden overvågning så man i den specifikke situation kan forhandle sikkerhedsbalancen.

Men tro ikke et sekund at jeg ikke peger på alternativer. Jeg kritiserer intet som jeg ikke er sikker på at der eksisterer mindst en model for at gøre bedre - selv i en pareto betragtning. Og bemærk i parantes at staten er forpligtet til at søge bedste alternativ - læs selv Persondatadirektivet omkring State of technology.

Som du selv siger er det ikke simple spørgsmål, men i modsætning til digitale valg, så kan de løses med modeller som kan understøtte pluralitet og de mange forskelligartede behov. Af mange gange jeg har beskrevet dette se f.eks.http://www.danishbiometrics.org/admin/files/Stephan%20Engberg%20presentation.PDF

VTU er i ond tro, fordi de har vidst det længe. Her f.eks. et svar fra Helge Sander til Folketinget.http://www.folketinget.dk/Samling/20021/udvbilag/UVT/Almdel_bilag246.htm

Jeg arbejder for semantisk interoperabilitet, dvs. det drejer sig IKKE om bare at vælge leverandør, men om at sikre semantisk åbne interfaces så mange forskelige id-modeller kan fungere i parallel og specielt at vi kan gøre op med den aktuelle proces hvor sikkerheden bliver stadigt dårligere på alle niveauer.

Hovedproblemet er at Digital Signatur IKKE er en authentikeringsmodel, men dit værktøj til at skrive under. Ved at blande disse 2 sammen, modarbejder VTU BEGGE hensyn.

VTU har objektivt intet gjort for at forbedre sikkerheden i Danmark - tværtimod har de systematisk nedbrudt og svækket både borgernes og applikationernes it-sikkerhed og fyldt os med ordgas og informationskampagner a la "IT-Sikker Nu".

Vi skal have en digital signatur, men rammerne om dens praktiske brug skal være helt anderledes. En digital signatur er en grundnøgle som du stort set aldrig bruger fordi du altid skal danne specifikke nøgler til specifikke formål.

Hovedkravet til kritisk infrastruktur er at man kan overleve brud, dvs. både opretholde revokability og recoverability. Formålsspecifikke nøgler skal DU ensidigt kunne lukke. At lukke en digital signatur er på linje med at forsvinde - f.eks. når man indgår i vidnesbeskyttelsesprogrammer og skifter identitet permanent. At begrænse BRUGEN af en digital signatur er et credential-spørgsmål - ikke et spørgsmål om signaturen selv.

Om det er en "sur gammel mand" som taler må du selv afgøre. Jeg siger bare stop, hvor grænsen er nødt til at ligge på baggrund af mange års analyser og både erhvervs- og forskningsaktiv involvering i innovation og sikkerhed.

Vi kan ikke bakke her og samtidig opretholde fundamentet for demokrati og fri markedsdannelse som grundlag for velfærdssamfundet. Det er teoretisk umuligt.

5
20. januar 2009 kl. 12:24

Stephan skrev:

Spørger du f.eks. i IT Politisk Forening, så vil de argumentere stærkt imod ansvarliggørelse

Hvis man udtaler sig på andres vegne, bør man i det mindste gøre sig den umage at gøre sig bekendt med deres holdninger først.

I IT-Politisk Forening har vi ikke noget imod ansvarliggørelse i sig selv. Men hvis man skal bruge et system til ansvarliggørelse, må man for det første kunne stole på systemet, og for det andet må man kende grænserne for ansvarliggørelsen.

Med en gammeldags, analog underskrift på et stykke papir, har vi i samfundet opbygget en praksis for, hvordan det skal foregå. Alle er klar over, at en underskrift er personlig, men kan forfalskes. Derfor kræves ofte vidner til vigtige underskrifter, f.x. skøder.

Den tilsvarende praksis findes rent juridisk for digitale signaturer, men den almindelige dansker har endnu ikke den samme fornemmelse for, hvad en digital signatur betyder, og hvordan den bruges.

Og for brugerne er der kommet en ny problematik ind i billedet i forhold til den analoge underskrift: Hvordan skal den opbevares?

Med den foreslåede DanID-løsning lader det til, at man ikke fremover selv vil have kontrol over sin private nøgle. Hvis det er tilfældet, bliver den digitale signatur ubrugelig, og derfor er IT-Politisk Forening betænkelige ved at bruge en sådan løsning til ansvarliggørelse. Andre løsninger kan derimod godt være egnede.

Vi har løbende forsøgt at få belyst de tekniske detaljer og planer fra DanID's side. Det er nu lykkedes at få arrangeret et møde i næste uge, som vi glæder os meget til.

Først når vi har hørt, hvad DanID har at sige, kan vi komme med seriøse kommentarer til dem.

Mvh

Jørgen Elgaard Larsen Bestyrelsesmedlem IT-Politisk Forening

6
Indsendt af Anonym (ikke efterprøvet) den tir, 01/20/2009 - 13:15

Hvis man udtaler sig på andres vegne, bør man i det mindste gøre sig den umage at gøre sig bekendt med deres holdninger først.</p>
<p>I IT-Politisk Forening har vi ikke noget imod ansvarliggørelse i sig selv. Men hvis man skal bruge et system til ansvarliggørelse, må man for det første kunne stole på systemet, og for det andet må man kende grænserne for ansvarliggørelsen.

Intentionen var på ingen måde at lægge ord i munden på nogen - kun at gøre det klart at jeg var opmærksom på at området har politiske aspekter og et forsøg på at udvise respekt for andres holdninger.

Nu fremgik det måske ikke klart, men jeg var gået fra det specifikke til det generelle.

Den skulle forstås "Spørger du f.eks. i IT Politisk Forening, så vil de argumentere stærkt imod generel ansvarliggørelse"

eller

"Spørger du f.eks. i IT Politisk Forening, så vil de argumentere stærkt imod ansvarliggørelse som kan undgås med anonyme alternativer"

I sig selv et sympatisk synspunkt som jeg selvfølgelig ikke skal skal forsøge at udlægge for jer eller endsige implikere jer i.

Jeg argumenterer blot ud fra at at det skal kunne forhandles i transaktionen, men tager udgangspunkt i at default online formentlig ikke vil være anonym men en form for betinget ansvarlighed. Omvendt offline/lokalt hvor jeg tager udgangspunkt i at default er anonymitet.

Omkring resten er vi ret enige.

7
20. januar 2009 kl. 14:42

Det er tættere på, men jeg ville stadig ikke vælge den formulering ;-)

Jeg forstår, hvad du mener, men for andre kan det måske lyde, som om vi vil have anonymitet for enhver pris. Vi er store tilhængere af anonymitet, men i mange tilfælde er det helt naturligt og nødvendigt med ansvarliggørelse.

Som tommelfingerregel er det godt at se på, hvor og hvordan man bruger den analoge underskrift: Det er almindeligt og fornuftigt at skrive under på ens selvangivelse, eller på en lejekontrakt for en lejlighed eller en bil. Men man vil føle det akavet at skulle skrive under for at låne bøger biblioteket eller for at købe medicin på apoteket.

Tilsvarende er det vigtigt at bibeholde den juridiske fortolkning af underskrifter. Du skriver:

det er en juridisk bindende underskrift [...] De kan sælge dit hus og begå kriminalitet i dit navn med omvendt bevisbyrde.

Men domstolene er godt klar over, at en juridisk bindende underskrift ikke er en garanti. Derfor har man ikke omvendt bevisbyrde med analoge underskrift, med PIN-koder eller med digitale signaturer. Bevisbyrden er den samme som altid.

9
20. januar 2009 kl. 15:21

Jeg har set i medierne at DanID løsningen har kostet can 1. milliard dkr for en custom (genopfunden dybe tallerken) digital signatur løsning, som har fjernet alle styrkerne fra en digital signatur, og skrællet sikkerheden af systemet.

Hvis man bare tog TDC's ekisternede løsning (nogen lunde standard implementation af digital signatur), tilføjet en krypto token, så havde man haft en bedre løsning. Mindre sårbar end selv bankernes nuværdene løsninger, men samtidigt vile der kun være en i verden der kunne underskrive for dig. Altså behøver man ikke havde tillid til at en 3. part ikke misbruger din signatur.

Prisen for et krypto token ca 300dkr for 1 stk.. Køber man millioner, fås de for meget få kroner, jeg vil gætte på mellem 20-50dkr/stk, så 1 milliard dkr ville sandsynligvis havde skaffet næsten alle en krypto digital signatur token.

Men ellers er jeg principielt enig i stephan's kommentare, mht til DanID teknologien.

8
Indsendt af Anonym (ikke efterprøvet) den tir, 01/20/2009 - 15:12

Omvendt bevisbyrde drejer sig om antagelsen, dvs. det udgangspunkt man tager.

Jf. eksemplet med manden som af forsikringsselskabet blev anklaget for forsikringssvindel fordi han havde begge nøgler til sin bil og man antog at det digitale nøglesystem var sikkert. Det krævede eksperthjælp at påvise at nøglesystemet ikke var sikkert.

Her står du overfor et kritisk infrastruktursystem som ikke kan tåle antydningen af at systemet ikke er sikkert. Det kan en angriber bruge imod dig.

Her forholder jeg mig ikke til om angrebet sker ved at nogen "låner" dit one-time-only pinkode kort fysisk eller som det sket for Nordea i Sverige, om det sker ved at DanId selv blander sig i transaktionen uden for HSM-modulet eller om det utroværdige HSM-modul har interne "fejl".

Problemet er at des mere systemet er afhængig af at noget skal være sandt desto voldsommere kræfter er du oppe imod til at modbevise det.

Og ifølge VTU og DanId har de jo "bevist" det og KAN ikke misbruge signaturen - ikke? Ellers er modellen jo ulovlig og ekspropriation af din suverænitet.

10
20. januar 2009 kl. 15:56

Stephan skrev:

ifølge VTU og DanId har de jo "bevist" det og KAN ikke misbruge signaturen

Nu er det heldigvis domstolene og ikke VTU, der bestemmer, hvad der er bevist her i landet.

Som udgangspunkt er der juridisk ingen forskel på analoge og digitale signaturer. I begge tilfælde går man ud fra, at det er din underskrift. Men hvis du nægter, må modparten forsøge at bevise, at det er din underskrift. Domstolen vurderer så, hvem der er mest troværdig.

Det er netop derfor, man kræver vidner til vigtige (analoge) underskrifter.

Du er (med god ret) betænkelig ved, om domstolene kan gennemskue usikkerheden ved den digitale signatur i almindelighed og DanID i særdeleshed.

Her mener jeg personligt, at det gælder om at oplyse dommere og resten af samfundet om systemets svagheder. Og kommer det til en retssag, vil det være forholdsvis nemt at skyde den digitale signatur i sænk.

Problemet er at des mere systemet er afhængig af at noget skal være sandt desto voldsommere kræfter er du oppe imod til at modbevise det.

Det er rigtigt, så længe det drejer sig om politik og embedsmandsværk. Men efter min opfattelse plejer domstolene at være yderst modtagelige overfor fakta. Det viser dit bilnøgle-eksempel jo netop.

Når først den første dom er faldet i en sag om en digital signatur, er der ikke mere bøvl.

Se nu hvad du har gjort: Du har fået mig til at forsvare digital signatur! Hvordan kan du nænne det :-)

Heldigvis er der masser af andre betænkeligheder ved digital signatur og DanID. Mere om det ved en senere lejlighed...

14
Indsendt af Anonym (ikke efterprøvet) den ons, 01/21/2009 - 17:58

Nu skal vi ikke overfokusere på omvendt bevisbyrde her. Det problemet bliver først rigtigt alvorligt når vi taler identitetstyveri via forfalskning af bioemtri som ICAO pas er nærmest skabt til at skabe grundlaget for (et andet af bureaukraternes katastrofeprojekter).

Når først den første dom er faldet i en sag om en digital signatur, er der ikke mere bøvl.

Enig, men det er længe at vente fordi til den tid har samfundet spildt millarder og står med alvorlige legacyproblemer fordi VTU har trukket os ned i en blindgyde.

Det virker absurd, men problemstillingen råber på at nogen benægter en signatur eftrer samme model som WLAN-sagen hvor ejeren af en bredsbpndsforbindelse havde probale deniability fordi der var en WLAN (der sevlføgelig kan hackes af wardriving).

DanId kan jo ikke bevise at det var borgeren som aktiveres den Digitale Signatur.

Se nu hvad du har gjort: Du har fået mig til at forsvare digital signatur! Hvordan kan du nænne det :-)

For mig at se har du kun forsvaret domstolene. DanId har vel intet forsvar?

11
20. januar 2009 kl. 17:22

Retsagerne mellem IFPI og teleselskaberne er ganske gode eksempler op hvor store it-analfabeter de fleste domstole er.

Feks snakker man om eksemplar fremstilling som grunden til at allofmp3 skulle blokeres, fordi at teleudbyderen lavede eksemplar kopier i deres routere, fordi der laves, i få mikrosekunder et kopi af et stykke af copyrighted data.. Dette var nok til at lave et forbud i retten.

Så anklageren får en hurtig snakkende, effektiv sagsføre som hiver DanID propeganda folkene ind i retten til at sige det ikke kan lade sig at gøre at nogen har misbrugt din signatur (som de nødvendigvis må sige efter deres svar til folketinget), og hvad tror du en privat person's chancer er for at forsvare sig selv i sådan en sag.. Minimal til ingen.

Derfor er det død hamrende nødvendigt at vi får det her sikret ordenligt, fordi lige som med DNA registere og fumlefingerede labratorie assistenter, kan medføre at en uskyldig borger bliver anklaget for voltægt, og får at vide han lige så godt kan tilstå da hans DNA var fundet på ofret (dette skete i Danmark, heldigvis for ham, sad han i en politibil i den anden ende af landet, under arrest for at være fuldt, på det tidspunkt hvor voldtægten fandt sted).

Disse teknologier anses for at være ufejlbar af både embedsmænd, og mange sikkerheds tekninger (altfald dem ansat hos DanID), derfor bliver det altid modsat bevisførelse altså, den anklagede skal bevise sin uskyld. Dette underminere vores retssamfund ganske betydeligt.

12
21. januar 2009 kl. 11:32

Både allofmp3- og piratebay-sagen er beskæmmende. Men de kan ikke overføres direkte til DanID:

For det første er der ingen, der er blevet dømt i nogen af sagerne. Begge sager er fogedretssager, hvor der er afsagt en kendelse. Det er ikke usædvanligt, at fogedretten lader tvivlen komme den forurettede til gode. Ideen med fogedretten er bl.a. at kunne stoppe en mulig ulovlig praksis indtil sagen er afgjort ved domstol. Hvis sagerne var kommet for en "rigtig" domstol, kunne resultatet have set meget anderledes ud.

For det andet er den anklagede part ikke en del af de to sager; hverken allofmp3 eller thepiratebay kunne forsvare sig selv. Rekvisitus var Tele2, som ikke havde tungtvejende grunde til at forsvare sig. Hvis de tabte, skulle de blot tilføje et par linier til deres børnepornofilter. Tele2 ønskede ikke engang at anke dommen.

Man kan nok forvente et mere grundigt forsvar fra en person, der reelt har noget at tabe. Der vil i hvert fald ikke være mangel på eksperter til at påpege svaghederne i digitale signaturer. Så modsat dig, tror jeg faktisk, at en privat person vil have ret gode chancer for at få et ordentligt forsvar.

Derfor er det død hamrende nødvendigt at vi får det her sikret ordenligt

Det er netop det, der er min pointe. Ligemeget hvad man gør, kan man ikke sikre det ordentligt. Der vil altid være risiko for misbrug. Det kan ikke løses ved at pøse mere teknik på, eller ved at lave love. Problemet kan kun løses ved, at hele samfundet (herunder domstolene) får en korrekt fornemmelse af, hvordan digitale signaturer virker, og at de kan misbruges.

Når det er sagt, skal vi selvfølgelig minimere risikoen for alle typer af misbrug. Og med de udmeldinger, vi hidtil har set fra DanID, lader det til, at der er vide muligheder for misbrug. Og ikke blot misbrug fra tilfældige kriminelle, men også misbrug fra systemet selv.

Idéen med at lagre folks private nøgle centralt er for eksempel problematisk langt ud over risikoen for at din nabo kan forfalske din underskrift. Det kan i værste fald medføre, at man kan aflytte din krypterede mail, og at du kan risikere at miste adgang til de kryptede mails, du har modtaget.

Det er alle de misbrugssituationer, som aldrig kommer for retten, som jeg er mest bekrymret for.

13
21. januar 2009 kl. 12:35

Det er netop det, der er min pointe. Ligemeget hvad man gør, <em>kan</em> man ikke sikre det ordentligt. Der vil altid være risiko for misbrug. Det kan ikke løses ved at pøse mere teknik på, eller ved at lave love. Problemet kan kun løses ved, at hele samfundet (herunder domstolene) får en korrekt fornemmelse af, hvordan digitale signaturer virker, og at de kan misbruges.</p>
<p>

Her er vi fundamentalt uenig, jeg mener det kan gøres ordenligt, og det er ret nemt at gøre det ordenlig, teknologien er gammle, og velkendt, og virker, leverandør uafhængig, reviderbar, og man kan verificere sikkerheds modellen.

Der er et proble med at folk kan få lavet falske signaturer hvis systemet ikke er ordenligt skruet sammen, (Det selvsamme problem eksistere ved DanID og alle andre sådanne løsninger, et 0day problem), men det er dog muligt at sikre at ingen andre end mig, kan bruge den signatur jeg har fået udstedt, hvis man bruger standard digital signatur teknologi, med hardware tokens.

Men vi er enig i om at alt skal gøres for at minimere risikoen, og at DanID er en dårlig løsning.

Sagerne om Allofmp3 m.v. er ikke helt irrelevante, da hvis du skal forsvare dig selv, kan du se frem til at bliver ruineret, pga omkostninger for eksperter, og advokater, samt at du ikke slipper for at skulle mindst betale 50% af sagsomkostningerne som er normalt ved sager mod staten.

15
21. januar 2009 kl. 18:42

Her er vi fundamentalt uenig, jeg mener det kan gøres ordenligt, og det er ret nemt at gøre det ordenlig [...]
det er dog muligt at sikre at ingen andre end mig, kan bruge den signatur jeg har fået udstedt, hvis man bruger standard digital signatur teknologi, med hardware tokens.

Det kommer an på, hvordan man ser på det.

Det mest åbenlyse problem er, hvis den almindelige borger anvender en usikker platform. Selv med et hardware-token er man ikke sikret mod, at et ondsindet program tilgår dette hardwaretoken og benytter det til f.x. at lave transaktioner i din netbank eller at sælge dit hus for en krone.

Det vil muligvis ikke ske for dig eller mig, men det kan snildt ske for almindelige brugere.

Det andet problem ligger i udstederne af certifikatet. Selvom du har fuld kontrol over den private nøgle til certifikatet, hindrer det ikke en evt. CA i at udstede et nyt certifikat med et andet nøglepar, og så bruge det nye certifikat til at sælge dit hus for en krone.

Det behøver ikke engang at være CA'en, der udøver misbruget. Det kan også være din nabo, som udgiver sig for at være dig, og så får udstedt et certifikat i dit navn med en privat nøgle, som han har kontrol over.

Endelig er der altid muligheden for at forsøge at knække din nøgle med brute force.

Jeg vil stadig hævde, at det er meget svært eller umuligt at lave et system, der er 100% sikkert. Men det er klart, at nogle systemer er mindre udsatte end andre. Og at den skitserede løsning fra DanID umiddelbart ser ud til at kunne forbedres.

@Stephan: Tak :-D

16
22. januar 2009 kl. 15:04

Jeg har før beskrevet en måde hvor ved man kan defeate misbrug af digitale signaturere, selv på en platform som er overtaget af "hostile" software og personer.

Det kræver kun at det token du benytter har et LCD display, der viser hvad du signere, samt en fysisk knap, til at autorisere transaktionen, dette betyder at en krypto token "glemt" i en USB sokkel ikke giver adgang til at signere noget, fordi det kræver en fysisk aktion, og LCD skærmen kan bruges til at krydsrefere hvad du ser på skærmen som du er ved at signere er det selvsamme, og det er ikke noget ukendt der signeres.

Dette vil muligvis ikke være 100% bulletproof, men det vanskligøre misbrug via trojaner, eller Man-in-the-middle angreb til den grad at disse angrebs metoder bliver uinteressandte.

Alså borgeren's pc er anset som untrusted, og kun krypto token enheden er trustworthy, dog er der ingen standard tokens med disse feature endnu, men det er ikke en dyr sag at lave, basalt set tilføjes en LCD På tokenet, og en authoriserings knap.

Men derved har vi givet en alm. borger alle værktøjerne for at kunne undgå misbrug af deres signatur, og så skal vi bare lære dem at bruge værktøjerne.

Problemet med nuværdene løsninger er at de ikke giver borgerne de værktøjer som er nødvendigt for at beskytte sig, tvært imod fjerner de dem, feks DanID.

Men jeg er enig i at der er en 0 Day issue, hvor nogen kan få oprette en falsk signatur i en anden personøs navn, dette er et stort problem, men det er ikke et problem som direkte vedrører bogeren, men derimod infrastrukturen, der findes flere måder hvor ved man kan bekræfte en person's ID, da der findes mange uafhængige måder at bekræfte en person's ID.

Dette problem er altid problemet i et sikkerheds system, hvordan kan man sikkeret udveklse information for at bootstrappe sikkerheden, det kan feks gøres ved visuel inspektion af Identifikation, feks i et posthus eller bank eller hvad man nu vælger, skal feks, kørekort nummer, med andre informationer skrives ind, hvor efter systemet kan bekræfte at der er stor sandsynlighed for at personen er som de er. Self. kan sådanne ID'er også forfalskes, og er et generelt problem i vores samfund.

Altså som opsummering Der er 2 problemer her, det første med misbrug af digital signaturer, mener jeg er relativt nemt at løse, det andet med udstedelse af signaturere, den er straks værre.

  1. Hvis en borger har fået en digital signatur er det relativt nemt at gøre det nærmest umuligt at misbruge denne signatur, self. kræver det noget opdragelse af brugeren, men så kan man gøre det så besværligt at misbruge systemet at det betyder at kriminelelle heller vil ty til at stjæle nøgler fra folk, end at prøve at hackke.

  2. 0-day problemet skal løses, men dette problem er det samme uanset hvilket system man bruger, hvordan identificere man at personen man giver en signatur er hvem de siger de er, pas, kørekort, m.v. kan forfalskes, derfor er det svært at løse 0 day problemet. Jeg kender ikke nogen god løsning på 0 day problemet, men de er næsten altid løst ved et personligt møde, med divs identifikation papirer, men desværre kan sådanne forfalskes.

17
Indsendt af Anonym (ikke efterprøvet) den søn, 01/25/2009 - 11:13

Michael

Jeg har sagt det før. Du har for travlt med at promovere din egen model at du glemmer at fokusere på problemet og forståelsen her.

Det minder mig lidt om den gamle indiske historie om de 5 blinde mænd og elefanten. Du har fat i halen og tror at det er et reb - andre har fat i snablen og tror det er en slange eller tror benet er et træ. Man ar nødt til træde tilbage og holistik åbne øjnene og tage ansvar for at det er en elefant - ellers tramper den dig ned.

Du har ret i delaspekter - efter at vi har diskuteret det mange gange er det vel ikke så underligt.

Men du går helt galt i skoven omkring hvad Digital Signatur kan og må bruges til i en digital verden - og herunder de krav man må stille til modellen.

Øvelsen går IKKE ud på blot at sikre at alle borgere har EN digital signatur så andre kan Identificere dem. Det er en grov fejl at misbruge den samme nøgle til mange ting.

Det giver ikke BORGEREN nogen sikkerhed og det koncenterer riskoen i det ekstreme.

En grundnøgle har primært til formål at skabe afledte nøgler til det specifikke formål. På samme måde (men med væsentlig større og mere komplekse krav) end når en CA typisk arbejder med en 3-lags struktur med forskellige løbetider og nøglelængder.

Den svage part, borgeren, kan kun sikres via virtualisering. Identifikation svækker borgeren og dermed sikkerheden for alle.

18
26. januar 2009 kl. 12:37

Stephan,

Jeg har flere gange korrigeret dig, mht tolkningen af hvad jeg skriver, der er intet i min model der stopper brugen af 100 eller 10 000'er af signatuere per borgere, en til hvert formål, anonyme, eller fuldt identificerene har meget lidt at gøre med min model, men mere hvad man vil havde i certifikatet.

Jeg snakker kun om at.

  1. Ingen kan underskrive i dit navn.
  2. Transaktions sikkerhed.
  3. Anti-man-in-the-middle angreb
  4. Operation til trods for tilstedeværelse af trojaner.

Altså kun in sikret tunnel.

Bemærk jeg har altid sagt brugen af "STANDARD Digital signatur arktiektur løsninger", som ikke udlukker, 3lags, eller generelt X lags strukturere eller hvad man nu har lyst til.

Men jeg tager debatten i kontekt som det starte, Vi snakker DanID løsningen som er en "En Nøgle per borger", så jeg præsentere submodellen af den standard løsning som er "En Nøgle per borger", men modellen jeg advokere supportere hvad du snakker om.

Husk Stephan, jeg prøver altid at præsentere løsnings submodellen som passer i konteksten, den fulde model er stor, og kan mange ting.

I den her kontekst. Staten vil havde en bindene identitet til borgerne, som de kan logge ind med, og udføre transaktioner med, (om det er godt, eller skidt, er en politisk beslutning, som jeg ikke tager stilling til, men som jeg forstår det er dit hovedepunkt). Der opfindes en dyr løsning som ikke addressere basale sikkerheds problematikker, og er propritær, monopoldannende, og problematisk i næsten alle sammenhæng.

Jeg påpeger at en simple ændring til det tidliger TDC system vil gøre det langt mere sikker end hvad den nye model præsentere. Jeg udelukker ikke at man kan havde flere signaturer - faktisk mener jeg at vi skal, den fulde model som jeg har præsenteret til bla TDC, indeholder et eksempler af 3 distinct nøgler til forskellige brug, hvor forskellig information er nødvendig til at kunne udføre processen, feks anonyme Certifikater til brug i feks låse, eller chat sider m.v.

Ja jeg advokere min model, fordi der er endnu ikke nogen der har påvist nogen som helst tekniske svagheder i den, der er nogle politiske emner, om hvad hvert digital signatur skal bruges til, og skal indeholde.

Som jeg forstår din kritig, går den på at du ser på indholdet og hvad der sikres, jeg snakker kun om hvorledes det sikres, hvordan man kan sørge for at ingen kan misbruge en identitet - men jeg snakker ikke om hvad identiteten indeholder, eller hvad den beskytter.

Altså min model er at lave en tunnel, mellem 2 parter, hvor parterne er sikre på at de kan stole på hinanden og kan udveksle information uden at en 3. part kan pille ved denne information. Identitets informationen der udvkelses mellem de 2 parter kan være anonym, dvs ikke bundet til dit CPR Nr eller lign, men bare random nøgler, men således at begge parter ved at de før har snakket sammen, og man kan være sikker på den anden part er den samme, som man regner med. Længere går jeg ikke med modellen.

Basalt set, X.509 Mutual authentication, public key kryptografisk teknologi og hardware sikret privat nøgler til at skabe kryptografisk sikret transaktioner, men med en udvidelse i det at krypto hardwaren har mulighed for at vise transaktionen, og en fysisk aktion er nødvendigt for at signere - er den bedste løsning for at sikre transaktioner - det er mit argument.

Så jeg tror vi konstant snakker om forskellige dele af modellen, og derfor snakker forbi hinanden, eller har jeg totalt misforstået dig ?

19
Indsendt af Anonym (ikke efterprøvet) den man, 01/26/2009 - 18:31

Michael

Du ser kun på den nemme del.

I et demokrati ligger magten hos folket - ikke hos en koncentreret ubalanceret magt og dets lakajer.

I et fungerende marked ligger styrke hos kunden - ikke hos udbyderne i et kartel.

Sikkerhed forudsætter modstandskraft overfor brud - det modsatte af massiv koncentration af risiko.

I et retssamfund antager man uskyld indtil det modsatte er bevist - ikke, som her, skyld indtil det modsatte er påvist.

I den her kontekst. Staten vil havde en bindene identitet til borgerne, som de kan logge ind med, og udføre transaktioner med, (om det er godt, eller skidt, er en politisk beslutning, som jeg ikke tager stilling til, men som jeg forstår det er dit hovedepunkt).

"staten" vil ingenting for staten er kun en social konstruktion - det er en lille gruppe teknokrater som ikke passer deres arbejde, men tværtimod underminerer selve den institution som de er ansat til at tjene og angriber dem som betaler deres løn.

Et bæredygtigt samfund beskytter dets aktiver istedet for at udsætte dem for unødvendig og ikke-beskytbare risici. Et konkurrencedygtigt ig innovativt samfund bygger på individer som vigtigste aktiv - og endda som subjekter som ikke bare er aktiver men de beslutningstagere som hver dag bidrager til samfundets velstand og fremskridt.

Et system som bygger på teknokrater som vigtigste aktiv er allerede dødt - men har bare ikke fattet det endnu.

Altså min model er at lave en tunnel, mellem 2 parter, hvor parterne er sikre på at de kan stole på hinanden og kan udveksle information uden at en 3. part kan pille ved denne information. Identitets informationen der udvkelses mellem de 2 parter kan være anonym, dvs ikke bundet til dit CPR Nr eller lign, men bare random nøgler, men således at begge parter ved at de før har snakket sammen, og man kan være sikker på den anden part er den samme, som man regner med. Længere går jeg ikke med modellen.

Det er ikke det, du beskriver.

20
27. januar 2009 kl. 13:09

Jeg vil lade dig fokucere på politikken.

Jeg fokucere på at få den teknologiske bedste løsning til opgaven på plads. Vil staten (eller som du siger teknokrater, som jeg har svært ved at se forskel på) havde vi skal have en digital signatur af den type som DanID, er det omkring 0% chance for at folket kan ændre deres holdning, men vi kan påvirke det således at løsningen er sikker.

Jeg beskriver en sikring af tunnellen og transkationer i contexten af hvorledes det ønskes at bruges.

Du siger det er ikke det jeg beskriver, hmm, jeg beskriver ikke alle varianter af modellen, men den model jeg forslår Standard Digital Signatur teknologi, som indeholder muligheden for anonyme nøgler, jeg regnede ikke med at det var nødvendigt at explicit nævne ting som er standard. Men det kan være at det er nødvendigt for at alle er med.

Men den selvsamme digital signatur, kan bruges i DanID contexten, bundet til CPR-Nummer m.m. Samt præsnenter en teknisk bedre løsning end DanID, og medførere i det aller mindste at det er kun borgeren der kan lave en signatur.

Det er fordi jeg er realist, Staten (eller teknokraterne) VIL have en digital signatur, der identificere borgeren, så jeg siger, lad os i det mindste få en der er sikker.

21
27. januar 2009 kl. 13:34

I et demokrati ligger magten hos folket - ikke hos en koncentreret ubalanceret magt og dets lakajer.

Det er en sandhed med modifikationer.

I en sag som dette ligger magten ikke hos folket, men staten's teknokrater som du kalder dem fordi 99.9% af befolkningen kan ingen gang gennemskue konsekvensen af de valg der fortages, og hvis man informere dem, så får du et træk på skulderne og en kommentar "det er ikke noget jeg vil bøvle med" selv når du fortæller dem om konsekvensen, de forstår ikke nogen af problematikkerne, hvorfor teknokraterne har magten, ikke folket.

Så basalt set i alle emner der er mere end trivielle, ligger magten desværre "hos en koncentreret ubalanceret magt og dets lakajer."

22
Indsendt af Anonym (ikke efterprøvet) den ons, 01/28/2009 - 07:39

@ Michael

Jeg finder det lidt begrædeligt at bevidne hvordan argumenter tilpasses interessen.

For det første politiserer du - uanset om du vil det eller ej. Teknologidesign på dette niveau er politisk og endda grundlovspolitisk.

For det andet beskriver du ikke en sikker model, men en overvågningsmodel. Der er intet hensyn til borgerens sikkerhed eller andre former for sikkerhed i konstant identifikation. Det er ikke en "tunnel" og PKI understøtter ikke anonymitet eller noget som ikke er identificerende. Det er her hovedproblemet ligger - udformningen er ikke af hensyn til borgerne og samfundet, men af hensyn til teknokraterne og deres lakajer.

For det tredje er problemet ikke at vi skal have en identificerende digital signatur, men at man intet gør for sikkerheden og forestiller sig at man skal skriver under i en lang række tilfælde hvor identifikation underminerer sikkerheden. Du må f.eks. ikke identificeres overfor Sundhed.dk - det kan ikke sikres.

For det fjerde argumenter du netop for at Danmark ikke længere kan klassificeres blandt demokratieterne. Når magten er overgået til teknokratiet, er Folketyret sat ud af spil. Handlingen et formentlig et kriminelt overgreb i udbudsprocessen fordi dens udformning ikke er foreneligt med et demokrati.

For det femte er modellen undermienrende for både effektiviseringen af den offentlige sektor OG for konkurrenceevnen i det private sektor, hvilket reelt er 2 sider af den samme sag.

23
28. januar 2009 kl. 10:35

beklager at jeg addresser problemerne inden for konteksen af det er realistisk at opnå.

Det er utopi at tro at staten vil lave noget betydeligt om, i deres identifikation og overvågnings program, men man kan få små ting ind, får man grundstenene ind så kan man presse udviklingen hen ad den rette vej over tid.

Desuden er jeg uenig med dig, du mener at PKI ikke håndtere anonyme data.

PKI er baseret på X.509 (afaik) som indeholder data, som muligvis identificere dig personligt, og muligvis ikke.

Feks sunhed.dk kunne give dig en signatur der tillader dig at komme ind (logge ind), men uden at der er noget information involveret der angiver din identity end ikke dit navn, og den eneste information er, at du er den samme bruger som var tilstede på et tidliger tidspunkt, og oprettede den specifikke digital signatur.

Jeg ønsker ikke overvågning, men hvis det absolut skal være - som teknokraterne, og Alle Danske politiker (med få undtagelser) vil havde, for ikke at tale om den største del af de danske borgere, så vil jeg havde at i det mindste ikke andre kan bruge min identifikation til at lave ulovligheder, således jeg står med bevis byrden i en retsag. Altså maksimal sikkerhed i en dårlig situation.

Jeg beklager men jeg er realist, og ved at hverken jeg eller du, ville nogensinde kunne flytte staten væk fra deres kurs - der er ikke nok folke kræfter der forstår problematikken, og endnu færre som gider stå op og protestere, så i min verden er det mindste vi kan gøre er at gøre det rigtig, således borgeren er maksimalt beskyttet inden for de rammer der er sat op, især da det er umuligt at rokke rammerne.

Den model jeg forslår vil ikke forværre effektiviteten mere end nogen anden løsning, men derimod er billig at implementere, bla. fordi den bruger standard teknologi, og er en mindre ændring på TDC's eksisternde løsning, og tillader multiple udbyder af signaturere, som undgår monopol situationen som DanID sætter op.

På et side spor og offtopic:

Danmark et demokrati,tja i nogle definitioner er det.

Men så ser man at politikere bruger Jura (ord kløveri for at omgå paragraffer i grundloven) for at undgå en folke afstemning om feks Lissabon traktaten, fordi politikerne vil havde det, men borgerne vil ikke (betænkligt er denne traktat forkastet i næsten alle afstemninger) - er det Demokrati ?

Derefter laver man divs afstemninger om ting som politikerne og teknokraterne ønsker, og man forsætter med at lave afstemningerne intil man får det resultat man ønsker (alså køre oppositionen træt, indtil de og folk giver op), hvor efter det aldrig stemmes om igen, er det Demokrati? (feks euroen er i gang p.t.). Kigger man på repræsentation er ca 75-80% af politikerene for alt hvad der hedder EU, hvor der er op imod 50-60% af borgerne der er i mod alt hvad der hedder EU..

Man ønsker overvågning, og indfører det uden reel debat i samfundet, over hovedet på borgerne, med en masse propeganda, bla baseret i 9/11 for at skræmme borgerne til at akceptere det - er det Demokrati?

Det er bare nogle få eksempler i de sidste få år. Der er mange andre eksempler, og går man tilbage til '70'erne så er den Danske historie fuld af sådanne eksempler. Man kalder det repræsentativ Demokrati, men ingen politikere melder ud hvordan de står på mange områder, feks måtte EU ikke diskuteres ved sidste folketings valg - dette blev nævnt flere gange, så borgerne ikke kunne få det emne op i folketings valget (blandt andre) - er det Demokrati ?

Sjovt nok bruger bla Kina, og Nord Vietnam propeganda maskiner på lignede måder, for at få deres folk med på ideer som deres elite kan lide - er de også Demokratiske samfund ?

Ja jeg stiller kritiske spørgsmål ved om Danmark er et reelt Demokrati eller ej, og om er frihed i Danmark en blot en saga?

Men det er total offtopic.

24
Indsendt af Anonym (ikke efterprøvet) den ons, 01/28/2009 - 11:50

Michael

Du får ikke mere ret af at gentage det.

TÆNK udgiver i disse dage en bog som du bør læse. Både for sikkerheden og for koblingen til økonomi.

PKI kan ikke håndtere anonymitet, hvilket du intet gør for at påvise andet om. Man kan godt mappe sikre transkationsmodeller ind i PKIs interface, men PKI er ikke designet med sikkerhed for øje.

Læs f.eks. "Rethinking Public Key Infrastructures and Digital Certificates; Building in Privacy." som indeholder en grundliggende beskrivelse af alle fejlene ved PKI. PKI kan bruges til Digital Signatur og grund-id, men digital signatur kan ikke misbruges til 2% af de transaktionsformål som teknokraterne og DanId bilder sig ind at den kan uden at underminere samfundet.

Øvelsen er ikke anonymitet, men tilpasning af sikkerheden til formålet, herunder først og fremmest at kunne isolere risici, hvilket igen fordrer at transaktionanonymitet er muligt på serverniveau. Om angrebet kommer i DanId eller i Sundhed.dk er 2 varianter af det samme problem - begge lider af samme fejl og er rene single-points-of-failure. I en sikker model skal du kunne kommunikere med f.eks. lægen med din digitale signatur uden at nogen server blandes ind i det forhold.

Omkring din opgivende indstilling til teknokratiets overmagt og magtmisbrug har jeg ingen kommentarer udover at indstillingen er en væsentlig del af problemet - ikke en del af løsningen. Uden medløbere kan den slags ikke finde sted, så medløberne er medansvarlige.

Som Edmund Bourke så rigtigt sagde det: "For evil to prevail it only takes good men to do nothing"

Du vil profitere på overgreb - det må stå for din egen regning - det er der også andre som gør. Men det er i kategorien våbensalg snarere end sikkerhed.

Modellen, du agiterer for, er planøkonomisk, uanset om du forstår sammenhængene og hvorfor de offentlige services systematisk bliver relativt dyrere, dårligere og stadigt mere usikre.

Det er uansvarligt at lave kritisk infrastruktur ved at ligge alle æg i samme kurv. Det er allerede gået galt på design-tidspunktet. Det kan ikke sikres.

25
28. januar 2009 kl. 13:13

Suk, jeg formår åbenbart ikke at formidle hvad jeg mener præcist nok, til at vi stopper med at snakke forbi hinanden.

Men kom da med nogle konkrete praktiske og anvenlige måde at addressere og angribe Teknokratiets overmagt og magtmisbrug ? Idealer er dejlige, men totalt ineffektive hvis der ikke er en praktisk strategi. Jeg har hørt en 81 årig dame udtale at hun mener de vil kræve en "civil borgerkrig" at få ryddet op i Danmark's offentlige system, og jeg er tilbøjeligt til at give hende ret.

Jeg profitere ikke ved denne debat, uanset hvilken løsning vælges, da jeg ikke arbjeder i sikkerheds branchen i Danmark, jeg har intet produkt at sælge, men jeg har arbejdet med bank sikkerhed i udlandet.

Jeg ved bare hvordan jeg kan lave et system til at snakke med feks min bank på, hvor muligheden for en 3. part at misbruge det til at stjæle mine penge og informationer er minimiseret, hvis ikke helt fjernet. Samtidigt med at jeg elektronisk kan signere et dokument på en måde hvor ingen andre kan kopiere min elektroniske signatur, som jeg forstår det er påstået formålet med hele DanID systemet.

Ved en offline model af digital signaturen (som jeg advokere) er der intet single point of failure, så hvor har du det fra? Jeg har KUN Advokeret Offline digital signature uden nogen form for server indblanding, "only point to point communication". Igen jeg snakker om en sikret transaktions tunnel, Identitets delen kommer an på hvad det digitale certifikat indeholder!

26
Indsendt af Anonym (ikke efterprøvet) den tor, 01/29/2009 - 08:36

Michael

Du advokerer selv for "din model" og "din løsning", dvs. du fremstiller det selv om om du har noget du vil sælge.

Men du kan ikke tage en model til en bank (som ikke kræver PKI) og skalere den uden at adressere de mange andre faktorer som skal være på plads for at kunne tale digital signatur og sikkerhed for samfundstransaktioner.

Min pointe er koncenteret omkring at vi er nødt til at tage principperne før vi diskuterer løsninger.

Ellers kan vi ikke evaluere løsninger - og det er her man systematisk går galt på sikkerhedsområdet. Man sammenligner et teknisk tiltag med ingenting at gøre - fremfor for at analysere problemet til man forstår det og så vælge de tiltag blandt alternative modeller som adresserer risici uden at skabe nye.

Diskussionen her har 2 aspekter a) En isoleret digital signatur kan og skal åbenlyst ikke laves som VTU uden mandat har givet DanId lov til. Tiltaget er et ulovligt overgreb og der er påpeget bedre alternativer, dvs. de har ingen lovlig undskyldning - det er misforvaltning

b) Hvad skaber sikkerhedsværdi for samfundet og de offentlige services? Her skal man fokuserer på om man isolerer transaktionen så den kan gennemføres uden en masse sekundære problemstillinger - det er altid nemt at tilføre/koble en transkation med andre, det er umuligt at adskille noget som allerede er koblet.

Her er man nødt til at fokusere på at VTU faktisk kun adressererer autentikering (men ikke signatur og udnerstøttelse af end-to-end kryptering som ellers er formålet med Digital Signatur). VTU ignorerer at man ikke kan identificere sikkert på authentikeringstidspunktet - identifikation eller ansvarliggørelse vedrører indrullering til en specifik adgangsstyring. Hvis man identificerer på access-tidspunktet skaber man sårbarheder og systemer der ikke kan beskyttes.

Dvs. VTU gør sig skyldig i 3 destruktive forhold på samme tid. a) Man løser ikke opgaven med Digital Signatur, tiltaget er (formentligt) ulovligt. b) Man skaber en masse risici uden grund, dvs. skaber ikke sikkerhed. c) Man løser ikke opgaven med at skabe værdi for samfundet og den offentlige sektor, dvs. man spilder skatteydernes penge.

"din model" (som ikke er ny) adresserer kun signering (skal være client-side - enig) og en del-model til kryptering (låst til samme nøgle hvilket ikke er nok), men efterlader borgeren og dermed systemet uden værktøjer til at beskytter mod angreb på systemet på historiske transaktioner eller isolerer transaktionerne så man ikke genbruger nøgler på tværs af formål.

Modellen - som nok er væsentligt bedre end DanId - skaber således ikke sikkerhed, men efterlader systemet i en tilstand hvor det er sårbart overfor eskalerende angreb og samtidig BLOKERER for sikkerhed ved at monopolisere security tokens - dvs. den SKABER risici uden at værdi for samfundet.

Omkring teknokratiets tiltagende magtmisbrug generelt. Skal vi ikke nøjes med at lovliggøre det specifikke tiltag. Og vel og mærket ikke ved at gøre som de plejer - ved blot at forsøge at underminere Grundloven og det grundliggende retsfundament med endnu en undtagelse som ikke tjener andet formål end at pseudo-lovliggøre overgreb.

Husk på Sundhed.dk som Datatilsynet først - helt korrekt - afviste, hvorefter Datatilsynet blev banket på plads uden fejlen blev rettet. Samme tilgang ser vi på utallige områder - man blokerer symptomet i stedet for ansvarligt at adressere problemet.

De har her skabt en konstruktion som kun kan eskalere i ulovligheder. Spørgsmålet er hvor svagt det danske demokrati faktisk er - dvs., på hvilket niveau det stoppes.

Der er objektivt ingen tvivl om at VTU var i ond tro - de VIDSTE det formentligt var ulovligt da de skrev under, dvs. kriminaliseringen har allerede fundet sted.

3
20. januar 2009 kl. 10:33

Jeg mener bestemt at Stephans indlæg hører hjemme her.

Og jeg mener tillige at det er helt hen i vejret at betragte Stephan som en "sur gammel mand." Kan vi ikke blot diskutere indhold?