Sådan bliver den decentrale nøgle-løsning fra DanID

14. juni 2011 kl. 10:3014
Inden jul vil DanID tilbyde, at man kan få sin egen private nøgle til digital signatur. Se her, hvordan det kommer til at fungere.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Der bliver frit valg mellem en smartcard-løsning og en USB-udgave, når DanID i løbet af 2011 lancerer muligheden for at få en digital signatur på et stykke hardware.

Selve chippen, som rummer den private nøgle, kommer nemlig på et smartcard, men kan også trykkes ud og monteres i en USB-holder.

»Chippen ligger på et smartcard. Det er lavet sådan, at chippen kan trykkes ud, lige som man kender det fra et sim-kort til mobilen, og monteres i et slags USB-stik,« forklarer Jette Knudsen, kommunikationschef i DanID.

Med USB-modellen slipper man for at skulle bruge en kortlæser, som også tilsluttes via USB-porten.

Artiklen fortsætter efter annoncen

Prisen er endnu ikke fastlagt, ligesom det heller ikke er afgjort, om man køber delene enkeltvis, så man kan spare lidt håndører, hvis man for eksempel har en kortlæser i forvejen.

Når hardwaren er bestilt og betalt, gennem en underleverandørs webshop, sender DanID også en midlertidig adgangskode, som skal bruges ved aktiveringen. Først efter aktivering via et link, som brugeren har fået pr. e-mail, kan hardwaren bruges til noget.

Efter aktivering og valg af password, kan man logge ind på websider, som bruger NemID-login, med hardwaren tilsluttet og sit selvvalgte password.

Ligesom der har været faneblade, hvor man kunne vælge mellem NemID og den gamle Digital Signatur, vil der komme faneblade, hvor man vælger login med 'Privat nøgle på hardware', som løsningen hedder nu.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Ligesom med den nuværende NemID vil hardware-løsningen også virke med Linux, oplyser DanID.

'Privat nøgle på hardware' kan kun bruges som digital signatur og ikke til login på netbank. Her skal man stadig bruge den nuværende NemID-løsning med engangskoder på papkort.

Emner
14 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
Hans Schou
14. juni 2011 kl. 11:05

Enten forstår jeg ikke hvad der står, ellers er det stadig en centralt genereret nøgle, og jeg kan ikke være sikker på at andre har en kopi, og dermed kan misbruge nøglen. Kan nogen hjælpe?

Den eneste brugbare løsning jeg kan bruge, er at jeg genererer nøglen, og så kan nogen andre officielle instanser så signere min nøgle. Jeg kan ikke se at jeg kan bruge andre løsninger, end denne.

En hardware dims er fin nok, jeg skal bare selv kunne lægge min nøgle ind i den.

  • more_vert
    • insert_linkKopier link
6
Steen Thomassen
14. juni 2011 kl. 11:35

@Hans Schou Nøgleparret dannes inde i chippen. Ud fra chippen kommer en certifikatanmodning, som sendes til OCES-CA (hos DanId) og et signeret certifikat kommer tilbage - selve signeringen vil meget sikret ske med DanID's software/applet. Den metode sikre at den private nøgle kun findes i chippen og det vil kunne ske helt uden om resten NemID's systemet.

Efter den er signeret skal de offentlige tjenesteudbyder kun havde fat i OCES-CA for at tjekke om den ikke er spæret og mappe fra certifikates id-nummer til CPR-nummer. Men her ikke forskel imellem et privatnøgle i chip-kort løsning eller inde i NemID systemet.

  • more_vert
    • insert_linkKopier link
7
Peter Mogensen
14. juni 2011 kl. 11:40

Ud fra chippen kommer en certifikatanmodning, som sendes til OCES-CA (hos DanId) og et signeret certifikat kommer tilbage - selve signeringen vil meget sikret ske med DanID's software/applet.

HVAD? nej, hold nu op. Det er jo komplet meningsløst at CA signerer cerfitikatet med med en applet på brugerens maskine. Hvorfor så meget forvirring?

  • more_vert
    • insert_linkKopier link
8
Steen Thomassen
14. juni 2011 kl. 11:59

HVAD? nej, hold nu op.
Det er jo komplet meningsløst at CA signerer cerfitikatet med med en applet på brugerens maskine.

Hvordan skulle ellers foregå, så DanID får en garanti for at de kan udstede en certifikat på de betingelser der er - fx det er noget hardware, der er certificeret til formålet? Og det er kun nødvendige at bruge det software de få gange, hvor man skal have nyt certifikat. Når forbindelse til DanID er sluppet, kunne man jo ændre passwordet på sit decive.... med software der kommer direkte fra leverandøren eller bedst fra uafhængige hvis det findes.

  • more_vert
    • insert_linkKopier link
9
Rasmus Faber-Espensen
14. juni 2011 kl. 12:06

HVAD? nej, hold nu op.
Det er jo komplet meningsløst at CA signerer cerfitikatet med med en applet på brugerens maskine.

Der menes vel, at man starter en applet på brugerens maskine, der styrer processen: Den anmoder chippen om at generere et nøglepar og et certifikatrequest. Appletten sender certifikatrequestet til CA'en, der returnerer et certifikat, som appletten så gemmer på chippen.

  • more_vert
    • insert_linkKopier link
10
Peter Mogensen
14. juni 2011 kl. 12:13

Well... ok. Jeg tog måske udsagnet lidt for bogstaveligt. - altså at selve signeringen foregik i applet'ens kode.

Ja, klart... den "nemme" løsning ville være at signeringen blev "styret" af applet'en.

Den pæne løsning ville være at man fik verificeret off-band at man faktisk var den certifikatet påstod. Helt omstændeligt at man mødte op i banken og præsenterede sin offentlige nøgle.

  • more_vert
    • insert_linkKopier link
11
Casper Bang
14. juni 2011 kl. 12:56

Er jeg den eneste der tænker tilbage på dongles og ikke synes dette er voldsomt brugervenligt eller fremadrettet?

Hvorfor ikke udstede/bestille sit certifikat som NFC klistermærke/kort, således at man blot kunne føre sin telefon hen til sin pung (eller andet sted man havde kopier af sit certifikat)?

  • more_vert
    • insert_linkKopier link
12
Jesper Poulsen
14. juni 2011 kl. 14:07

Hvorfor ikke udstede/bestille sit certifikat som NFC klistermærke/kort, således at man blot kunne føre sin telefon hen til sin pung (eller andet sted man havde kopier af sit certifikat)?

Hvordan garanterer du at du er den eneste der benytter sig af dit certifikat?

  • more_vert
    • insert_linkKopier link
14
Casper Bang
14. juni 2011 kl. 14:39

Hvordan garanterer du at du er den eneste der benytter sig af dit certifikat?

Nu tænker jeg mere på udvidelse af nuværende kodekort frem for et egentligt certifikat. For der er vel ikke forskel på dét afhængig om den fortrykte representation er ascii klartekst (som p.t.), stregkode eller NFC?

ISO14443/NFC type-4 tillader 32KiB. Så selv om der blot var tale om en NFC repræsentation af samme data, kan man stadig have næsten 1000 engangskoder på! (32*1024)/Ceil(Log(9999999999)/Log(2)) = 992.97 key-value par.

Og lur mig om man ikke kan indkapsle et certifikat i 32KiB.

  • more_vert
    • insert_linkKopier link
13
Peter Mogensen
14. juni 2011 kl. 14:35

Hvordan garanterer du at du er den eneste der benytter sig af dit certifikat?

Det er simpelthen ikke til at vide med sådan et spørgsmål om spørgeren helt har misforstået hvad et certifikat er, eller om der blot bliver sløset med termene.

Hvis jeg læser spørgsmålet bogstaveligt, så er svaret: Det er absolut heller ikke formålet, tværtimod: Det gælder jo om at få dit certifikat spredt til så mange som muligt og få dem til at bruge det - ellers var der jo ingen ide i at have det. Hvad skulle jeg med et certifikat hvis det eneste formål var at sende krypteret mail til mig selv, eller kunne verificere min egen signatur?

  • more_vert
    • insert_linkKopier link
1
Morten Wegelbye Nissen
14. juni 2011 kl. 11:01

if ( LoginFeelGreateSuccess() ) if ( SmartCardIsThere() ) { showHardwareLoginForm() } else { showCardboardForm() )

  • more_vert
    • insert_linkKopier link
3
Peter Mogensen
14. juni 2011 kl. 11:07

Kære DanID,

Hvori ligger garantien overfor brugeren at det som faktisk sker på chippen er at der genereres et privat/offentligt nøglepar efter standard PKI-principper, at DanID ikke har adgang til den nøgle, ikke vælger den og ikke har pre-koden den på chippen? Er det noget vi blot skal stole på DanID for? Ligesom vi skal stole på at I ikke kan få nøglerne ud af jeres centrale hardware - altså bortset fra når I har brug for det?

Hvordan vil jeg kunne generere min nøgle uden dette DanID-hardware og få et certifikat til den?

  • more_vert
    • insert_linkKopier link
4
Henrik Schmidt
14. juni 2011 kl. 11:24

Slipper man så helt for engangskoder?

  • more_vert
    • insert_linkKopier link
5
Palle Due Larsen
14. juni 2011 kl. 11:31

Nej, du slipper ikke for engangskoder. Du kan ikke bruge denne løsning med din netbank. De vil fortsætte med den nuværende løsning.

  • more_vert
    • insert_linkKopier link