Sådan bliver den decentrale nøgle-løsning fra DanID

Inden jul vil DanID tilbyde, at man kan få sin egen private nøgle til digital signatur. Se her, hvordan det kommer til at fungere.

Der bliver frit valg mellem en smartcard-løsning og en USB-udgave, når DanID i løbet af 2011 lancerer muligheden for at få en digital signatur på et stykke hardware.

Læs også: Privat, decentral nøgle til NemID er på vej - ét år forsinket

Selve chippen, som rummer den private nøgle, kommer nemlig på et smartcard, men kan også trykkes ud og monteres i en USB-holder.

»Chippen ligger på et smartcard. Det er lavet sådan, at chippen kan trykkes ud, lige som man kender det fra et sim-kort til mobilen, og monteres i et slags USB-stik,« forklarer Jette Knudsen, kommunikationschef i DanID.

Med USB-modellen slipper man for at skulle bruge en kortlæser, som også tilsluttes via USB-porten.

Prisen er endnu ikke fastlagt, ligesom det heller ikke er afgjort, om man køber delene enkeltvis, så man kan spare lidt håndører, hvis man for eksempel har en kortlæser i forvejen.

Når hardwaren er bestilt og betalt, gennem en underleverandørs webshop, sender DanID også en midlertidig adgangskode, som skal bruges ved aktiveringen. Først efter aktivering via et link, som brugeren har fået pr. e-mail, kan hardwaren bruges til noget.

Efter aktivering og valg af password, kan man logge ind på websider, som bruger NemID-login, med hardwaren tilsluttet og sit selvvalgte password.

Ligesom der har været faneblade, hvor man kunne vælge mellem NemID og den gamle Digital Signatur, vil der komme faneblade, hvor man vælger login med 'Privat nøgle på hardware', som løsningen hedder nu.

Ligesom med den nuværende NemID vil hardware-løsningen også virke med Linux, oplyser DanID.

'Privat nøgle på hardware' kan kun bruges som digital signatur og ikke til login på netbank. Her skal man stadig bruge den nuværende NemID-løsning med engangskoder på papkort.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Hans Schou

Enten forstår jeg ikke hvad der står, ellers er det stadig en centralt genereret nøgle, og jeg kan ikke være sikker på at andre har en kopi, og dermed kan misbruge nøglen. Kan nogen hjælpe?

Den eneste brugbare løsning jeg kan bruge, er at jeg genererer nøglen, og så kan nogen andre officielle instanser så signere min nøgle. Jeg kan ikke se at jeg kan bruge andre løsninger, end denne.

En hardware dims er fin nok, jeg skal bare selv kunne lægge min nøgle ind i den.

Peter Mogensen

Kære DanID,

Hvori ligger garantien overfor brugeren at det som faktisk sker på chippen er at der genereres et privat/offentligt nøglepar efter standard PKI-principper, at DanID ikke har adgang til den nøgle, ikke vælger den og ikke har pre-koden den på chippen?
Er det noget vi blot skal stole på DanID for? Ligesom vi skal stole på at I ikke kan få nøglerne ud af jeres centrale hardware - altså bortset fra når I har brug for det?

Hvordan vil jeg kunne generere min nøgle uden dette DanID-hardware og få et certifikat til den?

Steen Thomassen

@Hans Schou
Nøgleparret dannes inde i chippen. Ud fra chippen kommer en certifikatanmodning, som sendes til OCES-CA (hos DanId) og et signeret certifikat kommer tilbage - selve signeringen vil meget sikret ske med DanID's software/applet. Den metode sikre at den private nøgle kun findes i chippen og det vil kunne ske helt uden om resten NemID's systemet.

Efter den er signeret skal de offentlige tjenesteudbyder kun havde fat i OCES-CA for at tjekke om den ikke er spæret og mappe fra certifikates id-nummer til CPR-nummer. Men her ikke forskel imellem et privatnøgle i chip-kort løsning eller inde i NemID systemet.

Peter Mogensen

Ud fra chippen kommer en certifikatanmodning, som sendes til OCES-CA (hos DanId) og et signeret certifikat kommer tilbage - selve signeringen vil meget sikret ske med DanID's software/applet.

HVAD? nej, hold nu op.
Det er jo komplet meningsløst at CA signerer cerfitikatet med med en applet på brugerens maskine.
Hvorfor så meget forvirring?

Steen Thomassen

HVAD? nej, hold nu op.
Det er jo komplet meningsløst at CA signerer cerfitikatet med med en applet på brugerens maskine.

Hvordan skulle ellers foregå, så DanID får en garanti for at de kan udstede en certifikat på de betingelser der er - fx det er noget hardware, der er certificeret til formålet? Og det er kun nødvendige at bruge det software de få gange, hvor man skal have nyt certifikat. Når forbindelse til DanID er sluppet, kunne man jo ændre passwordet på sit decive.... med software der kommer direkte fra leverandøren eller bedst fra uafhængige hvis det findes.

Rasmus Faber-Espensen

HVAD? nej, hold nu op.
Det er jo komplet meningsløst at CA signerer cerfitikatet med med en applet på brugerens maskine.

Der menes vel, at man starter en applet på brugerens maskine, der styrer processen: Den anmoder chippen om at generere et nøglepar og et certifikatrequest. Appletten sender certifikatrequestet til CA'en, der returnerer et certifikat, som appletten så gemmer på chippen.

Peter Mogensen

Well... ok. Jeg tog måske udsagnet lidt for bogstaveligt. - altså at selve signeringen foregik i applet'ens kode.

Ja, klart... den "nemme" løsning ville være at signeringen blev "styret" af applet'en.

Den pæne løsning ville være at man fik verificeret off-band at man faktisk var den certifikatet påstod. Helt omstændeligt at man mødte op i banken og præsenterede sin offentlige nøgle.

Casper Bang

Er jeg den eneste der tænker tilbage på dongles og ikke synes dette er voldsomt brugervenligt eller fremadrettet?

Hvorfor ikke udstede/bestille sit certifikat som NFC klistermærke/kort, således at man blot kunne føre sin telefon hen til sin pung (eller andet sted man havde kopier af sit certifikat)?

Jesper Poulsen

Hvorfor ikke udstede/bestille sit certifikat som NFC klistermærke/kort, således at man blot kunne føre sin telefon hen til sin pung (eller andet sted man havde kopier af sit certifikat)?

Hvordan garanterer du at du er den eneste der benytter sig af dit certifikat?

Peter Mogensen

Hvordan garanterer du at du er den eneste der benytter sig af dit certifikat?

Det er simpelthen ikke til at vide med sådan et spørgsmål om spørgeren helt har misforstået hvad et certifikat er, eller om der blot bliver sløset med termene.

Hvis jeg læser spørgsmålet bogstaveligt, så er svaret: Det er absolut heller ikke formålet, tværtimod: Det gælder jo om at få dit certifikat spredt til så mange som muligt og få dem til at bruge det - ellers var der jo ingen ide i at have det.
Hvad skulle jeg med et certifikat hvis det eneste formål var at sende krypteret mail til mig selv, eller kunne verificere min egen signatur?

Casper Bang

Hvordan garanterer du at du er den eneste der benytter sig af dit certifikat?

Nu tænker jeg mere på udvidelse af nuværende kodekort frem for et egentligt certifikat. For der er vel ikke forskel på dét afhængig om den fortrykte representation er ascii klartekst (som p.t.), stregkode eller NFC?

ISO14443/NFC type-4 tillader 32KiB. Så selv om der blot var tale om en NFC repræsentation af samme data, kan man stadig have næsten 1000 engangskoder på! (32*1024)/Ceil(Log(9999999999)/Log(2)) = 992.97 key-value par.

Og lur mig om man ikke kan indkapsle et certifikat i 32KiB.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize