Sådan bliver den nye digitale signatur

Danskerne skal fremover have et lille kodekort gemt i tegnedrengen, når de vil have den digitale signatur med på farten.

Danskere, der ønsker at anvende digital signatur skal nu vænne sig til at have et lille kodekort med sig, når de ønsker at anvende den digitale signatur. Det kom frem på dagens pressemøde, hvor videnskabsminister Helge Sander kunne afsløre, hvordan den kommende digitale signatur kommer til at fungere.

Som tidligere beskrevet på Version2.dk er det lykkedes videnskabsminister Helge Sander og hans embedsmænd at holde kortene tæt ind til kroppen, når det drejer sig om, hvordan den kommende digitale signatur kommer til at fungere i praksis. Men som det tidligere er beskrevet på Version2.dk bliver der tale om en token-løsning ? eller en tofaktorsignatur, der kan anvendes uafhængig af en bestemt pc.

Der har blandt andet været spekulationer om anvendelse af USB-nøgler eller elektroniske nøgletokens, men DanID har valgt at basere det ekstra fysiske element på et kodekort, der i forvejen blandt andet har været brugt af kunder i Jyske Bank, når de skulle benytte deres netbank.

Med denne opsætning tilfredsstiller DanID diverse sikkerhedseksperters mantra omkring sikker adgang til it-systemer, der netop lyder, at man har noget i hovedet og noget fysisk.

Når den nye digitale signatur skal anvendes, taster brugeren først sit brugernavn og kodeord ind, hvorefter brugeren indtaster en kode fra engangskortet, der efterfølgende giver adgang til både banker og offentlige tjenester på nettet.

DanID sender automatisk et nyt kort, når koderne på det gamle kort er ved at være brugt. Er et kort bortkommet, skal man blot bestille et nyt. Oplysningerne på kortet har nemlig ingen værdi i sig selv, men kan kun anvendes i forbindelse med brugerens brugernavn og kodeord.

Engangskodekortet er på størrelse med et betalingskort og kan medbringes overalt, og DanID oplyser, at synshandicappede kan få en udgave med blindskrift. På længere sigt vil engangskoden også kunne dannes elektronisk via eksempelvis mobiltelefonen.

DanID forestiller sig, at den nye sikre adgang kan sætte en stopper for de mest udbredte ?phishing?-angreb på følsomme oplysninger, blandt andet fordi det ikke længere er nok at få fat i brugernavn og adgangskode, men "phisheren" også skal have fat i en engangskode, som "phisheren" ikke har mulighed for at kende.

Administrerende direktør i DanID, Johnny Bennedsen, oplyser til Version2.dk, at det bliver muligt for brugerne at markere, at de ønsker DanID til at monitorere brugen af den digitale signatur, så brugeren altid kan gå ind med sin digitale signatur og se, hvor den har været anvendt.

En række kommuner har allerede taget forskud på en USB-baseret mobil digital signatur. Det gælder København og Århus kommuner og flere kommuner er på vej med en tilsvarende løsning, der er leveret af EDB Gruppen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (41)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Poul-Henning Kamp Blogger

Det interesserer mig mindre hvordan de præcist implementerer det, det interessante er hvordan ansvarsfordelingen er.

Hvis mit næste kodekort forsvinder i posten og bliver misbrugt fordi min PC havde spyware der havde afluret password, er det så mig eller DanID der hæfter for skaden ?

Med den træfsikkerhed PostDanmark har, og med 10-30% af alle danske PC'er inficeret med spyware kan det umuligt være brugerens ansvar.

Eller bliver kodekortene sendt som rekomanderet post, sådan som ethvert firma med forstand på sikkerhed ville gøre det ?

Poul-Henning

  • 0
  • 0
#3 Jarnis Bertelsen

Idag bliver hverken dankort, koden til samme eller jyske banks nøglekort sendt rekommanderet. Dankort og kode bliver sendt i seperate kuverter på forskellige dage. Nøglekortene kræver som bekendt kodeord for at kunne udnyttes. Det bliver selvfølgelig mere kritisk jo mere kortet/koden kan bruges til, så det er muligt at de nye kort skal beskyttes bedre, men det er ikke mit indtryk at det er her sikkerheden ved dankort/jyske netbank svigter.

Jarnis

  • 0
  • 0
#4 Poul-Henning Kamp Blogger

Idag bliver hverken dankort, koden til samme eller jyske banks nøglekort sendt rekommanderet.

Forskellen er at folk får et kontoudtog der siger hvad deres dankort har været brugt til.

Hvis de lover at sende et "kontoudtog" hver måned med hvad signaturen har været brugt til, kan vi tale om det.

Derudover er der meget præcist lovgivet om ansvarsfordeling med Dankort, jeg ser ingen tilsvarende lovgivning om den digitale signatur.

Så jeg spørger igen: Hvem har ansvaret for misbrug ?

Poul-Henning

  • 0
  • 0
#5 Peter Andersen

Poul-Hennings niveau af paranoia er beundringsværdigt, og måske er idéen med "kontoudtoget" slet ikke så tosset? - at man kan logge på med sin signatur og se hvad den tidligere har været brugt til?

Det KAN jo også bare være en nysgerrig nærtstående der "låner" nøglekortet og kan gætte ens kode - det vil næppe blive opdaget, med mindre brug fremgår af en slags brugslog. Registreret bliver brugen jo, så det er vel bare et spørgsmål om at gøre registret tilgængeligt for den registrerede..

  • 0
  • 0
#6 Klaus Elmquist Nielsen

Poul-Hennings niveau af paranoia er beundringsværdigt, og måske er idéen med "kontoudtoget" slet ikke så tosset? - at man kan logge på med sin signatur og se hvad den tidligere har været brugt til?

Det er ikke parnoia, men realiteternes verden! Spyware der aflurer passwords er meget udbredt og lige så snart det er muligt at tjene penge på at udnytte passwords vil det ske. Således også for en digital signatur. Velkommen til den moderne internetbaserede "økonomi".

Helt enig i at klar ansvarsfordeling samt "kontoudtog" vil være en god ide.

  • 0
  • 0
#7 Andreas Bach Aaen

Et indbrud i den centrale database vil gøre det muligt at udgive sig for hvem som helst.

Hvis de private nøgler derimod kun er til stede i et fysisk token, så vil ikke engang PBS, FET eller andre kunne skrive under i dit navn.

Det lyder som en rigtig god bank-løsning - men bankløsningen er kun noget værd, da der findes kontoudtog og at transaktioner kan rulles tilbage. Det er altså lettere at rette op på økonomiske transaktioner bagud i tid end på det klik, der sagda nej tak til optagelse på drømmestudiet for 2 år siden....

  • 0
  • 0
#8 Martin Clausen

Hvis man læser ovenstående beskrivelse af den nye version, er det ganske slående, at det der beskrives er en adgangs/identifikation løsning og ikke en digital signatur løsning? Men det er vel også også navneskiftet signalerer...

Det bliver interessant at se hvorvidt de har andre ting oppe i ærmerne...

  • 0
  • 0
#9 Morten Grouleff

Bliver den de-facto obligatorisk ved at alle eksisterende netbanknøgler opgraderes til at være DanID i løbet af de næste 5 år? Det ser sådan ud iflg. http://pbs.dk/dk/nyheder/nyhed_080625

Jeg deler Andreas bekymring. Det burde være muligt at bygge videre på nøgleløsningen på en måde, der gør det umuligt for f.eks. PET/PBS at udgive sig for mig, f.eks. ved at have et lokalt genereret certifikat.

Jeg er enig i at der skal en form for kontoudtog til, før det kan accepteres. Gerne elektronisk med f.eks. e-mail-notifikationer og en for-evigt log, der kan ses gennem signaturen. Men derudover synes jeg der bør være endnu en faktor, når man tilgår en ny udbyder, som man ellers ikke anvender signaturen op mod, så man selv kan bestemme om f.eks. ens journal skal kunne ses gennem signaturen.

Når løsningen ikke længere indeholder et certifikat i browseren, hvordan håndteres kompatibilitet med dem, der har en løsning bygget på OCES?

Hvor åben er den nye løsning i det hele taget? Hvis man nu f.eks. gerne vil bruge den på ens lille idrætsforeningsside?

Uden en yderligere sikring mod PBS/PET/... end den, der nævnes i pressemeddelelsen tror jeg ikke jeg skal nyde noget. Gad vide om man så kan beholde sin netbank?

Jeg savner i det hele taget et link til en side med tekniske specifikationer...

  • 0
  • 0
#10 steffen riber

Systemet med engangskodekort har fungeret i Sverige (til banker) i en årrække, men er nu ved at blive udskiftet da det ikke er sikkert nok. Nu anvender man et system hvor et kreditkort skal indsættes i en kodegenerator, derefter indtastes en engangskode der oplyses på sitet man logger på, hvorefter kodegeneratoren giver en svarkode til sitet.

Systemet virker måske lidt besværligt i første omgang, men det fungerer godt og hurtigt.

Hvorfor indfører et system i DK som bevisligt allerede fra dag 1 kan hackes ?

  • 0
  • 0
#11 Søren Hilmer

Hvem siger det er en traditionel database?

En rigtigt implementeret central signerings server vil holde borgernes private nøgler i et HSM (Hardware Security Module) rigtigt sat op vil disse nøgler IKKE kunne eksporteres i klar tekst og være krypteret under en nøgle som borgeren har (password+token halløj).

Den sidste del er dog sandsynligvis ikke med.

Jeg vil tro de har alle nøgler krypteret under en delt master nøgle så det kræver flere administratorer at kunne vedligeholde HSM'en.

  • 0
  • 0
#13 Jesper Lund

Et af de alvorligt svage punkter er at jeg ikke har kontrol over den digitale signatur, som jeg skal bruge til at underskrive dokumenter. Det er helt godnat, uanset hvor godt DanID påstår at de passer på min nøgle.

Forhåbentligt bliver dette et reelt [i]tilbud[/i], som man kan [i]fravælge[/i] uden at skulle frasige sig muligheden for at benytte en netbank.

  • 0
  • 0
#14 Peter Nørregaard Blogger

... eller "Den lille spyware og Onkel Holger"

Scenen: Gamle onkel Holger sidder med sin PC og har netop gennemført endnu et indkøb baseret på den nye, sikre digitale signatur

Handlingen: kl. 20:12: Holger trykker submit og transaktionen er gennemført kl. 20:13: En mail ankommer – den er fra PET (eller noget der ligner): HASTER

Din transaktion har været udsat for et intenet-angreb fra en kendt, ukrainsk hacker-gruppe. Vi har brug for hurtigt at følge sporet til gruppen så de kan blive anholdt. Derfor har vi brug for at du omgående oplyser os om den næste talkode på dit engangs-kodekort så vi kan optage forfølgelsen.

Du vil modtage en kvittering fra os på at vi har modtaget det.

Venlig hilsen Sven Viggo Indell PCT (PET Cyberkrim Taskforce)

kl. 20:15: Holger sender, lettere rystet, det næste tal fra kortet kl. 20:20: Holgers folkeregisteradresse er ændret til en postboks i sydhavnen og et nyt kodekort er bestilt til adressen.

Holgers liv blev aldrig det samme igen. The End

  • 0
  • 0
#18 Jesper Lund

Tesen er at folks (ofte korte) passphrase og brugernavn kan aflures via keyloggers og lignende, og at (digitale) nøglefiler kan kopieres med trojans eller dårlig browsersikkerhed. Derfor skal vi have en række engangskoder på et nøglekort, som ikke har fysisk berøring med computeren.

Men hvis en angriber kan kopiere [i]fremtidige[/i] engangskoder sammen med de øvrige oplysninger er vi lige vidt.

Hvis man bruger adgangskoden (jeg nægter at kalde det en digital "signatur") i det fri, er der en risiko for at brugernavn + passphrase aflures. Brug bag nedrullede gardiner må kraftigt anbefales! Hvis angriberen derefter kan få fat i nøglekortet og tage et billede af det (en kopi), har han nogle fremtidige adgangskoder som kan bruges.

En anden ide er at få folk til at indtaste de tre oplysninger på en falsk side, som udgiver sig for at være fra DanID. Så får angriberen fat i nogle koder, som ikke har været brugt.

Angrebet kunne for eksempel være via "Verified by Visa", som (desværre) benyttes af et stigende antal udenlandske netbutikker. Efter brugen af Visa kortet bliver man sendt tilbage til sin netbank i en indlejret side, hvor man skal validere at man nu også ejer det anvendte Visa kort. Den udenlandske netbutik, eller de kriminelle som har hacket butikken, sender i stedet kunden til en falsk side, hvor der opsnappes et par engangskoder (jeg har lavet flere fejlvalideringer i Verified by Visa af forskellige årsager, så en 2-3 forsøg vil ikke være usædvanligt inden man giver op og konkluderer at PBS/DanID må være "nede").

Disse engangskoder (sammen med brugernavn og passphrase) kan derefter anvendes enten til indbrud i netbanker (registreringsnummer fremgår af danske Visa kortnumre) eller til indsamling af personlige oplysninger fra de offentlige tjenester, altså identitetstyveri. Det sidste er naturligvis langt værre da man selv hæfter for skaden, og identitetstyveriet er pludseligt blevet muligt fordi man kobler adgangen til netbanken sammen med adgangen til offentlige tjenester. Endda på en måde som dybest set ikke er særlig sikker.

Rigtige kriminelle har selvfølgelig smartere ideer end ovenstående...

  • 0
  • 0
#19 Jesper Lund

Hmm, dvs. at man kan se at den har været brugt på borger.dk, men kan man også se til hvad?

Når alle dine personlige oplysninger er blevet rippet fra diverse services på borger.dk, må det være en ringe trøst at du får besked om det.

Indbrud i netbanker er kun et spørgsmål om penge, ikke engang dine egne. Identitetstyveri er en langt mere alvorlig sag.

  • 0
  • 0
#22 Jesper Lund

Jens Madsen skrev:

På nuværende tidspunkt, er vores digitale signatur anvendt, uden de store problemer. Der kræves kun password. I fremtiden, kræves udover password også engangskode. Det er klart, det må være mere sikkert, end det nuværende system - og det er en af de bedre systemer som findes.

Øh, glemmer du ikke den private nøgle som fysisk ligger på din computer? Den forsvinder i det nye system.

Det er teoretisk muligt, at et kort kan mistes, eller kopieres, som sendes med posten. Som regel, vil dette kunne ses.

Hvorfor er det så usandsynligt? Du bruger dit brugernavn og (alt for korte) passphrase på et offentligt sted, og din indtastning aflures eller keylogges. Efter at du har indtastet engangskoden er du uopmærksom i fem sekunder, mens der bliver taget et foto af dit engangskodekort (eller en håndholdt scanner). Alt er kopieret, og du har ikke set noget.

Derudover er der diverse man-in-the-middle replay angreb, hvor du taster dine logon credentials ind på den forkerte server.

Sidst, men ikke mindst, vil sikkerhedsrisikoen vokse betydeligt når vi har samme single sign-on til en masse offentlige og private services (det offentlige, banker, pensionsselskaber, teleselskaber, chatten på Arto, etc etc etc). Konsekvenserne af at dit logon bliver kompromitteret vil være langt større end i dag, og der bliver flere angrebsmuligheder mod dig.

  • 0
  • 0
#24 Peter Nørregaard Blogger

Som en kommentar til Holgers skæbne skrev Jens Madsen:

På kortet skal oplyses med tydelige bogstaver: Ved svindel, eller mistanke om svindel, kontakt straks telefonnummer XXXXXXX og oplys koden YYYY.

Jamen Holger fattede aldrig mistanke og anede ikke at de slemme ukrainske banditter var ude efter at svindle ham. Men han var da kun glad for at kunne hjælpe PET for den slags folk burde spærres inde.

Når først det nye kodekort er sendt til phisherne kan de jo sammen med det phishede brugernavn og password hæve penge på hans konto, optage millionstore realkreditlån i hans ellers gældsfrie hus og få dem udbetalt til en konto som "han selv" havde skrevet under på at eje, hvorfra pengene forsvinder. For ikke at tale om de kreditkort, "han" bestiller og som bruges til diverse indkøb på nettet indtil regningen ikke betales.

Identitetstyveri bliver meget, meget mere tillokkende end i dag, så derfor vil de finde sted.

  • 0
  • 0
#30 Anonym

I forvejen straffer de fleste banker en økonomisk hvis man ikke lægger alle tjenester ind i netbanken (fx Nordea hæver gebyrder hvis man ikke acceptere at få en elektronisk konto udskrift kun i netbank) - så man bliver reelt tvunget til at brugt det nye big brother login til netbanker. Og totalt ubehageligt at staten har kontrol over det.

  • 0
  • 0
#32 Poul-Henning Kamp Blogger

Poul-Henning skrev:[quote]

Jeg har svært ved at se hvorfor man ikke bare bider i det sure æble og få en ordentlig kryptografisk key-fob med det samme.  

Og hvorfor mener du så, at denne er bedre?

Den, anvender netop en brydbar algorithme, og ikke tilfældige tal. Alle "koder", der hidtil har eksisteret, og som lovligt har kunnet anvendes, er blevet brudt.[/quote]

Det er nyt for mig, kan du give en reference til f.eks hvor AES er blevet brudt ?

Tilfældige koder, kan ikke brydes. Og det er billigt, at udskifte nøglerne, hvis der er risiko for, at en eller flere af nøgleserverene er stjålden. Den del, der er i HW, skal også stjæles. Det kan gøres svært.

Der er kun et problem indefor kryptografi: Nøglehåndtering.

Det svageste punkt i det foreslåede system er Post Danmark.

Ved at anvende en KeyFob fjerne man det svageste led i kæden og man slipper for en masse manuelt bøvl.

Poul-Henning

  • 0
  • 0
#33 Peter Lind Damkjær

@Per J

Først skal jeg lige bemærke, at jeg som tekniker giver svar på tekniske spørgsmål, der dukker op på debatten. Forretningsmæssige, politisk og juridiske spørgsmål kan jeg ikke svare på!

Min kommentar om opt-out gik derfor også udelukkende på "kontoudtoget".

/Peter

  • 0
  • 0
#34 Niels Elgaard Larsen

@Hilmer

For det første, hvordan ved man som borger, at ens nøgle faktisk ligger på en HSM-enhed? Hvad gør DanID, hvis politiet fx får en dommerkendelse på at udlevere de næste private nøglet Klaus Riskjær og Kurt Thorsen får?

For det andet, selvom DanID ikke har min private X509 nøgle, kan de stadig signere alt det, de vil med den.

  • 0
  • 0
#36 Poul-Henning Kamp Blogger

Tænk på GSM - selvom det er umuligt at bryde, kan det alligevel brydes. Det skyldes ikke nødvendigvis algorithmen.

GSM's kryptering har været kritiseret fra dag 1 som værende for slap, nøglestørrelsen var kritisabelt lille og designdokumenterne for algoritmen blev ikke offentliggjort.

Dårligt eksempel fra din side.

Det er ikke existensen af en dårlig krypto algoritme der er relevant, det er existensen af en eller flere gode algoritmer.

Der er masser af kritisable forhold, men jeg mener ikke en key-fob løser alle. Jeg holder stadigt på, at det er dumt at fremstille key-fobs. De indeholder faktisk en lille cpu, og et display. Det havde været langt billigere, at fremstille en chip, der forbindes til PS/2 stikket i computeren, samt PS/2 stikket i tastaturet.

Her er det så at jeg får en mistanke om at din tilgang til emnet både er alt for teoretisk og håbløst utidsvarende.

En moderne key-fob virker ved at du indtaster en challenge du har modtaget fra den anden ende og din pinkode (som kun du kender, du valgte den selv da du aktiverede din key-fob), disse to inddata kombineres med den private nøgle i key-fob'en og tidspunktet fra det interne real-time ur, og giver den responsekode du skal have tilbage.

Gode key-fobs kan læse stregkoder på skærmen med en fotosensor i det ene hjørne, således at du kun skal taste din pinkode ind. Rigtig Gode key-fobs kan sende svaret med en infrarød lysdiode.

Gode key-fobs slår til enhver tid Post Danmarks "vi passer på at vores medarbejdere ikke stjæler ikke over 1% af pakkerne" service når det kommer til sikkerhed.

Men det vigtige er ikke den detaillerede tekniske udformning, men at princippet er velgennemtænkt.

Det er løse papirkoder der kan stjæles i posten ikke.

Poul-Henning

PS: keyboard/muse ("PS/2") porten er noget af det tåbeligste at interface til på en computer, af både elektriske og softwaretekniske årsager.

  • 0
  • 0
#43 Niels Christian Juul

Jeg medgiver at der er tale om en slags central autentificering af brugere op mod offentlige og private services. Altså en slags Dansk borger ID. Men kan nogen (gerne DanID) forklare mig hvordan man tænker sig at normale danskere skal anvende denne såkaldte digitale signatur til at underskrive sin e-mail korrespondance og til at modtage og afkryptere indgående mails beskyttet via ens offentlige nøgle. Det lader nemlig ikke til at man skal installere noget på den PC/Mac man bruger, og så kan kryptering/afkryptering jo kun finde sted hos DanID, som så har de jo kunne læse med.

  • 0
  • 0
#44 Carsten Jørgensen

en log med hele brugerens brugshistorie næppe er fremmende for privatlivets fred.

Ja, privacy og it-sikkerhed er ikke nødvendigvis det samme. "Kontoudtoget" giver god sikkerhed men, som Peter Lind Damkjær nævner ovenfor, kan man vælge at det ikke skal logges hvor man bruger sin digitale signatur.

det viste nøglekort

Vær opmærksom på, at kortet er kun en illustration, hvor mange har "brudt" koden på kortet?

Måske er meget lav risiko for misbrug, men der bør sikres at ingen medarbejdere - hverken hos staten, eller hos DanID, har mulighed for at misbruge systemet, og at kunne lokke koder ud.

Og det bliver det selvfølgelig også: HSM/tamper proof hardware, intern revision, ekstern revision, funktionsadskillelse osv, osv.

anvende denne såkaldte digitale signatur til at underskrive sin e-mail korrespondance og til at modtage og afkryptere indgående mails beskyttet via ens offentlige nøgle.

Det bliver muligt at downloade en driver (PKCS#11 og CryptoAPI CSP), der gør det muligt at signere og dekryptere e-mails. DanID har selvfølgelig ingen mulighed for at se mails eller hvad man bruger sin signatur til i øvrigt. Linux og Mac understøttes selvfølgelig også.

Carsten Jørgensen DanID

  • 0
  • 0
#45 Jesper Lund

Carsten Jørgensen/DanID skrev:

Vær opmærksom på, at kortet er kun en illustration, hvor mange har "brudt" koden på kortet?

Uanset hvordan kortet designes, kan DanID ikke modstå det simple angreb hvor kortet stjæles efter at brugernavn og passphrase er afluret (eller keylogget) mens brugeren har anvendt sit single sign-on på et offentligt sted. I PBS's pressemeddelelse er der en rørende historie om Christoffer som render rundt og anvender sit single sign-on (altså DanID) på et utal af offentlige steder fordi det hele nu er blevet åh så nemt.

På et eller andet tidspunkt vil det gå galt, og konsekvenserne er langt mere alvorlige end hvis man mister dankort og pinkode. Indbrud i en netbank er til at leve med (det er kun penge, og der er en fin forbrugerbeskyttelse), men nu taler vi om et single sign-on der også virker på en masse offentlige services med gode muligheder for at finde data til identitetstyveri.

  • 0
  • 0
#46 Anonym

På de fleste af de her indlæg lyder det som om den eksisterende signaturløsning er helt vildt smart og sikker. Hvis jeg husker rigtigt, så leveres både nøgle og certifikat i den eksisterende løsning fra en central server. Det er naturligvis nyttigt for PET, men det er ikke særligt betryggende for brugerne.

Anyway, det er ikke lykkedes mig rent faktisk at få en fungerende signatur. Jeg har bestilt den nogle gange, men jeg fik aldrig taget mig sammen til at installere den -- jeg ville alligevel aldrig bruge den til andet end Skat, og Skat fungerer fint med løsen.

  • 0
  • 0
#47 Niels Christian Juul

Tak til Carsten Jørgensen, DanID for flere opklarende svar.

  1. Carsten Jørgensen, DanID kommenterede min bemærkning:

en log med hele brugerens brugshistorie næppe er fremmende for privatlivets fred.

med:

Ja, privacy og it-sikkerhed er ikke nødvendigvis det samme. "Kontoudtoget" giver god sikkerhed men, som Peter Lind Damkjær nævner ovenfor, kan man vælge at det ikke skal logges hvor man bruger sin digitale signatur.

Nej netop. Hvis "sikkerhedsløsninger" implicerer reduceret privacy, så er det "sikkerhedsløsningen", som ikke er god nok. Og logningen er iøvrigt heller ikke den mest brugervenlige måde til at holde øje med om "fremmede" har misbrugt "sikkerhedsløsningen". Læg hertil at en sådan log i sig selv er data, som ikke må kunne kompromiteres (ændres eller ses) af andre end den ægte bruger, og den skal bruges til netop at afsløre om nogen har udgivet sig for den ægte bruger, og de har så også haft adgang til logen (hmmm..)

  1. og til min undren over hvordan centralt opbevarede nøgler kan anvendes:

til at underskrive sin e-mail korrespondance og til at modtage og afkryptere indgående mails beskyttet via ens offentlige nøgle.

forklarer Carsten Jørgensen, DanID:

Det bliver muligt at downloade en driver (PKCS#11 og CryptoAPI CSP), der gør det muligt at signere og dekryptere e-mails. DanID har selvfølgelig ingen mulighed for at se mails eller hvad man bruger sin signatur til i øvrigt. Linux og Mac understøttes selvfølgelig også.

Hvilket jo så må betyde at DanID vil give brugeren et crypto-device? Eller måske et virtuelt crypto-device, dvs at API'en giver adgang til den centrale service; men så er vi jo igang med at lade den centrale service kigge med over skulderen på brugerens e-mails.

Man bliver ved med at gætte - hvorfor lægger DanID ikke sit detaljerede design frem til offentlig kommentering?

  • 0
  • 0
#50 Peter Lind Damkjær

@Niels Christian Juul

Eller måske et virtuelt crypto-device, dvs at API'en giver adgang til den centrale service; men så er vi jo igang med at lade den centrale service kigge med over skulderen på brugerens e-mails.

Både af sikkerhedsmæssige og praktiske grunde sendes e-mails IKKE til den centrale signaturserver, men forbliver i brugerens miljø.

Det er udelukkende den krypterede sessionsnøgle (for krypterede e-mails) og en såkaldt hash-værdi (ved signering af e-mails), der sendes til serveren.

Peter Lind Damkjær DanID

  • 0
  • 0
#51 Anonym

For god ordens skyld vil jeg gerne indskyde at DanId bør holde sig til fakta og undlade al den spin-retorik og falske påstande om hvad man "kan".

Faktum er at sikkerhedskæden brydes i serveren og den har total kontrol. Eftersom DanId har total kontrol over serveren er det en utroværdig model. Borgferen har INGEN kontrol eller end-to-end sikkerhedsmodel.

Uanset påstande om "trusted hardware" etc. er dette faktuelt. Vi KAN IKKE stole på at vi faktisk taler med borgeren og ikke serveren. Vi kan være SIKRE på at der er indbygget total key escrow af dekrypteringsnøgler og authentikering. "tillid" er ikke en luksus man kan tillade sig på så fundamentale spørgsmål.

Man ville være nødt til at have gensidig tillid til tamperresistent nøglekort og der er væsentlige krav om fallback etc., men modellen som DanId bygger er definitorisk i sit design på mistillid, kontrol og overvågning af borgeren - krydret med stærke kommercielle interesser i lock-in.

  • 0
  • 0
#52 Gustav Brock

Ingen fortæller, hvordan dette skal fungere til erhvervsbrug. På kontoret optræder den enkelte bruger, der fx skal henvende sig til en myndighed, som prokurist og ikke som privatperson.

Det nuværende system er en dødsejler, fordi det dels koster penge, dels er et mareridt at installere og vedligeholde.

Brug af e-post er essentiel. At logge ind på forskellige hjemmesider er fint til mange ting, men ikke til den daglige korrespondance, der skal logges og sikkerhedskopieres.

  • 0
  • 0
#54 Anonym

"Jeg er ikke så nervøs for DanID's sikkerhed"

Det er ikke hovedproblemet - det er de kommercielle og teknokratiske særinteresser som ligger bag. Det er selve modellen, du skal være alvorligt bekymret for. Der er kun en respons - NEJ

  • 0
  • 0
Log ind eller Opret konto for at kommentere