Digital signatur i Norden – klarer Danmark sig godt?

Det ser virkeligt ud til at forretningsmodellen med at man skal tjene pr. transaktion har været medvirkende til de mange skæverter sikkerhedsdesignene for mange af løsningerne i de nordiske lande.

Hvad ser vejen ud, hvis vi skal væk fra de centrale login-portaler?

Måske distribuerede løsninger, hvor der ikke centralt kan holdes øje med ( eller afregnes efter) antallet af transaktioner, da borgerne kan kommunikere direkte med hinanden eller med virksomheder?
Måske med distribuerede lister af invaliderede nøgler?

Kunne du give et par eksempler på hvad du mener med det inforståede: "og det er nok gået op for de fleste af os, at stærke primtal ikke gør det alene, desværre!" ?

Et det, at staten ikke stoler nok på borgerne til at de kan opbevare den private nøgle selv?
Altså holdningen at sikkerhed er noget staten bør gøre på vegne af borgerne, da de ikke er i stand til det selv?

Jeg forbinder digital signatur med det at jeg kan kryptere en mail (som transporteres som almindelig, allerede opfundet email) med min private nøgle, og så kan jeg sende den til en anden som kan dekryptere mailen med min offentlige nøgle - og den modpart kan for så vidt være hvem som helst.

Det eneste lille Danmark kan præstere er en SSO løsning, det har altså imo ikke meget med digital signatur at gøre.

Så taler vi digital signatur, så fejler Danmark fælt (og så er der lige alt det der med et single-point-of-failure, en privat gatekeeper, mim risikoen, den manglende kontrol over egen nøgle, osv, osv)!

Og hvorfor skulle der ikke være nogen vej uden om de centrale logon-portaler - det er ligesom nogen har lidt svært ved at forstå at der er faktisk andet her i landet end staten, selv om staten selvfølgelig gør hvad den kan for at skræmme firmaer og talent ud af landet.

Jeg tror egentlig ikke, at der realistisk set er nogen vej udenom de centrale logon portaler.

Hvorfor er du så begejstret for disse MiTM portaler?

Vi laver en PKI-baseret digital signatur (specielt hvis folk valgte NemID på hardware), som kan bruges til at signere og kryptere email. Derefter dropper vi stort set ideen om at sende emails, og tvinger borgere og virksomheder ind i et webmail koncept, hvor vi er nødt til at stole på en central server administreret af et amerikansk-ejet IT firma. Jeg kan ikke kontrollere hvem afsenderen af et brev i "min" e-Boks er ("min" fordi det ikke er min e-Boks), og jeg kan ikke checke om dokumentet er blevet ændret mellem afsender og modtager.

NemLogin er et MiTM angreb som over for en server giver sig ud for at være mig. Det er meget fint at jeg kan udtrykke min utilfredshed ved de centralt opbevarede private nøgler i NemID ved at smide 300 kr efter NemID på hardware. Men NemLogin kan jeg ikke undgå, og NemID på hardware kan ikke bruges ret mange andre steder. Man kan selvfølgelig mene at et MiTM angreb er bedre end to, men den er lidt søgt.

@Christian: Herhjemme blev NemLog-In bla. indført for at muliggøre borger.dk og adgangen herfra til andre sites, uden at brugeren skulle logge på igen. Men siden er den cementeret igennem eDag3 som strategisk og det offentlige kræver at borgerrettede løsninger understøtter den. Dette har handlet om convenience og ikke om sikkerhed, som jeg ser det. Når vi kigger mod understøttelse af udenlandske signaturer i fremtiden, vil det blive endnu mere nødvendigt med disse mellemhandlere og hele federation området peger jo også den vej.

Hvad er det egentlig du vil sige, og forventer du i virkeligheden ikke noget svar når du laver sådan et blog indlæg som du har lavet, eller forventer du bare at vi klapper i vores små hænder og siger, ih hvor går det godt?

Du kan vende og dreje den på en milliard måder, men faktum er at vi har ikke nogen digital signatur i Danmark - punktum.

Og at sætte convenience over sikkerhed er imo direkte dumt - jeg kan også hoppe i seng med en luder på Haiti, og det er da nemmere at undlade gummiet, men det er denundelyneme dumt.

Så det vi står tilbage med er en kummerlig (og stinkedyr) SSO løsning til det offentlige, og en fantastisk gateway for NSA og andre suspekte - men som Helle siger, vi blir sgu glade for det i længden.

Og så smøg du dig fint uden om problematikken om at der også kan være et behov for at at signere borger til borger, borger til privat firma, og firmaer i mellem - alt dette ville være muligt hvis vi havde en rigtig digital signatur, og ikke en offentlig pendant til Facebook.

For tænk, selv om centralmagten gør hvad den kan for at umyndiggøre borgere og firmaer, så har disse altså stadig et behov for at kunne kommunikere, det drejer sig altså ikke kun om kommunikation til Engsoc!

@Jesper: Jeg mener at slutbrugerne har "stemt med fødderne" i forhold til at foretrække webmail fremfor mailklienter.

Åhhh, 50 billion flies argumentet - og så kan vi ellers parkere hjernen et andet sted.
Eller vi har måske bare gang i noget Erasmus Montanus logik - skæbnens ironi at dette skulle ske i Holbergs hjemland.

Dette har staten så lagt sig i slipstrømmen af. Sikkerhedsmæssigt er S/Mime fra mailklienten stærkere, men også sværere at anvende for mange almindelige brugere.

Og igen, drejer kommunikation sig kun med hvad Engsoc vil sende af dekreter til Winston og Julia, eller har det måske foresvævet dig at andre også kunne have gavn af sikker kommunikation?

Der er forøvrigt en softwarepakke til NemID nøglekort som gør det muligt at lave S/Mime direkte fra en lokal mailklient, men den er ikke ret anvendt eller kendt.

Aha, fortæl fortæl - er det så til alle platforme, og hvem har kontrollen over den private nøgle?

Aha, fortæl fortæl - er det så til alle platforme, og hvem har kontrollen over den private nøgle?

NemID Sikker Email

Der understøttes Windows, Linux og OSX med Outlook eller Thunderbird. I praksis leveres der et Windows CryptoAPI-modul og et PKCS#11-modul, så det vil virke i langt de fleste programmer, der understøtter kryptografiske moduler.

Den private nøgle befinder sig fortsat hos DanID. Pakken giver blot adgang til at lave RSA operationerne med den private nøgle gennem et standard interface i stedet for gennem appletten.

Der understøttes Linux og Thunderbird.(Jeg har fjernet noget)

Sidst jeg undersøgte det, var det til Ubuntu, og i øvrigt til en version af Thunderbird der har haft end of life!

Der understøttes Linux og Thunderbird.(Jeg har fjernet noget)

Sidst jeg undersøgte det, var det til Ubuntu, og i øvrigt til en version af Thunderbird der har haft end of life!

Den private nøgle befinder sig fortsat hos DanID. Pakken giver blot adgang til at lave RSA operationerne med den private nøgle gennem et standard interface i stedet for gennem appletten.

Ikke for hardware (person/erhverv) og nøglefils løsningen (erhverv). Der har du selv nøglen, og ingen privat nøgle ligger hos Nets. Den ligger i pkcs11 modulet, henholdsvis på crypto token og i nøglefilen (som den gamle digitale signatur).

Sidst jeg undersøgte det, var det til Ubuntu, og i øvrigt til en version af Thunderbird der har haft end of life!

Så vidt jeg husker supporteres der den nyeste version af Ubuntu med den nyeste version af Thunderbird. Men det burde virke med langt de fleste distributioner og de fleste versioner af Thunderbird. Vejledningen er til gengæld rigtigt nok til en gammel version af Thunderbird, men der er vist ikke lavet meget om der.

Ikke for hardware (person/erhverv) og nøglefils løsningen (erhverv). Der har du selv nøglen, og ingen privat nøgle ligger hos Nets.

Det er naturligvis rigtigt, men nu var det jo Sikker Email løsningen til NemId med nøglekort, som Christian spurgte til.

Ikke for hardware (person/erhverv) og nøglefils løsningen (erhverv). Der har du selv nøglen, og ingen privat nøgle ligger hos Nets. Den ligger i pkcs11 modulet, henholdsvis på crypto token og i nøglefilen (som den gamle digitale signatur).

Skal det så forstås sådan at jeg kan signere en mail vha. NemID cryptotoken, sende den til dig, og du så kva min offentlige nøgle vil være i stand til at verificere at mailen er fra mig?

Vel at mærke udelukkende ud fra jeg sender mailen direkte til dig og ikke blander Nets ind i det, den eneste kontakt til Nets er når du henter min offentlige nøgle.

Og så i øvrigt undrer Mortens udgangspunkt mig såre, for hvis jeg trækker frem hvad Niels Didriksen skrev i en tidligere debat med Morten, så virker det som om at Morten ikke vil lytte:

"Jeg håber derfor, at du ikke, som så mange andre der er tæt på udviklingen af systemerne, vælger at danse blindt og døvt omkring den 18 tons store lyserøde elefant med rotorblink på hovedet, der står midt i dagligstuen.

Eller sagt på en anden måde; hvis du vælger at forholde dig passivt/ukonstruktivt eller slet ikke forholde dig til de fatale og grundlæggende designfejl og problemer i NemID, så er din blog (ked af at sige det) fuldstændig ligegyldig, og du burde derfor spare dit krudt til når nets mangler inspiration til selvforherligende pressemeddelelser."

Endvidere fandt jeg lige dette som blev fremført på IT-arkitekturkonferencen
den 1. april 2009:

"Den digitale signatur er et tilbud til borgere og virksomheder – der kræves særskilt lovhjemmel, hvis anvendelsen gøres obligatorisk inden for specifikke områder."

Og den lovhjemmel der refereres til er aldrig kommet, men alligevel er man ved at gøre anvendelsen obligatorisk.

Ja sådan fungerer S/Mime fra cryptotoken.

Jeg spurgte om jeg kunne i praksis, uden at Nets fungerer som andet end CA - jeg spurgte ikke efter en teoretisk betragtning.

Jeg lytter generelt meget, men formålet med bloggen er ikke, at alle bliver enige, men at flere forhåbentlig ser mere af forhistorien på området.

Og alligevel så bliver du ved med at trampe rundt som elefanten, for at bruge Niels' billede - og du forholder dig stadig ikke til privat-privat problematikken.

Så lad mig lige ridse op:

Hele digitaliseringen i Danmark, herunder den såkaldte digitale signatur er slået helt, helt fejl, da man har taget udgangspunkt i en proprietær løsning, hvor mantraet er "nem" i stedet for sikkerhed.

Dermed står vi nu med en SSO løsning til det offentlige, bygget over en model hvor en central (privat) aktør er gatekeeper for hele landet, og hvor borgeren ikke har kontrol over egen nøgle.
Endvidere er der kun et sikkerhedsniveau, svarende til at jeg skulle bruge samme nøgle til hønsehuset, huset, bilen og bankboksen, jeg kan ikke lave afledte nøgler, og jeg kan ikke lave fuldmagter, svarende til at hvis min nabo skulle låne min plæneklipper mens jeg er på ferie, ja så ville han også have fri adgang til min bankboks!

I det hele taget er leddet privat - privat (virksomhed, borger) helt ladt ude af ligningen, til trods for at der foregår mere kommunikation der, end privat - offentlig.

Så med det-skal-være-nemt mantraet har man i løbet af få år malet sig op i en krog det vil tage årtier at komme ud af igen, og samtidig har man lullet borgene ind i en helt forkert og afslappet holdning til sikkerhed - det skal ikke nødvendigvis være nemt, sikkerheden skal står først, og så må man ellers implementere løsninger der fungerer.
Det virker som om at "nogen" har opdaget internettet, og så skal det ellers bare bruges uden at tænke sikkerhed ind fra dag et.

Det er helt fejlslagent, og den tvungne digitalisering der pågår, i stedet for at lokke med attraktive tilbud, parret med en uheldig sengealliance med bankerne, er med til at Danmark i den grad mister talent, arbejdspladser og konkurrenceevne - se nu bare det seneste "initiativ" med post mellem det offentlige og firmaer, hvor firmaer skal tvinges til at bruge en central (NSA overvåget - fint, så kan de også sætte industrispionage i system) webbaseret mailløsning, som giver en masse bøvl og omkostninger for firmaerne, i stedet for at benytte det allerede opfundne email.

I det hele taget, så betyder det offentliges opbygning af en firewall omkring sig selv, at afstanden mellem centralmagten og de borgere og virksomheder, som de i virkeligheden er sat i verden for at servicere, ikke omvendt, bliver større og større, og de administrative omkostninger som der dermed læsses over på virksomheder og borgere er mangefold større en de teoretiske Villyarder det offentlige sparer.

Så nej, Danmark klarer sig rigtig, rigtig dårligt.

Når det foregår ved, at bsværliggøre/umuliggøre alle andre, mindre Bigbrother/Arrogant bedrevidende-på-vegne-af systemer???

kanonbådsmetode!

Skal det så forstås sådan at jeg kan signere en mail vha. NemID cryptotoken, sende den til dig, og du så kva min offentlige nøgle vil være i stand til at verificere at mailen er fra mig?

Vel at mærke udelukkende ud fra jeg sender mailen direkte til dig og ikke blander Nets ind i det, den eneste kontakt til Nets er når du henter min offentlige nøgle.

Ja. Hvis du sender en mail ved hjælp af "NemID Sikker Email" bliver der genereret en S/MIME besked, der indeholder beskeden, en RSA digital signatur og dit OCES-certifikat. RSA signaturen er genereret af den private nøgle, der ligger i DanIDs server.

Modtageren kan validere at du er afsender ved at validere signaturen og certifikat-kæden. Et led i det er at checke om certifikatet er spærret, hvilket kræver et opslag i DanIDs spærreliste. Udover det er DanID ikke involveret i valideringen.

Modtageren skal naturligvis stole på DanID, men man skal jo også stole på CA'en i en "klassisk" PKI.

Som jeg kan se har du målt på to parametre:

• Valgfrihed af løsning

• Udbredelse af både de enkelte løsninger og samlet udbredelse.

Det der slår mig er at samtlige løsninger, bortset fra den danske, tilsyneladende giver brugeren et mål af valgfrihed. I Danmark består "valgfriheden" hovedsagligt af om man vil have adgang til det offentlige eller kan nøjes med sin primære bank.

På den led er Danmark absolut bagerst i feltet.

Dine tal for udbredelse er meget svære at sammenligne. Det kunne være mere interessant at opgøre hvor stor del af den voksne befolkning der samlet set login-tjenesterne i de enkelte llande.

I Danmark er NemID aggressvit mast ned i halsen på befolkningen med trusler om at få frataget adgang til offentlig service. Hvordan har de andre lande opnået deres udbredelse?

På denne led mener jeg nærmest at Danamark har diskvalificeret sig selv.

Jeg spurgte om jeg kunne i praksis, uden at Nets fungerer som andet end CA - jeg spurgte ikke efter en teoretisk betragtning.

Lige præcis sådan fungerer det med Hardware / nøglefils løsningen. I praksis ikke i teorien.

Som sagt før: s/Mime,PKI,X509,PCKS11.

Lige præcis sådan fungerer det med Hardware / nøglefils løsningen. I praksis ikke i teorien.

Som sagt før: s/Mime,PKI,X509,PCKS11.

Det er jo ikke korrekt, hvis man tager det Rasmus skriver for troende, for den private nøgle ligger stadig på DanIDs server --> epic fail.

Han skriver om TOTP (nøglekort). Jeg skriver om Hardware (borger/erhverv) og nøglefils løsningen. Du er stadigvæk nødt til at prøve at sætte dig lidt ind i de ting du kritiserer Christian. Så ja, epic fail.

Han skriver om TOTP (nøglekort). Jeg skriver om Hardware (borger/erhverv) og nøglefils løsningen. Du er stadigvæk nødt til at prøve at sætte dig lidt ind i de ting du kritiserer Christian. Så ja, epic fail.

Så du siger dermed, at hvis jeg erhverver mig en cryptotoken, så har jeg, og kun jeg den fulde magt over min private nøgle, og på den måde kan jeg signere en mail (i eksempelvis Thunderbird), sende direkte til dig, og det eneste du skal foretage dig for at se at det er korrekt signeret er at dekryptere min signatur med min offentlige nøgle som du henter hos DanID?

Hvis det er tilfældet, så må du gerne sende mig et link til hvorledes jeg erhverver mig sådan en løsning - og vel at mærke uden jeg lige skal logge ind med NemID først!

Så du siger dermed, at hvis jeg erhverver mig en cryptotoken, så har jeg, og kun jeg den fulde magt over min private nøgle, og på den måde kan jeg signere en mail (i eksempelvis Thunderbird), sende direkte til dig, og det eneste du skal foretage dig for at se at det er korrekt signeret er at dekryptere min signatur med min offentlige nøgle som du henter hos DanID?

Hvis du erhverver dig "NemID på hardware", genereres og gemmes din private nøgle på dit cryptotoken.

Hvis du anvender S/MIME behøver modtageren normalt ikke at hente den offentlige nøgle hos Nets DanID, da din mailklient typisk sender certifikatet (og dermed den offentlige nøgle) med i emailen.

Hvis det er tilfældet, så må du gerne sende mig et link til hvorledes jeg erhverver mig sådan en løsning - og vel at mærke uden jeg lige skal logge ind med NemID først!

https://www.nemid.nu/dk-da/privat/nemid_paa_hardware/

@Peter Lind

Nu vi er ved at afdække hardwareløsningen:

Jeg har i nogen tid overvejet at investere I løsningen, men det har ikke været mig muligt at finde ud af, hvor den kan bruges ? Findes der en liste over, hvem der supporter den på lige fod med den normale OCES ?

Jeg er naturligvis interesseret i, at den virker de "almindelige steder", som borger.dk, sundhed.dk, skat.dk, eboks.dk osv...

Jeg er klar over at bankerne bruger papkortet.

Jeg har i nogen tid overvejet at investere I løsningen, men det har ikke været mig muligt at finde ud af, hvor den kan bruges ? Findes der en liste over, hvem der supporter den på lige fod med den normale OCES ?

Se det er til gengæld et rigtigt godt indspark i debatten.

Jeg forsøgte mig med poces på hw på PostDanmark, men der er der kun TOTP papkort login. Det er et stort problem.

Hvis man så har udstedt sit Poces til hw, hvordan logger man så lige ind der? Ens Papkort (TOTP) er jo kun kort tids. Dvs. til bankerne.

Det skal dog sige at nemlogin, det fælles offentlige login, virker fint med hw.

@Claus

Der findes mig bekendt ikke en liste over tjenesteudbydere, der understøtter NemID på hardware.

Men alle tjenesteudbydere, der anvender NemLogin (e.g. borger.dk, sundhed.dk og skat.dk) og KMDs tilsvarende NemAdgang (e.g. E-boks og en række fagforeninger og A-kasser), understøtter løsningen.

@Peter

Er det korrekt forstået, at jeg ikke skal enable OCES for at benytte kortet. Jeg ønsker ikke, at OCES kan anvendes med den central opbevarede private nøgle - kun den private på kortet.

@Claus

Er det korrekt forstået, at jeg ikke skal enable OCES for at benytte kortet.

Ja, det er korrekt forstået. Du behøver ikke at enable OCES på dit nøglekort for at bruge NemID på hardware.

Nu har jeg forsøgt at købe hardwaren i flere dage men Gemalto som man bliver henvist til har deres webshop nede. Er der nogen som ved om der er andre godkendte webshops?

Jeg har investeret i "NemID på hardware".
Jeg kan hermed stadig ikke logge ind på min pensionskasse (AP Pension), min A-kasse (MA), hos Telia, hos dba.dk, ...

Så det er stadig en kamp uden lige at slippe for OCES. Så Danmark er bagud på point mht. valgfriheden. Det virker klart som at DanID bestemt ikke har travlt med at give de private udbydere support form "NemID på hardware" med i posen.

Jeg har investeret i "NemID på hardware".
Jeg kan hermed stadig ikke logge ind på min pensionskasse (AP Pension), min A-kasse (MA), hos Telia, hos dba.dk, ...

Hvorved man kan konkludere at Nikolajs forblommede skamrosning af løsningen stadig kun omfatter en løsning der langt hen ad vejen er teoretisk!

Mao EPIC FAIL

Ingen skam rosning.

Men at du ikke kan logge ind hos forskellige service udbydere med een af løsningerne er IKKE Nets DanIDs ansvar. Det er dem der står bag den aktuelle tjeneste du skal have fat på. Eks. er det langt ude, at beskylde nets for, at hw løsningen ikke virker på PostDKs hjemmeside. Det var nok bedre at spørge PostDK, hvorfor det forholder sig sådan.

Jeg prøver bare at påpege at din kritik er faktuel forkert og blander en hel del forskellige ting sammen i en pærevælling. Du evner ikke at læse op på dokumentationen af de ting du kritiserer og læner dig op ad diverse pseudo argumenter.

I det hele taget et ret godt eksempel på, hvad der er galt med debatten ang. nationale digitale signaturer.

Dertil kommer at du måske burde justere din debatform, den er ikke befordrene for en saglig debat, og hører mest hjemme på Nationen.

@Peter

"Man kan stadig ikke logge ind mange steder"

Hvordan hænger det sammen med, hvad du skrev til mig ?

Nikolaj -

Du prøver bevist at dreje dabatten ud på et sidespor - kan du ikke finde et andet sted at trolle ?

Hvis du anvender S/MIME behøver modtageren normalt ikke at hente den offentlige nøgle hos Nets DanID, da din mailklient typisk sender certifikatet (og dermed den offentlige nøgle) med i emailen.

Den må du meget gerne lige skære ud i pap for mig.

For hvis jeg bruger min private nøgle til at signere en mail, og samtidig sender min offentlige nøgle sammen med mailen, hvordan skal modtager så vide at det ikke er noget jeg selv har fundet på, da han jo på den måde ikke verificerer min signatur vha. den offentlige nøgle der skal ligge hos CA?

Som jeg forstår S/MIME så fordrer det at jeg først har modtaget modpartens certifikat før jeg kan sende en mail på den måde du beskriver - det er så også fint nok der hvor man allerede har etableret et forhold til modparten, men det kan man jo som privat ligeså godt gøre vha. f.eks. PGP, så ingen grund til at rode DanID ind i det.

Var det ikke at løsningen er understøttet af NemLogin samt af de virksomheder som har valgt at implementere understøttelsen?

Den må du meget gerne lige skære ud i pap for mig.

For hvis jeg bruger min private nøgle til at signere en mail, og samtidig sender min offentlige nøgle sammen med mailen, hvordan skal modtager så vide at det ikke er noget jeg selv har fundet på, da han jo på den måde ikke verificerer min signatur vha. den offentlige nøgle der skal ligge hos CA?

Din offentlige nøgle ligger i certifikatet sammen med bl.a. dit navn og din email-adresse. Den klump bliver så underskrevet med CAens private nøgle og signaturen lagt ned i certifikatet. Hvis jeg nu er i besiddelse af CAens offentlige nøgle kan jeg ved at verificere signaturen i certifikatet få bekræftet at den offentlige nøgle må tilhøre dig (eller i hvert fald at CAen har attesteret dette).

Din offentlige nøgle ligger i certifikatet sammen med bl.a. dit navn og din email-adresse. Den klump bliver så underskrevet med CAens private nøgle og signaturen lagt ned i certifikatet. Hvis jeg nu er i besiddelse af CAens offentlige nøgle kan jeg ved at verificere signaturen i certifikatet få bekræftet at den offentlige nøgle må tilhøre dig (eller i hvert fald at CAen har attesteret dette).

Ja, men prøv så lige at læse en gang til hvad Peter skriver, for der siger han eksplicit at CA ikke skal kontaktes for at få den offentlige nøgle, men at den leveres med i mailen - og det giver altså ingen mening imo, for så kan jeg jo bare selv signere lige så tosset det kan være, det beviser intet andet end hvad jeg så selv påstår.

Så enten skal DanID være CA på traditionel vis, eller også hvis vi taler S/MIME så skal jeg have aftalt spillets regler på forhånd med modtager.

Ja, men prøv så lige at læse en gang til hvad Peter skriver, for der siger han eksplicit at CA ikke skal kontaktes for at få den offentlige nøgle, men at den leveres med i mailen - og det giver altså ingen mening imo, for så kan jeg jo bare selv signere lige så tosset det kan være, det beviser intet andet end hvad jeg så selv påstår.

Så enten skal DanID være CA på traditionel vis, eller også hvis vi taler S/MIME så skal jeg have aftalt spillets regler på forhånd med modtager.

Det er også korrekt. Mailen indeholder beskeden, en digital signatur, dit certifikat og et antal CA-certifikater.

Modtageren antages så at have et såkaldt rod-certifikat, som han stoler på.

Modtageren verificerer så:
* at den digitale signatur på meddelelsen er korrekt.
* at informationen i certifikatet matcher afsenderen af emailen.
* at signaturen på dit certifikat er korrekt (hertil bruger han informationen i CA-certifikatet) og at det er korrekt udstedt.
* at dit certifikat ikke er spærret.

Herefter fortsætter han processen med at verificere at CA-certifikatet er korrekt udstedt af den overliggende CA og således fortsætter han indtil han når op til en CA, som han stoler på (f.eks. Verisign).

Den process kræver ikke kontakt med CAen udover spærreliste-checket.

Så enten skal DanID være CA på traditionel vis [...]

Det er DanID også. Udover at opbevare den private nøgle i nøglekortløsningen agerer de også CA ved at udstede OCES-certifikater. Funktionen som OCES-CA deles blandt alle løsningerne.

@Claus Bruun og Christian Nobel

Jeg kan se at spørgsmål rettet til mig er besvaret af Jakub Nielsen og Rasmus Faber. Jeg kan ikke tilføje så meget.

Og målt på disse parametre mener jeg, at Danmark har et godt udgangspunkt for den videre udvikling.

Men svare det ikke lidt til at måle kvaliteten af et demokrati alene på stemmeprocenten?