henrik knopper bloghoved

Magt over den Digitale Signatur

Jeg havde egentlig besluttet at droppe min digitale signatur og lod den derfor uddø i efteråret.

Det skulle vise sig at det nok var lidt dumt i betragtning af at den rent faktisk fungerede på alle mine platforme.

For i mellemtiden har jeg besluttet at starte et lille firma og det ser umiddelbart ud som om en digital signatur kan være meget smart når man skal administrere sådan et. (Comments, anyone...')

Men da den gamle var døet ud skulle jeg til at bestille en ny. Det gik faktisk fint nok. Men tast-koden fra SKAT ved hånden slap jeg for alt bøvlet med at TDC ville sende mig diverse koder på papir, så jeg havde signaturen i løbet af ca 10 min. Integration der virker. Godt!

Men så stoppede den gode leg også. Linux, Firefox og TDC er ikke de bedste venner, så alle forsøg på at indlæse signaturen på min arbejdsmaskine stoppede i noget der lignede et defekt java-script.

Hmm..

Nå, nu lever vi jo i et land med flertalsdiktatur, så jeg fyrede op under min spillemaskine (den med XP på) og forsøgte øvelsen der.

Jojo, Jeg kunne godt indlæse signaturen via Firefox, men der var absolut ingen mulig måde at få den eksporteret til pkcs12. "Eksporten stoppede med en ukendt fejl". Både i Forefox og fra det ligge program der lægger sig i Start-menuen.

Da jeg gik ned i de sorteste hjørner af min maskine og forsøgte hele øvelsen igen med en støvet IE havde jeg prøvet det så mange gange at signaturen var læst meget grundigt ind i systemet. Gad ikke afinstallere. Næste.

Jeg ringede til TDC support og forelagde dem problemet og mine to tilgangsvinkler. Dumt. Jeg havde jo forsøgt to forskellige løsninger på forskellige niveauer af processen, så de sendte mig en vejledning i det jeg allerede havde fået til at virke. Suk.

Men så, tadaa, ved at kombinere søgeordene rigtigt i google fandt jeg en side med en kompetent og brugbar vejledning. (Tak til forfatteren Peter Lind Damkjær)

For scripts-kiddies er løsningen denne: Tag din signaturfil i html-format og kør gennem følgende kommando:

$ awk -F \" '/^pkcs12=/ {print $2}' signatur.html | fold -b -w 64 | openssl enc -d -a > signatur.pkcs12

(For dem der ikke kan læse awk og vil vide hvad f... der foregår findes forklaringen i ovennævnte link til Mozilladanmark.dk ![Eksternt billede](http://www.version2.dk/uploads/smil3dbd4d6422f04.gif" alt=") )

Importer dernæst signaturen i Firefox og søreme - det kører.

Eneste tilbageværende problem er at de to standarder OpenLogon og OpenSIgn ikke er integreret i Firefox endnu.

OpenLogon anvendes f.eks. på Skat.dk og Klasselotteriet.dk.
OpenSign anvendes f.eks. på NemKonto.dk og Skrivunder.nu.

Men det er ikke værre end at man når man når til authentificering på et af disse sites bare skal vælge "Find certifikat" og udpege sin pkcs12-fil.

Min sidste undren går på om de oplysninger om ClientCertificate og RootCertificate der ligge i html-versionen af dignatur-filen slet ike skal bruges til noget''?

Men jeg vandt - det virker!

Tilføjet: Peter LInd Damkjær har også skrevet en vejledning i at bruge digital signatur til signering og kryptering af emails.

Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Clausen

Tja, svært at sige. Men måske bruges ClientCertificate og RootCertificate til et indledende sanitetscheck (fx om certifikatet er gyldigt) inden applikationen ber om kodeord til at åbne PKCS#12 strukturen. Men bortset fra det findes certifikaterne jo allerede PKCS#12 strukturen.

Måske er tradeoffet ved selv at skulle udpege sin PKCS#12 fil, at man kan slippe for at indtaste et kodeord - det kan man jo selv bestemme ;-) Hvis man altså mener det er sikkerhedsmæssigt forsvarligt...

  • 0
  • 0
Kenneth Auchenberg

Jeg anvender den Crypto Service Providere som TDC har udviklet til brug på Windows.

Dette komponent gør det muligt at for Firefox og andre programmer som understøtter PKCS#12 at tilgå TDC CSP uden at man skal igang med at eksportere sine certifikater til PKCS#12-formatet.

Læs nederst her http://mozilladanmark.dk/wiki/Firefox/TDC_Digital_signatur

  • 0
  • 0
Klaus Kolle

Velkommen i klubben.

Har været i gennem samme prøvelser som dig for vel knapt et par år siden. En total inkompetent support blev ved med at bede mig starte IE! Det lykkedes mig ikke at få fat i en kompetent supporter før jeg skrev til minister Sander og forelagde ham det problem han havde erhvervet sig ved at tvinge mig til at modtage min statslønseddel gennem eboks, men manglende support hos hans foretrukne leverandør af digital signatur. Det hjalp. En over-supporter, der kunne læse - og forstå - min tilsendte oplysninger tilsendte mig kort tid efter et script der kunne trække signaturen ud af den fejlbehæftede html-fil.

Næste gang jeg henvendte mig til minister Sander var så her i efteråret fordi jeg bla. konstaterede at skat og klasselotteriet f.eks. ikke ville kendes ved mig. Jeg havde da først brokket mig til klasselotteriet, som efter en kort email udveksling fik en overordnet til at ringe til mig (it-chef måske - kan ikke huske det). Der fik jeg at vide at man havde implementeret den kode som TDC anbefalede dem at bruge ved indlogning vha. digital signatur.

Jeg undrer mig bare over at eboks og sygeforsikringen danmark sagtens kan logge mig ind uden at skulle ud og rode efter en fil på disken (jeg har faktisk ikke min signatur liggende mere som en fil, men kan da selvfølgelig eksportere den ud af Firefox om fornødent, men jeg forsøger at sætte mig i den sagesløse borgers sted).

Min sidste henvendelse resulterede i en skrivelse fra IT og telestyrelsen, som hældte vand ud af ørene og fandt at den anbefalede løsning var den bedste. Jeg kan jo så konstatere at andre kan implementere løsninger som fungerer problemfrit i mange forskellige miljøer - tankevækkende!

Jeg kan jo kun håbe på at minister Sander næste gang får stillet nogle bedre krav til borgervenlige løsninger når vi skal have en ny digital signatur, for TDC er komplet inkompetente på andet end software ovre fra Redmond.

Jeg fraråder faktisk min omgangskreds at få digital signatur med mindre det er absolut uundgåeligt, for jeg ved jo hvem der måtte komme til at supportere dem...Jeg tilråder dem derimod at anvende Firefox og andre programmer, som ikke lige er lavet i Redmond eller omegn af hensyn til sikkerheden. Og faktisk har det reduceret diverse angreb ganske betragteligt på de maskiner jeg supporterer. Det er der sikkert flere årsager til dette f.eks. at mindre udbredelse medfører mindre interesse fra folk med onde hensigter, selv om f.eks. Firefox efterhånden er ved at være ret udbredt.

Nå, men det er min opfattelse at vi skal "punke" minister Sander så længe, at han kan forstå at vi borgere vil have fornuftige og brugbare løsninger uanset hvilket "fartøj" vi anvender når vi surfer rundt på webbølgen. Det må være et rimeligt krav, da det stadig kun er et fåtal af Danmarks befolkning, som er uddannede inden for IT.

  • 0
  • 0
Peter Lind Damkjær

<citat>
Eneste tilbageværende problem er at de to standarder OpenLogon og OpenSIgn ikke er integreret i Firefox endnu.
</citat>

Projektet er open source. Hvis der er nogen der ønsker at bidrage til den ønskede funktionalitet, hører projektet MEGET gerne om det!

<snip>
OpenLogon anvendes f.eks. på Skat.dk og Klasselotteriet.dk.
OpenSign anvendes f.eks. på NemKonto.dk og Skrivunder.nu.

Men det er ikke værre end at man når man når til authentificering på et af disse sites bare skal vælge "Find certifikat" og udpege sin pkcs12-fil.
</citat>

Hvis man lægger HTML-filen i roden af et drev (f.eks. en USB) eller i mappen "$USERHOME$.oces\" leder OpenOCES/OpenSign default disse steder. Dermed er man fri for at trykke "gennemse..."-knappen. PKCS#12-filen kan også anvendes i omtalte ".oces"-mappe.

<citat>
Min sidste undren går på om de oplysninger om ClientCertificate og RootCertificate der ligge i html-versionen af dignatur-filen slet ike skal bruges til noget???
</citat>

Lige præcis i ovenstående eksempel bruger det til at vise certifikat-information i dropdown-listen, netop uden at brugeren skal indtaste password på forhånd som også Martin skriver i første kommentar.

Ved lejlighed vil jeg tilføje dette til:
http://www.lind-damkjaer.dk/moreDS

/Peter
Der er ansat i TDC, men som i denne sammenhæng skriver som privatperson og deltager i OpenOCES.org.

PS. Tak for roserne til arbejdet på MozillaDanmarks side. Det glæder mig, at det kan finde anvendelse. Til orientering findes indholdet fra MozillaDanmark også som pdf på:
http://www.lind-damkjaer.dk/moreDS/DigitalSignaturMozilla_v0.5.pdf

  • 0
  • 0
Jarnis Bertelsen

Jeg har selv haft lignende erfaringer med at få en digital signatur og har som forfatteren valgt at lade min udløbe, mest fordi jeg faktisk aldrig brugte den.

Jeg mener dog at der er et reelt behov for en udbredt digital signatur. Specielt på email siden synes jeg det er lidt skræmmende at den langt overvejende del foregår ukrypteret og uden signatur (2 sider af samme sag imho), specielt i tider med stigning i industri-spionage og identitetstyveri. Jeg kende ingen firmaer hvor man overvejer at sende fortrolige oplysninger som postkort, men mange hvor de sendes med email på trods af at sikkerheden er sammenlignelig. Jeg prøvede så småt at sætte et projekt i værk med at indføre krypterings-/signatur-muligheder på mit sidste arbejde, men måtte droppe det da det krævede alt for mange resourcer og understøttelsen af OCES var meget mangelfuld i de mail programmer vi brugte.

Er der nogen, der har erfaringer med at indføre/bruge (den offentlige) digital signatur til email for en hel virksomhed?

Jarnis

  • 0
  • 0
Henrik Knopper

@Martin: Man kan godt sætte pkcs12-filen op uden password, men man skal godt nok have tillid til sikkerheden på ens system. Har man det er det ok, ellers er det - som du selv skriver - snarere sinke-sign-on.

@Michael: Sikkerehdskravene er blevet mærkbart hævet de sidste år. HVis TDC ikke føler de har kompetencen til at supportere digital signatur sikkert på flere platforme er det rimeligt nok at de lader være med at prøve. Hvis der sker et sikkerhedslæk med digital signatur - uanset om Martin sinke-signon er benyttet - så vil det være TDC der får en sort streg i panden.

Man kan så påpege, at hvis de ikke påtager at supportere hele Danmarks digital signatur for en del af befolkningen burde de melde det klart ud og overlade den del af opgaven til nogen der kunne og ville.

@Stephan: Jeg erindrer fra tidligere at vi er fundamentalt uenige i fremskridtsværdien af en offentlig (i betydningen styret af staten) digital signatur, men ud fra mit verdensbillede føler jeg mig på højde med situationen :-)

@Peter: Tak for de detaljerede tips. Jeg lægger et link til din moreDS side op under artiklen. Den ser meget brugbar ud. Lige præcis sikker e-mail er jo stadig et rent uland. En så let tilgængelig vejledning fjerner da i hvert fald noget af undskyldningen for end ikke at have det sat op.

@Jarnis: Prøv at kigge i de links Peter henviser til. Der står ikke noget om erfaringer, men en del om hvordan man gør...

Og tak for alle jeres kommentarer ;-)

  • 0
  • 0
Peter Lind Damkjær

@Jarnis og Knopper

Flere virksomheder har med rette overvejet om de ønsker at tillade krypteret e-mail at slippe igennem deres perimetersikkerhed (e.g. central anti-virusscanner). Derfor har TDC udviklet et koncept der var kendt under arbejdstitlen "split-certifikater" og som er produktificeret som Medarbejdersignatur Avanceret.

Yderligere info:
https://split.certifikat.dk
og
http://erhverv.tdc.dk/publish.php?dogtag=f5_e_dig_sig_med_sv

FOR EN ORDENS SKYLD SKAL JEG GØRE OPMÆRKSOM PÅ, AT KUNDEVILKÅRERNE DIKTERER, AT MAN SKAL BESKYTTE SIGNATUREN (OG DERMED PKCS#12-FILEN) MED PASSWORD.

/Peter

  • 0
  • 0
Anonym

Henrik skrev:
@Stephan: Jeg erindrer fra tidligere at vi er fundamentalt uenige i fremskridtsværdien af en offentlig (i betydningen styret af staten) digital signatur, men ud fra mit verdensbillede føler jeg mig på højde med situationen :-)

Jeg tror, der er noget, du har misforstået. Jeg har intet problem med en offentligt udstedt digital signatur. Hvor skulle identitet ellers komme fra? Problemet er hvis det er den eneste, du har - så skal den bruges altid til alting - hvilket er groft uforsvarligt.

Hvis det skal skal skabre fremskridt, så skal din nøgle device kunne håndtere dine mange forskellige devices - ellers er det et ensidigt tilbageskridt.

  • 0
  • 0
Anonym

Jeg mente selvfølgelig at din device skal kunne håndtere mange forskellige nøgler - ikke kun devices.

Problemet er at følgeinvesteringerne i VTUs uansvarlige centraliseringsstrategi bliver ekstremt dyre at rette op på igen. Det har åbenlyst intet med sikkerhed at gøre

  • 0
  • 0
Log ind eller Opret konto for at kommentere