Tillid

SSL certifikat systemet bygger på tillid og hvis man ellers har fulgt nyhederne bør den kunne ligge på et meget lille sted.

SSL certifikater bruges til tre ting på internettet:

  • Autentifikation (Er det virkelige paypals hjemmeside ?)
  • Privacy (at folk ikke lytter med)
  • Integrity (at folk ikke piller i transmissionen)

Hvis ikke autentifikationen er på plads, er de næste to punkter naturligvis ligegyldige: Hvis man kommunikerer med en svindler, er der næppe nogen værdi i at kommunikationen er hemmelig.

Min browser har en indbygget liste af "troværdige rod certifikater" der inkluderer:

"TÜRKTRUST", "AOL", "AS Sertifiseerimiskenkus" og Hong Kongs postvæsen

Stoler jeg på dem ?

Ikke en meter over min dørtærskel...

Faktisk stoler jeg ikke på nogen af de over 100 CA'er.

I den virkelige verden findes der en helt tilsvarende problemstilling:

Hvorledes autentificerer man en person og svaret er at det gør man ved statsudstedte identifikationspapirer.

Det giver nogle sjove specialtilfælde som f.eks H.M. Dronningen.

Kongehuset er ikke underlagt den danske stat, så staten kan ikke udstede et gyldigt pas til Hendes Majestæt.

Heldigvis var hendes far så venlig at skrive et til hende, i hånden, mens tid var, ligesom hun formodentlig har givet Frederik og Joachim hver deres pas.

Men hvis Hendes Majestæt taber sit pas, kan det ikke erstattes.

Om hun ville være istand til at overtale udenlandske told- & grænsemyndigheder til at acceptere et pas hun selv har lavet er et godt spørgsmål.

Men det er jo ikke sådan at pas ikke bliver forfalskede og misbrugt heller.

Herbert Pundik skriver f.eks i sin selvbiografi om hvorledes den Israelske stat "lånte" hans danske pas mens han var dernede.

Situation bliver bestemt heller ikke mindre kompliceret af at efterretningstjenesten i land A ofte hjælper efterretningstjensesten i land B ved at udstede officielle "falske" pas til udlån.

I sidste ende er der kun en person man kan stole på.

For resten må man forlade sig på dømmekraften hos de personer man kan stole på.

phk

Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Guan Yang

Dronningen er siden 1982 også udstyret med et dansk diplomatpas.

I princippet er der vel ikke noget i vejen for at rejse på at pas man selv har lavet—hvordan rejser politimestrene ellers?—men de kongelige pas har åbenbart en mærkelig størrelse og format, og er så sjældne at de ikke umiddelbart bliver accepteret.

Flemming Frandsen

Det er helt igennem i stykker at skulle have en eller anden fremmed til at fortælle mig hvem jeg skal stole på.

MHT. https og andre SSL baserede protokoller, kunne man løse problemet relativt nemt, ved at offentliggøre signaturen af sin offentlige nøgle via DNS, evt. DNSSEC og et par andre databaser, på den måde ville vi slippe af med det nuværende single-point-of-corruption problem.

... fordi det eneste et certifikat fortæller er at man snakker med den server der bør sidde i den anden ende af host navnet, alle de andre oplysninger i certifikatet bliver alligevel aldrig brugt af nogen.

Selvfølgelig er der situationer hvor man ikke er online eller hvor det man ønsker at kontrollere identiteten af ikke har et domæne, men det er relativt sjældent.

Maciej Szeliga

Spørgsmålet er ikke om vi har tillid til de nuværende CA'er men hvilken organisation kan vi egentligt have tillid til ?
Skal det være staten eller EU eller FN ? Hvordan skal det etableres ?
Den nuværende løsning "er der bare"...
Problemet IRL er lige så uløslig som på Internettet, der er ingen what so ever mulighed for at authenticeres nogen med 100% sikkerhed (og nej, biometrisk data kan ikke bruges, hvis det først bliver kompromiteret kan man lige så godt hænge sig).

Christian Panton

Moxie Marlinspike har et forslag til at droppe CA systemet fuldstændigt kaldet Convergence. Se evt. mere i videoen http://youtu.be/Z7Wl2FW2TcA?t=4m59s

Det fungerer med det nuværende system, men dropper CA signatures og kigger istedet på om man får det samme certifikat præsenteret, uanset hvem man spørger i verden. Det er en interessant tilgang og eliminerer problemet med MITM for fx. et enkelt land.

Morten Wegelbye Nissen

og laver mine egne nøgler, dem tror jeg på tror jeg nok ???


Laver du virkeligt dem selv? Tror du kan komme på en eller anden hall of fame til det.

Hvis du ligesom mig er underlagt et program til det, som er kompileret med en compiler - så læs lige engang[0] - du kan ikke engang stole på det setup om du så har adgang til kildekoden til oversætteren.

Til 7 og sidst, kan vi vel ikke stole på noget som helst, end ikke os selv. (Eksempel kan beklædning(eksempelvis cykelshorts) på visse medborger frembringe irrationel adfærd hos mig selv)

http://cm.bell-labs.com/who/ken/trust.html

Carsten Sonne

Men hvis Hendes Majestæt taber sit pas, kan det ikke erstattes ... Om hun ville være istand til at overtale udenlandske told- & grænsemyndigheder til at acceptere et pas hun selv har lavet er et godt spørgsmål.

Der syntes at være noget som ikke helt hænger sammen [*]:

Dronningen er forsvarets øverstbefalende. Udenlandske ambassadører afleverer deres akkreditiver til Dronningen, når de begynder deres hverv i Danmark ... Dronningen står endvidere i spidsen for statsbesøg - både ved udenlandske delegationernes besøg i Danmark og danske besøg i udlandet.

Hvilket fint illustrere hvordan der kun er "en person man kan stole på."

Som jeg siger til mig selv (og andre): Øjnene lyver aldrig.


[*] Wikipidia om Margrethe 2 - http://da.wikipedia.org/wiki/Margrethe_2.

Carsten Sonne

En enkelt ting: Der findes en CA som har postet deres private key online, mao. er hele CA systemet værdiløst.

Hvilket minder mig om hele diskussionen af hvad tillid egentlig er. Nogle vil mene tillid bedst kan beskrives som risiko i en kontekst. Andre vil mene tillid blot er et abstrakt koncept som nødvendigvis må involvere en tredje part. Selv betragter jeg tillid som evnen til at kunne skelne mellem rigtig og forkert, mellem ægte og uægte og mellem sandt og falsk.

De gammeldags romatikkere kan sikkert huske filmen ”Robin Hood: Prince of Thieves” fra 1991 med Kevin Costner som Robin Hood og Morgan Freeman som Azeem , ”Braveheart” fra 1995 med Mel Gibson som William Wallace eller måske ”Dragonheart” fra 1996 med Sean Connery. De rigtigt gammeldags kan måske endda huske "Ivanhoe" eller "Bjergkøbing Grand Prix".

Nogle gange undres man over moderne definitioner af rigtigt og forkert eller af tillid for den sags skyld.

Log ind eller Opret konto for at kommentere