Baldur Norddahl

Rss
Personligt feed med nye kommentarer i tråde, du overvåger:
https://www.version2.dk/mit/0/kommentarer?token=HPnHcLYhJ8jCXC_UoTnfzqY2R9xpwMBmKONAZAek0jk

Kommentarer

Kommentar til Linux: Rulle eller spring i opgradering?

nej tak

Et problem med rullende opdateringer er at du aldrig ved hvornår et kritisk program pludselig skifter version eller holder op med at virke. Hvis man nu lige sider i noget vigtigt, så er det ikke altid man lige har lyst til at slås med den slags. Jeg foretrækker bestemt at gemme de "spændende...
Kommentar til NemID-hader udstiller elendig phishingbeskyttelse

Re: Der er jo ikke beivst noget som helst?

Hvad skulle der til med den gamle løsning hvor man havde nøglen liggende selv? Selvom der tilsyneladende er en del der tror det, så er den gamle løsning rigtig nok heller ikke god nok mere. Det er for let at stjæle en nøglefil. Men i stedet for et papkort har vi brug for en elekronisk token,...
Kommentar til NemID-hader udstiller elendig phishingbeskyttelse

Re: Der er jo ikke beivst noget som helst?

Tjaeh det kræver jo så at den java applet som man skriver er i stand til at snakke med DanID, hvis det er muligt så er man kommet et skridt nærmere. Nej, det bruger man selvfølgelig DanIDs egen applet til. Det er der mange måder at gøre på. Den mest primitive er en afrikaner der manuelt tast...
Kommentar til NemID-hader udstiller elendig phishingbeskyttelse

Re: Der er jo ikke beivst noget som helst?

Jeg synes tværtimod Rasmus har gjort DanID en tjenste og lidt god reklame. Han beviser nemlig styrken med papkortet via hans såkaldte phishing forsøg. Han har nok ikke nosser til at implementere resten. Det han kunne gøre er at skrive et lille program som logger ind på en kendt netbank. Det e...
Kommentar til Privat NemID-nøgle på smartcard forsinket et halvt år

Re: One-size-fits-nothing

Det er påpeget hvordan man beskytter mod det problem, du omtaler. En veldesignet CA KAN IKKE misbruge sin magt, fordi CA ikke udetekteret kan udstede nye nøgler i borgerens navn og via afledte nøgler kan forhindre CA i at overtage borgerens relationer. Faktum er at sikkerheden i en digital verden...
Kommentar til Privat NemID-nøgle på smartcard forsinket et halvt år

Re: Tænk jer om

Et notat. Uanset hvad teknologi man bruge, kan man aldrig garanteres at der ikke kommer falske underskrifter, fordi mennesker kan snyde mennesker, men man kan sørge for at teknologien, ikke er skyld i snyderiet. Derfor ligger ansvars punktet for at undgå snyd, hos CA'en, i en digial...
Kommentar til Privat NemID-nøgle på smartcard forsinket et halvt år

Re: Tænk jer om

Jeg glemte lige, at når man tale om store beløb som du gør i det eksemple, hyre man som regel en advokat, som undersøgere og garantere at tingene forgår reelt. Tænk PFA, Kurt Thorsen og Rasmus Trads. Der er i øvrigt ingen der siger der er tale om beløb. Et andet eksempel kan være at det lykk...
Kommentar til Privat NemID-nøgle på smartcard forsinket et halvt år

Re: Tænk jer om

Jeg ikke jurist, men det lyder lidt absurd at du kan stilles til ansvar for at andre begår dokumentfalsk? (falsk signatur) En digital signatur skal helst gøre dokumentfalsk umuligt. Husk at man kan være offer for dokumentfalsk både som afsender og modtager. Hvis du lige har købt et hus, og o...
Kommentar til Privat NemID-nøgle på smartcard forsinket et halvt år

Re: Tænk jer om

@Stephan Hvis TDC Softkey Digital Signatur var version 0,8, så er NemId version 0,2. De er end ikke kommet til minimumskravene for en ren CA. NemID er håbløst i den forstand at det er sårbart for man-in-the-middle angreb, som jeg selv beskriver her: http://www.version2.dk/artikel/17165-nemid...
Kommentar til Privat NemID-nøgle på smartcard forsinket et halvt år

Re: Tænk jer om

Da vi bor i et retssamfund, er det nu op til CA'en, eller dem der har udført transaktionen at bevise at jeg også har den anden nøgle.. Det dur ikke. Jeg har som modtager af et dokument fra dig, signeret af en gyldig digital underskrift, ageret herefter. Vi bor netop i et retssamfund så...
Kommentar til Privat NemID-nøgle på smartcard forsinket et halvt år

Re: Tænk jer om

Ftsafe ser bestemt god ud. Næste skridt vil være at lave en fingeraftrykslæser på den, så vi får tre-faktor. Den generelle befolkning forstår ikke at de ikke må låne den ud og kun tre-faktor kan sætte en stopper for det. Jeg gætter på at Ftsafe er en del dyrere end NemID-papkortet. Men desværre ...
Kommentar til Privat NemID-nøgle på smartcard forsinket et halvt år

Re: Tænk jer om

Udstede de et falsk certifikat, kan jeg bevidne at min nøgle ikke passer til det falske certifikat, ved bare at forsøge en transkation. Falskt. Du har ikke bevist at du ikke også er, eller har været, i besiddelse af det andet certifikat. Derudover er skaden sket. Din selvangivelse er download...
Kommentar til Privat NemID-nøgle på smartcard forsinket et halvt år

Re: Tænk jer om

Hvordan kan myndighederne udnytte de muligheder du beskriver uden samtidig at risikere at bevise at de er korrupte? Det er ikke anderledes end med det nuværende system. Min påstand er at man bør fokusere at beskytte imod de reelle skurke i stedet for de spøgelser i ser hos myndighederne. Er ...
Kommentar til Privat NemID-nøgle på smartcard forsinket et halvt år

Re: Tænk jer om

Og så er der selvfølgelig alt det andet. Brugervenlighed, pris, interoperabilitet, formfaktor, social engineering. Men der er ingen grund til at diskutere brugervenlighed eller priser på noget som slet ikke bør implementeres. Det er der i den grad grund til. Dit eget svar på brændt hus var...
Kommentar til Privat NemID-nøgle på smartcard forsinket et halvt år

Re: Tænk jer om

Samme måde som du fik det første certifikat i første omgang. Samme måde som du får nyt pas, hvis dit hus brænder. Det er jo pointen. Eftersom at CA er udråbt til skurken her, så kan de simulere lige præcis den hændelse - uden at spørge nogen anden myndighed. Præcis ligesom myndighederne kan ...
Kommentar til Privat NemID-nøgle på smartcard forsinket et halvt år

Re: Tænk jer om

Du beskriver et ikke-problem. Offentlige public-key og revoke-lister sikrer kontrollen med at der kun er een nøgle, og at det er den du har kontrol med. Forkert, det er DanID som har kontrollen med revoke-listen. Ikke dig. De kan derfor uden nogen forhindring udstede en ekstra nøgle uden at r...
Kommentar til Privat NemID-nøgle på smartcard forsinket et halvt år

Re: Tænk jer om

Kan du komme med nogle eksempler? Meget kendte modeksempler: SSL/HTTPS og den gamle digitale signatur. Hvordan har du i øvrigt tænkt dig at du skulle kunne tilgå 200 forskellige offentlige tjenester efter at dit hjem er brændt ned, hvis CA ikke er i stand til at udstede en ny identitet uden mat...
Kommentar til Privat NemID-nøgle på smartcard forsinket et halvt år

Tænk jer om

Det virker til at vi ser nogle automat reaktioner her. I er låste på modellen med at generere en privat nøgle lokalt for derefter at få den centrale myndighed til at signere den offentlige del af nøglen. På den måde får den centrale myndighed aldrig adgang til den private del. Det forhindrer dog ...
Kommentar til NemID, skal vi kigge på det ?

Man in the middle med Nem ID

NemID skal benyttes som fælles login for banker, offentlige og private tjenester. For eksempel kan den lokale skakklub benytte NemID til login på deres hjemmeside. I det følgende antager vi at skakklubbens hjemmeside er overtaget af onde hackere fra Rusland, som vil overføre penge til danske muld...
Kommentar til NemID, skal vi kigge på det ?

Re: Nøgle brugt ved afbrudt forsøg

Jeg har lige forsøgt, og når et login afbrydes når man har fået challenge (uanset om man trykker afbryd eller lukker browseren), er nøglen brugt (den tæller i hvert fald "nøgler tilbage" ned). Er der nogen der er villig til at se om adgangen bliver spæret efter et antal "afbrudte...