xkcd: Reverse Identity Theft.

Så vidt jeg husker så var de ting som Nets måtte putte ind i deres applet, ting som Oracle længe havde skrevet at de skulle putte i. Update 45 håndhævede så bare de regler. Det er ikke korrekt. Jeg skal ikke kunne sige, om det var præcist det, at DanID havde problemer med, men Java 7u45...

Her er en juridisk mere detaljeret artikel: http://dk.delacour.dk/nyheder/2013/september/ny-kendelse-om-tvangsfuldby... inkl. et link til den faktiske kendelse.

Her er det blandt andet kommet frem, at Nets – selskabet bag DanID, som står bag NemID – havde haft adgang til en beta-udgave af opdateringen Java 7 update 45, som altså sendte NemID-appletten til tælling. Er det blevet bekræftet? Mig bekendt har der ikke været adgang til Java 7u45 gennem det...

Gætter på at det her er problemet: http://stackoverflow.com/questions/19393826/java-applet-manifest-allow-a... Det er tilsyneladende ikke muligt at være kompatibel med både Java 7u21-7u40 og Java 7u45 på én gang. Det burde DanID selvfølgelig have opdaget i god tid og fundet en løsning på inden ...

Ja, men prøv så lige at læse en gang til hvad Peter skriver, for der siger han eksplicit at CA ikke skal kontaktes for at få den offentlige nøgle, men at den leveres med i mailen - og det giver altså ingen mening imo, for så kan jeg jo bare selv signere lige så tosset det kan være, det beviser ...

Den må du meget gerne lige skære ud i pap for mig. For hvis jeg bruger min private nøgle til at signere en mail, og samtidig sender min offentlige nøgle sammen med mailen, hvordan skal modtager så vide at det ikke er noget jeg selv har fundet på, da han jo på den måde ikke verificerer min sign...

Skal det så forstås sådan at jeg kan signere en mail vha. NemID cryptotoken, sende den til dig, og du så kva min offentlige nøgle vil være i stand til at verificere at mailen er fra mig? Vel at mærke udelukkende ud fra jeg sender mailen direkte til dig og ikke blander Nets ind i det, den enest...

Ikke for hardware (person/erhverv) og nøglefils løsningen (erhverv). Der har du selv nøglen, og ingen privat nøgle ligger hos Nets. Det er naturligvis rigtigt, men nu var det jo Sikker Email løsningen til NemId med nøglekort, som Christian spurgte til.

Sidst jeg undersøgte det, var det til Ubuntu, og i øvrigt til en version af Thunderbird der har haft end of life! Så vidt jeg husker supporteres der den nyeste version af Ubuntu med den nyeste version af Thunderbird. Men det burde virke med langt de fleste distributioner og de fleste vers...

Aha, fortæl fortæl - er det så til alle platforme, og hvem har kontrollen over den private nøgle? NemID Sikker Email Der understøttes Windows, Linux og OSX med Outlook eller Thunderbird. I praksis leveres der et Windows CryptoAPI-modul og et PKCS#11-modul, så det vil virke i langt de fle...

NemID er forsøgt designet, så at man skal angribe to steder for at kunne overtage et NemID. Man kan få adgang til én transaktion per angreb ved f.eks. at lave et MITM-angreb, men generelt skal man f.eks.: * stjæle nøglekort og aflure adgangskode * stjæle nøglekort og opsnappe pinkode-brev * a...

Jeg kunne godt tænke mig en model, hvor OCES3 blev frikøbt til privat brug. Der er mange anvendelsesområder: afledte nøgler, OpenID-integration etc., som ikke bliver udforsket fordi man af hensyn til budgettet ikke kan tillade privat brug uden betaling. Hvis det offentlige frikøbte løsningen er ...

Så er det muligt at du kan påstå at DanID kan gøre hvad de vil hvis de piller avanceret ud af konteksten, og det kan de muligvis godt, men så er der ingen lovhjemmel, og derfor kan den heller ikke have nogen retsgyldighed! Almindelige fysiske underskrifter er heller ikke definerede i noge...

Den har været diskuteret mange gange før, men da den eneste lov der findes her i kongeriget er LOV nr 417 af 31/05/2000, som eksplicit skriver: Kapitel 2 § 3. Stk 2) Avanceret elektronisk signatur: En elektronisk signatur, der Jep, det har været diskuteret mange gange før. Og hver gang...

Så fordelen med papkortløsningen skulle være at DanID kunne hjælpe med at at låse ens nøgle op hvis man glemmer passwordet? Så er ens nøgle jo ikke beskyttet fra at det kun er brugeren som kan bruge den. DanID kan ikke låse nøglen op, hvis du har glemt koden. De kan til gengæld generere e...

Et andet spørgsmål jeg godt kunne tænke mig svaret på er, hvordan det ved certifikat-udstedelse sikres at nøglen rent faktisk befinder sig på et Gemalto IDPrime .Net-token? Stoler man blot blindt på brugeren (evt. med lidt jura i baggrunden, på samme måde som man skriver, at brugeren ikke må aff...

Der skulle komme et link efter at det første forsøg på nemid.nu selvbetjening fejler (fordi man ikke har OCES), men man kan også gå direkte til https://www.nemid.nu/log_paa_selvbetjening/brug_banklog-in/ Ja, det var det link jeg ledte efter. I princippet burde nemid.nu automatisk vider...

Er det muligt at lukke af for OCES delen, og kun den del, af det certifikat, som DanID opbevarer? Netbank-delen anvender ikke OCES-certifikatet. Hvis du kun spærrer certifikatet kan du fortsat anvende netbank, men kan ikke længere anvende det til de tjenester, der anvender certifikatet (d...

Betyder det, at man også kan fravælge OCES efter, at have tilvalgt det? Hvis det er tilfældet, så vil jeg meget gerne have et link. Jeg har nemlig ikke kunnet finde det på nemid.nu. Gå ind på NemID selvbetjening, vælg "Certifikater", vælg "Spær" og accepter advarslen.