Rasmus Faber-Espensen

Rss
Personligt feed med nye kommentarer i tråde, du overvåger:
https://www.version2.dk/mit/0/kommentarer?token=HPnHcLYhJ8jCXC_UoTnfzqY2R9xpwMBmKONAZAek0jk

Kommentarer

Kommentar til Nets DanID klar med privat NemID-nøgle 20. november

Re: Hvorfor er der hardware indblandet?

Så vil brugere kunne generere deres egen nøgle med et program de selv har skrevet (eller har fået nogen de stoler på og selv har valgt at stole på til at skrive) i et vilkårligt programmeringssprog, eller lavet med blyant og papir, eller whatever. Du må naturligvis generere alle de privat...

Re: Trusting trust...

Jeg mener, kan man overhovedet foretage "en validering" medmindre man har hele DanId's infrastruktur på plads med Java-applet(-emulator) og nøglekort? En NemID-signatur er blot en RSA-signatur pakket ind i en XMLDSig-struktur sammen med et X.509 certifikat. Så hvis man...

Det handler vel om en

Det handler vel om en implementation af RFC 5126: Man sørger for at pakke signatur, certifikater, revokeringslister osv. sammen i en pakke, får lagt et tidsstempel på og sørger derefter jævnligt for at få nye tidsstempler lagt på - med nyere og nyere algoritmer efterhånden som best practice ændre...
Kommentar til Specialtegn i firmanavnet spærrer adgang til sygedagpenge

PrintableString

Hvis jeg skal gætte på problemet, vil jeg tro at det drejer sig om at det underliggende certifikat altid plejede at have navnet indkodet som en ASN.1 PrintableString eller BMPString, men nu bliver indkodet som en ASN.1 UTF8String (følgende den forholdvis nye RFC5280), hvis navnet indeholder &...
Kommentar til Stort sikkerhedshul i Java åbner for angreb

Re: Heat mod Java eller?

En af grundene er at Java har en virtuel maskine JVM og en sandkassemodel - som er designet til Internet og browsere. Hvor man ret præcist kan angive rettigheder til programmerne - medmindre de har en dårlig programmør der bare ber om fuld adgang. Så pænt er Java browser-plugin modellen d...
Kommentar til Antallet af netbankindbrud stiger trods NemID

Ifølge Finansrådet var der 10

Ifølge Finansrådet var der 10 indbrud i 2011, 12 i 2010, 111 i 2009 og 251 i 2008. Der var 29 i første kvartal 2012, der er ikke tal for 2. kvartal endnu på dne side. Det havde forbedret artiklen væsentligt, hvis de tal havde været rapporteret.
Kommentar til DanID: Du kan sagtens bruge NemID på MacOS X 10.5

Re: Forresten ... er der ikke

en klassiker er en kode i stil med 282868, som har et mønster jeg har oplevet flere gange (aba cdc-ish) 1% af alle nøgler har den form, så der vil være ca. 2 koder af den form på et typisk nøglekort. En stor del af koderne har dobbelt-cifre (00, 11 etc) i Ca. 41% af nøglerne vil ...
Kommentar til DanID: Du kan sagtens bruge NemID på MacOS X 10.5

Re: Forresten ... er der ikke

Er der nogen fra Jyske Bank herinde, der kan forklare processen? Jeg er ikke fra Jyske Bank, men der er billeder her: Skærm 1 Skærm 2 Desværre kunne en angriber jo opsnappe kundenr. og nøglekortnr. først, sende det ind til Jyske Bank og med det samme få nøglenummeret, som han så kan præs...
Kommentar til Danske firmaer bange for at underskrive kontrakter med NemID

Re: Underskrift med NemID

Det jeg i mine tidligere løsning for en mellemstor dansk bank har fundet svært er at bruge underskriften retsligt til noget. Man kan af DanID kun få brugeres PID og kan dermed ikke sikre at den der skriver under på et juridisk dokument reelt er den som han har udfyldt kontrakten på eller at han...

Re: A little knowledge...

En random number generator der genererer et nummer udelukkende baseret på tidspunkt er ikke en random number generator ... eller, hvis det er, så er det en fantastisk dårlig en af slagsen. Tjah, den kan jo være ganske udmærket til f.eks. Monte Carlo simulationer. Man bruger jo tilfældighe...
Kommentar til Trojaner gik efter alle netbanker med NemID-login

Re: Relativt nemt forbedring...

Kræv IP nr låsning så hvis man er logget ind fra et ip nr kan et andet ip ikke logge ind samtidigt. I dette tilfælde havde angriberne jo en trojansk hest kørende på systemet, så de kunne helt trivielt have haft trojaneren til at agere proxy for dem og derved omgå en sådan kontrol.
Kommentar til Problemet med NemIDs "generelle sikkerhed"

Re: Rent teknisk ER NemID en

det eneste der sker, når jeg logger ind på SKAT.dk via login.sikker-adgang.dk er, at NemIDs API godkender mit brugernavn, password, og OTP, hvorefter SKAT.dk opretter en session med mig. Når login.sikker-adgang.dk starter appletten, anmoder de dig om at underskrive en challenge med din(*)...
Kommentar til Gadget-kalenderen: Få en Kindle til 775 kroner

epub

Min kone og jeg har en Kindle hver og er rigtig glade for dem. Det er fantastisk at have hele sit bibliotek med sig overalt og jeg synes de er mere behagelige at læse på end en fysisk bog. Jeg læser mest engelske bøger og det virker fint med køb fra Amazon og overførsel over 3G. Min kone læser ...
Kommentar til NemID's store succes: Kun én netbank-tyv havde heldet med sig i 2011

Re: Man glemmer et par ting

her et par konkrete foreslag til forbedring: Dejligt at der endelig er nogen, der starter en konstruktiv debat! Jeg er helt enig i de fleste af dine forslag. Især har jeg undret mig meget over, at man både ved den gamle og den nye Digitale Signatur ikke valgte at frikøbe private virksomhe...
Kommentar til Datatilsynet forundret: Hvor bliver den private nøgle til NemID af?

Milliarder

Det offentliges financiering af NemID beløber sig til 205 millioner fordelt over 2008-2014. Heraf er de 111 millioner placeret i 2008-2011 (kilde). Jeg vil nødig forholde mig til om det er for meget eller for lidt, men der er altså et stykke op til, at man kan kalde det for et milliard-projekt.
Kommentar til Digitaliseringsstyrelsen: Stol på os - vi holder DanID i kort snor

Re: Begreber

I fortsættelse af hvad Niels siger, mener du så at dine betragtninger også gælder for alle andre love her i landet. Ja, jeg mener generelt, man skal læse loven og så følge de regler, som man er omfattet af. Jeg mere ikke, man skal følge de regler, man ikke er omfattet af. F.eks. mener jeg...
Kommentar til Digitaliseringsstyrelsen: Stol på os - vi holder DanID i kort snor

Re: Begreber

Når loven specificerer hvad en KVALIFICERET digital signatur er, så deraf følger naturligvis at NemID er en UKVALIFICERET signatur. Jep. Jeg ville formulere det som, at NemID's certifikater ikke er kvalificerede certifikater (loven snakker om kvalificerede certifikater, ikke om...
Kommentar til Digitaliseringsstyrelsen: Stol på os - vi holder DanID i kort snor

Re: Begreber

At man blæser på lovgivningen for at få et figenblad at stå på, når man påstår at det er en digital signatur er patetisk. Du mangler stadig at forklare, hvorfor du mener, at Lov om Elektroniske Signaturer (eller anden dansk lov) skulle begrænse DanID for at kalde (resultatet af at udføre ...
Kommentar til Digitaliseringsstyrelsen: Stol på os - vi holder DanID i kort snor

Re: Begreber

Lov nr. 417 af 31/05/2000 om elektroniske signaturer udtrykker ganske klart følgende: § 3. I denne lov forstås ved: [...] Bemærk den første sætning i §3: "I denne lov". Loven lægger ikke begrænsninger for, hvad man må kalde for en "avanceret elektronisk signatur"...
Kommentar til Digitaliseringsstyrelsen: Stol på os - vi holder DanID i kort snor

Re: Begreber

Og så er der slet ikke nogen, der nævner begrebet signaturgenereringssystem (men det er nu heller ikke særligt mundret - er der nogen, der kender et bedre dansk ord?): Et signaturgenereringssystem har adgang til en privat nøgle, og kan bruge den til at generere en digitale signatur, der matcher ...