Rasmus Faber-Espensen

Rss
Personligt feed med nye kommentarer i tråde, du overvåger:
https://www.version2.dk/mit/0/kommentarer?token=HPnHcLYhJ8jCXC_UoTnfzqY2R9xpwMBmKONAZAek0jk

Kommentarer

Kommentar til Digitaliseringsstyrelsen: Stol på os - vi holder DanID i kort snor

Begreber

Måske det ville være lidt lettere at diskutere det hele, hvis vi kunne få styr på begreberne. Jeg ser tit - også fra DanID og før det TDC's side - at man bruger certifikat, digital signatur og privat nøgle som synonymer. Men teknisk set er det tre helt forskellige ting. En privat nøgle er et st...
Kommentar til Kommentar om NemID: Løsningen findes - hvorfor så ikke bare gøre det?

Re: Jo, det er en markant bedre løsning!

Jeg er lidt i tvivl om, hvad du mener med "almindeligt sprogbrug". Det er selvfølgelig nok rigtigt, at "digital signatur" trods alt ikke helt er en del af "almindeligt sprogbrug". Men jeg er dog ikke før Version2-debatterne om NemID stødt på nogen, der definerer...
Kommentar til Kommentar om NemID: Løsningen findes - hvorfor så ikke bare gøre det?

Re: Jo, det er en markant bedre løsning!

Kan du ikke venligst forklare mig hvordan jeg med NemID kan signere noget som helst UDEN at DanID signerer noget som helst på vegne af mig? Det kan du ikke. Det tror jeg heller ikke at nogen har påstået. Ingen af os kan gå og huske vores 617-cifrede hemmelige nøgle - for slet ikke at snakke...
Kommentar til Kommentar om NemID: Løsningen findes - hvorfor så ikke bare gøre det?

Re: Jo, det er en markant bedre løsning!

Lad venligst være med at antyde at NemID er en digital signatur. Med din position kan du ikke være uvidende om de faktiske forhold. Man kan ikke få udstedt kvalificerede certifikater til sit NemID, da NemID ikke opfylder kravene i Lov om Digitale Signaturer. Men man kan underskrive beskeder ...
Kommentar til Sådan vil sikkerhedsekspert designe NemID fra bunden

Re: Hvorfor en browser baseret løsning?

Jeg ser bare stadig browserens design som et kæmpe problem, da den ikke er designet til at løse de opgaver vi giver den. Det ville være en forbedring, hvis browseren tydeligt kunne signalere, at du er på en side, hvor det er okay at indtaste dine credentials. EV-certifikater leverer lidt af ...
Kommentar til Kommentar om NemID: Løsningen findes - hvorfor så ikke bare gøre det?

Re: Jo, det er en markant bedre løsning!

eksempler på hvilke andre fortilfælde der er på at professionelle CA'er alene ligger inde med kundernes nøgler. Lige umiddelbart ved jeg at Luxtrust i Luxemborg og BankID i Norge har lignende systemer. Udover det er det meget almindeligt at CAer implementerer key escrow og lignende, så at de...
Kommentar til Kommentar om NemID: Løsningen findes - hvorfor så ikke bare gøre det?

Re: Jo, det er en markant bedre løsning!

Jeg skal gerne give jer ret i, at det var sværere for TDC at kunne angribe krypterede mails end det er for DanID. Min pointe var blot, at det ikke var umuligt (PET kunne f.eks. få TDC til at udstede et falsk certifikat, få det lagt på LDAP-serveren, opsnappe den sendte mail, dekryptere den og der...
Kommentar til Kommentar om NemID: Løsningen findes - hvorfor så ikke bare gøre det?

Re: Jo, det er en markant bedre løsning!

TDC ville ALDRIG kunne dekryptere en borgers signatur, hvis de fik fat i cipher-tekst. Hvis de lagde et forfalsket certifikat ind i certifikat-databasen, ville alle brugere, der havde tilkoblet sig deres LDAP-service, derefter begynde at kryptere mails under en nøgle, som TDC kunne dekryptere. ...
Kommentar til Kommentar om NemID: Løsningen findes - hvorfor så ikke bare gøre det?

Re: Jo, det er en markant bedre løsning!

hvad var det ved SSL der gjorde brugeroplevelsen dårlig? Nu er jeg ikke UX-ekspert, men det primære problem, jeg hørte om, var at der var for lidt information om, hvad der skete: brugeren fik blot en boks op, som bad brugeren om at vælge et certifikat og blev derefter bedt om en adgangskode. Afh...
Kommentar til Kommentar om NemID: Løsningen findes - hvorfor så ikke bare gøre det?

Re: Jo, det er en markant bedre løsning!

Jeg argumenterer som privat person. Jeg udtaler mig ikke på hverken Cryptomathics eller DanIDs vegne. Min pointe er at der ikke er noget magisk ved at have sin private nøgle liggende hos sig selv: Et nøglepunkt i sikkerhedsmodeller er, at der er nogen personer eller organisationer, som man vælg...
Kommentar til Kommentar om NemID: Løsningen findes - hvorfor så ikke bare gøre det?

Re: Jo, det er en markant bedre løsning!

Nå, du indredigerede et par punkter mere: Uden et økonomisk incitament, gav det ikke mening at forsøge at knække hver enkelt certifikat, hvorimod NemIDs centraliserede certifikat-bunke pludselig bliver interessant på en helt anden måde. Med de decentraliserede certifikater var det vanskeligt...
Kommentar til Kommentar om NemID: Løsningen findes - hvorfor så ikke bare gøre det?

Re: Jo, det er en markant bedre løsning!

Der var tale om en ægte digital signatur, hvor de enkelte nøgler blev kontrolleret af den enkelte bruger, i modsætning til NemID som er et centraliseret login Der er både fordele og ulemper ved at have nøgler decentralt vs. centralt. At kalde den ene løsning for "ægte" er ikke rigtigt...
Kommentar til Kommentar om NemID: Løsningen findes - hvorfor så ikke bare gøre det?

Re: Jo, det er en markant bedre løsning!

Derfor skal NemID kastes tilbage til banken hvor det hører til, og TDC's udemærkede og ÆGTE digitale signatur redes fra døden og gøres til et rent offentligt styret anliggende. Hvad er det ved TDCs løsning (POCES1), du synes er bedre end DanIDs? TDC tog også penge for deres løsning (fra 2 kr ti...
Kommentar til DanID og staten takker nej til dialog med Version2-læsere

Re: Open Source alternativ

NemID er vedtaget ved lov som den eneste legale løsning i Danmark. Jeg spørger igen: hvad er det for en lov? Grunden til jeg spørger er selvfølgelig, at det er noget vås, at det er lovbestemt, at man skal bruge NemID i Danmark. Man har valgt at bevilge en sum penge til udvikling og drift af en ...
Kommentar til DanID og staten takker nej til dialog med Version2-læsere

Re: Open Source alternativ

Problemet er bare at der findes en lov der siger "NemID" - punktum. Hvad er det for en lov?
Kommentar til Kommentar: Luk NemID op

Hvis den sikre applet viste

Hvis den sikre applet viste et standard billede (en sol, en gris, en fisk, eller noget andet) som man selv havde valgt, ville det være muligt at sikre brugeren en garanti for at man var i den rigtige "butik". Kan du uddybe det? Jeg kan ikke helt se, hvad det skulle hjælpe. En realtime...
Kommentar til NemID's nye nøgleviser flopper på mobilen

Re: Hmm

Hvor står det? Regler for NemID §3.2: Du skal være opmærksom på, at du [...] ikke må scanne dit nøglekort, indtaste dine nøgler på eksternt medium eller på anden måde digitalisere eller kopiere nøglerne Hvor meget du derefter hæfter afhænger af en fortolkning af Betalingstjenestelovens § 6...
Kommentar til NemID's nye nøgleviser flopper på mobilen

Virker også med Jyske Banks app

Jyske Bank har også opdateret deres mobilapp til at understøtte nøgleviseren. Overskriften er vist lidt misvisende. Det er jo tydeligvis ikke et generelt problem at nøgleviseren ikke virker på mobilen, men blot at Danske Bank ikke har opdateret deres apps til at virke med nøgleviseren.
Kommentar til S: Uacceptabelt med 5 minutters ventetid på NemID-support

Re: Nøglekort

Du kan sagtens logge på nemid.nu uden OCES. Brug blot https://www.nemid.nu/log_paa_selvbetjening/brug_banklog-in/ (Indrømmet: det er ikke nemt at finde det link). Tilsvarende, hvis du vil bestille nyt nøglekort skal du blot gå ind på https://www.nemid.nu/support/noeglekort/mistet_noeglekort/ og ...
Kommentar til 5 minutters telefonkø skal bremse stormløb på dyr NemID-support

Ventetid

Det lyder som om de fleste opfatter det som om, at DanID sætter 5 minutters ekstra ventetid på supporten (f.eks. ved at tvinge brugeren til at høre på 5 minutters instruktion inden at de flyttes over i den egentlige kø til supporten). Det er ikke sådan jeg læser ministerens brev (det er forøvrig...