Dette indlæg er alene udtryk for skribentens egen holdning.
Blogindlæg

Tillid

6. september 2011 kl. 14:0911
Poul-Henning Kamp
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
Poul-Henning Kamp

SSL certifikat systemet bygger på tillid og hvis man ellers har fulgt nyhederne bør den kunne ligge på et meget lille sted.

SSL certifikater bruges til tre ting på internettet:

  • Autentifikation (Er det virkelige paypals hjemmeside ?)
  • Privacy (at folk ikke lytter med)
  • Integrity (at folk ikke piller i transmissionen)

Hvis ikke autentifikationen er på plads, er de næste to punkter naturligvis ligegyldige: Hvis man kommunikerer med en svindler, er der næppe nogen værdi i at kommunikationen er hemmelig.

Min browser har en indbygget liste af "troværdige rod certifikater" der inkluderer:

Artiklen fortsætter efter annoncen

"TÜRKTRUST", "AOL", "AS Sertifiseerimiskenkus" og Hong Kongs postvæsen

Stoler jeg på dem ?

Ikke en meter over min dørtærskel...

Faktisk stoler jeg ikke på nogen af de over 100 CA'er.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

I den virkelige verden findes der en helt tilsvarende problemstilling:

Hvorledes autentificerer man en person og svaret er at det gør man ved statsudstedte identifikationspapirer.

Det giver nogle sjove specialtilfælde som f.eks H.M. Dronningen.

Kongehuset er ikke underlagt den danske stat, så staten kan ikke udstede et gyldigt pas til Hendes Majestæt.

Heldigvis var hendes far så venlig at skrive et til hende, i hånden, mens tid var, ligesom hun formodentlig har givet Frederik og Joachim hver deres pas.

Men hvis Hendes Majestæt taber sit pas, kan det ikke erstattes.

Om hun ville være istand til at overtale udenlandske told- & grænsemyndigheder til at acceptere et pas hun selv har lavet er et godt spørgsmål.

Men det er jo ikke sådan at pas ikke bliver forfalskede og misbrugt heller.

Herbert Pundik skriver f.eks i sin selvbiografi om hvorledes den Israelske stat "lånte" hans danske pas mens han var dernede.

Situation bliver bestemt heller ikke mindre kompliceret af at efterretningstjenesten i land A ofte hjælper efterretningstjensesten i land B ved at udstede officielle "falske" pas til udlån.

I sidste ende er der kun en person man kan stole på.

For resten må man forlade sig på dømmekraften hos de personer man kan stole på.

phk

11 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
11
Carsten Sonne
9. september 2011 kl. 07:34

En enkelt ting: Der findes en CA som har postet deres private key online, mao. er hele CA systemet værdiløst.

Hvilket minder mig om hele diskussionen af hvad tillid egentlig er. Nogle vil mene tillid bedst kan beskrives som risiko i en kontekst. Andre vil mene tillid blot er et abstrakt koncept som nødvendigvis må involvere en tredje part. Selv betragter jeg tillid som evnen til at kunne skelne mellem rigtig og forkert, mellem ægte og uægte og mellem sandt og falsk.

De gammeldags romatikkere kan sikkert huske filmen ”Robin Hood: Prince of Thieves” fra 1991 med Kevin Costner som Robin Hood og Morgan Freeman som Azeem , ”Braveheart” fra 1995 med Mel Gibson som William Wallace eller måske ”Dragonheart” fra 1996 med Sean Connery. De rigtigt gammeldags kan måske endda huske "Ivanhoe" eller "Bjergkøbing Grand Prix".

Nogle gange undres man over moderne definitioner af rigtigt og forkert eller af tillid for den sags skyld.

  • more_vert
    • insert_linkKopier link
8
Carsten Sonne
7. september 2011 kl. 08:33

Men hvis Hendes Majestæt taber sit pas, kan det ikke erstattes ... Om hun ville være istand til at overtale udenlandske told- & grænsemyndigheder til at acceptere et pas hun selv har lavet er et godt spørgsmål.

Der syntes at være noget som ikke helt hænger sammen [*]:

Dronningen er forsvarets øverstbefalende. Udenlandske ambassadører afleverer deres akkreditiver til Dronningen, når de begynder deres hverv i Danmark ... Dronningen står endvidere i spidsen for statsbesøg - både ved udenlandske delegationernes besøg i Danmark og danske besøg i udlandet.

Hvilket fint illustrere hvordan der kun er "en person man kan stole på."

Som jeg siger til mig selv (og andre): Øjnene lyver aldrig.

[*] Wikipidia om Margrethe 2 - http://da.wikipedia.org/wiki/Margrethe_2.

  • more_vert
    • insert_linkKopier link
7
Leif Guldbrand
7. september 2011 kl. 03:34

Har lige scannet alle certifikater, som også incl. de ovenstående i artiklen. Ser ud til at jeg skal på overarbejde i morgen. Tak for info.

  • more_vert
    • insert_linkKopier link
5
Christian Panton
6. september 2011 kl. 15:06

Moxie Marlinspike har et forslag til at droppe CA systemet fuldstændigt kaldet Convergence. Se evt. mere i videoen http://youtu.be/Z7Wl2FW2TcA?t=4m59s

Det fungerer med det nuværende system, men dropper CA signatures og kigger istedet på om man får det samme certifikat præsenteret, uanset hvem man spørger i verden. Det er en interessant tilgang og eliminerer problemet med MITM for fx. et enkelt land.

  • more_vert
    • insert_linkKopier link
4
Maciej Szeliga
6. september 2011 kl. 14:59

Spørgsmålet er ikke om vi har tillid til de nuværende CA'er men hvilken organisation kan vi egentligt have tillid til ? Skal det være staten eller EU eller FN ? Hvordan skal det etableres ? Den nuværende løsning "er der bare"... Problemet IRL er lige så uløslig som på Internettet, der er ingen what so ever mulighed for at authenticeres nogen med 100% sikkerhed (og nej, biometrisk data kan ikke bruges, hvis det først bliver kompromiteret kan man lige så godt hænge sig).

  • more_vert
    • insert_linkKopier link
3
Flemming Frandsen
6. september 2011 kl. 14:38

Det er helt igennem i stykker at skulle have en eller anden fremmed til at fortælle mig hvem jeg skal stole på.

MHT. https og andre SSL baserede protokoller, kunne man løse problemet relativt nemt, ved at offentliggøre signaturen af sin offentlige nøgle via DNS, evt. DNSSEC og et par andre databaser, på den måde ville vi slippe af med det nuværende single-point-of-corruption problem.

... fordi det eneste et certifikat fortæller er at man snakker med den server der bør sidde i den anden ende af host navnet, alle de andre oplysninger i certifikatet bliver alligevel aldrig brugt af nogen.

Selvfølgelig er der situationer hvor man ikke er online eller hvor det man ønsker at kontrollere identiteten af ikke har et domæne, men det er relativt sjældent.

  • more_vert
    • insert_linkKopier link
2
Guan Yang
6. september 2011 kl. 14:37

Dronningen er siden 1982 også udstyret med et dansk diplomatpas.

I princippet er der vel ikke noget i vejen for at rejse på at pas man selv har lavet—hvordan rejser politimestrene ellers?—men de kongelige pas har åbenbart en mærkelig størrelse og format, og er så sjældne at de ikke umiddelbart bliver accepteret.

  • more_vert
    • insert_linkKopier link
1
Peter Holm Jensen
6. september 2011 kl. 14:31

og laver mine egne nøgler, dem tror jeg på tror jeg nok ???

  • more_vert
    • insert_linkKopier link
6
Morten Wegelbye Nissen
6. september 2011 kl. 16:15

og laver mine egne nøgler, dem tror jeg på tror jeg nok ???

Laver du virkeligt dem selv? Tror du kan komme på en eller anden hall of fame til det.

Hvis du ligesom mig er underlagt et program til det, som er kompileret med en compiler - så læs lige engang[0] - du kan ikke engang stole på det setup om du så har adgang til kildekoden til oversætteren.

Til 7 og sidst, kan vi vel ikke stole på noget som helst, end ikke os selv. (Eksempel kan beklædning(eksempelvis cykelshorts) på visse medborger frembringe irrationel adfærd hos mig selv)

http://cm.bell-labs.com/who/ken/trust.html

  • more_vert
    • insert_linkKopier link