mboost-dp1
Nets Holding A/S
Problemet er i begge tilfælde, at Javascript ikke på samme måde kan tilgå hardware som Java.
Det har også bare hele tiden været problematikken. Folk er oftest hurtige til at kritisere NemID for at bruge Java, men det er altså nu engang et faktum at Javascript simpelthen bare er ekstremt begrænset når det kommer til brug af kryptegrafiske protokoller.
Browsere har i lang tid manglet et sæt kryptografiske værktøjer som er native og kan bruges af alle hjemmesider, uanset hvilken browser du benytter. Det er langt over tid at dette bliver implementeret.
For fa'en altså. NemID skal bare køre som en almindelig hjemmeside via en SSL forbindelse. Glem alt det der hardware knald. Jyske Banks hjemmeside var 100% lige NemID (Samme kodekort og alt) før de lavede det og det var ren HTML over SSL. Der er INGEN der kan opsnappe din info via en SSL forbindelse. Glem alt det lort. Ring til Jyske Bank nu, få koden og smid den på. Problemet løst. Offentlige wankers! /#&/€%#€
TwistedSage (2) skrev:For fa'en altså. NemID skal bare køre som en almindelig hjemmeside via en SSL forbindelse. Glem alt det der hardware knald. Jyske Banks hjemmeside var 100% lige NemID (Samme kodekort og alt) før de lavede det og det var ren HTML over SSL. Der er INGEN der kan opsnappe din info via en SSL forbindelse. Glem alt det lort. Ring til Jyske Bank nu, få koden og smid den på. Problemet løst. Offentlige wankers! /#&/€%#€
Søg jobbet, når det åbenbart er så indlysende let.
TwistedSage (2) skrev:For fa'en altså. NemID skal bare køre som en almindelig hjemmeside via en SSL forbindelse. Glem alt det der hardware knald. Jyske Banks hjemmeside var 100% lige NemID (Samme kodekort og alt) før de lavede det og det var ren HTML over SSL. Der er INGEN der kan opsnappe din info via en SSL forbindelse. Glem alt det lort. Ring til Jyske Bank nu, få koden og smid den på. Problemet løst. Offentlige wankers! /#&/€%#€
Ja, helt klart! Taget i betragtning, at en bank som Spar Nord – stadig ikke er gået over til at bruge RC4/AES-GCM for at sikre sig mod BEAST angreb.
Hvis vi lægger vores tilid til sikkerheden hos bankerne, går det da først galt.
#6: SSL er "over-the-wire" krypteringen og beskytter dine informationer under transit from og tilbage. Når du skal logge på med andet end en simpel brugernavn og password validering skal der mere til.
I NemID (og mange andre loginløsninger) anvendes der PKI/Certifikater. I al sin enkelhed så har du et Public og Private Key pair der matematisk hænger sammen. Du har den private nøgle, modtager/afsender har den offentlige nøgle. Den private nøgle skal beskyttes så godt som overhovedet muligt og her skal man bruge ting som SmartCards eller lign. og det er det som NemIDs USB løsning er. Herpå har men en beskyttet privat nøgle med en PIN kode for at tilgå den og anvende den. Men JavaScript kan IKKE tilgå HW på en maskine og kan altså derfor ikke bruge denne metode. Den er altså begrænset til den nuv. parpirkortsmetode istedet.
I NemID (og mange andre loginløsninger) anvendes der PKI/Certifikater. I al sin enkelhed så har du et Public og Private Key pair der matematisk hænger sammen. Du har den private nøgle, modtager/afsender har den offentlige nøgle. Den private nøgle skal beskyttes så godt som overhovedet muligt og her skal man bruge ting som SmartCards eller lign. og det er det som NemIDs USB løsning er. Herpå har men en beskyttet privat nøgle med en PIN kode for at tilgå den og anvende den. Men JavaScript kan IKKE tilgå HW på en maskine og kan altså derfor ikke bruge denne metode. Den er altså begrænset til den nuv. parpirkortsmetode istedet.
#6 tillæg: I realiteten så har NemID direkte adgang til din private nøgle gennem papirkortsmetoden. Du indtaster nogle matematisk sammenhængende tal (Challenge/Response) som "låser" din Private nøgle op hos DanID. Denne kan DanID så bruge på dine vegne til at påvise din identitet - for du er jo i teorien den eneste der kan låse nøglen op da du er den eneste der har et validt papirkort med de korrekte matematiske Challenge/Response koder.
I en ægte PKI ville du ALDRIG have din private nøgle liggende hos en 3. part, men udelukkende have den selv liggende på et SmartCard. Desværre er der af hensyn til brugervenlighed og cross platform understøttelse lavet en løsning hvor DanID laver din private nøgle, krypterer den og generer nogle papirkort med Challenge/Response til at dekryptere den med. Dvs. at du ikke har 100% kontrol over din private nøgle. En administrator hos DanID kunne i realiteten misbruge din private nølge - dette ville aldrig være muligt hvis du selv generede den private nøgle på et SmartCard.
Ulempen ved USB Nøgler / SmartCards er desuden at du f.eks. ikke kan tilslutte en sådan til en tablet eller SmartPhone, så man kan ikke alene bruge en sådan løsning hvis man ønsker at have en mobil løsning der f.eks. anvender JavaScript.
Man har altså nedprioriteret sikkerheden til fordel for brugervenlighed og mobilitet - helt klassisk problemstilling.
Det er bla. det faktum at den private nøgle ligger centralt der overhovedet gør det muligt at bruge malware til at kompromitere en brugers NemID ved at "fake" et login på brugerens PC, opsnappe Challenge/Response kode + personlig kode og derefter misbruge det. Denne metode ville aldrig være mulig med en ægte privat nøgle gemt på et SmartCard.
I en ægte PKI ville du ALDRIG have din private nøgle liggende hos en 3. part, men udelukkende have den selv liggende på et SmartCard. Desværre er der af hensyn til brugervenlighed og cross platform understøttelse lavet en løsning hvor DanID laver din private nøgle, krypterer den og generer nogle papirkort med Challenge/Response til at dekryptere den med. Dvs. at du ikke har 100% kontrol over din private nøgle. En administrator hos DanID kunne i realiteten misbruge din private nølge - dette ville aldrig være muligt hvis du selv generede den private nøgle på et SmartCard.
Ulempen ved USB Nøgler / SmartCards er desuden at du f.eks. ikke kan tilslutte en sådan til en tablet eller SmartPhone, så man kan ikke alene bruge en sådan løsning hvis man ønsker at have en mobil løsning der f.eks. anvender JavaScript.
Man har altså nedprioriteret sikkerheden til fordel for brugervenlighed og mobilitet - helt klassisk problemstilling.
Det er bla. det faktum at den private nøgle ligger centralt der overhovedet gør det muligt at bruge malware til at kompromitere en brugers NemID ved at "fake" et login på brugerens PC, opsnappe Challenge/Response kode + personlig kode og derefter misbruge det. Denne metode ville aldrig være mulig med en ægte privat nøgle gemt på et SmartCard.
#7,8
Hvis vi holder os til at diskutere papkort versionen (Da det alligevel er den langt de fleste af os bruger), så kan jeg stadig ikke forstå hvad det er som gør SSL forbindelsen dårligere.
Over en krypteret forbindelse sender du et kodeord og derefter en papkort kode.
I Java tilfældet bruges kodeordet til at låse en private key op, som skal bekræfte din identitet.
Hvad forhindrer dig i at låse samme private key op, hvis du benytter en SSL forbindelse til formålet?
Så længe det er DanID som læser denne private key og bruger den til at identificere dig, så gør det vel ikke nogen forskel om hvilken krypteringsmetode der benyttes til det formål?
Hvis SSL er sikker nok til at kryptere alle verdens kreditkorthandler, er den så ikke sikker nok til at kryptere forbindelsen til din bank?
Hvis vi holder os til at diskutere papkort versionen (Da det alligevel er den langt de fleste af os bruger), så kan jeg stadig ikke forstå hvad det er som gør SSL forbindelsen dårligere.
Over en krypteret forbindelse sender du et kodeord og derefter en papkort kode.
I Java tilfældet bruges kodeordet til at låse en private key op, som skal bekræfte din identitet.
Hvad forhindrer dig i at låse samme private key op, hvis du benytter en SSL forbindelse til formålet?
Så længe det er DanID som læser denne private key og bruger den til at identificere dig, så gør det vel ikke nogen forskel om hvilken krypteringsmetode der benyttes til det formål?
HerrMansen (9) skrev:For at bruge en 4chan klassiker...
>SSL
>Sikker
Vælg en.
Hvis SSL er sikker nok til at kryptere alle verdens kreditkorthandler, er den så ikke sikker nok til at kryptere forbindelsen til din bank?
Nu har jeg ikke en ph.d i kryptologi, men er hele idéen bag nemID ikke nøglekortet? Sandsynligheden for, at hackere har adgang til både passwordet, og nøglekortet, er forhåbentligt ret lille :)
>Klienten sender brugernavn/ID (Self over en "krypteret forbindelse")
<Serveren Kender dit nøglekort, og udsender derfor det 4 cifret tal.
>Derefter Kigger brugeren på sit nøglekort, og indtaster det 6 cifrede tal + kodeord.
<Serveren sammenligner så kodeordet med brugeren, og det 6 cifrede tal med der 4 cifrede.
>Hvis serveren siger ok, bliver man godkendt og kommer videre.
Giver det ikke mening?
>Klienten sender brugernavn/ID (Self over en "krypteret forbindelse")
<Serveren Kender dit nøglekort, og udsender derfor det 4 cifret tal.
>Derefter Kigger brugeren på sit nøglekort, og indtaster det 6 cifrede tal + kodeord.
<Serveren sammenligner så kodeordet med brugeren, og det 6 cifrede tal med der 4 cifrede.
>Hvis serveren siger ok, bliver man godkendt og kommer videre.
Giver det ikke mening?
Mort (10) skrev:Hvis SSL er sikker nok til at kryptere alle verdens kreditkorthandler, er den så ikke sikker nok til at kryptere forbindelsen til din bank?
Er det heller ikke... Flere Root CAs er blevet blev kompromitteret, så ægteheden af udstedte certifikater kan bringes i tvivl. SSL og TLS er også sårbar overfor interception proxies/transitive root trust.
NemID er også mere end SSO, det er også en digital signatur løsning.
iammadsnielsen (12) skrev:NemID er også mere end SSO, det er også en digital signatur løsning.
Nah det er det vel ikke alligevel. Selve signeringsdelen er jo noget der sker uden for din kontrol... Det eneste du gør med nemid er at logge ind og verificerer dig overfor danid så de kan signere for dig. Altså en sso løsning...
Hubert (13) skrev:Det eneste du gør med nemid er at logge ind og verificerer dig overfor danid...
Korrekt, det kræves at du autentificere dig gennem NemID's central server før du kan signere et dokument eller en mail.
Hubert (13) skrev:...så de kan signere for dig.
Nej, du har dit klientcertifikat liggende lokalt.
iammadsnielsen (14) skrev:Korrekt, det kræves at du autentificere dig gennem NemID's central server før du kan signere et dokument eller en mail.
Nej, du har dit klientcertifikat liggende lokalt.
Hvorfor skal jeg så logge ind hos danid hvis jeg har et certifikat liggende lokalt?
Jeg kan iøvrigt ikke finde dokumentation for din påstand på nemid.nu
technørd (16) skrev:Hatten af fordi de erkender problemet med Java appletten, og går i gang med at ændre på det. Det kan kun gå for langsomt...
SSL modellen er under alle omstændigheder mere sikker end Javascript. Og SSL kan sagtens validere både nøgle 1 og 2.
Det handler vist mere om support for mobile enheder end den manglende sikkerhed ved java...
Hubert (15) skrev:Hvorfor skal jeg så logge ind hos danid hvis jeg har et certifikat liggende lokalt?
DanID's digitale signature er PKI-baseret. De benytter sig af PKCS #11, hvilket gør at du skal autentificere dig mod deres central server - da din private key ligger i deres HSM.
Et alternativ ville være PKCS #12, hvilket gjorde du havde både public og private key liggende lokalt - men knap så sikkert.
Hubert (15) skrev:Jeg kan iøvrigt ikke finde dokumentation for din påstand på nemid.nu
Kan nu heller ikke rigtig finde noget teknisk dokumentation på det. Men tag et kig på deres "hjælpeprogram", som benyttes til at installere dit klientcertifikat :) .... Du kan da også lige få dette fantastiske screenshot (http://imm.io/178EA) af et NemID klientcertifikat.
Men hvis du mener at NemID, kun er en SSO løsning - da du skal autentificere dig for at få adgang til din private key (hvilket kræves, sammen med din public key, ved signering og kryptering). Kan jeg kun være fuldstændig uenig med dig.
iammadsnielsen (4) skrev:Hvis vi lægger vores tilid til sikkerheden hos bankerne, går det da først galt.
Det er derfor at det er så heldigt at NÅR du gør det dækker DE for dit økonomiske tab hvis der skulle ske noget (med andre ord: du vil aldrig nogensinde kunne komme i klemme.)
Men hvis din bank ikke har god nok sikkerhed; afmeld netbank eller skift bank :)
inglorious bosterd (20) skrev:Det er derfor at det er så heldigt at NÅR du gør det dækker DE for dit økonomiske tab hvis der skulle ske noget (med andre ord: du vil aldrig nogensinde kunne komme i klemme.)
Og hvis du er erhvervskunde, gør du ikke... Men ud fra dit argument, er det også helt fint at gå hjemme fra uden at låse døren - indboforsikringen dækker det værste.
inglorious bosterd (20) skrev:Men hvis din bank ikke har god nok sikkerhed; afmeld netbank eller skift bank :)
Har helt fint sikkerhed ved min bank :) .... Afmeld netbank? Der er mange der ikke finder det en reel mulighed. Skift bank? Ja selvfølgelig! Nu når man har brugt tid, penge og energi på at finde en som dækker ens behov, samt har etableret hus/bil lån osv...
iammadsnielsen (19) skrev:DanID's digitale signature er PKI-baseret. De benytter sig af PKCS #11, hvilket gør at du skal autentificere dig mod deres central server - da din private key ligger i deres HSM.
Et alternativ ville være PKCS #12, hvilket gjorde du havde både public og private key liggende lokalt - men knap så sikkert.
Knapt så sikkert..? Hvis jeg skulle blive kompromitteret ville det kun gå ud over mig. Når danid bliver kompromitteret går det ud over en helvedes masse mennesker.
Der ud over har vi ikke rigtigt andet end danids ord for at vi er sikre.
Kan nu heller ikke rigtig finde noget teknisk dokumentation på det. Men tag et kig på deres "hjælpeprogram", som benyttes til at installere dit klientcertifikat :) .... Du kan da også lige få dette fantastiske screenshot (http://imm.io/178EA) af et NemID klientcertifikat.
De har formentlig ikke frigivet nogen form for dokumentation. De mener jo at security by obscurity er en god ide...
Men hvis du mener at NemID, kun er en SSO løsning - da du skal autentificere dig for at få adgang til din private key (hvilket kræves, sammen med din public key, ved signering og kryptering). Kan jeg kun være fuldstændig uenig med dig.
Det er så absolut ikke noget krav at være enig med mig.
inglorious bosterd (20) skrev:Det er derfor at det er så heldigt at NÅR du gør det dækker DE for dit økonomiske tab hvis der skulle ske noget (med andre ord: du vil aldrig nogensinde kunne komme i klemme.)
De har dækket de økomomiske tab i de tilfælde der er kommet frem. Men så vidt jeg husker så er de ikke forpligtet til det. Kan være at jeg husker forkert, det er før sket.
Men det er da meget godt at vi er økonomisk "sikret" ved brug af nemid. Men hvad sker der med oces delen? Dækker banken de omkostninger der vil være når folk begynder at få udnyttet den del af deres nemid..?
Men hvis din bank ikke har god nok sikkerhed; afmeld netbank eller skift bank :)
Ja det er helt sikkert løsningen. Det er jo slet ikke fordi man forsøger med vold og magt at tvinge det lort ned i halsen på folk med offentlig digitalisering...
Hubert (22) skrev:Knapt så sikkert..? Hvis jeg skulle blive kompromitteret ville det kun gå ud over mig. Når danid bliver kompromitteret går det ud over en helvedes masse mennesker.
Største delen af den danske befolkning, har ingen forståelse/viden omkring computer sikkerhed og om hvordan de skal befærde sig på nettet. Selv med NemID, er det lykkedes udvedkommende at få adgang til kunders netbank (ofte ved noget så simpelt som phishing). At give os alle både private og public key, vil være fuldstændig uansvarligt.
Det er nemt at se ned på NemID, hvilket man selvfølgelig også skal have lov til. Men teknisk set, er denne løsning noget så kompleks – og er endnu ikke blevet kompromitteret. De tilfælde som der har været, er grundet menneskelig fejl – fra brugeren.
Hubert (23) skrev:De har dækket de økomomiske tab i de tilfælde der er kommet frem. Men så vidt jeg husker så er de ikke forpligtet til det. Kan være at jeg husker forkert, det er før sket.
De danske banker, er erstatningspligtige ved hacking over for private – men ikke erhverv.
ko (25) skrev:De tilbyder også nemid på hardware, hvor man selv opbevarer sin nøgle. Bankerne understøtter det bare ikke (endnu).
Yeah, har set der er mulighed for en security token.... Det er en rigtig god idé, frem for papiret :)
Ved dog ikke om denne er tids synkroniseret eller algoritme baseret (lidt nysgerrig er man vel altid), men med en levetid på de 3 år - uden muligheden for at skifte batteri, kan jeg forstille mig den benytter tids synkronisering. Men med det samme det bliver integreret i Java applet'en, skal jeg gerne give dem de 99 DKK!
ko (27) skrev:Papiret? Det er jo kun en lille ekstra sikkerhed. Det, der beskytter nøglen, er ens password. Og det er selve nøglen, man kan få lov til at opbevare. De lover at slette deres kopi.
Troede du mente den security token med et one-time password som kan fås :) …. Men har ikke lige set ”NemID på hardware” før, så har ingen kendskab til den.
Edit: Læste lige lidt op på det... De sletter ikke den private key som de har i deres system, da din normale NemID med nøglekort stadig virker. Så kan forstille mig at "NemID på hardware" kan betragtes som en addition til din NemID konto.
Hubert (22) skrev:Knapt så sikkert..? Hvis jeg skulle blive kompromitteret ville det kun gå ud over mig. Når danid bliver kompromitteret går det ud over en helvedes masse mennesker.
Okay, lad os sige at man går tilbage til det tidligere system.
Brugerne får et certifikat, i det certifikat er der navn og et PID som identificere brugeren.
Certifikatet er underskreven af DanID's rodcertifikat (eller ligende leverandør) for at bekræfte at det er ægte.
Udover det så køre DanID også en PID-CPR tjeneste, så certifikatet kan blive identificeret med en enkel bruger.
Hvad sker der i den situation når danid bliver kompromitteret?
Deres signeringsløsning, får du kun udleveret certifikatet, ikke den private nøgle, derfor det funky klientprogram.
Kan det forresten passe, at man skal bruge ét nøglenummer fra papkortet per email man sender?
Det kommer da til at koste nogle nøglekort, hvis man vil signere sine udgående mails - og det bliver OK bøvlet at sende en mail...
Kan det forresten passe, at man skal bruge ét nøglenummer fra papkortet per email man sender?
Det kommer da til at koste nogle nøglekort, hvis man vil signere sine udgående mails - og det bliver OK bøvlet at sende en mail...
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund