mboost-dp1
IT- og Telestyrelsen
Jeg tror, at en Digital Signatur er 5435% sikrere hos DanID, end hjemme på Fru Jørgensens computer, som er fyldt med trojaner og andet møg fra hakkebakkeskoven...
Jeg forstår ikke hele den her hurdle... Der er ikke nogen, som har påvist nogen som helst sikkerhedsbrist - UDOVER selvfølgelig de obligatoriske konspiratoriske tanker omkring, hvordan firmaer vil overvåge deres kunder... Så længe betingelserne er i orden og lovpligtige fra firmaets side, så er der ingen ko på isen for mig...
Jeg forstår ikke hele den her hurdle... Der er ikke nogen, som har påvist nogen som helst sikkerhedsbrist - UDOVER selvfølgelig de obligatoriske konspiratoriske tanker omkring, hvordan firmaer vil overvåge deres kunder... Så længe betingelserne er i orden og lovpligtige fra firmaets side, så er der ingen ko på isen for mig...
#1
Men når alle nøgler ligger et centralt sted, så må man samtidig gå ud fra, at det sted er blevet en hulens mange gange mere attraktivt at møve sig ind på. Den forhøjede risiko for at få nakket sin nøgle er overhovedet ikke lige så stor, når nøglerne er på hver enkelt computer - Hvorfor tage 1, når du kan få dem alle?
Men når alle nøgler ligger et centralt sted, så må man samtidig gå ud fra, at det sted er blevet en hulens mange gange mere attraktivt at møve sig ind på. Den forhøjede risiko for at få nakket sin nøgle er overhovedet ikke lige så stor, når nøglerne er på hver enkelt computer - Hvorfor tage 1, når du kan få dem alle?
Nu er jeg måske en smule egoistisk, men jeg giver fanden i, hvad der måske og måske ikke er sikkert på fru Jensen's computer. Jeg er langt mere interesseret i, hvad der er mest sikkert for mig. Og i mit hovedet, så er det mere sikkert at min nøgle ligger på min computer, bag min firewall og antivirus, end på en eller anden server, hvor jeg ikke har nogen kontrol over hvem der bruger den til hvad og hvorfor.
Hvis fru Jensen så synes at den gamle version er svær at bruge, som må hun sgu gøre lige som alle os andre: lærer.
Hvis fru Jensen så synes at den gamle version er svær at bruge, som må hun sgu gøre lige som alle os andre: lærer.
#1
Fordi det er jo klart at folk der installerer spyware på din maskine ikke kan finde ud af at installere en keylogger, eller ganske enkelt bare snuppe din signatur når den engang imellem faktisk skal transmitteres til din lokale maskine.
Det her er helt hen i vejret, jeg kan sagtens forstå ideen i at gøre det centraliseret, men det er vigtigt at der er en krypteringsmekanisme der beskytter signaturen når den er på den centrale server, således at kun JEG kan få adgang til det.
PET SKAL IKKE HAVE ADGANG TIL AT UDGIVE SIG FOR AT VÆRE MIG!
Det skal fungere således hvis det skal gøres:
- Jeg genererer en privat nøgle og bruger den til at signere en key-request.
- Digital signatur udstederen bruger hvad end for en mekanisme til at sikre at jeg er mig, IRL verifikation, brev, whatever.
- De signerer min offentlige nøgle og sender den tilbage, vupti jeg har en signeret offentlig nøgle som ingen andre har den private del af. (Sådan som alle signaturer altid har fungeret)
- De kan så evt. lave et centraliseret system, ved at JEG kan uploade en ganske almindeligt krypteret version at den private nøgle til en central server, som så ligger der fint password beskyttet uden at andre kan få adgang.
Fordi det er jo klart at folk der installerer spyware på din maskine ikke kan finde ud af at installere en keylogger, eller ganske enkelt bare snuppe din signatur når den engang imellem faktisk skal transmitteres til din lokale maskine.
Det her er helt hen i vejret, jeg kan sagtens forstå ideen i at gøre det centraliseret, men det er vigtigt at der er en krypteringsmekanisme der beskytter signaturen når den er på den centrale server, således at kun JEG kan få adgang til det.
PET SKAL IKKE HAVE ADGANG TIL AT UDGIVE SIG FOR AT VÆRE MIG!
Det skal fungere således hvis det skal gøres:
- Jeg genererer en privat nøgle og bruger den til at signere en key-request.
- Digital signatur udstederen bruger hvad end for en mekanisme til at sikre at jeg er mig, IRL verifikation, brev, whatever.
- De signerer min offentlige nøgle og sender den tilbage, vupti jeg har en signeret offentlig nøgle som ingen andre har den private del af. (Sådan som alle signaturer altid har fungeret)
- De kan så evt. lave et centraliseret system, ved at JEG kan uploade en ganske almindeligt krypteret version at den private nøgle til en central server, som så ligger der fint password beskyttet uden at andre kan få adgang.
Tør man ligge alle æg i en kurv?
Med denne metode, skal der jo kun en enkelt hacker til at fuck det op for os alle.
Systemet er da veldig fint for hr. og fru jensen, som ikke fatter en klap omkring computer. Men for folk som sagtens kan passe på sin nøgle, burde have muligheden for at overføre det til sin egen computer.
Dog er det nok lidt for tidligt at konkludere noget indtil den nye delle frigives i dens fulde detajler.
Med denne metode, skal der jo kun en enkelt hacker til at fuck det op for os alle.
Systemet er da veldig fint for hr. og fru jensen, som ikke fatter en klap omkring computer. Men for folk som sagtens kan passe på sin nøgle, burde have muligheden for at overføre det til sin egen computer.
Dog er det nok lidt for tidligt at konkludere noget indtil den nye delle frigives i dens fulde detajler.
og så bygger det hele jo på en antagelse af, at de opfører sig ordentligt.
Never assume... it makes an ass out of u, and me.
En centralisering betyder ikke nødvendigvis at det hele er samlet på en server.
Af sikkerhedsmæssige årsager, kunne man sagtens dele det op i diverse netværk som ikke er forbundet med hinanden, andet end via internettet.
Det kunne komme an på koden, hvordan man får adgang til den, så man ikke kan udnytte en kode til at skaffe sig adgang til resten.
Det JEG bekymrer mig om, er alt den kontrol der bliver af dine informationer...
Det er jo bare for at hjælpe os at den rare stat tilbyder at opbevare vores nøgler. Det kunne da aldrig blive misbrugt. Hvis vi kan lære noget af historien er det da, at magt aldrig bliver misbrugt.
The nine most terrifying words in the English language: "I'm from the government and I'm here to help." - Ronald Reagan
The nine most terrifying words in the English language: "I'm from the government and I'm here to help." - Ronald Reagan
#8 Fordi det er det mest udbredte efternavn i Danmark (Eller næsten ihvertfald).
1#
sandsynligheden for at staten ville misbruge din Digitale signatur er ret lille, da det eneste den giver adgang til er systemer som staten i forvejen har adgang til...
- nogen der har hørt om terrorlovgivning og logningsbekendtgørrelsen?? - det ved hvad du laver og de ved hvornår du gør det...
Mht til PET.
hvis de føler at de er i deres gode ret, så går det altså bare ind i dit hjem uden ransagelseskendelse.
det skete cirka 350 gange sidste år at politiet og PET bare ransagede folk.
Dette kan de fordi de kan få en kendelse der er baguddateret, indenfor 24 timer hvis de finder noget. (tak VC-regering)
Finder de ikke noget, så søger de aldrig en kendelse og der er ingen der finder ud af det.
Hackere:
well
de skal stadigvæk have din kode som kun DU har i dit hoved.
gerne en kode på over 16 bogstaver og tal, med store og små tegn.
dette vil gøre det svært for en hacker at bruge selve key´n til noget som helst...
med mindre at han har adgang til TRANSLTR
dog er jeg stadigvæk ikke spcielt glad for centralisering af noget som helst
og da slet ikke min nøgle til min digitale signatur..
sandsynligheden for at staten ville misbruge din Digitale signatur er ret lille, da det eneste den giver adgang til er systemer som staten i forvejen har adgang til...
- nogen der har hørt om terrorlovgivning og logningsbekendtgørrelsen?? - det ved hvad du laver og de ved hvornår du gør det...
Mht til PET.
hvis de føler at de er i deres gode ret, så går det altså bare ind i dit hjem uden ransagelseskendelse.
det skete cirka 350 gange sidste år at politiet og PET bare ransagede folk.
Dette kan de fordi de kan få en kendelse der er baguddateret, indenfor 24 timer hvis de finder noget. (tak VC-regering)
Finder de ikke noget, så søger de aldrig en kendelse og der er ingen der finder ud af det.
Hackere:
well
de skal stadigvæk have din kode som kun DU har i dit hoved.
gerne en kode på over 16 bogstaver og tal, med store og små tegn.
dette vil gøre det svært for en hacker at bruge selve key´n til noget som helst...
med mindre at han har adgang til TRANSLTR
dog er jeg stadigvæk ikke spcielt glad for centralisering af noget som helst
og da slet ikke min nøgle til min digitale signatur..
Jeg håber de har servere nok til at modstå et DDoS-angreb, samt alle mulige tænkelige hackerforsøg. Jeg bryder mig ikke om at andre har min nøglefil, selv om jeg kan se pointen i at nogle kan have deres nøgle liggende et sikkert sted online. Men så skal det i mine øjne være et frivilligt valg.
Og jeg håber at denne Digitale Signatur virker ordentligt i de programmer som folk ønsker at bruge, modsat den DS som TDC sidst slap ud, og ikke engang selv kunne supportere på nogen ordentlig måde. Mange af mine kunder kunne pludselig ikke bruge deres signatur i de programmer de gerne ville bruge, fordi den ikke kunne lave en PKCS12-fil, som stort set alle programmer kan bruge.
Well... Bare den bliver udbredt, både hos folk og de services, som tydeligt vil kunne drage fordel af den.
Og jeg håber at denne Digitale Signatur virker ordentligt i de programmer som folk ønsker at bruge, modsat den DS som TDC sidst slap ud, og ikke engang selv kunne supportere på nogen ordentlig måde. Mange af mine kunder kunne pludselig ikke bruge deres signatur i de programmer de gerne ville bruge, fordi den ikke kunne lave en PKCS12-fil, som stort set alle programmer kan bruge.
Well... Bare den bliver udbredt, både hos folk og de services, som tydeligt vil kunne drage fordel af den.
Det er også interessant at indse at navnet Digital Signatur ligepludselig bliver misvissende, da det reelt ikke er en signatur mere. Det er mere en slags digitalt pas, et offentligt udstedt "identifikationskort"...
Når du bruger "signaturen" siger du reelt "Indehaveren af den her signatur har ret til at udgive sig som X", istedetfor "indehaveren af den her signatur er X". Det er en ommer...
Når du bruger "signaturen" siger du reelt "Indehaveren af den her signatur har ret til at udgive sig som X", istedetfor "indehaveren af den her signatur er X". Det er en ommer...
Når man nu rent faktisk har arbejdet med visse former for krypterings nøgler, så er der en lang række tiltag som kan laves, så selv om en hacker fik adgang til disse nøgler, så får han didly squat ud af den.
Kunne være noget så simpelt om nøglen ud fra en custom algoritme laver et checksum af en supernøgle som er gemt på en anden server... m.m.
Generelt hvis man ikke kender den fulde teknologi der er anvendt, er det så ikke lidt infantilt at gå ud fra at de fleste sikkerheds problem stillinger højst sandsynligt er blevet adresseret, når man tænker på at dette er et prestige projekt, og det ville kunne betyde Dan ID's undergang hvis de laver fejl?...
Kunne være noget så simpelt om nøglen ud fra en custom algoritme laver et checksum af en supernøgle som er gemt på en anden server... m.m.
Generelt hvis man ikke kender den fulde teknologi der er anvendt, er det så ikke lidt infantilt at gå ud fra at de fleste sikkerheds problem stillinger højst sandsynligt er blevet adresseret, når man tænker på at dette er et prestige projekt, og det ville kunne betyde Dan ID's undergang hvis de laver fejl?...
Det er jo ikke en central server placeret hos staten der er tale om - det er en privat virksomhed Dan ID (Som TDC og PBS tilsyneladende står bag) der kommer til at stå for det.
Jeg skal så ikke kunne sige om det er bedrer eller værrer, men uanset finder jeg det ikke særlig betryggende.
Jeg kan sagtens forstå at man vil gøre den mere enkel at benytte, den gamle signatur var jo ikke ligefrem en dundrende success, men at centralisere den "private" nøgle finder jeg meget problematisk uanset hvilke fiksfakserier de så har gjort for at beskytte nøgle-lageret.
Jeg skal så ikke kunne sige om det er bedrer eller værrer, men uanset finder jeg det ikke særlig betryggende.
Jeg kan sagtens forstå at man vil gøre den mere enkel at benytte, den gamle signatur var jo ikke ligefrem en dundrende success, men at centralisere den "private" nøgle finder jeg meget problematisk uanset hvilke fiksfakserier de så har gjort for at beskytte nøgle-lageret.
Kunne være noget så simpelt om nøglen ud fra en custom algoritme laver et checksum af en supernøgle som er gemt på en anden server... m.m.Det gør udelukkende systemet mere obskurt og det gør det pr. definition ikke mere sikkert.
http://en.wikipedia.org/wiki/Security_through_obsc...
Jeg tror, at en Digital Signatur er 5435% sikrere hos DanID, end hjemme på Fru Jørgensens computer, som er fyldt med trojaner og andet møg fra hakkebakkeskoven...Nej, de to situationer er umiddelbart nøjagtig lige dårlige. Sikkerheden i en digital signatur bygger på at den eneste som har den er ejeren. Ellers er det ikke mere sikkert end et almindeligt password-system og vi ved jo alle sammen her fra newz.dk hvor let sådan noget kan indeholde fejl.
Lad os håbe at de har adresseret de fleste sikkerhedsissues. Jeg er absolut heller ikke tilhænger i af min private nøgle, lige som min offentlige skal ligge et centralt sted.
Jeg håber så af den nye løsning også bliver fri for skjulte reklamer. Hvordan i alverden kan staten ved sine fulde fem tillade at TDC reklamere for sig selv når folk skal installer og bruge den nuværende digitale signatur. Det kan da ikke passe at det offentlige har deres hjælpesider liggende på sider der reklamere for telefoner og andet med farvestrålende flash animationer. Og at jeg lige pludselig har installeret software fra TDC på min pc.
Og lad os så håbe at det denne gang bliver en langt større succes end sidst.
Jeg håber så af den nye løsning også bliver fri for skjulte reklamer. Hvordan i alverden kan staten ved sine fulde fem tillade at TDC reklamere for sig selv når folk skal installer og bruge den nuværende digitale signatur. Det kan da ikke passe at det offentlige har deres hjælpesider liggende på sider der reklamere for telefoner og andet med farvestrålende flash animationer. Og at jeg lige pludselig har installeret software fra TDC på min pc.
Og lad os så håbe at det denne gang bliver en langt større succes end sidst.
Kan se det for mig at der en dag er en historie om en mulig sikkerheds brist hos Dan ID og alle/de fleste key er blevet snuppet. Så de skal spære dem alle og sende nye ud til hr og fru jensen. I det øjeblik forsvinder hele ens image... Så er en virksomhed, som virkelig stoler på sine systemer som ligger navn til... Jeg ville ihvertfald have det dårligt med at have min key central placeret (kan de lige så godt give os et brugernavn og password til det offentliges hjemmesider).
Men hvis man er hacker og ønsker info, så det er ikke 5 mio danskere som skal hackes, men kun én. 1 Hack to rule them all. :)
Men hvis man er hacker og ønsker info, så det er ikke 5 mio danskere som skal hackes, men kun én. 1 Hack to rule them all. :)
Syntes nu snarere de bare skulle køre det gamle system tilbage. Da de lige havde lavet den digitale signatur, fik man en nøglefil (PKCS12) som man kunne importere hvor man ville, intet problem, et klik på en knap i firefox, og bang logget på.
Så har de lavet noget om, hvis jeg nu skal logge på fx SKAT så er det noget javapis hvor jeg skal vælge en fil fra computeren og bruge den. WHY?????
Fordi det skulle fedtes ind i noget "nemmere", det er ikke nemt, vi vil ikke have custom software. Vi vil bare have en signatur, jeez
Så har de lavet noget om, hvis jeg nu skal logge på fx SKAT så er det noget javapis hvor jeg skal vælge en fil fra computeren og bruge den. WHY?????
Fordi det skulle fedtes ind i noget "nemmere", det er ikke nemt, vi vil ikke have custom software. Vi vil bare have en signatur, jeez
Man læser dagligt om at en eller anden såkaldt "sikker server" med kreditkortoplysninger på 12 millioner mennesker på er blevet hacket/stjålet/delt som torrent.
Hvad er det der får folk til at tro at vi, i Danmark, er sikrere end resten af verden?
Jeg vil have MIN signatur, så er det MIT ansvar hvis nogen misbruger MIN signatur fordi JEG er en idiot.
Og at PET eller FE kan få en liste over hvad jeg har lavet, med min signatur, er direkte uhyggeligt.
Hvad er det der får folk til at tro at vi, i Danmark, er sikrere end resten af verden?
Jeg vil have MIN signatur, så er det MIT ansvar hvis nogen misbruger MIN signatur fordi JEG er en idiot.
Og at PET eller FE kan få en liste over hvad jeg har lavet, med min signatur, er direkte uhyggeligt.
Så har de lavet noget om, hvis jeg nu skal logge på fx SKAT så er det noget javapis hvor jeg skal vælge en fil fra computeren og bruge den. WHY?????Du skal bare være glad for at du overhovedet kunne starte den java applet. Det er noget hackeri som (fuldstændig unødvendigt) linker native kode, så alle platforme som er kommet til siden den digitale signatur slet ikke kan loade appletten (for man laver jo ikke nye builds af modulet...). Det gælder eksempelvis Intel Macs...
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund