[an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive]
 
[an error occurred while processing this directive] [an error occurred while processing this directive]
Skåne Sjælland Linux User Group - http://www.sslug.dk Home   Subscribe   Mail Archive   Forum   Calendar   Search
MhonArc Date: [Date Prev] [Date Index] [Date Next]   Thread: [Date Prev] [Thread Index] [Date Next]   MhonArc
 

RE: securityfocus artikel om PKI



Det er god og nyttig læsning. Pointen i artiklen, og den artikel der referes
til er at selvom teknikken i PKI virker, så må men ikke glemme at den ikke
løser alle verdens sikkerhedsproblemer. 

Det er vigttigt at gøre sig klart at PKI teknikken i sig selv kun er 20% af
opgaven, resten er procedurer, uddannelse og sund fornuft.
Eksepelvis SSL forbindelsen. Den dækker kun fra brugerens browser til
webserevern. hvad andet der måtte ske på brugerens pc, og hvad der sker på
webserveren og de bagvedliggende systemer, kan SSL forbindelsen ikke hjælpe
med. Dette er ikke en kritik af SSL forbindelsen, men en kritik af en blind
tro på at bare man kører SSL så er alt sikkert. Det næste spørgsmål er så
hvem har udstedt certifikatet og er udstederen CAet så troværdigt. 

Jeg holder ofte oplæg om certifikater og PKI, og her er mit hovedbudskab, at
certifikaterne er her, og nu skal vi igagn med at bruge dem; men at bruge
dem rigtigt forudsætter at man forstår hvad de er for en størrelse.  Det er
her vigtigt at forstå at alle certifikater teknisk set er ens, men at
forskellen er hvor troværdige de er.
 
Når man skal vurdere troværdigheden af et certifikat så skal man læse der CP
og den CPS der ligger bagved certifikatet. I alle certifikater bør der stå
en OID der angiver hvilket CP det er udstedt efter, og denne skal være
offentligtgjort.

Et CA kan ikke stå indefor en persons identitet, med de kan beskrive hvad de
gør for at fastslå identiteten -  og så er det op til modtageren af afgøre
om identiteten er fastslået godt nok til det aktuelle formål. Det er
selvfølgeligt fint at man på den måde overlader beslutningen til den enkelte
- problemet er bare at det er alt for meget at skulle sætte sig ind i i
praksis.
Derfor var det godt at der blev defineret et troværdigehdsniveau for de
kvalificerede certifikater. Så kan eksperterne vurderer troværdigheden og
alm. mennesker kan vælge at tro på eksperterne eller lade være.
Men dette sikkerhedsniveau er kun defineret i EU og kritikken af
udstedelsesprocedurerne er rette i mod de amarikanske udstedere, specielt
Verisign og Twathe ( Sydafrika, men ejet af Verisign).

Mvh
Jørn 



 
Home   Subscribe   Mail Archive   Index   Calendar   Search

 
 
Questions about the web-pages to <www_admin>. Last modified 2005-08-10, 20:33 CEST [an error occurred while processing this directive]
This page is maintained by [an error occurred while processing this directive]MHonArc [an error occurred while processing this directive] # [an error occurred while processing this directive] *