[an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive]
 
[an error occurred while processing this directive] [an error occurred while processing this directive]
Skåne Sjælland Linux User Group - http://www.sslug.dk Home   Subscribe   Mail Archive   Forum   Calendar   Search
MhonArc Date: [Date Prev] [Date Index] [Date Next]   Thread: [Date Prev] [Thread Index] [Date Next]   MhonArc
 

Re: [SIGNATUR] Keysigning, troværdig signatur



ja, hvad skal jeg sige.... politik.... politik....politik!!!!

der er gået intet mindre end politik i den. taberne prøver i mine øjne at
skabe tvivl om TDC's evner. jeg ved ikke om de forventer at valget bliver
omgjort, men under hele forløbet har konsortiet meldt ud til staten at
uanset om de vandt eller ej, kørte de videre med deres løsning dvs. et
direkte politisk pres, da staten kun har eet i tankerne: OCES certifikaterne
skal ud til alle borgere så hurtigt som overhovet muligt.

konsortiet spiller meget på at bankernes netbank nøgler skulle give adgang
til signaturen. signaturen skulle derefter ligge centralt placeret (dvs.
oces certifikaterne ligger godt gemt af vejen på en server et eller andet
sted). Da alle banknøgler (i hvert fald hvis man skal tro dem selv og deres
håndlangere i finansrådet) er blevet udsted ved personligt fremmøde, så er
argumentet at konsortiet havde en mere sikker løsning end tdc som bruger
oces certifikaterne til alt (og som ikke kræver personligt fremmøde).

oces certifikatet bliver formentligt udsted ved at der sendes en eller anden
aktiverings pin kode til brugerens folkeregisteradresse - præcist som
banknøglerne bliver udsted   =:-o (og i øvrigt sygesikringskort .m.fl.)

nogen påstår i samme debat at det ikke er sikkert nok at udføre visse former
for transaktioner oven på et oces certifikat. Iflg. et eller andet EU
direktiv påkræves certifkater ala kvalificerede og helst smartcard baserede
certifikater. Bankerne mener nu at deres banktransaktioner nu ikke kan
udføres med mindre det er kvalificerede certifikater (gad vide om de havde
samme holdning inden de tabte?). Så nu er det kun banknøglerne som er gode
nok.

Faktum er at bankerne anklager oces certifikaterne for ikke at være
kvalificerede og næger derfor at bruge dem, da der under udstedelsen ikke
har været en eller anden form for fremmøde.

Men hvad nu hvis bankerne gerne ville supporte oces certifikaterne? kunne de
så ikke bare udføre en "sikker" banknøgle logon (som opfylder de aller
strengeste bank krav om sikkerhed for identiteten af brugeren) og derefter
beder brugeren om at autentificere sig med sit sprit nye oces certifikat.
Efterfølgene skulle banken blot opdatere brugerens profil med oces
certifikatet og vupti!

Sikkerheden ligger i at en bruger identificere sig sikkert med banknøglen
den ene gang han også vil meddele banken om sit aller nyeste oces legetøj.
Hvad hvis brugeren havde stjålet naboens oces certifikat? hvorfor skulle han
lige præcist meddele at naboens certifkat skal bindes til sin egen konto?
det vil han nok ikke!

Hvad så med nye bankkunder? Tja, de skal stadig møde op i banken, da
bankerne læner sig kraftigt op af aftaleloven og tilhørende "manuelle"
underskrift. Ved samme møde får man jo taget billeder til dankort og hele
molavitten...

Så min fortolkning er at bankerne gerne vil spille med musklerne og gøre
staten og os alle samme bange og usikre... for tro mig - de er rigtigt kede
af ikke at kunne sidde fedt på den pbs-style transaktionsklikafgift og
statens dejlige 40mill.

Og senest folketinges medlemmer begyndt at kalde hinanden i samråd... jo det
skal nok blive nogle saftige møder de kommer til at holde sammen derinde...
ja, tænk hvis soc dem. ligefrem kunne stille mistillidsvotum og få sander
til at gå?!? sikken en rævekage det hele kunne blive til

:-|

Ovenstående er fuldstændig og komplet helt og aldeles min fortolkning af de
seneste dages mediedebatter. Jeg er hverken på TDC's eller konsortiets
lønningsliste. Min mission er ene og alene: digital signatur i danmark skal
være sikkert og ikke noget med bull*hit designs eller løsninger blot for at
kunne skabe monopoler eller tjene mange penge - jo mig ;-).

En anden forkærlighed jeg har er for ecash protokoller. Tænk engang...
protokoller kan udvikles og bevises sikre, og så kører man med såkaldte
mikrobetalingsssystemer bruger helt almindelige web-server sikkerhed og hvor
brugeren hverken er anonym eller hvor pengenes færd ikke kan spores. Det
skal vi også have lavet om ved lejlighed. Nu først digital signatur, og når
det er på plads - så kommer turen til ecash.

/Bo
http://bofriis.dk

"Martin Djernaes" <sslug@sslug> wrote in message
news:sslug@sslug
> Hej,
>
> On Wed, 12 Feb 2003 21:04:44 +0100, Hans Schou <sslug@sslug> wrote:
> > Sidst jeg fik Dankort ringede postbudet på døren og spurgte "er du
> > Hans Schou". Dernæst åbnede han en kuvert, tog Dankortet ud og kiggede
> > på det og mig. Efter at have sammenlignet mig med billedet fik jeg
> > kortet udleveret. Det forekom mig at være ret sikkert.
>
> Waruw - det har ændret sig!
>
> Jeg har ikke fulgt med i den lange debat op til den egentlige tildeling af
> "opgaven" til TeleDK, men jeg undre mig en del over diskussionerne hos
> diverse bagblade. Er der nogen der har nogle rigtige oplysninger? For mig
> at se er der et par "ubekendte" i denne diskussion som jeg enten kan gætte
> (med ringe nøjagtighed da jeg ikke har baggrunden) eller undre mig over -
> indtil nu har jeg valgt det sidste.
>
> For det første er den eneste "anklage" jeg har hørt/læst af løsningen at
> der ikke er direkte fremmøde for at få udstedt certifikatet. Mange
> sikkerhedaspekter omkring et certifikat er den måde som de bliver
behandlet
> på (f.eks. kodeord skal indeholde både store og små bogstaver samt tal,
men
> der er ingen virkelig måde at sikre sig at dette er tilfældet), så det
skal
> da nok være det egentlige problem.
>
> Hvis fremmøde er et problem, undre jeg mig over udtalelser som f.eks. 'en
> tilfældig medarbejder hos xxx'. Vi snakker om en offentlig løsning som
> f.eks. skal bruges til digital adgang til offentlige funktioner samt
> eventuel private opgaver - ikke? Jeg undre mig over at det ikke er skrevet
> ind i et tilbud at det offentlige, og kun det offentlige, kan fysisk
> overdrage signature til brugere under opmøde hos det lokale folkeregister.
> Der er alligevel ikke andre som virkelig ved hvem du er (hvis de altså
> overhovedet gør det).
>
> Er der virkeligt ikke andre anklager?
>
> Da der er tale om en offentlig løsninge ville jeg gerne vide hvorfor
> "vinderen" skal tjæne penge på certifikaterne. Det offentlige betaler 40
> mio for en løsning; det burde kunne dække udgifterne. En hvilken som helst
> virksomhed (f.eks. PBS) kan sætte sig ned og uddele certifikater, men kun
i
> det omfang man kan stole på virksomheden, inden for de områder som
> certifikatet kan bruges og i det omfang udbyderne kan enes om at modtage
> disse certifikater, er den noget værd (40 mio kr?). Derfor undre jeg mig
> over at man i det offentlige ikke har holdt mere inden for egne døre.
Klart
> de har brug for teknisk opbakning, og jeg finder det helt i orden at
TeleDK
> (eller en anden) levere dette, men jeg kan ikke forstå hvordan man kan
sige
> til en virksomhed "her har i retten til at tjæne penge på hele danmarks
> underskrifter, og vi forventer at alle andre virksomheder vil være med".
>
> Nå men som sagt er disse ubekendte nogle af de ting jeg undre mig over. Er
> der nogen der har fakta der kan forklare nogle af disse?
>
> Hilsen,
>   Martin
>




 
Home   Subscribe   Mail Archive   Index   Calendar   Search

 
 
Questions about the web-pages to <www_admin>. Last modified 2005-08-10, 20:33 CEST [an error occurred while processing this directive]
This page is maintained by [an error occurred while processing this directive]MHonArc [an error occurred while processing this directive] # [an error occurred while processing this directive] *