[an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive]
 
[an error occurred while processing this directive] [an error occurred while processing this directive]
Skåne Sjælland Linux User Group - http://www.sslug.dk Home   Subscribe   Mail Archive   Forum   Calendar   Search
MhonArc Date: [Date Prev] [Date Index] [Date Next]   Thread: [Date Prev] [Thread Index] [Date Next]   MhonArc
 

Re[2]: [SIGNATUR] RFC 3275 (was: Demo af digital signatur klar til test! Linux community er FØRST!



On Tue, 18 Feb 2003, Jens Bo Friis wrote:

> Jo, "mit" program (client side) har fat i din private nøgle. Det er
> den eneste måde man kan beregne signaturen.

Så langt er jeg med.

> Spg spg til brugeren: hvem stoler man så på? mig? open-source? store
> firmaer med closed source? vil du stole på TDC og deres IE closed
> spource version? på KMD? på FBI? Told*Skat?

Jeg tror jeg stoler på de samme som du gør: nobody

> Men een ting er sikkert: Brugeren er nød til at stole på programmet
> for eneste måde programmet kan læse fra disken er at du stoler på
> programmet og dets forfatter. Det er den måde som du som bruger
> giver programmet lov til at læse og skrive til disken.

Jo, men jeg ville hellere have at jeg får programmet fra et sted, og 
så sørfer ind et andet sted og bruger programmet. Hvis blot et website 
stjæler min private nøgle, falder det hele til jorden. Og jeg har ikke 
tænkt mig at sniffe på min egen linje alle de gange jeg bruger et 
certifikat.

Hvis nu både Konqueror og Mozilla native kunne signere, så havde jeg 
da nogle at vælge imellem. Med en Java-løsning kan jeg kun vælge at 
stole på samtlige af de sites hvor jeg vil bruge min signatur.

> Men nu kommer jeg til at drille lidt. På mit site http://bofriis.dk
> har jeg skrevet et paper som beskriver et angreb på chinese
> remainder theorem implementationer af signering med RSA. Ved at
> introducere en passende valgt regnefejl i signaturberegningen, kan
> jeg på server side BEREGNE din private nøgle uden at du nogen sinde

Ja det kun med en Java-løsning, men hvis det nu er indbygget i 
browseren, så skal du ud og have implementeret denne regnefejl
i browserens source. Det er måske ikke så svært, men du eksponere dig
på et eller niveau. (du behøver ikke nævne penet.fi, har prøvet den)

På den anden side, så har jeg kildeteksten til openssl, men har aldrig 
gidet kigge ned i den. Shame on me.

> Og igen derfor har jeg valgt RFC 3275.

Standarder er en god ting. Ingen tvivl om det.

> Jeg har blot for nu, valgt at holde min fysiske implementation
> closed source, da jeg mener at der er store spillere på dette marked
> som kan have interesse i at komme op-til-speed med copy/paste.

Det er din kode, så du må gøre med den hvad du vil. Ingen problemer 
med mig der. TDC kommer jo også med noget der kan lidt, så for den 
enkelte borger betyder det jo ikke noget.

mvh/hans
-- 
Hamletsgade 4 - 201, DK-2200 København N, Phone: +45 3582 9079
Schou Industries ApS      http://schou.dk/    CVR: 26 13 44 39
--------------------------------------------------------------
Københavns Universitet - et Microsoft Universitet
http://www.sslug.dk/~chlor/kot/


 
Home   Subscribe   Mail Archive   Index   Calendar   Search

 
 
Questions about the web-pages to <www_admin>. Last modified 2005-08-10, 20:33 CEST [an error occurred while processing this directive]
This page is maintained by [an error occurred while processing this directive]MHonArc [an error occurred while processing this directive] # [an error occurred while processing this directive] *