[an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive]
 
[an error occurred while processing this directive] [an error occurred while processing this directive]
Skåne Sjælland Linux User Group - http://www.sslug.dk Home   Subscribe   Mail Archive   Forum   Calendar   Search
MhonArc Date: [Date Prev] [Date Index] [Date Next]   Thread: [Date Prev] [Thread Index] [Date Next]   MhonArc
 

problem med keystore i IE!



Hej

jeg har lige en lille ting jeg vil dele med jer...

jeg er blevet gjort opmærksom på en uheldighed omkring import/export af OCES certifikater som deles mellem flere maskiner.

Hvis nu jeg har bestilt mit certifikat fra en IE og har benyttet cryptomathic's(CM) cryptoprovider(CP). Så har jeg nu gemt mit certifikat i CM's CP på min ene maskine.

Men så vi jeg have flyttet mit certifikat til min anden maskine. Så jeg exporterer mit certifikat ud på en diskette, og ind på min maskine nr. 2. (den har ikke CM's CP). Derfor gemmes denne i IE's keystore - som uheldigvis defaulter til "lav sikkerhed", dvs. ikke password beskyttelse af certifikatets private nøgle.

se: http://bofriis.dk "Om klient certifikater installeret i browserens keystore..."

Ovenstående beskriver hvorfor man ikke kan stole (på server side) på om certifikatet benyttes af korrekte indehaver samt den evt. digitale signatur (hvis man bruger IE's sign), da kan man heller ikke stole på den digitale signatur.

Men hvad nu hvis jeg skal på netcafe eller på biblioteket?
Hvad nu hvis joe og jane sixpack installerer deres certifikater i bibliotekets browser som defaulter til ingen sikkerhed? Og at de glemmer at slette certifikaterne bagefter?


Faktisk betyder det i ovenstående case at jeg kan gå på biblioteket og se andre folks selvangivelser uden at indtaste password.
- og jo - jeg ved godt at jeg bryder tdc's betingelser ved at installere certifikatet i browseren med lav sikkerhed (uden password). Men joe og jane sixpack har sikkert aldrig læst betingelserne og hvis de har, har de ikke teknisk forståelse for betydningen og alvoren. Og det ved da slet ingen ting om sikkerheden omkring IE's keystore. Og heller ikke hvad der skal til for at rydde op i det.


Morten Storm fra TDC sagde forleden på en konference: "jeg tror på at std. flex og open source versionen bliver den bedste med tiden."

... jeg tror allerede at tiden har indhentet os... OpenSign ER allerede bedre og mere sikker end IE's keystore.

Det kan godt være at keystoren på en diskette (som benyttes af OpenSign) ikke nem og slet ikke for joe og jane sixpack. Men sikkerheden bag IE's keystores er simpelhen bare for dårlig.

/Bo
http://bofriis.dk



 
Home   Subscribe   Mail Archive   Index   Calendar   Search

 
 
Questions about the web-pages to <www_admin>. Last modified 2005-08-10, 20:33 CEST [an error occurred while processing this directive]
This page is maintained by [an error occurred while processing this directive]MHonArc [an error occurred while processing this directive] # [an error occurred while processing this directive] *