Hanne Munkholm wrote:
On Mon, 7 Feb 2005, torben wrote:
Når man tænker over det er man også næsten nød til at bestille
et nyt.
Det eksisterende certifikat kan ikke forlænges og der kan ikke
udstedes et nyt på baggrund af det gamle (TDC kender jo ikke din
private nøgle).
Hvis man får et certifikat med en ny nøgle, hvordan læser man så
f.eks. sine mails, der er krypteret til en gammel nøgle ?
Specifikt bruger jeg mozilla/Thunderbird til læsning af mails, me
problemet er vel generelt ?
Eksporterer man sit gamle certifikat, og flytter nøglen herfra over
til det nye ?
Det er faktisk ret interessant hvad det er meningen man skal gøre, især
tænker jeg her på virksomheder (mit arb.). Er gamle krypterede mails
låst for altid?
Selvfølgelig, hvis du ikke har nøglen!
Har et virksomhedscertifikat eller et medarbejdercertifikat samme
gyldighedstid som personlige certifikater, dvs. 2 år? Og efter det er
udløbet og man får et nyt, er det slut med at åbne gamle krypterede
mails?
Nej, det kan stadig benyttes til at dekryptere.
Dette kan godt være et problem da det især vil være vigtige mails vi vil
ønske at modtage på den måde. Mails der senere skal kunne dokumenteres.
I vejledningen til edag2 på http://www.digitalsignatur.dk et eller andet
sted, står der at man bør videresende de med virksomhedscertifikatet
krypterede mails i klar tekst til den relevante sagsbehandler. Dette
løser selvfølgelig problemet, vi kan videresende i klar tekst til vores
journaliseringssystem.
Men er dette den eneste løsning?
Hvad gør man så når signaturen skal fornys? Jeg tænker på lige i de
kritiske dage hvor man skifter den installerede signatur ud i sin
postkasse. Hvad med mails andre sender til en, der er krypteret med den
gamle signatur?
Du har blot begge private nøgler på din maskine.
Du skal muligvis vælge hvilken der benyttes til dekryptering.
Jeg går ud fra at når først fornyelsen har fundet sted hos TDC, vil
afsenderens mail program gøre opmærksom på at certifikatet ikke er
gyldig mere fordi der er kommet et nyt. (ja jeg er ret optimistisk :)
Hvis det er udløbet, så ja, det ved mailprogrammet.
Hvis du har fået det spærret, så er det lidt mere op til afsenderen at
holde styr på opdatering vha. CRL (certificate revokation list).
Men hvad med de mails der allerede er sendt, krypteret med det gamle
certifikat?
Du dekrypterer med din gamle private nøgle.
Er proceduren at man tømmer sin mailbox for mails krypteret med det
gamle certifikat, installerer det nye, og så håber at der ikke ligger
mails i kø på en mail server et eller andet sted, krypteret med det
gamle certifikat, som først når frem efterfølgende?
Det er jeg nok lidt betænkelig ved, i betragtning af de forsinkelser vi
sommetider oplever på vores egen eller andres mail servere.
Eller kan det gamle og det nye certifikat sameksistere i en passende
periode?
Er der nogen der kan svare, eller gætter vi bare?
Du er nødt til at opbevare den private nøgle for at kunne dekryptere.
Du behøver ikke at slette dit private certifikat for at installere en ny
- ialtfald ikke hvis du anvender Mozilla-familien.
(Hvad man kan/skal på en windåse er jo irrelevant på denne liste ;-)
Du vælger hvilken af dine nøgler du bruger til dekryptering (også selv
om certifikatet er udløbet).
Som jeg skrev tidligere, så skal du opbevare din personlige nøgle lige
så længe som du ønsker at kunne dekryptere mails krypteret med din
offentlige nøgle.
Hvis der var veje udenom, var krypteringen jo intet værd!
Har du smidt den private nøgle væk, så er du altså fucked! Så husk lige
at have en backup eller to af den nøgle!!!
Med venlig hilsen
Egon Andersen
![[Date Prev]](/grafix/mhonarc/prev.png)
![[Date Index]](/grafix/mhonarc/up.png)
![[Date Next]](/grafix/mhonarc/next.png)
