[an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive]
 
[an error occurred while processing this directive] [an error occurred while processing this directive]
Skåne Sjælland Linux User Group - http://www.sslug.dk Home   Subscribe   Mail Archive   Forum   Calendar   Search
MhonArc Date: [Date Prev] [Date Index] [Date Next]   Thread: [Date Prev] [Thread Index] [Date Next]   MhonArc
 

Re: [SIGNATUR] Re: Fornyelse af certifikat



Egon Andersen wrote:
Hanne Munkholm wrote:

On Mon, 7 Feb 2005, torben wrote:


Når man tænker over det er man også næsten nød til at bestille et nyt.
Det eksisterende certifikat kan ikke forlænges og der kan ikke
udstedes et nyt på baggrund af det gamle (TDC kender jo ikke din
private nøgle).




Hvis man får et certifikat med en ny nøgle, hvordan læser man så f.eks. sine mails, der er krypteret til en gammel nøgle ?
Specifikt bruger jeg mozilla/Thunderbird til læsning af mails, me problemet er vel generelt ?
Eksporterer man sit gamle certifikat, og flytter nøglen herfra over til det nye ?



Det er faktisk ret interessant hvad det er meningen man skal gøre, især tænker jeg her på virksomheder (mit arb.). Er gamle krypterede mails låst for altid?


Selvfølgelig, hvis du ikke har nøglen!


Har et virksomhedscertifikat eller et medarbejdercertifikat samme gyldighedstid som personlige certifikater, dvs. 2 år? Og efter det er udløbet og man får et nyt, er det slut med at åbne gamle krypterede mails?


Nej, det kan stadig benyttes til at dekryptere.


Dette kan godt være et problem da det især vil være vigtige mails vi vil
ønske at modtage på den måde. Mails der senere skal kunne dokumenteres. I vejledningen til edag2 på http://www.digitalsignatur.dk et eller andet
sted, står der at man bør videresende de med virksomhedscertifikatet
krypterede mails i klar tekst til den relevante sagsbehandler. Dette
løser selvfølgelig problemet, vi kan videresende i klar tekst til vores
journaliseringssystem.


Men er dette den eneste løsning?

Hvad gør man så når signaturen skal fornys? Jeg tænker på lige i de
kritiske dage hvor man skifter den installerede signatur ud i sin
postkasse. Hvad med mails andre sender til en, der er krypteret med den
gamle signatur?


Du har blot begge private nøgler på din maskine.
Du skal muligvis vælge hvilken der benyttes til dekryptering.


Jeg går ud fra at når først fornyelsen har fundet sted hos TDC, vil afsenderens mail program gøre opmærksom på at certifikatet ikke er gyldig mere fordi der er kommet et nyt. (ja jeg er ret optimistisk :)


Hvis det er udløbet, så ja, det ved mailprogrammet.
Hvis du har fået det spærret, så er det lidt mere op til afsenderen at holde styr på opdatering vha. CRL (certificate revokation list).



Men hvad med de mails der allerede er sendt, krypteret med det gamle certifikat?


Du dekrypterer med din gamle private nøgle.


Er proceduren at man tømmer sin mailbox for mails krypteret med det gamle certifikat, installerer det nye, og så håber at der ikke ligger mails i kø på en mail server et eller andet sted, krypteret med det gamle certifikat, som først når frem efterfølgende?

Det er jeg nok lidt betænkelig ved, i betragtning af de forsinkelser vi
sommetider oplever på vores egen eller andres mail servere.

Eller kan det gamle og det nye certifikat sameksistere i en passende
periode?

Er der nogen der kan svare, eller gætter vi bare?


Du er nødt til at opbevare den private nøgle for at kunne dekryptere.
Du behøver ikke at slette dit private certifikat for at installere en ny - ialtfald ikke hvis du anvender Mozilla-familien.
(Hvad man kan/skal på en windåse er jo irrelevant på denne liste ;-)


Du vælger hvilken af dine nøgler du bruger til dekryptering (også selv om certifikatet er udløbet).

Som jeg skrev tidligere, så skal du opbevare din personlige nøgle lige så længe som du ønsker at kunne dekryptere mails krypteret med din offentlige nøgle.
Hvis der var veje udenom, var krypteringen jo intet værd!


Har du smidt den private nøgle væk, så er du altså fucked! Så husk lige at have en backup eller to af den nøgle!!!

Med venlig hilsen
Egon Andersen

Nå ja, det eneste problem der eventuelt kan være er at certifikat politikken måske forbyder dig at anvende et udløbet certifikat - sådan har CP nemlig været på TDC OCES, men jeg håber da at det er blevet ændret, ellers vil jeg nok blot undlade at fortælle det til nogen, at jeg har beholdt en kopi af certifikatet.


Med venlig hilsen
Egon Andersen


 
Home   Subscribe   Mail Archive   Index   Calendar   Search

 
 
Questions about the web-pages to <www_admin>. Last modified 2005-08-10, 20:34 CEST [an error occurred while processing this directive]
This page is maintained by [an error occurred while processing this directive]MHonArc [an error occurred while processing this directive] # [an error occurred while processing this directive] *