mboost-dp1
Digital signatur hos DanID; hvem har den private nøgle?
Hej alle
Jeg stiller et spørgsmål her fordi jeg ikke kan finde et klart svar på DanID's side, og jeg synes jeg hører modstridende svar fra forskellige personer:
Hvis jeg bestiller en digital signatur hos DanID, har jeg så kun selv den private nøgle, eller har både DanID og jeg den private nøgle, eller har kun DanID den private nøgle?
På DanID's side synes jeg ikke jeg kan finde et klart svar, der er ikke rigtig nogen teknisk information. På diverse blogs er der nogen der skriver at DanID opbevarer den private nøgle, andre skriver at dette ikke er tilfældet. I en tråd jeg har lavet her får jeg heller ikke rigtig noget klart svar: http://ubuntudanmark.dk/forum/viewtopic.php?f=4&am...
Er der nogen der kan hjælpe mig?
Jeg stiller et spørgsmål her fordi jeg ikke kan finde et klart svar på DanID's side, og jeg synes jeg hører modstridende svar fra forskellige personer:
Hvis jeg bestiller en digital signatur hos DanID, har jeg så kun selv den private nøgle, eller har både DanID og jeg den private nøgle, eller har kun DanID den private nøgle?
På DanID's side synes jeg ikke jeg kan finde et klart svar, der er ikke rigtig nogen teknisk information. På diverse blogs er der nogen der skriver at DanID opbevarer den private nøgle, andre skriver at dette ikke er tilfældet. I en tråd jeg har lavet her får jeg heller ikke rigtig noget klart svar: http://ubuntudanmark.dk/forum/viewtopic.php?f=4&am...
Er der nogen der kan hjælpe mig?
Der er nogle artikler på version2 omkrign det her. Som jeg kan læse mig frem til, så er det kun DanID som har den private nøgle på deres servere.
http://www.version2.dk/artikel/9479-sikkerhedseksp...
http://www.version2.dk/artikel/9479-sikkerhedseksp...
runeh (2) skrev:Men selvfølgelig kan de gå ind og se på din nøgle.
Der er da overhovedet ingen selvfølge, og hvis det er tilfældet er det da en mindre skandale. Har jeg lyst til at en eller anden privat virksomhed ved navn DanID, hvis medarbejdere kan være alt fra nigerianske spammere til HA-rockere, ikke alene får adgang til alle mine skatteoplysninger, helbredsoplysninger osv. men også får adgang til at ændre dem uden mit samtykke? Nej tak.
#1
Fra "Den nye digitale signatur hvad kan
den?" v/ Palle H Sørensen, Centerleder, Center for Digital Signatur,
IT- og Telestyrelsen:
Fra kommentarerne i den artikel #3 linkede til:
Fra "Den nye digitale signatur hvad kan
den?" v/ Palle H Sørensen, Centerleder, Center for Digital Signatur,
IT- og Telestyrelsen:
http://cok.dk/images/COK%20Fyn/BDK/Digital%20signatur%20-%20Palle%20S%C3%B8rensen.pdf skrev:Certifikater og private nøgler lagres centralt
Fra kommentarerne i den artikel #3 linkede til:
Indenfor et halvt år efter lanceringen tilbyder DanID en chipkortbaseret løsning til borgere, hvor de private nøgler ikke placeres centralt. Løsningen bliver brugerfinancieret og der er naturligvis ikke samme mobilitet, da der er ekstra hardwarekrav (USB, kortlæser el.lign.).
I øvrigt vil brugerens nøgler i den centrale løsning være beskyttet af et brugervalgt password, der ikke kommer til DanID's kendskab (udover for et særligt hardware security module, HSM, der foretager den egentlige privatnøgle-operation). Det betyder ligesom for decentralt placerede nøgler, at det IKKE vil være muligt at lave recovery på private nøgler, hvor brugeren har glemt password.
Anders Feder (4) skrev:Der er da overhovedet ingen selvfølge, og hvis det er tilfældet er det da en mindre skandale. Har jeg lyst til at en eller anden privat virksomhed ved navn DanID, hvis medarbejdere kan være alt fra nigerianske spammere til HA-rockere, ikke alene får adgang til alle mine skatteoplysninger, helbredsoplysninger osv. men også får adgang til at ændre dem uden mit samtykke? Nej tak.
Når systemet er skruet sådan sammen, at andre instanser kigger på de data, der knytter sig til certifikatet, og ikke certifikatet alene, er det faktisk irrelevant om de har din nøgle eller ej. De vil blot kunne udstede et nyt certifikat og anvende det til at opnå adgang.
Det har dog ikke noget at gøre med, hvorvidt de rent principielt skal have den private nøgle liggende. Det er klart, at de ikke skal have det, medmindre man direkte ønsker det.
Det gælder dog i reglen altid, at man som bruger af et certifikat skal have tillid til den, der udsteder det. Desværre er tilliden i dette tilfælde påtvunget, da der ikke er frit valg for, hvilket certifikat man anvender.
Men mistillid til DanID er dog nok malplaceret.
Acro (6) skrev:Når systemet er skruet sådan sammen, at andre instanser kigger på de data, der knytter sig til certifikatet, og ikke certifikatet alene, er det faktisk irrelevant om de har din nøgle eller ej. De vil blot kunne udstede et nyt certifikat og anvende det til at opnå adgang.
Det kan du have ret i (selvom det er endnu lettere i det nye system i og med at de ikke engang skal udstede et nyt certfikat hvorfor det ikke vil sætte nogen spor og derfor ikke kan dokumenteres juridisk). Men hvordan formidles nøglen så mellem DanID og brugeren?
Jeg syntes i øvrigt ikke mistillid til DanID er malplaceret. Det vil da være et oplagt mål at infiltrere - der er næppe en institution eller virksomhed der har mere direkte adgang til alle danskeres (der har en DS) offentlige identitet end DanID.
Anders Feder (7) skrev:Jeg syntes i øvrigt ikke mistillid til DanID er malplaceret. Det vil da være et oplagt mål at infiltrere - der er næppe en institution eller virksomhed der har mere direkte adgang til alle danskeres (der har en DS) offentlige identitet end DanID.
Selvfølgelig er det et oplagt mål, men så er sikkerheden nok også tilsvarende større. Det er altså PBS, der står bag, og jeg er tryg ved, at de har styr på at sikre systemer imod uvedkommendes indtrængen.
Som sagt betyder det stadig ikke, at jeg ønsker, de skal opbevare min private nøgle, men jeg er ret sikker på, at det ikke udgør nogen reel risiko. Jeg er sikker på, at de har ordentlige krav til dem, de ansætter, og at en masse procedurer i øvrigt beskytter mine data.
Nu har jeg så fået et svar i den førnævnte tråd (http://ubuntudanmark.dk/forum/viewtopic.php?f=4&t=6555&p=40740#p40740) hvor der er en der siger at hvis man bestiller en digital signatur nu, så får man selv nøglen. Jeg forstår så ikke helt om de stadig har en kopi eller hvad.
Det er altså skidt at man ikke kan læse det på deres hjemmeside IMO.
Det er først når de starter med "Digital Signatur 2.0" at DanID vil være den som udelukkende har den private nøgle.
Det er altså skidt at man ikke kan læse det på deres hjemmeside IMO.
Det er først når de starter med "Digital Signatur 2.0" at DanID vil være den som udelukkende har den private nøgle.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Software
Gå til bund