Sikkerheden i NemID handler om tillid

Claus Juul skrev:
Jeg har selv brugt (datid) signatur funktionen i forbindelse med e-post (skulle selv eksportere og importere signaturen for at det virkede)
Jeg har endnu ikke brugt løsningen til at signere noget dokument med.

Jeg bruger (nutid) min signatur til at logge ind med forskellige steder, bla. skat.dk

Er der nogen derude, der har brugt løsningen til "underskrive" noget med, eller bruges løsningen "kun" til at identificere sig med/logge ind?

HenrikStigJørgensen skrev:
Ja, og du har så tilsyneladende ikke forstået funktionen med en privatnøgle. At du nøgternt vurderer at placering af privatnøglen blot skal ses som et lille tradeoff med brugevenligheden er fuldstændig ude i hampen.

Hvis ikke man overholder grundprincippet om at privatnøglen skal holdes hemmelig kan vi ligeså godt gå over til symmetrisk kryptering. Ideen med asymmetrisk kryptering er jo netop at man kan garantere oprigtigheden af data. Det er fint at du stoler på DanID, men hvorfor så ikke bare bruge symmetrisk kryptering?

Brian Vinter skrev:
Ja du må meget undskylde men det er noget forvrøvlet sludder!

Symmerisk kryptering kræver at jeg stoler på den jeg forbinder mig til! DanID løsningen kræver at jeg stoler på netop en part og det er ikke den part jeg kommunikerer med!

Bjarne Høgh Nielsen skrev:
Hvad jo er sandt, men vist nærmest har karakter af et stråmandsargument.

Det er DanID, som signerer med borgerens "private" nøgle (og skulle vi ikke heller kalde den for borgerens "unikke" nøgle, for der er intet "privat" over den længere). Den eneste tillid, som der derfor er brug for, er tilliden i kommunikationen imellem DanID og 3. parten, for borgeren er jo slet ikke involveret efter at han er autentificeret af DanID.

Denne tillid inkl. at DanID garanti for at de har autentificeret, kan i praksis lige så godt opretholdes med en symmetrisk nøgle, og i virkeligheden vil der jo nok være væsentligt færre nøgler at holde styr på. At man så af andre og mere lav-praktiske årsager sikkert ville vælge en asymmetrisk løsning også til dette, er en anden snak.

Brian Vinter skrev:
Så hvis ikke du overvejer _hele_ trust-chain så bliver dit argument bare til ord-ævl...

Brian Vinter skrev:
Symmerisk kryptering kræver at jeg stoler på den jeg forbinder mig til! DanID løsningen kræver at jeg stoler på netop en part og det er ikke den part jeg kommunikerer med!

...tænk over hvordan nøglen opstår! Der er 3 modeller:

1) En 3. part (som DanID) generer nøglen og sender den til dig - det er nu din private!

2) Din egen computer genererer nøglen med et stykke SW som 3. part har skrevet og den signeres så af 3. part.

3) Du genererer din egen nøgle med SW af eget valg som du så fysisk går til en 3. part der identificerer dig og signerer den.

Med 1 og 2 er der fuld tillid til 3. part på et tidspunkt og de ville (hvis de er onde) kunne lave en fuld kopi af din nøgle - inkl password til nøglen. Kun den 3 model er reel privat og det er næppe gennemførbar i stor stil.

Så hvis ikke du overvejer _hele_ trust-chain så bliver dit argument bare til ord-ævl...

HenrikStigJørgensen skrev:
Jeg overvejer hele trust-chain - det er netop derfor jeg siger, at denne løsning tilføjer en unødvendig ekstra myndighed, som man skal stole på. Og denne unødvendige ekstra myndighed skal du kunne stole på med alle følsomme data om dig der måtte være tilgængelige med Digital Signatur.

Brian Vinter skrev:
Model 2 fungerer ikke fordi en ond CA kan indlægge en trojansk hest der sender en kopi ag nøglen ind i SW. Et webinterface hvor du uploader din nøgle er reelt mulighed 3 men med pseudo-automatik - den er meget svær for CA at gøre sikker, en web model hvor en Applet genererer din nøgle har stadigt mulighed for trojaner.

Hvis du generer din egen nøgle med egen SW - fx open source så du er sikker på at den er fri for trojanere så må du så _fysisk_ bringe denne nøgle til signering hvor du identifiserer dig

den ekstra myndighed er stadig nødvendig og den service som du vil tilgå med din nøgle skal stadig have tillid til at 3. part har sikret din identitet da de signerede din nøgle.

Engangskodekort har ikke noget med tilliden til selve nøglens integritet at gøre - det handler om sikring af adgangen til nøglen - en helt anden problemstilling.

Det er ganske simpelt at vise at du har brug for en 3 part for at kunne garantere authensitet på kommunikationen! Den kan kun undgås ved at gradbøje begrebet autensitet - det er der så en del interessante arbejder omkring.

HenrikStigJørgensen skrev:
Kommunikationen eller certifikatet? Det er dette der er det springende punkt.

I PKI er tilliden mellem to kommunikerende parter implicit da de begge stoler på CA, men det betyder ikke at CA kan misbruge denne tillid til at få adgang til borgerens data - det er det der er så smukt ved PKI.

Brian Vinter skrev:


Digital signatur er stadigt en PKI baseret løsning eneste nye er hvem der holder ved nøglen - altså der er introduceret et keystore!

Brian Vinter skrev:
Det er desværre ikke så simpelt - vi taler stadigt om en PKI model spørgsmålet er hvordan tillid mellem CA og key-owner opstår - man kommer ikke uden om at den skal initieres. Den sikkerhed kan kun være fuldstændig hvis CA aldrig har adgang til nøglen i en ukrypteret form (inkl at jeg har tillid til at min SW ikke sladrer) hvilket igen betyder at CA må overbevise sig om nøgle-indehaverens identitet på en anden måde.

Digital signatur er stadigt en PKI baseret løsning eneste nye er hvem der holder ved nøglen - altså der er introduceret et keystore!

Michael Nielsen skrev:
Det eneste nye er at en 3. part kan underskrive i dit Navn, det kan ikke ske i en ordenlig CA privat-public key system. Altså kan man endnu mindre stole på at den der underskrev, er den person de udgiver sig for..

Det er både praktisk og teoretisk muligt, da en hver medarbejder hos NEMID har muligheden for at udføre man-in-the-middle attacks, eller bare direkte få adgang til din nøgle - uanset hvad de siger, så er det et faktum.

Brian Vinter skrev:
Som nævnt tidligere så er dette ikke sandt det er bare mere tydeligt nu!

Du havde ikke adgang til kildekode på den SW der generede certifikatet i den gamle løsning - så teoretisk set kunne den gamle model også have taget en kopi af din nøgle!

(teoretisk!!! jeg tror ikke på det er sket!!!)

Brian Vinter skrev:
Som nævnt tidligere så er dette ikke sandt det er bare mere tydeligt nu!

Du havde ikke adgang til kildekode på den SW der generede certifikatet i den gamle løsning - så teoretisk set kunne den gamle model også have taget en kopi af din nøgle!

(teoretisk!!! jeg tror ikke på det er sket!!!)

Birger Heede skrev:
Sagde han virkelig:

Mange stoler dog allerede på dette system i form af, at de anvender et Dankort. Det er en tilsvarende sikkerhedsproblematik, der gør sig gældende.
-----------------------------------------------------

Med Dankort skal jeg nok opdage hvis nogen har brugt det uretmæssigt. Men NEMID har jeg vist ikke en chance for at se om nogen har brugt det, eller kan man få en log en gang imellem så man se hvilke systemer der har været anvendt?

Brian Vinter skrev:
Min pointe var udelukkende at de der har et Dankort allerede har tillid til PBS ...

Brian Vinter skrev:
Du har helt ret og citatet er også taget væk fra den kontekst jeg mener jeg gav den i:)

Min pointe var udelukkende at de der har et Dankort allerede har tillid til PBS - ikke at en nøgle og et Dankort ellers kan sammenlignes.

Stephan Engberg skrev:
Tag lige den et skridt videre - du har ikke et alternativ til at have tillid til PBS fordi teknologien er designet så de har total magt.

Et Dankort kunne istedet være baeret på f.eks. Digital Cash (blinded certificates) hvorved behovet for tillid bliver elimineret via teknologidesignet. Men det kan du med internettet lige så godt gøre direkte mod din bank, dvs. PBS er blot en logisk overflødig gatekeeper som qua en fejldesigent teknologi akkumulerer en magtposition og blokerer for innovation og konkurrence på betalingsområdet.

En ting er at man lavede den fejl for 25 år siden, men at skalere fejlen mange gange med NemId er utilgiveligt.

Brian Vinter skrev:
Det forekommer mig at der er 2 komponenter i denne debat - en teknisk og en filosofisk.

Rent teknisk er der ikke sket det store med den nye model - tillidsbehovet til CA er blevet mere synligt fordi de nu fortæller at de beholder nøglen hvor det tidligere var en rent teoretisk overvejelse.

...omend jeg må indrømme at mange kommentarer bliver skingre og minder mere om udsagn fra amerikanske seperatister der forsøger at bekæmpe forbundsregeringen.

_Personligt_ anser jeg det at være borger i et samfund for at komme med den pris at jeg må stole på nogle samfundsorganer om det så er politi, domstole eller en CA er ikke ligegyldigt men principielt samme overvejelse.

At modellen så modvirker fri konkurrence og dermed måske teknisk nyudvikling er en langt mere interessant debat IMHO.

HenrikStigJørgensen skrev:
Nej, hvis nøgleparret genereres på klientmaskinen og privatnøglen aldrig kommer udenfor borgerens kontrol, og certifikatet udstedes på baggrund af en CSR, har borgeren eksplicit garanti for at CA ikke er i besiddelse af privatnøglen.

Brian Vinter skrev:
Jeg skriver at der ikke er noget nyt - i den gamle model var CA også involveret

Jeg har nogen erfaring med at drive en CA og mener IKKE at modellen med at man møder op fysisk kan skalere til at drive en infrastruktur som den digitale signatur.

HenrikStigJørgensen skrev:
Det er jo heller ikke det vi snakker om - den diskussion handler om OCES kontra kvalificerede certifikater og er nok mere politisk/retsteknisk. Det ene udelukker jo ikke det andet - man kan godt lave en løsning hvor privatnøglen aldrig forlader borgeren uden at det dermed behøver at være fysisk fremmøde; det viser den nuværende implementering jo.?.

Brian Vinter skrev:
Nuværende = NemID eller den gamle digital signatur?

Den gamle model var netop baseret på at din identitet blev bekræftet af en snail-mail med password til din signatur (sådan var det i alle fald da jeg fik min for mange år siden) - den model er netop mulig fordi det var CAs software der genererede signaturen og så er vi tilbage til trojaneren...

HenrikStigJørgensen skrev:
Gammel model (sådan som jeg husker det):

2. Borgeren får en mail med link til en applet, som genererer keypair og derefter en CSR, som sendes via appletten til TDC sammen med pinkoden og borgerens CPR-nr.

Brian Vinter skrev:
Kan ikke være faktuelt uenig:)

Det forekommer mig at der er 2 komponenter i denne debat - en teknisk og en filosofisk.

Rent teknisk er der ikke sket det store med den nye model - tillidsbehovet til CA er blevet mere synligt fordi de nu fortæller at de beholder nøglen hvor det tidligere var en rent teoretisk overvejelse.

..

Den mere filosofiske del er egentligt ikke ændret med den nye model heller - omend konsekvenserne måske er blevet mere synlige. Der er mange reelle bekymringer - omend jeg må indrømme at mange kommentarer bliver skingre og minder mere om udsagn fra amerikanske seperatister der forsøger at bekæmpe forbundsregeringen.

..

At modellen så modvirker fri konkurrence og dermed måske teknisk nyudvikling er en langt mere interessant debat IMHO.

Brian Vinter skrev:
Så nu har du tillid til at den applet ikke sender en kopi til CA....

Stephan Engberg skrev:
Brian

Skal vi ikke lige holde ideologiske betragtninger ude.

[snip]

Brian Vinter skrev:
Min eneste reelle påstand i debatten har været at der på teoretisk niveau ikke er tilført mere trust til CA men at den nødvendige tillid nu er meget mere synlig.

Brian Vinter skrev:
Min eneste reelle påstand i debatten har været at der på teoretisk niveau ikke er tilført mere trust til CA men at den nødvendige tillid nu er meget mere synlig.

Det at tillidsbehov er eksplicit synligt er jeg sikker på at netop vi to kan blive enige om er en god ting!

Brian Vinter skrev:
Jo - derfor et kort svar:)

Min eneste reelle påstand i debatten har været at der på teoretisk niveau ikke er tilført mere trust til CA men at den nødvendige tillid nu er meget mere synlig.

Det at tillidsbehov er eksplicit synligt er jeg sikker på at netop vi to kan blive enige om er en god ting!

Når det kommer til juridiske- og drifts-detaljer er jeg ikke klædt på til at blande mig i debatten ;)

Michael Nielsen skrev:
Hvis du mener at tilliden i begge systemer er den samme, bare mere synlig i den ene, så kig lige på de scenarie jeg lige har vist.

Brian Vinter skrev:
Det er desværre ikke så simpelt - vi taler stadigt om en PKI model spørgsmålet er hvordan tillid mellem CA og key-owner opstår - man kommer ikke uden om at den skal initieres. Den sikkerhed kan kun være fuldstændig hvis CA aldrig har adgang til nøglen i en ukrypteret form (inkl at jeg har tillid til at min SW ikke sladrer) hvilket igen betyder at CA må overbevise sig om nøgle-indehaverens identitet på en anden måde.

Digital signatur er stadigt en PKI baseret løsning eneste nye er hvem der holder ved nøglen - altså der er introduceret et keystore!

Stephan Engberg skrev:There is something deeply rutten in the state of Denmark.

Henrik Madsen skrev:
Personligt vil jeg ikke have en nemID med mindre jeg direkte bliver tvunget til det.

Jesper Lund skrev:
Spørgsmålet er om vi kan blive fri for nemID?

For det første vil alle netbanker begynde at bruge nemID som logon, formentlig som eneste metode. En DanID medarbejder har tidligere udtalt at man vil kunne få et nøglekort som alene kan bruges til netbanken (adgangskontrol), men lad os nu se.

For det andet er staten godt i gang med at gøre livet besværligt for de borgere, som ikke vil indordne sig under det digitale tvangssamfund. Vil du have tinglyst dit skøde i dette årti? Så skal du bruge digital signatur, ellers havner det nederst i bunken. Vil du have adgang til dine skatteoplysninger, så du ultimo december kan beregne om du skal indbetale til SKAT for at undgå deres ågerrenter ved restskat? Adgang til tastselv vil kræve digital signatur, da SKAT's tastselv kode droppes fra 2011.

Der er også den offentlige dokumentboks og spamSMS. Hvis den offentlige dokumentboks er ligesom e-boks, kan andre oprette den i dit navn og begynde og sende dokumenter til den, og who knows, måske med retslig virkning. Og lad mig gætte.. du skal bruge digital signatur for at få adgang.

Stephan Engberg skrev:

Det er kritisk at stoppe dette nu.

Stephan Engberg skrev:

Jeg kan så også vælge at tage min digitale sigantur og signere denne nye PGP nøgle og sende dette certifikat krypteret til f.eks. min læge. Nu ved lægen at min PGP nøgle er mig, men ingen andre.

Et helt simpelt eksempel.
Hvis jeg har kontrol over en Digital Signatur klient-side (dvs. ikke alt dette NemId magtmodel), så kan jeg altid generere et nyt assymetrisk nøglepar (f.eks. en PGP) til en transkation og bruge den til authentificering igen og igen i denne transaktion uden at kobler til min PKI-nøgle.