| ||||||||||||||||||||||||
![[Date Prev]](/grafix/mhonarc/previa.png)
![[Date Index]](/grafix/mhonarc/up.png)
![[Date Next]](/grafix/mhonarc/next.png)
|
|
|
|||||||||||||||||||||||||
|
|||||||||||||||||||||||||||
|
|
|
|||||||||||||||||||||||||
man, 2002-06-03 kl. 19:13 skrev "Guldberg,Jørn JGU":
> At man kan identificere sig, er ikke det samme som, at man altid skal identificere sig. Man har lov til at vælge. Men diskutionen om sikring af retten til anonymitet på nettet skal nok føres på et mere kvalificeret grundlag.
>
> Stephan har en forkert forudsætninger i sin påstand om "vi hænger vores nye CPR nummer om halsen", nemlig at et PID nummer kan spores tilbage til et CPR nummer. Men relationen mellem CPR og PID er "1 til mange", og derfor holder påstanden ikke.
> F.eks er mit PID nummer hos KMD-CA 9208-2001-1-141159146, mens det hos certifikat.dk er 9802-2002-2-966250609119. Hvem vil påtage sig at udlede mit CPR nummer udfra disse to offentligt tilgængelige informationer? Desuden kan jeg vælge at anvende certifikater fra andre leverandører, eller ikke kvalificerede certifikater, så en sporing kan blive ret kompleks.
>
Det kunne egentlig være interessant at undersøge holdbarheden i Stephans
påstand. Der findes kun ca 20 millioner CPR numre. Dette udledes fra at
CPR systemet kun tillader 100 år samt at der er 365.25 dage i året samt
at der er 550 forskellige muligheder for de sidste fire cifre i CPR
numret når der bruges modulo 11 kontrol. Dette giver altså:
100 x 365.25 x 550 = 20 088 750
Hvis man sammenligner med bruteforce-cracking af passwords så har en
adgangskode med 4 til 6 tegn en sammenlignelig antal muligheder.
Adgangskoder der kun ar tegnene a-z giver 26 muligheder for hvert tegn.
Adgangskode med 5 tegn har derfor kun 11 million muligheder.
Adgangskoder der har både store og små bogstaver samt tal: [a-zA-Z0-9]
hvilket giver 62 muligheder. En adgangskode med fire tegn har kun 14
million muligheder.
Så vidt jeg ved anses adgangskoder der består af færre ciffre end 8 for
at være usikre idet de er for nemme at bruteforce-crakcke.
Så vidt jeg kan se af ovenstående, skal man bare få fat i/lave et
program der tager PID nummeret og kører alle de 20 mill. muligheder i
gennem for at finde hvilket CPR nummer der tilhører certifikatet.
Dermed ville enhver på få sekunder kunne finde CPR nummeret for et
vilkårligt certifikat.
Jeg synes at Stephan ikke har ret i at "vi hænger vores nye CPR nummer
om halsen".
Hvis han havde sagt at vores CPR nummer kan aflæses af certifikatet
ville jeg til gengæld have givet ham ret.
--
med venlig hilsen, Anna Jonna Armannsdottir
...ooO0Ooo...
»Det seneste år har vist os mere end nogensinde, at hvis
menneskerettigheder ofres i kampen for fred og sikkerhed,
så bliver der ingen fred og ingen sikkerhed«.
Irene Khan, Amnesty Internationals generalsekretær.
|
|
|
||||||||||||
|
||||||||||||||
| ||||||||||||||
|
||||||||||||||
|
|
|
||||||||||||