| ||||||||||||||||||||||||
![[Date Prev]](/grafix/mhonarc/prev.png)
![[Date Index]](/grafix/mhonarc/up.png)
![[Date Next]](/grafix/mhonarc/next.png)
|
|
|
|||||||||||||||||||||||||
|
|||||||||||||||||||||||||||
|
|
|
|||||||||||||||||||||||||
søn, 2002-07-07 kl. 11:47 skrev Arne Jørgensen:
> Jamen ... Sammenhængen mellem PID og CPR-nummer findes vel kun i en
> database hos KMD-CA og den har du ikke adgang til.
Der er ikke nødvendigt med adgang til denne database for at finde
sammenhængen mellem CPR og PID fordi der er kun ét CPR-nr. for hver PID.
> Selvfølgelig er det ikke noget problem at løbe 10, 20 eller flere
> millioner CPR-nummer i gennem, men du har ikke en metode til at afgøre
> om et givet CPR-nummer hører sammen med PID'et (medmindre du har
> adgang til en lukket database hos KMD-CA).
Her er en skitse til en metode:
Sammenhængen mellem PID og CPR er een til mange, hvilket vil sige at for
en given PID, kan der kun eksistere ét CPR-nummer.
Dette vil sige at for et givet CPR-nummer eksisterer der en mængde
PID-numre. Jeg lader M betegne mængden af alle teoretisk mulige
PID-numrene for et givet CPR-nummer CPR-A. For to forskellige CPR-numre
CPR-A og CPR-B med tilhørende M-A og M-B vil fællesmængden af
PID-numrene M-A og M-B være en tom mængde.
Dette er forudsætningen for at der kun kan være ét CPR-nummer for et
givet PID-nummer og samtidig er det forudsætningen for min metode her.
Der skal bruges et program der kan tage et vilkårligt CPR-nr og generere
en PID ud fra dette. Det er ikke svært at lave.
Det som kan være lidt svært er at genskabe de oplysninger der indgår i
PID nummeret udover CPR-nummeret. Nogle af disse vil ligge i
certifikatet og derudover indgår der formodentlig tilfældige tal.
PID-nummeret er formodentlig dannet fra en "one way hash" af de samlede
oplysninger der består af CPR-nummer plus yderligere oplysninger.
Altså for at finde hvilket CPR-nummer der tilhører ejeren af et
certifikat, skal man gætte maks. 10 million gange på et CPR-nr. og sætte
det sammen med certifikatets øvrige oplysninger, og køre den samme "one
way hash" og sammenligne med certifikatets PID.
Tilbage står kun spørgsmålet om hvor mange forskellige muligheder der
reelt er for de øvrige oplysninger. Taget i betragtning at den unikke
del af PID-nummeret (den del der kommer efter 9208-2001-1-)
tilnærmelsesvis har det samme antal tegn som et CPR-nummer har, så kan
det ikke være så mange muligheder at det kunne forhindre
"bruteforce-cracking".
Samtidig vil jeg gøre opmærksom på at denne form for "cracking" ville
være fuldt lovlig idet certifikaterne er offentliggjorte oplysninger og
CPR-numre ikke er hemmelige oplysninger eller på anden måde anses for at
være personfølsomme oplysninger.
Jeg synes bestemt der er grund til Stephans bekymring.
--
med venlig hilsen, Anna Jonna Armannsdottir
...ooO0Ooo...
»Det seneste år har vist os mere end nogensinde, at hvis
menneskerettigheder ofres i kampen for fred og sikkerhed,
så bliver der ingen fred og ingen sikkerhed«.
Irene Khan, Amnesty Internationals generalsekretær.
|
|
|
||||||||||||
|
||||||||||||||
| ||||||||||||||
|
||||||||||||||
|
|
|
||||||||||||